270
Administrationsleitfaden PUBLIC (ÖFFENTLICH) 2017-07-20 SAP Access Control

SAP Access Control · 1 SAP Access Control Produktinformationen Tabelle 1: Produkt SAP Access Control Release 10.1 Basiert auf SAP NetWeaver 7.40 SP4 …

  • Upload
    lethien

  • View
    275

  • Download
    2

Embed Size (px)

Citation preview

Administrationsleitfaden PUBLIC (ÖFFENTLICH)

2017-07-20

SAP Access Control

Inhalt

1 SAP Access Control. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

2 Übersicht von Access Control. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

3 Komponentenübergreifende Themen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103.1 Profile und Anmeldungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Benutzeranmeldung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Administratoranmeldung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12Ihr Profil bearbeiten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

3.2 Integration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Integration gemeinsamer Daten (Datenmodell). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Integration von Process Control und Risk Management. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

3.3 Benutzerdefinierte Felder. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153.4 Navigation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Arbeitsplatz Meine Startseite. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Arbeitsplatz Einrichtung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Arbeitsplatz Zugriffsverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Berichte und Analysen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

3.5 Spezielle Berechtigungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .303.6 Hintergrundjobs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31

Hintergrundjob-Scheduler. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31Hintergrundjobs einplanen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

4 Zugriffsanforderungen verwalten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334.1 Anlegen einer Zugriffsanforderung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Vereinfachte Zugriffsanforderungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34Zugriffsanforderungen anlegen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Risiken beim Absenden von Zugriffsanforderungen analysieren. . . . . . . . . . . . . . . . . . . . . . . . . . . 39Rollenvorlagen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Modellbenutzerbasierte Zugriffsanforderungen anlegen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Benutzerdetails ändern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46Anforderungen kopieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Organisationszuordnungsanforderungen anlegen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

4.2 Zugriffsanforderungsgenehmigung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Zugriffsanforderungen prüfen und genehmigen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Vereinfachter Arbeitseingang. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Risiken beim Genehmigen von Zugriffsanforderungen analysieren. . . . . . . . . . . . . . . . . . . . . . . . . .51Risiken mindern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

2 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Inhalt

Aufgaben und Berechtigungen für Anforderungsgenehmigende bearbeiten. . . . . . . . . . . . . . . . . . . 544.3 Zugriffsanforderungsverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58

Vorlagen anlegen und verwalten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Anforderungen suchen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Protokolle der Rollendefinition und -zuordnung anzeigen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Kennwort-Self-Service-Benutzerkonten entsperren und löschen. . . . . . . . . . . . . . . . . . . . . . . . . . .61Genehmigendenvertretung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62Vorlagenbasierte Zugriffsanforderungen anlegen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

5 Zugriffsrisiken verwalten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655.1 Mindernde Kontrollen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

Mindernde Kontrollen suchen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 675.2 Regeleinrichtung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

Ausnahmezugriffsregeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Zugriffsregelbearbeitung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .79Kritische Zugriffsregeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .94

5.3 Zugriffsrisikoanalyse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Zugriffsrisikoanalyse auf Benutzerebene. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99Benutzerebenensimulation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102Zugriffsrisikoanalyse auf Rollenebene. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104Rollenebenensimulation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106Zugriffsrisikoanalyse auf Profilebene. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108Profilebenensimulation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109Zugriffsrisikoanalyse für HR-Objekte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111Simulation der HR-Objekte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

5.4 Risikominderung auf Zugriffsebene. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114Risikominderung auf Benutzerebene. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115Risikominderung auf Benutzerebene für Organisationsregeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . 116Risikominderung auf Rollenebene. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117Risikominderung auf Profilebene. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .118HR-Objektminderung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119Risikominderung auf Rollenebene für Organisationsregeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

5.5 Risiken beim Genehmigen von Zugriffsanforderungen analysieren. . . . . . . . . . . . . . . . . . . . . . . . . . . 1225.6 Risiken beim Absenden von Zugriffsanforderungen analysieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1245.7 Zugriffsrisiken für Rollenbearbeitung analysieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1265.8 Risiken mindern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1275.9 Alarme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

Alarme suchen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129Zurückgesetzte Alarme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

5.10 Hintergrundjobs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .133Hintergrundjob-Scheduler. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

SAP Access ControlInhalt P U B L I C ( Ö F F E N T L I C H ) 3

6 Rollen verwalten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1356.1 Hinweise zur Rollenverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

Methodik zum Anlegen von Rollen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .137Rollenbearbeitung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141Rollenanforderungen genehmigen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154Benutzerrollen neu definieren und zuordnen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155Rollensuche. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158Standardrollen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

6.2 Rollenauswertung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160Aktionsverwendung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161Rollenvergleich. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161Rollenbestätigung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

6.3 Massenpflege von Rollen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163Mehrere Rollen importieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163Mehrere Rollen aktualisieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166Organisationswerte für mehrere abgeleitete Rollen aktualisieren. . . . . . . . . . . . . . . . . . . . . . . . . .168Mehrere Rollen ableiten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169Risiko für mehrere Rollen analysieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170Mehrere Rollen generieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

7 Verwendung der Notfallzugriffsverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1727.1 NZV-Terminologie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1747.2 Notfallzugriff konfigurieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174

Auswahl der Notfallzugriffsanwendung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175ID-basiertes Firefighting konfigurieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182Rollenbasiertes Firefighting konfigurieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193Benachrichtigungen für Notfallzugriffsprotokoll konfigurieren. . . . . . . . . . . . . . . . . . . . . . . . . . . .194

7.3 Notfallzugriff anfordern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1957.4 Zugriffsanforderungen prüfen und genehmigen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1967.5 Gültigkeitszeiträume für Firefighter-Zuordnungen verlängern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1977.6 Systemzugriff zum Ausführen von Firefighting-Aktivitäten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .198

Verwendung des Launchpads für die Notfallzugriffsverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . 1997.7 Notfallzugriffsaktivitäten und -berichte prüfen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201

8 Periodische Zugriffsprüfungen verwalten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2028.1 Prüfungen der Konformitätszertifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203

Koordinatoren verwalten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .203Anforderungen prüfen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .207Ablehnungen verwalten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .208

8.2 Alarme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210Alarme suchen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211Zurückgesetzte Alarme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212

4 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Inhalt

9 Berichte und Analysen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2169.1 Zugriffs-Dashboards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216

Dashboard zur Rollendefinition und -zuordnung für Zugriff. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218Dashboard für Zugriffsanforderungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219Dashboard der Zugriffsregelbibliothek. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220Dashboard für Alarme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .220Dashboard für Bibliothek der mindernden Kontrollen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221Dashboard für Risikoüberschreitungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222Dashboard zur Rollenanalyse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .224Dashboard der Rollenbibliothek. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225Dashboard für Servicegrad für Zugriffsanforderungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226Dashboard zur Benutzeranalyse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .227Dashboard für Überschreitungsvergleiche. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228Dashboard für Risikoüberschreitung in Zugriffsanforderung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229

9.2 Berichte der Zugriffsrisikoanalyse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230Bericht der Zugriffsregelübersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230Bericht für Zugriffsregeldetails. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231Bericht der Risikominderung auf Objektebene. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232Risikoüberschreitungsbericht für HR-Objekte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233Bericht der mindernden Kontrollen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .234Risikoüberschreitungsbericht für Profile. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235Risikoüberschreitungsbericht für Rollen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236Risikoüberschreitungsbericht für Benutzer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238

9.3 Zugriffsanforderungsberichte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239Bericht zur Genehmigendenvertretung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .240Anforderungen nach PD-/strukturellen Profilen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240Bericht zu Anforderungen nach Rollen und Rollenzuordnungsgenehmigenden. . . . . . . . . . . . . . . . 241Bericht zu Anforderungen mit Konflikten und Minderungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242Bericht zu Servicegrad für Anforderungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243Funktionstrennungsprüfung:Historienbericht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244Bericht zur Historie der Benutzerzugriffsprüfung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .245Statusbericht der Benutzerprüfung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246

9.4 Rollenverwaltungsberichte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247Bericht zum Vergleich der Aktion in Menü und Berechtigung. . . . . . . . . . . . . . . . . . . . . . . . . . . . 248Bericht zum Vergleich von Benutzerrollen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248Bericht zum Auflisten von Aktionen in Rollen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249Bericht zur Beziehung zwischen Stammrolle und abgeleiteter Rolle. . . . . . . . . . . . . . . . . . . . . . . 250Bericht zur PFCG-Änderungshistorie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251Bericht zu Rollen nach Generierungsdatum. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .252Bericht zu Beziehung von Einzel- zu Sammelrolle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253Bericht zu Beziehung zwischen Benutzer und Rolle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253

SAP Access ControlInhalt P U B L I C ( Ö F F E N T L I C H ) 5

Bericht zu Rollenbeziehung mit Benutzer/Benutzergruppe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2549.5 Sicherheitsberichte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255

Bericht zur Aktionsverwendung nach Benutzer, Rolle und Profil. . . . . . . . . . . . . . . . . . . . . . . . . . 255Bericht zur Anzahl der Benutzerberechtigungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256Bericht zur Anzahl der Rollenberechtigungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257Bericht für abgelaufene und ablaufende Rollen für Benutzer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257

9.6 Revisionsberichte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258Änderungsprotokollbericht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258Bericht zu eingebetteten Aktionsaufrufen in Programmen des SAP-Systems. . . . . . . . . . . . . . . . . 259Bericht zur Auflistung von Aktionen in Rollen, aber nicht in Regeln. . . . . . . . . . . . . . . . . . . . . . . . 260Bericht zur Auflistung von Berechtigungen in Rollen, aber nicht in Regeln. . . . . . . . . . . . . . . . . . . .261

9.7 Berichte der Notfallzugriffsverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .262Konsolidierter Protokollbericht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262Firefighter-Protokollzusammenfassung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264Bericht für ungültigen Notfallzugriff. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264Ursachencode- und Aktivitätsbericht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265Funktionstrennungskonflikt-Bericht für Firefighter-IDs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266Bericht zu Transaktionsprotokoll und Sitzungsdetails. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267

9.8 Protokollbericht des Risikoterminators. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268

6 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Inhalt

1 SAP Access Control

Produktinformationen

Tabelle 1:

Produkt SAP Access Control

Release 10.1

Basiert auf SAP NetWeaver 7.40 SP4

Dokumentation veröffentlicht November 2013

Verwendung

SAP Access Control ist eine Unternehmenssoftwareanwendung, mit der Organisationen Zugriffe kontrollieren und Betrug unternehmensweit verhindern können sowie gleichzeitig den Zeitaufwand und die Kosten der Konformität minimieren können.

SAP Access ControlSAP Access Control P U B L I C ( Ö F F E N T L I C H ) 7

2 Übersicht von Access Control

SAP Access Control ist eine Unternehmenssoftwareanwendung, mit der Organisationen ihre Richtlinien für die Unternehmensführung verwalten und ihre Konformität überwachen können.

SAP Access Control ist ein Add-On zu SAP NetWeaver und arbeitet mit SAP-Anwendungen und Nicht-SAP-Anwendungen, wie SAP Finance, SAP Sales and Distribution, Oracle und JDE.

Die Anwendung stellt ein Framework zur Verwaltung der Berechtigungsfunktionen der Anwendung bereit, z.B.:

Zugriffsanforderungen (ZAF) – Sie können die Richtlinien Ihres Unternehmens für das Anlegen und Verwalten von Zugriffsanforderungen implementieren. Benutzer können Zugriffsanforderungen für Systeme und Anwendungen anlegen. Genehmigende können diese Anforderungen prüfen, eine Analyse für Benutzerzugriffs- und Funktionstrennungsrisiken durchführen, und anschließend die Anforderungen genehmigen, ablehnen oder modifizieren.

Zugriffsrisikoanalyse (ZRA) – Sie können die Richtlinien Ihres Unternehmens für Funktionstrennungs- und Benutzerzugriffsrisiken implementieren. Sicherheitsanalysten und Geschäftsprozessverantwortliche können Berichte ausführen, um festzustellen, ob Überschreitungen der Funktionstrennungs- und Benutzerzugriffsrichtlinien aufgetreten sind. Sie können die Ursache der Überschreitungen ermitteln und die Risiken beheben.

Konformitätsmitarbeiter können diese Funktion verwenden, um die Konformität mit den Unternehmensrichtlinien zu überwachen.

Benutzerrollenverwaltung (BRV) – In einer SAP-Landschaft werden die Benutzerberechtigungen für Anwendungen mittels Rollen verwaltet. Rollengestalter, Rollenverantwortliche und Sicherheitsanalysten können die BRV verwenden, um Rollen zu bearbeiten und auf Überschreitungen der Unternehmensrichtlinien hin zu analysieren.

Notfallzugriffsverwaltung (EAM) – Sie können Ihre Unternehmensrichtlinien für die Verwaltung des Notfallzugriffs implementieren. Benutzer können Anforderungen für den Notfallzugriff auf Systeme und Anwendungen per Self-Service anlegen. Geschäftsprozessverantwortliche können Anforderungen für den Notfallzugriff prüfen und den Zugriff genehmigen. Konformitätsmitarbeiter können periodische Revisionen der Verwendungen und Protokolle durchführen, um die Konformität mit den Unternehmensrichtlinien zu überwachen.

Periodische Prüfungen des Benutzerzugriffs und der Funktionstrennung (FT) – Mit dieser Anwendung können Sie Ihre Unternehmensrichtlinien bei periodischen Konformitätsprüfungen ausführen. Sicherheits- und Geschäftsprozessverantwortliche ermitteln Richtlinien, die periodische Prüfungen erfordern, und definieren die Prüfungsprozesse. Prüfer führen die Prüfungen aus und anschließend ermitteln Sicherheits- und Geschäftsprozessverantwortliche, ob Korrekturmaßnahmen erforderlich sind.

8 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Übersicht von Access Control

Abbildung 1: Workflow gemäß Access-Control-Benutzer

SAP Access ControlÜbersicht von Access Control P U B L I C ( Ö F F E N T L I C H ) 9

3 Komponentenübergreifende Themen

SAP Access Control deckt verschiedene Berechtigungsfunktionen, wie Zugriffsanforderungen, Zugriffsrisikoanalyse, Benutzerrollenverwaltung, Notfallzugriffsverwaltung sowie periodische Prüfungen von Benutzerzugriff und Funktionstrennung (FT) ab. Dieser Abschnitt der Anwendungshilfe beinhaltet Themen, die auf mehr als einen Bereich zutreffen, z.B.:

● Profile und Anmeldungen [Seite 10]● Integration [Seite 13]● Benutzerdefinierte Felder [Seite 15]● Navigation [Seite 15]● Spezielle Berechtigungen [Seite 30]●

3.1 Profile und Anmeldungen

Verwendung

Die Themen in diesem Bereich befassen sich mit der Verwaltung von Benutzer- und Administratoranmeldungen sowie mit der Verwaltung von Benutzerprofilen.

Weitere Informationen

Benutzeranmeldung [Seite 10]

Administratoranmeldung [Seite 12]

Ihr Profil bearbeiten [Seite 12]

3.1.1 Benutzeranmeldung

Verwendung

Auf dem Bild Benutzeranmeldung können Sie Nicht-Administrator-Aufgaben zur Rollendefinition und -zuordnung durchführen, wie z. B. das Anlegen von Zugriffsanforderungen und das Verwalten Ihres Kennworts.

Um auf das Bild der Benutzeranmeldung zuzugreifen, verwenden Sie den von Ihrem Administrator bereitgestellten Link. Weitere Informationen finden Sie unter Benutzeranmeldung verwalten [Seite 11].

10 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Komponentenübergreifende Themen

HinweisSie benötigen kein Benutzerkonto im System von SAP Access Control, um die Benutzeranmeldung zu verwenden.

Voraussetzungen

Sie haben die Benutzeranmeldung in der Customizing-Aktivität Benutzeranmeldung aktivieren unter Governance, Risk, and Compliance Access Control Benutzererstellung aktiviert.

Weitere Informationen

Administratoranmeldung [Seite 12]

3.1.1.1 Benutzeranmeldung verwalten

Verwendung

In der Anwendung können Sie die folgenden Funktionen der Benutzeranmeldung aktivieren und deaktivieren:

● Benutzeranmeldung● Auf dem Bild Benutzeranmeldung angezeigte Links● Kennworteingabepflicht für Benutzer

Vorgehensweise

Gehen Sie zum Aktivieren und Deaktivieren der Benutzeranmeldung und zum Einstellen der auf dem Bild Benutzeranmeldung angezeigten Links wie folgt vor:

1. Melden Sie sich im Backend von Access Control an und rufen Sie die Transaktion SPRO auf.

2. Öffnen Sie die Customizing-Aktivität Benutzeranmeldung aktivieren unter Governance, Risk, and Compliance Access Control Benutzererstellung .

3. Bearbeiten Sie die Einstellungen nach Bedarf und sichern Sie den Eintrag.

Um die Kennwortpflicht zu aktivieren und deaktivieren, gehen Sie wie folgt vor:

1. Melden Sie sich im Backend von Access Control an und rufen Sie die Transaktion SPRO auf.

2. Öffnen Sie die Customizing-Aktivität Konfiguration der Datenquellen bearbeiten unter Governance, Risk, and Compliance Access Control .

SAP Access ControlKomponentenübergreifende Themen P U B L I C ( Ö F F E N T L I C H ) 11

3. Doppelklicken Sie auf Benutzerverifizierung.4. Wählen Sie im Feld Authentifizier. wie erforderlich Ja oder Nein und sichern Sie Ihren Eintrag.

Weitere Informationen

3.1.2 Administratoranmeldung

Verwendung

Sie verwenden die Administratoranmeldung, um Administratoraufgaben wie die Verwaltung von Zugriffsanforderungen, die Verwaltung von Zugriffsrisiken, die Bearbeitung von Rollen und die Ausführung von Notfallzugriffs- und Firefighter-Aufgaben durchzuführen.

Die Anwendung bietet bei der Administratoranmeldung zwei Optionen:

● NetWeaver Business Client (NWBC)Um auf die NWBC-Anmeldung zuzugreifen, melden Sie sich über das SAP Graphical User Interface (SAP GUI) im Access-Control-System an und rufen Sie die Transaktion NWBC auf.

● PortalUm auf die Portalanmeldung zuzugreifen, verwenden Sie den vom Administrator bereitgestellten Link.

Weitere Informationen

Benutzeranmeldung [Seite 10]

3.1.3 Ihr Profil bearbeiten

Kontext

Auf dem Bild Mein Profil haben Sie die folgenden Möglichkeiten:

● Status Ihres Zugriffs anzeigenSie können die Liste nach den folgenden Status filtern: Ablaufend, Abgelaufen, Aktiv, Inaktiv und Alle.

12 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Komponentenübergreifende Themen

● Gültigkeitszeitraum für Ihren Zugriff anzeigen● Zugriffsart in der Spalte Position anzeigen, z.B. abgeleitete Rolle, Einzelrolle, Profil oder System● Namen des Systems anzeigen● Zuordnung anzeigen

Bei der Zugriffsart Rolle zeigt das Feld Zuordnung den Namen der Rolle an. Bei der Zugriffsart System zeigt das Feld Zuordnung den Namen des Systems an.

● Informationen Ihres Profils, wie Identität, Kommunikation, Organisation und Ort anzeigen

HinweisDie Informationen in diesem Bereich sind schreibgeschützt. Die Informationen werden im Quellsystem der Benutzerdaten bearbeitet.

● Zugriffsanforderungen für Sie selbst oder für einen anderen Benutzer anlegen oder ändern

Vorgehensweise

1. Wählen Sie im Arbeitsplatz Meine Startseite den Quick Link Mein Profil.

HinweisWenn Sie die Benutzeranmeldung verwenden, wählen Sie auf dem Bild Benutzerstartseite den Quick Link Mein Profil.

2. Um die Liste nach dem Status zu filtern, wählen Sie die Dropdown-Box Status und wählen Sie dann den relevanten Status aus.

3. Um die Zugriffsanforderung für eine vorhandene Zuordnung anzulegen oder zu ändern, markieren Sie in der (ersten) Spalte Markieren das Ankreuzfeld für die relevanten Positionen und wählen Sie Zugriff anfordern.

Um eine Zugriffsanforderung für eine neue oder nicht in Ihrer Liste vorhandene Zuordnung anzulegen, wählen Sie Zugriff anfordern, ohne Positionen zu markieren.

3.2 Integration

Verwendung

Wichtige Informationen zur Integration

Die Prozesse und die Benutzungsoberfläche von folgenden Produkten sind miteinander verknüpft:

● SAP Access Control● SAP Process Control● SAP Risk Management

Damit Sie auf die Funktionen und die Dokumentation dieser Produkte zugreifen können, müssen Sie die entsprechenden Nutzungsrechte erworben und die Produkte installiert haben.

SAP Access ControlKomponentenübergreifende Themen P U B L I C ( Ö F F E N T L I C H ) 13

● SAP Access Control 10.1, Juni 2013, SAP NetWeaver 7.40 Support Package 02● SAP Process Control 10.1, Juni 2013, SAP NetWeaver 7.40 Support Package 02● SAP Risk Management 10.1, Juni 2013, SAP NetWeaver 7.40 Support Package 02

Weitere Informationen

Integration gemeinsamer Daten (Datenmodell) [Seite 14]

Integration von Process Control und Risk Management [Seite 14]

3.2.1 Integration gemeinsamer Daten (Datenmodell)

Verwendung

SAP Access Control, SAP Process Control und SAP Risk Management können folgende Daten gemeinsam verwenden:

● Organisationen können optional in SAP Access Control, SAP Process Control und SAP Risk Management gemeinsam verwendet werden. Einige Organisationsdaten können gemeinsam verwendet werden, während andere Daten für eine Anwendung spezifisch sein können. Der Zugriff auf diese Daten wird durch die Berechtigungen des Benutzers gesteuert.

● Kontrollen können in SAP Access Control und SAP Process Control gemeinsam verwendet werden. Es gibt anwendungsspezifische Informationen für die Anwendungen SAP Access Control und SAP Process Control. Der Zugriff auf diese Daten wird durch die Berechtigungen des Benutzers gesteuert.

● Sie können UI-Eigenschaften von Attributen (Feldern) als anwendungsspezifisch konfigurieren.

Weitere Informationen

Sicherheitsleitfaden für SAP Access Control 10.1, Process Control 10.1 und Risk Management 10.1 unter http://help.sap.com/grc-ac

3.2.2 Integration von Process Control und Risk Management

Verwendung

Die Anwendungen SAP Access Control, SAP Process Control und SAP Risk Management haben gemeinsame Funktionen und Menübereiche, die sich auf beziehen.

14 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Komponentenübergreifende Themen

Voraussetzungen

● Sie haben die GRC-Anwendung über die Customizing-Aktivitäten (Transaktion SPRO) konfiguriert.● Sie haben die GRC-Anwendung gestartet.

Funktionsumfang

SAP Access Control und SAP Process Control verfügen über einen Integrationspunkt, über den Sie die Risikoanalyse von SAP Access Control aus SAP Process Control heraus initiieren können.

3.3 Benutzerdefinierte Felder

Verwendung

Benutzerdefinierte Felder sind alle Felder, die Sie der Anwendung hinzufügen. Sie werden auch als kundeneigene Felder bezeichnet. SAP liefert mit der Anwendung ein Standardset an Feldern aus. Ihr Unternehmen erfordert unter Umständen Felder, die nicht Bestandteil des ausgelieferten Sets sind.

Sie bearbeiten Ihre benutzerdefinierten Felder in der Customizing-Aktivität Benutzerdefinierte Felder unter Governance, Risk, and Compliance Allgemeine Einstellungen .

Funktionsumfang

Die Anwendung verfügt über die folgenden Funktionen zum Bearbeiten der benutzerdefinierten Felder:

● Hinzufügen von benutzerdefinierten HR-Feldern● Hinzufügen von benutzerdefinierten Nicht-HR-Feldern● Verifizieren von benutzerdefinierten Feldern● Bearbeiten von benutzerdefinierten Feldern in der Web-Benutzungsoberfläche● Einbinden von benutzerdefinierten Feldern im Online Reporting

3.4 Navigation

Die Hauptfunktionen der Anwendung sind in Arbeitsplätzen gruppiert. Die Arbeitsplätze werden im oberen Bereich der Hauptbilder angezeigt. Sie sind so organisiert, dass sie einen einfachen Zugriff auf die Anwendungsaktivitäten ermöglichen, und enthalten Menügruppen sowie Links zu weiteren Aktivitäten.

SAP Access ControlKomponentenübergreifende Themen P U B L I C ( Ö F F E N T L I C H ) 15

Die wichtigsten ausgelieferten Arbeitsplätze sind:

● Meine Startseite● Einrichtung● Zugriffsverwaltung● Berichte und Analysen

Hinweis● SAP Access Control ist als eigenständige Anwendung oder als Integration in der SAP-Lösung für

Governance, Risk, and Compliance verfügbar. Die Arbeitsplätze der eigenständigen Anwendung SAP Access Control unterscheiden sich von den Arbeitsplätzen für die SAP-Lösung für Governance, Risk, and Compliance (GRC). Der einzige Unterschied besteht in der Bildanordnung; die Funktionen in der Anwendung sind identisch.

● Die Anwendung stellt ein Standardset an Arbeitsplätzen zur Verfügung. Ihre Systemadministration kann sie jedoch gemäß den internen Strukturen Ihrer Organisation anpassen. Abhängig von dem Produkt oder den Produkten, die Sie lizenziert haben, werden unterschiedliche Bereiche der Anwendung angezeigt (SAP Access Control, SAP Process Control, SAP Risk Management).

3.4.1 Arbeitsplatz Meine Startseite

Verwendung

Der Arbeitsplatz Meine Startseite stellt einen zentralen Punkt zum Anzeigen und Bearbeiten Ihrer zugeordneten Aufgaben und aufrufbaren Objekte bereit.

Der Arbeitsplatz Meine Startseite enthält die folgenden Bereiche:

● ArbeitseingangHier können Sie alle Ihnen zugeordneten GRC-Workflow-Aufgaben anzeigen.

● Meine VertretungHier können Sie die temporäre Genehmigung Ihrer Workflow-Aufgaben an eine andere Person delegieren.

● Hilfe zur AnwendungHier können Sie auf die Anwendungshilfe der GRC-Anwendungen zugreifen.

● Mein ProfilHier können Sie Ihre Zugriffsanforderungen anlegen und nachverfolgen, Ihre Zugriffszuordnungen anzeigen und Ihre Sicherheitseinstellungen verwalten.

HinweisDer Arbeitsplatz Meine Startseite wird von den Produkten Access Control, Process Control und Risk Management in der Anwendung GRC 10.0 gemeinsam genutzt. Die auf dem Bild verfügbaren Menügruppen und Quick Links hängen von den Anwendungen ab, für die Sie Nutzungsrechte erworben haben. Dieses Thema behandelt die für Access Control spezifischen Funktionen. Wenn Sie Nutzungsrechte für zusätzliche Produkte, wie Process Control oder Risk Management, erworben haben, finden Sie Informationen zu den anwendungsspezifischen Funktionen unten in den jeweiligen Themen.

16 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Komponentenübergreifende Themen

Weitere Informationen

● Arbeitseingang [Seite 17]● Ihre Genehmigungsaufgaben delegieren [Seite 18]● Mein Profil [Seite 19]

3.4.1.1 Arbeitseingang

Verwendung

Der Arbeitseingang führt die Aufgaben auf, die Sie unter Verwendung der GRC-Anwendungen bearbeiten müssen.

Aktivitäten

Wählen Sie zum Bearbeiten einer Aufgabe einen Hyperlink in der Tabelle. Das entsprechende Workflow-Fenster wird angezeigt. Bearbeiten Sie sie Aufgabe wie erforderlich.

Die Standardsicht zeigt die Spalten an.

Wählen Sie zum Ändern der angezeigten Spalten Einstellungen, bearbeiten Sie die Spalten wie erforderlich und sichern Sie die Ansicht.

Die neue Ansicht wird in der Dropdown-Box Ansicht angezeigt.

3.4.1.2 Vereinfachter Arbeitseingang

Verwendung

Über den vereinfachten Arbeitseingang können Sie die Zugriffsanforderungen anzeigen, die genehmigt werden müssen.

HinweisSie können Zugriffsanforderungen auch über den regulären Arbeitseingang bearbeiten. Weitere Informationen finden Sie unter Arbeitseingang [Seite 17].

SAP Access ControlKomponentenübergreifende Themen P U B L I C ( Ö F F E N T L I C H ) 17

Vorgehensweise

Verwenden Sie die unten beschriebene Vorgehensweise, um bestimmte Anforderungen zu finden:

1. Verwenden Sie den Slider oder die Eingabefelder zum Auswählen eines bestimmten Datums oder eines Datumsbereichs für Anforderungen, die Sie bearbeiten möchten.

2. Optional können Sie zur Eingrenzung der Suche eine Kategorie, wie Neues Benutzerkonto, auswählen.3. Optional können Sie die Anzahl der angezeigten Ergebnisse pro Seite auswählen.4. Optional können Sie ein Sortierkriterium, wie Anforderungsnummer oder Angefordert von, auswählen.

Das System ruft alle Ihren Kriterien entsprechenden Anforderungen ab.5. Klicken Sie auf eine Anforderungsnummer, um die zugehörigen Details anzuzeigen. Klicken Sie optional auf

das Flaggensymbol, um eine Anforderung zur Nachverfolgung zu markieren.

HinweisIhre Systemadministration muss Ihr System so konfigurieren, dass Sie die Prozesse der vereinfachten Zugriffsanforderung verwenden können. Weitere Informationen finden Sie im Installationsleitfaden für SAP Access Control 10.1, SAP Process Control 10.1 und SAP Risk Management 10.1 unter http://service.sap.com/instguides .

3.4.1.3 Ihre Genehmigungsaufgaben delegieren

Verwendung

Auf dem Bild Genehmigendenvertretung können Sie Ihre Aufgabe zur Genehmigung einer Anforderung einem anderen Benutzer zuordnen.

Vorgehensweise

1. Wählen Sie im Arbeitsplatz Meine Startseite unter der Menügruppe Meine Vertretung die Option Genehmigendenvertretung.Sie gelangen auf das Bild Genehmigendenvertretung.

2. Wählen Sie Vertreter, um einen Benutzer auszuwählen.Sie gelangen auf das Bild Details des vertretenden Genehmigenden.

3. Wählen Sie in den relevanten Feldern die ID für den Genehmigenden, den Gültigkeitszeitraum und den Status des Genehmigenden aus.

4. Wählen Sie Sichern.

Informationen über die Fähigkeit eines Administrators, Genehmigungsaufgaben einem anderen Benutzer neu zuzuordnen, finden Sie unter .

18 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Komponentenübergreifende Themen

3.4.1.4 Mein Profil

Verwendung

Mithilfe von Mein Profil können Sie Ihre Zugriffsanforderungen anlegen und nachverfolgen, Ihre Zugriffszuordnungen anzeigen und Ihre Sicherheitseinstellungen verwalten

Aktivitäten

● Ihr Profil bearbeiten● Ihren Anforderungsstatus anzeigen● Benutzerkennwörter zurücksetzen● Benutzernamen ändern● Sicherheitsfragen registrieren● Zugriffsanforderungen anlegen

3.4.1.4.1 Ihr Profil bearbeiten

Kontext

Auf dem Bild Mein Profil haben Sie die folgenden Möglichkeiten:

● Status Ihres Zugriffs anzeigenSie können die Liste nach den folgenden Status filtern: Ablaufend, Abgelaufen, Aktiv, Inaktiv und Alle.

● Gültigkeitszeitraum für Ihren Zugriff anzeigen● Zugriffsart in der Spalte Position anzeigen, z.B. abgeleitete Rolle, Einzelrolle, Profil oder System● Namen des Systems anzeigen● Zuordnung anzeigen

Bei der Zugriffsart Rolle zeigt das Feld Zuordnung den Namen der Rolle an. Bei der Zugriffsart System zeigt das Feld Zuordnung den Namen des Systems an.

● Informationen Ihres Profils, wie Identität, Kommunikation, Organisation und Ort anzeigen

HinweisDie Informationen in diesem Bereich sind schreibgeschützt. Die Informationen werden im Quellsystem der Benutzerdaten bearbeitet.

● Zugriffsanforderungen für Sie selbst oder für einen anderen Benutzer anlegen oder ändern

SAP Access ControlKomponentenübergreifende Themen P U B L I C ( Ö F F E N T L I C H ) 19

Vorgehensweise

1. Wählen Sie im Arbeitsplatz Meine Startseite den Quick Link Mein Profil.

HinweisWenn Sie die Benutzeranmeldung verwenden, wählen Sie auf dem Bild Benutzerstartseite den Quick Link Mein Profil.

2. Um die Liste nach dem Status zu filtern, wählen Sie die Dropdown-Box Status und wählen Sie dann den relevanten Status aus.

3. Um die Zugriffsanforderung für eine vorhandene Zuordnung anzulegen oder zu ändern, markieren Sie in der (ersten) Spalte Markieren das Ankreuzfeld für die relevanten Positionen und wählen Sie Zugriff anfordern.

Um eine Zugriffsanforderung für eine neue oder nicht in Ihrer Liste vorhandene Zuordnung anzulegen, wählen Sie Zugriff anfordern, ohne Positionen zu markieren.

3.4.1.4.2 Ihren Anforderungsstatus anzeigen

Kontext

Sie können über den Quick Link Anforderungsstatus den Status für von Ihnen angelegte Zugriffsanforderungen anzeigen. Die Anforderungen können für Sie oder für eine andere Person sein.

Vorgehensweise

1. Wählen Sie im Arbeitsplatz Meine Startseite unter der Menügruppe Mein Profil die Option Anforderungsstatus.

HinweisSie können auch folgendermaßen auf diese Funktion zugreifen: Wählen Sie im Arbeitsplatz Zugriffsverwaltung unter der Menügruppe Zugriffsanforderung die Option Anforderungsstatus.

Sie gelangen auf das Bild Anforderungsstatus.2. Um Ihre Anforderungen nach dem Status zu sortieren, wählen Sie im Abschnitt des Anforderungsstatus einen

der verfügbaren Status: Genehmigt, Abgelehnt, Entscheidung ausstehend oder Zurückstellen.3. Um Workflow-Informationen anzuzeigen, wählen Sie eine Anforderung aus und wählen Sie Instanzstatus.

Sie gelangen auf das Bild MSMP-Instanzstatus, das Informationen zur Anforderung anzeigt, wie z. B. Angelegt von, Erstellungsdatum, Pfadstatus, Genehmigende des ausgewählten Pfads und Revisionsprotokoll.

20 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Komponentenübergreifende Themen

HinweisDie Informationen auf diesem Bild sind schreibgeschützt und können nicht geändert werden.

4. Zum Öffnen einer Zugriffsanforderung, markieren Sie die Anforderung und öffnen Sie sie. Abhängig vom Status der Anforderung können Sie die Anforderung bearbeiten. Sie haben z. B. eine Anforderung zum Anlegen einer Minderungszuordnung. Sie können eine Kontrolle dafür anlegen. Wenn die Anforderung aussteht, sind die Drucktasten jedoch deaktiviert.

5. Um Protokolle anzuzeigen, markieren Sie die Anforderung und wählen Sie anschließend Protokolle der Rollendefinition und -zuordnung anzeigen.

3.4.1.4.3 Benutzerkennwörter zurücksetzen

Voraussetzungen

● Der Administrator hat die Option für Kennwort-Self-Service in der Customizing-Aktivität Kennwort-Self-Service bearbeiten unter Governance, Risk, and Compliance Access Control Benutzererstellungeingerichtet.

● Sie haben Ihre Sicherheitsfragen registriert. Weitere Informationen finden Sie unter .

Kontext

Auf dem Bild Kennwort zurücksetzen können Sie Ihre Benutzerkennwörter für bestimmte Systeme bearbeiten.

Vorgehensweise

1. Wählen Sie auf dem Bild Meine Startseite den Quick Link Kennwort zurücksetzen, um das Bild Kennwort zurücksetzen zu öffnen.

HinweisWenn Sie die Benutzeranmeldung verwenden, wählen Sie auf dem Bild Benutzerstartseite den Quick Link Kennwort-Self-Service.

2. Beantworten Sie die Sicherheitsfragen und wählen Sie dann Weiter.

HinweisDer Administrator kann die Anforderung einstellen, dass eine Mindestanzahl an Fragen beantwortet werden muss. Er kann z. B. festlegen, dass mindestens drei Sicherheitsfragen bereitgestellt werden

SAP Access ControlKomponentenübergreifende Themen P U B L I C ( Ö F F E N T L I C H ) 21

müssen, damit das Zurücksetzen von Kennwörtern möglich ist. Weitere Informationen finden Sie in der Customizing-Aktivität Kennwort-Self-Service bearbeiten unter Governance, Risk, and ComplianceAccess Control Benutzererstellung .

3. Wählen Sie Hinzufügen, um die Systeme auszuwählen, für die Sie Ihr Benutzerkennwort ändern möchten.

Das Bild zeigt alle Systeme an, für die Sie ein gültiges Benutzerkonto haben. Wählen Sie die relevanten Systeme aus und wählen Sie OK.

4. Wählen Sie Absenden und schließen Sie das Bild.

Die Anwendung sendet den Link zu einem neuen temporären Kennwort per E-Mail an Sie. Für jedes System stellt die Anwendung einen separaten Link bereit. Mit dem temporären Kennwort können Sie sich im System anmelden und das Kennwort ändern.

HinweisAus Sicherheitsgründen kann der Link zum temporären Kennwort nur einmal verwendet werden. Sie können den Zeitraum (in Sekunden) festlegen, in dem das Kennwort sichtbar ist. Die Einstellung bearbeiten Sie in der Customizing-Aktivität Einstellungen der Rollendefinition und -zuordnung bearbeiten unter

Governance, Risk, and Compliance Access Control Benutzererstellung .

3.4.1.4.4 Benutzernamen ändern

Kontext

Auf dem Bild Namensänderung können Sie Ihren Benutzernamen für bestimmte Systeme ändern.

Vorgehensweise

1. Wählen Sie auf dem Bild Meine Startseite den Quick Link Namensänderung.

HinweisWenn Sie die Benutzeranmeldung verwenden, wählen Sie auf dem Bild Benutzerstartseite den Quick Link Namensänderung.

2. Beantworten Sie die Sicherheitsfragen, und wählen Sie Weiter.3. Geben Sie in den jeweiligen Feldern die alte Benutzer-ID und die neue Benutzer-ID ein und wählen Sie Weiter.4. Wählen Sie Hinzufügen und wählen Sie die Systeme aus, für die Sie Ihren Benutzernamen ändern möchten.5. Geben Sie in der Spalte Kennwort das Benutzerkennwort für jedes System ein.6. Wählen Sie Absenden.

22 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Komponentenübergreifende Themen

3.4.1.4.5 Sicherheitsfragen registrieren

Voraussetzungen

Der Administrator hat die Option für Kennwort-Self-Service in der Customizing-Aktivität Kennwort-Self-Service bearbeiten unter Governance, Risk, and Compliance Access Control Benutzererstellung eingerichtet.

Kontext

Auf dem Bild Sicherheitsfragen können Sie die Sicherheitsfragen bearbeiten, die beim Zurücksetzen Ihrer Benutzerkennwörter zum Bestätigen Ihrer Identität verwendet werden.

Vorgehensweise

1. Wählen Sie auf dem Bild Meine Startseite den Quick Link Sicherheitsfragen registrieren, um das Bild Sicherheitsfragen zu öffnen.

HinweisWenn Sie die Benutzeranmeldung verwenden, wählen Sie auf dem Bild Benutzerstartseite den Quick Link Self-Service-Fragen registrieren.

2. Wählen Sie Hinzufügen, um Ihre Sicherheitsfragen anzulegen.○ Um eigene Fragen hinzuzufügen, wählen Sie Benutzerdefinierte Fragen.○ Um vom Administrator bereitgestellte Fragen hinzuzufügen, wählen Sie AdminDefinierte Fragen.

3. Um eine Sicherheitsfrage zu deaktivieren und in Ihrer Liste zu behalten, wählen Sie Status und Inaktiv.4. Bearbeiten Sie die Sicherheitsfragen nach Bedarf und wählen Sie Sichern und Schließen.

3.4.1.4.6 Zugriffsanforderungen anlegen

Verwendung

Auf dem Bild Zugriffsanforderung können Sie Zugriffsanforderungen für sich selbst, für einen anderen Benutzer oder für mehrere Benutzer anlegen.

SAP Access ControlKomponentenübergreifende Themen P U B L I C ( Ö F F E N T L I C H ) 23

Voraussetzungen

Der Administrator hat die Aktivitäten für die Customizing-Aktivität Einstellungen der Rollendefinition und -zuordnung bearbeiten unter Governance, Risk, and Compliance Access Control Benutzererstellungfertiggestellt.

Vorgehensweise

1. Wählen Sie im Arbeitsplatz Zugriffsverwaltung unter der Menügruppe Zugriffsanforderungen die Option Anlegen von Zugriffsanforderungen.

Hinweis○ Wenn Sie die Benutzeranmeldung verwenden, wählen Sie Zugriffsanforderung auf dem Bild

Benutzerstartseite.

2. Geben Sie im Bereich Anforderungsdetails die erforderlichen Informationen in den Feldern ein:

Tabelle 2:

Feld Beschreibung

Anforderungsart Beispiele: Neues Benutzerkonto, Benutzerkonto ändern, Superuser-Zugriff usw.

Sie können die Liste der verfügbaren Anforderungsarten in der Customi­

zing-Aktivität Anforderungsart definieren unter Governance, Risk, and

Compliance Access Control Benutzererstellung bearbeiten.

Anforderung für Für das Anlegen einer Anforderung stehen Ihnen folgende Optionen zur Ver­fügung:

○ Selbst, um eine Anforderung für Sie selbst anzulegenDas Feld Benutzer ist inaktiv und zeigt Ihre Benutzer-ID an.

○ Andere, um eine Anforderung für einen anderen Benutzer anzulegenDas Feld Benutzer ist aktiv, und Sie können den Namen des Benutzers auswählen.

○ Mehrere, um eine Anforderung für mehrere Benutzer anzulegenDie Anwendung zeigt die Registerkarte Benutzer an, und Sie können mehrere Benutzer auswählen. Wählen Sie Hinzufügen, um jeden Benut­zer manuell hinzuzufügen, oder wählen Sie Importieren, um eine Vor­lage zum Import mehrerer Benutzer zu verwenden.

Priorität Beispiele: Hoch, Niedrig usw.

Sie können die Liste der verfügbaren Prioritäten in der Customizing-Aktivi­

tät Prioritätskonfiguration bearbeiten unter Governance, Risk, and

Compliance Access Control Benutzererstellung bearbeiten.

24 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Komponentenübergreifende Themen

Feld Beschreibung

Geschäftsprozess Beispiele: HR und Personalabrechnung, Finanzwesen usw.

Sie können die Liste der verfügbaren Geschäftsprozesse in der Customi­zing-Aktivität Geschäftsprozesse und -teilprozesse bearbeiten unter

Governance, Risk, and Compliance Access Control bearbeiten.

Funktionsbereich Beispiele: Verkauf, Personal usw.

Sie können die Liste der verfügbaren Funktionsbereiche in der Customizing-

Aktivität Funktionsbereiche bearbeiten unter Governance, Risk, and

Compliance Access Control Rollenverwaltung bearbeiten.

3. Wählen Sie auf der Registerkarte Benutzerzugriff über die folgenden Optionen die zuzuordnenden Rollen und die Systeme aus, für die Sie den Zugriff anfordern:○ Wählen Sie Hinzufügen und wählen Sie eine der folgenden Optionen:

○ Rolle○ Klicken Sie Hinzufügen und anschließend Rolle, um nach den gewünschten Rollen zu suchen.

Nachdem das System die Ergebnisse Ihrer Suche ausgibt, können Sie einen Rollennamen klicken, um weitere Details zur Rolle, wie Aktionen, die für eine Sammelrolle gültig sind, anzuzeigen.

○ Wenn Sie eine Benutzerrolle auswählen, können Sie die Umgebung für die Erstellung auswählen. Die Umgebungsoptionen lauten: Alle, Entwicklung, Produktion und Test. Diese Auswahl steht nur zur Verfügung, wenn Sie den Access-Control-Konfigurationsparameter 3026 (Benutzerrollendefinition und -zuordnung auf der Grundlage der Umgebung aktivieren) auf Ja setzen. Der Standardwert für diesen Parameter ist Nein.

HinweisFür die Rollensuche können Sie die Felder der Suchkriterien konfigurieren (dies erfordert eine Administratorenberechtigung). Sie können benutzerdefinierte Felder hinzufügen und ihre Attribute konfigurieren. Sie können z.B. die Standardwerte einstellen und festlegen, ob ein Feld obligatorisch ist. Sie können die Felder in der Customizing-Aktivität zum Bearbeiten der Attribute der Benutzerfelder für die Personalisierung der Rollensuche unter Governance, Risk, and Compliance

Access Control Benutzererstellung konfigurieren.

○ System○ Firefighter-ID○ Firefighter-Rolle

HinweisBeim Anfordern einer Firefighter-ID oder einer Firefighter-Rolle können Sie die Suchergebnisse über System und Aktionscode filtern. Wenn Sie Aktionscode verwenden, müssen Sie auch das System angeben. Bei Anforderungen von Firefighter-IDs und Firefighter-Rollen wird der Verantwortliche in der Spalte Zuordnungsgenehmigender angezeigt.

○ Wählen Sie Vorhandene Zuordnungen, um aus der Liste der dem Benutzer derzeit zugeordneten Rollen und Systemen eine Auswahl zu treffen.Wenn das Feld Anforderung für auf Mehrere gesetzt ist, deaktiviert die Anwendung diese Drucktaste.

SAP Access ControlKomponentenübergreifende Themen P U B L I C ( Ö F F E N T L I C H ) 25

HinweisUm Anwendungen in einem System zu verwenden, müssen Sie sowohl Zugriff auf das System als auch eine Rolle für das System haben. Dies bedeutet, Sie müssen einen Benutzer im System anfordern und dann die Zuordnung einer Rolle zum Benutzer anfordern. Wenn noch kein Benutzer vorhanden ist, können Sie alternativ angeben, dass die Anwendung automatisch einen Benutzer im System anlegt. Hierzu müssen Sie die Customizing-Aktivität Einstellungen der Rollendefinition und -zuordnung bearbeiten unter

Governance, Risk, and Compliance Access Control Benutzererstellung konfigurieren.

4. Wählen Sie in der Spalte Aktion der Rollendefinition und -zuordnung die passende Aktion aus, z. B. Benutzer anlegen, (Rolle) Zuordnen usw.Sie können die in der Auswahlliste verfügbaren Aktionen der Rollendefinition und -zuordnung in der Customizing-Aktivität Anforderungsart definieren unter Governance, Risk, and Compliance Access Control Benutzererstellung bearbeiten.

5. Wählen Sie in der Spalte Kommentare die Option Kommentar hinzufügen, und geben Sie Informationen zur Anforderung ein.Ob Kommentare obligatorisch sind, können Sie in der Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter Governance, Risk, and Compliance Access Control einstellen. Stellen Sie in den jeweiligen Spalten die folgenden Werte ein:○ Parametergruppe: Rollenauswahl der Zugriffsanforderung○ Parameter-ID: 2036○ Parameterwert: Ja oder Nein nach Bedarf

6. Geben Sie auf der Registerkarte Benutzerdetails alle erforderlichen Informationen ein.7. Wählen Sie Simulation, wenn Sie eine Risikoanalyse der angeforderten Rolllen und des Systemzugriffs

durchführen möchten, bevor Sie die Anforderung absenden.8. Wählen Sie Absenden.

Die Anwendung sendet eine E-Mail-Benachrichtigung an den Genehmigenden. Sie können die E-Mail in der Customizing-Aktivität MSMP-Workflows bearbeiten unter Governance, Risk, and Compliance Access Control Workflow für Access Control konfigurieren. Wählen Sie in der Phase Pfade bearbeiten im Bereich Stufen bearbeiten die Option Benachrichtigungseinstellungen.Genehmigende können auch über ihren Arbeitseingang auf die Anforderung zugreifen und sie bearbeiten.

Benutzer können den Status der Anforderung über den Quick Link anzeigen.

Weitere Informationen

Ihren Anforderungsstatus anzeigen [Seite 20]

Benutzerdetails ändern [Seite 46]

Zugriffsanforderungen prüfen und genehmigen [Seite 49]

Risiken beim Absenden von Zugriffsanforderungen analysieren [Seite 39]

26 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Komponentenübergreifende Themen

3.4.1.4.7 Anforderung anlegen - vereinfacht

Kontext

Über eine einfachere Benutzungsoberfläche können Sie Rollen anfordern, die hinzugefügt, entfernt oder erweitert werden sollen.

Vorgehensweise

1. Um Zugriff für sich selbst oder andere Benutzer anzufordern, geben Sie folgende Informationen ein:

HinweisDie Mussfelder sind mit einem Asterisk (*) gekennzeichnet.

Tabelle 3:

Feld Beschreibung

Anforderungsursache Wählen Sie eine Ursache aus der Auswahlliste aus oder wählen Sie Sonstige und schreiben Sie Ihre Ursache in die darunter liegende Box.

Benutzerinformationen Bei Anforderungen für sich selbst, füllt das System die Fel­der mit Ihren Informationen. Wenn es sich um eine Anforde­rung für andere Benutzer handelt, können Sie die Benutze­rinformationen über die Wertehilfe im Feld Benutzer-ID su­chen.

Hinzuzufügende Rollen auswählen Sie können Rollen nach Rollenattributen, wie Name, Sys­tem, Transaktionscode oder Schlüsselwort, suchen. Platz­halter, wie Asteriske (*), sind zulässig. Über die Erweiterte Suche können Sie Ihre Suche verfeinern. Mit den Filtern im linken Bildbereich können Sie Ihre Suchergebnisse weiter eingrenzen.

Sie können die Liste der in der Rolle definierten Transakti­onscodes anzeigen, indem Sie auf den Rollennamen klicken. Weitere Informationen zur Rolle erhalten Sie im Popup über die Taste Mehr anzeigen.

Zu entfernende Rollen auswählen Wählen Sie diese Option aus, um die Rollenzuordnungen von diesem Benutzer zu entfernen.

SAP Access ControlKomponentenübergreifende Themen P U B L I C ( Ö F F E N T L I C H ) 27

Feld Beschreibung

Zu erweiternde Rollen auswählen Wählen Sie diese Option aus, um den Gültigkeitszeitraum der Rolle zu verlängern.

2. Bei Zugriffsanforderungen für andere Benutzer können Sie optional eine Risikoanalyse ausführen, indem Sie im Sidepanel auf Risikoanalyse klicken.

Optional können Sie die vom System hinzugefügten Rollen anzeigen, indem Sie auf das entsprechende Sidepanel klicken.

3. Optional können Sie die Anforderung als Entwurf sichern, um später daran weiterzuarbeiten.4. Wenn Ihre Anforderung vollständig ist, können Sie sie zur Genehmigung versenden.

3.4.2 Arbeitsplatz Einrichtung

Der Arbeitsplatz Einrichtung bietet einen zentralen Punkt zum Durchführen von einmaligen oder seltenen Einrichtungsaktivitäten wie das Anlegen von Zugriffsregelwerken, mindernden Regeln usw.

Der Arbeitsplatz Einrichtung enthält die folgenden Bereiche:

● Zugriffsregelbearbeitung [Seite 79]● Kritische Zugriffsregeln [Seite 94]●● Verwendung der Notfallzugriffsverwaltung [Seite 172]●● Ausnahmezugriffsregeln [Seite 68]● Generierte Regeln [Seite 76]● Mindernde Kontrollen [Seite 66]

3.4.3 Arbeitsplatz Zugriffsverwaltung

Der Arbeitsplatz Zugriffsverwaltung bietet einen zentralen Punkt zum Durchführen von Aufgaben wie das Überwachen, Testen und Durchsetzen von Zugriffs- und Berechtigungskontrollen.

Der Arbeitsplatz Zugriffsverwaltung enthält die folgenden Bereiche:

● Zugriffsrisikoanalyse [Seite 97]● Risikominderung auf Zugriffsebene [Seite 114]● Zugriffsanforderungsverwaltung [Seite 58]● Anlegen einer Zugriffsanforderung [Seite 34]● Hinweise zur Rollenverwaltung [Seite 136]● Prüfungen der Konformitätszertifizierung [Seite 203]● Rollenauswertung [Seite 160]● Massenpflege von Rollen [Seite 163]● Alarme [Seite 128]

28 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Komponentenübergreifende Themen

● Hintergrundjobs einplanen [Seite 32]

HinweisDer Arbeitsplatz Zugriffsverwaltung wird von den Produkten Access Control, Process Control und Risk Management in der GRC-Anwendung gemeinsam genutzt. Die auf dem Bild verfügbaren Menügruppen und Quick Links hängen von den Anwendungen ab, für die Sie Nutzungsrechte erworben haben.

3.4.4 Berichte und Analysen

Der Arbeitsplatz Berichte und Analysen bietet einen zentralen Punkt zum Anzeigen von Berichten und Dashboards für Access-Control-Informationen, wie z. B. Alarme, Benutzeranalysen, Revisionsberichte usw.

HinweisDer Arbeitsplatz Berichte und Analysen wird von den Produkten Access Control, Process Control und Risk Management in der GRC-Anwendung gemeinsam genutzt. Die auf dem Bild verfügbaren Menügruppen und Quick Links hängen von den Anwendungen ab, für die Sie Nutzungsrechte erworben haben. Dieses Thema behandelt die für Access Control spezifischen Funktionen.

Tabelle 4:

Kategorie Beschreibung

Zugriffs-Dashboards Dashboards für Zugriffsrisikoanalyse, Benutzerrollenverwal­tung und Benutzerzugriffsverwaltung

Berichte der Zugriffsrisikoanalyse Berichte zur Zugriffsrisikoanalyse, einschließlich Benutzerrisi­koüberschreitungen, Rollenrisikoüberschreitungen, Profilrisi­koüberschreitungen und HR-Objekt-Risikoüberschreitungen

Zugriffsanforderungsberichte Berichte zu Zugriffsanforderungen, einschließlich des Service­grads für Anforderungen und Anforderungen mit Konflikten und Minderung

Rollenverwaltungsberichte Berichte zur Rollenverwaltung, einschließlich Beziehungen zwischen Benutzer und Rolle und Beziehungen zwischen Stammrolle und abgeleiteter Rolle

Sicherheitsberichte Berichte zur Sicherheit von Benutzer, Rolle und Profil

Revisionsberichte Revisionsbezogene Berichte, einschließlich Aktionen in Rollen (aber nicht in Regeln) und Berechtigungen in Rollen (aber nicht in Regeln)

Berichte der Notfallzugriffsverwaltung Berichte zu Superuser-Aktivitäten, einschließlich der ungülti­gen Superuser und konsolidierten Protokolle

SAP Access ControlKomponentenübergreifende Themen P U B L I C ( Ö F F E N T L I C H ) 29

3.5 Spezielle Berechtigungen

Benutzer von SAP Access Control, denen spezielle Berechtigungen zugeordnet sind, können als Verantwortliche zugeordnet werden. Zu den Benutzern, denen spezielle Berechtigungen zugeordnet werden können, gehören die folgenden:

Tabelle 5:

Typ Beschreibung

Firefighter-ID-Verantwortlicher Firefighter-ID-Verantwortliche sind für die Bearbeitung von Firefighter-IDs und ihre Zuordnungen zu Firefighter-Benutzern zuständig. Fire­fighter-ID-Verantwortliche verwenden die Standardrolle SAP_GRAC_SUPER_USER_MGMT_OWNER.

Firefighter-Rollenverantwortlicher Firefighter-Rollenverantwortliche sind für die Bearbeitung von Fire­fighter-Rollen und ihre Zuordnungen zu Firefighter-Benutzern zustän­dig. Firefighter-Rollenverantwortliche verwenden die Standardrolle SAP_GRAC_SUPER_USER_MGMT_OWNER.

Risikoverantwortlicher Risikoverantwortliche sind Risiken zugeordnet und in der Regel für die Genehmigung von Änderungen an Risikodefinitionen und Risikoüber­schreitungen zuständig.

Rollenverantwortlicher (URV) Rollenverantwortliche sind dafür zuständig, den Rolleninhalt, die Be­nutzerrollenzuordnung oder beides zu genehmigen.

Minderungsüberwacher Minderungsüberwacher sind Kontrollen zur Aktivitätsüberwachung zugeordnet und können Kontrollüberwachungsalarme erhalten.

Minderungsgenehmigender Minderungsgenehmigende sind Kontrollen zugeordnet und für die Ge­nehmigung von Änderungen an der Kontrolldefinition und den Zuord­nungen zuständig.

Firefighter-ID-Kontrolleur Firefighter-ID-Kontrolleure sind für die Prüfung des während der Ver­wendung von Firefighter-IDs generierten Protokollberichts zuständig. Firefighter-ID-Kontrolleure verwenden die Standardrolle SAP_GRAC_SUPER_USER_MGMT_CNTLR.

Firefighter-Rollenkontrolleur Firefighter-Rollenkontrolleure sind für die Prüfung des während der Fi­refighter-Rollenverwendung generierten Protokollberichts zuständig. Firefighter-Rollenkontrolleure verwenden die Standardrolle SAP_GRAC_SUPER_USER_MGMT_CNTLR.

Ansprechpartner Der Ansprechpartner ist ein Genehmigender für einen bestimmten Funktionsbereich. Der Funktionsbereich ist ein Attribut zur Kategori­sierung von Benutzern und Rollen.

30 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Komponentenübergreifende Themen

Typ Beschreibung

Sicherheitsverantwortlicher Sicherheitsverantwortlicher ist eine Gruppe oder Person, die eine se­kundäre Genehmigung für Zugriffsanforderungen und Prüfungen er­teilen kann.

Es gibt drei Gruppenarten für Verantwortliche:

● Verantwortlicher● Verantwortlichengruppe● Lightweight-Directory-Access-Protocol-Gruppe (LDAP-Gruppe)

3.6 Hintergrundjobs

Verwendung

Sie können die Links im Arbeitsplatz Zugriffsverwaltung unter Einplanung verwenden, um Hintergrundjobs einzuplanen und anzuzeigen.

Funktionsumfang

● Hintergrundjob-Scheduler [Seite 31]● Hintergrundjobs einplanen [Seite 32]

3.6.1 Hintergrundjob-Scheduler

Verwendung

Mit dem Hintergrundjob-Scheduler können Sie Zeitpläne für Hintergrundjobs anlegen und bearbeiten.

Aktivitäten

1. Geben Sie den Namen für den Zeitplan ein.2. Wählen Sie eine Aktivität für den Hintergrundjob aus.3. Wählen Sie, ob der Hintergrundjob sofort starten soll.4. Geben Sie Startdatum und -zeit ein.

SAP Access ControlKomponentenübergreifende Themen P U B L I C ( Ö F F E N T L I C H ) 31

3.6.2 Hintergrundjobs einplanen

Verwendung

Auf dem Bild Einplanung können Sie wählen, den Job im Hintergrund zu einer bestimmten Zeit auszuführen oder den Job im Vordergrund auszuführen.

Um den Job im Vordergrund auszuführen, markieren Sie das Ankreuzfeld Vordergrund und wählen Sie Absenden.

Vorgehensweise

Um den Job als Hintergrundjob auszuführen, gehen Sie wie folgt vor:

1. Wählen Sie im Zeitplanabschnitt Hintergrund.2. Um für den Job eine mehrfache Wiederholung einzustellen, wählen Sie bei der Option Planserie den Eintrag Ja

und wählen Sie das Datum und die Zeiten aus.Sie können die Häufigkeit auf Folgendes setzen: stündlich, täglich, wöchentlich oder monatlich.Im Feld Wiederholung können Sie einstellen, dass der Hintergrundjob nach einer bestimmten Anzahl von Stunden erneut ausgeführt wird, z. B. alle 4 Stunden.

3. Um für den Job eine einfache Ausführung einzustellen, wählen Sie bei der Option Planserie den Eintrag Nein. Sie können auswählen, ob der Job sofort oder zu einem bestimmten Termin gestartet wird.

