IBsolution Blog

Fiori-Apps in SAP Access Control: Zugreifen ohne Risiko

Geschrieben von Marc Röder | 12. November 2019

SAP Access Control erkennt und verhindert automatisiert Zugriffsverletzungen in SAP-Systemen. Das Rollenmanagement trägt dazu bei, dass Unternehmen interne und externe Compliance-Richtlinien einhalten. Die kontinuierliche Risikoprüfung erfolgt auf Basis der Funktionstrennungsprüfung gegen die entsprechende SoD-Matrix. SAP Access Control besteht aus den vier Modulen Access Risk Analysis (ARA), Business Role Management (BRM), User Access Management (UAM) und Emergency Access Management (EAM). Fiori-Oberflächen sorgen für hohe Benutzerfreundlichkeit und intuitive Bedienung – auch auf mobilen Geräten.

 

 

Gehen Sie bei Rollen und Berechtigungen kein Risiko ein

 

 

Rollenmanagement mit SAP Access Control

Rollen im Unternehmen sollen, bezogen auf die enthaltenen SAP-Berechtigungen, möglichst risikofrei sein. In Kombination aller SAP-Rollen eines Benutzers sollen diese ebenfalls möglichst wenige Risiken beinhalten. Und wenn sich Risiken nicht gänzlich vermeiden lassen, sollen sie zumindest überwacht werden können.

 

Daher ist bereits bei der Erstellung der Rollen zu prüfen, welche Risiken sich ergeben. Zusätzlich ist bei der Vergabe von Rollen an einen entsprechenden User zu prüfen, welche Risiken gegebenenfalls aus der Rollenzuteilung entstehen könnten. Zum einen prüft das System den Ist-Zustand des Users gegen die SoD-Matrix. Zum anderen simuliert SAP Access Control, welche Risiken entstehen würden, wenn der User zusätzliche Berechtigungen bekäme. Im Zusammenspiel mit einer SAP-Identity-Management-Lösung lassen sich potenzielle Gefahren bereits in den Antrags- und Vergabeprozessen prüfen, bevor die Berechtigungen tatsächlich vergeben werden.

 

Ablauf von Firefighter-Prozessen

Auch Firefighter-Prozesse, also das Genehmigen und Überwachen von Notfallzugriffen, lassen sich mithilfe der Fiori-Apps übersichtlich abbilden. In einem solchen Fall beantragt ein Benutzer einen Superuser in einer Fiori-Anwendung und SAP Access Control protokolliert die Ausnahmen.

 

Der Firefighter-User ist notwendig, um eine möglicherweise kritische Situation im produktiven Umfeld zu beheben und weiter zu bearbeiten. Um ihn einer bestimmten Person zuzuordnen, muss ein entsprechender Workflow-Prozess gestartet werden, der eine Genehmigung beinhaltet. In der Übersicht eines solchen Antrags sind auch die jeweiligen Genehmiger zu sehen, sodass sie im Zweifel noch einmal direkt kontaktiert werden können.

 

Erst nachdem die Genehmigung erfolgt ist, kann der Anwender über SAP Access Control mit weiterführenden Berechtigungen auf das jeweilige System zugreifen. Indem die Fiori-Apps darstellen, welche Zugriffe tatsächlich passiert sind, machen sie die Vorgänge während der Firefighter-Nutzung nachvollziehbar.

 

Zusätzliche Funktionalitäten verfügbar

Mit den Fiori-Apps können Anwender noch weitere Funktionen von SAP Access Control nutzen. Die Apps bilden nahezu alle Funktionalitäten ab, die SAP Access Control im täglichen Gebrauch bietet. Dazu gehören etwa das Durchführen einer Massenpflege und das Anzeigen von Funktionstrennungskonflikten direkt in Rollen, Profilen und Usern. Die tatsächlich verfügbaren Anwendungen hängen von der Rolle des Benutzers von SAP Access Control – zum Beispiel Mitarbeiter, Konformitätsverantwortlicher, Administrator oder Sicherheitsmanager – ab. Alle Rollen können ihre Arbeit in den verschiedenen Fiori-Apps erledigen.

 

Die vielfältigen Customizing-Möglichkeiten der Fiori-Apps erleichtern den Arbeitsalltag. Die Nutzer haben die Möglichkeit festzulegen, welche Informationen angezeigt werden sollen. Je nach Bedarf lassen sich beispielsweise relevante Daten ein- oder ausblenden. Die genauen Optionen des Customizings hängen von den individuellen Anforderungen der Unternehmen ab. Daher sollten sie im Einzelfall detailliert besprochen werden.