4. Wählen Sie Absenden.

32 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Komponentenübergreifende Themen

4 Zugriffsanforderungen verwalten

Verwendung

SAP Access Control bietet ein standardisiertes und zentrales Framework zur Anforderung von Benutzerzugriffen sowie zur Prüfung und Verwaltung dieser Anforderungen.

Dieser Prozess erläutert, wie Sie Risiken mithilfe des Genehmigungsworkflows und der Risikoanalyse während der Benutzererstellung überwachen und vermeiden können.

Voraussetzungen

● Außerhalb der Anwendung haben Sie Ihre Geschäftsanforderungen identifiziert und Ihren Ansatz für den Systemzugriff ausgewertet.

● In der Anwendung haben Sie die Prüfungs- und Genehmigungs-Workflows bearbeitet.Sie bearbeiten die Workflows in der Customizing-Aktivität MSMP-Workflows bearbeiten unter Governance, Risk, and Compliance Access Control Workflow für Access Control .

Prozess

Zum grundsätzlichen Benutzererstellungsprozess, wie er von den meisten Systemadministratoren vorgeschlagen wird, gehören die folgenden Schritte:

1. Benutzerzugriffsanforderung anlegen und absendenDer Benutzer legt eine Zugriffsanforderung an und wählt die zutreffenden Anwendungen und Rollen, die den Systemzugriff für die Ausführung von Arbeitsaufgaben bereitstellen, aus. Wenn alle erforderlichen Felder in der Benutzerzugriffsanforderung ausgefüllt sind, sendet der Benutzer die Anforderung zur Genehmigung ab.

2. Anforderung prüfenJeder Genehmigende prüft, ob der angeforderte Zugriff angemessen ist.

3. Anforderung modifizierenWenn der Zugriff nicht angemessen ist, kann jeder der Genehmigenden die Anforderung modifizieren.

4. Risikoanalyse durchführenDie Risikoanalyse sollte ausgeführt werden, um sicherzustellen, dass die Genehmigung der Anforderung keine Zugriffsrisiken in die Umgebung einführt.1. Modifizieren Sie den angeforderten Zugriff, um ggf. Konflikte zu beseitigen.2. Wenn der Zugriff nicht modifiziert werden kann, sollte das Risiko gemäß Ihren Unternehmensrichtlinien

gemindert werden.5. Benutzererstellung

Sobald die Anforderung genehmigt wurde, wird der Zugriff den Benutzern zugeordnet.

SAP Access ControlZugriffsanforderungen verwalten P U B L I C ( Ö F F E N T L I C H ) 33

Ergebnis

Der Zugriff wird in Umgebungen ohne Risiken oder mit geminderten Risiken bereitgestellt, um den konformen Benutzerzugriff sicherzustellen.

4.1 Anlegen einer Zugriffsanforderung

In der Anwendung SAP Access Control können Sie Zugriffsanforderungen anlegen, um Zugriff auf Systeme und Berechtigungen zur Durchführung von Aufgaben zu erhalten. Sie können Zugriffsanforderungen für sich selbst, für einen anderen Benutzer oder für mehrere Benutzer anlegen.

Sie können den Prozess zum Anlegen einer Zugriffsanforderung auf den folgenden Bildern initiieren:

● Navigieren Sie bei der Benutzeranmeldung auf das Bild Benutzerstartseite und wählen Sie Zugriffsanforderung.

● Navigieren Sie bei der NWBC-Anmeldung oder der Portalanmeldung zum Arbeitsplatz Meine Startseite oder Zugriffsverwaltung und wählen Sie Zugriffsanforderung oder Anforderung anlegen - vereinfacht.

Im Menü Zugriffsanforderung werden Funktionen gruppiert, mit denen Sie Anforderungen für Benutzerzugriff, Systemzugriff und organisatorische Zuordnungen anlegen können. Die Menügruppe steht im Arbeitsplatz Zugriffsverwaltung zur Verfügung, wo Sie folgende Möglichkeiten haben:

● Unter Zugriffsanforderung können Sie Anforderungen für sich selbst, für einen anderen Benutzer oder für mehrere Benutzer anlegen.

● Unter Benutzervorlage können Sie auf einem Modellbenutzer basierende Zugriffsanforderungen anlegen.● Unter Vorlagenbasierte Anforderung können Sie auf einer Vorlage basierende Zugriffsanforderungen anlegen.● Unter Anforderung kopieren können Sie Details einer bereits vorhandenen Anforderung zum Anlegen einer

neuen Anforderung nutzen.● Unter Organisationszuordnungsanforderung können Sie Anforderungen für organisatorische Zuordnungen

anlegen.● Unter Anforderung anlegen - vereinfacht können Sie Anforderungen mithilfe einer vereinfachten

Benutzungsoberfläche anlegen.

4.1.1 Vereinfachte Zugriffsanforderungen

Die vereinfachte Zugriffsanforderung ermöglicht Ihnen die Verarbeitung von Zugriffsanforderungen mithilfe neu gestalteter Bilder und einer vereinfachten Benutzungsoberfläche. Sie haben die Wahl, ob Sie diese Bilder anstelle der herkömmlichen Bilder für die Verarbeitung von Zugriffsanforderungen verwenden möchten oder ob Sie die herkömmlichen Bilder weiterhin verwenden möchten. Folgende neu gestaltete Bilder stehen zur Verfügung:

● Anforderung anlegen - vereinfacht [Seite 27]

34 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsanforderungen verwalten

4.1.1.1 Anforderung anlegen - vereinfacht

Kontext

Über eine einfachere Benutzungsoberfläche können Sie Rollen anfordern, die hinzugefügt, entfernt oder erweitert werden sollen.

Vorgehensweise

1. Um Zugriff für sich selbst oder andere Benutzer anzufordern, geben Sie folgende Informationen ein:

HinweisDie Mussfelder sind mit einem Asterisk (*) gekennzeichnet.

Tabelle 6:

Feld Beschreibung

Anforderungsursache Wählen Sie eine Ursache aus der Auswahlliste aus oder wählen Sie Sonstige und schreiben Sie Ihre Ursache in die darunter liegende Box.

Benutzerinformationen Bei Anforderungen für sich selbst, füllt das System die Fel­der mit Ihren Informationen. Wenn es sich um eine Anforde­rung für andere Benutzer handelt, können Sie die Benutze­rinformationen über die Wertehilfe im Feld Benutzer-ID su­chen.

Hinzuzufügende Rollen auswählen Sie können Rollen nach Rollenattributen, wie Name, Sys­tem, Transaktionscode oder Schlüsselwort, suchen. Platz­halter, wie Asteriske (*), sind zulässig. Über die Erweiterte Suche können Sie Ihre Suche verfeinern. Mit den Filtern im linken Bildbereich können Sie Ihre Suchergebnisse weiter eingrenzen.

Sie können die Liste der in der Rolle definierten Transakti­onscodes anzeigen, indem Sie auf den Rollennamen klicken. Weitere Informationen zur Rolle erhalten Sie im Popup über die Taste Mehr anzeigen.

Zu entfernende Rollen auswählen Wählen Sie diese Option aus, um die Rollenzuordnungen von diesem Benutzer zu entfernen.

SAP Access ControlZugriffsanforderungen verwalten P U B L I C ( Ö F F E N T L I C H ) 35

Feld Beschreibung

Zu erweiternde Rollen auswählen Wählen Sie diese Option aus, um den Gültigkeitszeitraum der Rolle zu verlängern.

2. Bei Zugriffsanforderungen für andere Benutzer können Sie optional eine Risikoanalyse ausführen, indem Sie im Sidepanel auf Risikoanalyse klicken.

Optional können Sie die vom System hinzugefügten Rollen anzeigen, indem Sie auf das entsprechende Sidepanel klicken.

3. Optional können Sie die Anforderung als Entwurf sichern, um später daran weiterzuarbeiten.4. Wenn Ihre Anforderung vollständig ist, können Sie sie zur Genehmigung versenden.

4.1.2 Zugriffsanforderungen anlegen

Verwendung

Auf dem Bild Zugriffsanforderung können Sie Zugriffsanforderungen für sich selbst, für einen anderen Benutzer oder für mehrere Benutzer anlegen.

Voraussetzungen

Der Administrator hat die Aktivitäten für die Customizing-Aktivität Einstellungen der Rollendefinition und -zuordnung bearbeiten unter Governance, Risk, and Compliance Access Control Benutzererstellungfertiggestellt.

Vorgehensweise

1. Wählen Sie im Arbeitsplatz Zugriffsverwaltung unter der Menügruppe Zugriffsanforderungen die Option Anlegen von Zugriffsanforderungen.

Hinweis○ Wenn Sie die Benutzeranmeldung verwenden, wählen Sie Zugriffsanforderung auf dem Bild

Benutzerstartseite.

36 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsanforderungen verwalten

2. Geben Sie im Bereich Anforderungsdetails die erforderlichen Informationen in den Feldern ein:

Tabelle 7:

Feld Beschreibung

Anforderungsart Beispiele: Neues Benutzerkonto, Benutzerkonto ändern, Superuser-Zugriff usw.

Sie können die Liste der verfügbaren Anforderungsarten in der Customi­

zing-Aktivität Anforderungsart definieren unter Governance, Risk, and

Compliance Access Control Benutzererstellung bearbeiten.

Anforderung für Für das Anlegen einer Anforderung stehen Ihnen folgende Optionen zur Ver­fügung:

○ Selbst, um eine Anforderung für Sie selbst anzulegenDas Feld Benutzer ist inaktiv und zeigt Ihre Benutzer-ID an.

○ Andere, um eine Anforderung für einen anderen Benutzer anzulegenDas Feld Benutzer ist aktiv, und Sie können den Namen des Benutzers auswählen.

○ Mehrere, um eine Anforderung für mehrere Benutzer anzulegenDie Anwendung zeigt die Registerkarte Benutzer an, und Sie können mehrere Benutzer auswählen. Wählen Sie Hinzufügen, um jeden Benut­zer manuell hinzuzufügen, oder wählen Sie Importieren, um eine Vor­lage zum Import mehrerer Benutzer zu verwenden.

Priorität Beispiele: Hoch, Niedrig usw.

Sie können die Liste der verfügbaren Prioritäten in der Customizing-Aktivi­

tät Prioritätskonfiguration bearbeiten unter Governance, Risk, and

Compliance Access Control Benutzererstellung bearbeiten.

Geschäftsprozess Beispiele: HR und Personalabrechnung, Finanzwesen usw.

Sie können die Liste der verfügbaren Geschäftsprozesse in der Customi­zing-Aktivität Geschäftsprozesse und -teilprozesse bearbeiten unter

Governance, Risk, and Compliance Access Control bearbeiten.

Funktionsbereich Beispiele: Verkauf, Personal usw.

Sie können die Liste der verfügbaren Funktionsbereiche in der Customizing-

Aktivität Funktionsbereiche bearbeiten unter Governance, Risk, and

Compliance Access Control Rollenverwaltung bearbeiten.

3. Wählen Sie auf der Registerkarte Benutzerzugriff über die folgenden Optionen die zuzuordnenden Rollen und die Systeme aus, für die Sie den Zugriff anfordern:○ Wählen Sie Hinzufügen und wählen Sie eine der folgenden Optionen:

○ Rolle○ Klicken Sie Hinzufügen und anschließend Rolle, um nach den gewünschten Rollen zu suchen.

Nachdem das System die Ergebnisse Ihrer Suche ausgibt, können Sie einen Rollennamen klicken, um weitere Details zur Rolle, wie Aktionen, die für eine Sammelrolle gültig sind, anzuzeigen.

SAP Access ControlZugriffsanforderungen verwalten P U B L I C ( Ö F F E N T L I C H ) 37

○ Wenn Sie eine Benutzerrolle auswählen, können Sie die Umgebung für die Erstellung auswählen. Die Umgebungsoptionen lauten: Alle, Entwicklung, Produktion und Test. Diese Auswahl steht nur zur Verfügung, wenn Sie den Access-Control-Konfigurationsparameter 3026 (Benutzerrollendefinition und -zuordnung auf der Grundlage der Umgebung aktivieren) auf Ja setzen. Der Standardwert für diesen Parameter ist Nein.

HinweisFür die Rollensuche können Sie die Felder der Suchkriterien konfigurieren (dies erfordert eine Administratorenberechtigung). Sie können benutzerdefinierte Felder hinzufügen und ihre Attribute konfigurieren. Sie können z.B. die Standardwerte einstellen und festlegen, ob ein Feld obligatorisch ist. Sie können die Felder in der Customizing-Aktivität zum Bearbeiten der Attribute der Benutzerfelder für die Personalisierung der Rollensuche unter Governance, Risk, and Compliance

Access Control Benutzererstellung konfigurieren.

○ System○ Firefighter-ID○ Firefighter-Rolle

HinweisBeim Anfordern einer Firefighter-ID oder einer Firefighter-Rolle können Sie die Suchergebnisse über System und Aktionscode filtern. Wenn Sie Aktionscode verwenden, müssen Sie auch das System angeben. Bei Anforderungen von Firefighter-IDs und Firefighter-Rollen wird der Verantwortliche in der Spalte Zuordnungsgenehmigender angezeigt.

○ Wählen Sie Vorhandene Zuordnungen, um aus der Liste der dem Benutzer derzeit zugeordneten Rollen und Systemen eine Auswahl zu treffen.Wenn das Feld Anforderung für auf Mehrere gesetzt ist, deaktiviert die Anwendung diese Drucktaste.

HinweisUm Anwendungen in einem System zu verwenden, müssen Sie sowohl Zugriff auf das System als auch eine Rolle für das System haben. Dies bedeutet, Sie müssen einen Benutzer im System anfordern und dann die Zuordnung einer Rolle zum Benutzer anfordern. Wenn noch kein Benutzer vorhanden ist, können Sie alternativ angeben, dass die Anwendung automatisch einen Benutzer im System anlegt. Hierzu müssen Sie die Customizing-Aktivität Einstellungen der Rollendefinition und -zuordnung bearbeiten unter

Governance, Risk, and Compliance Access Control Benutzererstellung konfigurieren.

4. Wählen Sie in der Spalte Aktion der Rollendefinition und -zuordnung die passende Aktion aus, z. B. Benutzer anlegen, (Rolle) Zuordnen usw.Sie können die in der Auswahlliste verfügbaren Aktionen der Rollendefinition und -zuordnung in der Customizing-Aktivität Anforderungsart definieren unter Governance, Risk, and Compliance Access Control Benutzererstellung bearbeiten.

5. Wählen Sie in der Spalte Kommentare die Option Kommentar hinzufügen, und geben Sie Informationen zur Anforderung ein.Ob Kommentare obligatorisch sind, können Sie in der Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter Governance, Risk, and Compliance Access Control einstellen. Stellen Sie in den jeweiligen Spalten die folgenden Werte ein:○ Parametergruppe: Rollenauswahl der Zugriffsanforderung

38 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsanforderungen verwalten

○ Parameter-ID: 2036○ Parameterwert: Ja oder Nein nach Bedarf

6. Geben Sie auf der Registerkarte Benutzerdetails alle erforderlichen Informationen ein.7. Wählen Sie Simulation, wenn Sie eine Risikoanalyse der angeforderten Rolllen und des Systemzugriffs

durchführen möchten, bevor Sie die Anforderung absenden.8. Wählen Sie Absenden.

Die Anwendung sendet eine E-Mail-Benachrichtigung an den Genehmigenden. Sie können die E-Mail in der Customizing-Aktivität MSMP-Workflows bearbeiten unter Governance, Risk, and Compliance Access Control Workflow für Access Control konfigurieren. Wählen Sie in der Phase Pfade bearbeiten im Bereich Stufen bearbeiten die Option Benachrichtigungseinstellungen.Genehmigende können auch über ihren Arbeitseingang auf die Anforderung zugreifen und sie bearbeiten.

Benutzer können den Status der Anforderung über den Quick Link anzeigen.

Weitere Informationen

Ihren Anforderungsstatus anzeigen [Seite 20]

Benutzerdetails ändern [Seite 46]

Zugriffsanforderungen prüfen und genehmigen [Seite 49]

Risiken beim Absenden von Zugriffsanforderungen analysieren [Seite 39]

4.1.3 Risiken beim Absenden von Zugriffsanforderungen analysieren

Verwendung

Auf dem Bild Zugriffsanforderung können Sie auf den folgenden Registerkarten Risikoanalysen und Schadensanalysen durchführen:

● RisikoüberschreitungenWenn Sie die Ergebnisse der Analyse sichern möchten, verwenden Sie die Analysefunktion auf dieser Registerkarte.

● BenutzerzugriffMithilfe der Funktion Simulation können Sie zunächst die Analyse durchführen und anschließend wählen, ob Sie die Ergebnisse sichern möchten.

Hinweis● Sie können die Anwendung so einstellen, dass sie Risiken automatisch analysiert, wenn jemand eine

Zugriffsanforderung absendet. Wenn der Anforderer beispielsweise eine Anforderung absendet, ohne zuerst die Risiken zu analysieren, führt die Anwendung automatisch eine Analyse durch und fügt die Ergebnisse zur Zugriffsanforderung hinzu, die im Arbeitseingang des Genehmigenden angezeigt wird.

SAP Access ControlZugriffsanforderungen verwalten P U B L I C ( Ö F F E N T L I C H ) 39

Sie bearbeiten diese Einstellung in der Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter Governance, Risk, and Compliance Access Control . Geben Sie für den Parameter Risikoanalyse für Formularabgabe aktivieren folgende Werte ein:

Tabelle 8:

Spalte Wert

Parametergruppe Risikoanalyse – Zugriffsanforderung

Parameter-ID 1071

Parameterwert Ja oder Nein nach Bedarf

● Sie können die Anwendung so einstellen, dass Firefighter-Zuordnungen in der Risikoanalyse eingeschlossen werden.Sie bearbeiten diese Einstellung in der Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter Governance, Risk, and Compliance Access Control . Geben Sie für den Parameter FF-Zuordnungen in Risikoanalyse berücksichtigen folgende Werte ein:

Tabelle 9:

Spalte Wert

Parametergruppe Risikoanalyse

Parameter-ID 1038

Parameterwert Ja oder Nein nach Bedarf

Vorgehensweise

Die folgende Vorgehensweise ist dieselbe, unabhängig davon, auf welcher Registerkarte Sie beginnen. Der einzige Unterschied ist, dass Sie bei der Simulationsfunktion wählen können, ob Sie die Ergebnisse sichern möchten.

1. Führen Sie auf dem Bild einen der folgenden Schritte aus:○ Wählen Sie die Registerkarte Risikoüberschreitungen.○ Wählen Sie auf der Registerkarte Benutzerzugriff die Option Simulation.

2. Wählen Sie in der Dropdown-Box Analyseart die relevante Analyseart aus:○ Verwenden Sie Risikoanalyse zur Ermittlung von Überschreitungen, die der Rolle zugeordnete

Berechtigungen betreffen. Ein Beispiel dafür ist, wenn die Berechtigungen Funktionstrennungsüberschreitungen zur Folge haben.

○ Mit der Schadensanalyse ermitteln Sie Berechtigungsüberschreitungen, die andere Rollen betreffen. Dies bedeutet, dass die Berechtigungen für die ausgewählte Rolle in Kombination mit Berechtigungen für eine andere Rolle zu Überschreitungen führen.

3. Wählen Sie aus den entsprechenden Feldern das System und das Regelwerk aus.4. Wählen Sie im Bereich Ergebnisoptionen das Format, die Art und zusätzliche Kriterien für die

Analyseergebnisse aus.

40 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsanforderungen verwalten

Beispiel

Tabelle 10:

Format: Kurzfassung

Art: Aktionsebene, Berechtigungsebene

Zusätzliche Kriterien: Geminderte Risiken einschließen

5. Wählen Sie Risikoanalyse ausführen.6. Im Bereich Ergebnis haben Sie die Wahl zwischen verschiedenen Anzeigemodi für die Analyseergebnisse.7. Wenn Sie die Simulationsfunktion verwenden, haben Sie die folgenden Möglichkeiten:

○ Wählen Sie Abbrechen, wenn Sie die Ergebnisse der Analyse nicht sichern möchten.○ Wählen Sie Übernehmen, wenn Sie die Ergebnisse sichern möchten. Die Informationen werden auf der

Registerkarte Risikoüberschreitungen gesichert, und Sie können Sie bei jedem Öffnen der Anforderung anzeigen. Die Ergebnisse stehen auch dem Genehmigenden der Anforderung zur Verfügung.

4.1.3.1 Risiken mindern

Voraussetzungen

Sie haben mindernde Kontrollen angelegt.

Kontext

Auf dem Bild Mindernde Kontrollen zuordnen können Sie Risiken, die während der Risikoanalyse und Schadensanalyse gefunden wurden, mindernde Kontrollen zuordnen.

Auf dem Bild können Sie auch Risiken für Rollen mindern, die nicht Teil der aktuellen Anforderung sind. Sie mindern z. B. gerade Risiken für John_Current_Request. Sie können auch Risikoüberschreitungen für John_Other_Request1 und John _Other_Request2 mindern. Wählen Sie Hinzufügen, um das Risiko hinzuzufügen und stellen Sie Schritt 4 der unten stehenden Vorgehensweise fertig.

HinweisDie Funktion Risiko mindern ist auf mehreren Bildern in der Anwendung verfügbar. Die unten stehende Vorgehensweise beschreibt einen Einstiegspunkt; Ihr Einstiegspunkt kann davon abweichen. Die Informationen stehen unabhängig vom Einstiegspunkt zur Verfügung.

SAP Access ControlZugriffsanforderungen verwalten P U B L I C ( Ö F F E N T L I C H ) 41

Vorgehensweise

1. Wählen Sie auf dem Bild Zugriffsrisiken analysieren im Abschnitt Ergebnisse eine oder mehrere Risikoüberschreitungen aus und wählen Sie Risiko mindern.

Sie gelangen auf das Bild Mindernde Kontrollen zuordnen. Die Anwendung verwendet die Informationen aus der Risikoüberschreitung, wie z. B. die Zugriffsrisiko-ID, und zeigt die relevante mindernde Kontrolle an.

2. Um die von der Anwendung vorgeschlagene mindernde Kontrolle zu verwenden, gehen Sie wie folgt vor:1. Ändern Sie die Informationen in den relevanten Feldern wie den Gültigkeitszeitraum und die Kontroll-ID

nach Bedarf.2. Wählen Sie Absenden.

3. Um eine neue Kontrolle anzulegen, gehen Sie wie folgt vor:1. Wählen Sie Kontrolle anlegen und stellen Sie die Aufgaben zum Anlegen einer neuen Kontrolle fertig.2. Wählen Sie Hinzufügen.

Die Anwendung fügt eine leere Zeile zur Liste der mindernden Kontrollen hinzu.3. Geben Sie Informationen in den relevanten Feldern für die neue Kontrolle ein.4. Wählen Sie Absenden.

4. Um mindernde Kontrollen für andere Rollen oder Anforderungen zuzuordnen, gehen Sie wie folgt vor:1. Wählen Sie Hinzufügen.

Die Anwendung fügt eine leere Zeile zur Liste der mindernden Kontrollen hinzu.2. Geben Sie Informationen in den relevanten Feldern für die neue Kontrolle ein.3. Wählen Sie Absenden.

Nächste Schritte

4.1.4 Rollenvorlagen

Verwendung

Sie können Rollenvorlagen verwenden, um Benutzern eine Reihe von Attributen bereitzustellen, aus denen sie beim Anlegen von Zugriffsanforderungen wählen können.

BeispielSie können z.B. festlegen, dass alle Rollen im Bereich Finanzen für die Rollenvorlage gültig sind. Wenn ein Benutzer eine Finanzrolle anfordert, kann er zusätzliche Attribute, wie Region, Geschäftseinheit, Werk usw. auswählen.

42 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsanforderungen verwalten

Hinweis● Sie müssen das BAdI GRAC_TEMPLATE_ROLE aktivieren, um die Funktion der Rollenvorlagen zu aktivieren.● Im BAdI können Sie die Rollenattribute angeben, die für den Benutzer zur Auswahl stehen.

Vorgehensweise

1. Öffnen Sie auf dem Bild Zugriffsanforderung die Registerkarte Benutzerzugriff, markieren Sie eine Rolle und wählen Sie Rollenvorlage. Sie gelangen auf ein Bild mit den Attributen, die der Benutzer für die Rolle auswählen kann.

HinweisDie Taste ist nur aktiv, wenn Sie eine Rolle auswählen, die für die Rollenvorlage gültig ist. Legen Sie die gültigen Rollen für die Vorlage fest.

2. Wählen Sie die Attribute für die Rolle aus und stellen Sie die Zugriffsanforderung fertig.

Weitere Informationen

Zugriffsanforderungen anlegen [Seite 23]

Rollenvorlagen konfigurieren [Seite 43]

4.1.4.1 Rollenvorlagen konfigurieren

Zum Aktivieren von Rollenvorlagen für Zugriffsanforderungen müssen Sie das BAdI GRAC_TEMPALTE_ROLE implementieren.

Methoden

Folgende Methoden stehen für das BAdI zur Verfügung.

HinweisDie Methode IS_TEMPLATE_ROLE stellt die Mindestanforderung einer Methode zur Aktivierung von Rollenvorlagen zur Verfügung.

SAP Access ControlZugriffsanforderungen verwalten P U B L I C ( Ö F F E N T L I C H ) 43

Tabelle 11:

Methode Beschreibung

IS_TEMPLATE_ROLE Mit dieser Methode legen Sie fest, welche Benutzerrollen von der Anwendung als Rollenvorlagen angesehen werden. Sie können z.B. festlegen, dass sämtliche Rollen mit dem Na­mensschema Z_Template_role... als Rollenvorlagen an­gesehen werden.

GET_URL Mit dieser Methode rufen Sie die URL der benutzerdefinierten Anwendung ab. Diese Methode wird aufgerufen, wenn die Rol­lenvorlage zur Anforderung hinzugefügt wird. Die von dieser Methode zurückgegebene URL wird in einem neuen Fenster geöffnet und zeigt die Details der Rolle an

VALIDATE_ROLE Mit dieser Methode prüfen Sie die Konsistenz der Rollenvor­lage. Die Anwendung ruft diese Methode beim Absenden einer Zugriffsanforderung auf. Die Methode prüft, ob die zusätzli­chen in der benutzerdefinierten Anwendung bereitgestellten Informationen konsistent sind.

Die Implementierung dieser Methode sollte eine Liste von Feh­lern und Erfolgsmeldungen zurückgeben.

GET_PROVISIONING_TYPE Mit dieser Methode können Sie festlegen, ob eine standard­mäßige oder eine benutzerdefinierte Rollendefinition und -zu­ordnung für die Zugriffsanforderung erforderlich ist. Die An­wendung ruft diese Methode bei der Rollendefinition und -zu­ordnung auf.

Die Art der Rollendefinition und -zuordnung 1 bedeutet, dass es sich um die benutzerdefinierte Rollendefinition und -zuord­nung handelt.

GET_PROVISIONING_OBJECTS Mit dieser Methode können Sie eine Liste der Objekte für die Rollendefinition und -zuordnung zurückgeben. Die Methode wird nur aufgerufen, wenn die Methode GET_PROVISIONING_TYPE den Wert 1 (benutzerdefinierte Rollendefinition und -zuordnung) zurückgibt.

SET_PROVISIONING_STATUS Mit dieser Methode rufen Sie den Status für die Rollendefini­tion und -zuordnung ab.

44 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsanforderungen verwalten

4.1.5 Modellbenutzerbasierte Zugriffsanforderungen anlegen

Kontext

Mit den Funktionen auf dem Bild Modellbenutzerzugriff können Sie Zugriffsanforderungen für neue Benutzer anlegen, indem Sie die Berechtigungen eines vorhandenen Benutzers kopieren. Dadurch können Sie die Zugriffseinstellungen eines vorhandenen Benutzers als Vorlage verwenden und Zeit beim Anlegen von Zugriffen sparen.

Zum Beispiel fügen Sie Ihrem Team neue Mitarbeiter hinzu und möchten, dass diese denselben Zugriff wie andere Teammitglieder haben. Statt dieselben Informationen immer wieder neu einzugeben, wählen Sie einen Ihrer aktuellen Mitarbeiter als Modellbenutzer aus, und die Anwendung kopiert seine Zugriffsinformationen in die Zugriffsanforderung für die neuen Mitarbeiter.

Vorgehensweise

1. Wählen Sie im Arbeitsplatz Zugriffsverwaltung unter der Menügruppe Zugriffsanforderung die Option Benutzervorlage.

Sie gelangen auf das Bild Modellbenutzerzugriff.2. Wählen Sie auf dem Bild Benutzer auswählen das Feld Anforderung für aus und wählen Sie entweder Selbst

oder Andere.3. Geben Sie auf der Registerkarte Benutzerdetails die relevanten Informationen in die Mussfelder ein und

wählen Sie dann Weiter.4. Wählen Sie im Bereich Modellbenutzer auswählen das Feld Benutzer und wählen Sie den Benutzer über die

Suche aus.5. Wählen Sie im Bereich Benutzerzugriff auswählen aus der Liste Verfügbar den Zugriff und die Berechtigungen

des Modellbenutzers aus, die Sie für den neuen Benutzer übernehmen möchten.6. Wählen Sie im Bereich Anforderungsart das Feld Anforderungsart, wählen Sie eine Anforderungsart aus und

wählen Sie dann Weiter.7. Geben Sie die erforderlichen Anforderungsdetails ein und wählen Sie Absenden.

Dies ist die Standardvorgehensweise zum Anlegen einer Zugriffsanforderung in der Anwendung. Weitere Informationen finden Sie unter .

SAP Access ControlZugriffsanforderungen verwalten P U B L I C ( Ö F F E N T L I C H ) 45

4.1.6 Benutzerdetails ändern

Kontext

Auf dem Bild Zugriffsanforderung können Sie die Details für Ihren Benutzer ändern, wie z. B. Name, Planstelle, Manager, Organisation und Ort.

Vorgehensweise

1. Wählen Sie im Arbeitsplatz Zugriffsverwaltung unter der Menügruppe Anlegen von Zugriffsanforderungen die Option Zugriffsanforderung.

HinweisWenn Sie die Benutzeranmeldung verwenden, wählen Sie Zugriffsanforderung auf dem Bild Benutzerstartseite.

2. Wählen Sie das Feld Anforderungsart und anschließend die Option Benutzerkonto ändern.3. Wählen Sie auf der Registerkarte Benutzerzugriff die Option Hinzufügen und wählen Sie dann System aus.

Sie gelangen auf das Bild System auswählen.4. Wählen Sie die relevanten Systeme aus und wählen Sie anschließend OK.

Auf der Registerkarte Benutzerzugriff füllt die Anwendung die Spalte Aktion der Rollendefinition und -zuordnung automatisch mit der Aktion Benutzer ändern.

5. Wählen Sie die Registerkarte Benutzerdetails, ändern Sie die Benutzerinformationen nach Bedarf und wählen Sie dann Absenden.

Die Anwendung sendet die Anforderung an den Genehmigenden.

4.1.7 Anforderungen kopieren

Verwendung

Auf dem Bild Anforderung kopieren können Sie die Informationen aus vorherigen Zugriffsanforderungen beim Anlegen neuer Anforderungen nutzen.

46 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsanforderungen verwalten

Vorgehensweise

1. Wählen Sie im Arbeitsplatz Zugriffsverwaltung unter der Menügruppe Zugriffsanforderung die Option Anforderung kopieren.Sie gelangen auf das Bild Anforderung kopieren.

2. Wählen Sie im Feld Anforderungsnummer die Anforderung aus, aus der Sie die Attribute kopieren möchten.3. Wählen Sie in der Tabelle Attribute die Attribute, die Sie kopieren möchten, aus und wählen Sie Weiter.4. Wählen Sie im Feld Anforderung für, ob die Anforderung für Sie Selbst, für Andere oder für Mehrere erfolgt.5. Ändern Sie bei Bedarf die relevanten Informationen auf den Registerkarten Benutzerdetails und Benutzer und

wählen Sie dann Weiter.

HinweisDie Registerkarte Benutzer ist nur verfügbar, wenn Sie Anforderung für: Mehrere wählen.

6. Geben Sie die relevanten Anforderungsdetails wie z. B. den System- oder Rollenzugriff auf der Registerkarte Benutzerzugriff nach Bedarf ein und wählen Sie dann Weiter.

7. Wählen Sie Absenden.

HinweisBei dieser Vorgehensweise dienen die Schritte 1 bis 3 zum Kopieren der Anforderung. Die übrigen Schritte entsprechen der Standardvorgehensweise beim Anlegen einer Anforderung. Weitere Informationen finden Sie unter .

4.1.8 Organisationszuordnungsanforderungen anlegen

Kontext

Auf dem Bild Organisationszuordnungsanforderung können Sie – anstatt den Benutzern – den Objekten des Organisationsmanagements (OM), wie Planstellen, Stellen oder Organisationen, Rollen zuordnen.

Vorgehensweise

1. Wählen Sie im Arbeitsplatz Zugriffsverwaltung unter der Menügruppe Zugriffsanforderung die Option Organisationszuordnungsanforderung.

Sie gelangen auf das Bild Organisationszuordnungsanforderung.2. Wählen Sie im Bereich Anforderungsdetails die Informationen in den relevanten Feldern aus oder geben Sie

sie ein.

SAP Access ControlZugriffsanforderungen verwalten P U B L I C ( Ö F F E N T L I C H ) 47

3. Wählen Sie im Feld OM-Objekttyp den Objekttyp aus, den Sie hinzufügen möchten: Stelle, Planstelle oder Organisationseinheit.

4. Suchen Sie die OM-Objekte und wählen Sie sie aus.1. Wählen Sie Hinzufügen auf der Registerkarte Benutzerzugriff.

Sie gelangen auf das Bild OM-Objekt auswählen.2. Wählen Sie das relevante System aus und wählen Sie Suchen.3. Wählen Sie die relevanten OM-Objekte aus der Liste Verfügbar aus und wählen Sie OK.

5. Suchen Sie Rollen und ordnen Sie sie den OM-Objekten zu.1. Wählen Sie auf der Registerkarte Benutzerzugriff ein oder mehrere OM-Objekte aus und wählen Sie Rolle

zuordnen.Das Bild Rollen suchen wird angezeigt.

2. Suchen Sie die relevanten Rollen aus und wählen Sie anschließend OK.6. Für jede Zuordnung von OM-Objekt und Rolle können Sie Folgendes einstellen:

○ Gültig von○ Gültig bis○ Kommentare hinzufügen○ Aktion der Rollendefinition und -zuordnung

7. Wählen Sie Absenden.

4.2 Zugriffsanforderungsgenehmigung

Verwendung

Die Anwendung SAP Access Control bietet ein standardisiertes und zentrales Framework zur Anforderung von Benutzer- und Systemzugriff sowie zur Prüfung und Verwaltung dieser Anforderungen. Zum grundsätzlichen Benutzererstellungsprozess, wie er von den meisten System- und Sicherheitsadministratoren vorgeschlagen wird, gehören die unten genannten Schritte.

HinweisDer beschriebene Prozess ist ein Beispiel. Der Prozess Ihres Unternehmens kann davon abweichen und mehr oder weniger Schritte haben. In der Anwendung können Sie die Schritte bei Bedarf anpassen. Weitere Informationen finden Sie in der Customizing-Aktivität MSMP-Workflows bearbeiten unter Governance, Risk, and Compliance Access Control Workflow für Access Control .

Voraussetzungen

● Außerhalb der Anwendung haben Sie Ihre Geschäftsanforderungen identifiziert und Ihren Ansatz für die Verwaltung des Benutzer- und Systemzugriffs ausgewertet.

● In der Anwendung haben Sie die Prüfungs- und Genehmigungs-Workflows bearbeitet.

48 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsanforderungen verwalten

Sie bearbeiten die Workflows in der Customizing-Aktivität MSMP-Workflows bearbeiten unter Governance, Risk, and Compliance Access Control Workflow für Access Control .

Prozess

Die Benutzererstellung besteht aus den folgenden Verfahren:

1. Zugriffsanforderungen prüfen2. Zugriffsrisiken analysieren3. Risiken verwalten4. Anforderungen genehmigen

Die Anwendung erstellt dann die Benutzerzugriffsanforderungen.Sie können die Einstellungen der Rollendefinition und -zuordnung, wie z.B. E-Mail-Benachrichtigung und automatische Benutzererstellung, in der Customizing-Aktivität Einstellungen der Rollendefinition und -zuordnung bearbeiten unter Governance, Risk, and Compliance Access Control Benutzererstellungbearbeiten.

4.2.1 Zugriffsanforderungen prüfen und genehmigen

Verwendung

Auf dem Bild Zugriffsanforderung können Genehmigende Zugriffsanforderungen prüfen, ablehnen, ändern oder genehmigen.

Prozess

1. Um eine Zugriffsanforderung zu prüfen, führen Sie einen der folgenden Schritte aus:○ Wählen Sie im Arbeitsplatz Meine Startseite die Option Arbeitseingang.

Wählen Sie aus der Liste Workitems eine Zugriffsanforderung, um sie zu öffnen.○ Wählen Sie im Arbeitsplatz Zugriffsverwaltung unter der Menügruppe Zugriffsanforderungsverwaltung die

Option Anforderungen suchen.Suchen Sie nach einer Anforderung und wählen Sie Administrator, um sie zu öffnen und zu prüfen. Weitere Informationen finden Sie unter .

Sie gelangen auf das Bild Zugriffsanforderung, das Anforderer ebenfalls zum Absenden der Anforderung verwenden. Genehmigende können alle vom Anforderer eingegebenen Informationen einsehen. Darüber hinaus sehen Genehmigende zusätzliche Drucktasten und Felder, über die sie die Anforderung prüfen, ablehnen, ändern oder genehmigen können.

SAP Access ControlZugriffsanforderungen verwalten P U B L I C ( Ö F F E N T L I C H ) 49

HinweisSie können die Drucktasten und Felder konfigurieren, die Genehmigenden angezeigt werden. Sie können z. B. Genehmigenden erlauben, Rollen zu einer Anforderung hinzuzufügen. Weitere Informationen finden Sie unter .

2. Prüfen Sie die Anforderung und führen Sie die erforderlichen Aktionen wie Genehmigen, Ablehnen usw. durch.3. Wählen Sie rechts oben Stufe, um Informationen über die aktuelle Stufe des Genehmigungs-Workflows und

seinen Status anzuzeigen.4. Auf der Registerkarte Risikoüberschreitungen können Sie die Ergebnisse der vom Anforderer ausgeführten

Risikoanalyse anzeigen oder Ihre eigene Risikoanalyse durchführen.

HinweisSie können die Anwendung so konfigurieren, dass Genehmigende vor der Genehmigung von Anforderungen eine Risikoanalyse durchführen müssen. Weitere Informationen finden Sie unter .

5. Wenn Sie die Prüfung der Anforderung beendet haben, wählen Sie Absenden.

4.2.2 Vereinfachter Arbeitseingang

Verwendung

Über den vereinfachten Arbeitseingang können Sie die Zugriffsanforderungen anzeigen, die genehmigt werden müssen.

HinweisSie können Zugriffsanforderungen auch über den regulären Arbeitseingang bearbeiten. Weitere Informationen finden Sie unter Arbeitseingang [Seite 17].

Vorgehensweise

Verwenden Sie die unten beschriebene Vorgehensweise, um bestimmte Anforderungen zu finden:

1. Verwenden Sie den Slider oder die Eingabefelder zum Auswählen eines bestimmten Datums oder eines Datumsbereichs für Anforderungen, die Sie bearbeiten möchten.

2. Optional können Sie zur Eingrenzung der Suche eine Kategorie, wie Neues Benutzerkonto, auswählen.3. Optional können Sie die Anzahl der angezeigten Ergebnisse pro Seite auswählen.4. Optional können Sie ein Sortierkriterium, wie Anforderungsnummer oder Angefordert von, auswählen.

Das System ruft alle Ihren Kriterien entsprechenden Anforderungen ab.5. Klicken Sie auf eine Anforderungsnummer, um die zugehörigen Details anzuzeigen. Klicken Sie optional auf

das Flaggensymbol, um eine Anforderung zur Nachverfolgung zu markieren.

50 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsanforderungen verwalten

HinweisIhre Systemadministration muss Ihr System so konfigurieren, dass Sie die Prozesse der vereinfachten Zugriffsanforderung verwenden können. Weitere Informationen finden Sie im Installationsleitfaden für SAP Access Control 10.1, SAP Process Control 10.1 und SAP Risk Management 10.1 unter http://service.sap.com/instguides .

4.2.3 Risiken beim Genehmigen von Zugriffsanforderungen analysieren

Verwendung

Auf dem Bild Zugriffsanforderung können Sie eine Risikoanalyse und Schadensanalyse durchführen, bevor Sie Anforderungen genehmigen. Bei der Ausführung der Analyse stehen Ihnen die folgenden Optionen zur Verfügung:

● Auf der Registerkarte Risikoüberschreitungen können Sie die Analyse durchführen und die Ergebnisse sichern.

● Auf der Registerkarte Benutzerzugriff können Sie mithilfe der Funktion Simulation zunächst die Analyse durchführen und anschließend wählen, ob Sie die Ergebnisse sichern möchten.

Hinweis● Sie können die Anforderung so einstellen, dass Genehmigende die Risiken vor der Genehmigung von

Zugriffsanforderungen analysieren müssen. Sie bearbeiten diese Einstellung in der Customizing-Aktivität MSMP-Workflows bearbeiten unter Governance, Risk, and Compliance Access Control Workflow für Access Control . Wählen Sie in der Phase Pfade bearbeiten im Bereich Stufen bearbeiten die Option Aufgabeneinstellungen anzeigen. Markieren Sie das Feld Risikoanalyse obligatorisch und wählen Sie je nach Bedarf Ja oder Nein.

● Sie können Genehmigenden erlauben, Zugriffsanforderungen trotz Risiken zu genehmigen. Sie bearbeiten diese Einstellung in der Customizing-Aktivität MSMP-Workflows bearbeiten unter Governance, Risk, and Compliance Access Control Workflow für Access Control . Wählen Sie in der Phase Pfade bearbeiten im Bereich Stufen bearbeiten die Option Aufgabeneinstellungen anzeigen. Markieren Sie das Ankreuzfeld für das Feld Trotz Risiko genehmigen.

Vorgehensweise

Die folgende Vorgehensweise ist dieselbe, unabhängig davon, auf welcher Registerkarte Sie beginnen. Der einzige Unterschied ist, dass Sie bei der Simulation wählen können, ob Sie die Ergebnisse sichern möchten.

1. Wählen Sie im Arbeitsplatz Meine Startseite die Option Arbeitseingang. Wählen Sie im Bild Workitems die Option Zugriffsverwaltung. Wählen Sie eine Zugriffsanforderung.

SAP Access ControlZugriffsanforderungen verwalten P U B L I C ( Ö F F E N T L I C H ) 51

2. Führen Sie eine der folgenden Aktivitäten durch:○ Wählen Sie die Registerkarte Risikoüberschreitungen.○ Wählen Sie auf der Registerkarte Benutzerzugriff die Option Simulation.

3. Wählen Sie in der Dropdown-Box Analyseart die relevante Analyseart aus:○ Verwenden Sie Risikoanalyse zur Ermittlung von Überschreitungen, die der Rolle zugeordnete

Berechtigungen betreffen. Wenn die Berechtigungen z.B. Funktionstrennungsüberschreitungen zur Folge haben.

HinweisSie können SAP Access Control so konfigurieren, dass Firefighter-Zuordnungen automatisch in der Risikoanalyse eingeschlossen werden.

Sie bearbeiten diese Einstellung in der Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter Governance, Risk, and Compliance Access Control . Geben Sie für den Parameter FF-Zuordnungen in Risikoanalyse berücksichtigen folgende Werte ein:

Tabelle 12:

Spalte Wert

Parametergruppe Risikoanalyse

Parameter-ID 1038

Parameterwert Ja oder Nein nach Bedarf

○ Mit der Schadensanalyse ermitteln Sie Berechtigungsüberschreitungen, die andere Rollen betreffen. Dies bedeutet, dass die Berechtigungen für die ausgewählte Rolle in Kombination mit Berechtigungen für eine andere Rolle zu Überschreitungen führen.

4. Wählen Sie das System und das Regelwerk.5. Wählen Sie im Bereich Ergebnisoptionen das Format, die Art und zusätzliche Kriterien für die

Analyseergebnisse aus.

Beispiel

Tabelle 13:

Format: Kurzfassung

Art: Aktionsebene, Berechtigungsebene

Zusätzliche Kriterien: Geminderte Risiken einschließen

6. Wählen Sie Risikoanalyse ausführen.7. Im Bereich Ergebnis haben Sie die Wahl zwischen verschiedenen Anzeigemodi für die Analyseergebnisse.8. Wenn Sie eine Simulation ausführen, haben Sie die folgenden Möglichkeiten:

○ Wählen Sie Abbrechen, wenn Sie die Ergebnisse der Analyse nicht sichern möchten.

52 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsanforderungen verwalten

○ Wählen Sie Übernehmen, wenn Sie die Ergebnisse der Analyse sichern möchten. Die Informationen werden auf der Registerkarte Risikoüberschreitungen gesichert, und Sie können Sie bei jedem Öffnen der Anforderung anzeigen. Die Ergebnisse stehen auch dem Genehmigenden der Anforderung zur Verfügung.

9. Auf der Registerkarte Risikoüberschreitungen können Sie ein Risiko mindern, indem Sie das Risiko markieren und Risiko mindern wählen.

4.2.4 Risiken mindern

Voraussetzungen

Sie haben mindernde Kontrollen angelegt.

Kontext

Auf dem Bild Mindernde Kontrollen zuordnen können Sie Risiken, die während der Risikoanalyse und Schadensanalyse gefunden wurden, mindernde Kontrollen zuordnen.

Auf dem Bild können Sie auch Risiken für Rollen mindern, die nicht Teil der aktuellen Anforderung sind. Sie mindern z. B. gerade Risiken für John_Current_Request. Sie können auch Risikoüberschreitungen für John_Other_Request1 und John _Other_Request2 mindern. Wählen Sie Hinzufügen, um das Risiko hinzuzufügen und stellen Sie Schritt 4 der unten stehenden Vorgehensweise fertig.

HinweisDie Funktion Risiko mindern ist auf mehreren Bildern in der Anwendung verfügbar. Die unten stehende Vorgehensweise beschreibt einen Einstiegspunkt; Ihr Einstiegspunkt kann davon abweichen. Die Informationen stehen unabhängig vom Einstiegspunkt zur Verfügung.

Vorgehensweise

1. Wählen Sie auf dem Bild Zugriffsrisiken analysieren im Abschnitt Ergebnisse eine oder mehrere Risikoüberschreitungen aus und wählen Sie Risiko mindern.

Sie gelangen auf das Bild Mindernde Kontrollen zuordnen. Die Anwendung verwendet die Informationen aus der Risikoüberschreitung, wie z. B. die Zugriffsrisiko-ID, und zeigt die relevante mindernde Kontrolle an.

2. Um die von der Anwendung vorgeschlagene mindernde Kontrolle zu verwenden, gehen Sie wie folgt vor:1. Ändern Sie die Informationen in den relevanten Feldern wie den Gültigkeitszeitraum und die Kontroll-ID

nach Bedarf.2. Wählen Sie Absenden.

SAP Access ControlZugriffsanforderungen verwalten P U B L I C ( Ö F F E N T L I C H ) 53

3. Um eine neue Kontrolle anzulegen, gehen Sie wie folgt vor:1. Wählen Sie Kontrolle anlegen und stellen Sie die Aufgaben zum Anlegen einer neuen Kontrolle fertig.2. Wählen Sie Hinzufügen.

Die Anwendung fügt eine leere Zeile zur Liste der mindernden Kontrollen hinzu.3. Geben Sie Informationen in den relevanten Feldern für die neue Kontrolle ein.4. Wählen Sie Absenden.

4. Um mindernde Kontrollen für andere Rollen oder Anforderungen zuzuordnen, gehen Sie wie folgt vor:1. Wählen Sie Hinzufügen.

Die Anwendung fügt eine leere Zeile zur Liste der mindernden Kontrollen hinzu.2. Geben Sie Informationen in den relevanten Feldern für die neue Kontrolle ein.3. Wählen Sie Absenden.

Nächste Schritte

4.2.5 Aufgaben und Berechtigungen für Anforderungsgenehmigende bearbeiten

Kontext

Auf dem Bild Stufendetails der MSMP-Konfiguration können Sie die Aufgaben auswählen, die Genehmigenden auf dem Bild Zugriffsanforderung für Genehmigende zur Verfügung stehen, und festlegen, wofür sie Berechtigungen haben. Sie können z.B. zulassen, dass Genehmigende eine Anforderung ablehnen oder an einen anderen Genehmigenden weiterleiten.

Vorgehensweise

1. Wählen Sie die Customizing-Aktivität MSMP-Workflows bearbeiten unter Governance, Risk, and ComplianceAccess Control Workflow für Access Control .

Sie gelangen auf das Bild MSMP-Workflow-Konfiguration.2. Wählen Sie in der Phase Globale Einstellungen bearbeiten den Prozess für den Genehmigungs-Workflow für

Zugriffsanforderung aus und wählen Sie anschließend die Phase Pfade bearbeiten.3. Wählen Sie im Bereich Stufen bearbeiten die Option Aufgabeneinstellungen anzeigen.

Sie gelangen auf das Bild Stufendefinition.

54 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsanforderungen verwalten

4. Markieren Sie im Abschnitt Aufgabeneinstellungen die Ankreuzfelder für die Funktionen, die Sie Genehmigenden auf dem Zugriffsanforderungsbild zur Verfügung stellen möchten.

Tabelle 14:

Feld Beschreibung

Laufzeitkonfigurationsänderung OK Zur Laufzeit verfügbare Konfigurationsänderungen verwen­den

Neue Wegauswertung für neue Rollen Wenn diese Einstellung auf den Zugriffsanforderungs-Work­flow angewendet wird, ermöglicht sie Genehmigenden die Analyse und den Vergleich der Rollen in der Anforderung mit den Initiatoren, um zu ermitteln, ob ein weiterer paralle­ler Workflow angelegt werden muss. Sie können Folgendes einstellen:

○ Alle Rollen in AuswertungswegAlle Rollen neu auswerten.

○ Nur neue RollenNur neue Rollen neu auswerten.

○ KeineKeine Rollen neu auswerten.

Umleiten Dies ermöglicht es Genehmigenden, als Alternative zur Ab­lehnung der Anforderung die Anforderung an eine vorherige Stufe umzuleiten.

HinweisDer Genehmigungs-Workflow besteht aus Stufen und Pfaden. Bei einem Standardgenehmigenden zeigt die Anwendung die Umleitungsoption nicht in der ersten Stufe an, da keine vorherige Stufe vorhanden ist. Bei ei­nem Administrator ist die Umleitungsoption in allen Stu­fen verfügbar, da der Administrator die Anforderung an verschiedene Pfade senden kann.

Genehmigung bestätigen Hiermit wird ein zusätzliches Bild angezeigt, auf dem Ge­nehmigende bestätigen müssen, dass sie die Anforderung genehmigen.

Ablehnung bestätigen Hiermit wird ein zusätzliches Bild angezeigt, auf dem Ge­nehmigende bestätigen müssen, dass sie die Anforderung ablehnen.

Per E-Mail genehmigen Genehmigende erhalten E-Mails, die ihnen mitteilen, dass eine Anforderung ihre Aufmerksamkeit erfordert. Diese E-Mails enthalten einen Link, der das Bild der Benutzererstel­lung öffnet.

SAP Access ControlZugriffsanforderungen verwalten P U B L I C ( Ö F F E N T L I C H ) 55

Feld Beschreibung

Per E-Mail ablehnen Genehmigende erhalten E-Mails, die ihnen mitteilen, dass eine Anforderung ihre Aufmerksamkeit erfordert. Diese E-Mails enthalten einen Link, der das Bild der Benutzererstel­lung öffnet.

Trotz Risiko genehmigen Dies ermöglicht es Genehmigenden, Anforderungen trotz Risikoüberschreitungen zu genehmigen.

Genehmigung bestätigen Hierbei müssen Genehmigende vor der Genehmigung von Anforderungen ihre Identität bestätigen.

Ablehnung bestätigen Hierbei müssen Genehmigende vor der Ablehnung von An­forderungen ihre Identität bestätigen.

Details der Änderungsanforderung Dies ermöglicht Genehmigenden die Änderung des Inhalts von Anforderungen.

Genehmigungsstufe Dies ermöglicht es Genehmigenden, Anforderungen für die folgenden Stufen zu genehmigen:

○ AnforderungGenehmigende haben die Berechtigung, alle Rollen in einer Anforderung zu genehmigen. Sicherheitsgeneh­migende können z. B. alle für eine Anforderung rele­vanten Rollen genehmigen.

○ RolleGenehmigende können nur die Rollen, die ihnen gehö­ren, genehmigen.

○ System und RolleGenehmigende haben die Berechtigung, Systeme und Rollen zu genehmigen.

Ablehnungsstufe Dies ermöglicht es Genehmigenden, Anforderungen für die folgenden Stufen abzulehnen:

○ AnforderungGenehmigende haben die Berechtigung, alle Rollen in einer Anforderung abzulehnen. Sicherheitsgenehmi­gende können z. B. alle für eine Anforderung relevanten Rollen ablehnen.

○ RolleGenehmigende können nur die Rollen, die ihnen gehö­ren, ablehnen.

○ System und RolleGenehmigende haben die Berechtigung, Systeme und Rollen abzulehnen.

Kommentare obligatorisch Hierbei müssen Genehmigende beim Genehmigen oder Ab­lehnen einer Anforderung Kommentare eingeben.

56 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsanforderungen verwalten

Feld Beschreibung

ID der Benutzerpersonalisierung Die Benutzerpersonalisierung ermöglicht es Ihnen, das Ver­halten der Felder und Drucktasten auf dem Bild Zugriff anfordern zu definieren, z. B. Folgendes:

○ Vorschlagswerte für die Felder○ ob das Feld obligatorisch ist○ ob das Feld bearbeitbar ist○ ob das Feld auf dem Bild sichtbar ist

Sie stellen die Parameter in der Customizing-Aktivität Be­

nutzerpersonalisierung bearbeiten unter Governance,

Risk, and Compliance Access Control

Benutzererstellung ein.

Im Feld Benutzerpersonal.-ID geben Sie die ID der Benutzer­personalisierung ein, die Sie verwenden möchten.

Zuordnungsart übersteuern ○ direktRollen werden Benutzern zugeordnet.

○ indirektRollen werden Planstellen oder Organisationen zuge­ordnet.

○ kombinierte Rollendefinition und -zuordnung

HinweisIn der Konfiguration der Rollendefinition und -zuordnung müssen Sie auch Manuelle Rollendefinition und -zuordnung auf Wahr setzen.

Position hinzufügen Dies ermöglicht es Genehmigenden, Zuordnungen für Rol­len oder Systeme zur Anforderung hinzuzufügen.

Anforderung abgelehnt Dies ermöglicht Genehmigenden die Ablehnung von Anfor­derungen.

Weiterleitung zulässig Dies ermöglicht es Genehmigenden, Anforderungen an ei­nen anderen Genehmigenden weiterzuleiten.

Prüfungsbild anzeigen Dies ermöglicht Genehmigenden die Anzeige des Bilds Zugriffsprüfung.

Risikoanalyse obligatorisch Hierbei müssen Genehmigende vor dem Genehmigen oder Ablehnen einer Anforderung eine Risikoanalyse durchfüh­ren.

SAP Access ControlZugriffsanforderungen verwalten P U B L I C ( Ö F F E N T L I C H ) 57

Feld Beschreibung

E-Mail-Gruppe HinweisDie Anwendung verwendet dieses Feld nicht. Es wird nur für die Abwärtskompatibilität bereitgestellt.

Manuelle Rollendefinition und -zuordnung zulassen Dies ermöglicht Genehmigenden die direkte Rollendefini­tion und -zuordnung auf dem Bild der Stufengenehmigung.

5. Wählen Sie Sichern.

4.3 Zugriffsanforderungsverwaltung

Mit der Anwendung SAP Access Control können Sie Zugriffsanforderungen, Zuordnungen, Benutzerkonten und Prozesse verwalten und prüfen. Die Anwendung zeigt diese Funktionen in der Menügruppe Zugriffsanforderungsverwaltung an.

Um die Menügruppe anzuzeigen, gehen Sie wie folgt vor:

1. Wählen Sie bei der NWBC-Anmeldung oder Portalanmeldung den Arbeitsplatz Zugriffsverwaltung.2. Wählen Sie unter der Menügruppe Zugriffsanforderungsverwaltung die relevanten Aktivitäten:

○ Vorlagen anlegen und verwalten [Seite 58]○ Anforderungen suchen [Seite 59]○ Protokolle der Rollendefinition und -zuordnung anzeigen [Seite 61]○ Kennwort-Self-Service-Benutzerkonten entsperren und löschen [Seite 61]○ Genehmigendenvertretung [Seite 62]

4.3.1 Vorlagen anlegen und verwalten

Voraussetzungen

In der Customizing-Aktivität Benutzerpersonalisierung bearbeiten unter Governance, Risk, and ComplianceAccess Control Benutzererstellung haben Sie Benutzerpersonalisierungs-IDs angelegt.

Kontext

Auf dem Bild Vorlage für Zugriffsanforderung können Sie die Vorlagen anlegen, aktualisieren oder löschen. Mithilfe von Vorlagen können Sie das Anlegen von Zugriffsanforderungen vereinfachen, indem Sie Details definieren, die

58 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsanforderungen verwalten

Sie in Zugriffsanforderungen immer wieder verwenden. Zum Beispiel wissen Sie, dass Mitglieder des Finanzteams immer Zugriff zum Finanzsystem und immer die Rolle Finance_User benötigen. Sie können eine Vorlage mit diesen Details anlegen und diese zum Anlegen von Anforderungen für neue Mitglieder des Finanzteams verwenden. Die Anwendung fügt die Informationen aus der Vorlage automatisch in die neue Anforderung ein.

Vorgehensweise

1. Wählen Sie im Arbeitsplatz Zugriffsverwaltung unter der Menügruppe Zugriffsanforderungsverwaltung die Option Vorlagenverwaltung.

Sie gelangen auf das Bild Vorlage für Zugriffsanforderung.2. Wählen Sie Anlegen.3. Geben Sie auf der Registerkarte Vorlagendetails Informationen in die Mussfelder ein.

Die Benutzerpersonalisierungs-ID definiert die Felder und Vorschlagswerte auf dem Bild der Zugriffsanforderung.

4. Geben Sie auf der Registerkarte Zugriffsdetails nach Bedarf Details für Benutzer, Zugriff usw. ein.5. Wählen Sie Sichern.

4.3.2 Anforderungen suchen

Kontext

Mit den Funktionen auf dem Bild Anforderung suchen können Sie einen Bericht anlegen, der Anforderungen mit der Anforderungsart, der Priorität, dem Status, dem Fälligkeitsdatum und anderen Informationen auflistet. Auf dem Bild Anforderung suchen können Sie eine bestimmte Anforderung öffnen, um Informationen zur Anforderungsverwaltung anzuzeigen, das Revisionsprotokoll für eine Anforderung anzuzeigen und eine Anforderungsinstanz abzubrechen oder andere Änderungen vorzunehmen, wie Sie von Ihrer Konfiguration zulässig sind.

.

Vorgehensweise

1. Wählen Sie Zugriffsverwaltung Zugriffsanforderungsverwaltung Anforderungen suchen .

Sie gelangen auf das Bild Anforderung suchen.2. Geben Sie die Suchkriterien an.

SAP Access ControlZugriffsanforderungen verwalten P U B L I C ( Ö F F E N T L I C H ) 59

Gehen Sie wie folgt vor:

1. Wählen Sie in der ersten Dropdown-Box den Objekttyp aus.2. Wählen Sie in der zweiten Dropdown-Box einen der folgenden Operatoren aus:

○ ist○ ist nicht○ beginnt mit○ enthält

3. Geben Sie den Wert im dritten Feld ein oder wählen Sie ihn aus.4. Fügen Sie optional über die Drucktaste mit dem Pluszeichen (+) eine Zeile zu den Suchkriterien hinzu und

füllen Sie die entsprechenden Felder. Entfernen Sie alternativ eine Zeile aus den Suchkriterien über die entsprechende Drucktaste mit dem Minuszeichen (-).

3. Sichern Sie optional die Suchkriterien als Variante, indem Sie im Feld Variante sichern unter einen Namen eingeben und Sichern wählen.

4. Wählen Sie Suchen.

Das System zeigt die Suchergebnisse in der Tabelle an.5. Um das Revisionsprotokoll anzuzeigen, wählen Sie Revisionsprotokoll. Das Bild Revisionsprotokoll öffnet sich.

Sie können die Einträge des Revisionsprotokolls expandieren oder komprimieren sowie das Protokoll ausdrucken.

6. Um den Instanzstatus anzuzeigen, wählen Sie eine Anforderung in der Tabelle aus und wählen Sie Instanzstatus. Sie gelangen auf das Bild Zugriffsanforderungssuche, das die Instanzdetails anzeigt.

7. Um eine bestimmte Anforderung zu öffnen, wählen Sie die Anforderung in der Tabelle aus. Sie gelangen auf das Bild Zugriffsanforderung genehmigen.

Sie können die folgenden Anforderungsdetails über die entsprechende Registerkarte anzeigen:

○ Benutzerzugriff○ Risikoüberschreitungen○ Benutzerdetails○ Revisionsprotokoll○ Kommentare○ Anlagen

8. Um Informationen zur Anforderungsverwaltung anzuzeigen, wählen Sie eine Anforderung in der Tabelle aus und wählen Sie Verwaltung. Sie gelangen auf das Bild Anforderungsadministration.

Die Tabelle unten auf dem Bild zeigt alle Pfade für die Anforderung an. Wählen Sie einen Pfadlink, um ein Bild anzuzeigen, auf dem Sie die entsprechende Anforderung genehmigen können.

9. Um eine Instanz abzubrechen, wählen Sie die Anforderung in der Tabelle aus und wählen Sie Instanz abbrechen. Ein Bestätigungsdialog wird angezeigt.

Wählen Sie Ja, um die Workflow-Instanz abzubrechen, oder Nein, um den Dialog zu beenden, ohne die Instanz abzubrechen.

Gegebenenfalls haben Sie auch im nächsten eingeblendeten Dialogfenster die Möglichkeit, die Instanz abzubrechen.

60 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsanforderungen verwalten

4.3.3 Protokolle der Rollendefinition und -zuordnung anzeigen

Kontext

Auf dem Bild Protokolle der Rollendefinition und -zuordnung können Sie Aktivitäten der Rollendefinition und -zuordnung prüfen und bestätigen, dass die Rollendefinition und -zuordnung fertiggestellt wurde.

HinweisDas Protokoll der Rollendefinition und -zuordnung zeigt nur Informationen zu fertiggestellten Anforderungen an. Informationen über die Statusanzeige bei in Bearbeitung befindlichen Anforderungen finden Sie unter .

Vorgehensweise

1. Wählen Sie im Arbeitsplatz Zugriffsverwaltung unter der Menügruppe Zugriffsanforderungsverwaltung die Option Protokolle der Rollendefinition und -zuordnung.

Sie gelangen auf das Bild Protokolle der Rollendefinition und -zuordnung.2. Wählen Sie in den Suchfeldern die relevanten Kriterien aus und wählen Sie anschließend Suchen.

In der Tabelle Ergebnisse zeigt die Anwendung die Anforderungen an, die Ihre Suchkriterien erfüllen.

Die Tabelle zeigt Informationen wie den Status, die Aktion der Rollendefinition und -zuordnung und den Zeitstempel an.

4.3.4 Kennwort-Self-Service-Benutzerkonten entsperren und löschen

Voraussetzungen

Sie haben die Konfigurationsschritte in der Customizing-Aktivität Kennwort-Self-Service bearbeiten unter Governance, Risk, and Compliance Access Control Benutzererstellung fertiggestellt.

SAP Access ControlZugriffsanforderungen verwalten P U B L I C ( Ö F F E N T L I C H ) 61

Kontext

Auf dem Bild Kennwort-Self-Service verwalten können Sie Benutzerkonten, die aufgrund zu vieler fehlgeschlagener Anmeldeversuche gesperrt wurden, entsperren oder die Benutzerkonten löschen.

HinweisKennwortoptionen wie die Aktivierung oder Deaktivierung des Kennwort-Self-Service, die Anzahl der Versuche, die ein Benutzer beim Anmelden hat, bevor sein Benutzerkonto gesperrt wird, usw. können Sie in der Customizing-Aktivität Kennwort-Self-Service bearbeiten unter Governance, Risk, and Compliance Access Control Benutzererstellung konfigurieren.

Vorgehensweise

1. Wählen Sie im Arbeitsplatz Zugriffsverwaltung unter der Menügruppe Zugriffsanforderungsverwaltung die Option Kennwort-Self-Service verwalten.

Sie gelangen auf das Bild Kennwort-Self-Service verwalten.2. Geben Sie im Feld Benutzer-ID das Benutzerkonto ein.3. Um das Benutzerkonto zu entsperren, markieren Sie es und wählen Sie anschließend Benutzer entsperren.

Diese Aktion setzt die Anzahl der fehlgeschlagenen Anmeldeversuche auf null.4. Um das Benutzerkonto zu löschen, markieren Sie es und wählen Sie Löschen.

4.3.5 Genehmigendenvertretung

Kontext

Auf dem Bild Verwaltungsvertretung können Sie die Genehmigungsaufgaben eines Benutzers einem anderen Benutzer zuordnen. Als Administrator haben Sie z. B. die Berechtigung, die Genehmigungsaufgaben von Approver_A an Approver_B zu delegieren.

Vorgehensweise

1. Wählen Sie im Arbeitsplatz Zugriffsverwaltung unter der Menügruppe Zugriffsanforderungsverwaltung die Option Verwaltungsvertretung.

Sie gelangen auf das Bild Verwaltungsvertretung.

62 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsanforderungen verwalten

2. Um den Gültigkeitszeitraum oder den Status einer vorhandenen Vertretung zu ändern, wählen Sie eine Vertretung aus der Liste aus und wählen Sie dann Öffnen.

Ändern Sie den Gültigkeitszeitraum und Status nach Bedarf und wählen Sie Sichern.3. Um eine neue Vertretung anzulegen, wählen Sie Delegieren.

Geben Sie im Abschnitt Genehmigendendetails die Informationen zu der Person ein, die derzeit für die Genehmigungsaufgaben verantwortlich ist.

Geben Sie im Abschnitt Details der delegierten Genehmigung die Details zu der Person ein, der die Genehmigungsaufgaben zugeordnet werden sollen.

Nächste Schritte

Informationen über das Delegieren eigener Genehmigungsaufgaben an einen anderen Benutzer finden Sie unter Ihre Genehmigungsaufgaben delegieren [Seite 18].

4.3.6 Vorlagenbasierte Zugriffsanforderungen anlegen

Voraussetzungen

Der Administrator hat die Zugriffsanforderungsvorlagen angelegt. Weitere Informationen finden Sie unter Vorlagen anlegen und verwalten [Seite 58].

Kontext

Auf dem Bild Anforderung mit Vorlage anlegen können Sie neue Zugriffsanforderungen mithilfe von Vorlagen anlegen. Sie speichern häufig verwendete Informationen zu Zugriffsanforderungen in Vorlagen und verwenden diese dann zum Anlegen neuer Zugriffsanforderungen, die dieselben Informationen benötigen. Die Vorteile dieser Methode sind Konsistenz und Zeitersparnis.

Vorgehensweise

1. Wählen Sie im Arbeitsplatz Zugriffsverwaltung unter der Menügruppe Zugriffsanforderung die Option Vorlagenbasierte Anforderung.

Sie gelangen auf das Bild Anforderung mit Vorlage anlegen.2. Wählen Sie eine Vorlage aus und wählen Sie Weiter.

SAP Access ControlZugriffsanforderungen verwalten P U B L I C ( Ö F F E N T L I C H ) 63

Sie gelangen auf die Registerkarte Benutzerdetails. Die Anwendung füllt die Felder automatisch mit den Benutzerdetailinformationen aus der Vorlage.

3. Geben Sie in den Mussfeldern Informationen ein und nehmen Sie die relevanten Änderungen vor. Wählen Sie dann Weiter.

4. Geben Sie die erforderlichen Anforderungsdetails ein und wählen Sie Absenden.

Diese Schritte sind Teil der Standardvorgehensweise beim Anlegen von Zugriffsanforderungen.

Nächste Schritte

Weitere Informationen finden Sie unter Zugriffsanforderungen anlegen [Seite 23].

64 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsanforderungen verwalten

5 Zugriffsrisiken verwalten

Verwendung

Der Prozess zur Verwaltung von Risiken beinhaltet die Priorisierung und die Ausführung angemessener Aktionen, um die aufgetretenen Risiken auf der Grundlage der Risikoanalyseergebnisse zu bearbeiten. Abhängig von den Risikomerkmalen können unterschiedliche Methoden angewendet werden.

Prozess

1. Zugriffsrisikoanalyse durchführen2. Risikoüberschreitungen priorisieren

Ermitteln Sie anhand der Risikokriterien, welche Risiken zuerst bearbeitet werden sollten. Risiken mit dem potenziell höchsten Schaden für die gesamte Organisation sollten eine höhere Priorität haben. Das Priorisierungsergebnis sollte mit den wichtigsten Beteiligten vereinbart oder von diesen genehmigt werden.

3. Ursachen ermittelnErmitteln Sie die spezifischen Berechtigungen, die das Risiko eingeführt haben. Prüfen Sie für jeden Einzelbenutzer, ob der Zugriff für die Ausführung seiner Aufgaben angemessen ist.

4. Zugriff modifizierenDer bevorzugte Ansatz ist es, Risiken größtenteils zu eliminieren. Die Eliminierung eines Risikos sollte auf der untersten Stufe beginnen, d.h. durch die Behebung der Ursache.

5. Kontrollen zur Risikominderung definieren (wenn erforderlich)Wenn ein Risiko unvermeidbar ist oder als akzeptabel angesehen wird, müssen Kontrollen zur Risikominderung definiert und implementiert werden. Eine Kontrolldefinition kann die verbundenen Risiken, Ausführungshinweise, zuständige Personen und auszuführende Aktionen bei Richtlinienüberschreitungen enthalten.

HinweisWenn eine angemessene Kontrolle bereits vorhanden ist, können Sie diesen Schritt überspringen und mit Schritt 6 fortfahren.

6. Kontrollen zur Risikominderung zuordnenSie ermitteln eine für das Risiko angemessene Kontrolle und ordnen eine zuständige Person zu. Anschließend aktivieren Sie die Kontrolle und ordnen diese dem Risiko zu. Zusätzlich ordnen Sie eine Person zur Überwachung der geminderten Risiken zu.

7. Kontrollen ausführenDie zuständige Person (Überwacher) ist dafür verantwortlich, die in der Kontrolle dokumentierten Schritte in regelmäßigen Abständen auszuführen.

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 65

Abbildung 2: Workflow von Geschäftsverantwortlichen

Ergebnis

Die ermittelten Risiken werden durch Entfernen des Zugriffs und /oder durch Minderung behoben.

5.1 Mindernde Kontrollen

Verwendung

Über Mindernde Kontrollen können Sie Kontrollen mit Risiken verknüpfen und diese Benutzern, Rollen, Profilen oder HR-Objekten zuordnen. Sie können dann Personen als Kontrollmonitore oder Genehmigende definieren und sie bestimmten Kontrollen zuordnen. Sie können auch Organisationen und Geschäftsprozesse anlegen, um die Kategorisierung von mindernden Kontrollen zu unterstützen.

Im Bereich Mindernde Kontrollen können Sie die folgenden Aufgaben fertigstellen:

● Mindernde Kontrollen anlegen (die Sie nicht entfernen können)

66 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

● Mindernde Kontrollen Benutzern, Rollen und Profilen zuordnen, die ein Risiko beinhalten● Einen Zeitraum eingeben, in dem die Kontrolle gültig ist● Schritte zur Überwachung in Konflikt stehender, mit dem Risiko verknüpfter Aktionen festlegen● Administratoren, Kontrollmonitore, Genehmigende und Risikoverantwortliche anlegen und sie mindernden

Kontrollen zuordnen

Weitere Informationen

Mindernde Kontrollen suchen [Seite 67]

5.1.1 Mindernde Kontrollen suchen

Kontext

Sie können mindernde Kontrollen über das Bild für mindernde Kontrollen suchen und anzeigen.

Vorgehensweise

1. Wählen Sie Einrichtung Mindernde Kontrollen Mindernde Kontrollen .

Das Bild für die mindernden Kontrollen wird geöffnet und zeigt alle definierten mindernden Kontrollen an.2. Wählen Sie Filter, geben Sie die Kriterien in die Felder Kontroll-ID, Name, Beschreibung und Organisation ein

und drücken Sie Enter.

Die passenden Kontrollen werden in der Tabelle angezeigt.3. Wählen Sie eine Tabellenzeile aus und wählen Sie Öffnen, um Informationen zu einer bestimmten Kontrolle

anzuzeigen.

Nächste Schritte

Mindernde Kontrollen [Seite 66]

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 67

5.2 Regeleinrichtung

Der Arbeitsplatz Regeleinrichtung bietet einen zentralen Punkt zum Anlegen und Verwalten von Regeln zur Minderung von Zugriffsanforderungsrisiken.

HinweisDer Arbeitsplatz Regeleinrichtung wird von den Produkten Access Control, Process Control und Risk Management in der Anwendung GRC 10.1 gemeinsam genutzt. Die auf dem Bild verfügbaren Menügruppen und Quick Links hängen von den Anwendungen ab, für die Sie Nutzungsrechte erworben haben. Dieses Thema behandelt die für Access Control spezifischen Funktionen. Wenn Sie Nutzungsrechte für weitere Produkte (wie Process Control oder Risk Management) erworben haben, finden Sie weitere Informationen in den spezifischen Hilfesystemen.

Der Arbeitsplatz Regeleinrichtung enthält die folgenden Bereiche für Access Control:

● Zugriffsregelbearbeitung [Seite 79]● Kritische Zugriffsregeln [Seite 94]● Ausnahmezugriffsregeln [Seite 68]● Generierte Regeln [Seite 76]

5.2.1 Ausnahmezugriffsregeln

Verwendung

Ausnahmeregeln eliminieren anhand von Einschränkungen der Organisationsebene fälschlicherweise positiv eingestufte Werte. Dies ermöglicht ausnahmebasierte Berichte für Organisationsregeln und Zusatzregeln.

Weitere Informationen

Organisationsregeln [Seite 69]

Organisationsregel mithilfe des Assistenten anlegen [Seite 70]

68 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

5.2.1.1 Organisationsregeln

Verwendung

Die Funktion für die Organisationsregeln stellt einen zusätzlichen Filter für Ihre Funktionstrennungsberichte zur Verfügung. Organisationsregeln dienen der Eliminierung falscher positiver Risiken in Ihren Zugriffsrisikoanalyseberichten. Verwenden Sie diese Funktion nur für ausnahmenbasiertes Reporting.

Vor der Implementierung sollten die Unternehmen Analysen durchführen, um sicherzustellen, dass ihre Situation tatsächlich die Verwendung von Organisationsregeln erforderlich macht. Sie sollten Organisationsregeln nicht vor der Schwachstellenbehebungsphase Ihres Projekts anwenden. Sie sollten Organisationsregeln erst anlegen, wenn Sie ein mögliches Szenario für Organisationsrollen erkannt haben.

AchtungWenn Sie Organisationsregeln falsch anlegen, filtern Sie möglicherweise zu viele Daten heraus. Wenn Sie zu viele Daten herausfiltern, können Sie die möglichen Probleme im Hinblick auf Kontrollen bei Ihrem Zugriff nicht identifizieren. Aus einer Kontrollperspektive ist es viel sicherer, zu viel zu melden (fälschlicherweise positiv eingestellte Werte) als zu wenig (fälschlicherweise negativ eingestellte Werte).

EmpfehlungVielmehr sollten Organisationsregeln ausschließlich für ausnahmenbasiertes Reporting verwendet werden, um fälschlicherweise als positiv eingestufte Konflikte zu entfernen, die durch die Trennung der Organisationsebenen verursacht wurden.

Verwenden Sie Organisationsregeln nicht dafür, Benutzer in Berichten nach Organisationsebene zu gruppieren, um Funktionstrennungsberichte an verschiedene Verwaltungsebenen zu verschicken.

Aufgrund der erheblichen Leistungsbeeinträchtigung, die Organisationsregeln bewirken können, sollten Sie diese nur für Situationen verwenden, in denen sich das Unternehmen bewusst für eine Trennung mithilfe von Organisationsebenen entschieden hat.

BeispielEin Kunde besitzt ein gemeinsam genutztes Servicecenter. Dies ermöglicht einem Teammitglied das Bearbeiten von Lieferantenrechnungen und das Anlegen von Kreditorenzahlungen. In vielen Fällen kann diese Aktion ein äußerst risikoreicher Konflikt sein. Das gemeinsam genutzte Servicecenter hat seine Teammitglieder jedoch getrennt, sodass es einer einzelnen Person nicht möglich ist, die Rechnung zu bearbeiten und die Zahlung innerhalb der gleichen Organisationsebene anzulegen.

Weitere Informationen

Organisationsregel anlegen [Seite 70]

Organisationsregel mithilfe des Assistenten anlegen [Seite 70]

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 69

5.2.1.1.1 Organisationsregel mithilfe des Assistenten anlegen

Verwendung

Der Organisationsregelassistent beschleunigt den Prozess des Anlegens einer Organisationsregel und beseitigt mögliche ungültige Einträge, die manuell getätigt wurden.

Vorgehensweise

Führen Sie die folgenden Schritte aus:

1. Navigieren Sie im Arbeitsplatz Einrichtung zum Bereich Ausnahmezugriffsregeln. Wählen Sie Assistent zum Anlegen von Organisationsregeln.

2. Übersicht – Lesen Sie die Anweisungen in der ersten Stufe und wählen Sie Weiter.3. System und Regelwerk auswählen – Wählen Sie das ERP-System aus, das Sie bearbeiten möchten.

Wählen Sie ein oder mehrere erforderliche Regelwerke aus. Sie können mehrere Regelwerke auswählen, indem Sie die Strg-Taste gedrückt halten und mehrere Regelwerke markieren. Wählen Sie Weiter.

4. Organisationsebenen prüfen – Wählen Sie die Organisationsebenen von bestehenden Risiken aus. Wählen Sie Weiter.

5. Organisationswerte auswählen – Wählen Sie die Werte der Organisationsebene aus dem ERP-System aus. Sie können Werte, die Sie nicht verwenden möchten, auch entfernen. Wählen Sie Weiter.

6. Organisationsregeln prüfen – Prüfen Sie die Regeln. Verwenden Sie das Feld Organisationsregelformat, um ein gemeinsames Präfix für alle zu generierenden Regeln hinzuzufügen, um die Sortierung zu vereinfachen. Wählen Sie Weiter.

7. Regeln generieren – Wählen Sie Regeln generieren, um die Aufgabe abzuschließen.

5.2.1.1.2 Organisationsregel anlegen

Verwendung

Verwenden Sie diese Funktion nur für ausnahmenbasiertes Reporting.

Voraussetzungen

Sie können Organisationsregeln nur anlegen, nachdem Sie ein mögliches Organisationsregelszenario identifiziert haben.

70 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

Vorgehensweise

Um eine Organisationsregel anzulegen gehen Sie vor wie folgt:

1. Wählen Sie Einrichtung Ausnahmezugriffsregeln Organisationsregeln .2. Wählen Sie Anlegen.

Das Bild Organisationsregeln wird angezeigt.3. Geben Sie in den Mussfeldern die relevanten Informationen ein. Mussfelder sind mit einem Asterisk (*)

gekennzeichnet.

Hinweis○ Organisationsregel-ID: ID für die Organisationsregel. Geben Sie einen 10-stelligen alphanumerischen

Namen ein, mit Unterstrichen (_). Leerzeichen sind nicht zulässig.○ ID der übergeordneten Organisationsregel: Wenn Sie eine ganz neue Organisationsregel anlegen, ist

dieses Feld nicht erforderlich. Wenn Sie eine Organisationsregel basierend auf einer vorher angelegten Regel anlegen, wählen Sie die ID der übergeordneten Organisationsregel, die Sie verwenden möchten.

○ Risiko-ID: Treffen Sie eine Auswahl in der Liste der verfügbaren Risiko-IDs.○ Beschreibung: Geben Sie eine Beschreibung für diese Regel ein.

4. Wählen Sie System, wenn Sie die Organisationsregel nur für bestimmte Systeme aktivieren möchten.

HinweisDie Begrenzung der Regeln auf bestimmte Systeme kann zur Verbesserung der Performance beitragen.

5. Wählen Sie Hinzufügen, um mehr als eine Organisationseinheit und die entsprechenden Werte für Dauer, Bedingung oder Status der Organisationsregel hinzuzufügen. Wählen Sie Entfernen, um eine zuvor eingegebene Organisationsebene zu entfernen.

6. Wählen Sie Sichern.Das System gibt eine Bestätigungsmeldung aus, die besagt, dass die Daten gesichert wurden.

7. Wählen Sie Abschließen, um die von Ihnen angelegte Organisationsregel anzuzeigen.

Ergebnis

Die Organisationsregel-ID wird zur Liste der Organisationsregeln hinzugefügt.

Weitere Informationen

Organisationsregeln [Seite 69]

Organisationsregel ändern [Seite 72]

Organisationsregel löschen [Seite 73]

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 71

5.2.1.1.3 Organisationsregel ändern

Verwendung

Über diese Funktion können Sie eine vorhandene Organisationsregel ändern.

Vorgehensweise

1. Wählen Sie Einrichtung Ausnahmezugriffsregeln Organisationsregeln .Das Bild Organisationsregeln wird angezeigt.

2. Wählen Sie die Organisationsregel-ID für die Organisationsregel, die Sie ändern möchten und dann Öffnen.Das Bild für die von Ihnen gewählte Organisations-ID wird angezeigt; hier können Sie die Änderungen eingeben.

3. Ändern Sie die Organisationsregeln wie erforderlich.Sie können nur in den folgenden Feldern Daten ändern.○ ID der übergeordneten Organisationsregel○ Beschreibung

Auf der Registerkarte OrgEbene können Sie Daten in den folgenden Feldern ändern:○ Wert von○ Wert bis○ Bedingung○ Status

HinweisAuf der Registerkarte Systeme können Sie keine Informationen für die IDs der übergeordneten Organisationsregeln ändern.

4. Wählen Sie Sichern.Das System gibt eine Bestätigungsmeldung aus, die besagt, dass die Daten gesichert wurden.

5. Wählen Sie Schließen.

Viele Organisationsregeln ändern

Administratoren können in der Customizing-Aktivität (Transaktion SPRO) unter Governance, Risk, and Compliance Access Control Zugriffsrisikoanalyse Funktionstrennungsregeln eine große Anzahl an Organisationsregeln anlegen und ändern:

● Upload zusätzlicher Regeln● Download zusätzlicher Regeln

Weitere Informationen

Organisationsregel anlegen [Seite 70]

72 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

Organisationsregel löschen [Seite 73]

Organisationsregeln [Seite 69]

5.2.1.1.4 Organisationsregel löschen

Kontext

Über diese Funktion können Sie eine vorhandene Organisationsregel löschen.

AchtungDurch das Löschen einer Organisationsregel wird jede aus dieser Organisationsregel generierte Regel ungültig.

Vorgehensweise

1. Wählen Sie Einrichtung Ausnahmezugriffsregeln Organisationsregeln .

Sie gelangen auf das Bild Organisationsregeln.2. Wählen Sie die Organisationsregel-ID für die Organisationsregel, die Sie löschen möchten und dann Löschen.

Ein Bestätigungsbild wird angezeigt.3. Wählen Sie OK.4. Wählen Sie Schließen.

Nächste Schritte

Organisationsregel anlegen [Seite 70]

Organisationsregel ändern [Seite 72]

Organisationsregeln [Seite 69]

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 73

5.2.1.2 Zusatzregel anlegen

Verwendung

Legen Sie eine Zusatzregel an, um korrekte Analyseergebnisse für eine Überschreitung sicherzustellen, die möglicherweise als falscher positiver Wert gemeldet wird.

Vorgehensweise

Um eine Zusatzregel anzulegen gehen Sie vor wie folgt:

1. Wählen Sie Einrichtung Zusatzregeln .2. Wählen Sie Anlegen.3. Wählen Sie das Zielsystem, in dem sich diese Zusatzregel befindet, aus der Dropdown-Liste System aus.

Um dieselbe Regel in mehreren Zielsystemen anzulegen, müssen Sie eine Regel für jedes System anlegen.4. Geben Sie die Funktions-ID ein. Hierbei wird eine zusätzliche Prüfung erforderlich, mit der festgestellt wird, ob

der Benutzer die Funktion durchführen kann. Wenn Ihnen die Funktions-ID nicht bekannt ist, wählen Sie Suchen.

5. Geben Sie eine Risiko-ID ein (optional). Wenn Ihnen die Funktions-ID nicht bekannt ist, wählen Sie Filter.6. Geben Sie eine Beschreibung für die Zusatzregel ein.7. Geben Sie den Namen einer Datenbanktabelle ein.

Sie können eine benutzerdefinierte Tabelle oder eine von SAP ausgelieferte Tabelle eingeben.8. Geben Sie die Benutzer-ID oder den Rollennamen im Feld Feldnamen prüfen ein (in der Regel BNAME oder

UNAME).9. Die Dropdown-Box Überschreitungen einschließen steuert, ob der Bericht zu Funktionstrennungskonflikten

Überschreitungen für die Objekte (Benutzer, Rolle, Profil usw.) einbezieht oder ausschließt.Um festzulegen, dass die Überschreitungen für die Objekte (Benutzer, Rollen, Profile usw.), die den Zusatzregelkriterien entsprechen, in die Berichte aufgenommen werden, wählen Sie Ja.Wenn Sie Nein wählen, dann schließt der Bericht die Überschreitungen für die Objekte (Benutzer, Rollen, Profile usw.) aus, die den Kriterien der Zusatzprüfung entsprechen.

HinweisWenn Sie Platzhalterwerte abgleichen, verlangt der jeweilige Platzhalterwert eine exakte Übereinstimmung des Eintrags in der Regel mit dem in der SAP-Tabelle zu prüfenden Eintrag.

Ergebnis

Wenn Sie den Parameter Zusätzliche Funktionstrennungsanalyse verwenden auf Ja setzen, berücksichtigt das System die Zusatzregel beim Generieren des Berichts.

74 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

Weitere Informationen

Zusatzregel ändern [Seite 75]

Zusatzregel löschen [Seite 75]

5.2.1.2.1 Zusatzregel ändern

Vorgehensweise

1. Wählen Sie Einrichtung Ausnahmezugriffsregeln Zusatzregeln .2. Wählen Sie Filter.

Oben in der Liste der Zusatzregeln wird eine leere Zeile angezeigt.3. Geben Sie Suchkriterien ein, um die Zusatzregeln zu finden, die Sie bearbeiten möchten.4. Wenn Sie die Zusatzregeln gefunden haben, bearbeiten Sie diese und wählen Sie Sichern.

Eine Bestätigungsmeldung wird angezeigt.

Nächste Schritte

Zusatzregel anlegen [Seite 74]

Zusatzregel löschen [Seite 75]

5.2.1.2.2 Zusatzregel löschen

Vorgehensweise

1. Wählen Sie Einrichtung Ausnahmezugriffsregeln Zusatzregeln .2. Wählen Sie Filter.

Oben in der Liste der Zusatzregeln wird eine leere Zeile angezeigt.3. Geben Sie Suchkriterien ein, um die Zusatzregel zu finden, die Sie löschen möchten.4. Wenn Sie die Zusatzregel gefunden haben, markieren Sie das Ankreuzfeld neben der Regel und wählen Sie

Löschen.

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 75

Eine Bestätigungsmeldung wird angezeigt.5. Wählen Sie OK.

Nächste Schritte

Zusatzregel anlegen [Seite 74]

Zusatzregel ändern [Seite 75]

5.2.1.3 Generierte Regeln

Verwendung

Die Zugriffsrisikoanalyse bearbeitet die von Ihnen definierten Zugriffsrisiken. Sie generiert Regeln auf Basis von Aktionen oder Berechtigungen, die in einem Zugriffsrisiko enthalten sind.

Verwenden Sie diese Funktion, um Berichte anzuzeigen, die Ergebnisse von Regeln enthalten, die über die Funktion Zugriffsrisiken generiert wurden.

Beim Generieren von Aktionsrisiken zur Funktionstrennung legt die Zugriffsrisikoanalyse eine separate Regel für jede Aktionskombination an, die ein Risiko darstellt.

BeispielWenn das Zugriffsrisiko zwei Funktionen umfasst, von denen beide jeweils fünf Aktionen haben und das Zugriffsrisiko zwei Systeme betrifft, dann generiert die Zugriffsrisikoanalyse 20 verschiedene Regeln aus dem Zugriffsrisiko.

BeispielEin Zugriffsrisiko (P086) enthält die folgenden drei Funktionen:

● MD12 mit 21 Aktionen● BR08 mit 46 Aktionen● TS22 mit 34 Aktionen

Wenn das Zugriffsrisiko auf drei verschiedene SAP-Versionen zutrifft, die in Ihrer Umgebung ausgeführt werden, dann werden aus P086 98.532 (21x46x34x3) verschiedene Regeln generiert.

HinweisDie maximal zulässige Anzahl an Funktionstrennungsregeln pro Risiko ist 1.679.615. Wenn die Zugriffsrisikoanalyse versucht, ein Zugriffsrisiko zu verarbeiten, das mehr als die maximale Anzahl an Regeln generiert, dann gibt das System die folgende Fehlermeldung aus:

FEHLER: Risiko: #### überschreitet die maximale Anzahl an Regeln (46.655), die für ein Risiko generiert werden können.

76 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

Weitere Informationen

Zugriffsregelübersicht [Seite 77]

Zugriffsregeldetails [Seite 78]

Zugriffsrisiken [Seite 90]

Ausnahmezugriffsregeln [Seite 68]

Organisationsregeln [Seite 69]

5.2.1.3.1 Zugriffsregelübersicht

Kontext

Verwenden Sie das Bild Zugriffsregelübersicht, um einen Bericht der Zugriffsregelübersicht anzuzeigen.

Vorgehensweise

1. Wählen Sie Einrichtung Generierte Regeln Zugriffsregelübersicht .

Sie gelangen auf das Bild Zugriffsregelzusammenfassung.2. Geben Sie Selektionskriterien ein, um die Ergebnisse für Ihren Bericht einzuschränken.3. Wählen Sie Im Vordergrund ausführen oder Im Hintergrund ausführen, um sich den Bericht anzeigen zu

lassen.

Wenn Sie eine große Ergebnismenge generieren, sollten Sie eine Ausführung des Berichts im Hintergrund erwägen.

Wenn Sie Im Hintergrund ausführen wählen, zeigt das System das Dialogfenster Hintergrundjob-Scheduler an. Geben Sie die Details für den Scheduler ein und wählen Sie anschließend OK. Auf dem Bild Benutzerebene wird die Jobnummer angezeigt.

Um sich den Job anzeigen zu lassen, navigieren Sie zu Zugriffsverwaltung EinplanungHintergrundjobs .

Wenn Sie Im Vordergrund ausführen ausgewählt haben, bestätigen Sie über OK, dass Sie die Analyse sofort ausführen möchten. Die Analyseergebnisse werden in einem neuen Fenster angezeigt.

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 77

Ergebnisse

Die Zugriffsregelzusammenfassung zeigt die Beziehungen zwischen Funktionen und Zugriffsrisiken an.

Nächste Schritte

Zugriffsrisiken [Seite 90]

Zugriffsregeldetails [Seite 78]

Generierte Regeln [Seite 76]

5.2.1.3.2 Zugriffsregeldetails

Voraussetzungen

Sie müssen zunächst über die Funktion Zugriffsrisiken Regeln generieren, bevor Sie sich den Bericht zu Zugriffsregeldetails anzeigen lassen können.

Kontext

Verwenden Sie das Bild Zugriffsregeldetails, um einen Bericht der Zugriffsregeldetails anzuzeigen.

Vorgehensweise

1. Wählen Sie Einrichtung Generierte Regeln Zugriffsregeldetails .

Sie gelangen auf das Bild Zugriffsregeldetailbericht.2. Geben Sie Selektionskriterien ein, um die Ergebnisse für Ihren Bericht einzuschränken.3. Wählen Sie Im Vordergrund ausführen oder Im Hintergrund ausführen.

Wenn Sie eine große Ergebnismenge generieren, sollten Sie eine Ausführung des Berichts im Hintergrund erwägen.

Wenn Sie Im Hintergrund ausführen wählen, zeigt das System das Dialogfenster Hintergrundjob-Scheduler an. Wählen Sie die Scheduler-Details aus und anschließend OK. Auf dem Bild Benutzerebene wird die Jobnummer angezeigt.

78 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

Um sich den Job anzeigen zu lassen, navigieren Sie zu Zugriffsverwaltung EinplanungHintergrundjobs .

Wenn Sie Im Vordergrund ausführen ausgewählt haben, bestätigen Sie über OK, dass Sie die Analyse sofort ausführen möchten. Die Analyseergebnisse werden in einem neuen Fenster angezeigt.

Ergebnisse

Der Zugriffsregeldetailbericht zeigt für Aktionen und Berechtigungen generierte Regeln an.

Nächste Schritte

Zugriffsrisiken [Seite 90]

Zugriffsregelübersicht [Seite 77]

Generierte Regeln [Seite 76]

5.2.2 Zugriffsregelbearbeitung

Verwendung

Über den Bereich Zugriffsregelbearbeitung können Sie die folgenden Zugriffsregelentitäten verwalten:

● Regelwerke – Diese Kategorien oder Gruppierungen von Rollen werden primär dafür verwendet, die Zugriffsrisikogruppe zu ermitteln, die beim Ausführen einer Zugriffsrisikoanalyse angewendet werden soll.

● Funktionen – Eine Sammlung einer oder mehrerer Aktionen, die ein Mitarbeiter zum Ausführen eines bestimmten Ziels durchführen muss.

● Zugriffsrisiko – Diese Objekte erkennen mögliche Zugriffsprobleme, die eventuell auf Ihr Unternehmen zukommen.

Funktionsumfang

Wenn Sie den Bereich für die Zugriffsregelbearbeitung verwenden, haben Sie folgende Möglichkeiten:

● Suchen und Anzeigen von vorhandenen Regelwerken, Funktionen und Zugriffsrisiken● Anlegen von neuen Regelwerken, Funktionen und Zugriffsrisiken● Ändern von neuen Regelwerken, Funktionen und Zugriffsrisiken● Löschen von Regelwerken, Funktionen und Zugriffsrisiken je nach Bedarf

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 79

Weitere Informationen

Regelwerke [Seite 80]

Funktionen [Seite 85]

Zugriffsrisiken [Seite 90]

5.2.2.1 Regelwerke

Verwendung

Regelwerke sind beliebige Definitionen, die nur für Zugriffsrisiken und Regeln gelten. Sie definieren Kategorien oder Gruppierungen von Regeln. Ein Regelwerk wird hauptsächlich zur Ermittlung der Gruppe von Zugriffsrisiken verwendet, die bei der Ausführung einer Zugriffsrisikoanalyse verwendet werden sollen.

Wenn Sie den Link Regelwerk auswählen, dann wird das Bild Regelwerke angezeigt, das die vorhandenen Regelwerke auflistet, für die Sie eine Zugriffsberechtigung haben.

Auf dem Bild Regelwerk haben Sie folgende Möglichkeiten:

● Sie können Suchkriterien eingeben, um ein bestimmtes Regelwerk über die Drucktaste Filter zu finden.● Sie können eine neue Abfrage definieren.● Sie können die Spalteneinstellungen neu anordnen, um eine personalisierte Ansicht des Bildes zu erhalten.

Aktivitäten

Zu den mit dem Management von Risiken verbundenen Aufgaben gehören das Anlegen, Anzeigen, Ändern und Löschen von Regelwerken.

Weitere Informationen

Neues Regelwerk anlegen [Seite 81]

Regelwerk anzeigen [Seite 82]

Regelwerk ändern [Seite 83]

Regelwerk löschen [Seite 83]

80 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

5.2.2.1.1 Neues Regelwerk anlegen

Kontext

Ein Regelwerkt enthält eine Identifikation und eine Beschreibung. Zum Anlegen eines Regelwerks wählen Sie einen Namen und geben eine Beschreibung ein.

Vorgehensweise

1. Wählen Sie Einrichtung Zugriffsregelbearbeitung Regelwerke .2. Wählen Sie Anlegen.

Sie gelangen auf das Bild Regelwerke: Neu.3. Geben Sie die jeweiligen Werte in die Felder ein:

○ Regelwerk-ID: Geben Sie einen Namen für das Regelwerk ein. Dieser Name sollte für andere Benutzer Ihrer Organisation leicht verständlich sein.

○ Beschreibung: Geben Sie die Beschreibung des Regelwerks ein. Diese Beschreibung sollte für andere Benutzer Ihrer Organisation leicht verständlich sein.

4. Wählen Sie Sichern.

Ergebnisse

Die Zugriffsrisikoanalyse sichert das neue Regelwerk.

Nächste Schritte

Regelwerk anzeigen [Seite 82]

Regelwerk ändern [Seite 83]

Regelwerk löschen [Seite 83]

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 81

5.2.2.1.2 Regelwerk anzeigen

Kontext

Um ein Regelwerk zu bearbeiten oder zu löschen, müssen Sie das Regelwerk zunächst suchen und anzeigen.

Vorgehensweise

1. Wählen Sie Einrichtung Zugriffsregelbearbeitung Regelwerke .

Sie gelangen auf das Bild Regelwerke.2. Wählen Sie Filter.

Oben in der Liste der Regelwerke wird eine leere Zeile angezeigt.3. Geben Sie Text in die Felder Regelwerk-ID und Beschreibung ein, um die Anzahl an Ergebnissen zu filtern.

Drücken Sie anschließend Enter.

Der Filter gibt sämtliche Regelwerke aus, die den Suchkriterien entsprechen. Wenn Sie den Text in diesen Feldern nicht filtern, gibt die Suche alle vorhandenen Regelwerke zurück. Die Suche unterstützt Platzhalter (*).

Ergebnisse

Die Anzahl der von der Suche zurückgegebenen Regelwerke hängt davon ab, inwieweit Sie Ihre Suchkriterien eingeschränkt haben. Wenn die Suche nicht die erwarteten Regelwerke hervorbringt, führen Sie die Suche mit noch weiter eingeschränkten Suchkriterien erneut durch.

Nächste Schritte

Neues Regelwerk anlegen [Seite 81]

Regelwerk ändern [Seite 83]

Regelwerk löschen [Seite 83]

82 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

5.2.2.1.3 Regelwerk ändern

Kontext

Sie können ausschließlich die Beschreibung eines Regelwerks ändern. Wenn Sie ein Regelwerk angelegt haben, können Sie dessen ID nicht ändern.

Vorgehensweise

1. Suchen Sie das zu bearbeitende Regelwerk wie unter beschrieben.2. Markieren Sie das Regelwerk und wählen Sie Öffnen.

Das Feld Beschreibung für das Regelwerk ist nun weiß unterlegt. Dadurch ist erkennbar, dass Sie das Textfeld bearbeiten können.

3. Bearbeiten Sie den Text und wählen Sie Sichern.

Die Registerkarte Änderungshistorie auf dem Regelwerksbild zeigt alle Änderungen für das ausgewählte Regelwerk an.

Nächste Schritte

Neues Regelwerk anlegen [Seite 81]

Regelwerk anzeigen [Seite 82]

Regelwerk löschen [Seite 83]

5.2.2.1.4 Regelwerk löschen

Voraussetzungen

Bevor Sie das Regelwerk löschen können, müssen Sie die Regelwerkzuordnung von allen Zugriffsrisiken entfernen, indem Sie jedem einzelnen Zugriffsrisiko ein anderes Regelwerk zuordnen.

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 83

Kontext

Sie können ein Regelwerk löschen. Wenn das Regelwerk allerdings einem anderen Regelwerk, einem Zugriffsrisiko oder einer Regel zugeordnet ist, können Sie es nicht löschen.

Vorgehensweise

1. Suchen Sie das zu löschende Regelwerk wie unter beschrieben.2. Wählen Sie das Regelwerk aus, das Sie löschen möchten, und wählen Sie Löschen.

Über ein Dialogfenster werden Sie aufgefordert zu bestätigen, dass Sie das Regelwerk löschen möchten.

Nächste Schritte

Neues Regelwerk anlegen [Seite 81]

Regelwerk anzeigen [Seite 82]

Regelwerk ändern [Seite 83]

5.2.2.2 Funktionen und Risiken

Verwendung

Eine Funktion ist eine Gruppierung von einer oder mehreren Aktionen. Ein Zugriffsrisiko ist ein Objekt, das mit zwei oder mehr miteinander in Konflikt stehenden Funktionen oder einer kritischen Aktion und einer kritischen Berechtigung verknüpft ist. Kritische Aktionen und kritische Berechtigungen werden auch als Attribute bezeichnet. Die Attribute haben Einfluss darauf, wie ein Zugriffsrisiko in eine Zugriffsregel übersetzt wird.

Wenn Sie ein Zugriffsrisiko definieren, legen Sie eine Kombination von Funktionen fest, die das Zugriffsrisiko für einen Mitarbeiter repräsentieren.

HinweisDie Definition eines Risikos schließt andere Attribute mit ein, die Einfluss darauf haben, wie ein Risiko in Regeln übersetzt wird. Die Kondition, die das Bestehen eines Risikos bestimmt, besteht aus einer oder mehreren Funktionen, die in Kombination einen Konflikt auslösen.

Einer Funktion zugeordnete Aktionen bilden die Aufgaben, die ein Mitarbeiter durchführen können muss, um ein bestimmtes Ziel zu erreichen.

Kombinierte Funktionen können jedoch auch miteinander in Konflikt stehen.

84 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

BeispielEin Mitarbeiter, der Zugriff auf Bestandssätze hat, sollte keine Berechtigung für das Unterschreiben von Lieferungen haben. Wenn Sie diese beiden Funktionen kombinieren, stellen sie ein Zugriffsrisiko dar.

Weitere Informationen

Funktionen [Seite 85]

Zugriffsrisiken [Seite 90]

5.2.2.2.1 Funktionen

Verwendung

Funktionen sind die Bausteine von Zugriffsrisiken. Sie definieren eine Sammlung einer oder mehrerer Aufgaben, die ein Mitarbeiter zum Ausführen und Erreichen eines bestimmten Ziels benötigt.

Diese Aufgaben heißen Aktionen.

Funktionsumfang

Funktionen besitzen die folgenden Attribute:

Tabelle 15: Funktionsattribute

Attribut Beschreibung

Funktions-ID Kennung einer Funktion

Beschreibung Kurze Klartextbeschreibung der Funktion, die Benutzern die Art der Funktion verdeutlicht

Geschäftsprozess Ein Wert, der definiert, zu welchem Geschäftsprozess diese Funktion gehört. Er dient Kategorisierungszwecken.

Analyseumfang Parameter, der bestimmt, ob die Funktion nur für ein einzel­nes System (z.B. SAP) oder für mehrere Systeme gilt

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 85

Aktivitäten

Wenn Sie eine Funktion definieren, verknüpfen Sie eine oder mehrere Aktionen mit der Funktion. Jede dieser Aktionen besitzt eine verknüpfte Berechtigung (Sicherheitsobjekt), die den Zugriffsumfang für die Aktion definiert.

Weitere Informationen

Funktion anlegen [Seite 86]

Funktion suchen und anzeigen [Seite 87]

Funktion ändern [Seite 88]

Funktion löschen [Seite 89]

5.2.2.2.1.1 Funktion anlegen

Kontext

Sie können eine Funktion anlegen, indem Sie diese mit einer ID und einer Beschreibung versehen und indem Sie deren Attribute festlegen.

Vorgehensweise

1. Wählen Sie Einrichtung Zugriffsregelbearbeitung Funktionen .2. Wählen Sie Anlegen.

Sie gelangen auf das Bild Funktion: Neu.3. Geben Sie die grundlegenden Attribute der Funktion ein:

1. Geben Sie im Feld Funktions-ID den achtstelligen Code für die Funktion ein.Die meisten Unternehmen bevorzugen bei diesem Code eine bestimmte Namenskonvention. SAP GRC Access Control ordnet Standardfunktionen einen vierstelligen Code zu.

2. Geben Sie im Feld Beschreibung eine rein textliche Beschreibung für die Funktion ein.Sie verwenden diese Beschreibung, um die Funktion auf der Oberfläche identifizieren zu können.

3. Wählen Sie aus dem Dropdown-Menü Geschäftsprozess den Geschäftsprozess aus, zu dem diese Funktion gehört.Das Feld Geschäftsprozess ist ein Mussfeld. Es wird dringend empfohlen, jede Funktion mit ihrem angemessenen Geschäftsprozess zu verbinden, es sei denn, die Funktion gehört zu mehr als einem Prozess.

86 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

4. Wählen Sie aus dem Dropdown-Menü Analyseumfang entweder Einzelsystem oder Übergreifendes System aus.○ Wählen Sie Einzelsystem, wenn sich die Funktion auf eine Unternehmensplattform (SAP- oder Nicht-

SAP-System) bezieht.○ Wählen Sie Übergreifendes System, wenn sich die Funktion auf mehrere Unternehmensplattformen

(SAP- und Nicht-SAP-Systeme) bezieht.4. Sie können die Funktion mit einer Aktion oder mit einer Berechtigung verknüpfen. Verwenden Sie die Liste

Aktion, um eine Aktion mit einer Funktion zu verknüpfen, um eine Aktion zu der Liste hinzuzufügen oder um eine Aktion aus der Liste zu löschen.

5. Wählen Sie die Registerkarte Berechtigungen (optional).

Das Bild Berechtigungen wird angezeigt. Hier werden die Berechtigungen (Berechtigungsobjekte) für alle Aktionen angezeigt, die zu der Funktion hinzugefügt wurden.

AchtungMit diesem Bild können Sie den im Berechtigungsobjekt festgelegten Zugriff weiter einschränken. Sie können weder den Zugriff ausweiten noch das Berechtigungsobjekt neu konfigurieren.

So ändern Sie Zugriffseinschränkungen:

○ Wenn Sie keine verknüpfte Berechtigung ändern müssen, verwenden Sie den Dialog Berechtigungsdefinition.

○ Damit Sie sich die Details einer Berechtigung ansehen und diese auswerten können, bevor Sie sie ändern, verwenden Sie die Registerkarte Berechtigungen, um jede Berechtigung zu erweitern und anzuzeigen.

6. Wählen Sie Sichern.

Nächste Schritte

Funktion suchen und anzeigen [Seite 87]

Funktion ändern [Seite 88]

Funktion löschen [Seite 89]

5.2.2.2.1.2 Funktion suchen und anzeigen

Kontext

Um eine Funktion zu ändern oder zu löschen, müssen Sie die Funktion zunächst suchen und anzeigen.

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 87

Vorgehensweise

1. Wählen Sie Einrichtung Zugriffsregelbearbeitung Funktion .2. Wählen Sie Filter.

Oben in der Liste der Funktionen wird eine leere Zeile angezeigt.3. Geben Sie Text in die Felder Funktions-ID und Beschreibung ein, um die Anzahl an Ergebnissen

einzuschränken. Drücken Sie anschließend Enter.

Der Filter gibt sämtliche Funktionen aus, die den Suchkriterien entsprechen.

Schränken Sie Ihre Suche mithilfe von Filtern oder Suchbegriffen ein. Andernfalls gibt die Suche alle vorhandenen Funktionen aus. Die Suche unterstützt Platzhalter (*).

Nächste Schritte

Funktion anlegen [Seite 86]

Funktion ändern [Seite 88]

Funktion löschen [Seite 89]

5.2.2.2.1.3 Funktion ändern

Kontext

Bis auf die Funktions-ID können Sie jeden Aspekt einer Funktion ändern.

Vorgehensweise

1. Suchen Sie die zu bearbeitende Funktion wie unter beschrieben.2. Wenn Sie die entsprechende Funktion gefunden haben, markieren Sie die Zeile und wählen Sie Öffnen.3. Ändern Sie die Funktion.

Die Änderungen, die Sie an einer Funktion vornehmen können, stimmen mit den Attributen überein, die Sie unter definieren.

4. Wählen Sie Sichern.

88 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

Nächste Schritte

Funktion anlegen [Seite 86]

Funktion löschen [Seite 89]

Funktion suchen und anzeigen [Seite 87]

5.2.2.2.1.4 Funktion löschen

Kontext

Gehen Sie mit äußerster Vorsicht vor, wenn Sie eine Funktion löschen. Vor der Löschung müssen Sie die Funktion von allen bestehenden Risiken entfernen.

Vorgehensweise

1. Wählen Sie Einrichtung Zugriffsregelbearbeitung Funktionen .2. Wählen Sie Filter.

Oben in der Liste der Funktionen wird eine leere Zeile angezeigt.3. Geben Sie Suchkriterien ein, um die Funktion zu finden, die Sie löschen möchten.

Eine Anleitung für die Suche nach der Funktion, die Sie löschen möchten, finden Sie unter .4. Wenn Sie die entsprechende Funktion gefunden haben, markieren Sie die Zeile und wählen Sie Löschen.

Eine Bestätigungsmeldung wird angezeigt.5. Wählen Sie OK.

Nächste Schritte

Funktion anlegen [Seite 86]

Funktion ändern [Seite 88]

Funktion suchen und anzeigen [Seite 87]

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 89

5.2.2.2.2 Zugriffsrisiken

Verwendung

Zugriffsrisiken identifizieren potenzielle Zugriffsprobleme, die Ihrem Unternehmen möglicherweise drohen.

Verwenden Sie diese Funktion, um ein Zugriffsrisiko anzulegen, anzuzeigen, zu ändern oder zu löschen.

Weitere Informationen

Zugriffsrisiken anlegen [Seite 90]

Zugriffsrisiken suchen und anzeigen [Seite 92]

Zugriffsrisiko ändern [Seite 93]

Zugriffsrisiko löschen [Seite 94]

5.2.2.2.2.1 Zugriffsrisiken anlegen

Kontext

Ein Zugriffsrisiko benötigt einen Identifikator sowie definierte Attribute.

Vorgehensweise

1. Wählen Sie Einrichtung Zugriffsregelbearbeitung Zugriffsrisiken . Das Bild Zugriffsrisiko wird angezeigt.

2. Wählen Sie Anlegen.3. Geben Sie die grundlegenden Attribute des Zugriffsrisikos ein:

1. Tragen Sie in das Feld Risiko-ID einen vierstelligen alphanumerischen Code für das Risiko ein.Dieser Code muss dem betreffenden Zugriffsrisiko eindeutig zugeordnet sein.

2. Geben Sie im Feld Beschreibung eine Kurzbeschreibung des Risikos ein.3. Wählen Sie aus der Dropdown-Box Risikoart eine Rollenart aus.

Die folgenden Risikoarten stehen zur Auswahl:○ Funktionstrennungsrisiko○ Kritische Aktion○ Kritische Berechtigung

90 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

4. Wählen Sie aus der Dropdown-Box Risikostufe die Schwere des Risikos.Die folgenden Risikostufen stehen zur Auswahl:○ Niedrig○ Mittel○ Hoch○ Kritisch

5. Wählen Sie aus der Dropdown-Box Geschäftsprozess den Geschäftsprozess für dieses Risiko aus.6. Wählen Sie aus dem Dropdown-Menü Status entweder Aktiviert oder Deaktiviert. Das Risiko wird dann

beim Speichern entsprechend aktiviert bzw. deaktiviert.4. Wählen Sie die Registerkarte Funktionen für die Anzeige des Bilds Funktion.

In diesem Bild legen Sie Funktionen für das Risiko fest:

1. Wählen Sie das Ankreuzfeld neben einer leeren Zeile und anschließend den Abwärtspfeil rechts von der Zeile für die Anzeige einer Auswahlliste aller definierten Funktionen.

2. Wählen Sie die Funktion, die Sie dem Risiko hinzufügen wollen.

Wiederholen Sie diese Schritte, bis das Risiko alle Funktionen enthält:

○ Wählen Sie für Funktionstrennungsrisiken mindestens zwei Funktionen.○ Wählen Sie für Kritische Aktion und Kritische Berechtigung mindestens eine Funktion.

5. Wählen Sie die Registerkarte Detailbeschreibung zur Anzeige des Textfelds Detailbeschreibung. Geben Sie eine Beschreibung des Risikos ein.

6. Wählen Sie die Registerkarte Kontrollziel zur Anzeige des Textfelds Kontrollziel. Geben Sie eine Beschreibung des Kontrollziels ein, auf das das Risiko gerichtet ist.

AchtungVermeiden Sie bei der Eingabe von Risikodaten in die Textfelder Detailbeschreibung und Kontrollziel die Verwendung von Tabulator -Tastaturzeichen. Tabulator zeichen können Probleme verursachen, wenn Sie mithilfe von Export und Import Regeln aus einem System in ein anderes transferieren.

7. Wählen Sie die Registerkarte Risikoverantwortliche für die Anzeige des Bilds Verantwortlichen-ID.

AchtungUm einen Risikoverantwortlichen zu einem Zugriffsrisiko zuzuordnen, müssen Sie sicherstellen, dass der Benutzer als Verantwortlicher zugeordnet ist.

In diesem Bild legen Sie den bzw. die Mitarbeiter fest, der bzw. die für das Risiko verantwortlich ist/sind:

1. Klicken Sie auf das Plus-Symbol, um ein Feld Risikoverantwortlicher hinzuzufügen.2. Klicken Sie auf den Abwärtspfeil rechts von der Zeile. Eine Liste definierter Mitarbeiter wird angezeigt.3. Wählen Sie einen Verantwortlichen aus der Liste und ordnen Sie ihn so dem Risiko zu.

Wiederholen Sie diese Schritte, um dem Risiko alle Verantwortlichen zuzuordnen.8. Wählen Sie die Registerkarte Regelwerke für die Anzeige des Bilds Regelwerk.

In diesem Bild werden die dem Risiko hinzuzufügenden Regelwerke festgelegt:

1. Wählen Sie das Plus-Symbol, um ein Regelwerkfeld hinzuzufügen.2. Wählen Sie den Abwärtspfeil rechts neben der Zeile. Eine Auswahlliste aller definierten Regelwerke wird

angezeigt.

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 91

3. Wählen Sie das Regelwerk, das Sie dem Risiko hinzufügen wollen.

Wiederholen Sie diese Schritte, bis Sie alle Regelwerke zum Risiko hinzugefügt haben.9. Wählen Sie Sichern.

Nächste Schritte

Zugriffsrisiken suchen und anzeigen [Seite 92]

Zugriffsrisiko ändern [Seite 93]

Zugriffsrisiko löschen [Seite 94]

5.2.2.2.2.2 Zugriffsrisiken suchen und anzeigen

Kontext

Diese Vorgehensweise beschreibt das Suchen und Anzeigen eines Zugriffsrisikos.

Vorgehensweise

1. Wählen Sie Einrichtung Zugriffsregelbearbeitung Zugriffsrisiken .

Sie gelangen auf das Bild Zugriffsrisiko.2. Wählen Sie Filter.

Oben in der Liste der Zugriffsrisiken wird eine leere Zeile angezeigt.3. Geben Sie Suchkriterien ein, um Ihre Ergebnisse zu filtern und drücken Sie Enter.

Die Suche unterstützt Platzhalter (*).

Wenn Sie Enter drücken, gibt die Anwendung die Zugriffsrisiken, die den Suchkriterien entsprechen, auf dem Bild Suchergebnisse aus.

Ergebnisse

Wenn Sie die Suche nicht filtern, gibt die Anwendung möglicherweise eine lange Liste an Zugriffsrisiken aus. Sie können durch die Liste navigieren, um nach dem gewünschten Zugriffsrisiko zu suchen.

92 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

Nächste Schritte

Zugriffsrisiken anlegen [Seite 90]

Zugriffsrisiko ändern [Seite 93]

Zugriffsrisiko löschen [Seite 94]

5.2.2.2.2.3 Zugriffsrisiko ändern

Kontext

Sie können die meisten Selektionskriterien für Zugriffsrisiken bearbeiten. Nur die ID und die Risikoart können Sie nicht ändern.

Vorgehensweise

1. Wählen Sie Einrichtung Zugriffsregelbearbeitung Zugriffsrisiken .

Sie gelangen auf das Bild Zugriffsrisiko.2. Befolgen Sie die unter beschriebene Vorgehensweise, um das Zugriffsrisiko zu finden, das Sie bearbeiten

möchten.3. Wenn Sie das Zugriffsrisiko gefunden haben, markieren Sie die Zeile und wählen Sie Öffnen.

Sie gelangen auf das Bild Zugriffsrisiko.4. Führen Sie die gewünschten Änderungen am Zugriffsrisiko durch.5. Wählen Sie Sichern.

Nächste Schritte

Zugriffsrisiken anlegen [Seite 90]

Zugriffsrisiken suchen und anzeigen [Seite 92]

Zugriffsrisiko löschen [Seite 94]

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 93

5.2.2.2.2.4 Zugriffsrisiko löschen

Kontext

Sie können jedes beliebige Zugriffsrisiko löschen. Allerdings bewirkt das Löschen eines Zugriffsrisikos, dass alle Regeln, die aus diesem Zugriffsrisiko generiert wurden, ungültig werden.

Vorgehensweise

1. Wählen Sie Einrichtung Zugriffsregelbearbeitung Zugriffsrisiken .

Sie gelangen auf das Bild Zugriffsrisiko.2. Befolgen Sie die unter beschriebene Vorgehensweise, um das Zugriffsrisiko zu finden, das Sie bearbeiten

möchten.3. Wenn Sie die entsprechende Funktion gefunden haben, markieren Sie die Zeile und wählen Sie Löschen.

Eine Bestätigungsmeldung wird angezeigt.4. Wählen Sie OK.

Nächste Schritte

Zugriffsrisiken anlegen [Seite 90]

Zugriffsrisiken suchen und anzeigen [Seite 92]

Zugriffsrisiko ändern [Seite 93]

5.2.3 Kritische Zugriffsregeln

Verwendung

Mit dieser Funktion können Sie Einzelrollen und Profile, die ein Zugriffsrisiko für Ihr Unternehmen darstellen, identifizieren. Beispielsweise ist jede Person, der die Rolle des Stammdaten-Administrators zugeordnet ist, ein Risiko für Ihr Unternehmen. Stellen Sie sicher, dass der dieser Rolle zugeordnete Mitarbeiter den Berechtigungsanforderungen Ihres Unternehmens entspricht. Stellen Sie sicher, dass diese Rolle als kritische Rolle eingestuft ist. Wenn Ihr System mit Profilen arbeitet, können auch definierte Profile ein Zugriffsrisiko darstellen. Stellen Sie sicher, dass jedes einzelne Profil als kritisches Profil eingestuft ist.

94 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

Weitere Informationen

Kritische Profile [Seite 96]

Zugriffsrisiken [Seite 90]

5.2.3.1 Kritische Rollen- und Profilregeln

Ermitteln Sie einzelne Rollen und Profile, die ein Zugriffsrisiko für Ihr Unternehmen darstellen. Beispielsweise ist jede Person, der die Rolle des Stammdaten-Administrators zugeordnet ist, ein Risiko für Ihr Unternehmen. Stellen Sie sicher, dass jeder Mitarbeiter, dem diese Rolle zugeordnet ist, über die entsprechenden Berechtigungen verfügt. Stellen Sie sicher, dass diese Rolle als kritische Rolle eingestuft ist. Wenn Ihr System mit Profilen arbeitet, können auch definierte Profile ein Risiko darstellen. Stellen Sie sicher, dass jedes einzelne Profil als kritisches Profil eingestuft ist.

Weitere Informationen

Kritische Zugriffsregeln [Seite 94]

Kritische Profile [Seite 96]

5.2.3.1.1 Kritische Rollen

Verwendung

Mit dieser Funktion können Sie Rollen identifizieren, die ein Risiko für Ihr Unternehmen darstellen.

Vorgehensweise

Um kritische Rollen anzulegen und zu bearbeiten gehen Sie vor wie folgt:

1. Wählen Sie Einrichtung Kritische Zugriffsregeln Kritische Rollen .Sie gelangen auf das Bild Kritische Rollen.

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 95

2. Wählen Sie Anlegen.3. Wählen Sie aus der Dropdown-Liste das System, das Regelwerk, die Risikostufe und den Status aus.4. Suchen Sie nach dem Namen für die Rolle.5. Wählen Sie die gewünschte Rolle aus und wählen Sie dann OK.6. Geben Sie eine Risikobeschreibung ein, die beschreibt, warum es sich bei der vorliegenden Rolle um ein

kritische Rolle handelt.7. Wählen Sie Sichern.

Nach einer kritischen Rolle suchen

Verwenden Sie die Option Filter, um eine kritische Rolle zu suchen und diese zu ändern.

Um nach einer kritischen Rolle zu suchen, gehen Sie vor wie folgt:

1. Wählen Sie Einrichtung Kritische Zugriffsregeln Kritische Rollen .Sie gelangen auf das Bild Kritische Rollen.

2. Wählen Sie Filter.Oben in der Liste der kritischen Rollen wird eine leere Zeile angezeigt.

3. Geben Sie Suchkriterien für die Rolle ein, die Sie ändern möchten und drücken Sie Enter.Die Anwendung gibt die kritischen Rollen, die den Kriterien entsprechen, im Bild Suchergebnisse zurück.

Weitere Informationen

Kritische Zugriffsregeln [Seite 94]

Kritische Profile [Seite 96]

5.2.3.1.2 Kritische Profile

Verwendung

Mit dieser Funktion können Sie Profile identifizieren, die ein Risiko für Ihr Unternehmen darstellen.

Vorgehensweise

Um ein kritisches Profil anzulegen, gehen Sie vor wie folgt:

1. Wählen Sie Einrichtung Kritische Zugriffsregeln Kritische Profile .Das Bild Kritische Profile wird angezeigt.

2. Wählen Sie Anlegen.3. Wählen Sie aus der Dropdown-Liste das System, das Regelwerk, die Risikostufe und den Status aus.4. Suchen Sie nach den Namen für das Profil.5. Wählen Sie das gewünschte Profil aus und dann OK.

96 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

6. Geben Sie eine Risikobeschreibung ein, die beschreibt, warum es sich bei dem vorliegenden Profil um ein kritisches Profil handelt.

7. Wählen Sie Sichern.

Nach kritischem Profil suchen

Verwenden Sie die Option Filter, um ein kritisches Profil zu suchen und dieses zu ändern.

Um ein kritisches Profil zu suchen, gehen Sie vor wie folgt:

1. Wählen Sie Einrichtung Kritische Zugriffsregeln Kritische Profile .Das Bild Kritische Profile wird angezeigt.

2. Wählen Sie Filter.Oben in der Liste der kritischen Profile wird eine leere Zeile angezeigt.

3. Geben Sie Suchkriterien ein, um das Profil zu finden, das Sie ändern möchten und drücken Sie Enter.Die Anwendung gibt die kritischen Profile, die den Kriterien entsprechen, im Bild Suchergebnisse zurück.

Weitere Informationen

Kritische Zugriffsregeln [Seite 94]

Kritische Rollen [Seite 95]

5.3 Zugriffsrisikoanalyse

Verwendung

Unter einem Zugriffsrisiko versteht man eine oder mehrere Aktionen oder Berechtigungen, die bei Verfügbarkeit für einen Einzelbenutzer (oder Einzelrolle, -profil, oder -HR-Objekt) die Möglichkeit des Betrugs oder versehentlicher Fehler erhöht.

Im Rahmen der Geschäftsvorgänge können Sie Zugriffsrisiken definieren, die zusätzliche Kontrolle erfordern, um einen reibungslosen Betrieb Ihres Unternehmens zu gewährleisten. Sie können diese Risiken überwachen und steuern, um Benutzer davon abzuhalten, Schwachstellen zu Betrugszwecken auszunutzen oder versehentliche Fehler zu begehen.

Access Control ermöglicht Ihnen, folgende Arten von Zugriffsrisiken festzulegen:

● Funktionstrennung - Dies wird definiert als die Fähigkeit eines Individuums, zwei oder mehr in Konflikt stehende Funktionen auszuführen, um einen Prozess von Anfang bis Ende ohne die Teilnahme weiterer Personen zu steuern. Beispiel: Eine Person alleine ist in der Lage, einen Lieferanten einzurichten und Zahlungen abzuwickeln, oder Kundenfakturen und Kundenrechnungen abzuändern, um Rückstände zu vertuschen.

● Kritische Aktion - Bestimmte Funktionen sind naturgemäß so kritisch, dass jeder, der darauf Zugriff hat, identifiziert und ausgewertet werden muss, damit sichergestellt werden kann, dass der Zugriff rechtmäßig ist. Der Unterschied zum Zugriffsrisiko besteht darin, dass die Person nur Zugriff auf eine einzige Funktion

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 97

benötigt. Beispiel: Die Fähigkeit, ein Produktivsystem zu konfigurieren, wird als kritische Aktion eingestuft, unabhängig davon, über welche anderen Zugriffe die betreffende Person möglicherweise außerdem verfügt.

● Kritische Berechtigungen - Vergleichbar mit einer kritischen Aktion; bestimmte Berechtigungen (Berechtigungsobjekte) werden für sich alleine genommen als kritisch betrachtet. Beispiel: Berechtigungen für die Verwaltung von Hintergrundjobs kann von bestimmten Organisationen als kritisch eingestuft werden.

Nachdem Sie die Risiken definiert haben, können Sie den Bereich Zugriffsrisikoanalyse verwenden, um Berichte zur Darstellung verschiedener Arten von Informationen zu generieren; z. B. Berichte, die Zugriffsrisiken, Konflikte oder die Verwendung kritischer Aktionen durch Benutzer, Rollen, Profile oder HR-Objekte darstellen.

HinweisDie Systemadministration kann die Anwendung so konfigurieren, dass Firefighter-Zuordnungen in der Risikoanalyse eingeschlossen sind. Wenn diese Funktion aktiviert ist, wird auf dem Bild Risikoanalyse das Ankreuzfeld FF-IDs einschließen angezeigt. Sie können entscheiden, ob Sie Firefighter-Zuordnungen in Ihrer Risikoanalyse einschließen möchten oder nicht.

Der Administrator nimmt diese Einstellung in der Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter Governance, Risk, and Compliance Access Control vor. Geben Sie für den Parameter FF-Zuordnungen in Risikoanalyse berücksichtigen folgende Werte ein:

Tabelle 16:

Spalte Wert

Parametergruppe Risikoanalyse

Parameter-ID 1038

Parameterwert Ja oder Nein nach Bedarf

Wenn Sie ein Zugriffsrisiko in einem Bericht finden, lösen oder beheben Sie es, indem Sie das Risiko entfernen oder eine mindernde Kontrolle anwenden. Sie können diese Berichte im Bereich Zugriffsrisikoanalyse außerdem verwenden, um geminderte Risiken sowie Risiken, die noch nicht behoben wurden, anzuzeigen.

Weitere Informationen

Zugriffsrisikoanalyse auf Benutzerebene [Seite 99]

Zugriffsrisikoanalyse auf Benutzerebene [Seite 99]

Zugriffsrisikoanalyse auf Profilebene [Seite 108]

Zugriffsrisikoanalyse für HR-Objekte [Seite 111]

98 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

5.3.1 Zugriffsrisikoanalyse auf Benutzerebene

Kontext

Sie können einen Bericht anlegen, der die Zugriffsrisikoanalyse auf Benutzerebene für Ihre Organisation anzeigt.

Vorgehensweise

1. Wählen Sie Zugriffsverwaltung Zugriffsrisikoanalyse Benutzerebene .

Sie gelangen auf das Bild Risikoanalyse: Benutzerebene.2. Geben Sie die Analysekriterien an.

1. Wählen Sie in der ersten Auswahlliste einen der folgenden Objekttypen aus:○ System○ Benutzerdefinierte Gruppe

HinweisMit benutzerdefinierten Benutzergruppen können Sie die Risikoanalyse für die Gruppe durchführen, anstatt sie für jeden Benutzer einzeln durchzuführen. Sie legen z.B. Gruppe Group_A an und fügen die Benutzer User_01 bis User_10 hinzu. Sie können die Risikoanalyse dann für Gruppe Group_A ausführen. Weitere Informationen finden Sie unter Benutzerdefinierte Benutzergruppe anlegen. [Seite 101]

○ Benutzer einschließen○ Rollenzuordnung einschließen○ Organisationsebene○ Organisationsregel○ Benutzer-ID○ Organisationseinheit○ Organisationswert○ Risiken nach Prozess○ Zugriffsrisiko-ID○ Risikostufe○ Regelwerk○ Benutzer

HinweisSie können eine Risikoanalyse für eine nach SU01-Attributen gefilterte Liste der Benutzer auf Ad-hoc-Basis durchführen. Wählen Sie hierzu Mehrfachselektionen in der mittleren Spalte aus. Wählen Sie Selektion hinzufügen. Wählen Sie anschließend SU01 suchen, um die zu analysierenden Attribute zu ermitteln.

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 99

○ Benutzergruppe○ Benutzertyp○ Gültigkeitsdatum

2. Wählen Sie in der zweiten Dropdown-Box einen der folgenden Operatoren aus:○ ist○ ist nicht○ beginnt mit○ enthält○ ist zwischen○ Mehrfachselektionen

3. Geben Sie im Feld Wert einen Wert ein oder wählen Sie diesen aus.4. Fügen Sie optional über die Drucktaste mit dem Pluszeichen (+) eine Zeile zu den Analysekriterien hinzu

und füllen Sie die Felder. Über die Drucktaste mit dem Minuszeichen (-) können Sie auch eine Zeile entfernen.

3. Legen Sie die Berichtsoptionen fest.1. Wählen Sie im Bereich Format die Formatart und die Ansicht aus.

Sie können zwischen den folgenden Formatarten wählen:○ Zusammenfassung○ Detail○ Kurzzusammenfassung○ Kurzfassung

Sie können zwischen den folgenden Ansichten wählen:○ Sicht zur Schwachstellenbehebung

HinweisIn dieser Ansicht können Sie Aktionen zur Schwachstellenbehebung direkt aus dem Bericht starten. Weitere Informationen finden Sie unter Ansicht zur Schwachstellenbehebung [Seite 223].

○ Technische Ansicht○ Betriebswirtschaftliche Ansicht

4. Im Bereich Art können Sie die Art des Berichts auswählen:○ Zugriffsrisikoanalyse – Wählen Sie Aktionsebene, Berechtigungsebene, Kritische Aktion, Kritische

Berechtigung und Kritische Rolle/kritisches Profil○ Zugriffsrisikobewertung○ Mindernde Analyse – Wählen Sie entweder mindernde Kontrollen oder Ungültige mindernde Kontrollen

5. Wählen Sie im Bereich Zusätzliche Kriterien zusätzliche Berichtskriterien aus.6. Sichern Sie Analysekriterien optional als Variante, indem Sie im Feld Variante sichern unter einen Namen

eingeben und Sichern wählen.7. Wählen Sie Im Vordergrund ausführen oder Im Hintergrund ausführen.

Wenn Sie Im Hintergrund ausführen wählen, zeigt das System das Dialogfenster Hintergrundjob-Scheduler an. Wählen Sie die Scheduler-Details aus und anschließend OK. Auf dem Bild Benutzerebene wird die Jobnummer angezeigt.

Um sich den Job anzeigen zu lassen, navigieren Sie zu Zugriffsverwaltung EinplanungHintergrundjobs .

100 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

Wenn Sie Im Vordergrund ausführen ausgewählt haben, bestätigen Sie über OK, dass Sie die Analyse sofort ausführen möchten. Die Analyseergebnisse werden in einem neuen Fenster angezeigt.

Nächste Schritte

Zugriffsrisikoanalyse [Seite 97]

Benutzerebenensimulation [Seite 102]

Benutzerdefinierte Benutzergruppe anlegen [Seite 101]

Ansicht zur Schwachstellenbehebung [Seite 223]

5.3.1.1 Benutzerdefinierte Benutzergruppe anlegen

Verwendung

Mit benutzerdefinierten Benutzergruppen können Sie Aktivitäten wie die Risikoanalyse für die Gruppe durchführen, anstatt sie für jeden Benutzer einzeln durchzuführen. Sie legen z.B. die Gruppe Group_A an und fügen die Benutzer User_01 bis User_10 hinzu. Sie können die Aktivität dann für Gruppe Group_A ausführen.

Voraussetzungen

Diese Funktion betrifft zwei Szenarien: die Analyse auf Benutzerebene und die Simulation auf Benutzerebene.

Vorgehensweise

HinweisZum Anlegen einer benutzerdefinierte Benutzergruppe stehen Ihnen folgenden Möglichkeiten zur Verfügung.

● Sie können die Customizing-Aktivität (Transaktion SPRO) verwenden. Lokalisieren Sie die Aktivität und Dokumentation unter Governance, Risk, and Compliance Access Control Benutzerdefinierte Benutzergruppe bearbeiten .

● Wenn Sie über die erforderliche Berechtigung verfügen, können Sie die Gruppe direkt aus der Anwendung heraus anlegen. Die folgenden Schritte beschreiben das Anlegen einer Gruppe über die Anwendung. Mit dieser Methode können Sie der Gruppe Benutzer auf der Grundlage ihrer Attribute in SU01 hinzufügen.

1. Wählen Sie Zugriffsverwaltung Zugriffsrisikoanalyse Benutzerebene .Sie gelangen auf das Bild Risikoanalyse: Benutzerebene.

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 101

2. Lokalisieren Sie die Benutzerdefinierte Gruppe in der Liste der Analysekriterien.3. Übernehmen Sie den Standardwert ist in der zweiten Spalte.4. Wählen Sie in der nächsten Spalte die Wertehilfe (F4), um das Bild Suche nach benutzerdefinierter Gruppe

anzuzeigen.5. Geben Sie den neuen Benutzerdefinierten Gruppennamen ein.

HinweisUm alle vorhandenen Gruppen anzuzeigen, setzen Sie das Feld über Zurücksetzen zurück. Klicken Sie anschließend Suchen. Die linke Spalte listet die vorhandenen Benutzerdefinierten Gruppennamen auf. Die rechte Spalte zeigt die Benutzer-IDs der Mitglieder der ausgewählten benutzerdefinierten Benutzergruppe an. Wenn Sie die Anzahl der angezeigten benutzerdefinierten Benutzergruppen einschränken möchten, können Sie Platzhalter (wie Asteriske) verwenden.

6. Wählen Sie Anlegen. Sie gelangen auf das Bild Benutzerdefinierte Gruppe.7. Geben Sie eine Beschreibung der neuen Gruppe ein.8. Wählen Sie die SU01-Attribute, die Ihre Benutzer gemeinsam haben. Das System ist erforderlich und muss ein

SAP-System sein.9. Wählen Sie Suchen.10. Wählen Sie die gewünschten Benutzer-IDs aus der Liste aus.11. Klicken Sie Ausgewählte Benutzer, um eine Liste der Benutzer anzuzeigen, die Sie für Ihre benutzerdefinierte

Benutzergruppe ausgewählt haben. Überprüfen Sie, ob dies die von Ihnen gewünschten Benutzer für Ihre benutzerdefinierte Benutzergruppe sind.

12. Wählen Sie Sichern, um Ihre Gruppe mit den Mitgliedern zu sichern.

Weitere Informationen

Zugriffsrisikoanalyse [Seite 97]

Zugriffsrisikoanalyse auf Benutzerebene [Seite 99]

Benutzerebenensimulation [Seite 102]

Benutzerdefinierte Benutzergruppe anlegen (über SPRO): Governance, Risk and Compliance Access ControlBenutzerdefinierte Benutzergruppe bearbeiten

5.3.2 Benutzerebenensimulation

Kontext

Sie können die Funktionen auf dem Bild Benutzerebenensimulation verwenden, um eine Simulation auf Benutzerebene als Teil der Zugriffsrisikoanalyse für Ihre Organisation durchzuführen.

102 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

Vorgehensweise

1. Wählen Sie Zugriffsverwaltung Zugriffsrisikoanalyse Benutzerebenensimulation .

Sie gelangen auf das Bild Simulation: Benutzerebene, das die Phase Analysekriterien definieren anzeigt.2. Definieren Sie die Analysekriterien:

○ Verwenden Sie ein vorhandenes Set von Analysekriterien, indem Sie den Namen im Feld Gesicherte Varianten eingeben.

○ Verwenden Sie die auf dem Bild vorhandenen Felder, um neue Analysekriterien festzulegen:1. Im Bereich Analysekriterien können Sie die verfügbaren Felder verwenden, um Analysekriterien wie

System, Benutzer usw. festzulegen.

HinweisÜber die Drucktasten Plus (+) und Minus ( -) können Sie Kriteriumsfelder hinzufügen oder entfernen.

2. Wählen Sie im Bereich Berichtsoptionen Folgendes aus:○ Format wie etwa Übersicht, Detail, Kurzzusammenfassung oder Kurzfassung○ Ansicht wie etwa Technische Ansicht und Betriebswirtschaftliche Ansicht○ Art: nur die Zugriffsrisikoanalyse ist verfügbar und wird automatisch ausgewählt. Sie können Ihre

Auswahl aus den folgenden Optionen der Zugriffsrisikoanalyse treffen: Aktionsebene, Berechtigungsebene, Kritische Aktion, Kritische Berechtigung, Kritische Rolle/Berechtigung.

○ Zusätzliche Kriterien wie Geminderte Risiken einschließen, Alle Objekte anzeigen und Organisationsregel berücksichtigen.

3. Sichern Sie Analysekriterien optional für die zukünftige Verwendung, indem Sie im Feld Variante sichern unter einen Namen eingeben und Sichern wählen.

4. Wählen Sie Weiter.3. Geben Sie im Bild Simulationskriterien definieren die Kriterien an:

○ Verwenden Sie ein vorhandenes Set von Simulationskriterien, indem Sie den Namen im Feld Gesicherte Varianten eingeben.

○ Verwenden Sie die vorhandenen Felder, um neue Simulationskriterien festzulegen:1. Wählen Sie die Registerkarte Aktionen, um Aktionen hinzuzufügen, zu entfernen oder mit Aktionen

verbundene Berechtigungen hinzuzufügen oder zu entfernen.2. Wählen Sie die Registerkarte Rollen, um Rollen hinzuzufügen, zu entfernen oder mit Rollen

verbundene Berechtigungen hinzuzufügen oder zu entfernen.3. Wählen Sie die Registerkarte Profile, um Profile hinzuzufügen, zu entfernen oder mit Profilen

verbundene Berechtigungen hinzuzufügen oder zu entfernen.4. Wählen Sie im Bereich Zusätzliche Kriterien zusätzliche Berichtskriterien wie Werte ausschließen und

Nur Risiken aus Simulation.5. Sichern Sie Simulationskriterien optional als Variante, indem Sie im Feld Variante sichern unter einen

Namen eingeben und Sichern wählen.6. Wählen Sie Im Vordergrund ausführen, um die Simulation sofort zu starten und Im Hintergrund

ausführen, um eine Zeit und ein Datum für den Start der Simulation festzulegen.

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 103

Hinweis

Um den Status der Hintergrundjobs anzuzeigen, navigieren Sie zu ZugriffsverwaltungEinplanung Hintergrundjobs .

7. Wenn Sie Im Vordergrund ausführen ausgewählt haben, bestätigen Sie über OK, dass Sie die Analyse sofort ausführen möchten. Das System zeigt die Suchergebnisse in der Tabelle Bestätigung an.

4. Überprüfen Sie die Ergebnisse auf dem Bild Bestätigung.

Optional können Sie Ergebnismengen exportieren wählen, um die Ergebnisse auf Ihren lokalen Rechner zu exportieren.

Nächste Schritte

Zugriffsrisikoanalyse [Seite 97]

Zugriffsrisikoanalyse auf Benutzerebene [Seite 99]

5.3.3 Zugriffsrisikoanalyse auf Rollenebene

Kontext

Sie können einen Bericht anlegen, der die Zugriffsrisikoanalyse auf Rollenebene für Ihre Organisation anzeigt.

Vorgehensweise

1. Wählen Sie Zugriffsverwaltung Zugriffsrisikoanalyse Rollenebene .

Sie gelangen auf das Bild Risikoanalyse: Rollenebene.2. Geben Sie die Analysekriterien an.

Gehen Sie wie folgt vor:

1. Wählen Sie in der ersten Dropdown-Box einen der folgenden Objekttypen aus:○ System○ Organisationsebene○ Organisationsregel○ Organisationseinheit○ Organisationswert○ Risiken nach Prozess

104 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

○ Zugriffsrisiko-ID○ Risikostufe○ Rolle○ Rollenart○ Regelwerk○ Gültigkeitsdatum

2. Wählen Sie in der zweiten Dropdown-Box einen der folgenden Operatoren aus:○ ist○ ist nicht○ beginnt mit○ enthält○ ist zwischen○ Mehrfachselektionen

3. Geben Sie im Feld Wert einen Wert ein oder wählen Sie diesen aus.4. Fügen Sie optional über die Taste mit dem Pluszeichen (+) eine Zeile zu den Analysekriterien hinzu und

füllen Sie die entsprechenden Felder. Entfernen Sie alternativ eine Zeile aus den Analysekriterien über die entsprechende Taste mit dem Minuszeichen (-).

3. Legen Sie die Berichtsoptionen fest.

Gehen Sie wie folgt vor:

1. Wählen Sie im Bereich Format die Formatart und die Ansicht aus.Sie können zwischen den folgenden Formatarten wählen:○ Zusammenfassung○ Detail○ Kurzzusammenfassung○ Kurzfassung

Sie können zwischen den folgenden Ansichten wählen:○ Technische Ansicht○ Betriebswirtschaftliche Ansicht

4. Im Bereich Art können Sie die Berichtsart aus folgenden Angaben auswählen:○ Zugriffsrisikoanalyse – Sie können Aktionsebene, Berechtigungsebene, Kritische Aktion, Kritische

Berechtigung und Kritische Rolle/kritisches Profil oder Analysebericht auswählen.○ Zugriffsrisikobewertung○ Mindernde Analyse – Sie können entweder mindernde Kontrollen oder ungültige mindernde Kontrollen

auswählen.5. Wählen Sie im Bereich Zusätzliche Kriterien zusätzliche Berichtskriterien aus.6. Sichern Sie Analysekriterien optional als Variante, indem Sie im Feld Variante sichern unter einen Namen

eingeben und Sichern wählen.7. Wählen Sie Im Vordergrund ausführen oder Im Hintergrund ausführen.

Wenn Sie Im Hintergrund ausführen wählen, zeigt das System das Dialogfenster Hintergrundjob-Scheduler an. Wählen Sie die Scheduler-Details aus und anschließend OK. Auf dem Bild Benutzerebene wird die Jobnummer angezeigt.

Um sich den Job anzeigen zu lassen, navigieren Sie zu Zugriffsverwaltung EinplanungHintergrundjobs .

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 105

Wenn Sie Im Vordergrund ausführen ausgewählt haben, bestätigen Sie über OK, dass Sie die Analyse sofort ausführen möchten. Die Analyseergebnisse werden in einem neuen Fenster angezeigt.

Nächste Schritte

Zugriffsrisikoanalyse [Seite 97]

Rollenebenensimulation [Seite 106]

5.3.4 Rollenebenensimulation

Kontext

Sie können die Funktionen auf dem Bild Rollenebenensimulation verwenden, um eine Simulation auf Rollenebene als Teil der Zugriffsrisikoanalyse für Ihre Organisation durchzuführen.

Vorgehensweise

1. Wählen Sie Zugriffsverwaltung Zugriffsrisikoanalyse Rollenebenensimulation .

Sie gelangen auf das Bild Simulation: Rollenebene, das die Phase Analysekriterien definieren anzeigt.2. Definieren Sie die Analysekriterien durch folgende Methoden:

○ Verwenden Sie ein vorhandenes Set von Analysekriterien, indem Sie den Namen im Feld Gesicherte Varianten eingeben.

○ Verwenden Sie die auf dem Bild verfügbaren Felder, um neue Analysekriterien folgendermaßen festzulegen:1. Im Bereich Analysekriterien können Sie die verfügbaren Felder verwenden, um Analysekriterien wie

System, Analyseart usw. festzulegen.

HinweisÜber die Drucktasten Plus (+) und Minus ( -) können Sie Kriteriumsfelder hinzufügen oder entfernen.

2. Wählen Sie im Bereich Berichtsoptionen Folgendes aus:○ Format wie etwa Übersicht, Detail, Kurzzusammenfassung oder Kurzfassung○ Ansicht wie etwa Technische Ansicht und Betriebswirtschaftliche Ansicht○ Art: nur die Zugriffsrisikoanalyse ist verfügbar und wird automatisch ausgewählt. Sie können Ihre

Auswahl aus den folgenden Optionen der Zugriffsrisikoanalyse treffen: Aktionsebene, Berechtigungsebene, Kritische Aktion, Kritische Berechtigung, Kritische Rolle/Berechtigung.

106 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

○ Zusätzliche Kriterien wie Geminderte Risiken einschließen und Alle Objekte anzeigen3. Sichern Sie Analysekriterien optional als Variante, indem Sie im Feld Variante sichern unter einen

Namen eingeben und Sichern wählen.4. Wählen Sie Weiter.

3. Geben Sie auf dem Bild Simulationskriterien definieren die Kriterien für die Simulation nach folgenden Methoden ein:○ Verwenden Sie ein vorhandenes Set von Simulationskriterien, indem Sie den Namen im Feld Gesicherte

Varianten eingeben.○ Verwenden Sie die auf dem Bild verfügbaren Felder, um neue Analysekriterien folgendermaßen

festzulegen:1. Wählen Sie die Registerkarte Aktionen, um Aktionen hinzuzufügen, zu entfernen oder mit Aktionen

verbundene Berechtigungen hinzuzufügen oder zu entfernen.2. Wählen Sie die Registerkarte Rollen, um Rollen hinzuzufügen, zu entfernen oder mit Rollen

verbundene Berechtigungen hinzuzufügen oder zu entfernen.3. Wählen Sie die Registerkarte Profile, um Profile hinzuzufügen, zu entfernen oder mit Profilen

verbundene Berechtigungen hinzuzufügen oder zu entfernen.4. Wählen Sie im Bereich Zusätzliche Kriterien zusätzliche Berichtskriterien wie Werte ausschließen und

Nur Risiken aus Simulation.5. Sichern Sie Simulationskriterien optional als Variante, indem Sie im Feld Variante sichern unter einen

Namen eingeben und Sichern wählen.6. Wählen Sie Im Vordergrund ausführen, um die Simulation sofort zu starten und Im Hintergrund

ausführen, um eine Zeit und ein Datum für den Start der Simulation festzulegen.

Hinweis

Um den Status der Hintergrundjobs anzuzeigen, navigieren Sie zu ZugriffsverwaltungEinplanung Hintergrundjobs .

7. Wenn Sie Im Vordergrund ausführen ausgewählt haben, bestätigen Sie über OK, dass Sie die Analyse sofort ausführen möchten. Das System zeigt die Suchergebnisse in der Tabelle Bestätigung an.

4. Überprüfen Sie die Ergebnisse auf dem Bild Bestätigung.

Optional können Sie Ergebnismengen exportieren wählen, um die Ergebnisse auf Ihren lokalen Rechner zu exportieren.

Nächste Schritte

Zugriffsrisikoanalyse [Seite 97]

Zugriffsrisikoanalyse auf Rollenebene [Seite 104]

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 107

5.3.5 Zugriffsrisikoanalyse auf Profilebene

Kontext

Sie können einen Bericht anlegen, der die Zugriffsrisikoanalyse auf Profilebene für Ihre Organisation anzeigt.

Vorgehensweise

1. Wählen Sie Zugriffsverwaltung Zugriffsrisikoanalyse Profilebene .

Sie gelangen auf das Bild Risikoanalyse: Profilebene.2. Geben Sie die Analysekriterien an.

Gehen Sie wie folgt vor:

1. Wählen Sie in der ersten Dropdown-Box einen der folgenden Objekttypen aus:○ System○ Profil○ Risiken nach Prozess○ Zugriffsrisiko-ID○ Risikostufe○ Regelwerk○ Gültigkeitsdatum

2. Wählen Sie in der zweiten Dropdown-Box einen der folgenden Operatoren aus:○ ist○ ist nicht○ beginnt mit○ enthält○ ist zwischen○ Mehrfachselektionen

3. Geben Sie im Feld Wert einen Wert ein oder wählen Sie diesen aus.4. Fügen Sie optional über die Taste mit dem Pluszeichen (+) eine Zeile zu den Analysekriterien hinzu und

füllen Sie die entsprechenden Felder. Entfernen Sie alternativ eine Zeile aus den Analysekriterien über die entsprechende Taste mit dem Minuszeichen (-).

3. Legen Sie die Berichtsoptionen fest.

Gehen Sie wie folgt vor:

1. Wählen Sie im Bereich Format die Formatart und die Ansicht aus.Sie können zwischen den folgenden Formatarten wählen:○ Zusammenfassung○ Detail○ Kurzzusammenfassung

108 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

○ KurzfassungSie können zwischen den folgenden Ansichten wählen:○ Technische Ansicht○ Betriebswirtschaftliche Ansicht

4. Im Bereich Art können Sie die Berichtsart aus folgenden Angaben auswählen:○ Zugriffsrisikoanalyse – Wählen Sie Aktionsebene, Berechtigungsebene, Kritische Aktion, Kritische

Berechtigung und Kritische Rolle/kritisches Profil.○ Zugriffsrisikobewertung○ Mindernde Analyse – Wählen Sie entweder Mindernde Kontrollen oder Ungültige mindernde Kontrollen.

5. Wählen Sie im Bereich Zusätzliche Kriterien zusätzliche Berichtskriterien aus.6. Sichern Sie Analysekriterien optional als Variante, indem Sie im Feld Variante sichern unter einen Namen

eingeben und Sichern wählen.7. Wählen Sie Im Vordergrund ausführen oder Im Hintergrund ausführen.

Wenn Sie Im Hintergrund ausführen wählen, zeigt das System das Dialogfenster Hintergrundjob-Scheduler an. Wählen Sie die Scheduler-Details aus und anschließend OK. Auf dem Bild Benutzerebene wird die Jobnummer angezeigt.

Um sich den Job anzeigen zu lassen, navigieren Sie zu Zugriffsverwaltung EinplanungHintergrundjobs .

Wenn Sie Im Vordergrund ausführen ausgewählt haben, bestätigen Sie über OK, dass Sie die Analyse sofort ausführen möchten. Die Analyseergebnisse werden in einem neuen Fenster angezeigt.

Nächste Schritte

Zugriffsrisikoanalyse [Seite 97]

Profilebenensimulation [Seite 109]

5.3.6 Profilebenensimulation

Kontext

Sie können die Funktionen auf dem Bild Profilebenensimulation verwenden, um eine Simulation auf Profilebene als Teil der Zugriffsrisikoanalyse für Ihre Organisation durchzuführen.

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 109

Vorgehensweise

1. Wählen Sie Zugriffsverwaltung Zugriffsrisikoanalyse Profilebenensimulation .

Sie gelangen auf das Bild Simulation: Profilebene, das die Phase Analysekriterien definieren anzeigt.2. Definieren Sie die Analysekriterien durch folgende Methoden:

○ Verwenden Sie ein vorhandenes Set von Analysekriterien, indem Sie den Namen im Feld Gesicherte Varianten eingeben.

○ Verwenden Sie die auf dem Bild verfügbaren Felder, um neue Analysekriterien folgendermaßen festzulegen:1. Im Bereich Analysekriterien können Sie die verfügbaren Felder verwenden, um Analysekriterien wie

System, Analyseart usw. festzulegen.

HinweisÜber die Drucktasten Plus (+) und Minus ( -) können Sie Kriteriumsfelder hinzufügen oder entfernen.

2. Wählen Sie im Bereich Berichtsoptionen Folgendes aus:○ Format wie etwa Übersicht, Detail, Kurzzusammenfassung oder Kurzfassung○ Ansicht wie etwa Technische Ansicht und Betriebswirtschaftliche Ansicht○ Art: nur die Zugriffsrisikoanalyse ist verfügbar und wird automatisch ausgewählt. Sie können Ihre

Auswahl aus den folgenden Optionen der Zugriffsrisikoanalyse treffen: Aktionsebene, Berechtigungsebene, Kritische Aktion, Kritische Berechtigung, Kritische Rolle/Berechtigung.

○ Zusätzliche Kriterien wie Geminderte Risiken einschließen und Alle Objekte anzeigen3. Sichern Sie Analysekriterien optional als Variante, indem Sie im Feld Variante sichern unter einen

Namen eingeben und Sichern wählen.4. Wählen Sie Weiter.

3. Geben Sie auf dem Bild Simulationskriterien definieren die Kriterien für die Simulation nach folgenden Methoden ein:○ Verwenden Sie ein vorhandenes Set von Simulationskriterien, indem Sie den Namen im Feld Gesicherte

Varianten eingeben.○ Verwenden Sie die auf dem Bild verfügbaren Felder, um neue Analysekriterien folgendermaßen

festzulegen:1. Wählen Sie die Registerkarte Aktionen, um Aktionen hinzuzufügen, zu entfernen oder mit Aktionen

verbundene Berechtigungen hinzuzufügen oder zu entfernen.2. Wählen Sie die Registerkarte Rollen, um Rollen hinzuzufügen, zu entfernen oder mit Rollen

verbundene Berechtigungen hinzuzufügen oder zu entfernen.3. Wählen Sie die Registerkarte Profile, um Profile hinzuzufügen, zu entfernen oder mit Profilen

verbundene Berechtigungen hinzuzufügen oder zu entfernen.4. Wählen Sie im Bereich Zusätzliche Kriterien zusätzliche Berichtskriterien wie Werte ausschließen und

Nur Risiken aus Simulation.5. Sichern Sie Simulationskriterien optional als Variante, indem Sie im Feld Variante sichern unter einen

Namen eingeben und Sichern wählen.6. Wählen Sie Im Vordergrund ausführen, um die Simulation sofort zu starten und Im Hintergrund

ausführen, um eine Zeit und ein Datum für den Start der Simulation festzulegen.

110 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

Hinweis

Um den Status der Hintergrundjobs anzuzeigen, navigieren Sie zu ZugriffsverwaltungEinplanung Hintergrundjobs .

7. Wenn Sie Im Vordergrund ausführen ausgewählt haben, bestätigen Sie über OK, dass Sie die Analyse sofort ausführen möchten. Das System zeigt die Suchergebnisse in der Tabelle Bestätigung an.

4. Überprüfen Sie die Ergebnisse auf dem Bild Bestätigung.

Optional können Sie Ergebnismengen exportieren wählen, um die Ergebnisse auf Ihren lokalen Rechner zu exportieren.

Nächste Schritte

Zugriffsrisikoanalyse [Seite 97]

Zugriffsrisikoanalyse auf Profilebene [Seite 108]

5.3.7 Zugriffsrisikoanalyse für HR-Objekte

Kontext

Sie können einen Bericht anlegen, der eine Zugriffsrisikoanalyse für HR-Objekte Ihrer Organisation anzeigt.

Vorgehensweise

1. Wählen Sie Zugriffsverwaltung Zugriffsrisikoanalyse HR-Objekte .

Sie gelangen auf das Bild Risikoanalyse: HR-Objekt-Ebene.2. Wählen Sie eine der folgenden Methoden aus, um einen Risikoanalysebericht für HR-Objekte anzulegen:

○ Verwenden Sie ein vorhandenes Set von Analysekriterien, indem Sie den Namen im Feld Gesicherte Varianten eingeben.

○ Verwenden Sie die auf dem Bild verfügbaren Felder, um neue Analysekriterien folgendermaßen festzulegen:1. Im Bereich Analysekriterien können Sie die verfügbaren Felder verwenden, um Analysekriterien wie

System, Analyseart usw. festzulegen.

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 111

HinweisÜber die Drucktasten Plus (+) und Minus ( -) können Sie Kriteriumsfelder hinzufügen oder entfernen.

2. Wählen Sie im Bereich Berichtsoptionen Folgendes aus:○ Format wie etwa Übersicht, Detail, Kurzzusammenfassung oder Kurzfassung○ Ansicht wie etwa Technische Ansicht und Betriebswirtschaftliche Ansicht○ Zusätzliche Kriterien wie Geminderte Risiken einschließen und Alle Objekte anzeigen

3. Wählen Sie im Bereich Art aus den folgenden Arten und Optionen:○ Zugriffsrisikoanalyse

Sie können Ihre Auswahl aus den folgenden Optionen der Zugriffsrisikoanalyse treffen: Aktionsebene, Berechtigungsebene, Kritische Aktion, Kritische Berechtigung, Kritische Rolle/Berechtigung.

○ Zugriffsrisikobewertung○ Minderungsanalyse

Sie können Ihre Auswahl aus den folgenden Optionen der Minderungsanalyse treffen: Mindernde Kontrollen, oder Ungültige mindernde Kontrollen.

4. Sichern Sie Analysekriterien optional als Variante, indem Sie im Feld Variante sichern unter einen Namen eingeben und Sichern wählen.

3. Wählen Sie Im Vordergrund ausführen, um die Analyse sofort zu starten und Im Hintergrund ausführen, um eine Zeit und ein Datum für den Start der Analyse festzulegen.

Hinweis

Um den Status der Hintergrundjobs anzuzeigen, navigieren Sie zu Zugriffsverwaltung EinplanungHintergrundjobs .

4. Wenn Sie Im Vordergrund ausführen ausgewählt haben, bestätigen Sie über OK, dass Sie die Analyse sofort ausführen möchten.

Nächste Schritte

Zugriffsrisikoanalyse [Seite 97]

Simulation der HR-Objekte [Seite 112]

5.3.8 Simulation der HR-Objekte

Kontext

Sie können eine HR-Objektebenensimulation als Teil der Zugriffsrisikoanalyse für Ihre Organisation durchführen.

112 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

Vorgehensweise

1. Wählen Sie Zugriffsverwaltung Zugriffsrisikoanalyse Simulation der HR-Objekte .

Sie gelangen auf das Bild Simulation: HR-Objektebene, das die Phase Analysekriterien definieren anzeigt.2. Definieren Sie die Analysekriterien durch folgende Methoden:

○ Verwenden Sie ein vorhandenes Set von Analysekriterien, indem Sie den Namen im Feld Gesicherte Varianten eingeben.

○ Verwenden Sie die auf dem Bild verfügbaren Felder, um neue Analysekriterien folgendermaßen festzulegen:1. Im Bereich Analysekriterien können Sie die verfügbaren Felder verwenden, um Analysekriterien wie

System, Analyseart usw. festzulegen.

HinweisÜber die Drucktasten Plus (+) und Minus ( -) können Sie Kriteriumsfelder hinzufügen oder entfernen.

2. Wählen Sie im Bereich Berichtsoptionen Folgendes aus:○ Format wie etwa Übersicht, Detail, Kurzzusammenfassung oder Kurzfassung○ Ansicht wie etwa Technische Ansicht und Betriebswirtschaftliche Ansicht○ Art: nur die Zugriffsrisikoanalyse ist verfügbar und wird automatisch ausgewählt. Sie können Ihre

Auswahl aus den folgenden Optionen der Zugriffsrisikoanalyse treffen: Aktionsebene, Berechtigungsebene, Kritische Aktion, Kritische Berechtigung, Kritische Rolle/Berechtigung.

○ Zusätzliche Kriterien wie Geminderte Risiken einschließen und Alle Objekte anzeigen3. Sichern Sie Analysekriterien optional als Variante, indem Sie im Feld Variante sichern unter einen

Namen eingeben und Sichern wählen.4. Wählen Sie Weiter.

3. Geben Sie auf dem Bild Simulationskriterien definieren die Kriterien für die Simulation nach folgenden Methoden ein:○ Verwenden Sie ein vorhandenes Set von Simulationskriterien, indem Sie den Namen im Feld Gesicherte

Varianten eingeben.○ Verwenden Sie die auf dem Bild verfügbaren Felder, um neue Analysekriterien folgendermaßen

festzulegen:1. Wählen Sie die Registerkarte Aktionen, um Aktionen hinzuzufügen, zu entfernen oder mit Aktionen

verbundene Berechtigungen hinzuzufügen oder zu entfernen.2. Wählen Sie die Registerkarte Rollen, um Rollen hinzuzufügen, zu entfernen oder mit Rollen

verbundene Berechtigungen hinzuzufügen oder zu entfernen.3. Wählen Sie die Registerkarte Profile, um Profile hinzuzufügen, zu entfernen oder mit Profilen

verbundene Berechtigungen hinzuzufügen oder zu entfernen.4. Wählen Sie im Bereich Zusätzliche Kriterien zusätzliche Berichtskriterien wie Werte ausschließen und

Nur Risiken aus Simulation.5. Sichern Sie Simulationskriterien optional als Variante, indem Sie im Feld Variante sichern unter einen

Namen eingeben und Sichern wählen.6. Wählen Sie Im Vordergrund ausführen, um die Simulation sofort zu starten und Im Hintergrund

ausführen, um eine Zeit und ein Datum für den Start der Simulation festzulegen.

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 113

Hinweis

Um den Status der Hintergrundjobs anzuzeigen, navigieren Sie zu ZugriffsverwaltungEinplanung Hintergrundjobs .

7. Wenn Sie Im Vordergrund ausführen ausgewählt haben, bestätigen Sie über OK, dass Sie die Analyse sofort ausführen möchten. Das System zeigt die Suchergebnisse in der Tabelle Bestätigung an.

4. Überprüfen Sie die Ergebnisse auf dem Bild Bestätigung.

Optional können Sie Ergebnismengen exportieren wählen, um die Ergebnisse auf Ihren lokalen Rechner zu exportieren.

Nächste Schritte

Zugriffsrisikoanalyse [Seite 97]

Zugriffsrisikoanalyse für HR-Objekte [Seite 111]

5.4 Risikominderung auf Zugriffsebene

Verwendung

Über die Risikominderung auf Zugriffsebene können Sie die mit der Zugriffskontrolle verbundenen Risiken verwalten, indem Sie Risiken identifizieren, die Stufen dieser Risiken bewerten und den Benutzern, Rollen und Profilen mindernde Kontrollen zuordnen, um Zugriffsregelüberschreitungen zu mindern.

Ein Risiko wird durch die Risikoanalyse identifiziert und kann nur dann gemindert werden, wenn die Kontrolle vorher definiert wurde.

Beim Definieren oder Anlegen einer mindernden Kontrolle müssen Sie zuerst die ID der mindernden Kontrolle anlegen. Diese ID wird in den Risikoanalyseberichten angezeigt. Alle mit der Kontrolle verknüpften Risiko-IDs müssen auch mit dieser Kontrolle gemindert werden.

Funktionsumfang

● Mindernde Kontrollen anlegen, die Sie nicht entfernen können● Mindernde Kontrollen Benutzern, Rollen und Profilen zuordnen, die ein Risiko beinhalten● Einen Zeitraum eingeben, in dem die Kontrolle gültig ist● Schritte zur Überwachung in Konflikt stehender, mit dem Risiko verknüpfter Aktionen festlegen● Administratoren, Kontrollmonitore, Genehmigende und Risikoverantwortliche anlegen und ihnen mindernde

Kontrollen zuordnen

114 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

Sie können alle Suchergebnisse in der Minderung drucken oder in eine Excel-Datei exportieren. Aufgrund von Bildgrößenbeschränkungen enthalten die gedruckten und exportierten Versionen der Suchergebnisse möglicherweise mehr Datenfelder, als das Bild anzeigen kann.

Weitere Informationen

Risikominderung auf Benutzerebene [Seite 115]

Risikominderung auf Benutzerebene für Organisationsregeln [Seite 116]

Risikominderung auf Rollenebene [Seite 117]

Risikominderung auf Profilebene [Seite 118]

HR-Objektminderung [Seite 119]

Risikominderung auf Rollenebene für Organisationsregeln [Seite 121]

5.4.1 Risikominderung auf Benutzerebene

Verwendung

Sie können den Menüeintrag Risikominderung auf Benutzerebene auch verwenden, um neue Risikominderungen auf Benutzerebene anzulegen, indem Sie die Benutzer einzeln mit vordefinierten mindernden Kontrollen oder mit einer Pauschalminderung verknüpfen. Mit der Pauschalminderung können Sie Zugriffsrisiken bei mehreren Benutzern gleichzeitig mindern.

Sie können diese Funktion auch verwenden, um nach Benutzern zu suchen, die bereits gemindert wurden und zwar durch die Verknüpfung eines Benutzers und einer mindernden Kontrolle.

Voraussetzungen

Zunächst müssen Sie eine mindernde Kontrolle definieren, bevor Sie diese Benutzern zuordnen können, um ein Zugriffsrisiko zu mindern.

Mindernde Kontrolle einem Benutzer zuordnen

1. Wählen Sie Zugriffsverwaltung Risikominderung auf Zugriffsebene Risikominderung auf Benutzerebene .Sie gelangen auf das Bild Risikominderung auf Benutzerebene mit einer Liste der vorhandenen Benutzer, denen mindernde Kontrollen zugeordnet wurden.

2. Wählen Sie Zuordnen.Das Bild Minderung bezüglich Benutzer wird angezeigt.

3. Füllen Sie die mit einem Asterisk (*) gekennzeichneten Felder aus:○ Zugriffsrisiko-ID – Geben Sie in diesem Feld die Zugriffsrisiko-ID ein.○ Kontroll-ID – Wählen Sie das Feld zur Eingabe der Kontroll-ID.

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 115

○ Überwacher – Nachdem Sie die Kontroll-ID ausgewählt haben, wird dieses Feld automatisch mit den Systemdaten gefüllt.

○ Gültig von – Beginn des Zeitraums für die mindernde Kontrolle○ Gültig bis – Ende des Zeitraums für die mindernde Kontrolle○ Status – Wählen Sie aus der Auswahlliste den Status Aktiv oder Inaktiv aus.

4. Wählen Sie Hinzufügen, um ein System mit der mindernden Kontrolle zu verknüpfen.5. Wählen Sie Hinzufügen, um einen Benutzer mit der mindernden Kontrolle zu verknüpfen.6. Wählen Sie Absenden und anschließend Schließen.

Die von Ihnen zugeordnete mindernde Kontrolle ist in der Liste auf dem Bild Risikominderung auf Benutzerebene enthalten.

Mindernde Kontrolle aus einem Benutzer löschen

1. Wählen Sie Zugriffsverwaltung Risikominderung auf Zugriffsebene Risikominderung auf Benutzerebene .Sie gelangen auf das Bild Risikominderung auf Benutzerebene mit einer Liste der vorhandenen Benutzer, denen mindernde Kontrollen zugeordnet wurden.

2. Markieren Sie den Benutzer, den Sie löschen möchten, und wählen Sie Löschen.Bestätigen Sie Ihre Entscheidung, diese mindernde Kontrolle zu löschen.

3. Wählen Sie Ja.Die mindernde Kontrolle wird vom Bild Risikominderung auf Benutzerebene entfernt.

Weitere Informationen

5.4.2 Risikominderung auf Benutzerebene für Organisationsregeln

Verwendung

Voraussetzungen

Zunächst müssen Sie eine mindernde Kontrolle definieren, bevor Sie diese einer Organisation zuordnen können, um ein Zugriffsrisiko zu mindern.

Mindernde Kontrolle zu einer Organisationsregel zuordnen

1. Wählen Sie Zugriffsverwaltung Risikominderung auf Zugriffsebene Organisationsregel zur Risikominderung auf Benutzerebene .Sie gelangen auf das Bild Risikominderung auf Benutzerorganisationsebene mit einer Liste der vorhandenen Organisationen, denen mindernde Kontrollen zugeordnet wurden.

2. Wählen Sie Zuordnen.Sie gelangen auf das Bild Minderung bezüglich Benutzerorganisation.

116 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

3. Geben Sie in den Mussfeldern Informationen ein. Die Mussfelder sind mit einem Asterisk (*) gekennzeichnet.○ Organisationsregel-ID – Wählen Sie das Feld für die Eingabe der Organisationsregel-ID aus.○ Zugriffsrisiko-ID – Geben Sie in diesem Feld die Zugriffsrisiko-ID ein.○ Kontroll-ID – Geben Sie die Kontroll-ID ein.○ Überwacher – Nachdem Sie die Kontroll-ID ausgewählt haben, wird dieses Feld automatisch mit den

Systemdaten gefüllt.○ Gültig von – Beginn des Zeitraums für die mindernde Kontrolle○ Gültig bis – Ende des Zeitraums für die mindernde Kontrolle○ Status – Wählen Sie aus der Auswahlliste den Status Aktiv oder Inaktiv aus.

4. Wählen Sie Hinzufügen, um ein System mit der mindernden Kontrolle zu verknüpfen.5. Wählen Sie Hinzufügen, um einen Benutzer mit der mindernden Kontrolle zu verknüpfen.6. Wählen Sie Absenden und anschließend Schließen.

Die von Ihnen zugeordnete mindernde Kontrolle ist in der Liste auf dem Bild Risikominderung auf Benutzerebene enthalten.

Regel zur Risikominderung auf Benutzerorganisationsebene löschen

1. Wählen Sie Zugriffsverwaltung Risikominderung auf Zugriffsebene Organisationsregel zur Risikominderung auf Benutzerebene .Sie gelangen auf das Bild Risikominderung auf Benutzerorganisationsebene mit einer Liste der vorhandenen Organisationen, denen mindernde Kontrollen zugeordnet wurden.

2. Wählen Sie den Benutzer aus, den Sie löschen möchten und wählen Sie Löschen.Bestätigen Sie Ihre Entscheidung, diese mindernde Kontrolle zu löschen.

3. Wählen Sie Ja.Die von Ihnen gelöschte mindernde Kontrolle wird vom Bild Regel zur Risikominderung auf Benutzerorganisationsebene entfernt.

Weitere Informationen

5.4.3 Risikominderung auf Rollenebene

Verwendung

Über das Bild Risikominderung auf Rollenebene können Sie einer Rolle mindernde Kontrollen zuordnen.

Voraussetzungen

Zunächst müssen Sie eine mindernde Kontrolle definieren, bevor Sie diese einer Rolle zuordnen können, um ein Zugriffsrisiko zu mindern.

Mindernde Kontrollen zu Rollen zuordnen

1. Wählen Sie Zugriffsverwaltung Risikominderung auf Zugriffsebene Risikominderung auf Rollenebene .

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 117

Sie gelangen auf das Bild Risikominderung auf Rollenebene mit einer Liste der vorhandenen Rollen, denen mindernde Kontrollen zugeordnet wurden.

2. Wählen Sie Zuordnen.Das Dialogfenster Rollenminderung wird geöffnet.

3. Füllen Sie die mit einem Asterisk (*) gekennzeichneten Felder aus:○ Zugriffsrisiko-ID – Geben Sie in diesem Feld die Zugriffsrisiko-ID ein.○ Kontroll-ID – Geben Sie die Kontroll-ID ein.○ Überwacher – Nachdem Sie die Kontroll-ID ausgewählt haben, wird dieses Feld automatisch mit den

Systemdaten gefüllt.○ Gültig von – Beginn des Zeitraums für die mindernde Kontrolle○ Gültig bis – Ende des Zeitraums für die mindernde Kontrolle○ Status – Wählen Sie aus der Auswahlliste den Status Aktiv oder Inaktiv aus.

4. Wählen Sie Hinzufügen, um ein System mit der mindernden Kontrolle zu verknüpfen.5. Wählen Sie Hinzufügen, um eine Rolle mit der mindernden Kontrolle zu verknüpfen.6. Wählen Sie Absenden und anschließend Schließen.

Die von Ihnen zugeordnete mindernde Kontrolle ist in der Liste auf dem Bild Risikominderung auf Rollenebene enthalten.

Mindernde Kontrollen aus Rollen löschen

1. Wählen Sie Zugriffsverwaltung Risikominderung auf Zugriffsebene Risikominderung auf Rollenebene .Sie gelangen auf das Bild Risikominderung auf Rollenebene mit einer Liste der vorhandenen Rollen, denen mindernde Kontrollen zugeordnet wurden.

2. Wählen Sie die Rolle aus, die Sie löschen möchten und wählen Sie Löschen.Bestätigen Sie Ihre Entscheidung, diese mindernde Kontrolle zu löschen.

3. Wählen Sie Ja.Die mindernde Kontrolle wird vom Bild Risikominderung auf Rollenebene entfernt.

Weitere Informationen

5.4.4 Risikominderung auf Profilebene

Verwendung

Über das Bild Risikominderung auf Profilebene können Sie mindernde Kontrollen einem Profil zuordnen.

Voraussetzungen

Zunächst müssen Sie eine mindernde Kontrolle definieren, bevor Sie diese zu einem Profil zuordnen können, um ein Zugriffsrisiko zu mindern.

Mindernde Kontrolle zu einem Profil zuordnen

118 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

1. Wählen Sie Zugriffsverwaltung Risikominderung auf Zugriffsebene Risikominderung auf Profilebene .Sie gelangen auf das Bild Risikominderung auf Profilebene mit einer Liste der vorhandenen Profile, denen mindernde Kontrollen zugeordnet wurden.

2. Wählen Sie Zuordnen.Sie gelangen auf das Bild Profilminderung.

3. Füllen Sie die mit einem Asterisk (*) gekennzeichneten Felder aus:○ Zugriffsrisiko-ID – Geben Sie in diesem Feld die Zugriffsrisiko-ID ein.○ Kontroll-ID – Geben Sie in diesem Feld die Kontroll-ID ein, die Sie hinzufügen möchten.○ Überwacher – Nachdem Sie die Kontroll-ID ausgewählt haben, wird dieses Feld automatisch mit den

Systemdaten gefüllt.○ Gültig von – Dies ist der Beginn des Zeitraums für die mindernde Kontrolle.○ Gültig bis – Dies ist das Ende des Zeitraums für die mindernde Kontrolle.○ Status – Wählen Sie aus der Auswahlliste den Status Aktiv oder Inaktiv aus.

4. Wählen Sie Hinzufügen, um ein System mit der mindernden Kontrolle zu verknüpfen.5. Wählen Sie Hinzufügen, um eine Rolle mit der mindernden Kontrolle zu verknüpfen.6. Wählen Sie Absenden und anschließend Schließen.

Die von Ihnen zugeordnete mindernde Kontrolle ist in der Liste auf dem Bild Risikominderung auf Profilebene enthalten.

Mindernde Kontrolle aus einem Profil löschen

1. Wählen Sie Zugriffsverwaltung Risikominderung auf Zugriffsebene Risikominderung auf Profilebene .Sie gelangen auf das Bild Risikominderung auf Profilebene mit einer Liste der vorhandenen Profile, denen mindernde Kontrollen zugeordnet wurden.

2. Wählen Sie das Profil aus, das Sie löschen möchten und wählen Sie Löschen. Bestätigen Sie Ihre Entscheidung, diese mindernde Kontrolle zu löschen.

3. Wählen Sie Ja.Die von Ihnen gelöschte mindernde Kontrolle wird vom Bild Risikominderung auf Profilebene entfernt.

Weitere Informationen

5.4.5 HR-Objektminderung

Verwendung

Sie können die Funktionen des Bilds HR-Minderung verwenden, um Zugriffsrisiken durch die Zuordnung von mindernden Kontrollen zu Human-Resource-Objekten (HR) zu mindern.

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 119

Voraussetzungen

Sie haben mindernde Kontrollen definiert.

Weitere Informationen finden Sie unter .

Vorgehensweise

Mindernde Kontrollen zu HR-Objekten zuordnen

1. Wählen Sie Zugriffsverwaltung Risikominderung auf Zugriffsebene HR-Minderung .Das Bild HR-Minderung zeigt eine Liste der vorhandenen HR-Objekte an, denen mindernde Kontrollen zugeordnet wurden.

2. Wählen Sie Zuordnen.Das Bild HR-Objektminderung wird angezeigt.

3. Geben Sie in den Mussfeldern Informationen ein.○ Objekttyp – Wählen Sie das entsprechende Feld aus, um den Objekttyp einzugeben.○ ID des Zugriffsrisikos – Geben Sie die ID des Zugriffsrisikos ein.○ Kontroll-ID – Geben Sie die Kontroll-ID ein.○ Überwacher – Nachdem Sie die Kontroll-ID ausgewählt haben, wird dieses Feld automatisch mit den

Systemdaten gefüllt.○ Gültig von – Beginn des Zeitraums für die mindernde Kontrolle○ Gültig bis – Ende des Zeitraums für die mindernde Kontrolle○ Status – Wählen Sie aus der Auswahlliste den Status Aktiv oder Inaktiv aus.

4. Wählen Sie in der Tabelle Systeme die Option Hinzufügen, um eine mindernde Kontrolle zu einem System zuzuordnen

5. Wählen Sie in der Tabelle HR-Objekt die Option Hinzufügen, um ein HR-Objekt mit der mindernden Kontrolle zu verknüpfen.

6. Wählen Sie Absenden, wenn die Workflows aktiviert sind.Wenn keine Workflows aktiviert sind, wählen Sie Sichern.

7. Wählen Sie Schließen.

Mindernde Kontrollen aus HR-Objekten löschen

1. Wählen Sie Zugriffsverwaltung Risikominderung auf Zugriffsebene HR-Minderung .Das Bild HR-Minderung zeigt eine Liste der vorhandenen HR-Objekte an, denen mindernde Kontrollen zugeordnet wurden.

2. Wählen Sie ein HR-Objekt aus und dann Löschen.3. Wählen Sie im Dialogfenster Bestätigen die Option Ja.

120 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

5.4.6 Risikominderung auf Rollenebene für Organisationsregeln

Verwendung

Über das Bild für die Rollenorganisationsminderung ordnen Sie mindernde Kontrollen einer Organisationsregel für eine Rolle zu.

Voraussetzungen

Zunächst müssen Sie eine mindernde Kontrolle definieren, bevor Sie diese zu einer Organisationsrolle zuordnen können, um ein Zugriffsrisiko zu mindern.

Rollenorganisationsminderung zuordnen

1. Wählen Sie Zugriffsverwaltung Risikominderung auf Zugriffsebene Risikominderung für Rollenorganisation .Sie gelangen auf das Bild Risikominderung für Rollenorganisation mit einer Liste der vorhandenen Organisationsrollen, denen mindernde Kontrollen zugeordnet wurden.

2. Wählen Sie Zuordnen.Das Fenster Rollenorganisationsminderung wird geöffnet.

3. Füllen Sie die mit einem Asterisk (*) gekennzeichneten Felder aus.○ Organisationsregel-ID – Wählen Sie das Feld für die Eingabe der Organisationsregel-ID aus.○ Zugriffsrisiko-ID – Geben Sie in diesem Feld die Zugriffsrisiko-ID ein.○ Kontroll-ID – Geben Sie in diesem Feld die Kontroll-ID ein, die Sie hinzufügen möchten.○ Überwacher – Nachdem Sie die Kontroll-ID ausgewählt haben, wird dieses Feld automatisch mit den

Systemdaten gefüllt.○ Gültig von – Dies ist der Beginn des Zeitraums für die mindernde Kontrolle.○ Gültig bis – Dies ist das Ende des Zeitraums für die mindernde Kontrolle.○ Status – Wählen Sie aus der Dropdown-Box Aktiv oder Inaktiv.

4. Wählen Sie Hinzufügen, um ein System mit der mindernden Kontrolle zu verknüpfen.5. Wählen Sie Hinzufügen, um eine Organisationsrolle mit der mindernden Kontrolle zu verknüpfen.6. Wählen Sie Absenden und anschließend Schließen.

Die von Ihnen zugeordnete mindernde Kontrolle ist in der Liste auf dem Bild Rollenorganisationsminderung enthalten.

Mindernde Kontrollen aus Rollen löschen

1. Wählen Sie Zugriffsverwaltung Risikominderung auf Zugriffsebene Risikominderung für Rollenorganisation .Sie gelangen auf das Bild Risikominderung für Rollenorganisation mit einer Liste der vorhandenen Organisationsrollen, denen mindernde Kontrollen zugeordnet wurden.

2. Markieren Sie die Organisationsrolle, die Sie löschen möchten und wählen Sie Löschen.Bestätigen Sie Ihre Entscheidung, diese mindernde Kontrolle zu löschen.

3. Wählen Sie Ja.Die mindernde Kontrolle wird vom Bild Rollenorganisationsminderung entfernt.

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 121

Weitere Informationen

5.5 Risiken beim Genehmigen von Zugriffsanforderungen analysieren

Verwendung

Auf dem Bild Zugriffsanforderung können Sie eine Risikoanalyse und Schadensanalyse durchführen, bevor Sie Anforderungen genehmigen. Bei der Ausführung der Analyse stehen Ihnen die folgenden Optionen zur Verfügung:

● Auf der Registerkarte Risikoüberschreitungen können Sie die Analyse durchführen und die Ergebnisse sichern.

● Auf der Registerkarte Benutzerzugriff können Sie mithilfe der Funktion Simulation zunächst die Analyse durchführen und anschließend wählen, ob Sie die Ergebnisse sichern möchten.

Hinweis● Sie können die Anforderung so einstellen, dass Genehmigende die Risiken vor der Genehmigung von

Zugriffsanforderungen analysieren müssen. Sie bearbeiten diese Einstellung in der Customizing-Aktivität MSMP-Workflows bearbeiten unter Governance, Risk, and Compliance Access Control Workflow für Access Control . Wählen Sie in der Phase Pfade bearbeiten im Bereich Stufen bearbeiten die Option Aufgabeneinstellungen anzeigen. Markieren Sie das Feld Risikoanalyse obligatorisch und wählen Sie je nach Bedarf Ja oder Nein.

● Sie können Genehmigenden erlauben, Zugriffsanforderungen trotz Risiken zu genehmigen. Sie bearbeiten diese Einstellung in der Customizing-Aktivität MSMP-Workflows bearbeiten unter Governance, Risk, and Compliance Access Control Workflow für Access Control . Wählen Sie in der Phase Pfade bearbeiten im Bereich Stufen bearbeiten die Option Aufgabeneinstellungen anzeigen. Markieren Sie das Ankreuzfeld für das Feld Trotz Risiko genehmigen.

Vorgehensweise

Die folgende Vorgehensweise ist dieselbe, unabhängig davon, auf welcher Registerkarte Sie beginnen. Der einzige Unterschied ist, dass Sie bei der Simulation wählen können, ob Sie die Ergebnisse sichern möchten.

1. Wählen Sie im Arbeitsplatz Meine Startseite die Option Arbeitseingang. Wählen Sie im Bild Workitems die Option Zugriffsverwaltung. Wählen Sie eine Zugriffsanforderung.

2. Führen Sie eine der folgenden Aktivitäten durch:○ Wählen Sie die Registerkarte Risikoüberschreitungen.○ Wählen Sie auf der Registerkarte Benutzerzugriff die Option Simulation.

122 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

3. Wählen Sie in der Dropdown-Box Analyseart die relevante Analyseart aus:○ Verwenden Sie Risikoanalyse zur Ermittlung von Überschreitungen, die der Rolle zugeordnete

Berechtigungen betreffen. Wenn die Berechtigungen z.B. Funktionstrennungsüberschreitungen zur Folge haben.

HinweisSie können SAP Access Control so konfigurieren, dass Firefighter-Zuordnungen automatisch in der Risikoanalyse eingeschlossen werden.

Sie bearbeiten diese Einstellung in der Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter Governance, Risk, and Compliance Access Control . Geben Sie für den Parameter FF-Zuordnungen in Risikoanalyse berücksichtigen folgende Werte ein:

Tabelle 17:

Spalte Wert

Parametergruppe Risikoanalyse

Parameter-ID 1038

Parameterwert Ja oder Nein nach Bedarf

○ Mit der Schadensanalyse ermitteln Sie Berechtigungsüberschreitungen, die andere Rollen betreffen. Dies bedeutet, dass die Berechtigungen für die ausgewählte Rolle in Kombination mit Berechtigungen für eine andere Rolle zu Überschreitungen führen.

4. Wählen Sie das System und das Regelwerk.5. Wählen Sie im Bereich Ergebnisoptionen das Format, die Art und zusätzliche Kriterien für die

Analyseergebnisse aus.

Beispiel

Tabelle 18:

Format: Kurzfassung

Art: Aktionsebene, Berechtigungsebene

Zusätzliche Kriterien: Geminderte Risiken einschließen

6. Wählen Sie Risikoanalyse ausführen.7. Im Bereich Ergebnis haben Sie die Wahl zwischen verschiedenen Anzeigemodi für die Analyseergebnisse.8. Wenn Sie eine Simulation ausführen, haben Sie die folgenden Möglichkeiten:

○ Wählen Sie Abbrechen, wenn Sie die Ergebnisse der Analyse nicht sichern möchten.○ Wählen Sie Übernehmen, wenn Sie die Ergebnisse der Analyse sichern möchten. Die Informationen

werden auf der Registerkarte Risikoüberschreitungen gesichert, und Sie können Sie bei jedem Öffnen der Anforderung anzeigen. Die Ergebnisse stehen auch dem Genehmigenden der Anforderung zur Verfügung.

9. Auf der Registerkarte Risikoüberschreitungen können Sie ein Risiko mindern, indem Sie das Risiko markieren und Risiko mindern wählen.

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 123

5.6 Risiken beim Absenden von Zugriffsanforderungen analysieren

Verwendung

Auf dem Bild Zugriffsanforderung können Sie auf den folgenden Registerkarten Risikoanalysen und Schadensanalysen durchführen:

● RisikoüberschreitungenWenn Sie die Ergebnisse der Analyse sichern möchten, verwenden Sie die Analysefunktion auf dieser Registerkarte.

● BenutzerzugriffMithilfe der Funktion Simulation können Sie zunächst die Analyse durchführen und anschließend wählen, ob Sie die Ergebnisse sichern möchten.

Hinweis● Sie können die Anwendung so einstellen, dass sie Risiken automatisch analysiert, wenn jemand eine

Zugriffsanforderung absendet. Wenn der Anforderer beispielsweise eine Anforderung absendet, ohne zuerst die Risiken zu analysieren, führt die Anwendung automatisch eine Analyse durch und fügt die Ergebnisse zur Zugriffsanforderung hinzu, die im Arbeitseingang des Genehmigenden angezeigt wird.Sie bearbeiten diese Einstellung in der Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter Governance, Risk, and Compliance Access Control . Geben Sie für den Parameter Risikoanalyse für Formularabgabe aktivieren folgende Werte ein:

Tabelle 19:

Spalte Wert

Parametergruppe Risikoanalyse – Zugriffsanforderung

Parameter-ID 1071

Parameterwert Ja oder Nein nach Bedarf

● Sie können die Anwendung so einstellen, dass Firefighter-Zuordnungen in der Risikoanalyse eingeschlossen werden.Sie bearbeiten diese Einstellung in der Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter Governance, Risk, and Compliance Access Control . Geben Sie für den Parameter FF-Zuordnungen in Risikoanalyse berücksichtigen folgende Werte ein:

Tabelle 20:

Spalte Wert

Parametergruppe Risikoanalyse

Parameter-ID 1038

124 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

Spalte Wert

Parameterwert Ja oder Nein nach Bedarf

Vorgehensweise

Die folgende Vorgehensweise ist dieselbe, unabhängig davon, auf welcher Registerkarte Sie beginnen. Der einzige Unterschied ist, dass Sie bei der Simulationsfunktion wählen können, ob Sie die Ergebnisse sichern möchten.

1. Führen Sie auf dem Bild einen der folgenden Schritte aus:○ Wählen Sie die Registerkarte Risikoüberschreitungen.○ Wählen Sie auf der Registerkarte Benutzerzugriff die Option Simulation.

2. Wählen Sie in der Dropdown-Box Analyseart die relevante Analyseart aus:○ Verwenden Sie Risikoanalyse zur Ermittlung von Überschreitungen, die der Rolle zugeordnete

Berechtigungen betreffen. Ein Beispiel dafür ist, wenn die Berechtigungen Funktionstrennungsüberschreitungen zur Folge haben.

○ Mit der Schadensanalyse ermitteln Sie Berechtigungsüberschreitungen, die andere Rollen betreffen. Dies bedeutet, dass die Berechtigungen für die ausgewählte Rolle in Kombination mit Berechtigungen für eine andere Rolle zu Überschreitungen führen.

3. Wählen Sie aus den entsprechenden Feldern das System und das Regelwerk aus.4. Wählen Sie im Bereich Ergebnisoptionen das Format, die Art und zusätzliche Kriterien für die

Analyseergebnisse aus.

Beispiel

Tabelle 21:

Format: Kurzfassung

Art: Aktionsebene, Berechtigungsebene

Zusätzliche Kriterien: Geminderte Risiken einschließen

5. Wählen Sie Risikoanalyse ausführen.6. Im Bereich Ergebnis haben Sie die Wahl zwischen verschiedenen Anzeigemodi für die Analyseergebnisse.7. Wenn Sie die Simulationsfunktion verwenden, haben Sie die folgenden Möglichkeiten:

○ Wählen Sie Abbrechen, wenn Sie die Ergebnisse der Analyse nicht sichern möchten.○ Wählen Sie Übernehmen, wenn Sie die Ergebnisse sichern möchten. Die Informationen werden auf der

Registerkarte Risikoüberschreitungen gesichert, und Sie können Sie bei jedem Öffnen der Anforderung anzeigen. Die Ergebnisse stehen auch dem Genehmigenden der Anforderung zur Verfügung.

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 125

5.7 Zugriffsrisiken für Rollenbearbeitung analysieren

Verwendung

Sie können die Phase Zugriffsrisiken analysieren verwenden, um die folgenden Analysearten durchzuführen:

● Mit der Risikoanalyse ermitteln Sie Überschreitungen bei den der Rolle zugeordneten Berechtigungen, z.B. ob die Berechtigungen zu Funktionstrennungsüberschreitungen führen.

● Mit der Schadensanalyse ermitteln Sie Berechtigungsüberschreitungen mit anderen Rollen. Dies bedeutet, dass die Berechtigungen für diese Rolle in Kombination mit Berechtigungen für eine andere Rolle zu Überschreitungen führen.

Vorgehensweise

Um die Risikoanalyse auszuführen, gehen Sie wie folgt vor:

1. Wählen Sie in der Dropdown-Box Analyseart den Eintrag Risikoanalyse aus.2. Wählen Sie aus den entsprechenden Feldern das System und das Regelwerk aus.3. Wählen Sie im Bereich Ergebnisoptionen das Format für die Analyseergebnisse und das Objekt für die

Analyse, wie Aktionsebene, Berechtigungsebene usw. aus.

HinweisNur wenn die Schadensanalyse ausgewählt ist, ist der Bereich Optionen für Schadensanalyse auswählen aktiviert.

4. Wählen Sie in der Mitte des Bilds, ob Sie den Analysejob im Vorder- oder Hintergrund ausführen möchten.5. Wählen Sie im Bereich Ergebn. anzeigen für den Eintrag Risikoanalyse aus der Dropwdown-Box und wählen

Sie anschließend Start.6. Im Bereich Ergebnis haben Sie die Wahl zwischen verschiedenen Anzeigemodi für die Analyseergebnisse.7. Wählen Sie Risiko mindern, um Überschreitungen zu mindern.

Um die Schadensanalyse auszuführen, gehen Sie wie folgt vor:

1. Wählen Sie in der Dropdown-Box Analyseart den Eintrag Schadensanalyse aus.2. Wählen Sie aus den entsprechenden Feldern das System und das Regelwerk aus.3. Wählen Sie im Bereich Ergebnisoptionen das Format für die Analyseergebnisse und das Objekt für die

Analyse, wie Aktionsebene, Berechtigungsebene usw. aus.4. Wählen Sie im Bereich Optionen für Schadensanalyse auswählen die Ausführung der Schadensanalyse für

eine oder mehrere der folgenden Optionen: Benutzer, Sammelrollen oder Benutzerrollen.5. Wählen Sie in der Mitte des Bilds, ob Sie den Analysejob im Vorder- oder Hintergrund ausführen möchten.6. Wählen Sie im Bereich Ergebn. anzeigen für den Eintrag Schadensanalyse aus der Dropdown-Box und wählen

Sie anschließend Start.7. Im Bereich Ergebnis haben Sie die Wahl zwischen verschiedenen Anzeigemodi für die Analyseergebnisse.8. Wählen Sie Risiko mindern, um Überschreitungen zu mindern.

126 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

Weitere Informationen

Regelwerke [Seite 80]

Risiken mindern [Seite 41]

5.8 Risiken mindern

Voraussetzungen

Sie haben mindernde Kontrollen angelegt.

Kontext

Auf dem Bild Mindernde Kontrollen zuordnen können Sie Risiken, die während der Risikoanalyse und Schadensanalyse gefunden wurden, mindernde Kontrollen zuordnen.

Auf dem Bild können Sie auch Risiken für Rollen mindern, die nicht Teil der aktuellen Anforderung sind. Sie mindern z. B. gerade Risiken für John_Current_Request. Sie können auch Risikoüberschreitungen für John_Other_Request1 und John _Other_Request2 mindern. Wählen Sie Hinzufügen, um das Risiko hinzuzufügen und stellen Sie Schritt 4 der unten stehenden Vorgehensweise fertig.

HinweisDie Funktion Risiko mindern ist auf mehreren Bildern in der Anwendung verfügbar. Die unten stehende Vorgehensweise beschreibt einen Einstiegspunkt; Ihr Einstiegspunkt kann davon abweichen. Die Informationen stehen unabhängig vom Einstiegspunkt zur Verfügung.

Vorgehensweise

1. Wählen Sie auf dem Bild Zugriffsrisiken analysieren im Abschnitt Ergebnisse eine oder mehrere Risikoüberschreitungen aus und wählen Sie Risiko mindern.

Sie gelangen auf das Bild Mindernde Kontrollen zuordnen. Die Anwendung verwendet die Informationen aus der Risikoüberschreitung, wie z. B. die Zugriffsrisiko-ID, und zeigt die relevante mindernde Kontrolle an.

2. Um die von der Anwendung vorgeschlagene mindernde Kontrolle zu verwenden, gehen Sie wie folgt vor:1. Ändern Sie die Informationen in den relevanten Feldern wie den Gültigkeitszeitraum und die Kontroll-ID

nach Bedarf.

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 127

2. Wählen Sie Absenden.3. Um eine neue Kontrolle anzulegen, gehen Sie wie folgt vor:

1. Wählen Sie Kontrolle anlegen und stellen Sie die Aufgaben zum Anlegen einer neuen Kontrolle fertig.2. Wählen Sie Hinzufügen.

Die Anwendung fügt eine leere Zeile zur Liste der mindernden Kontrollen hinzu.3. Geben Sie Informationen in den relevanten Feldern für die neue Kontrolle ein.4. Wählen Sie Absenden.

4. Um mindernde Kontrollen für andere Rollen oder Anforderungen zuzuordnen, gehen Sie wie folgt vor:1. Wählen Sie Hinzufügen.

Die Anwendung fügt eine leere Zeile zur Liste der mindernden Kontrollen hinzu.2. Geben Sie Informationen in den relevanten Feldern für die neue Kontrolle ein.3. Wählen Sie Absenden.

Nächste Schritte

5.9 Alarme

Verwendung

Wenn ein Benutzer kritische oder in Konflikt stehende Aktionen durchführt, kann das System einen Eskalationsalarm an die zuständigen Mitarbeiter senden. Mit der Funktion Alarme können Sie In Konflikt stehende und kritische Zugriffsalarme und Alarme zu Mindernden Kontrollen entsprechend überwachen.

Im Einzelnen haben Sie die folgenden Möglichkeiten:

● Alarme für die Anzeige suchen und filtern● Alarme zurücksetzen● Zurückgesetzte Alarme suchen und filtern

Weitere Informationen

Alarme suchen [Seite 129]

Zurückgesetzte Alarme [Seite 130]

Alarme zurücksetzen [Seite 131]

Zurückgesetzte Alarme suchen [Seite 132]

128 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

5.9.1 Alarme suchen

Kontext

Sie können nach den folgenden Arten von Alarmen suchen:

● In Konflikt stehende und kritische Zugriffsalarme● Mindernde Kontrollen

Vorgehensweise

1. Wählen Sie Zugriffsverwaltung Zugriffsalarme In Konflikt stehende und kritische Zugriffsalarme oder Zugriffsverwaltung Zugriffsalarme Mindernde Kontrollen .

Sie gelangen auf das Bild In Konflikt stehende und kritische Zugriffsalarme oder Alarme zu mindernden Kontrollen.

2. Geben Sie die Suchkriterien an.1. Wählen Sie in der ersten Auswahlliste den Objekttyp aus.

Bei In Konflikt stehende und kritische Zugriffsalarme stehen die folgenden Objekttypen zur Auswahl:○ Geschäftsprozess○ System○ Datum/Uhrzeit der Ausführung○ Zugriffsrisiko-ID○ Risikostufe○ Risikoverantwortlicher○ Risikoart○ Benutzer-ID○ Datum/Uhrzeit des Alarms

Bei Alarme zu mindernden Kontrollen stehen die folgenden Objekttypen zur Auswahl:○ Aktion○ System○ Kontroll-ID○ Datum/Uhrzeit der Ausführung○ Benutzer-ID○ Datum/Uhrzeit des Alarms

2. Wählen Sie in der zweiten Dropdown-Box einen der folgenden Operatoren aus:○ ist○ ist nicht○ beginnt mit○ enthält○ ist zwischen

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 129

○ Mehrfachselektionen3. Geben Sie im dritten Feld den Suchwert ein oder wählen Sie ihn aus.4. Fügen Sie optional über die Drucktaste mit dem Pluszeichen (+) eine Zeile zu den Suchkriterien hinzu und

füllen Sie die Felder. Entfernen Sie alternativ eine Zeile aus den Suchkriterien über die entsprechende Drucktaste mit dem Minuszeichen (-).

3. Wählen Sie Suchen.

Das System zeigt die Suchergebnisse in der Tabelle an.4. Sichern Sie optional die Suchkriterien als Variante, indem Sie im Feld Variante sichern unter einen Namen

eingeben und Sichern wählen.

Nächste Schritte

Alarme [Seite 128]

Zurückgesetzte Alarme [Seite 130]

Alarme zurücksetzen [Seite 131]

Zurückgesetzte Alarme suchen [Seite 132]

5.9.2 Zurückgesetzte Alarme

Verwendung

Nachdem eine Alarmnachricht ausgegeben und zurückgesetzt oder gelöscht wurde, bleibt sie als archivierter Datensatz erhalten. Sie können diese Alarme auf der Registerkarte Zurückgesetzte Alarme der Bilder In Konflikt stehende und kritische Zugriffsalarme und Mindernde Kontrollen nachverfolgen und überwachen.

Weitere Informationen

Alarme [Seite 128]

Alarme suchen [Seite 129]

Alarme zurücksetzen [Seite 131]

Zurückgesetzte Alarme suchen [Seite 132]

130 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

5.9.2.1 Alarme zurücksetzen

Kontext

Sie können die folgenden Arten von Alarmen bei Bedarf zurücksetzen:

● In Konflikt stehende und kritische Zugriffsalarme● Mindernde Kontrollen

Vorgehensweise

1. Wählen Sie Zugriffsverwaltung Zugriffsalarme In Konflikt stehende und kritische Zugriffsalarme oder Zugriffsverwaltung Zugriffsalarme Mindernde Kontrollen .

Sie gelangen auf das Bild In Konflikt stehende und kritische Zugriffsalarme oder Alarme zu mindernden Kontrollen.

2. Geben Sie die Suchkriterien an.3. Wählen Sie Suchen.

Das System zeigt die Suchergebnisse in der Tabelle an.4. Wählen Sie den zurückzusetzenden Alarm aus, indem Sie das Ankreuzfeld links markieren, und wählen Sie

Alarm zurücksetzen.

Der Dialog Alarm zurücksetzen wird angezeigt.5. Geben Sie eine Ursache für das Zurücksetzen des Alarms ein und wählen Sie OK.

Der Alarm wird zurückgesetzt. Zurückgesetzte Alarme können Sie auf der Registerkarte Zurückgesetzte Alarme anzeigen. Weitere Informationen finden Sie unter .

Nächste Schritte

Alarme [Seite 128]

Alarme suchen [Seite 129]

Zurückgesetzte Alarme [Seite 130]

Zurückgesetzte Alarme suchen [Seite 132]

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 131

5.9.2.2 Zurückgesetzte Alarme suchen

Kontext

Sie können nach den folgenden Arten von zurückgesetzten Alarmen suchen:

● In Konflikt stehende und kritische Zugriffsalarme● Mindernde Kontrollen

Vorgehensweise

1. Wählen Sie Zugriffsverwaltung Zugriffsalarme In Konflikt stehende und kritische Zugriffsalarme oder Zugriffsverwaltung Zugriffsalarme Mindernde Kontrollen .

Sie gelangen auf das Bild In Konflikt stehende und kritische Zugriffsalarme oder Alarme zu mindernden Kontrollen.

2. Wählen Sie die Registerkarte Zurückgesetzte Alarme.3. Geben Sie die Suchkriterien an.

1. Wählen Sie in der ersten Auswahlliste den Objekttyp aus.Bei In Konflikt stehende und kritische Zugriffsalarme stehen die folgenden Objekttypen zur Auswahl:○ Geschäftsprozess○ System○ Datum/Uhrzeit der Ausführung○ Zugriffsrisiko-ID○ Risikostufe○ Risikoverantwortlicher○ Risikoart○ Benutzer-ID○ Datum/Uhrzeit des Alarms

Bei Alarme zu mindernden Kontrollen stehen die folgenden Objekttypen zur Auswahl:○ Aktion○ System○ Kontroll-ID○ Datum/Uhrzeit der Ausführung○ Benutzer-ID○ Datum/Uhrzeit des Alarms

2. Wählen Sie in der zweiten Dropdown-Box einen der folgenden Operatoren aus:○ ist○ ist nicht○ beginnt mit

132 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

○ enthält○ ist zwischen○ Mehrfachselektionen

3. Geben Sie im dritten Feld den Suchwert ein oder wählen Sie ihn aus.4. Fügen Sie optional über die Drucktaste mit dem Pluszeichen (+) eine Zeile zu den Suchkriterien hinzu und

füllen Sie die Felder. Entfernen Sie alternativ eine Zeile aus den Suchkriterien über die entsprechende Drucktaste mit dem Minuszeichen (-).

4. Wählen Sie Suchen.

Das System zeigt die Suchergebnisse in der Tabelle an.5. Sichern Sie optional die Suchkriterien als Variante, indem Sie im Feld Variante sichern unter einen Namen

eingeben und Sichern wählen.6. Um die Ursache für die Zurücksetzung eines Alarms anzuzeigen, wählen Sie beim entsprechenden Alarm im

Feld Ursache den Link Kommentare.

Der Dialog Alarm zurücksetzen mit der Ursache wird angezeigt. Wählen Sie Abbrechen, um den Dialog zu beenden.

Nächste Schritte

Alarme [Seite 128]

Alarme suchen [Seite 129]

Zurückgesetzte Alarme [Seite 130]

Alarme zurücksetzen [Seite 131]

5.10 Hintergrundjobs

Verwendung

Sie können die Links im Arbeitsplatz Zugriffsverwaltung unter Einplanung verwenden, um Hintergrundjobs einzuplanen und anzuzeigen.

Funktionsumfang

● Hintergrundjob-Scheduler [Seite 31]● Hintergrundjobs einplanen [Seite 32]

SAP Access ControlZugriffsrisiken verwalten P U B L I C ( Ö F F E N T L I C H ) 133

5.10.1 Hintergrundjob-Scheduler

Verwendung

Mit dem Hintergrundjob-Scheduler können Sie Zeitpläne für Hintergrundjobs anlegen und bearbeiten.

Aktivitäten

1. Geben Sie den Namen für den Zeitplan ein.2. Wählen Sie eine Aktivität für den Hintergrundjob aus.3. Wählen Sie, ob der Hintergrundjob sofort starten soll.4. Geben Sie Startdatum und -zeit ein.

134 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Zugriffsrisiken verwalten

6 Rollen verwalten

Verwendung

Dieser Übersichtsprozess erläutert, wie Sie Risiken während der Rollenanlage und -aktualisierung überwachen und vermeiden können.

Prozess

1. Rollendefinition bearbeiten und/oder anpassenWenn die entsprechende Rolle noch nicht vorhanden ist, müssen Sie zunächst die Geschäftsanforderungen und die wichtigsten Attribute für die neue Rolle definieren und dokumentieren.1. Aus welchen geschäftlichen Gründen wird die Rolle benötigt?2. Zu welchem Teil der Organisation gehört sie, z.B. Geschäftsprozess, Teilprozess, Funktionsbereich usw.?3. Wer ist die verantwortliche Person für den Rolleninhalt? Wer wird den Benutzerzugriff auf die Rolle

genehmigen?2. Technische Details der Rolle bearbeiten

Wenn die Rollendefinition angelegt oder aktualisiert wurde, müssen Sie anschließend die technischen Details ermitteln, um die in der Rollendefinition festgelegten Aufgaben des Arbeitsprozesses auszuführen.

3. Risikoanalyse durchführen1. Passen Sie die technischen Details der Rolle an, um ggf. Konflikte zu beseitigen.2. Wenn die technischen Details nicht angepasst werden können, sollte das Risiko mit den entsprechenden

Kontrollen gemindert werden.4. Berechtigungsdaten bearbeiten

Wenn die technischen Details definiert wurden, müssen Sie anschließend die Berechtigungsdaten ermitteln, um die Aufgaben des Arbeitsprozesses anhand der Stellenverantwortung und der Organisationszuordnung einzuschränken.

5. Risikoanalyse durchführenNachdem die Berechtigungsdaten definiert oder aktualisiert wurden, wird eine Risikoanalyse ausgeführt, um zu prüfen, ob die Rolle Zugriffsrisikoüberschreitungen enthält.1. Passen Sie die Rollenberechtigungsdaten an, um ggf. Konflikte zu beseitigen.2. Wenn die Berechtigungsdaten nicht angepasst werden können, sollte das Risiko mit den entsprechenden

Kontrollen gemindert werden.6. Genehmigung des Rollenverantwortlichen

Sie können die Rolle zur Genehmigung durch den Rollenverantwortlichen absenden, wenn sie keine Zugriffsrisikoüberschreitungen enthält oder wenn diese gemindert wurden. Wenn die Rolle vom Rollenverantwortlichen abgelehnt wird, können Sie sie neu definieren, aktualisieren oder löschen.

7. Rollen anlegen und aktualisierenNachdem die Rolle vom Rollenverantwortlichen genehmigt wurde, wird die Rolle im System angelegt oder aktualisiert.

8. Tests durchführen und Ergebnisse dokumentieren

SAP Access ControlRollen verwalten P U B L I C ( Ö F F E N T L I C H ) 135

Es werden Tests durchgeführt, um sicherzustellen, dass die Rolle über den geeigneten Zugriff verfügt. Die Testergebnisse werden dokumentiert.

9. BenutzererstellungGenehmigte und getestete Rollen können Benutzern zugeordnet werden, um ihnen Systemzugriff zu gewähren.

Ergebnis

Rollen werden in Umgebungen ohne Risiken oder mit geminderten Risiken eingeführt, um den konformen Benutzerzugriff zur Verfügung zu stellen.

6.1 Hinweise zur Rollenverwaltung

Verwendung

Über die Rollenverwaltung können Sie Rollen aus mehreren Systemen mit nur einem einheitlichen Rollen-Repository verwalten. Die Rollen können dokumentiert, gestaltet, auf Kontrollüberschreitungen hin analysiert, genehmigt und dann automatisch generiert werden. Dies ermöglicht standardisierte Verfahren, um sicherzustellen, dass Definitionen, Entwicklung, Tests und Bearbeitung von Rollen unternehmensweit konsistent ablaufen.

Einführungshinweise

● Legen Sie eine logische Namenskonvention für die Rollen fest.● Legen Sie eine gut durchdachte Integration der Rollenverwaltung in die laufenden Prozesse der

Rollenentwicklung, des Tests und der Änderungsverwaltung an.● Bestimmen Sie Benutzer bei der Definition von Rollen, wie z. B. Rollenverantwortliche,

Sicherheitsadministratoren und Benutzeradministratoren.● Definieren Sie Ziele wie Rollenoptimierung und -konsolidierung, Benutzerzugriffsoptimierung und Risiko- und

Änderungsanforderungsverminderung.● Bestimmen Sie benutzerdefinierte Berichte.

Funktionsumfang

In der Anwendung haben Rollenverantwortliche und Sicherheitsadministratoren die folgenden Möglichkeiten:

● Fortschritt bei der Rollenimplementierung verfolgen● Gesamtqualität der Implementierung überwachen

136 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Rollen verwalten

● Risikoanalyse zur Rollen-Design-Zeit ausführen● Workflow für die Rollengenehmigung einrichten● Revisionshistorie für alle Rollenmodifikationen bereitstellen● Rollen nach ihrer Generierung bearbeiten, um die Rolleninformationen aktuell zu halten

Rolle und Rollenzuordnung

Eine Rolle ist ein vordefiniertes Set von Zugriffsberechtigungen. In diesem Modell wird nicht einzelnen Benutzern, sondern Rollen der Zugriff erteilt.

BeispielUm einem Benutzer den Zugriff auf eine Finanzanwendung zu gewähren, müssen Sie diesem Benutzer eine Rolle zuordnen, die Zugriff auf diese Anwendung hat. Wenn der Benutzer der erforderlichen Rolle zugeordnet ist, verfügt er automatisch über den Zugriff auf die Anwendung.

Verschiedene Benutzer müssen auf dasselbe Modul oder dieselbe Anwendung zugreifen, benötigen aber Zugriffsberechtigungen auf unterschiedlichen Ebenen. Typischerweise bestehen für jede beliebige Anwendung mehrere Rollen mit verschiedenen Zugriffsarten. Daher definiert die Rollenzuordnung sowohl die Anwendung, auf die der Benutzer Zugriff hat, als auch die ihm zugeordnete Zugriffsebene innerhalb der Anwendung.

Risikoanalyse und -minderung

Ein Schlüsselelement der Rollendefinition und -zuordnung ist die Identifizierung und Minderung von Risiken.

BeispielIn den meisten Unternehmen schließen sich die Rollen für den Eingang, den Bestand und die Kreditoren gegenseitig aus. Um das Betrugsrisiko zu eliminieren kann ein Mitarbeiter, der für das Katalogisieren der Lieferungen zuständig ist, nicht gleichzeitig Berechtigungen für das Katalogisieren des Bestands und die Autorisierung von Zahlungen für Lieferungen haben.

EmpfehlungUm die Rollenplanung und Rollenbearbeitung zu vereinfachen, beachten Sie die Gruppe von Berichten im Arbeitsplatz Berichte und Analysen, die Berichte für Folgendes enthält:

● Vereinfachung der Verwaltung der gesamten Rollenqualität● Bereitstellung wertvoller Informationen zum Anlegen exakter Rollendefinitionen● Verringerung der laufenden Rollenbearbeitung

6.1.1 Methodik zum Anlegen von Rollen

Verwendung

Mit der Methodik zum Anlegen von Rollen können Sie den Rollenverwaltungsprozess an Ihre Bedürfnisse anpassen. Sie können auch mehrere Methodiken einrichten, z.B. eine Methodik für Finanzrollen und eine weitere für Sicherheitsrollen anlegen.

SAP Access ControlRollen verwalten P U B L I C ( Ö F F E N T L I C H ) 137

Eine Methodik zum Anlegen von Rollen besteht aus vordefinierten Aktionen und den mit diesen Aktionen verknüpften Schritten. Diese Schritte werden zum Anlegen eines Methodikprozesses verwendet, der Sie Schritt für Schritt durch den Prozess des Definierens, Generierens und Testens einer Rolle während des Anlegens der Rolle führt.

Der Methodikprozess ist flexibel und lässt sich konfigurieren. Sie können beispielsweise einen Schritt mehrfach wiederholen, wie z. B. einen mehrmals in Ihrem Prozess erforderlichen Genehmigungsschritt, oder Sie können nicht benötigte Schritte entfernen.

Beispiel

Abbildung 3: Beispiel einer Rollenmethodik

Sie können die mit der Anwendung ausgelieferte Rollenanlegemethodik verwenden, sie ändern oder Ihre eigene anlegen.

Zur Anpassung des Rollenbearbeitungsprozesses definieren Sie Bedingungsgruppen. Eine Bedingungsgruppe verwendet die Rollenattributwerte wie die Rollenart oder den Rollennamen, um eine Regel zur Auswahl einer bestimmten Methodik zu definieren. Benutzer mit der Rolle für Finanzen verwenden z. B. die Finanzmethodik, und Benutzer mit Rollen für Sicherheit verwenden die Sicherheitsmethodik.

138 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Rollen verwalten

HinweisSie können mehrere Bedingungsgruppen einem Methodikprozess zuweisen, aber Sie können nicht mehrere Prozesse einer Bedingungsgruppe zuweisen.

Prozess

Um Ihre eigene Methodik zum Anlegen von Rollen anzulegen, gehen Sie wie folgt vor:

1. Generieren Sie BRFplus-Anwendungen, Genehmigende und Methodikfunktionen in der Customizing-Aktivität BRFplus-Anwendungen, -Genehmigende und -Methodikfunktionen generieren unter Governance, Risk, and Compliance Access Control Rollenverwaltung .

2. Legen Sie in BRFplus Bedingungsgruppen an und definieren Sie die relevante Attributgruppe, wie Rollenart usw.

3. Ordnen Sie in der Customizing-Aktivität Bedingungsgruppen den BRFplus-Funktionen zuordnen unter Governance, Risk, and Compliance Access Control Rollenverwaltung die Bedingungsgruppen der

BRFplus-Funktion zu.4. Definieren Sie die Methodikprozesse in der Customizing-Aktivität Methodikprozesse und Schritte definieren

unter Governance, Risk, and Compliance Access Control Rollenverwaltung .5. Ordnen Sie in der Customizing-Aktivität Methodikprozess mit Bedingungsgruppe verbinden unter

Governance, Risk, and Compliance Access Control Rollenverwaltung die Methodikprozesse der Bedingungsgruppe zu.

6.1.1.1 Methodik neu anwenden

Verwendung

Über Methodik neu anwenden können Sie die Methodik einer vorhandenen Rolle aktualisieren, wenn Änderungen an der Rollenmethodik, dem Rolleninhalt oder an Bedingungen vorgenommen wurden.

Die folgenden Änderungen sind für die Funktion Methodik neu anwenden relevant:

● Die Methodik hat sich geändert.Sie fügen z.B. eine Genehmigungsphase hinzu oder entfernen eine Phase.

● Eine Bedingung, die die Methodik betrifft, hat sich geändert.Zum Beispiel wird die Bedingung, einen bestimmten Prozess wie Process_01 zu verwenden, in Process_02 geändert.

● Der Rolleninhalt, z.B. ein Rollenattribut, hat sich geändert und diese Änderung hat Auswirkungen auf die Methodik.Das Teilprozessattribut für eine Rolle ändert sich z. B. von Accounts_Payable_01 in Accounts_Receivables_01. Die Rolle muss eine andere Methodik verwenden, wenn Sie anhand dieses Attributs verschiedene Methodiken eingerichtet haben.

Die Anwendung setzt die Änderungen um und setzt die aktuelle Phase auf die Definitionsphase zurück (erste Phase).

SAP Access ControlRollen verwalten P U B L I C ( Ö F F E N T L I C H ) 139

Sie können auf die Funktion in der Anwendung wie folgt zugreifen:

● RollenbearbeitungWählen Sie auf allen Rollenbearbeitungsbildern Methodik neu anwenden.

● Mehrere Rollen aktualisieren1. Wählen Sie auf dem Bild Rollenmassenaktualisierung im Abschnitt Kriterien auswählen die Option Alle

Attribute und Weiter.2. Markieren Sie das Ankreuzfeld Rollenmethodik neu anwenden und wählen Sie Weiter.

Bedingungen

Die Funktion Methodik neu anwenden hat die folgenden Bedingungen:

● Rollen in der Genehmigungsstufe werden nicht aktualisiert. Die Genehmigung muss fertiggestellt sein, bevor die Rollen aktualisiert werden.

● Rollen im Bearbeitungsmodus werden nicht aktualisiert, d. h. der interne Status der Rolle ist gesperrt.● Wenn die Rolle abgeleitete Rollen enthält und die neue Methodik nicht den Ableitungsschritt enthält, müssen

Sie zuerst alle abgeleiteten Rollen entfernen und die Rollen separat aktualisieren.

Weitere Informationen

6.1.1.2 Rollenableitung

Verwendung

Über die Rollenableitung können Administratoren eine oder mehrere Rollen von einer Einzelstammrolle ableiten. Die Stammrolle dient als Vorlage für die Berechtigungen und Attribute. Die abgeleiteten Rollen werden anhand von Organisationsebenen von der Stammrolle und voneinander unterschieden.

Sie können jede Rolle der Rollenart Einzelrolle als Stammrolle auswählen. Die Anwendung legt automatisch die Beziehung zwischen der Stammrolle und den abgeleiteten Rollen an.

Die Attribute, wie z. B. Geschäftsprozess, werden nur beim Anlegen der abgeleiteten Rollen an diese propagiert. Nach dem Anlegen sind sie unabhängige Rollen, und Änderungen an den Attributen in der Stammrolle werden nicht propagiert.

Die Berechtigungsdaten, wie z. B. Transaktionen, Objekte und Felder, werden weiterhin propagiert, jedoch nicht automatisch. Sie können die manuelle Propagierung von Berechtigungsdatenänderungen an der Stammrolle wählen, indem Sie das Bild Berechtigung bearbeiten aufrufen und wie folgt vorgehen:

● Wählen Sie für die Stammrolle Berechtigung propagieren, um die Berechtigungen an die abgeleiteten Rollen zu propagieren.

● Wählen Sie für die abgeleiteten Rollen Berechtigung kopieren, um die Berechtigungen aus der Stammrolle zu übernehmen.

140 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Rollen verwalten

HinweisAlle Berechtigungsdaten außer den Organisationsebenen werden propagiert.

BeispielIn diesem Beispiel sind vier identische Rollen vorhanden, die sich durch den Buchungskreis unterscheiden. (Die Organisationsebene ist als Buchungskreis BUKRS zugeordnet.)

Abbildung 4: Vier identische Rollen mit unterschiedlichem Buchungskreis

Weitere Informationen

6.1.2 Rollenbearbeitung

Verwendung

Die Anwendung stellt ein standardisiertes und zentrales Framework zum Gestalten, Testen und Bearbeiten von Rollen bereit. Zum grundsätzlichen Rollenbearbeitungsprozess, wie er von den meisten System- und Sicherheitsadministratoren vorgeschlagen wird, gehören die unten genannten Schritte.

HinweisDer unten beschriebene Prozess ist ein Beispiel. Der Prozess eines Unternehmens kann davon abweichen und mehr oder weniger Schritte haben. In der Anwendung können Sie die Schritte bei Bedarf anpassen. Weitere Informationen finden Sie unter Methodik zum Anlegen von Rollen [Seite 137].

Rolleneinstellungen bearbeiten und ändern

Der unten beschriebene Prozess ist ein durchgängiger Prozess zum Anlegen von Rollen. Nachdem Sie eine Rolle angelegt haben, können Sie über die Drucktaste Zu Phase springen direkt zu einer Stufe wechseln und die Informationen ändern. Um z. B. die Berechtigungen zu ändern, öffnen Sie die Rolle und gehen Sie zur Phase Berechtigung bearbeiten.

SAP Access ControlRollen verwalten P U B L I C ( Ö F F E N T L I C H ) 141

HinweisUm eine Rolle zu bearbeiten, müssen Sie auf dem Bild Benutzerrollenverwaltung die Rolle auswählen und dann Öffnen wählen. Bei einigen Phasen, wie z. B. Rolle definieren und Berechtigungen bearbeiten müssen Sie auch oben auf dem Phasenbild Bearbeiten wählen.

Wenn Sie die Rolle über ihren Namen auswählen, zeigt die Anwendung sie im Anzeigemodus an. Alle Drucktasten sind deaktiviert, und Sie können die Informationen nur lesen.

Wenn Sie eine Benutzerrolle ändern, indem Sie z.B. eine technische Rolle hinzufügen oder löschen, wird jeder dieser Benutzerrolle zugeordnete Benutzer automatisch per E-Mail über die Änderungen informiert, sobald Sie Zuordnung aktualisieren klicken.

Sie können die von SAP ausgelieferte Vorlage für die Benachrichtigungen verwenden. Sie können auch Ihre eigene Vorlage für Benutzerbenachrichtigungen in der Customizing-Aktivität Benutzerdefinierte Benachrichtigungen bearbeiten unter Governance, Risk, and Compliance Access Control Workflow für Access Control anlegen.

Voraussetzungen

● Außerhalb der Anwendung haben Sie Ihre Geschäftsanforderungen identifiziert und Ihren Ansatz für die Verwaltung von Rollen ausgewertet.

● In der Anwendung haben Sie den Rollenmethodikprozess und die Schritte wie folgt bearbeitet:○ Sie haben die Aktivitäten in der Customizing-Aktivität Methodikprozesse und Schritte definieren unter

Governance, Risk, and Compliance Access Control Rollenverwaltung fertiggestellt.○ Sie haben das Business Configuration Set (BC-Set) für Prozess und Schritte der

Rollenverwaltungsmethodik aktiviert.

Prozess

Die Rollenverwaltung besteht aus den folgenden Verfahren:

1. Rollen definieren2. Berechtigungen bearbeiten3. Rollen ableiten4. Zugriffsrisiken analysieren5. Rollen genehmigen6. Rollen generieren7. Testfälle bearbeiten

142 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Rollen verwalten

6.1.2.1 Rollen definieren

Kontext

Über die Rollendefinition können Sie Attribute für verschiedene Rollenarten anlegen und bearbeiten. Die Rollenarten sind entweder als technische Rollen oder als Benutzerrollen kategorisiert.

Technische Rollen sind Rollen, die physisch im Backend-System vorhanden sind. Sie ordnen eine technische Rolle einem Benutzer zu, um ihm Berechtigung und Zugriff auf das Backend-System zu erteilen, das die Rolle enthält. Zum Beispiel möchten Sie einem Benutzer für das System Sys_1 HR-Berechtigungen erteilen. Sie legen dazu die technische Rolle HR_USER_SYS_1 mit den erforderlichen Berechtigungen an und ordnen sie im Backend dem Benutzer zu.

Benutzerrollen sind logische Rollen, die nur in der Anwendung Access Control vorhanden sind; sie existieren nicht in den Backend-Systemen. Sie ermöglichen Ihnen, einem Benutzer Berechtigungen für mehrere Rollen zu erteilen. Die Rollen können aus mehreren Systemen stammen, sodass Sie nicht für jedes System separate Rollen zuordnen müssen.

Vorgehensweise

1. Wählen Sie Anlegen und wählen Sie die anzulegende Rollenart aus.

Sie gelangen auf das Bild Neue Rolle. Die Anwendung zeigt in Abhängigkeit von der anzulegenden Rolle verschiedene Registerkarten an.

2. Geben Sie auf der Registerkarte Details Informationen zu Folgendem ein:○ Anwendungsart○ Landschaft○ Geschäftsprozess○ Teilprozess○ Projektfreigabe○ Rollenname

3. Gehen Sie auf der Registerkarte Eigenschaften wie folgt vor:1. Geben Sie im Feld Zertifizierungsperiode in Tagen die Anzahl der Tage ein, die Sie für die Prüfung und

Genehmigung der Rolle zulassen möchten.2. Geben Sie im Bereich Eigenschaften die erforderlichen Informationen zur Kritischen Ebene, zur

Empfindlichkeit und zum Kennzeichen ein.3. Geben Sie im Bereich Rollenbestätigung im Feld Bestätigungsperiode in Tagen die Anzahl der Tage ein,

nach denen die Rolle bestätigt sein muss. Sie können z. B. festlegen, dass der Rollenverantwortliche oder Genehmigende nach 180 Tagen die Rolle prüfen und ihre Gültigkeit bestätigen muss.

4. Markieren Sie im Bereich Benutzererstellung die folgenden Ankreuzfelder:○ Kommentare obligatorisch, damit der Genehmigende oder Verantwortliche beim Genehmigen oder

Ablehnen der Rolle einen Kommentar eingeben muss

SAP Access ControlRollen verwalten P U B L I C ( Ö F F E N T L I C H ) 143

○ Für Firefighting aktivieren, damit die Rolle als Firefighting-Rolle verfügbar ist4. Wählen Sie auf der Registerkarte Funktionsbereich die erforderlichen Funktionsbereiche aus.

Sie bearbeiten die Liste der Funktionsbereiche in der Customizing-Aktivität Funktionsbereiche bearbeiten unter Governance, Risk, and Compliance Access Control Rollenverwaltung .

5. Wählen Sie auf der Registerkarte Unternehmen die erforderlichen Unternehmen aus.

Sie bearbeiten die Liste der Unternehmen in der Customizing-Aktivität Unternehmen definieren unter Governance, Risk, and Compliance Access Control Rollenverwaltung .

6. Bearbeiten Sie auf der Registerkarte Benutzerdefinierte Felder von Ihnen definierte benutzerdefinierte Felder.

Sie bearbeiten die Liste der Unternehmen in der Customizing-Aktivität Unternehmen definieren unter Governance, Risk, and Compliance Allgemeine Einstellungen Benutzerdefinierte Felder .

7. Gehen Sie auf der Registerkarte Verantwortliche/Genehmigende wie folgt vor:1. Wählen Sie Bearbeiten, um die Drucktasten zu aktivieren.2. Wählen Sie Hinzufügen und wählen Sie eine Rolle als Verantwortlichen oder Genehmigenden aus.3. Markieren Sie die entsprechenden Ankreuzfelder, um die Rolle als Zuordnungsgenehmigenden,

Rollenverantwortlichen oder beides festzulegen.4. Wählen Sie in der Spalte Alternative einen Benutzer aus, der als Reserve dient, wenn der Verantwortliche

oder Genehmigende seine Pflichten nicht erfüllen kann.5. Wählen Sie Standardgenehmigende, um die Standardgenehmigenden zu verwenden, statt bestimmte

Verantwortliche oder Genehmigende anzugeben.

HinweisBevor Sie die Registerkarte Verantwortliche/Genehmigende ändern können, müssen Sie die Rolle sichern. Die Funktionen für diese Registerkarte sind im Anlegemodus deaktiviert.

8. Wählen Sie auf der Registerkarte Rollen die Rollen aus, die Sie mit dieser Rolle verknüpfen möchten. Diese Option steht nur bei Sammel- und Benutzerrollen zur Verfügung.

9. Fügen Sie auf der Registerkarte Voraussetzung alle Voraussetzungen hinzu, die für die Zuordnung des Benutzers zu dieser Rolle erfüllt sein müssen.1. Markieren Sie das Ankreuzfeld Auf Anforderung verifizieren, damit die Anwendung verifizieren muss, dass

der Benutzer alle Voraussetzungen erfüllt hat, bevor sie die Rollenzuordnung zulässt.2. Markieren Sie das Ankreuzfeld Aktiv, um die Voraussetzung zu aktivieren.

Die Voraussetzungen bearbeiten Sie in den Customizing-Aktivitäten Voraussetzungsarten definieren und Rollenvoraussetzungen definieren unter Governance, Risk, and Compliance Access ControlRollenverwaltung .

10. Auf der Registerkarte Rollenzuordnung können Sie Rollen als untergeordnete Rollen zuordnen. Dadurch können jedem, dem diese Rolle zugeordnet ist, auch die Berechtigungen und der Zugriff für die untergeordneten Rollen zugeordnet werden.

Markieren Sie das Ankreuzfeld Übergeordn. Rollengenehmigende berücks., um nur die mit den übergeordneten Rollen verknüpften Genehmigenden zu verwenden und alle mit den untergeordneten Rollen verknüpften Genehmigenden zu ignorieren.

144 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Rollen verwalten

HinweisWenn Sie eine Benutzerrolle verwenden, benötigen Sie diese Funktion nicht.

Nächste Schritte

Verwendung der Notfallzugriffsverwaltung [Seite 172]

6.1.2.2 Zusatzdetails

Verwendung

Auf der Registerkarte Zusatzdetails können Sie ergänzende Informationen für die Regel bearbeiten. Die Registerkarte ist auf allen Regelbearbeitungsbildern verfügbar, sodass Sie die Informationen für alle Phasen des Rollenbearbeitungsprozesses bearbeiten können.

Funktionsumfang

● DetailbeschreibungFreitexteingabefeld, in dem Sie relevante Informationen eingeben können

● Rollendefinition und -zuordnungHier bearbeiten Sie die Definitions- und Zuordnungseinstellungen für die Rolle. Weitere Informationen finden Sie unter Einstellungen der Rollendefinition und -zuordnung bearbeiten [Seite 146].

● VerwendungsrollenListe der Systemlandschaften, in denen die Rollen verwendet werden. Diese Liste beinhaltet den Geschäftsprozess und -teilprozess.

● Zugeordnete BenutzerListe aller Benutzer, denen die Rolle zugeordnet ist, einschließlich des relevanten Systems und des Gültigkeitszeitraums.

● AnlagenHier können Sie Dateien oder Dokumente anhängen, die für die Rolle erforderlich sind.

● ÄnderungshistorieHistorie der Änderungen an der Rolle in SAP Access Control.

● PFCG-ÄnderungshistorieHistorie der Änderungen an der Rolle, die in der Transaktion PFCG vorgenommen wurden.

SAP Access ControlRollen verwalten P U B L I C ( Ö F F E N T L I C H ) 145

6.1.2.3 Einstellungen der Rollendefinition und -zuordnung bearbeiten

Verwendung

Sie bearbeiten diese Einstellungen, um zu steuern, wie die Anwendung die Rolle definiert und zuordnet.

Vorgehensweise

1. Wählen Sie das Feld Rollenstatus aus und wählen Sie einen Status. Wenn Sie die Rolle für die Rollendefinition und -zuordnung zur Verfügung stellen möchten, müssen Sie Produktion wählen.Sie bearbeiten die Rollenstatusliste in der Customizing-Aktivität Rollenstatus bearbeiten unter Governance, Risk, and Compliance Access Control Rollenverwaltung .

2. Um die Gültigkeitsperiode für ein System einzustellen, wählen Sie ein System aus und wählen Sie dann Standardperiode einstellen.

3. Damit Benutzer nach der Rolle suchen können und ihre Zuordnung anfordern können, wählen Sie Rollendefinition und -zuordnung zulässig und anschließend Ja.

4. Damit die Anwendung nach der Genehmigung der Benutzerzugriffsanforderung die automatische Rollendefinition und -zuordnung zu den Benutzern durchführen kann, wählen Sie Automatische Benutzererstellung zulassen und anschließend Ja.

5. Wählen Sie Sichern.

HinweisDie Anwendung führt die Rollendefinition und -zuordnung nur für Rollen durch, die als produktiv eingestellt sind und bei denen die Rollendefinition und -zuordnung zulässig ist. Das heißt, wenn die Rolle als produktiv eingestellt ist, aber sowohl Rollendefinition und -zuordnung zulässig als auch Automatische Benutzererstellung zulassen auf Nein gesetzt sind, führt die Anwendung keine Rollendefinition und -zuordnung durch.

6.1.2.4 Berechtigungen bearbeiten

Verwendung

In der Phase Berechtigungen bearbeiten können Sie die Rollenberechtigungsdaten für die Rollenart Einzeln bearbeiten. Diese Phase ist für andere Rollenarten nicht relevant und wird für sie nicht angezeigt.

Hinweis● Wenn Sie eine vorhandene Rolle aktualisieren, wählen Sie Bearbeiten, um die Drucktasten auf dem Bild zu

aktivieren.● Wenn Sie sich im Bearbeitungsmodus befinden, können Sie nicht zu anderen Phasen navigieren. Sie

müssen Sichern wählen, um die Drucktaste Zu Phase springen zu aktivieren.

146 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Rollen verwalten

Voraussetzungen

● Sie haben Zugriff und Berechtigungen für das erforderliche Backend-System.● Sie haben das Backend-System zum SAP GUI hinzugefügt.● In Ihrem Windows-System haben Sie SAP GUI als Standardprogramm zum Öffnen von Dateien mit der

Dateinamenserweiterung SAP konfiguriert.● Sie haben das Standard-Backend-System in der Customizing-Aktivität Zuordnung für Aktionen und

Konnektorgruppen bearbeiten unter Governance, Risk, and Compliance Access Control zugeordnet.

Vorgehensweise

Die Anwendung stellt verschiedene Funktionen zum Bearbeiten von PFCG-Rollenberechtigungen und Nicht-PFCG-Rollenberechtigungen bereit.

Nicht-PFCG-Berechtigungen

1. Wählen Sie auf der Registerkarte Aktionen eine der folgenden Optionen:○ Wählen Sie Hinzufügen, um eine Auswahl aus einer Liste verfügbarer Aktionen zu treffen.○ Wählen Sie Vorlage herunterladen und Hochladen, um die ausgelieferte Datei zum Hinzufügen von

Aktionen zu verwenden.2. Fügen Sie auf der Registerkarte Funktionen Funktionen hinzu oder entfernen Sie sie.3. Sichern Sie die Einträge.

PFCG-Berechtigungen bearbeiten

1. Wählen Sie auf der Registerkarte Berechtigungen bearbeiten eine der folgenden Optionen:○ Funktion hinzufügen/löschen, um die Funktionen für die Rolle zu bearbeiten○ Berechtigungsdaten bearbeiten, um die PFCG-Transaktion im Backend-System aufzurufen○ Mit PFCG synchronisieren, um die Rollenberechtigungsdaten aus PFCG abzurufen und die

Rollenberechtigungsdaten in Access Control zu überschreiben

HinweisIn diesem Modus deaktiviert die Anwendung die Drucktasten Funktion hinzufügen/löschen und Berechtigungsdaten bearbeiten. Um die Synchronisation abzubrechen und die Drucktasten zu aktivieren, wählen Sie PFCG-Synchronis. abbrechen.

○ An abgeleitete Rollen propagieren, um Änderungen der Rollenberechtigungsdaten an alle mit dieser Rolle verknüpften abgeleiteten Rollen weiterzugeben

○ Berechtigungsdaten in Backend-System verschieben, um die Rollenberechtigungsdaten von Access Control an das Backend-System weiterzugeben und die Berechtigungsdaten in PFCG zu überschreiben

2. Sichern Sie die Einträge.

HinweisDie folgenden Registerkarten sind schreibgeschützt und zeigen die Berechtigungsdaten aus dem Backend-System für die Rolle an:

● Aktionen

SAP Access ControlRollen verwalten P U B L I C ( Ö F F E N T L I C H ) 147

● Berechtigungen● Organisationsebenen● Funktionen

6.1.2.5 Rollen ableiten

Voraussetzungen

● Sie haben die Stammrolle im PFCG-Backend-System angelegt und gesichert.● Sie haben das Standard-Backend-System in der Customizing-Aktivität Zuordnung für Aktionen und

Konnektorgruppen bearbeiten unter Governance, Risk, and Compliance Access Control zugeordnet.● Wenn Sie möchten, dass die Rollenableitung mithilfe von Organisationswertzuordnungen ohne führende

Organisation möglich ist, haben Sie die Parameter-ID 3025 in der Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter Governance, Risk, and Compliance Access Controlbearbeitet.

Kontext

Über die Rollenableitung können Administratoren eine oder mehrere Rollen von einer Einzelstammrolle ableiten. Die Stammrolle dient als Vorlage für die Berechtigungen und Attribute. Die abgeleiteten Rollen werden anhand von Organisationswerten von der Stammrolle und voneinander unterschieden. Abhängig von der Konfiguration Ihres Systems kann eine Führende Organisation erforderlich sein, mit der das System die Zuordnungnen der Organisationswerte während der Rollenableitung filtern kann.

HinweisIn der ausgelieferten Variante erfordert das System, dass die für die Rollenableitung verwendeten Organisationswertzuordnungen eine führende Organisation enthalten. Wenn Sie möchten, dass die Rollenableitung aus Zuordnungen, die keine führende Organisation enthalten, möglich ist, kann Ihr Administrator die Parameter-ID 3025 in der Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter

Governance, Risk, and Compliance Access Control bearbeiten.

Sie können nur die Rollenart Einzelrolle für Stammrollen verwenden; daher können Sie Rollen nur aus Einzelrollen ableiten.

148 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Rollen verwalten

Vorgehensweise

1. Suchen Sie nach einer Rolle, die angelegt wurde und sich in der Ableitungsphase befindet.

Das System zeigt die Rolle im Suchergebnisraster an.2. Markieren Sie die gewünschte Zeile und wählen Sie Öffnen.

Die Rolle öffnet sich in einem neuen Fenster und der Methodikprozess ist auf der Registerkarte Ableitung aktiv.

3. Wählen Sie Ableiten.

Sie gelangen auf das Bild Abgeleitete Rollen verwalten.4. Um eine Rolle ohne führenden Organisationswert abzuleiten, gehen Sie wie folgt vor:

1. Markieren Sie das Ankreuzfeld Keine führende OrgEbene.Das System deaktiviert die Felder Führende Organisationsebene, Organisationswert von und Organisationswert bis.Diese Option verwenden Sie, wenn Sie nur die Berechtigungsdaten aus der Stammrolle kopieren und die Transaktion PFCG zum Ändern der Organisationswerte verwenden möchten.

HinweisMit dieser Option können Sie nicht mehrere Rollen gleichzeitig ableiten.

2. Mit der Option Keine führende OrgEbene haben Sie folgende Möglichkeiten:

Tabelle 22:

Zum Ableiten der Rolle ohne Organisationswertzuord­nungen gehen Sie wie folgt vor:

Zum Ableiten der Rolle mithilfe von Organisationswert­zuordnungen, die keine führenden Organisationen ent­halten, gehen Sie wie folgt vor:

1. Wählen Sie Weiter.2. Gehen Sie zu Schritt 6. Hinweis

Wenn Sie diese Option verwenden möchten, muss die Parameter-ID 3025 im Customizing auf Ja gesetzt sein.

1. Wählen Sie Hinzufügen, um eine Organisationswert­zuordnung auszuwählen.

2. Wählen Sie eine oder mehrere Zuordnungen aus.3. Wählen Sie OK und anschließend Weiter.4. Gehen Sie zu Schritt 6.

5. Zum Ableiten einer Rolle mithilfe von Organisationswertzuordnungen, die eine führende Organisation enthalten, gehen Sie wie folgt vor:1. Wählen Sie die Führende Organisationsebene aus.2. Geben Sie die Organisationswerte ein.

Um nur einen Organisationswert festzulegen, geben Sie nur im Feld Organisationswert von einen Wert ein.3. Wählen Sie im Bereich Organisationswertzuordnung die Option Hinzufügen, um eine oder mehrere

Organisationswertzuordnungen auszuwählen.

SAP Access ControlRollen verwalten P U B L I C ( Ö F F E N T L I C H ) 149

4. Wählen Sie Weiter.6. Geben Sie im Feld Name der abgeleiteten Rolle den Rollennamen ein und wählen Sie dann Weiter.

HinweisSie können die Namenskonventionen für die Namen von Rollen in der Customizing-Aktivität Namenskonventionen festlegen unter Governance, Risk, and Compliance Access ControlRollenverwaltung konfigurieren.

7. Prüfen Sie die Informationen für die abgeleitete Rolle und wählen Sie anschließend Sichern.

Die Anwendung sichert die abgeleitete Rolle. Um die abgeleitete Rolle zu generieren, wechseln Sie zur Phase Rollen generieren.

6.1.2.6 Zugriffsrisiken für Rollenbearbeitung analysieren

Verwendung

Sie können die Phase Zugriffsrisiken analysieren verwenden, um die folgenden Analysearten durchzuführen:

● Mit der Risikoanalyse ermitteln Sie Überschreitungen bei den der Rolle zugeordneten Berechtigungen, z.B. ob die Berechtigungen zu Funktionstrennungsüberschreitungen führen.

● Mit der Schadensanalyse ermitteln Sie Berechtigungsüberschreitungen mit anderen Rollen. Dies bedeutet, dass die Berechtigungen für diese Rolle in Kombination mit Berechtigungen für eine andere Rolle zu Überschreitungen führen.

Vorgehensweise

Um die Risikoanalyse auszuführen, gehen Sie wie folgt vor:

1. Wählen Sie in der Dropdown-Box Analyseart den Eintrag Risikoanalyse aus.2. Wählen Sie aus den entsprechenden Feldern das System und das Regelwerk aus.3. Wählen Sie im Bereich Ergebnisoptionen das Format für die Analyseergebnisse und das Objekt für die

Analyse, wie Aktionsebene, Berechtigungsebene usw. aus.

HinweisNur wenn die Schadensanalyse ausgewählt ist, ist der Bereich Optionen für Schadensanalyse auswählen aktiviert.

4. Wählen Sie in der Mitte des Bilds, ob Sie den Analysejob im Vorder- oder Hintergrund ausführen möchten.5. Wählen Sie im Bereich Ergebn. anzeigen für den Eintrag Risikoanalyse aus der Dropwdown-Box und wählen

Sie anschließend Start.6. Im Bereich Ergebnis haben Sie die Wahl zwischen verschiedenen Anzeigemodi für die Analyseergebnisse.7. Wählen Sie Risiko mindern, um Überschreitungen zu mindern.

150 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Rollen verwalten

Um die Schadensanalyse auszuführen, gehen Sie wie folgt vor:

1. Wählen Sie in der Dropdown-Box Analyseart den Eintrag Schadensanalyse aus.2. Wählen Sie aus den entsprechenden Feldern das System und das Regelwerk aus.3. Wählen Sie im Bereich Ergebnisoptionen das Format für die Analyseergebnisse und das Objekt für die

Analyse, wie Aktionsebene, Berechtigungsebene usw. aus.4. Wählen Sie im Bereich Optionen für Schadensanalyse auswählen die Ausführung der Schadensanalyse für

eine oder mehrere der folgenden Optionen: Benutzer, Sammelrollen oder Benutzerrollen.5. Wählen Sie in der Mitte des Bilds, ob Sie den Analysejob im Vorder- oder Hintergrund ausführen möchten.6. Wählen Sie im Bereich Ergebn. anzeigen für den Eintrag Schadensanalyse aus der Dropdown-Box und wählen

Sie anschließend Start.7. Im Bereich Ergebnis haben Sie die Wahl zwischen verschiedenen Anzeigemodi für die Analyseergebnisse.8. Wählen Sie Risiko mindern, um Überschreitungen zu mindern.

Weitere Informationen

Regelwerke [Seite 80]

Risiken mindern [Seite 41]

6.1.2.6.1 Risiken mindern

Voraussetzungen

Sie haben mindernde Kontrollen angelegt.

Kontext

Auf dem Bild Mindernde Kontrollen zuordnen können Sie Risiken, die während der Risikoanalyse und Schadensanalyse gefunden wurden, mindernde Kontrollen zuordnen.

Auf dem Bild können Sie auch Risiken für Rollen mindern, die nicht Teil der aktuellen Anforderung sind. Sie mindern z. B. gerade Risiken für John_Current_Request. Sie können auch Risikoüberschreitungen für John_Other_Request1 und John _Other_Request2 mindern. Wählen Sie Hinzufügen, um das Risiko hinzuzufügen und stellen Sie Schritt 4 der unten stehenden Vorgehensweise fertig.

HinweisDie Funktion Risiko mindern ist auf mehreren Bildern in der Anwendung verfügbar. Die unten stehende Vorgehensweise beschreibt einen Einstiegspunkt; Ihr Einstiegspunkt kann davon abweichen. Die Informationen stehen unabhängig vom Einstiegspunkt zur Verfügung.

SAP Access ControlRollen verwalten P U B L I C ( Ö F F E N T L I C H ) 151

Vorgehensweise

1. Wählen Sie auf dem Bild Zugriffsrisiken analysieren im Abschnitt Ergebnisse eine oder mehrere Risikoüberschreitungen aus und wählen Sie Risiko mindern.

Sie gelangen auf das Bild Mindernde Kontrollen zuordnen. Die Anwendung verwendet die Informationen aus der Risikoüberschreitung, wie z. B. die Zugriffsrisiko-ID, und zeigt die relevante mindernde Kontrolle an.

2. Um die von der Anwendung vorgeschlagene mindernde Kontrolle zu verwenden, gehen Sie wie folgt vor:1. Ändern Sie die Informationen in den relevanten Feldern wie den Gültigkeitszeitraum und die Kontroll-ID

nach Bedarf.2. Wählen Sie Absenden.

3. Um eine neue Kontrolle anzulegen, gehen Sie wie folgt vor:1. Wählen Sie Kontrolle anlegen und stellen Sie die Aufgaben zum Anlegen einer neuen Kontrolle fertig.2. Wählen Sie Hinzufügen.

Die Anwendung fügt eine leere Zeile zur Liste der mindernden Kontrollen hinzu.3. Geben Sie Informationen in den relevanten Feldern für die neue Kontrolle ein.4. Wählen Sie Absenden.

4. Um mindernde Kontrollen für andere Rollen oder Anforderungen zuzuordnen, gehen Sie wie folgt vor:1. Wählen Sie Hinzufügen.

Die Anwendung fügt eine leere Zeile zur Liste der mindernden Kontrollen hinzu.2. Geben Sie Informationen in den relevanten Feldern für die neue Kontrolle ein.3. Wählen Sie Absenden.

Nächste Schritte

6.1.2.7 Rollen generieren

Kontext

In der Phase Rollen generieren können Sie Rollen zur Generierung absenden.

Vorgehensweise

1. Wählen Sie auf dem Bild Rollen generieren die Drucktaste Generieren.

152 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Rollen verwalten

Das Bild zeigt für die zu generierenden Rollen eine Zusammenfassung von Folgendem an:

○ StandardsystemDie Anwendung ruft die Standardsysteminformationen aus der Systemlandschaft ab. Sie bearbeiten die Standardsysteminformationen in der Customizing-Aktivität Zuordnung für Aktionen und Konnektorgruppen bearbeiten unter Governance, Risk, and Compliance Access Control .

○ weitere SystemeDie Anwendung ruft die Systeminformationen aus der Systemlandschaft ab. Sie bearbeiten die Standardsysteminformationen in der Customizing-Aktivität Zuordnung für Aktionen und Konnektorgruppen bearbeiten unter Governance, Risk, and Compliance Access Control .

○ abgeleitete RollenDie Anwendung zeigt eine Liste der von dieser Stammrolle abgeleiteten Rollen an.

2. Wählen Sie Weiter.3. den Job für die Generierung der Rollen ein und wählen Sie Weiter.4. Analysieren Sie Risiken.

Die Anwendung führt eine Risikoanalyse aus. Wenn sie kein Risiko ermittelt, wechselt sie sofort zur Phase Bestätigung.

HinweisSie können konfigurieren, ob die Anwendung die Risikoanalyse vor der Rollengenerierung durchführt. Stellen Sie die Parameter-ID 3011 in der Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter Governance, Risk, and Compliance Access Control ein.

5. Wählen Sie Absenden, um den Job für die Rollengenerierung abzusenden.

HinweisSie können konfigurieren, ob die Anwendung Rollen auch mit Risiken generiert. Stellen Sie die Parameter-IDs 3014 bis 3018 in der Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter

Governance, Risk, and Compliance Access Control ein.

6.1.2.8 Testfälle bearbeiten

Verwendung

In der Phase Testfälle bearbeiten können Sie Testergebnisse für Tests dokumentieren, die für die Rolle durchgeführt wurden. Sie können einzelne Testfälle eingeben, mehrere Testfälle hochladen oder Dokumente anhängen.

SAP Access ControlRollen verwalten P U B L I C ( Ö F F E N T L I C H ) 153

Vorgehensweise

Um einzelne Testfälle einzugeben, gehen Sie wie folgt vor:

1. Wählen Sie Anlegen, um einzelne Testfälle einzugeben.2. Geben Sie auf dem Bild Testergebnisse den Testfallnamen und alle Mussfelder ein.3. Wählen Sie im Bereich Anlagen die Option Hinzufügen und fügen Sie entweder eine Datei oder einen Link

hinzu.4. Wählen Sie Sichern.

Um mehrere Testfälle einzugeben, gehen Sie wie folgt vor:

1. Wählen Sie Aus Datei importieren.Die Anwendung stellt eine Vorlage bereit, mit der Sie mehrere Testfälle anlegen können.

2. Navigieren Sie über Durchsuchen zur Datei und wählen Sie OK.

6.1.3 Rollenanforderungen genehmigen

Verwendung

Der Prozess zur Genehmigung von Rollenanforderungen besteht aus Verfahren für die Person, die die Anforderung stellt, und für die Person, die die Anforderung genehmigt.

Voraussetzungen

Sie haben die Rollenverantwortlichen und Rollengenehmigenden in der Phase Rolle definieren ausgewählt.

Prozess

1. In der Phase Anforderungsgenehmigung wählt der Anforderer Genehmigungsanforderung initiieren, um den Workflow für die Genehmigung der Rolle zu initiieren. Der Anforderer kann auch den Anforderungsstatus überwachen und die Kommentare zur Anforderung lesen.

2. Im Arbeitseingang empfängt der Genehmigende die Aufgabe zur Genehmigung der Anforderung und wählt dann eine der folgenden Aktionen:○ Ablehnen○ Weiterleiten○ Zurückstellen○ Information anfordern

Sie können die Liste verfügbarer Aktionen und den Genehmigungs-Workflow in der Customizing-Aktivität MSMP-Workflows bearbeiten unter Governance, Risk, and Compliance Access Control Workflow für Access Control konfigurieren.

154 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Rollen verwalten

3. Optional können Sie im Customizing (Transaktion SPRO) die E-Mail-Benachrichtigungen konfigurieren.○ Um benutzerdefinierte E-Mail-Benachrichtigungen, mit denen der Anforderer über die Genehmigung oder

Ablehnung seiner Anforderung informiert wird, zu konfigurieren, bearbeiten Sie die Customizing-Aktivität Benutzerdefinierte Benachrichtigungen bearbeiten unter Governance, Risk, and Compliance Access Control Workflow für Access Control .Sie können z.B. konfigurieren, dass alle Empfänger desselben Benachrichtigungsereignisses dieselbe Benachrichtigung oder dass unterschiedliche Empfänger desselben Benachrichtigungsereignisses unterschiedliche Benachrichtigungen erhalten. Sie können z.B. konfigurieren, dass Empfänger aus der Finanzabteilung eine Benachrichtigung mit einer für den Finanzbereich spezifischen Formulierung erhalten.

HinweisFür die standardmäßig ausgelieferten Benachrichtigungen ist keine Konfiguration erforderlich. Die Anwendung verwendet automatisch die ausgelieferten Benachrichtigungen.

○ Um E-Mail-Benachrichtigungen für den Genehmigenden der Rollenanforderung zu konfigurieren, bearbeiten Sie die Customizing-Aktivität MSMP-Workflows bearbeiten unter Governance, Risk, and Compliance Access Control Workflow für Access Control .

Weitere Informationen

Rollen definieren [Seite 143]

Zusatzdetails [Seite 145]

6.1.4 Benutzerrollen neu definieren und zuordnen

Verwendung

Mit dieser Funktionen können Sie Benutzerrollen Benutzern erneut zuordnen, wenn die den Benutzerrollen zugeordneten technischen Rollen sich geändert haben.

Die Anwendung ermöglicht Ihnen die Zuordnung mehrerer technischer Rollen zu einer logischen Rolle, die als Benutzerrolle bezeichnet wird. Damit haben Sie die Möglichkeit, die Berechtigungen von mehreren technischen Rollen einem Benutzer in nur einem Schritt zuzuordnen, indem Sie die einzelne Benutzerrolle zuordnen. Mit dieser Funktion können Sie die Benutzerrollen den Benutzern erneut zuordnen, wenn sich die Zuordnungen der technischen Rolle geändert haben, nachdem Sie die Rollen erstmalig zugeordnet haben.

BeispielDie folgende Abbildung veranschaulicht, dass sich die Zuordnungen der technischen Rolle für die Benutzerrolle Benutzerrolle_01 von Technische_Rolle_03 in Technische_Rolle_05 und Technische_Rolle_06 geändert haben.

SAP Access ControlRollen verwalten P U B L I C ( Ö F F E N T L I C H ) 155

Abbildung 5: Zuordnungen technischer Rollen ändern

HinweisDiese Funktion steht nur für Benutzerrollen zur Verfügung.

Voraussetzungen

Sie haben die Phase der Rollendefinition und -zuordnung für die Rollenmethodik aktiviert.

Sie können die Phase in der Customizing-Aktivität Methodikprozesse und Schritte definieren unter Governance, Risk, and Compliance Access Control Rollenverwaltung bearbeiten.

Prozess

1. Wählen Sie Zugriffsverwaltung Rollenverwaltung Rollenbearbeitung und Sie gelangen auf das Bild Benutzerrollenverwaltung.

156 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Rollen verwalten

2. Wählen Sie eine Benutzerrolle aus und wählen Sie Öffnen.Sie gelangen auf das Bild zur Rollenbearbeitung.

HinweisDie Workflow-Grafik im oberen Bildbereich zeigt die Phase der Rollendefinition und -zuordnung nur an, wenn folgende Voraussetzungen erfüllt sind:

○ Sie bearbeiten eine Benutzerrolle.○ Sie haben die Phase der Rollendefinition und -zuordnung im Customizing aktiviert.

3. Ändern Sie in der Phase Definition die Zuordnung der technischen Rollen zu den Benutzerrollen wie erforderlich und wählen Sie Sichern und fortfahren.

4. Stellen Sie die Phasen des Workflows nach Bedarf fertig. Wählen Sie z.B. Risiken analysieren, um zur Phase der Rollendefinition und -zuordnung zu gelangen.Die Registerkarte Rollendefinition und -zuordnung wird nur angezeigt, wenn Sie die obigen Bedingungen erfüllt haben.Auf dieser Registerkarten stehen folgende untergeordnete Registerkarten und Funktionen zur Verfügung:

Tabelle 23:

Registerkarte Funktionen

Rollendefinition und -zuordnung Wählen Sie Zuordnung aktualisieren, um einen Hintergrundjob auszuführen, mit dem die Benutzerrollen erneut den zugehörigen Benutzern zugeordnet werden. Die An­wendung führt diesen Hintergrundjob unmittelbar aus. Abhängig von Ihren Syste­meinstellungen kann dieser Prozess einige Zeit in Anspruch nehmen.

HinweisDie Taste Zuordnung aktualisieren ist nur aktiviert, wenn die Benutzerrolle über den Zugriffsanforderungsprozess zugeordnet wurde.

Die Tabelle zeigt die relevanten Hintergrundjobs und deren Status an.

Wählen Sie zur Aktualisierung des Status Auffrischen. Wenn die Spalte Ergebnis den Eintrag Complete anzeigt, hat der Hintergrundjob die Neuzuordnung der Benutzer­rolle abgeschlossen.

Zusammenfassung von Benutzer Diese Registerkarte zeigt die Ergebnisse des Hintergrundjobs zur Neuzuordnung der Rollen nach Benutzer an. Dadurch erfahren Sie, welche Benutzer von der Neuzuord­nung betroffen waren. Die Spalte Ergebnis zeigt an, ob die Neuzuordnung Erfolgreich war oder Fehlgeschlagen ist.

SAP Access ControlRollen verwalten P U B L I C ( Ö F F E N T L I C H ) 157

Registerkarte Funktionen

Informationen Die Registerkarte zeigt die Details des Jobs zur Neuzuordnung der Rollen an. Sie ent­hält folgende Informationen:

○ Job-ID○ Benutzer○ Verbundene Rolle○ System○ Gültig von○ Gültig bis○ Aktion

Zeigt an, ob der Job die Rolle hinzugefügt oder gelöscht hat.○ Ergebnis○ Ursache

Zeigt z.B. an, warum die Neuzuordnung fehlgeschlagen ist.○ Definition und Zuordnung am

Zeigt an, wann die Anwendung die Rollen zugeordnet hat.○ Initiiert am

Zeigt an, wann der Hintergrundjob gestartet wurde.○ Initiiert von

Zeigt die Person an, die den Job für die Zuordnung initiiert hat.

5. Wählen Sie Sichern und fortfahren und führen Sie bei die übrigen Phasen im Workflow durch.

Weitere Informationen

Rollen definieren [Seite 143]

Rollenbearbeitung [Seite 141]

6.1.5 Rollensuche

Verwendung

Sie können anhand von Rollenattributen wie der Rollenart, dem Rollennamen usw. nach Rollen suchen. Wählen Sie die Taste mit dem Pluszeichen (+), um zusätzliche Kriterien hinzuzufügen.

HinweisSie können nach Rollen aus unterschiedlichen Bildern suchen. Auf dem Bild Zugriffsanforderung können Sie die Felder der Suchkriterien konfigurieren (dies erfordert eine Administratorenberechtigung). Sie können benutzerdefinierte Felder hinzufügen und ihre Attribute konfigurieren. Sie können z.B. die Standardwerte einstellen und festlegen, ob ein Feld obligatorisch ist. Sie können die Felder in der Customizing-Aktivität

158 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Rollen verwalten

Attribute der Benutzerfelder für Personalisierung der Rollensuche bearbeiten unter Governance, Risk, and Compliance Access Control Benutzererstellung konfigurieren.

EmpfehlungWir empfehlen Ihnen, die Suchkriterien einzuschränken, um zielgerichtetere Ergebnisse zu erhalten.

Aktivitäten

Auf dem Bild der Suchergebnisse können Sie die Rollen anzeigen, ändern, kopieren, löschen oder exportieren.

● Um die Rolle zu ändern, wählen Sie Öffnen. Dies öffnet die Rolle auf dem Bild des Rollenbearbeitungs-Workflows.

● Um einen neuen Rollennamen auf der Grundlage einer vorhandenen Rolle zu definieren, wählen Sie eine Rolle aus und wählen Sie dann Kopieren. Wählen Sie auf dem Bild Rollenkopie die Attribute, die Sie kopieren möchten, aus und wählen Sie Absenden.

● Um eine oder mehrere Rollen zu löschen, wählen Sie sie aus und wählen Sie anschließend Löschen.● Um Rollen und Rollendetails in ein Microsoft-Excel-Arbeitsblatt zu exportieren, wählen Sie die Rollen aus und

wählen Sie bei Bedarf Exportieren und Export von Rollendetails.

Weitere Informationen

Rollenbearbeitung [Seite 141]

6.1.6 Standardrollen

Verwendung

Mit Standardrollen legen Sie Rollen fest, die die Anwendung einem Benutzer automatisch während der Rollendefinition und -zuordnung zuordnet.

Prozess

Um Standardrollen anzulegen, gehen Sie wie folgt vor:

1. Wählen Sie Anlegen.2. Wählen Sie ein Attribut und einen Attributwert aus und wählen Sie Hinzufügen.3. Wählen Sie in den entsprechenden Spalten ein System und einen Rollennamen aus.

SAP Access ControlRollen verwalten P U B L I C ( Ö F F E N T L I C H ) 159

4. Sichern Sie die Einträge.

Beispiel

Ihnen stehen zwei Rollen für Bestandsmitarbeiter in Ihrem System zur Verfügung: Inventory_Clerk und Inventory_Manager. Über Standardrollen haben Sie festgelegt, dass die Anwendung die Rolle Inventory_Clerk verwendet, wenn eine Benutzerzugriffsanforderung für das System Inventory01 das Attribut Teilprozess, den Attributwert Check_Inventory und keinen spezifischen Rollennamen enthält.

Tabelle 24:

Attribut Teilprozess

Attributwert Check_Inventory

System Inventory01

Rollenname Inventory_Clerk

Zwei Mitarbeiter haben Zugriffsanforderungen mit den folgenden Ergebnissen abgesendet:

● Der Mitarbeiter Employee_01 hat nur angegeben, dass er die Berechtigung für den Teilprozess Check_Inventory benötigt. Die Anwendung definiert seinen Zugriff automatisch mit der Standardrolle Inventory_Clerk.

● Der Mitarbeiter Employee_02 hat angegeben, dass er die Berechtigung für den Teilprozess Check_Inventory und für die Rolle Inventory_Manager benötigt. Die Anwendung definiert seinen Zugriff automatisch mit zwei Rollen: Inventory_Clerk und Inventory_Manager.

6.2 Rollenauswertung

Verwendung

Die Rollenauswertung gruppiert Funktionen, mit denen Sie bestimmte Rolle ermitteln, diese Rollen analysieren und dann Maßnahmen ergreifen können. Sie können z. B. nach allen Rollen, die bald ablaufen, suchen und prüfen, ob sie noch relevant sind.

Funktionsumfang

● Aktionsverwendung [Seite 161]● Rollenvergleich [Seite 161]● Rollenbestätigung [Seite 162]

160 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Rollen verwalten

6.2.1 Aktionsverwendung

Verwendung

Sie verwenden die Aktionsverwendung zur Generierung eines Berichts, der die Aktionsverwendung nach Rollen, Benutzern und Profilen sortiert auflistet. Sie können sich das Datum der letzten Aktionsausführung anzeigen lassen sowie die Anzahl der Aktionsausführungen für SAP-Systeme in einem bestimmten Zeitraum.

Das Bild des Aktionsverwendungsberichts zeigt die Verwendung für die angegebene Aktion im angegebenen Datumsbereich und für das ausgewählte System an.

Der Bericht zeigt die Informationen zur Aktionsverwendung nur für das System an, in dem die Rolle mit der Aktion verknüpft wurde.

Aktivitäten

Um einen Aktionsverwendungsbericht anzuzeigen, geben Sie die erforderlichen Informationen in den Feldern ein und wählen Sie entweder Im Vordergrund ausführen oder Im Hintergrund ausführen.

Sie können die Analysekriterien sichern und erneut zur Berichtsgenerierung verwenden, indem Sie im Feld Variante sichern unter einen Namen eingeben und Sichern wählen.

6.2.2 Rollenvergleich

Verwendung

Über den Rollenvergleich können Sie zwei oder mehr Rollen in der Anwendung Access Control oder zwischen der Anwendung und einem anderen System vergleichen. Sie können für den Rollenvergleich den Vergleichstyp und die Vergleichsebene eingeben. Wenn sich die Rollen unterscheiden, können Sie sie synchronisieren, indem Sie wählen, die Werte der einen Rolle mit denen der anderen zu überschreiben. Weitere Informationen finden Sie unten.

Prozess

Der Rollenvergleich besteht aus den folgenden Verfahren:

1. Rollen auswählenWählen Sie auf dem Bild Rollen auswählen die Option Hinzufügen, um Rollen zu suchen und auszuwählen. Sie müssen mindestens zwei Rollen auswählen.

2. Vergleichskriterien auswählenWählen Sie auf dem Bild Vergleichskriterien die Vergleichsebene und den Vergleichstyp aus. Wenn Sie Rollen zwischen Access Control und System vergleichen wählen, müssen Sie im Feld System ein System auswählen.

SAP Access ControlRollen verwalten P U B L I C ( Ö F F E N T L I C H ) 161

3. Vergleichsergebnisse prüfenAuf dem Bild Vergleichsergebnisse werden die Ergebnisse auf den Registerkarten Aktionen und Berechtigungen angezeigt.

4. Rollen synchronisierenWählen Sie auf dem Bild Synchronisation eine der folgenden Optionen:○ Access Control für System

Hiermit wählen Sie, dass die Rolleninformationen im ausgewählten System mit den Rolleninformationen aus Access Control überschrieben werden.

○ System für Access ControlHiermit wählen Sie, dass die Rolleninformationen in Access Control mit den Rolleninformationen aus dem ausgewählten System überschrieben werden.

HinweisSie Synchronisation ist nur gültig, wenn Sie auf dem Bild Vergleichskriterien als Art die Option Rollen zwischen Access Control und System vergleichen auswählen.

Weitere Informationen finden Sie im unten aufgeführten Beispiel.5. Job zur Synchronisation der Rollen einplanen

Geben Sie auf dem Bild Einplanen Informationen in den Mussfeldern zum Einplanen des Synchronisationsjobs ein. Sie können wählen, ob Sie den Job im Vordergrund oder im Hintergrund ausführen.

Das Bild Bestätigung zeigt Ihre Aktivitäten an.

Beispiel

Im folgenden Beispiel ist die Anwendung Access Control die Rollenverwaltungsschnittstelle für die folgenden Backend-Systeme: Finanzwesen (FIN) und Human Resources (HR). Das Beispiel zeigt, dass die Rolle FIN_ROLE_01 im FIN-System nicht dieselben Berechtigungen wie die Rolle in der Anwendung Access Control hat. Diese Situation kann eintreten, wenn jemand die Anwendung Access Control umgangen und die Rollen direkt im System geändert hat.

Mit dem Rollenvergleich können Sie die Rollen synchronisieren, indem Sie die Rolleninformationen in der Anwendung Access Control oder dem gewählten System überschreiben

Abbildung 6: Rollenvergleich

6.2.3 Rollenbestätigung

Über die Rollenbestätigung bestätigen Sie Berechtigungen für ausgewählte Rollen, deren Ablauf fällig ist. Mitarbeiter können z. B. nach einer gewissen Zeit Beschäftigungen in einem Unternehmen wechseln oder das Unternehmen verlassen. Es ist ein übliches Verfahren bei Unternehmen, dass die Manager prüfen, ob die ihren Mitarbeitern zugeordneten Berechtigungen und Rollen noch relevant sind.

Auf dem Bild Rollenbestätigung können Sie nach Rollen suchen und dann eine der folgenden Aktionen wählen: genehmigen, entfernen oder zurückstellen.

162 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Rollen verwalten

6.3 Massenpflege von Rollen

Verwendung

Mit der Massenpflege von Rollen können Sie Berechtigungen und Attribute für mehrere Rollen importieren und ändern.

Prozess

Der Prozess der Rollenmassenpflege besteht aus den folgenden Schritten:

1. Mehrere Rollen importieren [Seite 163]2. Mehrere Rollen aktualisieren [Seite 166]3. Organisationswerte für mehrere abgeleitete Rollen aktualisieren [Seite 168]4. Mehrere Rollen ableiten [Seite 169]5. Risiko für mehrere Rollen analysieren [Seite 170]6. Mehrere Rollen generieren [Seite 171]

HinweisWenn Sie den Import der Regeln fertiggestellt haben oder wenn die Regeln sich bereits in der Anwendung Access Control befinden, können Sie die Schritte in jeder erforderlichen Reihenfolge ausführen.

6.3.1 Mehrere Rollen importieren

Verwendung

Mit dem Rollenimport können Sie mehrere Rollen aus anderen Systemen in die Anwendung Access Control übertragen.

Prozess

Der Rollenimportprozess beinhaltet die folgenden Schritte:

1.Legen Sie die Art der zu importierenden Rolle, das Quellsystem, die Anwendungsart und die Landschaft fest.

2.Geben Sie die Informationen für die Rollenattributquelle und die Rollenberechtigungsquelle ein, wie z. B. den Ort der Attribut- und Berechtigungsdateien.

SAP Access ControlRollen verwalten P U B L I C ( Ö F F E N T L I C H ) 163

3. PrüfenWählen Sie auf dem Bild Prüfen eine der folgenden Prüfoptionen:○ Keine Vorschau○ Vorschau für alle Rollen○ Vorschau für Teilmenge der Rollen

Sie können die Menge der Rollen eingeben, die Sie in der Vorschau anzeigen möchten.4.

Planen Sie den Hintergrundjob für den Rollenimport ein oder wählen Sie die Ausführung im Vordergrund.

6.3.1.1 Kriterien definieren

Verwendung

Auf dem Bild Kriterien definieren können Sie die Rollenart, die Importquelle und andere Parameter für den Import mehrerer Rollen festlegen.

Vorgehensweise

Um die Kriterien zu definieren, gehen Sie wie folgt vor:

1. Wählen Sie im Bereich Rollenauswahl die Rollenart aus.

HinweisWenn Sie eine Rollenart auswählen, deaktiviert die Anwendung Felder, die für diese Art nicht gelten. Wenn Sie z. B. Benutzerrolle auswählen, deaktiviert die Anwendung die Felder Benutzereingabe und Rollenberechtigungsquelle.

2. Wählen Sie im Bereich Importquelle die Rollenattributquelle und die Rollenberechtigungsquelle aus.

HinweisSie müssen die Berechtigung S_CTS_SADM zur Verwendung der Option Datei auf Server haben.

Rollenattribute sind Details für die Rolle und können Informationen wie den Rollennamen, den Prozess, den Teilprozess usw. beinhalten. Abhängig von der Rollenart kann die Rollenattributquelle eine der folgenden sein: Benutzereingabe, Datei auf Server oder Datei auf Desktop.Die Rollenberechtigungsquelle ist das Objekt, das die Berechtigungsinformationen für die Rollen bereitstellt. Abhängig von der Rollenart kann die Rollenberechtigungsquelle eine der folgenden sein: Backend-System, Datei auf Server oder Datei auf Desktop. Die Einstellungen gelten sowohl für PFCG- als auch für Nicht-PFCG-Rollenberechtigungen.

HinweisBei technischen Rollen können Sie Überspringen wählen, um anzugeben, dass die Rollenberechtigungsquelle nicht anwendbar ist.

164 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Rollen verwalten

3. Im Bereich Vorlagen können Sie Vorlagen für Folgendes herunterladen:○ Datei für Rollenattribute○ Datei für Nicht-PFCG-Rollenberechtigungen

4. Im Abschnitt Definitionskriterien können Sie die Anwendungsart und die Landschaft wählen, und ob die vorhandene Rolle überschrieben werden soll.

HinweisDie in der Dropdown-Box Anwendungsart verfügbaren Anwendungsarten hängen von der ausgewählten Rollenart ab.

5. Im Bereich Kriterien für Rollenauswahl können Sie die zu importierenden Rollen genauer festlegen, indem Sie das Quellsystem, den Rollenbereich usw. angeben.Sie können wählen, Alle Rollen außer SAP-vordefinierte Rollen zu importieren. Dies bedeutet, dass Sie nur Rollen, die Sie angelegt oder angepasst haben, importieren und nicht die von SAP bereitgestellten Standardrollen.Im Feld Methodikstatus können Sie wählen, nur Rollen mit einem bestimmten Status wie Vollständig oder Initial zu importieren.

6.3.1.2 Rollendaten auswählen

Verwendung

Auf dem Bild Rollendaten auswählen geben Sie die Informationen für die Rollenattributquelle und die Rollenberechtigungsquelle ein, wie z. B. den Ort der Attribut- und Berechtigungsdateien.

Abhängig von den Optionen, die Sie für die Rollenattributquelle und die Rollenberechtigungsquelle auswählen, zeigt die Anwendung die anwendbaren Felder an. Wenn Sie z. B. Datei auf Server für die Rollenattributquelle gewählt haben, zeigt die Anwendung das Feld Dateiquelle an, damit Sie den Ort der Datei auf dem Server eingeben können. Sie stellt auch einen Link bereit, über den Sie eine Vorlage für die Rollenattribute herunterladen können.

Wenn Sie Benutzereingabe für die Rollenattributquelle gewählt haben, zeigt die Anwendung zusätzliche Registerkarten und Felder an.

Vorgehensweise

Um Rollendaten für die Benutzereingabe einzugeben, gehen Sie wie folgt vor:

1. Wählen Sie im Abschnitt Attributauswahl eine der folgenden Optionen:○ Standardwerte

Wählen Sie diese Option, um die im Abschnitt Rollenattribute bereitgestellten Attribute zu verwenden.Die Vorschlagswerte werden in der Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter

Governance, Risk, and Compliance Access Control bearbeitet. Bearbeiten Sie die Parameter-IDs 3000 bis einschließlich 3004.

○ Benutzerdefinierte Attribute

SAP Access ControlRollen verwalten P U B L I C ( Ö F F E N T L I C H ) 165

Wählen Sie diese Option, um eigene Informationen im Abschnitt Rollenattribute einzugeben, wie z. B. kritische Ebene, Projektfreigabe, Rollenstatus usw.

2. Wählen Sie auf der Registerkarte Funktionsbereich die Option Hinzufügen, um einen Funktionsbereich aus der Liste hinzuzufügen.

3. Auf der Registerkarte Verantwortliche/Genehmigende haben Sie die folgenden Möglichkeiten:○ Wählen Sie Hinzufügen, um Benutzer auszuwählen und hinzuzufügen.○ Markieren Sie das entsprechende Ankreuzfeld, um den Benutzer als Zuordnungsgenehmigenden,

Rollenverantwortlichen oder beides festzulegen.○ Wählen Sie in der Spalte Alternative einen Benutzer als Ersatz für den primären Benutzer aus.

4. Auf der Registerkarte Benutzerdefinierte Felder geben Sie Informationen zu allen neuen Feldern ein, die Sie zusätzlich zu den von SAP ausgelieferten Standardfeldern angelegt haben.

6.3.1.3 Hintergrundjobs einplanen

Verwendung

Auf dem Bild Einplanung können Sie wählen, den Job im Hintergrund zu einer bestimmten Zeit auszuführen oder den Job im Vordergrund auszuführen.

Um den Job im Vordergrund auszuführen, markieren Sie das Ankreuzfeld Vordergrund und wählen Sie Absenden.

Vorgehensweise

Um den Job als Hintergrundjob auszuführen, gehen Sie wie folgt vor:

1. Wählen Sie im Zeitplanabschnitt Hintergrund.2. Um für den Job eine mehrfache Wiederholung einzustellen, wählen Sie bei der Option Planserie den Eintrag Ja

und wählen Sie das Datum und die Zeiten aus.Sie können die Häufigkeit auf Folgendes setzen: stündlich, täglich, wöchentlich oder monatlich.Im Feld Wiederholung können Sie einstellen, dass der Hintergrundjob nach einer bestimmten Anzahl von Stunden erneut ausgeführt wird, z. B. alle 4 Stunden.

3. Um für den Job eine einfache Ausführung einzustellen, wählen Sie bei der Option Planserie den Eintrag Nein. Sie können auswählen, ob der Job sofort oder zu einem bestimmten Termin gestartet wird.

4. Wählen Sie Absenden.

6.3.2 Mehrere Rollen aktualisieren

Verwendung

Mit der Rollenaktualisierung können Sie die Attribute für mehrere Rollen ändern. Die verfügbaren Aktionen sind aktualisieren, löschen und hinzufügen.

166 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Rollen verwalten

Prozess

Der Rollenaktualisierungsprozess beinhaltet die folgenden Schritte:

1. Rollen auswählen1. Wählen Sie auf dem Bild Rollen auswählen die Option Hinzufügen.2. Suchen Sie Rollen anhand von Kriterien wie dem Rollennamen, der kritischen Ebene, dem

Geschäftsprozess usw. und wählen Sie sie aus.3. Wählen Sie OK und anschließend Weiter.

2. Kriterien auswählen1. Wählen Sie auf dem Bild Kriterien auswählen die Dropdown-Box Attribute und wählen Sie ein zu

aktualisierendes Attribut aus.2. Wählen Sie die Dropdown-Box Aktionen und wählen Sie eine verfügbare Aktion aus. Sie haben die Wahl

zwischen Aktualisieren, Löschen und Hinzufügen.

HinweisDie in der Auswahlliste angezeigten Aktionen sind vom Attribut abhängig. Mehrwertige Attribute zeigen Aktualisieren, Löschen und Hinzufügen an. Einwertige Attribute zeigen nur Aktualisieren an. Beim Attribut Geschäftsprozesse ist z. B. nur die Aktion Aktualisieren verfügbar.

3. Wählen Sie Ihre Option für Rollenmethodik zurücksetzen aus. Wählen Sie Ja, um die Rollen auf die erste Phase der Rollenmethodik zurückzusetzen. Wenn sich eine Rolle z. B. in der vierten Phase einer Rollenmethodik befindet, setzt diese Funktion sie wieder auf die erste Phase.

3. Werte auswählenGeben Sie auf dem Bild Werte auswählen den alten Wert, den Sie ändern möchten, und den neuen Wert, in den Sie ihn ändern möchten, ein.Wenn Sie auf dem Bild Kriterien auswählen die Option Alle Attribute gewählt haben, zeigt das Bild Werte auswählen alle Attribute an. Wählen Sie die Attribute aus, die Sie ändern möchten.

4.Planen Sie den Hintergrundjob für die Rollenaktualisierung ein oder wählen Sie die Ausführung im Vordergrund.

Rollenmethodik neu anwenden

Mit der folgenden Vorgehensweise können Sie die Rollenmethodik auf mehrere Rollen erneut anwenden:

1. Wählen Sie die Rollen aus.2. Wählen Sie auf dem Bild Kriterien auswählen die Dropdown-Box Attribute und wählen Sie Alle Attribute und

Weiter.3. Markieren Sie auf dem Bild Werte auswählen das Ankreuzfeld Rollenmethodik neu anwenden und wählen Sie

Weiter.4. Planen Sie den Hintergrundjob für die Rollenaktualisierung ein oder wählen Sie die Ausführung im

Vordergrund.

HinweisIm Folgenden werden die Funktionen Rollenmethodik zurücksetzen und Rollenmethodik neu anwenden näher erläutert:

● Die Zurücksetzung der Rollenmethodik setzt die Rollen auf die erste Phase der Rollenmethodik zurück. Wenn sich eine Rolle z. B. in der vierten Phase einer Rollenmethodik befindet, setzt diese Funktion sie

SAP Access ControlRollen verwalten P U B L I C ( Ö F F E N T L I C H ) 167

wieder auf die erste Phase. Sie berücksichtigt nicht, ob sich die Rollenmethodik geändert hat. Dies bedeutet, dass die Rolle bei einer Änderung der Methodik weiterhin die alte Methodik verwendet.

● Die Neuanwendung der Rollenmethodik wendet alle Aktualisierungen auf die Methodik an und setzt die aktuelle Phase zurück auf die erste Phase.

Weitere Informationen

Methodik neu anwenden [Seite 139]

6.3.3 Organisationswerte für mehrere abgeleitete Rollen aktualisieren

Kontext

Mit der Aktualisierung abgeleiteter Rollenorganisationswerte können Sie Aktualisierungen der Organisationsfeldwerte an mehrere abgeleitete Rollen weitergeben.

Um die Berechtigungsdaten für abgeleitete Rollen zu ändern, müssen Sie die Berechtigungsdaten aus der Stammrolle propagieren. Um die Organisationswerte für die abgeleiteten Rollen zu ändern, müssen Sie sie öffnen und für jede Rolle ändern. Mit der vorliegenden Funktion können Sie die Organisationswertzuordnungen verwenden, um Werte für mehrere Rollen gleichzeitig zu aktualisieren.

Vorgehensweise

1. Wählen Sie die Organisationswertzuordnung aus.1. Suchen Sie nach der Wertzuordnung und wählen Sie sie aus.2. Wählen Sie eine der folgenden Aktualisierungsarten aus:

○ Organisationsfeldwerte zusammenführen: Wenn die Organisationswerte bei der Organisationswertzuordnung und den abgeleiteten Rollen abweichen, hängt die Anwendung alle Differenzen aus der Organisationswertzuordnung an die abgeleitete Rolle an.

○ Organisationsfeldwerte überschreiben: Wenn die Organisationswerte bei der Organisationswertzuordnung und den abgeleiteten Rollen abweichen, ersetzt die Anwendung die Werte in den abgeleiteten Rollen durch die Werte aus der Organisationswertzuordnung.

2. Prüfen Sie die betroffenen Rollen.

Das Bild Geschädigte Rollen zeigt alle abgeleiteten Rollen in der Landschaft an, die von den Änderungen betroffen sind.

3.

168 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Rollen verwalten

Nächste Schritte

Rollenableitung [Seite 140]

Berechtigungen bearbeiten [Seite 146]

6.3.4 Mehrere Rollen ableiten

Kontext

Mit der Rollenableitung können Sie mehrere Rollen für ausgewählte Organisationsebenen ableiten. Abhängig von der Konfiguration Ihres Systems kann eine Führende Organisation erforderlich sein, mit der das System die Zuordnungnen der Organisationswerte während der Ableitung filtern kann.

BeispielSie möchten drei Rollen für Ihre Organisationen an der Westküste anlegen: Personalbeschaffer, Buchhalter und Manager. Statt jede Rolle manuell separat anzulegen, möchten Sie diese Rollen von vorhandenen Stammrollen ableiten, die die erforderlichen Berechtigungsdaten haben. Um diese Aufgabe zu vereinfachen, gruppieren Sie die entsprechenden Organisationsebenen und -werte in der Organisationswertzuordnung West_Coast, wählen die betreffenden Stammrollen aus und leiten anschließend die neuen Rollen ab.

HinweisIn der ausgelieferten Variante erfordert das System, dass die für die Rollenableitung verwendeten Organisationswertzuordnungen eine führende Organisation enthalten. Wenn Sie möchten, dass die Rollenableitung aus Zuordnungen, die keine führende Organisation enthalten, möglich ist, kann Ihr Administrator die Parameter-ID 3025 in der Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter

Governance, Risk, and Compliance Access Control bearbeiten.

Vorgehensweise

1. Wählen Sie auf dem Bild Massenrollenableitung die Zuordnung der Organisationswerte.1. Geben Sie den Zuordnungsnamen oder die führende Organisationsebene ein. Die führende

Organisationsebene ist die übergeordnete Organisationsebene in der Organisationswertzuordnung.2. Wenn Sie nur nach einer Teilmenge der in der Organisationszuordnung verfügbaren Werte suchen

möchten, markieren Sie das Ankreuzfeld Bereich für Werte berücksichtigen und geben Sie die Werte in den Feldern Wert von und Wert bis ein.

3. Wählen Sie OK und anschließend Weiter.

SAP Access ControlRollen verwalten P U B L I C ( Ö F F E N T L I C H ) 169

2. Wenn der Parameter 3025 im Customizing auf Ja gesetzt ist, führen Sie folgende Schritte aus. Fahren Sie andernfalls mit Schritt 3 fort.1. Auf dem Bild Stammrolle auswählen können Sie Werte für folgende Suchfilter eingeben:

○ Rollenname○ Rollenbeschreibung○ Geschäftsprozess○ Teilprozess○ Landschaft○ Stammrollen, die für die ausgewählte führende Organisation abgeleitet wurden, ausschließen○ Stammrollen, die nicht die ausgewählte führende Organisation haben, ausschließen

2. Wählen Sie Suchen, um alle verfügbaren Einzelrollen anzuzeigen.3. Wählen Sie die Stammrollen aus der Ergebnisliste aus und wählen Sie Weiter.

3. Leiten Sie die Rollen ab.

Die Anwendung leitet eine neue Rolle für jede Stammrolle ab.

1. Wählen Sie in der Tabelle Rollen ableiten das Feld Name und geben Sie für jede neue Rolle einen Namen ein.

2. Wählen Sie im Bereich Einplanen eine Einplanungsoption.3. Wählen Sie Absenden.

Nächste Schritte

Hintergrundjobs einplanen [Seite 32]

Rollenableitung [Seite 140]

6.3.5 Risiko für mehrere Rollen analysieren

Kontext

Mit der Rollenrisikoanalyse können Sie eine Risikoanalyse für mehrere Rollen durchführen.

Vorgehensweise

1. Wählen Sie Hinzufügen.

Sie gelangen auf das Suchbild.2. Suchen Sie die Rollen aus und wählen Sie anschließend OK.

170 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Rollen verwalten

3. Wählen Sie Absenden.

Die Anwendung legt automatisch einen Hintergrundjob für die Rollenrisikoanalyse an.

Nächste Schritte

6.3.6 Mehrere Rollen generieren

Kontext

Mit der Rollengenerierung können Sie mehrere Rollen generieren.

Vorgehensweise

1. Wählen Sie eine der folgenden Optionen zur Aktualisierung der Rollenmethodik:○ Methodik nicht ändern

Die Anwendung ändert die Methodik für keine der Rollen.○ In Generierungsphase behalten

Die Anwendung ändert die Phasen für alle Rollen in die Generierungsphase.○ Generierungsphase fertigstellen

Die Anwendung stellt die Generierungsphase für alle Rollen fertig.2. Wählen Sie in der Tabelle Rollen auswählen die Option Hinzufügen, um die Rollen zu suchen und auszuwählen.3. Wählen Sie Absenden.

Die Anwendung legt einen Hintergrundjob zum Generieren der Rolle an. Weitere Informationen über die Anzeige des Hintergrundjobstatus finden Sie unter .

SAP Access ControlRollen verwalten P U B L I C ( Ö F F E N T L I C H ) 171

7 Verwendung der Notfallzugriffsverwaltung

Verwendung

Sie können Ihre Unternehmensrichtlinien für die Verwaltung des Notfallzugriffs in der Notfallzugriffsverwaltung (NZV) implementieren. Benutzer können Anforderungen für den Notfallzugriff auf Systeme und Anwendungen per Self-Service anlegen. Geschäftsprozessverantwortliche können Anforderungen für den Notfallzugriff prüfen und den Zugriff genehmigen. Konformitätsmitarbeiter können periodische Revisionen der Verwendungen und Protokolle durchführen, um die Konformität mit den Unternehmensrichtlinien zu überwachen. Weitere Informationen finden Sie unter Rollen anlegen [Seite 175] und unter NZV-Terminologie [Seite 174].

Empfehlung● Überprüfen Sie und Ihr Administrator, ob Ihr System ID-basiert oder rollenbasiert ist. Weitere

Informationen finden Sie unter .● Überwachen und genehmigen Sie Notfallzugriffsanforderungen über einen formalen, dokumentierten

Prozess.● Prüfen Sie die geplante und tatsächliche Verwendung des Notfallzugriffs in einem formalen,

dokumentierten Prozess. Ermitteln Sie Abweichungen zwischen der geplanten und tatsächlichen Verwendung.

● Implementieren Sie eine periodische Revision der Firefighter-ID-Verwendung und -Protokolle. Stellen Sie sicher, dass Firefighter-Aktivitäten dokumentiert und geprüft werden und dass Ausnahmen gemäß der Richtlinie untersucht werden.

Prozess

1. Der Firefighter-Benutzer fordert den Notfallzugriff an.Der Firefighter-Benutzer legt eine Notfallzugriffsanforderung per Self-Service an.Die Anforderung sollte die auszuführenden Aktivitäten zu Revisionszwecken enthalten.Sie hierzu Notfallzugriff anfordern [Seite 195].

2. Der Geschäftsprozessverantwortliche prüft und genehmigt die Notfallzugriffsanforderungen.Der Geschäftsprozessverantwortliche prüft die Anforderung für den Notfallzugriff und kann diese genehmigen oder ablehnen.Siehe hierzu Zugriffsanforderungen prüfen und genehmigen [Seite 49].

HinweisDer Geschäftsprozessverantwortliche ist diesen Aufgaben gemäß den Unternehmensanforderungen zugeordnet. Ein Firefighter-ID-Verantwortlicher oder ein Firefighter-Rollenverantwortlicher können z.B. zur Genehmigung der Firefighter-Anforderung zugeordnet werden. Ein Kontrolleur kann zur Prüfung der Firefighter-Aktivitäten zugeordnet werden.

3. Der Firefighter-Benutzer greift auf die Systeme zu und führt die Firefighting-Aktivitäten aus.

172 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Verwendung der Notfallzugriffsverwaltung

Sobald der Zugriff genehmigt ist, kann der Firefighter-Benutzer die während des Anforderungsprozesses dokumentierten Aktivitäten ausführen.Siehe hierzu Systemzugriff zum Ausführen von Firefighting-Aktivitäten [Seite 198].

4. Der Geschäftsprozessverantwortliche prüft Notfallzugriffsaktivitäten.Der Geschäftsprozessverantwortliche kann die Firefighting-Aktivitäten über die Notfallzugriffsberichte und -protokolle prüfen.Sie hierzu Notfallzugriffsaktivitäten prüfen [Seite 201].

5. Konformitätsmitarbeiter (wie Administratoren) führen periodische Revisionen der Verwendung und Abzeichnung über die Notfallzugriffsberichte und -protokolle aus.

Abbildung 7: Workflow von Geschäftsverantwortlichem

Ergebnis

Das Ergebnis dieses Prozesses ist ein Prozess zum Anfordern, Genehmigen und Überwachen von Notfallzugriffen.

SAP Access ControlVerwendung der Notfallzugriffsverwaltung P U B L I C ( Ö F F E N T L I C H ) 173

7.1 NZV-Terminologie

Die folgenden Konzepte sind zum Verständnis der Notfallzugriffsverwaltung (NZV) von Bedeutung:

● Firefighter-Benutzer: Benutzer, der den Notfallzugriff anfordert● Firefighter-ID: Benutzer-ID mit gehobenen Berechtigungen● Firefighting: Nutzung einer Firefighter-ID zum Ausführen von Aufgaben im Notfall● Verantwortlicher: Benutzer, der für eine Firefighter-ID und die Zuordnung von Kontrolleuren und Firefighter-

Benutzern verantwortlich ist.● Kontrolleur: Benutzer, der die aus den Firefighting-Aktivitäten erzeugten Protokolldateien prüft und (wenn

erforderlich) genehmigt.● Zentrales Firefighting: Verwendung des GRC-Systems als zentralen Einstieg, über den Firefighter-Benutzer

sich in verschiedenen Systemen zum Zwecke des Firefighting anmelden können.● Dezentrales Firefighting: Firefighter-Benutzer können sich zum Firefighting direkt in den Plug-In-Systemen

anmelden. Das GRC-System wird nur für die Verwaltung von Notfallzugriffszuordnungen und für das Reporting verwendet.

7.2 Notfallzugriff konfigurieren

Verwendung

Im Folgenden wird der Workflow zur Einrichtung der Notfallzugriffsverwaltung (NVZ oder EAM) in der Anwendung Access Control beschrieben.

Prozess

1. Legen Sie die erforderlichen Rollen für die Notfallzugriffsverwaltung an.Siehe hierzu Rollen anlegen [Seite 175].

2. Wählen Sie die Anwendungsart für den Notfallzugriff aus.Sie hierzu Auswahl der Notfallzugriffsanwendung [Seite 175].

3. Konfigurieren Sie das ID-basierte oder rollenbasierte Firefighting.Siehe hierzu ID-basiertes Firefighting konfigurieren [Seite 182] oder Rollenbasiertes Firefighting konfigurieren [Seite 193], je nach Anwendungsart.

4. Konfigurieren Sie die Benachrichtigungen für Firefighter-ID-Anmeldungen.Siehe hierzu E-Mail-Benachrichtigungen für Notfallzugriffsanmeldungen bearbeiten [Seite 190].

5. Konfigurieren Sie Benachrichtigungen für Notfallzugriffsprotokolle.Siehe hierzu Benachrichtigungen für Notfallzugriffsprotokoll konfigurieren [Seite 194].

174 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Verwendung der Notfallzugriffsverwaltung

7.2.1 Auswahl der Notfallzugriffsanwendung

Sie können für das Firefighting zwischen folgenden Anwendungsarten wählen:

● ID-basierter Firefighter: Sie stellen Firefighter-Berechtigungen bereit, indem Sie Benutzern Firefighter-IDs zuordnen. Die Firefighter-Benutzer verwenden das Launchpad zur Notfallzugriffsverwaltung zum Zugriff auf ihre Firefighter-IDs und die relevanten Systeme. Sie können wie folgt auf das Launchpad für die Notfallzugriffsverwaltung zugreifen:○ Zentral (im GRC-System)

Melden Sie sich im GRC-System an und verwenden Sie die Transaktion GRAC_EAM für den Remote-Zugriff auf alle zugelassenen Plug-In-Systeme. In diesem Szenario stellen das GRC-System und das Launchpad für die Notfallzugriffsverwaltung einen zentralen Einstieg in die Plug-In-Systeme für Firefighting-Aufgaben dar.

○ Dezentral (in Plug-In-Systemen)Melden Sie sich in den entsprechenden Plug-In-Systemen an und verwenden Sie die Transaktion /GRCPI/GRIA_EAM zum Ausführen der Firefighting-Aktivitäten. In diesem Szenario, bei dem die Firefighting-Aktivitäten lokal in jedem der Plug-In-Systeme ausgeführt werden, verfügen Sie über einen ungestörten Firefighting-Zugriff, selbst wenn das GRC-System nicht verfügbar ist. Sie müssen jedoch sicherstellen, dass Sie ein Benutzerkonto in jedem der Plug-In-Systeme haben.Funktionen, wie Zuordnungen, und das Reporting werden jedoch im GRC-System gepflegt. Weitere Informationen finden Sie unter Dezentrales Firefighting [Seite 178].

HinweisBeide Optionen, sowohl zentral als auch dezentral, stehen immer zur Verfügung. Sie müssen keine der Option eigens aktivieren. Weitere Informationen finden Sie unter .

● Rollenbasierter Firefighter: Sie legen Firefighter-Rollen in Plug-In-Systemen an und ordnen Sie Benutzern im GRC-System zu. Zum Ausführen der Firefighting-Aktivitäten meldet sich der Firefighter-Benutzer mit seiner Benutzer-ID direkt im Plug-In-System an.

HinweisSie können nur jeweils eine Anwendungsart verwenden.

Zum Einstellen der Anwendungsart als ID-basiert oder Rollenbasiert müssen Sie den Parameter 4000 in der Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter Governance, Risk, and ComplianceAccess Control konfigurieren.

7.2.1.1 Rollen anlegen

Zu den Benutzern der Notfallzugriffsverwaltung gehören Administratoren, Verantwortliche, Kontrolleure und Firefighter-Benutzer. Die folgende Tabelle beschreibt jede Rolle und die ausgelieferten Rollen, die die empfohlenen Berechtigungen enthalten.

SAP Access ControlVerwendung der Notfallzugriffsverwaltung P U B L I C ( Ö F F E N T L I C H ) 175

HinweisDie ausgelieferten Rollen sind Musterrollen. Sie müssen diese in Ihren Namensraum kopieren, wenn Sie sie verwenden möchten.

Tabelle 25: Rollen der Notfallzugriffsverwaltung

Rollenart Beschreibung

Administrator Administratoren verfügen über uneingeschränkten Zugriff auf die Funktionen der Notfallzugriffsverwal­tung. Sie ordnen Verantwortlichen und Firefighter-Benutzern Firefighter-IDs zu. Administratoren führen Berichte aus, bearbeiten die Datentabellen und stellen sicher, dass die Ursachencodetabelle aktuell ist. Administratoren können E-Mail-Benachrichtigungen für Kontrolleure über die Funktion der Firefighter-Zuordnung und über das Customizing aktivieren.

Die ausgelieferte Rolle für Administratoren ist: SAP_GRAC_SUPER_USER_MGMT_ADMIN.

HinweisFür Szenarien des dezentralen Firefighting müssen Sie die Rolle des Administrators in den entsprech­enden Plug-In-Systemen anlegen, wenn er in der Lage sein soll, die Gültigkeitszeiträume für Firefigh­ter-Zuordnungen zu verlängern. Ordnen Sie das Berechtigungsobjekt /GRCPI/001 zu und geben Sie im Feld ACTVT den Wert 70 oder * (Asterisk) ein.

Verantwortlicher Verantwortliche können Firefighter-Benutzern Firefighter-IDs zuordnen und Kontrolleure definieren. Ver­antwortliche können die ihnen vom Administrator zugeordneten Firefighter-IDs anzeigen. Sie können sich selbst keine Firefighter-IDs zuordnen.

Die ausgelieferte Rolle für Verantwortliche ist: SAP_GRAC_SUPER_USER_MGMT_OWNER.

HinweisFür Szenarien des dezentralen Firefighting müssen Sie die Rolle des Verantwortlichen in den ent­sprechenden Plug-In-Systemen anlegen, wenn er in der Lage sein soll, die Gültigkeitszeiträume für Fi­refighter-Zuordnungen zu verlängern. Ordnen Sie das Berechtigungsobjekt /GRCPI/001 zu und ge­ben Sie im Feld ACTVT den Wert blank (leer) ein.

Kontrolleur Kontrolleure überwachen die Verwendung von Firefighter-IDs, indem sie den Protokollbericht oder Pro­tokollberichts-Workflow überprüfen und E-Mail-Benachrichtigungen zu Anmeldeereignissen von Fire­fighter-IDs empfangen.

Die ausgelieferte Rolle für Kontrolleure ist: SAP_GRAC_SUPER_USER_MGMT_CNTLR.

176 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Verwendung der Notfallzugriffsverwaltung

Rollenart Beschreibung

Firefighter-Benut­zer

Firefighter-Benutzer können auf die ihnen zugeordneten Firefighter-IDs zugreifen und können jede Auf­gabe, für die sie Berechtigungen besitzen, ausführen. Firefighter-Benutzer melden sich mit der Firefigh­ter-ID an, um in Notfallsituationen Transaktionen auszuführen.

Die ausgelieferte Rolle für Firefighter-Benutzer ist: SAP_GRAC_SUPER_USER_MGMT_USER.

HinweisFür Szenarien des dezentralen Firefighting müssen Sie die Rolle des Firefighter-Benutzers in den ent­sprechenden Plug-In-Systemen anlegen, wenn er in der Lage sein soll, das Launchpad für die Notfall­zugriffsverwaltung zu verwenden. Ordnen Sie der Rolle die Berechtigungen zur Verwendung der Transaktionen /GRCPI/GRIA_EAM und SU53 zu.

Firefighter-ID Wenn die ausgelieferte Rolle SAP_GRAC_SPM_FFID einer Benutzer-ID zugeordnet wird, wandelt sie eine ID in eine Firefighter-ID um. Ordnen Sie der Rolle das Berechtigungsobjekt S_RFC zu, um die Remote-Anmeldung zu ermöglichen.

HinweisDiese Rolle wird nur für ID-basiertes Firefighting verwendet.

Weitere Informationen zu Rollen und Berechtigungsobjekten finden Sie im Sicherheitsleitfaden für SAP Access Control 10.0 unter http://help.sap.com/grc-ac .

7.2.1.2 Anwendungsarten für Notfallzugriff

Sie können für das Firefighting zwischen folgenden Anwendungsarten wählen:

● ID-basierter Firefighter: Sie stellen Firefighter-Berechtigungen bereit, indem Sie Benutzern Firefighter-IDs zuordnen. Die Firefighter-Benutzer verwenden das Launchpad zur Notfallzugriffsverwaltung zum Zugriff auf ihre Firefighter-IDs und die relevanten Systeme. Sie können wie folgt auf das Launchpad für die Notfallzugriffsverwaltung zugreifen:○ Zentral (im GRC-System)

Melden Sie sich im GRC-System an und verwenden Sie die Transaktion GRAC_SPM für den Remote-Zugriff auf alle zugelassenen Plug-In-Systeme. In diesem Szenario stellen das GRC-System und das Launchpad für die Notfallzugriffsverwaltung einen zentralen Einstieg in die Plug-In-Systeme für Firefighting-Aufgaben dar.

● Rollenbasierter Firefighter: Sie legen Firefighter-Rollen in Plug-In-Systemen an und ordnen Sie Benutzern im GRC-System zu. Zum Ausführen der Firefighting-Aktivitäten meldet sich der Firefighter-Benutzer mit seiner Benutzer-ID direkt im Plug-In-System an.

HinweisSie können nur jeweils eine Anwendungsart verwenden.

SAP Access ControlVerwendung der Notfallzugriffsverwaltung P U B L I C ( Ö F F E N T L I C H ) 177

Zum Einstellen der Anwendungsart als ID-basiert oder Rollenbasiert müssen Sie den Parameter 4000 in der Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter Governance, Risk, and ComplianceAccess Control konfigurieren.

7.2.1.3 Dezentrales Firefighting

Mit dem dezentralen Firefighting können Sie das Launchpad für die Notfallzugriffsverwaltung direkt in den Plug-In-Systemen verwenden, um Firefighting-Aktivitäten ausführen, falls das GRC-System nicht verfügbar ist.

Zur Verwendung des Launchpads für die dezentrale Notfallzugriffsverwaltung im Plug-In-System müssen Sie SAP GUI öffnen und die Transaktion /GRCPI/GRIA_EAM ausführen. Da diese Transaktion lokal ausgeführt wird, müssen die Benutzer über Benutzerkonten in den relevanten Plug-In-Systemen verfügen, um das Firefighting ausführen zu können.

Die folgende Grafik veranschaulicht, dass der Großteil der Funktionen für das dezentrale Firefighting im GRC-System gepflegt wird. Folgende Funktionen sind im Plug-In-System verfügbar:

● Launchpad für Notfallzugriffsverwaltung für Plug-Ins● Gültigkeitszeiträume für Firefighter-Zuordnungen verlängern● E-Mail-Benachrichtigungen für Firefighter-Anmeldung aktivieren● Text für E-Mail-Benachrichtigungen für Firefighter-Anmeldung anpassen

178 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Verwendung der Notfallzugriffsverwaltung

Abbildung 8: Funktionen, die im GRC-System und nicht im Plug-In-System bearbeitet werden (für dezentrales Firefighting)

Optionale Konfiguration

Bei Bedarf können Sie für jedes Plug-In-System unterschiedliche Rollennamen für die Firefighter-IDs pflegen. In Plug-In-System 01 können Sie z.B. SAP_GRAC_EAM_FFID01 verwenden, während Sie in Plug-In-System 02 SAP_GRAC_EAM_FFID02 verwenden.

Sie können diese Einstellungen in der Customizing-Aktivität Rollenname für Firefighter-ID pro Konnektor bearbeiten unter Governance, Risk, and Compliance Access Control Notfallzugriffsverwaltung vornehmen.

In Plug-In-Systemen gepflegte Aktivitäten der Notfallzugriffsverwaltung

Die folgende Tabelle enthält Informationen dazu, welche Aktivitäten im Plug-In-System gepflegt werden.

SAP Access ControlVerwendung der Notfallzugriffsverwaltung P U B L I C ( Ö F F E N T L I C H ) 179

Tabelle 26:

Aktivität Kommentare

Anlegen von Benutzern in Systemen, um die Verwendung des Launchpads für die Notfallzugriffsverwaltung über SAP GUI zu ermöglichen.

Da das Launchpad für die Notfallzugriffsverwaltung lokal gestartet wird, müssen Be­nutzer über ein Benutzerkonto in den Plug-In-Systemen verfügen, um Firefighting-Aktivitäten ausführen zu können.

Anlegen von Firefighter-IDs Sie legen Firefighter-IDs in jedem Plug-In-System an und synchronisieren diese mit dem GRC-Repository.

Weitere Informationen finden Sie unter Firefighter-IDs anlegen und bearbeiten [Seite 185].

Firefighting-Launchpad starten Transaktion /GRCPI/GRIA_EAM ausführen.

Gültigkeitszeitraum für Firefighter-Zuordnungen verlängern

Sie können den Gültigkeitszeitraum für Firefighter-Zuordnungen im GRC-System oder im Plug-In-System verlängern.

Im GRC-System müssen Sie die Zuordnung der Firefighter-ID öffnen und den Zuord­nungszeitraum verlängern.

Im Plug-In-System können Sie den Gültigkeitszeitraum für Firefighter-Zuordnungen im Plug-In-System über die Customizing-Aktivitäten (Transaktion SPRO) verlän­gern.

Weitere Informationen finden Sie unter Gültigkeitszeiträume für Firefighter-Zuord­nungen verlängern [Seite 197].

E-Mail-Benachrichtigungen für Firefigh­ter-Anmeldung aktivieren

Sie können in jedem Plug-In-System festlegen, dass der Firefighting-Kontrol­leur benachrichtigt wird, wenn ein Fire­fighter sich zum Firefighting im System angemeldet hat.

Sie können in jedem Plug-In-System festlegen, dass der Firefighting-Kontrolleur be­nachrichtigt wird, wenn ein Firefighter sich zum Firefighting im System angemeldet hat.

Die Plug-In-System versenden Benachrichtigungen an die Kontrolleure und Verant­wortlichen. Dazu müssen die Kontrolleure und Verantwortlichen über Benutzerkon­ten in den Plug-In-Systemen verfügen.

In den Plug-In-Systemen können Sie die Benachrichtigungen über die Customizing-Aktivitäten (Transaktion SPRO) aktivieren.

Weitere Informationen finden Sie unter E-Mail-Benachrichtigungen für Notfallzu­griffsanmeldungen bearbeiten [Seite 190].

Text für E-Mail-Benachrichtigungen für Firefighter-Anmeldung anpassen

Sie können den Text für die Benachrich­tigungen für jedes einzelne Plug-In-Sys­tem anpassen.

Sie können den Text für die Benachrichtigungen für jedes einzelne Plug-In-System anpassen.

In den Plug-In-Systemen können Sie die Benachrichtigungen über die Customizing-Aktivitäten (Transaktion SPRO) aktivieren.

Weitere Informationen finden Sie unter E-Mail-Benachrichtigungen für Notfallzu­griffsanmeldungen bearbeiten [Seite 190].

180 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Verwendung der Notfallzugriffsverwaltung

Im GRC-System gepflegte NZV-Aktivitäten

Die folgende Tabelle beschreibt, welche Aktivitäten im GRC-System gepflegt werden.

Tabelle 27:

Aktivität Kommentare

Notfallzugriffsbearbeitung und zugehörige Stammdaten konfigurieren

Die Informationen zur Konfiguration und den Stammdaten werden im GRC-Sys­tem bearbeitet und in die Plug-In-Systeme übertragen.

Sie müssen regelmäßige Jobs zur Synchronisation der Stammdaten aus dem GRC-System mit den Daten in den entsprechenden Plug-In-Systemen einplanen. Es wird empfohlen, die Synchronisation täglich laufen zu lassen.

Sie können die Synchronisationsjobs im Customizing (Transaktion SPRO) unter

Governance, Risk, and Compliance Access Control Synchronisationsjobs

EAM-Stammdatensynchronisation einplanen.

Anlegen von Firefighter-IDs Sie legen Firefighter-IDs in jedem Plug-In-System an und synchronisieren diese mit dem GRC-Repository.

Weitere Informationen finden Sie unter Firefighter-IDs anlegen und bearbeiten [Seite 185].

Verantwortliche und Kontrolleure für Fire­fighting pflegen

Gepflegt im GRC-System

Verantwortliche zu Firefighter-ID zuordnen Gepflegt im GRC-System

Firefighter-ID zu Kontrolleuren zuordnen Gepflegt im GRC-System

Firefighter-IDs zu Firefighter-Benutzern zuordnen

Gepflegt im GRC-System

Benutzerdaten synchronisieren Gepflegt im GRC-System

Ursachencodes pflegen Gepflegt im GRC-System

Gültigkeitszeitraum für Firefighter-Zuord­nungen verlängern

Sie können den Gültigkeitszeitraum für Firefighter-Zuordnungen im GRC-System oder im Plug-In-System verlängern.

Im GRC-System müssen Sie die Zuordnung der Firefighter-ID öffnen und den Zuordnungszeitraum verlängern.

Im Plug-In-System können Sie den Gültigkeitszeitraum für Firefighter-Zuordnun­gen im Plug-In-System über die Customizing-Aktivitäten (Transaktion SPRO) ver­längern.

Weitere Informationen finden Sie unter Gültigkeitszeiträume für Firefighter-Zuordnungen verlängern [Seite 197].

Zuordnungen mit Workflow-Aktivierung Gepflegt im GRC-System

SAP Access ControlVerwendung der Notfallzugriffsverwaltung P U B L I C ( Ö F F E N T L I C H ) 181

Aktivität Kommentare

Bearbeitungs- und Synchronisationsproto­kolle

Alle Protokolle und Aktivitäten der Benutzerbearbeitung werden im GRC-System gepflegt. Es wird empfohlen, den Job für die Protokollsammlung stündlich laufen zu lassen.

Wenn das GRC-System für längere Zeiträume nicht verfügbar ist, hat dies einen Einfluss auf die Sammlung der Protokolle.

Berichte ausführen Gepflegt im GRC-System

Benachrichtigung an Kontrolleure für Pro­tokolle, Berichte und Workflow-Aktivitäten.

Gepflegt im GRC-System

7.2.2 ID-basiertes Firefighting konfigurieren

Verwendung

In diesem Topic werden die Details zum Konfigurationsprozess des ID-basierten Firefighting beschrieben.

Voraussetzungen

Stellen Sie sicher, dass die Benutzer Zugriff auf das GRC-System haben und SAP GUI öffnen können.

Prozess

Die Informationen in diesem Bereich sind erforderlich für die Konfiguration des ID-basierten Firefighting.

HinweisWeitere Informationen zu den für das dezentrale Firefighting erforderlichen zusätzlichen Schritten finden Sie im Abschnitt Zusätzliche Schritte zur Konfiguration des dezentralen ID-basierten Firefighting.

1. Legen Sie die relevanten Anwendungsrollen für die Notfallzugriffsverwaltung an.Eine Liste der erforderlichen Anwendungsrollen finden Sie unter Rollen anlegen [Seite 175].

2. Stellen Sie die Anwendungsart für das ID-basierte Firefighting wie folgt ein:

1. Öffnen Sie die Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter Governance, Risk, and Compliance Access Control .

2. Stellen Sie für den Parameter 4000 den Wert 1 für ID-basiertes Firefighting ein.3. Konfigurieren Sie den Firefighter-ID-Rollennamen.

Sie ordnen diese Rolle Benutzerkonten zu, um Firefighter-IDs anzulegen.

182 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Verwendung der Notfallzugriffsverwaltung

1. Öffnen Sie die Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter Governance, Risk, and Compliance Access Control .

2. Geben Sie für Parameter 4010 den benutzerdefinierten Rollennamen ein, z.B. SAP_GRAC_EAM_FFID.4. Synchronisieren Sie die Benutzer und Rollen in den Plug-In-Systemen mit dem GRC-System.

Öffnen Sie im GRC-System die Customizing-Aktivität Repository-Objektsynchronisation. Diese befindet sich unter Governance, Risk, and Compliance Access Control Synchronisationsjobs .

5. Legen Sie in den Plug-In-Systemen Firefighter-IDs an und synchronisieren Sie diese mit dem GRC-Repository.Weitere Informationen finden Sie unter Firefighter-IDs anlegen und bearbeiten [Seite 185].

6. Bearbeiten Sie die folgenden Access-Control-Verantwortlichen:○ Firefighter-ID-Verantwortlicher

Firefighter-ID-Verantwortliche sind für die Bearbeitung von Rollen und ihre Zuordnungen zu Firefighter-Benutzern zuständig.

○ Firefighter-ID-KontrolleurFirefighter-ID-Kontrolleure sind für die Prüfung der während der Firefighter-Verwendung generierten Protokollberichte zuständig.

Weitere Informationen finden Sie unter Kontrolleure zuordnen [Seite 187].7. Ordnen Sie einer Firefighter-ID einen Verantwortlichen zu.

Weitere Informationen finden Sie unter Verantwortliche zuordnen [Seite 186].8. Ordnen Sie einer Firefighter-ID einen Kontrolleur zu.

Weitere Informationen finden Sie unter Kontrolleure zuordnen [Seite 187].9. Ordnen Sie einem Benutzer zum Zwecke des Firefighting eine Firefighter-ID zu.

Weitere Informationen finden Sie unter Firefighter-Benutzer zuordnen [Seite 189].10. Legen Sie Ursachencodes an.

Weitere Informationen finden Sie unter Ursachencodes [Seite 191].11. Bearbeiten Sie die Einstellungen für E-Mail-Benachrichtigungen für Firefighter-Anmeldungen.

Die Anwendung sendet Benachrichtigungen an den Kontrolleur, wenn sich ein Firefighter-Benutzer zum Firefighting im System angemeldet hat.○ Damit die Anwendung E-Mail-Benachrichtigungen beim Anmelden von Firefighter-Benutzern versendet,

müssen Sie folgende Einstellungen vornehmen:

1. Öffnen Sie die Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter Governance, Risk, and Compliance Access Control .

2. Setzen Sie den Wert für Parameter 4008 auf 1.○ Optional können Sie den Text der E-Mail-Benachrichtigungen ändern. Wenn Sie den Text nicht ändern,

verwendet die Anwendung den ausgelieferten Standardtext.Sie können den Text in folgenden Customizing-Aktivitäten ändern:○ Benutzerdefinierte Benachrichtigungen für Notfallzugriffsverwaltung bearbeiten○ Text für benutzerdefinierte Benachrichtigungen bearbeiten

Weitere Informationen finden Sie unter E-Mail-Benachrichtigungen für Notfallzugriffsanmeldungen bearbeiten [Seite 190].

Zusätzliche Schritte zur Konfiguration des dezentralen ID-basierten Firefighting

Zur Konfiguration des dezentralen Firefighting müssen Sie zunächst die oben stehenden Aufgaben und anschließend die folgenden Schritte ausführen.

1. Stellen Sie sicher, dass die Benutzer über Benutzerkonten und Rollen in jedem der Plug-In-Systeme verfügen, so dass sie sich an jedem System anmelden können. Firefighter-Benutzer müssen direkten Zugriff auf jedes der Plug-In-Systeme haben und das Launchpad für die Notfallzugriffsverwaltung lokal verwenden können.

SAP Access ControlVerwendung der Notfallzugriffsverwaltung P U B L I C ( Ö F F E N T L I C H ) 183

2. Aktivieren Sie das dezentrale Firefighting.Öffnen Sie im GRC-System die Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter

Governance, Risk, and Compliance Access Control .Setzen Sie den Parameter 4015 zur Aktivierung des dezentralen Firefighting auf Ja.

3. Synchronisieren Sie die Stammdaten aus dem GRC-System mit den Daten in den Plug-In-Systemen.Verwenden Sie die Customizing-Aktivität EAM-Stammdatensynchronisation unter Governance, Risk, and Compliance Access Control Synchronisationsjobs .

4. Optional können Sie verschiedene Firefighter-ID-Rollennamen für jedes Plug-In-System pflegen. In Plug-In-System 01 können Sie z.B. SAP_GRAC_EAM_FFID01 verwenden, während Sie in Plug-In-System 02 SAP_GRAC_EAM_FFID02 verwenden.1. Öffnen Sie das Customizing (Transaktion SPRO) im GRC-System.2. Öffnen Sie die Customizing-Aktivität Rollenname für Firefighter-ID pro Konnektor bearbeiten unter

Governance, Risk, and Compliance Access Control Notfallzugriffsverwaltung .3. Bearbeiten Sie die Rollennamen der Firefighter-ID wie erforderlich.

HinweisWenn Sie diese Option nicht verwenden, verwendet die Anwendung den standardmäßigen Firefighter-ID-Rollennamen, wie er im Parameter 4010 der Customizing-Aktivität Konfigurationseinstellungen bearbeiten für alle Systeme angegeben ist.

5. Optional können Sie separate Einstellungen für E-Mail-Benachrichtigungen bei Firefighter-Anmeldungen für jedes der Plug-In-Systeme vornehmen.○ Wenn Sie einstellen möchten, dass jedes Plug-In-System eine eigene E-Mail-Benachrichtigung versendet,

gehen Sie wie folgt vor:1. Öffnen Sie im Plug-In-System die Customizing-Aktivität Plug-In-Konfigurationseinstellungen

bearbeiten unter Governance, Risk, and Compliance (Plug-In) Access Control .2. Setzen Sie den Wert für Parameter 4008 auf 1.

○ Wenn Sie den Text für die E-Mail-Benachrichtigungen bei Anmeldung für jedes der Plug-In-System ändern möchten, führen Sie folgende Customizing-Aktivitäten aus:○ Benutzerdefinierte Benachrichtigungen für Notfallzugriff bearbeiten (Plug-In)○ Text für benutzerdefinierte Benachrichtigungen bearbeiten (Plug-In)

Weitere Informationen finden Sie unter E-Mail-Benachrichtigungen für Notfallzugriffsanmeldungen bearbeiten [Seite 190].

HinweisDiese Konfigurationsschritte sind zusätzlich zu den Konfigurationsschritten für das ID-basierte Firefighting verfügbar. Stellen Sie sicher, dass Sie die Schritte zum Anlegen und Zuordnen von Verantwortlichen, Kontrolleuren und Firefighter-Benutzern ausgeführt haben.

Weitere Informationen

Rollenbasiertes Firefighting konfigurieren [Seite 193]

184 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Verwendung der Notfallzugriffsverwaltung

7.2.2.1 Firefighter-IDs anlegen und bearbeiten

Verwendung

Sie legen Firefighter-IDs an, indem Sie die Firefighter-ID-Rolle einem Benutzerkonto zuordnen.

Z.B. ergibt User_Account01 + Firefighter_ID_role = Firefighter_ID01.

Zum Anlegen von Firefighter-IDs können Sie Transaktion SU01 oder die Funktion für Zugriffsanforderungen in Access Control verwenden. Dieses Thema erläutert die Vorgehensweise zum Anlegen und Bearbeiten von Firefighter-IDs unter Verwendung der Zugriffsanforderungsfunktionalität.

HinweisSie müssen Firefighter-IDs für jedes Plug-In-System anlegen und diese mit dem GRC-Repository synchronisieren.

Voraussetzungen

● Sie haben die Firefighter-ID-Rolle angelegt.Die ausgelieferte Rolle lautet SAP_GRAC_SPM_FFID; Sie können jedoch Ihre eigene Rolle verwenden.

● Sie haben den Namen der Firefighter-ID-Rolle in der Customizing-Aktivität (Transaktion SPRO) Konfigurationseinstellungen bearbeiten im Parameter 4010 konfiguriert.

Vorgehensweise

Anlegen von Firefighter-IDs

HinweisZum Anlegen von Firefighter-IDs können Sie Transaktion SU01 oder die Funktion für Zugriffsanforderungen in Access Control verwenden. Die folgenden Schritte erläutern die Vorgehensweise zum Anlegen und Bearbeiten von Firefighter-IDs unter Verwendung der Zugriffsanforderungsfunktionalität.

1. Öffnen Sie das Bild Zugriffsanforderung.2. Wählen Sie in der Auswahlliste Anforderungsart den Eintrag Neues Benutzerkonto aus.3. Wählen Sie in der Auswahlliste Anforderung für den Eintrag Sonstige aus.4. Geben Sie im Feld Benutzer den Namen der Firefighter-ID ein, z.B. FFID_01.5. Wählen Sie auf der Registerkarte Benutzerzugriff die Option Hinzufügen und wählen Sie dann Rolle aus.6. Fügen Sie die von Ihnen konfigurierte Firefighter-ID-Rolle zu, z.B. SAP_GRAC_SPM_FFID.7. Fügen Sie sonstige zusätzliche Rollen hinzu, die zur Bereitstellung der benötigten Berechtigungen und

Systemzugriffe für die Ausführung von Firefighting-Aufgaben erforderlich sind.8. Senden Sie die Zugriffsanforderung ab.

Die neue Benutzer-ID FFID_01 ist nun eine Firefighter-ID.

SAP Access ControlVerwendung der Notfallzugriffsverwaltung P U B L I C ( Ö F F E N T L I C H ) 185

Firefighter-IDs bearbeiten

Mit der Zugriffsanforderungsfunktionalität können Sie Firefighter-IDs auch bearbeiten, ändern oder löschen.

1. Öffnen Sie das Bild Zugriffsanforderung.2. Wählen Sie aus der Auswahlliste Anforderungsart die zutreffende Aufgabe, wie Benutzerkonto ändern,

Benutzerkonto löschen usw., aus.3. Sichern Sie den Eintrag.

Weitere Informationen

Zugriffsanforderungen anlegen [Seite 23]

7.2.2.2 Verantwortliche zuordnen

Verwendung

Dieses Thema betrifft sowohl das ID-basierte als auch das rollenbasierte Firefighting.

Sie müssen Firefighter-IDs und -Rollen Verantwortliche zuordnen. Verantwortliche ordnen Firefighter-Benutzern Firefighter-IDs zu und definieren Kontrolleure.

Voraussetzungen

Sie haben folgende Schritte ausgeführt:

● Beim rollenbasierten Firefighting haben Sie die Firefighter-Rollen im GRC-System definiert und das Ankreuzfeld Für Firefighting aktivieren auf dem Bild Rolle definieren unter ZugriffsverwaltungRollenverwaltung Rollenbearbeitung markiert.

● Beim ID-basierten Firefighting haben Sie eine Firefighter-ID-Rolle im ERP-System definiert und der Rolle die Remote-Anmeldeberechtigung S_RFC zugeordnet.

Vorgehensweise

Neue Zuordnung anlegen

1. Wählen Sie Notfallzugriffszuordnung Verantwortliche .Das Bild Firefighter-Verantwortlicher zeigt eine Tabelle mit den vorhandenen Zuordnungen an.

2. Wählen Sie Zuordnen.Sie gelangen auf das Bild Verantwortlicher Zuordnung: Neu.

186 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Verwendung der Notfallzugriffsverwaltung

3. Wählen Sie im Feld ID Verantwortl. den Verantwortlichen aus.4. Wählen Sie in der Tabelle Firefighter-Kennung die Option Hinzufügen und fügen Sie eine oder mehrere

Firefighter-IDs oder -Rollen hinzu.

5. Wählen Sie Sichern Schließen .

Zuordnung anzeigen oder bearbeiten

1. Wählen Sie Notfallzugriffszuordnung Verantwortliche .Das Bild Firefighter-Verantwortlicher zeigt eine Tabelle mit den vorhandenen Zuordnungen an.

2. Markieren Sie eine Zeile und wählen Sie Öffnen.Das Bild Verantwortlicher Zuordnung zeigt die jeweilige Zuordnung an.

3. Zum Hinzufügen einer Verantwortlichenzuordnung gehen Sie wie folgt vor:1. Wählen Sie Hinzufügen.

In der Tabelle wird eine neue Zeile angezeigt.2. Geben Sie in den Mussfeldern relevante Informationen ein.

Auf dem Bild sind Mussfelder mit einem Asterisk (*) gekennzeichnet.

3. Wählen Sie Sichern Schließen .Die Zuordnung wird für den ausgewählten Verantwortlichen fertiggestellt.

4. Um die Verantwortlichenzuordnung zu entfernen, wählen Sie Entfernen.Die ausgewählte Zuordnung wird gelöscht.

5. Wählen Sie Sichern Schließen .

7.2.2.3 Kontrolleure zuordnen

Verwendung

Dieses Thema betrifft sowohl das ID-basierte als auch das rollenbasierte Firefighting.

Sie ordnen Firefighter-IDs und Firefighter-Rollen Kontrolleure zu. Kontrolleure überwachen und prüfen die Aktivitäten der Firefighter-IDs und -Rollen. Mit den Funktionen im Bild Kontrolleur können Sie einen Kontrolleur für Firefighter-IDs und -Rollen zuordnen, hinzufügen oder entfernen.

HinweisDie Kontrolleurszuordnungen für eine Firefighter-ID oder -Rolle können nicht von mehreren Personen gleichzeitig bearbeitet werden.

Vorgehensweise

1. Wählen Sie Notfallzugriffsbearbeitung Kontrolleure .Sie gelangen auf das Bild Kontrolleur, das vorhandene Kontrolleure, Firefighter-IDs und verknüpfte Systeme anzeigt.

2. Wählen Sie Zuordnen.Sie gelangen auf das Bild Kontrolleur Zuordnung: Neu.

SAP Access ControlVerwendung der Notfallzugriffsverwaltung P U B L I C ( Ö F F E N T L I C H ) 187

3. Geben Sie im Feld Kontrolleur-ID die Benutzer-ID für die Person ein, die Sie als Kontrolleur zuordnen möchten.4. Wählen Sie OK.5. Wählen Sie Hinzufügen, wählen Sie die Firefighter-ID aus der Liste aus, und wählen Sie anschließend OK.

Nachdem Sie die Firefighter-ID ausgewählt haben, wird der Wert des Felds System automatisch generiert.6. Wählen Sie in der Spalte Benachrichtigung von eine der folgenden Optionen:

○ E-MailHiermit wird jedes Mal, wenn der Hintergrundjob GRAC_SPM_LOG_SYNC_UPDATE ausgeführt wird, ein Protokollbericht an einen externen Posteingang wie Microsoft Outlook oder an einen SAP-Eingang gesendet.Bei der Benachrichtigung per E-Mail stehen die folgenden Optionen zur Auswahl:○ Um Anmeldebenachrichtigungen zu senden, setzen Sie den Parameter Firefight-

Benutzeranmeldebenachrichtigung senden auf Ja. Die Anmeldebenachrichtigung wird unabhängig von der Option Benachrichtigung von nur per E-Mail versendet.

○ Um Anmeldebenachrichtigungen direkt nach der Anmeldung einer Firefighter-ID im System zu senden, setzen Sie den Parameter Firefighter-Anmeldebenachrichtigung sofort senden auf Ja.

○ Um Benachrichtigungen zu Protokollberichten zu senden, setzen Sie den Parameter Protokollberichtausführungs-Benachrichtigung auf Ja. Die Protokollberichtsbenachrichtigung hängt vom Feld Benachrichtigung von ab.

○ Um Benachrichtigungen zu Protokollberichten zu erhalten, wenn die Protokolle aktualisiert werden, setzen Sie den Parameter Benachrichtigung für Protokollberichtausführung sofort senden auf Ja.

○ WorkflowHiermit werden Benachrichtigungen zu Protokollberichten in Form eines SAP-Workflow-Workitems gesendet.

HinweisBenutzer müssen über die Portalberechtigung verfügen, um auf die Workflow-Workitems zugreifen zu können.

○ ProtokollanzeigeHiermit werden Anmeldeereignisse der Firefighter-ID aus dem Bild Notfallzugriffsverwaltung Administrator angezeigt. Der Kontrolleur generiert den Protokollbericht manuell und zeigt ihn auf dem Bild Notfallzugriffsverwaltung Administrator an. Das System versendet keine automatisierten E-Mail-Benachrichtigungen.

7. Wählen Sie Sichern Schließen .

Anzeigen oder Bearbeiten einer Kontrolleurzuordnung

1. Markieren Sie auf dem Bild Kontrolleur eine Zeile und wählen Sie Öffnen.Sie gelangen auf das Bild Kontrolleurzuordnung, das die jeweilige Zuordnung anzeigt.

2. Um eine Firefighter-Zuordnung hinzuzufügen, wählen Sie Hinzufügen.In der Tabelle wird eine neue Zeile angezeigt.

3. Geben Sie in den Mussfeldern die relevanten Informationen ein und wählen Sie im Dropdown-Menü in der Spalte Benachrichtigung von eine Benachrichtigungsmethode aus.

4. Um eine Firefighter-Zuordnung zu entfernen, wählen Sie Entfernen.Die ausgewählte Zuordnung wird gelöscht.

5. Wählen Sie Sichern Schließen .

188 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Verwendung der Notfallzugriffsverwaltung

7.2.2.4 Firefighter-Benutzer zuordnen

Verwendung

Dieses Thema betrifft sowohl das ID-basierte als auch das rollenbasierte Firefighting.

Sie können Benutzern die Berechtigung zum Ausführen von Firefighting-Aktivitäten geben, indem Sie ihnen Firefighter-IDs (für ID-basiertes Firefighting) oder Firefighter-Rollen (für rollenbasiertes Firefighting) zuordnen. MIt den Funktionen auf dem Bild Firefighter-ID können Sie Firefighter-Zuordnungen bearbeiten.

HinweisDie Firefighter-Benutzerzuordnung kann nicht von mehreren Personen gleichzeitig bearbeitet werden.

Voraussetzungen

Sie haben folgende Schritte ausgeführt:

● Beim rollenbasierten Firefighting haben Sie die Firefighter-Rollen im GRC-System definiert und das Ankreuzfeld Für Firefighting aktivieren auf dem Bild Rolle definieren unter ZugriffsverwaltungRollenverwaltung Rollenbearbeitung markiert.

● Beim ID-basierten Firefighting haben Sie eine Firefighter-ID-Rolle im ERP-System definiert und der Rolle die Remote-Anmeldeberechtigung S_RFC zugeordnet.

Vorgehensweise

1. Wählen Sie Zugriffsverwaltung Notfallzugriffszuordnung Firefighter-IDs .Sie gelangen auf das Bild Firefighter-ID.

2. Wählen Sie Zuordnen.Sie gelangen auf das Bild Zuordnung der Firefighter-Benutzerkennung: Neu.

3. Geben Sie im Feld Firefighter-Kennung die Firefighter-ID oder die Firefighter-Rolle ein.Die Anwendung füllt das Feld System automatisch.

4. Wählen Sie im Feld Gefährlichkeit eine Gefährlichkeitsstufe aus.5. Geben Sie auf der Registerkarte Firefighter-Benutzer die relevanten Informationen in die erforderlichen Felder

ein.Auf dem Bild sind Mussfelder mit einem Asterisk (*) gekennzeichnet.

6. Wählen Sie die Registerkarte Kontrolleur und fügen Sie eine Kontrolleurzuordnung hinzu.

7. Wählen Sie Sichern Schließen .

Anzeigen oder Bearbeiten der Zuordnung einer Firefighter-ID oder -Rolle

1. Markieren Sie auf dem Bild Firefighter-Benutzerkennung eine Zeile und wählen Sie Öffnen.Das Bild Zuordnung der Firefighter-Benutzerkennung zeigt die jeweilige Zuordnung an.

SAP Access ControlVerwendung der Notfallzugriffsverwaltung P U B L I C ( Ö F F E N T L I C H ) 189

2. Um eine Firefighter-ID-Zuordnung hinzuzufügen, wählen Sie Hinzufügen.In der Tabelle wird eine neue Zeile angezeigt.

3. Geben Sie in den Mussfeldern die relevanten Informationen ein.Auf dem Bild sind die Mussfelder mit einem Asterisk (*) gekennzeichnet.

4. Um eine Firefighter-ID-Zuordnung zu entfernen, wählen Sie Entfernen.Die ausgewählte Zuordnung wird gelöscht.

5. Wählen Sie Sichern Schließen .

7.2.2.5 E-Mail-Benachrichtigungen für Notfallzugriffsanmeldungen bearbeiten

Verwendung

Sie können festlegen, dass die Anwendung E-Mail-Benachrichtigungen an Kontrolleure versendet, wenn sich ein Firefighter-Benutzer am System anmeldet, um ID-basiertes Firefighting auszuführen.

Sie können den Text der Benachrichtigungen anpassen. Wenn Sie den Text nicht anpassen, verwendet die Anwendung den Standardtext.

Prozess

Zentral

Für die Szenarien des zentralen Firefighting werden alle Firefighting-Anmeldungen und E-Mail-Benachrichtigungen der Firefighting-Anmeldungen im GRC-System bearbeitet.

Gehen Sie zur Aktivierung der Benachrichtigungen für Firefighting-Anmeldungen wie folgt vor:

1. Öffnen Sie das Customizing (Transaktion SPRO).

2. Navigieren Sie zu Governance, Risk, and Compliance Access Control Konfigurationseinstellungen bearbeiten .

3. Setzen Sie den Parameter 4008 auf Ja.

Gehen Sie zur Anpassung der Benachrichtigungen für Firefighting-Anmeldungen wie folgt vor:

Konfigurieren Sie die folgenden Customizing-Aktivitäten unter Governance, Risk, and Compliance Access Control Workflow für Access Control .

● Benutzerdefinierte Benachrichtigungen bearbeiten● Text für benutzerdefinierte Benachrichtigungen bearbeiten

Dezentral

Für die Szenarien des dezentralen Firefighting werden alle Firefighting-Anmeldungen und E-Mail-Benachrichtigungen der Firefighting-Anmeldungen in jedem einzelnen Plug-In-System bearbeitet. Sie müssen Benutzerkonten für die Kontrolleure und Verantwortlichen in den Plug-In-Systemen anlegen, damit diese Benachrichtigungen erhalten können. Sie nehmen folgende Einstellungen in jedem Plug-In-System vor.

190 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Verwendung der Notfallzugriffsverwaltung

Gehen Sie zur Aktivierung der Benachrichtigungen für Firefighting-Anmeldungen wie folgt vor:

1. Öffnen Sie das Customizing (Transaktion SPRO).

2. Navigieren Sie zu Governance, Risk, and Compliance (Plug-In) Access Control Plug-In-Konfigurationseinstellungen bearbeiten .

3. Setzen Sie den Parameter 4008 auf Ja.

Gehen Sie zur Anpassung der Benachrichtigungen für Firefighting-Anmeldungen wie folgt vor:

Konfigurieren Sie die folgenden Customizing-Aktivitäten unter Governance, Risk, and Compliance (Plug-In)Access Control .

● Benutzerdefinierte Benachrichtigungen für Notfallzugriff bearbeiten (Plug-In)● Text für benutzerdefinierte Benachrichtigungen bearbeiten (Plug-In)

7.2.2.6 Ursachencodes

Verwendung

Wenn sich ein Firefighter-Benutzer über das Launchpad für die Notfallzugriffsverwaltung im System anmeldet, um Firefighter-Aktivitäten durchzuführen, muss er eine Ursache für die Anmeldung angeben, indem er einen der verfügbaren Ursachencodes auswählt.

Um das Bild Ursachencodes zu öffnen, wählen Sie Zugriffsverwaltung NotfallzugriffsbearbeitungUrsachencodes .

Weitere Informationen

Ursachencodes anlegen und bearbeiten [Seite 191]

Systeme zu Ursachencodes zuordnen [Seite 192]

7.2.2.6.1 Ursachencodes anlegen und bearbeiten

Vorgehensweise

Bearbeitung eines vorhandenen Ursachencodes

1. Wählen Sie einen vorhandenen Ursachencode aus und wählen Sie Öffnen.Sie gelangen auf das Bild für den spezifischen Ursachencode.

2. Wählen Sie Hinzufügen, um dem Ursachencode ein System zuzuordnen, oder Entfernen, um ein System aus dem Ursachencode zu entfernen.

SAP Access ControlVerwendung der Notfallzugriffsverwaltung P U B L I C ( Ö F F E N T L I C H ) 191

3. Wählen Sie Sichern Schließen .4. Stellen Sie sicher, dass der Status auf Aktiv gesetzt ist, wenn Sie mit der Verwendung der Zuordnung

beginnen möchten.

Anlegen eines neuen Ursachencodes

1. Um einen neuen Ursachencode anzulegen, wählen Sie auf dem Bild Ursachencode - Alle die Option Anlegen.Sie gelangen auf das Bild Ursachencode Neu.

2. Geben Sie im Feld Ursachencode einen Namen für den neuen Ursachencode ein.3. Wählen Sie im Dropdown-Menü des Felds Status entweder Aktiv oder Inaktiv.4. Geben Sie eine Beschreibung ein.5. Wählen Sie im Bereich System die Option Hinzufügen, um ein oder mehrere Systeme zum neuen

Ursachencode hinzuzufügen.

6. Wählen Sie Sichern Schließen .Sie gelangen auf das Bild Ursachencode - Alle, auf dem der neue Ursachencode in der Liste angezeigt wird.

Weitere Informationen

Systeme zu Ursachencodes zuordnen [Seite 192]

7.2.2.6.2 Systeme zu Ursachencodes zuordnen

Kontext

Sie ordnen Ursachencodes einem oder mehreren Systemen zu. Die Anwendung verfolgt die Ursachencodeverwendung bei jedem System.

Vorgehensweise

1. Wählen Sie Zugriffsverwaltung Notfallzugriffsbearbeitung Ursachencodes .

Sie gelangen auf das Bild Ursachencodes, das eine Liste der vorhandenen Ursachencodes und dazugehörige Felder und Drucktasten anzeigt.

2. Wählen Sie Status, um die vorhandenen Ursachencodes als aktiv oder inaktiv einzustellen.3. Um ein System einem Ursachencode zuzuordnen, wählen Sie einen vorhandenen aktiven Ursachencode aus

oder legen Sie einen neuen an.

192 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Verwendung der Notfallzugriffsverwaltung

Nächste Schritte

Ursachencodes anlegen und bearbeiten [Seite 191]

7.2.3 Rollenbasiertes Firefighting konfigurieren

Verwendung

Der folgende Workflow beschreibt die Vorgehensweise zur Konfiguration des rollenbasierten Firefighting.

Prozess

1. Legen Sie die relevanten Anwendungsrollen für die Notfallzugriffsverwaltung an.Eine Liste der erforderlichen Anwendungsrollen finden Sie unter Rollen anlegen [Seite 175].

2. Stellen Sie die Anwendungsart für das rollenbasierte Firefighting wie folgt ein:

1. Öffnen Sie die Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter Governance, Risk, and Compliance Access Control .

2. Stellen Sie für den Parameter 4000 den Wert 2 für rollenbasiertes Firefighting ein.3. Synchronisieren Sie die Benutzer und Rollen in den Plug-In-Systemen mit dem GRC-System.

Dies können Sie in der Customizing-Aktivität Repository-Objektsynchronisation unter Governance, Risk, and Compliance Access Control Synchronisationsjobs einstellen.

4. Legen Sie in den entsprechenden Plug-In-Systemen Firefighter-Rollen über die Transaktion PFCG oder über die Funktion der Benutzerrollenverwaltung in Access Control an.Weitere Informationen finden Sie unter Rollen definieren [Seite 143].

5. Bearbeiten Sie die folgenden Access-Control-Verantwortlichen in der GRC-Anwendung:○ Firefighter-Rollenverantwortlicher

Firefighter-Rollenverantwortliche sind für die Bearbeitung von Rollen und ihre Zuordnungen zu Firefighter-Benutzern zuständig.

○ Firefighter-RollenkontrolleurFirefighter-Rollenkontrolleure sind für die Prüfung der während der Firefighter-Verwendung generierten Protokollberichte zuständig.

6. Ordnen Sie einer Firefighter-Rolle einen Verantwortlichen zu.Weitere Informationen finden Sie unter Verantwortliche zuordnen [Seite 186].

7. Ordnen Sie einer Firefighter-Rolle einen Kontrolleur zu.Weitere Informationen finden Sie unter Kontrolleure zuordnen [Seite 187].

8. Ordnen Sie einem Benutzer zum Zwecke des Firefighting eine Firefighter-Rolle zu.Weitere Informationen finden Sie unter Firefighter-Benutzer zuordnen [Seite 189].

SAP Access ControlVerwendung der Notfallzugriffsverwaltung P U B L I C ( Ö F F E N T L I C H ) 193

Weitere Informationen

ID-basiertes Firefighting konfigurieren [Seite 182]

7.2.4 Benachrichtigungen für Notfallzugriffsprotokoll konfigurieren

Verwendung

Sie können einstellen, dass die Anwendung E-Mail-Benachrichtigungen versendet, wenn ein Protokoll erstellt wurde. Sie können auch den Text der Benachrichtigungen anpassen. Wenn Sie den Text nicht anpassen, verwendet die Anwendung den Standardtext.

Vorgehensweise

Zentrales Firefighting

Für Szenarien des zentralen Firefighting werden alle E-Mail-Benachrichtigungen im GRC-System bearbeitet.

Gehen Sie zur Aktivierung der Benachrichtigungen für Protokolle wie folgt vor:

1. Öffnen Sie das Customizing (Transaktion SPRO).

2. Navigieren Sie zu Governance, Risk, and Compliance Access Control Konfigurationseinstellungen bearbeiten .

3. Setzen Sie den Parameter 4009 auf Ja.

Gehen Sie zur Anpassung der Benachrichtigungen für Protokolle wie folgt vor:

Konfigurieren Sie die folgenden Customizing-Aktivitäten unter Governance, Risk, and Compliance Access Control Workflow für Access Control .

● Benutzerdefinierte Benachrichtigungen bearbeiten● Text für benutzerdefinierte Benachrichtigungen bearbeiten

Dezentrales Firefighting

Für Szenarien des dezentralen Firefighting werden E-Mail-Benachrichtigungen in jedem einzelnen Plug-In-System bearbeitet. Sie nehmen folgende Konfigurationseinstellungen für jedes einzelne Plug-In-System vor.

Gehen Sie zur Aktivierung der Benachrichtigungen für Protokolle wie folgt vor:

1. Öffnen Sie das Customizing (Transaktion SPRO).

2. Navigieren Sie zu Governance, Risk, and Compliance (Plug-In) Access Control Plug-In-Konfigurationseinstellungen bearbeiten .

3. Setzen Sie den Parameter 4009 auf Ja.

194 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Verwendung der Notfallzugriffsverwaltung

Gehen Sie zur Anpassung der Benachrichtigungen für Protokolle wie folgt vor:

Konfigurieren Sie die folgenden Customizing-Aktivitäten unter Governance, Risk, and Compliance (Plug-In)Access Control .

● Benutzerdefinierte Benachrichtigungen für Notfallzugriff bearbeiten (Plug-In)● Text für benutzerdefinierte Benachrichtigungen bearbeiten (Plug-In)

7.3 Notfallzugriff anfordern

Voraussetzungen

Bevor Sie den Notfallzugriff anfordern, muss Ihr Administrator die Funktionalität für die Notfallzugriffsverwaltung eingerichtet haben. Der Administrator kann Sie darüber informieren, ob Sie ID-basiertes Firefighting oder rollenbasiertes Firefighting verwenden. Weitere Informationen finden Sie unter Systemzugriff zum Ausführen von Firefighting-Aktivitäten [Seite 198].

Kontext

Sie können den Notfallzugriff auf Systeme in Ihrer SAP-Landschaft anfordern, um Firefighting-Aktivitäten auszuführen. Zum Anfordern eines Notfallzugriffs verwenden Sie den allgemeinen Prozess zum Anlegen von Zugriffsanforderungen und geben an, dass Ihnen eine Firefighter-ID oder eine Firefighter-Rolle zugeordnet werden soll.

Weitere Informationen finden Sie unter Zugriffsanforderungen anlegen [Seite 23].

Vorgehensweise

1. Wählen Sie auf der Registerkarte Benutzerzugriff die Option Hinzufügen und wählen Sie einen der folgenden Einträge aus:○ Firefighter-ID○ Firefighter-Rolle

HinweisBeim Anfordern einer Firefighter-ID oder einer Firefighter-Rolle können Sie die Suchergebnisse über System und Aktionscode filtern. Wenn Sie Aktionscode verwenden, müssen Sie auch das System angeben. Bei Anforderungen von Firefighter-IDs und Firefighter-Rollen wird der Verantwortliche in der Spalte Zuordnungsgenehmigender angezeigt.

SAP Access ControlVerwendung der Notfallzugriffsverwaltung P U B L I C ( Ö F F E N T L I C H ) 195

2. Wählen Sie Absenden.

7.4 Zugriffsanforderungen prüfen und genehmigen

Verwendung

Auf dem Bild Zugriffsanforderung können Genehmigende Zugriffsanforderungen prüfen, ablehnen, ändern oder genehmigen.

Prozess

1. Um eine Zugriffsanforderung zu prüfen, führen Sie einen der folgenden Schritte aus:○ Wählen Sie im Arbeitsplatz Meine Startseite die Option Arbeitseingang.

Wählen Sie aus der Liste Workitems eine Zugriffsanforderung, um sie zu öffnen.○ Wählen Sie im Arbeitsplatz Zugriffsverwaltung unter der Menügruppe Zugriffsanforderungsverwaltung die

Option Anforderungen suchen.Suchen Sie nach einer Anforderung und wählen Sie Administrator, um sie zu öffnen und zu prüfen. Weitere Informationen finden Sie unter .

Sie gelangen auf das Bild Zugriffsanforderung, das Anforderer ebenfalls zum Absenden der Anforderung verwenden. Genehmigende können alle vom Anforderer eingegebenen Informationen einsehen. Darüber hinaus sehen Genehmigende zusätzliche Drucktasten und Felder, über die sie die Anforderung prüfen, ablehnen, ändern oder genehmigen können.

HinweisSie können die Drucktasten und Felder konfigurieren, die Genehmigenden angezeigt werden. Sie können z. B. Genehmigenden erlauben, Rollen zu einer Anforderung hinzuzufügen. Weitere Informationen finden Sie unter .

2. Prüfen Sie die Anforderung und führen Sie die erforderlichen Aktionen wie Genehmigen, Ablehnen usw. durch.3. Wählen Sie rechts oben Stufe, um Informationen über die aktuelle Stufe des Genehmigungs-Workflows und

seinen Status anzuzeigen.4. Auf der Registerkarte Risikoüberschreitungen können Sie die Ergebnisse der vom Anforderer ausgeführten

Risikoanalyse anzeigen oder Ihre eigene Risikoanalyse durchführen.

HinweisSie können die Anwendung so konfigurieren, dass Genehmigende vor der Genehmigung von Anforderungen eine Risikoanalyse durchführen müssen. Weitere Informationen finden Sie unter .

5. Wenn Sie die Prüfung der Anforderung beendet haben, wählen Sie Absenden.

196 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Verwendung der Notfallzugriffsverwaltung

7.5 Gültigkeitszeiträume für Firefighter-Zuordnungen verlängern

Verwendung

Berechtigte Personen, wie Verantwortliche von Firefighter-IDs und Administratoren, können die Gültigkeitszeiträume von Firefighter-Zuordnungen verlängern.

Sie können die standardmäßige Gültigkeit (in Tagen) im Parameter 4001 einstellen. Sie bearbeiten den Parameter in der Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter Governance, Risk, and ComplianceAccess Control .

Sie können den Standardgültigkeitszeitraum für jede Zuordnung durch eine manuelle Aktualisierung überschreiben.

Prozess

Zentrales Firefighting

Sie können die Gültigkeitszeiträume in den Bildern für die Zuordnung der Firefighter-ID verlängern:

1. Wählen Sie Notfallzugriffszuordnung Firefighter-IDs .Sie gelangen auf das Bild Firefighter-ID.

2. Wählen Sie eine Zeile aus und wählen Sie Öffnen.Das Bild Zuordnung der Firefighter-ID zeigt die jeweilige Zuordnung an.

3. Wählen Sie eine Zeile aus und aktualisieren Sie die Informationen in den Feldern Gültig von und Gültig bis wie gewünscht.

4. Sichern Sie den Eintrag und schließen Sie das Bild.

Dezentrales Firefighting

Verwenden Sie im Plug-In-System die Customizing-Aktivität (Transaktion SPRO) Gültigkeitszeitraum für Firefighter-Zuordnungen bearbeiten (Plug-In).

1. Öffnen Sie im Plug-In-System die Customizing-Aktivität Gültigkeitszeitraum für Firefighter-Zuordnungen bearbeiten (Plug-In) unter Governance, Risk, and Compliance (Plug-In) Access Control .Sie gelangen in die Tabelle Gültigkeitszeitraum, die die abgelaufenen Zuordnungen, für die Sie eine Anzeigeberechtigung haben, anzeigt.

2. Wählen Sie eine Firefighter-ID oder eine Firefighter-Rolle aus und passen Sie die Gültigkeitszeiträume wie gewünscht an.

3. Sichern Sie Ihre Eingaben.

HinweisDamit Administratoren und Verantwortliche den Gültigkeitszeitraum von Firefighter-Zuordnungen verlängern können, müssen Sie die Rollen in den entsprechenden Plug-In-Systemen anlegen und sie dem Berechtigungsobjekt /GRCPI/001 zuordnen. Geben Sie für die Administratorrolle den Wert 70 oder *

SAP Access ControlVerwendung der Notfallzugriffsverwaltung P U B L I C ( Ö F F E N T L I C H ) 197

(Asterisk) im Feld ACTVT ein. Geben Sie für die Rolle des Verantwortlichen den Wert blank (leer) im Feld ACTVT ein.

Weitere Informationen

Anwendungsarten für Notfallzugriff [Seite 177]

Dezentrales Firefighting [Seite 178]

7.6 Systemzugriff zum Ausführen von Firefighting-Aktivitäten

Verwendung

Dieses Thema erläutert, wie Sie, je nach Konfiguration Ihres Systems, auf das richtige System zugreifen können, um Firefighting-Aktivitäten auszuführen.

Voraussetzungen

Der Administrator hat Ihnen die Berechtigung für den Notfallzugriff erteilt.

Aktivitäten

In der Anwendung können Sie eine der folgenden Methoden verwenden, um auf Systeme zum Zwecke der Ausführung von Firefighting-Aktivitäten zuzugreifen:

HinweisIhr Administrator informiert Sie über die zu verwendende Methode.

● Wenn Ihr Unternehmen ID-basiertes Firefighting verwendet, melden Sie sich über das Launchpad für die Notfallzugriffsverwaltung an den Systemen an.○ Wenn das dezentrale Firefighting aktiviert ist, können Sie sich zum Ausführen der Firefighting-Aktivitäten

in den Plug-In-Systemen anmelden.○ Wenn Ihr Unternehmen zentrales Firefighting verwendet, müssen Sie sich zum Ausführen der

Firefighting-Aktivitäten im GRC-System anmelden.Weitere Informationen finden Sie unter Verwendung des Launchpads für die Notfallzugriffsverwaltung [Seite 199].

198 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Verwendung der Notfallzugriffsverwaltung

● Wenn Ihr Unternehmen rollenbasisertes Firefighting verwendet, können Sie sich direkt in den Systemen anmelden.

Weitere Informationen

Anwendungsarten für Notfallzugriff [Seite 175]

NZV-Terminologie [Seite 174]

Rollen anlegen [Seite 175]

7.6.1 Verwendung des Launchpads für die Notfallzugriffsverwaltung

Kontext

Für ID-basiertes Firefighting können Sie das Launchpad für die Notfallzugriffsverwaltung verwenden, um auf Ihre zugeordneten Firefighter-IDs zuzugreifen. Das Launchpad für die Notfallzugriffsverwaltung steht für das zentrale und das dezentrale Firefighting zur Verfügung. Die im Folgenden beschriebene Funktionalität ist identisch für das zentrale und dezentrale Firefighting, bis auf die folgenden Ausnahmen:

● Für das zentrale Firefighting können Sie die Transaktion GRAC_EAM verwenden, um das Launchpad für die Notfallzugriffsverwaltung im GRC-System zu öffnen.

HinweisDie Transaktion GRAC_SPM steht auch für die Abwärtskompatibilität zur Verfügung.

● Für das dezentrale Firefighting können Sie die Transaktion /GRCPI/GRIA_EAM verwenden, um das Launchpad für die Notfallzugriffsverwaltung in den Plug-In-Systemen zu öffnen.

HinweisFür Szenarien des dezentralen Firefighting müssen Sie die Firefighter-Rolle in den entsprechenden Plug-In-Systemen anlegen, damit der Firefighter-Benutzer das Launchpad für die Notfallzugriffsverwaltung verwenden kann. Ordnen Sie der Rolle die Berechtigungen zur Verwendung der Transaktionen /GRCPI/GRIA_EAM und SU53 zu.

HinweisDas Launchpad für das zentrale Firefighting zeigt alle Plug-In-Systeme an, für die Sie einen Zugriff haben. Das Launchpad für das dezentrale Firefighting zeigt keine Systeme an, da sie darüber nur auf das aktuelle Plug-In-System zugreifen können.

SAP Access ControlVerwendung der Notfallzugriffsverwaltung P U B L I C ( Ö F F E N T L I C H ) 199

Das Launchpad für die Notfallzugriffsverwaltung besteht aus folgenden Elementen:

Tabelle 28:

Element Beschreibung

Firefighter-ID Name der Firefighter-ID, für die Sie eine Berechtigung haben. Sie können über eine oder mehrere Firefighter-IDs verfügen.

Systemname Name des Systems, für das die Firefighter-ID eine Zugriffsberechtigung hat.

HinweisDieses Feld wird nur für das zentrale Firefighting angezeigt.

Firefighter-ID-Verantwortlicher Name des Verantwortlichen der Firefighter-ID.

Status Grün gibt an, dass Sie die Firefighter-ID verwenden können.

Rot gibt an, dass die Firefighter-ID von einem anderen Firefighter-Benutzer verwen­det wird. Sie können den Firefighter über die Taste Nachricht an Firefighter informie­ren.

FF-ID verwendet von Firefighter-Benutzer, der die Firefighter-ID derzeit verwendet.

Beschreibung Beschreibung der Firefighter-ID.

Anmeldung Mit dieser Taste können Sie sich am System anmelden.

Nachricht an Firefighter-Benutzer Mit dieser Taste können Sie eine vordefinierte Nachricht an den Firefighter-Benutzer senden, um ihm mitzuteilen, dass Sie die Firefighter-ID verwenden möchten, sobald er fertig ist.

Zusätzliche Aktivität Nachdem Sie Anmeldung gewählt haben, müssen Sie eine Beschreibung der geplan­ten auszuführenden Aktivitäten eingeben. Wenn Sie zusätzliche Aktivitäten ausfüh­ren mussten, wählen Sie Zusätzliche Aktivitäten, um auf das Bild Ursachencode zu gelangen und geben Sie die zusätzlichen Informationen im Feld Zusätzliche Aktivität ein.

Entsperren Über diese Taste können Sie sich von der Firefighting-Sitzung abmelden und ande­ren Benutzern somit die Verwendung der Firefighter-ID ermöglichen.

Vorgehensweise

1. Geben Sie in SAP GUI die Transaktion GRAC_EAM oder /GRCPI/GRIA_EAM ein, um das Launchpad für die Notfallzugriffsverwaltung zu öffnen.

2. Suchen Sie auf dem Bild für das Launchpad der Notfallzugriffsverwaltung die relevante Firefighter-ID und wählen Sie Anmeldung.

Sie gelangen auf das Bild Ursachencodes.

200 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Verwendung der Notfallzugriffsverwaltung

3. Markieren Sie im Feld Ursachencodes den entsprechenden Ursachencode und geben Sie bei Bedarf zusätzliche Informationen ein.

4. Geben Sie die geplanten auszuführenden Aktionen im Feld ein.5. Wählen Sie Ausführen, um sich anzumelden.

7.7 Notfallzugriffsaktivitäten und -berichte prüfen

Kontext

Der Administrator, Geschäftsprozessverantwortliche und der Kontrolleur brauchen einen formellen Prozess zur Prüfung der Notfallzugriffsaktivitäten, die von Firefighter-Benutzern ausgeführt wurden. Mit folgenden Berichten können sie die Aktivitäten analysieren.

Vorgehensweise

1. Sie prüfen den konsolidierten Protokollbericht, um Probleme zu ermitteln und Lösungen vorzuschlagen.○ – Dies ist der am häufigsten verwendete Bericht. Der Kontrolleur der Firefighter-IDs kann den Bericht per

E-Mail oder über den Workflow erhalten. Aus diesem Bericht geht hervor, welche Firefighter-IDs auf welche Systeme zugreifen und welche Transaktionen im Detail ausgeführt wurden. Gemäß den Anforderungen Ihres Unternehmens, können Sie konfigurieren, wie oft der Bericht bereitgestellt wird, z.B. täglich, wöchentlich usw.

2. Bei Bedarf und entsprechender Berechtigung können der Geschäftsprozessverantwortliche, der Kontrolleur oder der Konformitätsmitarbeiter diese zusätzlichen Berichte erzeugen, um Details zu den Notfallzugriffsaktivitäten zu ermitteln.○ – Dieser Bericht ermittelt die Benutzertypen für Notfallzugriffe, die abgelaufen, gelöscht oder gesperrt

sind, wie Firefighter-IDs, Kontrolleure oder Verantwortliche.○ – Dieser Bericht erfasst Transaktionsdaten aus dem ausgewählten Systemkonnektor für Firefighter-IDs.○ – Dieser Bericht zeigt Daten aus dem ausgewählten Systemkonnektor für jede Firefighter-ID an. Der

Bericht listet die Ursache und Aktivität für jedes Anmeldeereignis auf.○ – Dieser Bericht erfasst Transaktionsdaten aus dem ausgewählten Systemkonnektor für Firefighter-IDs

und Firefighter-Benutzer. Er zeigt die Anzahl und Art der für jede Firefighter-ID und jeden Firefighter-Benutzer verwendeten Transaktionen an.

○ – Dieser Bericht stellt Ihnen die Historie der an Aufgaben zur Funktionstrennungsprüfung durchgeführten Aktionen, einschließlich der Minderungsbestätigungen, zur Verfügung.

SAP Access ControlVerwendung der Notfallzugriffsverwaltung P U B L I C ( Ö F F E N T L I C H ) 201

8 Periodische Zugriffsprüfungen verwalten

Verwendung

Dieser Prozess erläutert, wie Sie periodische Zugriffsprüfungen definieren und anwenden können.

Prozess

1. Richtlinien ermitteln, die periodische Zugriffsprüfungen beeinflussenIn diesem Schritt werden organisatorische Richtlinien, die periodische Zugriffsprüfungen beeinflussen, ermittelt und analysiert, um sicherzustellen, dass die Richtlinienanforderungen beim Definieren des Prüfungsprozesses berücksichtigt werden. Dieser Schritt wird nur für die Erstprüfung sowie für Richtlinien- oder Umgebungsänderungen ausgeführt.

2. Prüfungsprozess definierenDie Parameter des Prüfungsprozesses werden definiert. Beispiele für Parameter sind die Häufigkeit der Prüfung, Prüfer und zu prüfende Benutzer oder Zugriffe. Dieser Schritt wird nur für die Erstprüfung sowie für Richtlinien- oder Umgebungsänderungen ausgeführt.

3. Daten zur Unterstützung des Prüfungsprozesses ermittelnEs können zusätzlich Daten für die Unterstützung des Prüfungsprozesses erforderlich sein. Wenn der Prüfer in der Benutzerzugriffsprüfung z.B. ein Manager ist, müssen Sie eine Datenquelle angeben, aus der die Informationen des Managers extrahiert oder abgerufen werden. Führen Sie diesen Schritt nur für die Erstprüfung sowie für Richtlinien- oder Umgebungsänderungen aus.

4. Prüfungsinformationen vorbereitenSobald alle erforderlichen Daten und Prüfungsattribute definiert sind, müssen die Benutzerzugriffsprüfungen vorbereitet werden, um zur Genehmigung versendet werden zu können.

5. Prüfung ausführenJeder Prüfer führt die Prüfung gemäß den Vorgaben in der Richtlinie aus.

6. Maßnahme, wie angegeben, ausführenAuf der Grundlage der Richtlinienanforderungen können Sie den Zugriff weiterhin genehmigen oder jedem Benutzer den Zugriff entziehen.

7. Prüfungsergebnisse vorhaltenHalten Sie die Ergebnisse der Zugriffsprüfungen für Revisionszwecke vor.

Ergebnis

Ein Prozess für die periodische Zugriffsprüfung wird aufgrund der Richtlinie definiert und angewendet.

202 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Periodische Zugriffsprüfungen verwalten

8.1 Prüfungen der Konformitätszertifizierung

Verwendung

Administratoren können periodische Prüfungen von Benutzerzugriffs- und Zugriffsrisiken einplanen. Während dieser Prüfungen leitet Access Control automatisch Prüfungsanforderungen an festgelegte Manager und Prüfer in einem vordefinierten Workflow weiter, der für das Unternehmen angepasst wurde. Prüfungen der Konformitätszertifizierung ermöglichen es Ihnen, diese periodischen Prüfungen fertigzustellen und so zu gewährleisten, dass Benutzerzugriffs- und Zugriffsrisiken in Ihrer Organisation ordnungsgemäß bearbeitet sind.

Innerhalb von Access Control sind Koordinatoren für die Verifizierung zuständig, dass alle Prüfer (Manager oder Rollenverantwortliche) Prüfungen der Benutzerzugriffs- und Zugriffsrisiken durchführen. Im Rahmen Ihrer Konformitätszertifizierungsprüfungen können Sie Anforderungen prüfen, denen kein Prüfer oder Koordinator zugeordnet ist, und bei Bedarf entsprechende Prüfer und Koordinatoren zuordnen.

Sie können auch Zuordnungen von Koordinatoren zu Prüfern im Rahmen Ihrer Konformitätszertifizierungsprüfungen verwalten. Dazu zählt das Anlegen, Importieren, Ändern und Löschen dieser Zuordnungen bei Bedarf. Darüber hinaus können Sie Ablehnungen verwalten, einschließlich der Suche nach abgelehnten Benutzern, der Generierung von Prüfungsanforderungen und dem Abbrechen von Prüfungsanforderungsgenerierungen (bei nicht fertiggestellten Anforderungen).

Funktionsumfang

Bei der Durchführung von Prüfungen der Konformitätszertifizierung können Sie die folgenden Aufgaben fertigstellen:

● Koordinatoren Prüfern zuordnen● Anforderungen prüfen● Ablehnungen verwalten

Weitere Informationen

Koordinatoren verwalten [Seite 203]

Ablehnungen verwalten [Seite 208]

8.1.1 Koordinatoren verwalten

Verwendung

Im Rahmen Ihrer Prüfung der Konformitätszertifizierung können Sie Prüfern Koordinatoren zuordnen und diese Beziehungen verwalten, um die Überwachung von Benutzerzugriffsprüfungen zu unterstützen. Access Control

SAP Access ControlPeriodische Zugriffsprüfungen verwalten P U B L I C ( Ö F F E N T L I C H ) 203

verwendet die Koordinatoreninformationen für die Prüfung von Funktionstrennungs- und Benutzerzugriffen sowie zur Generierung von Berichten, die Sie bei der Verwaltung des Prüfprozesses verwenden können.

Auf dem Bild Koordinatoren verwalten können Sie die folgenden Aufgaben durchführen:

● Koordinator-Prüfer-Zuordnungen anlegen oder importieren● Vorhandene Koordinator-Prüfer-Zuordnungen suchen und anzeigen● Aktuelle Koordinator-Prüfer-Zuordnungen ändern● Vorhandene Koordinator-Prüfer-Zuordnungen löschen● Koordinator-Prüfer-Zuordnungen in ein Microsoft-Excel-Arbeitsblatt exportieren

Weitere Informationen

Koordinatorzuordnungen anlegen [Seite 204]

Koordinatoren ändern [Seite 205]

Koordinatoren suchen [Seite 206]

8.1.1.1 Koordinatorzuordnungen anlegen

Verwendung

Mit den Funktionen auf dem Bild Koordinatoren verwalten können Sie Koordinatoren manuell Prüfern zuordnen oder mehrere Koordinator-Prüfer-Zuordnungen importieren.

Vorgehensweise

Um Koordinatoren Prüfern zuzuordnen, gehen Sie wie folgt vor:

1. Wählen Sie Zugriffsverwaltung Prüfungen der Konformitätszertifizierung Koordinatoren verwalten . Sie gelangen auf das Bild Koordinatoren verwalten.

2. Wählen Sie Anlegen. Sie gelangen auf das Bild Zuordnung anlegen.3. Geben Sie die Koordinator-ID ein oder wählen Sie sie aus.4. Geben Sie die Prüfer-ID ein oder wählen Sie sie aus.5. Wählen Sie Sichern.6. Wählen Sie Schließen. Die Zuordnung wird in der Tabelle auf dem Bild Koordinatoren verwalten angezeigt.

Um Koordinator-Prüfer-Zuordnungen zu importieren, gehen Sie wie folgt vor:

1. Wählen Sie Zugriffsverwaltung Prüfungen der Konformitätszertifizierung Koordinatoren verwalten . Sie gelangen auf das Bild Koordinatoren verwalten.

2. Wählen Sie Importieren. Sie gelangen auf das Bild Koordinatoren importieren.

204 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Periodische Zugriffsprüfungen verwalten

3. Geben Sie die Datei ein oder wählen Sie sie über das Feld Datei auswählen aus.4. Wählen Sie Sichern.5. Wählen Sie Schließen. Die Zuordnungen werden in der Tabelle auf dem Bild Koordinatoren verwalten

angezeigt.

Weitere Informationen

8.1.1.2 Koordinatoren ändern

Kontext

Auf dem Bild Koordinatoren verwalten können Sie Koordinator-Prüfer-Zuordnungen ändern oder eine Zuordnung löschen.

Vorgehensweise

Um eine Koordinator-Prüfer-Zuordnung zu ändern, gehen Sie wie folgt vor:

1. Wählen Sie Zugriffsverwaltung Prüfungen der Konformitätszertifizierung Koordinatoren verwalten . Sie gelangen auf das Bild Koordinatoren verwalten.

2. Wählen Sie die Zuordnung, die Sie ändern möchten, aus und wählen Sie Öffnen. Sie gelangen auf das Bild Zuordnung ändern.

3. Geben Sie nach Bedarf eine neue Koordinator-ID ein oder wählen Sie sie aus.4. Geben Sie nach Bedarf eine neue Prüfer-ID ein oder wählen Sie sie aus.5. Wählen Sie Sichern.6. Wählen Sie Schließen. Die aktualisierte Zuordnung wird in der Tabelle auf dem Bild Koordinatoren verwalten

angezeigt.Um eine Koordinator-Prüfer-Zuordnung zu löschen, gehen Sie wie folgt vor:

7. Wählen Sie Zugriffsverwaltung Prüfungen der Konformitätszertifizierung Koordinatoren verwalten . Sie gelangen auf das Bild Koordinatoren verwalten.

8. Markieren Sie die Zuordnung, die Sie löschen möchten, und wählen Sie Löschen. Sie gelangen auf ein Bestätigungsdialogfenster.

SAP Access ControlPeriodische Zugriffsprüfungen verwalten P U B L I C ( Ö F F E N T L I C H ) 205

9. Wählen Sie Ja.

Nächste Schritte

8.1.1.3 Koordinatoren suchen

Kontext

Auf dem Bild Koordinatoren verwalten können Sie nach Koordinator-Prüfer-Zuordnungen suchen und die Ergebnisse in ein Microsoft-Excel-Arbeitsblatt exportieren.

Vorgehensweise

1. Wählen Sie Zugriffsverwaltung Prüfungen der Konformitätszertifizierung Koordinatoren verwalten . Sie gelangen auf das Bild Koordinatoren verwalten.

2. Wählen Sie den Link Filter. Oben in der Tabelle wird eine leere Zeile angezeigt.3. Geben Sie in den entsprechenden Spalten geeignete Werte ein und drücken Sie ENTER. Die Tabelle zeigt die

gefilterten Ergebnisse für die von Ihnen eingegebenen Werte an.

4. Um die Ergebnisse in ein Microsoft-Excel-Arbeitsblatt zu exportieren, wählen Sie Exportieren Export nach Microsoft Excel .

Wählen Sie Sichern, navigieren Sie zum gewünschten Ordner und wählen Sie erneut Sichern.

Nächste Schritte

206 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Periodische Zugriffsprüfungen verwalten

8.1.2 Anforderungen prüfen

Voraussetzungen

Vor der Anforderungsprüfung müssen Sie die folgenden Aktivitäten mit dem Hintergrundjob-Scheduler einplanen und ausführen:

● Daten für Zugriffsanforderung für BZP-Prüfung generieren● Daten für Zugriffsanforderung für Funktionstrennungsprüfung generieren

Stellen Sie sicher, dass Sie auch die folgenden Aktivitäten mit dem Hintergrundjob-Scheduler eingeplant haben:

● Workflow für BZP-Anforderung aktualisieren● Workflow für Funktionstrennungsanforderung aktualisieren

Kontext

Sie können mithilfe der Funktionen auf dem Bild Anforderungsprüfung Anforderungen prüfen, einschließlich Benutzerzugriffs- und Zugriffsrisiken. Auf diesem Bild können Sie verifizieren, dass den Anforderungen ein Prüfer oder Koordinator zugeordnet ist, und Prüfer ändern oder Anforderungen abbrechen.

Hinweis

Stellen Sie in der Customizing-Aktivität Konfigurationseinstellungen bearbeiten unter Governance, Risk, and Compliance Access Control sicher, dass der Parameter Benutzerzugriffsprüfung (2007) auf Ja gesetzt ist. Dies legt fest, dass ein Administrator Anforderungen prüfen muss, bevor diese die Prüfer erreichen. Wenn der Parameter auf Nein gesetzt ist, werden Anforderungen direkt an Prüfer (Manager oder Rollenverantwortliche) geleitet.

Vorgehensweise

1. Wählen Sie Zugriffsverwaltung Prüfungen der Konformitätszertifizierung Anforderungsprüfung .

Sie gelangen auf das Bild Anforderungsprüfung.2. Geben Sie die Suchkriterien an.

Gehen Sie wie folgt vor:

1. Wählen Sie aus der Dropdown-Box eine der folgenden Prozessarten aus:○ Workflow zur Benutzerzugriffsprüfung○ Workflow zur Zugriffsrisikoprüfung

2. Wählen Sie aus der Dropdown-Box eine Anforderungsart aus.

SAP Access ControlPeriodische Zugriffsprüfungen verwalten P U B L I C ( Ö F F E N T L I C H ) 207

3. Geben Sie die Benutzer-ID ein oder wählen Sie sie aus.4. Geben Sie die Prüfer-ID ein oder wählen Sie sie aus.5. Geben Sie die Koordinator-ID ein oder wählen Sie sie aus.

Wenn Sie keinen Koordinator angeben möchten, markieren Sie das Ankreuzfeld Kein Koordinator.6. Geben Sie in den entsprechenden Feldern das Datum von/bis ein oder wählen Sie es aus.7. Geben Sie die Job-ID ein.8. Geben Sie im Feld Maximale Suchanzahl die maximale Anzahl der Ergebnisse an.

3. Wählen Sie Suchen. Das System zeigt die Suchergebnisse in der Tabelle Zuordnungen an.4. Um Prüfer zu ändern, wählen Sie eine Zuordnung aus und wählen Sie Überprüfer ändern. Sie gelangen auf das

Dialogfenster Überprüfer zuordnen.

Wählen Sie aus der Liste Verfügbar einen weiteren Prüfer und Koordinator aus und verschieben Sie den Eintrag über die Drucktaste mit dem Rechtspfeil in die Liste Ausgewählt. Wählen Sie nach der Zuordnung der Prüfer OK.

5. Um eine Anforderung abzubrechen, wählen Sie eine Zuordnung aus und wählen Sie Anforderung abbrechen.

Sie gelangen auf ein Bestätigungsdialogfenster. Wählen Sie Ja, um die Benutzer für die erneute Generierung der Anforderung als abgelehnt zu markieren.

Nächste Schritte

Prüfungen der Konformitätszertifizierung [Seite 203]

Koordinatoren verwalten [Seite 203]

Ablehnungen verwalten [Seite 208]

Hintergrundjob-Scheduler [Seite 31]

8.1.3 Ablehnungen verwalten

Kontext

Mit den Funktionen auf dem Bild Ablehnungen verwalten können Sie Ablehnungen verwalten, einschließlich der Suche nach abgelehnten Benutzern, der Generierung von Prüfungsanforderungen und des Abbruchs von Prüfungsanforderungsgenerierungen (bei nicht fertiggestellten Anforderungen).

HinweisNach der Verwaltung von Ablehnungen planen Sie die Aktivität Erzeugt neue Anforderung für abgelehnte BZP-Anforderung mit dem Hintergrundjob-Scheduler ein und führen sie aus.

208 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Periodische Zugriffsprüfungen verwalten

Vorgehensweise

1. Wählen Sie Zugriffsverwaltung Prüfungen der Konformitätszertifizierung Ablehnungen verwalten .

Sie gelangen auf das Bild Ablehnungen verwalten.2. Geben Sie die Suchkriterien an.

Gehen Sie wie folgt vor:

1. Geben Sie das geeignete Startdatum und Enddatum ein oder wählen Sie es aus.2. Wählen Sie in der entsprechenden Dropdown-Box einen der folgenden Status aus:

○ Neu – Der Prüfer sendet Anforderungen ab.○ Fehler – Im Hintergrundjob der Generierung ist ein Fehler aufgetreten.○ Zu generieren – Der Benutzer ist für die Neugenerierung markiert, aber der Hintergrundjob der

Generierung wurde nicht gestartet. Sie können Generierung abbrechen wählen, um die Anforderungsgenerierung abzubrechen.

○ In Bearbeitung – Der Hintergrundjob für die Generierung wurde gestartet, aber nicht fertiggestellt. Anforderungen mit diesem Status können Sie nicht abbrechen, da der Hintergrundjob gestartet wurde.

○ Fertiggestellt – Der Hintergrundjob der Generierung wurde fertiggestellt. Die neue Anforderungsnummer wird aktualisiert.

3. Wählen Sie aus der entsprechenden Dropdown-Box eine Ursache aus.4. Wählen Sie aus der entsprechenden Dropdown-Box eine Prozessart aus.

3. Wählen Sie Suchen. Das System zeigt die Suchergebnisse in der Tabelle an.4. Um eine Anforderung zu generieren, wählen Sie eine Ablehnung in der Tabelle aus und wählen Sie

Anforderungen generieren.

Bevor Sie Anforderungen für abgelehnte Benutzer generieren, stellen Sie sicher, dass die Benutzer über die richtigen Prüferinformationen verfügen. Dies verhindert, dass falsche Informationen erneut in den Anforderungszyklus gelangen. Wenn die Prüferinformationen z. B. in einer LDAP-Datenquelle gespeichert sind und nicht stimmen, müssen Sie die Informationen in der LDAP-Datenquelle aktualisieren, sodass neue Anforderungen mit dem richtigen Prüfernamen generiert werden.

HinweisWenn Sie mehrere Anforderungen für die Generierung auswählen und einige Anforderungen nach dem Benutzer und andere nach dem Rollen- oder Risikoverantwortlichen gruppiert sind, kombiniert das System die Anforderungen bei der Generierung nicht.

BeispielIm vorliegenden Fall ist eine Anforderung nach dem Risiko- oder Rollenverantwortlichen und nach dem Manager gruppiert:

○ Nach dem Risiko- oder Rollenverantwortlichen gruppierte Anforderung:○ Risiko1 Benutzer1○ Risiko2 Benutzer1

○ Nach dem Manager gruppierte Anforderung:○ Benutzer1 Rolle1○ Benutzer2 Rolle2

SAP Access ControlPeriodische Zugriffsprüfungen verwalten P U B L I C ( Ö F F E N T L I C H ) 209

Wenn Sie in diesem Fall die vier Anforderungen für die Generierung (mit Gruppierung nach Manager) auswählen, können Sie die folgenden Ergebnisse erwarten:

○ Nach dem Risiko- oder Rollenverantwortlichen gruppierte Anforderung:○ Risiko1 Benutzer1 – 5 ist die neue Anforderungsnummer.○ Risiko2 Benutzer1 – 5 ist die Anforderungsnummer.

○ Nach dem Manager gruppierte Anforderung:○ Benutzer1 Rolle1 – 6 ist die Anforderungsnummer.○ Benutzer2 Rolle2 – 7 ist die Anforderungsnummer.

5. Um eine Anforderung abzubrechen, wählen Sie eine Ablehnung in der Tabelle aus und wählen Sie Generierung abbrechen.

Sie können Generierungen nur bei Ablehnungen mit dem Status Zu generieren abbrechen. Wenn der Anforderungsstatus In Bearbeitung lautet, hat der Hintergrundjob begonnen, und die Anforderung kann nicht abgebrochen werden.

6. Um die Ergebnisse in ein Microsoft-Excel-Arbeitsblatt zu exportieren, wählen Sie Exportieren Export nach Microsoft Excel .

Wählen Sie Sichern, navigieren Sie zum gewünschten Ordner und wählen Sie erneut Sichern.

Nächste Schritte

Prüfungen der Konformitätszertifizierung [Seite 203]

Koordinatoren verwalten [Seite 203]

Anforderungen prüfen [Seite 207]

8.2 Alarme

Verwendung

Wenn ein Benutzer kritische oder in Konflikt stehende Aktionen durchführt, kann das System einen Eskalationsalarm an die zuständigen Mitarbeiter senden. Mit der Funktion Alarme können Sie In Konflikt stehende und kritische Zugriffsalarme und Alarme zu Mindernden Kontrollen entsprechend überwachen.

Im Einzelnen haben Sie die folgenden Möglichkeiten:

● Alarme für die Anzeige suchen und filtern● Alarme zurücksetzen● Zurückgesetzte Alarme suchen und filtern

210 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Periodische Zugriffsprüfungen verwalten

Weitere Informationen

Alarme suchen [Seite 129]

Zurückgesetzte Alarme [Seite 130]

Alarme zurücksetzen [Seite 131]

Zurückgesetzte Alarme suchen [Seite 132]

8.2.1 Alarme suchen

Kontext

Sie können nach den folgenden Arten von Alarmen suchen:

● In Konflikt stehende und kritische Zugriffsalarme● Mindernde Kontrollen

Vorgehensweise

1. Wählen Sie Zugriffsverwaltung Zugriffsalarme In Konflikt stehende und kritische Zugriffsalarme oder Zugriffsverwaltung Zugriffsalarme Mindernde Kontrollen .

Sie gelangen auf das Bild In Konflikt stehende und kritische Zugriffsalarme oder Alarme zu mindernden Kontrollen.

2. Geben Sie die Suchkriterien an.1. Wählen Sie in der ersten Auswahlliste den Objekttyp aus.

Bei In Konflikt stehende und kritische Zugriffsalarme stehen die folgenden Objekttypen zur Auswahl:○ Geschäftsprozess○ System○ Datum/Uhrzeit der Ausführung○ Zugriffsrisiko-ID○ Risikostufe○ Risikoverantwortlicher○ Risikoart○ Benutzer-ID○ Datum/Uhrzeit des Alarms

Bei Alarme zu mindernden Kontrollen stehen die folgenden Objekttypen zur Auswahl:○ Aktion○ System

SAP Access ControlPeriodische Zugriffsprüfungen verwalten P U B L I C ( Ö F F E N T L I C H ) 211

○ Kontroll-ID○ Datum/Uhrzeit der Ausführung○ Benutzer-ID○ Datum/Uhrzeit des Alarms

2. Wählen Sie in der zweiten Dropdown-Box einen der folgenden Operatoren aus:○ ist○ ist nicht○ beginnt mit○ enthält○ ist zwischen○ Mehrfachselektionen

3. Geben Sie im dritten Feld den Suchwert ein oder wählen Sie ihn aus.4. Fügen Sie optional über die Drucktaste mit dem Pluszeichen (+) eine Zeile zu den Suchkriterien hinzu und

füllen Sie die Felder. Entfernen Sie alternativ eine Zeile aus den Suchkriterien über die entsprechende Drucktaste mit dem Minuszeichen (-).

3. Wählen Sie Suchen.

Das System zeigt die Suchergebnisse in der Tabelle an.4. Sichern Sie optional die Suchkriterien als Variante, indem Sie im Feld Variante sichern unter einen Namen

eingeben und Sichern wählen.

Nächste Schritte

Alarme [Seite 128]

Zurückgesetzte Alarme [Seite 130]

Alarme zurücksetzen [Seite 131]

Zurückgesetzte Alarme suchen [Seite 132]

8.2.2 Zurückgesetzte Alarme

Verwendung

Nachdem eine Alarmnachricht ausgegeben und zurückgesetzt oder gelöscht wurde, bleibt sie als archivierter Datensatz erhalten. Sie können diese Alarme auf der Registerkarte Zurückgesetzte Alarme der Bilder In Konflikt stehende und kritische Zugriffsalarme und Mindernde Kontrollen nachverfolgen und überwachen.

Weitere Informationen

Alarme [Seite 128]

212 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Periodische Zugriffsprüfungen verwalten

Alarme suchen [Seite 129]

Alarme zurücksetzen [Seite 131]

Zurückgesetzte Alarme suchen [Seite 132]

8.2.2.1 Alarme zurücksetzen

Kontext

Sie können die folgenden Arten von Alarmen bei Bedarf zurücksetzen:

● In Konflikt stehende und kritische Zugriffsalarme● Mindernde Kontrollen

Vorgehensweise

1. Wählen Sie Zugriffsverwaltung Zugriffsalarme In Konflikt stehende und kritische Zugriffsalarme oder Zugriffsverwaltung Zugriffsalarme Mindernde Kontrollen .

Sie gelangen auf das Bild In Konflikt stehende und kritische Zugriffsalarme oder Alarme zu mindernden Kontrollen.

2. Geben Sie die Suchkriterien an.3. Wählen Sie Suchen.

Das System zeigt die Suchergebnisse in der Tabelle an.4. Wählen Sie den zurückzusetzenden Alarm aus, indem Sie das Ankreuzfeld links markieren, und wählen Sie

Alarm zurücksetzen.

Der Dialog Alarm zurücksetzen wird angezeigt.5. Geben Sie eine Ursache für das Zurücksetzen des Alarms ein und wählen Sie OK.

Der Alarm wird zurückgesetzt. Zurückgesetzte Alarme können Sie auf der Registerkarte Zurückgesetzte Alarme anzeigen. Weitere Informationen finden Sie unter .

Nächste Schritte

Alarme [Seite 128]

Alarme suchen [Seite 129]

Zurückgesetzte Alarme [Seite 130]

SAP Access ControlPeriodische Zugriffsprüfungen verwalten P U B L I C ( Ö F F E N T L I C H ) 213

Zurückgesetzte Alarme suchen [Seite 132]

8.2.2.2 Zurückgesetzte Alarme suchen

Kontext

Sie können nach den folgenden Arten von zurückgesetzten Alarmen suchen:

● In Konflikt stehende und kritische Zugriffsalarme● Mindernde Kontrollen

Vorgehensweise

1. Wählen Sie Zugriffsverwaltung Zugriffsalarme In Konflikt stehende und kritische Zugriffsalarme oder Zugriffsverwaltung Zugriffsalarme Mindernde Kontrollen .

Sie gelangen auf das Bild In Konflikt stehende und kritische Zugriffsalarme oder Alarme zu mindernden Kontrollen.

2. Wählen Sie die Registerkarte Zurückgesetzte Alarme.3. Geben Sie die Suchkriterien an.

1. Wählen Sie in der ersten Auswahlliste den Objekttyp aus.Bei In Konflikt stehende und kritische Zugriffsalarme stehen die folgenden Objekttypen zur Auswahl:○ Geschäftsprozess○ System○ Datum/Uhrzeit der Ausführung○ Zugriffsrisiko-ID○ Risikostufe○ Risikoverantwortlicher○ Risikoart○ Benutzer-ID○ Datum/Uhrzeit des Alarms

Bei Alarme zu mindernden Kontrollen stehen die folgenden Objekttypen zur Auswahl:○ Aktion○ System○ Kontroll-ID○ Datum/Uhrzeit der Ausführung○ Benutzer-ID○ Datum/Uhrzeit des Alarms

214 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Periodische Zugriffsprüfungen verwalten

2. Wählen Sie in der zweiten Dropdown-Box einen der folgenden Operatoren aus:○ ist○ ist nicht○ beginnt mit○ enthält○ ist zwischen○ Mehrfachselektionen

3. Geben Sie im dritten Feld den Suchwert ein oder wählen Sie ihn aus.4. Fügen Sie optional über die Drucktaste mit dem Pluszeichen (+) eine Zeile zu den Suchkriterien hinzu und

füllen Sie die Felder. Entfernen Sie alternativ eine Zeile aus den Suchkriterien über die entsprechende Drucktaste mit dem Minuszeichen (-).

4. Wählen Sie Suchen.

Das System zeigt die Suchergebnisse in der Tabelle an.5. Sichern Sie optional die Suchkriterien als Variante, indem Sie im Feld Variante sichern unter einen Namen

eingeben und Sichern wählen.6. Um die Ursache für die Zurücksetzung eines Alarms anzuzeigen, wählen Sie beim entsprechenden Alarm im

Feld Ursache den Link Kommentare.

Der Dialog Alarm zurücksetzen mit der Ursache wird angezeigt. Wählen Sie Abbrechen, um den Dialog zu beenden.

Nächste Schritte

Alarme [Seite 128]

Alarme suchen [Seite 129]

Zurückgesetzte Alarme [Seite 130]

Alarme zurücksetzen [Seite 131]

SAP Access ControlPeriodische Zugriffsprüfungen verwalten P U B L I C ( Ö F F E N T L I C H ) 215

9 Berichte und Analysen

Der Arbeitsplatz Berichte und Analysen bietet einen zentralen Punkt zum Anzeigen von Berichten und Dashboards für Access-Control-Informationen, wie z. B. Alarme, Benutzeranalysen, Revisionsberichte usw.

HinweisDer Arbeitsplatz Berichte und Analysen wird von den Produkten Access Control, Process Control und Risk Management in der GRC-Anwendung gemeinsam genutzt. Die auf dem Bild verfügbaren Menügruppen und Quick Links hängen von den Anwendungen ab, für die Sie Nutzungsrechte erworben haben. Dieses Thema behandelt die für Access Control spezifischen Funktionen.

Tabelle 29:

Kategorie Beschreibung

Zugriffs-Dashboards Dashboards für Zugriffsrisikoanalyse, Benutzerrollenverwal­tung und Benutzerzugriffsverwaltung

Berichte der Zugriffsrisikoanalyse Berichte zur Zugriffsrisikoanalyse, einschließlich Benutzerrisi­koüberschreitungen, Rollenrisikoüberschreitungen, Profilrisi­koüberschreitungen und HR-Objekt-Risikoüberschreitungen

Zugriffsanforderungsberichte Berichte zu Zugriffsanforderungen, einschließlich des Service­grads für Anforderungen und Anforderungen mit Konflikten und Minderung

Rollenverwaltungsberichte Berichte zur Rollenverwaltung, einschließlich Beziehungen zwischen Benutzer und Rolle und Beziehungen zwischen Stammrolle und abgeleiteter Rolle

Sicherheitsberichte Berichte zur Sicherheit von Benutzer, Rolle und Profil

Revisionsberichte Revisionsbezogene Berichte, einschließlich Aktionen in Rollen (aber nicht in Regeln) und Berechtigungen in Rollen (aber nicht in Regeln)

Berichte der Notfallzugriffsverwaltung Berichte zu Superuser-Aktivitäten, einschließlich der ungülti­gen Superuser und konsolidierten Protokolle

9.1 Zugriffs-Dashboards

In Access Control stehen folgende Dashboards zur Verfügung:

● Dashboard zur Rollendefinition und -zuordnung für Zugriff [Seite 218]

216 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

Dieses Dashboard zeigt die Anzahl der Rollen an, die zu einzelnen Anforderungen zugeordnet oder von diesen entfernt wurden. Die Anzeige ist nach Rollenaktion gruppiert. In einer anderen Sicht zeigt dieses Dashboard die Gesamtanzahl der verarbeiteten Benutzer, gruppiert nach Benutzeraktion, an.

● Dashboard für Zugriffsanforderungen [Seite 219]Dieses Dashboard zeigt die Zugriffsanforderungen nach Status und Art an. Dabei verwendet es verschiedene Filterkriterien, wie Datum, System und Priorität.

●Dieses Dashboard zeigt Sichten von Regeln nach Risikostufe und Geschäftsprozess an. Sie können die Ergebnisse nach verschiedenen Kriterien, wie Aktion und Berechtigung, gruppieren.

● Dashboard für Alarme [Seite 220]Dieses Dashboard zeigt Alarme nach Monat und Funktionstrennungsalarme nach Prozess an.

● Dashboard für Bibliothek der mindernden Kontrollen [Seite 221]Dieses Dashboard zeigt Kontrollen nach Risikostufe und Kontrollen nach Prozess an.

● Dashboard für Risikoüberschreitungen [Seite 222]Dieses Dashboard zeigt die Anzahl der Zugriffsrisikoüberschreitungen nach Rolle, Benutzer oder Profil für alle Systeme oder für ein ausgewähltes System an. Es zeigt die Gesamtanzahl der analysierten Benutzer und der Überschreitungen an.

● Dashboard zur Rollenanalyse [Seite 224]Dieses Dashboard zeigt die Anzahl der Risikominderungen auf Rollenebene für Rollen mit und ohne Risikoüberschreitungen an. Sie werden nach Schweregrad der Überschreitungen angezeigt. Es zeigt ebenfalls einen Aufriss der Funktionstrennungsüberschreitungen auf Rollen- und Benutzerebene für das ausgewählte System in Form eines Balkendiagramms an.

● Dashboard der Rollenbibliothek [Seite 225]Dieses Dashboard zeigt alle Rollen in Ihrer Anwendung an. Es zeigt die Gesamtanzahl der Rollen und die Anzahl der Rollen mit Überschreitungen an.

● Dashboard für Servicegrad für Zugriffsanforderungen [Seite 226]Dieses Dashboard zeigt die Anzahl der Anforderungen nach Monat/Jahr und die Anzahl der Servicegradüberschreitungen an.

● Dashboard zur Benutzeranalyse [Seite 227]Dieses Dashboard zeigt die Anzahl der Benutzer mit Risikominderungen oder Risikoüberschreitungen nach Schweregrad an. Es zeigt ebenfalls einen Aufriss der Anzahl der Benutzer mit kritischen Aktionen und kritischen Rollenprofilen an.

● Dashboard für Überschreitungsvergleiche [Seite 228]Dieses Dashboard zeigt die Risikoüberschreitungen pro Quartal oder Monat sowie den prozentualen Schwachstellenbehebungsfortschritt hinsichtlich der Funktionstrennung für jede Analyseart ab einem bestimmten Datum an.

● Dashboard für Risikoüberschreitung in Zugriffsanforderung [Seite 229]Dieses Dashboard zeigt die Zugriffsrisikoüberschreitungen, gruppiert nach Überschreitungen und Minderung, an. Es zeigt ebenfalls Details zu den Zugriffsrisikoüberschreitungen an.

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 217

9.1.1 Dashboard zur Rollendefinition und -zuordnung für Zugriff

Verwendung

Das Dashboard zur Rollendefinition und -zuordnung für Zugriffe verfügt über zwei Ansichten:

● Zuordnung zugeordnet oder entferntDieses Dashboard zeigt die Anzahl der Rollen an, die zu einzelnen Anforderungen zugeordnet oder von diesen entfernt wurden. Die Anzeige ist nach Rollenaktion gruppiert.

● Verarbeitete BenutzerDieses Dashboard zeigt die Gesamtanzahl der verarbeiteten Benutzer, gruppiert nach Benutzeraktion, an.

Sie können die Ergebnisse nach folgenden Kriterien filtern:

● Startdatum● Bis-Datum● System

Das Dashboard zeigt nur Systeme an, für die Sie eine Anzeigeberechtigung besitzen.● Genehmigender● Mitarbeitertyp● Ort● Prozessart

Klicken Sie auf das Balkendiagramm, um detaillierte Informationen anzuzeigen. Über Drucken können Sie eine PDF-Datei anlegen und über Export können Sie die detaillierten Ergebnisse der Anforderungen, bei denen Rollen zugeordnet oder entfernt wurden, herunterladen.

Aufrissfunktion

Nach dem Drilldown zeigt die Anwendung nur Objekte an, für die Sie eine Anzeigeberechtigung haben. Auf dem Hauptbild des Dashboards können Sie z.B. die Summen für das gesamte Unternehmen sehen, während Sie im Aufriss ggf. nur die Summen für Nordamerika sehen, wenn Sie nur die Berechtigung für Nordamerika haben.

HinweisZur Anzeige von Zugriffsanforderungsdaten in diesem Bericht müssen Sie einer Rolle zugeordnet sein, die die Anzeigeberechtigung für Zugriffsanforderungsobjekte hat.

Weitere Informationen

218 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

9.1.2 Dashboard für Zugriffsanforderungen

Verwendung

Das Dashboard für Zugriffsanforderungen zeigt Zugriffsanforderungen nach Status und Art unter Verwendung folgender Filterkriterien an:

● Startdatum/Bis-Datum● System

Das Dashboard zeigt nur Systeme an, für die Sie eine Anzeigeberechtigung besitzen.● Prozessart● Priorität● Funktionsbereich● Anforderungsart● Status

Das Kreisdiagramm gliedert die Anforderungen in folgende Kategorien:

● Genehmigt● Abgebrochen● Entscheidung steht aus● Abgelehnt

Aufrissfunktion

Sie können detaillierte Informationen anzeigen, indem Sie einen bestimmten Bereich des Kreisdiagramms anklicken. Im Aufriss zeigt die Anwendung nur Objekte an, für die Sie eine Anzeigeberechtigung haben. Auf dem Hauptbild des Dashboards sehen Sie z.B. die Summen für das gesamte Unternehmen, während Sie im Aufriss ggf. nur die Summen für Nordamerika sehen können, wenn Sie nur die Berechtigung für Nordamerika haben.

HinweisZur Anzeige von Zugriffsanforderungsdaten in diesem Bericht müssen Sie einer Rolle zugeordnet sein, die die Anzeigeberechtigung für Zugriffsanforderungsobjekte hat.

Weitere Informationen

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 219

9.1.3 Dashboard der Zugriffsregelbibliothek

Verwendung

Das Dashboard der Zugriffsregelbibliothek zeigt Sichten von Regeln nach Risikostufe und Geschäftsprozess an. Sie können die Ergebnisse nach folgenden Kriterien gruppieren:

● Aktion● Berechtigung● Kritische Aktion● Kritische Berechtigung● Zugriffsrisiko

Dieses Dashboard zeigt auch die Anzahl der aktiven Risiken, der deaktivierten Risiken und der Funktionen an.

Klicken Sie auf das Kreisdiagramm oder das Balkendiagramm, um detaillierte Informationen anzuzeigen. Über Export können Sie die Details herunterladen.

Aufrissfunktion

Wenn Sie einen bestimmten Bereich im Kreis- oder Balkendiagramm anklicken, können Sie detaillierte Informationen anzeigen. Im Aufriss zeigt die Anwendung nur Objekte an, für die Sie eine Berechtigung haben. Auf dem Hauptbild des Dashboards sehen Sie z.B. die Summen für das gesamte Unternehmen, während Sie im Aufriss ggf. nur die Summen für Nordamerika sehen können, wenn Sie nur die Berechtigung für Nordamerika haben.

Weitere Informationen

9.1.4 Dashboard für Alarme

Verwendung

Das Dashboard für Alarme verfügt über zwei Ansichten:

● Alarme nach MonatDieses Dashboard zeigt ein Liniendiagramm an, das die Anzahl der über den von Ihnen angegebenen Zeitraum generierten Alarme anzeigt. Sie können folgende Alarmarten anzeigen: Alle, Minderung oder Funktionstrennung. Sie können einen Drilldown auf den Kreisen durchführen, um die Alarmdetails für bestimmte Punkte auf der Linie anzuzeigen.

● Funktionstrennungsalarme nach ProzessDieses Dashboard zeigt die Gesamtanzahl der nicht zurückgesetzten Funktionstrennungsalarme nach Geschäftsprozess in Form einer Tabelle und eines Balkendiagramms an. Die Ergebnisse werden nach Zeitraum und Alarmart gefiltert. Sie können die Tabelle oder das Balkendiagramm anklicken, um Details zum Bericht anzuzeigen.

220 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

Über Drucken können Sie eine PDF-Datei der detaillierten Ergebnisse erzeugen und über Export können Sie die Ergebnisse in ein Microsoft Excel-Arbeitsblatt herunterladen.

Aufrissfunktion

Sie können detaillierte Informationen anzeigen, indem Sie einen bestimmten Bereich des Linien- oder Balkendiagramms oder der Tabelle anklicken. Nach dem Drilldown zeigt die Anwendung nur Objekte an, für die Sie eine Anzeigeberechtigung haben. Auf dem Hauptbild des Dashboards können Sie z.B. die Summen für das gesamte Unternehmen sehen, während Sie im Aufriss ggf. nur die Summen für Nordamerika sehen, wenn Sie nur die Berechtigung für Nordamerika haben.

Weitere Informationen

9.1.5 Dashboard für Bibliothek der mindernden Kontrollen

Verwendung

Das Dashboard für die Bibliothek der mindernden Kontrollen verfügt über zwei Ansichten:

● Kontrollen nach RisikostufeDieses Dashboard zeigt die Gesamtanzahl der Kontrollen nach den Risikostufen Kritisch, Hoch, Mittel und Niedrig an. Es zeigt ebenfalls die Anzahl der aktiven und inaktiven Kontrollen an. Sie können alle Organisationen oder eine bestimmte Organisation anzeigen. Klicken Sie auf einen Teil des Kreisdiagramms, um Details anzuzeigen.

● Kontrollen nach ProzessDieses Dashboard zeigt die Gesamtanzahl der Kontrollen nach Geschäftsprozess an. Klicken Sie auf einen Bereich im Balkendiagramm, um die Details jedes Geschäftsprozesses anzuzeigen.

Über Drucken können Sie eine PDF-Datei der detaillierten Ergebnisse erzeugen und über Export können Sie die Ergebnisse in ein Microsoft Excel-Arbeitsblatt herunterladen.

Aufrissfunktion

Sie können detaillierte Informationen anzeigen, indem Sie das Kreis- oder Balkendiagramm oder die Tabelle anklicken. Nach dem Drilldown zeigt die Anwendung nur Objekte an, für die Sie eine Anzeigeberechtigung haben. Auf dem Hauptbild des Dashboards können Sie z.B. die Summen für das gesamte Unternehmen sehen, während Sie im Aufriss ggf. nur die Summen für Nordamerika sehen, wenn Sie nur die Berechtigung für Nordamerika haben.

Weitere Informationen

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 221

9.1.6 Dashboard für Risikoüberschreitungen

Verwendung

Das Dashboard für Risikoüberschreitungen zeigt die Anzahl der Zugriffsrisikoüberschreitungen nach Rolle, Benutzer oder Profil für alle Systeme oder für ein ausgewähltes System an. Es zeigt die Gesamtanzahl der analysierten Benutzer und der Überschreitungen an.

Das Dashboard für Risikoüberschreitungen zeigt Überschreitungen von Zugriffsrisiken anhand folgender Filterkriterien an:

● Jahr/Monat● System

Sie sehen nur Systeme, für die Sie eine Berechtigung haben.● Analyseart● Benutzergruppe● Überschreitungsanzahl nach

Die untere Hälfte des Dashboards für Risikoüberschreitungen zeigt Risikoüberschreitungen nach Geschäftsprozess an.

Funktionsumfang

Risikoanalyse aus Bericht ausführen

Mit einem Klick auf das Kreisdiagramm, die Legende oder das Balkendiagramm können Sie Detailinformationen anzeigen.

1. Wählen Sie ein Diagramm oder die Legende aus.2. Analysieren Sie die Detailinformationen.

HinweisNach dem Drilldown zeigt die Anwendung nur Objekte an, für die Sie eine Anzeigeberechtigung haben. Auf dem Hauptbild des Dashboards können Sie z.B. die Summen für das gesamte Unternehmen sehen, während Sie im Aufriss ggf. nur die Summen für Nordamerika sehen.

3. Bei Bedarf können Sie Risikoanalyse ausführen wählen. Das System erstellt den Bericht Risikoüberschreitungen.

4. Sie können wählen, ob Sie den Bericht Im Vordergrund ausführen oder Im Hintergrund ausführen möchten. Wenn Sie die Option Im Hintergrund ausführen wählen, gelangen Sie auf das Bild Hintergrundjob-Scheduler, in dem Sie Ihre Planung vornehmen können.

Hinweis

Um den Status der Hintergrundjobs anzuzeigen, navigieren Sie zu Zugriffsverwaltung EinplanungHintergrundjobs .

222 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

5. Entscheiden Sie, ob Sie die Aufgaben in Echtzeit (Realtime) oder Offline ausführen möchten.6. Sie gelangen auf die Detailsicht zur Schwachstellenbehebung, in der Sie eine mindernde Kontrolle in der

Spalte Risiko-ID oder in der Spalte Regel-ID zuordnen bzw. eine Rolle aus der Spalte Regel-ID entfernen können.

Weitere Informationen

Sicht zur Schwachstellenbehebung [Seite 223]

9.1.6.1 Ansicht zur Schwachstellenbehebung

Voraussetzungen

Sie müssen Ihre Parameter bereits ausgewählt haben und die Option Risikoanalyse ausführen aus dem ersten Bericht heraus ausführen, um die Details der Sicht zur Schwachstellenbehebung anzuzeigen. Sie können folgendermaßen auf diese Funktionalität zugreifen:

● Sie können die Ansicht zur Schwachstellenbehebung über den Arbeitsplatz Berichte und AnalysenZugriffs-Dashboards im Dashboard für Risikoüberschreitungen [Seite 222] und im Dashboard zur Benutzeranalyse [Seite 227] aufrufen.

● Sie können die Ansicht zur Schwachstellenbehebung über Zugriffsverwaltung ZugriffsrisikoanalyseZugriffsrisikoanalyse auf Benutzerebene [Seite 99] aufrufen.

Hinweis

Um den Status der Hintergrundjobs anzuzeigen, navigieren Sie zu Zugriffsverwaltung EinplanungHintergrundjobs .

Kontext

Die Ansicht zur Schwachstellenbehebung stellt Zugriffsrisikoüberschreitungen grafisch dar und ermöglicht Benutzern, eine fundierte Entscheidung zu treffen. Sie können eine Maßnahme zur Schwachstellenbehebung direkt anhand der Ergebnisse der Zugriffsrisikoanalyse auf Benutzerebene ergreifen. Sie können einen Workflow zur Aktualisierung der Zuordnungen der Benutzer- oder Rollenberechtigungen und der Gültigkeitstermine und zur Risikominderung auf Zugriffsebene initiieren.

Die Art des angezeigten Berichts (Schwachstellenbehebungs-, betriebswirtschaftliche, technische Sicht) auf dem Dashboard hängt von dem Standardwert, den Ihre Systemadministration ausgewählt hat, ab. Diese Einstellung

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 223

wird im Customizing (Transaktion SPRO) unter SAP Customizing Einführungsleitfaden Governance, Risk, and Compliance Access Control Konfigurationseinstellungen bearbeiten vorgenommen. Der entsprechende Parameter lautet 1050 (Standardberichtsansicht für Risikoanalyse). Sie können die Ansicht auch auf dem Bild Risikoanalyse: Benutzerebene ändern.

Vorgehensweise

1. Analysieren Sie den Bericht. Für weitere Informationen wählen Sie Einträge in den Spalten Benutzer, Risiko, Regel-ID und Zugriff aus. Es wird ein Sidepanel mit den entsprechenden Detailinformationen eingeblendet.

2. Entscheiden Sie, wie Sie das Risiko mindern möchten. In der Sicht zur Schwachstellenbehebung können Sie:○ Eine Mindernde Kontrolle in der Spalte Risiko (zur Anwendung auf alle Rollen) oder in der Spalte Regel-ID

(für eine Regel) zuordnen. Wählen Sie das Symbol zur Minderung aus, um auf das Bild Mindernde Kontrollen zuordnen zu gelangen.

EmpfehlungWeitere Informationen finden Sie unter Risiken mindern [Seite 41].

○ Eine Rolle in der Spalte Zugriff entfernen. Wählen Sie das Symbol für die Minderung aus, um diese Funktionalität auszuführen.

EmpfehlungWeitere Informationen finden Sie unter Rollenbearbeitung [Seite 141].

3. Nachdem Sie Ihre Aktionen ausgeführt haben, reflektieren entsprechende Symbole den Status.○ Grün gibt an, dass die Aktion abgeschlossen ist.○ Gelb gibt an, dass sie in Bearbeitung ist.○ Rot gibt an, dass es ein Problem gibt.

9.1.7 Dashboard zur Rollenanalyse

Verwendung

Das Dashboard zur Rollenanalyse verfügt über zwei Ansichten:

● FunktionstrennungDieses Dashboard zeigt die Anzahl der Risikominderungen auf Rollenebene für Rollen mit und ohne Risikoüberschreitungen an. Sie werden nach Schweregrad der Überschreitungen angezeigt. Für die angegebenen Filter zeigt das Dashboard auch Folgendes an:○ Anzahl der analysierten Benutzer○ Benutzer ohne Überschreitungen○ Benutzer mit Überschreitungen

224 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

Sie können die Ergebnisse nach folgenden Kriterien filtern:○ Jahr/Monat○ System

Es werden nur Systeme angezeigt, für die Sie eine Berechtigung haben.○ Analyseart○ Anzahl der Überschreitungen nach Zugriffsrisiko oder Berechtigung

Das Dashboard generiert ein Kreisdiagramm mit folgenden Bestandteilen: Kritisch, Hoch, Mittel, Keine Überschreitungen und Risikominderung auf Rollenebene.Wenn Sie auf die Bereiche des Kreisdiagramms klicken, können Sie Details zu den analysierten Rollen anzeigen.

● Zugriffsrisikoüberschreitungen nach Rolle und BenutzerDas Dashboard zeigt einen Aufriss der Funktionstrennungsüberschreitungen auf Rollen- und Benutzerebene für das ausgewählte System in Form eines Balkendiagramms an. Klicken Sie zum Anzeigen von Details auf das Balkendiagramm.

Über Drucken können Sie eine PDF-Datei der detaillierten Ergebnisse erzeugen und über Export können Sie die Ergebnisse in ein Microsoft Excel-Arbeitsblatt herunterladen.

Aufrissfunktion

Wenn Sie einen bestimmten Bereich im Kreis- oder Balkendiagramm anklicken, können Sie detaillierte Informationen anzeigen. Im Aufriss zeigt die Anwendung nur Objekte an, für die Sie eine Berechtigung haben. Auf dem Hauptbild des Dashboards können Sie z.B. die Summen für das gesamte Unternehmen sehen, während Sie im Aufriss ggf. nur die Summen für Nordamerika sehen, wenn Sie nur die Berechtigung für Nordamerika haben.

Weitere Informationen

9.1.8 Dashboard der Rollenbibliothek

Verwendung

Das Dashboard der Rollenbibliothek zeigt alle Rollen in Ihrer Anwendung an. Es zeigt die Gesamtanzahl der Rollen und die Anzahl der Rollen mit Überschreitungen an. Es stehen zwei Ansichten zur Verfügung:

● Unternehmensrollen gruppiert nach Rollenart● Rollen gruppiert nach Geschäftsprozess

Sie können die Ergebnisse nach folgenden Kriterien filtern:

● Systemart● Systemlandschaft● Rollenverantwortlicher

Klicken Sie auf das Kreisdiagramm, das Balkendiagramm oder die Tabelle um detaillierte Informationen anzuzeigen.

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 225

Aufrissfunktion

Wenn Sie einen bestimmten Bereich im Kreis- oder Balkendiagramm anklicken, können Sie detaillierte Informationen anzeigen. Im Aufriss zeigt die Anwendung nur Objekte an, für die Sie eine Berechtigung haben. Auf dem Hauptbild des Dashboards sehen Sie z.B. die Summen für das gesamte Unternehmen, während Sie im Aufriss ggf. nur die Summen für Nordamerika sehen können, wenn Sie nur die Berechtigung für Nordamerika haben.

Weitere Informationen

9.1.9 Dashboard für Servicegrad für Zugriffsanforderungen

Verwendung

Das Dashboard für Servicegrad für Zugriffsanforderungen verfügt über zwei Ansichten:

● Anforderungszahl nach Monat/Jahr● Servicegradüberschreitung

Sie können folgende Kriterien zum Filtern Ihrer Ergebnisse verwenden:

● Datum● System

Das Dashboard zeigt nur Systeme an, für die Sie eine Anzeigeberechtigung besitzen.● Anforderungsart● Prozessart● Priorität● Funktionsbereich● SLA

Beide Dashboards zeigen die Ergebnisse in Form eines Liniendiagramms an. Klicken Sie auf den Anfang oder das Ende der Linie, um detaillierte Ergebnisse nach Anforderungsnummer anzuzeigen.

HinweisÜber Drucken können Sie eine PDF-Datei der detaillierten Details erzeugen und über Export können Sie die Ergebnisse in ein Microsoft Excel-Arbeitsblatt herunterladen.

Aufrissfunktion

Wenn Sie den Anfang oder das Ende der Linie im Diagramm anklicken, können Sie detaillierte Informationen anzeigen. Im Aufriss zeigt die Anwendung nur Objekte an, für die Sie eine Berechtigung haben. Auf dem Hauptbild des Dashboards können Sie z.B. die Summen für das gesamte Unternehmen sehen, während Sie im Aufriss ggf. nur die Summen für Nordamerika sehen, wenn Sie nur die Berechtigung für Nordamerika haben.

226 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

HinweisZur Anzeige von Zugriffsanforderungsdaten in diesem Bericht müssen Sie einer Rolle zugeordnet sein, die die Anzeigeberechtigung für Zugriffsanforderungsobjekte hat.

Weitere Informationen

9.1.10 Dashboard zur Benutzeranalyse

Verwendung

Das Dashboard zur Benutzeranalyse verfügt über zwei Ansichten:

● FunktionstrennungDieses Dashboard zeigt die Anzahl der Benutzer mit Riskominderungen oder Risikoüberschreitungen nach Schweregrad an.Darüber hinaus zeigt es die Anzahl analysierter Benutzer, Benutzer ohne Überschreitungen und Benutzer mit Überschreitungen an.

● Kritische Aktionen und RollenDieses Dashboard zeigt einen Aufriss der Anzahl der Benutzer mit kritischen Aktions- und Rollenprofilen an.

Sie können die Ergebnisse nach folgenden Kriterien filtern:

● Jahr/Monat● System

Das Dashboard zeigt nur Systeme an, für die Sie eine Anzeigeberechtigung besitzen.● Benutzergruppe● Überschreitungsanzahl nach

Klicken Sie auf das Kreisdiagramm, die Legende oder das Balkendiagramm, um einen Drilldown in die Sicht der Schwachstellenbehebung auszuführen. Über Drucken können Sie eine PDF-Datei anlegen und über Export können Sie die detaillierten Ergebnisse herunterladen.

Funktionsumfang

Risikoanalyse aus Bericht ausführen

Mit einem Klick auf das Kreisdiagramm, die Legende oder das Balkendiagramm können Sie Detailinformationen anzeigen.

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 227

1. Wählen Sie ein Diagramm oder die Legende aus.2. Analysieren Sie die Detailinformationen.

HinweisNach dem Drilldown zeigt die Anwendung nur Objekte an, für die Sie eine Anzeigeberechtigung haben. Auf dem Hauptbild des Dashboards können Sie z.B. die Summen für das gesamte Unternehmen sehen, während Sie im Aufriss ggf. nur die Summen für Nordamerika sehen.

3. Bei Bedarf können Sie Risikoanalyse ausführen wählen. Das System erstellt den Bericht Risikoüberschreitungen.

4. Sie können wählen, ob Sie den Bericht Im Vordergrund ausführen oder Im Hintergrund ausführen möchten. Wenn Sie die Option Im Hintergrund ausführen wählen, gelangen Sie auf das Bild Hintergrundjob-Scheduler, in dem Sie Ihre Planung vornehmen können.

Hinweis

Um den Status der Hintergrundjobs anzuzeigen, navigieren Sie zu Zugriffsverwaltung EinplanungHintergrundjobs .

5. Entscheiden Sie, ob Sie die Aufgaben in Echtzeit (Realtime) oder Offline ausführen möchten.6. Sie gelangen auf die Detailsicht zur Schwachstellenbehebung, in der Sie eine mindernde Kontrolle in der

Spalte Risiko-ID oder in der Spalte Regel-ID zuordnen bzw. eine Rolle aus der Spalte Regel-ID entfernen können.

Weitere Informationen

Sicht zur Schwachstellenbehebung [Seite 223]

9.1.11 Dashboard für Überschreitungsvergleiche

Verwendung

Das Dashboard für Überschreitungsvergleiche verfügt über zwei Ansichten:

● Vierteljährlicher/monatlicher VergleichDieses Dashboard zeigt vierteljährliche oder monatliche Risikoüberschreitungen, gefiltert nach folgenden Auswahlkriterien, an:○ Kalendertyp○ Von/Bis-Datum○ System

Sie sehen nur Systeme, für die Sie eine Berechtigung haben.○ Analyseart

228 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

○ Anzahl der Überschreitungen nach Zugriffsrisiko oder BerechtigungAufrissfunktionAn ausgewählten Punkten des Liniendiagramms können Sie einen Drilldown ausführen, um die Details der Risikoüberschreitungen für einen bestimmten Zeitpunkt anzuzeigen.Sie können den Drilldown ausführen, indem Sie einen bestimmten Bereich des Liniendiagramms anklicken. Im Aufriss zeigt die Anwendung nur Objekte an, für die Sie eine Berechtigung haben. Auf dem Hauptbild des Dashboards können Sie z.B. die Summen für das gesamte Unternehmen sehen, während Sie im Aufriss ggf. nur die Summen für Nordamerika sehen, wenn Sie nur die Berechtigung für Nordamerika haben.Über Drucken können Sie eine PDF-Datei der detaillierten Ergebnisse erzeugen und über Export können Sie die Ergebnisse in ein Arbeitsblatt herunterladen.

● Fortschritt bei der FehlerbehebungDieses Dashboard zeigt den prozentualen Fortschritt bei der Fehlerbehebung von Funktionstrennungen für jede Analyseart ab einem bestimmten Datum an.

Weitere Informationen

9.1.12 Dashboard für Risikoüberschreitung in Zugriffsanforderung

Verwendung

Das Dashboard für Risikoüberschreitungen in Zugriffsanforderungen verfügt über zwei Ansichten:

● Zugriffsrisikoüberschreitungen, die nach Überschreitungen und Minderung gruppiert sind● Details zur Zugriffsrisikoüberschreitung

Sie können die Ergebnisse nach folgenden Kriterien filtern:

● Startdatum● Enddatum● System

Sie sehen nur Systeme, für die Sie eine Berechtigung haben.● Anforderungsart● Priorität● Funktionsbereich● Workflow-Typ

Die untere Hälfte des Dashboards zeigt Risikoüberschreitungen nach Gefährlichkeit an: Kritisch, Hoch, Mittel und Niedrig. Klicken Sie auf das Kreisdiagramm, die Tabelle oder das Balkendiagramm, um detaillierte Informationen anzuzeigen.

Über Druckversion können Sie eine PDF-Datei der detaillierten Ergebnisse erzeugen und über Export können Sie die Ergebnisse in ein Microsoft Excel-Arbeitsblatt herunterladen.

Aufrissfunktion

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 229

Nach dem Drilldown zeigt die Anwendung nur Objekte an, für die Sie eine Anzeigeberechtigung haben. Auf dem Hauptbild des Dashboards können Sie z.B. die Summen für das gesamte Unternehmen sehen, während Sie im Aufriss ggf. nur die Summen für Nordamerika sehen, wenn Sie nur die Berechtigung für Nordamerika haben.

HinweisZur Anzeige von Zugriffsanforderungsdaten in diesem Bericht müssen Sie einer Rolle zugeordnet sein, die die Anzeigeberechtigung für Zugriffsanforderungsobjekte hat.

Weitere Informationen

9.2 Berichte der Zugriffsrisikoanalyse

In Access Control stehen folgende Risikoanalyseberichte zur Verfügung:

● Zugriffsregelübersicht [Seite 77]● Zugriffsregeldetails [Seite 78]● Bericht der mindernden Kontrollen [Seite 234]● Risikoüberschreitungsbericht für Benutzer [Seite 238]● Risikoüberschreitungsbericht für Rollen [Seite 236]● Risikoüberschreitungsbericht für Profile [Seite 235]● Risikoüberschreitungsbericht für HR-Objekte [Seite 233]● Bericht der Risikominderung auf Objektebene [Seite 232]

9.2.1 Bericht der Zugriffsregelübersicht

Verwendung

Der Bericht listet Risiken und in Konflikt stehende Funktionen für alle Risikoarten auf.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● Zugriffsrisiko-ID● Beschreibung des Zugriffsrisikos● Geschäftsprozess-ID● Regelwerk

230 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Ergebnismengen exportieren können Sie die Daten herunterladen und über Druckversion können Sie eine PDF-Datei anlegen.

Reportdetails

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

Weitere Informationen

9.2.2 Bericht für Zugriffsregeldetails

Verwendung

Dieser Bericht listet Risiken, Funktionen, Transaktionscodes und zugehörige Berechtigungsdetails für alle Risikoarten auf.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● SystemDer Bericht zeigt nur Systeme an, für die Sie eine Anzeigeberechtigung besitzen.

● Benutzer-ID● Benutzergruppe● Gültig bis

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Ergebnismengen exportieren können Sie die Daten herunterladen und über Druckversion können Sie eine PDF-Datei anlegen.

Reportdetails

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 231

Weitere Informationen

9.2.3 Bericht der Risikominderung auf Objektebene

Verwendung

Dieser Bericht zeigt alle Risikominderungen auf Ebene der Benutzer, Rollen, Profile, Benutzerorganisationen, Rollenorganisationen und HR-Objekte mit den zugehörigen mindernden Kontrollen an.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● ID der mindernden Kontrolle● Zugriffsregel-ID● System

Der Bericht zeigt nur Systeme an, für die Sie eine Anzeigeberechtigung besitzen.● Genehmigender● Benutzergruppe● Benutzer-ID● Monitor-ID● Organisations-ID● Zugriffsrisiko-ID● Risikostufe● Status● Mindernde Kontrolle gültig von● Mindernde Kontrolle gültig bis

Zusätzlich können Sie den Bericht für eines der folgenden Kriterien ausführen:

● Benutzer● Rolle● Profil● Benutzerorganisation● Rollenorganisation● HR-Objekt

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Ergebnismengen exportieren können Sie die Daten herunterladen.

232 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

Reportdetails – Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

Weitere Informationen

9.2.4 Risikoüberschreitungsbericht für HR-Objekte

Verwendung

Dieser Bericht listet alle Risikoüberschreitungen für ausgewählte HR-Objekte auf. Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● SystemDer Bericht zeigt nur Systeme an, für die Sie eine Anzeigeberechtigung besitzen.

● Analyseart● Objektart● Objekt-ID● Risikostufe● Regelwerk

Der Bericht enthält folgende Optionen:

Tabelle 30:

Option Auswahlmöglichkeiten

Format ● Zusammenfassung● Detail● Kurzzusammenfassung● Kurzfassung

Sicht ● Technisch● Betriebswirtschaftlich

Art Zugriffsrisikoanalyse

● Aktionsebene● Kritische Aktion● Kritische Rolle/kritisches Profil● Berechtigungsebene● Kritische Berechtigung

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 233

Option Auswahlmöglichkeiten

Zusätzliche Kriterien ● Geminderte Risiken einschließen● Alle Objekte anzeigen

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Ergebnismengen exportieren können Sie die Daten herunterladen, über Druckversion können Sie eine PDF-Datei anlegen und über Risiko mindern können Sie ausgewählten Objekten mindernde Kontrollen zuordnen.

Reportdetails – Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

Weitere Informationen

9.2.5 Bericht der mindernden Kontrollen

Verwendung

Dieser Bericht listet alle mindernden Kontrollen mit Kontrolldetails und Beschreibungen auf.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● ID der mindernden Kontrolle● Kurzbeschreibung● Zugriffsrisiko-ID● Organisations-ID

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Ergebnismengen exportieren können Sie die Daten herunterladen und über Druckversion können Sie eine PDF-Datei anlegen.

234 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

Reportdetails – Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

Weitere Informationen

9.2.6 Risikoüberschreitungsbericht für Profile

Verwendung

Dieser Bericht listet alle Risikoüberschreitungen für ausgewählte Profile auf. Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● SystemDer Bericht zeigt nur Systeme an, für die Sie eine Anzeigeberechtigung besitzen.

● Profil● Risiken nach Prozess● Zugriffsrisiko-ID● Risikostufe● Regelwerk

Der Bericht enthält folgende Optionen:

Tabelle 31:

Option Auswahlmöglichkeiten

Format ● Zusammenfassung● Detail● Kurzzusammenfassung● Kurzfassung

Sicht ● Technisch● Betriebswirtschaftlich

Art Zugriffsrisikoanalyse

● Aktionsebene● Kritische Aktion● Kritische Rolle/kritisches Profil● Berechtigungsebene● Kritische Berechtigung

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 235

Option Auswahlmöglichkeiten

Zusätzliche Kriterien ● Geminderte Risiken einschließen● Alle Objekte anzeigen

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Ergebnismengen exportieren können Sie die Daten herunterladen, über Druckversion können Sie eine PDF-Datei anlegen und über Risiko mindern können Sie ausgewählten Objekten mindernde Kontrollen zuordnen.

Reportdetails – Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

Weitere Informationen

9.2.7 Risikoüberschreitungsbericht für Rollen

Verwendung

Dieser Bericht listet alle Risikoüberschreitungen für ausgewählte Rollen auf. Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● SystemDer Bericht zeigt nur Systeme an, für die Sie eine Anzeigeberechtigung besitzen.

● Profil● Risiken nach Prozess● Zugriffsrisiko-ID● Risikostufe● Regelwerk

236 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

Der Bericht enthält folgende Optionen:

Tabelle 32:

Option Auswahlmöglichkeiten

Format ● Zusammenfassung● Detail● Kurzzusammenfassung● Kurzfassung

Sicht ● Technisch● Geschäftlich

Art Zugriffsrisikoanalyse

● Aktionsebene● Kritische Aktion● Kritische Rolle/kritisches Profil● Berechtigungsebene● Kritische Berechtigung

Zusätzliche Kriterien ● Geminderte Risiken einschließen● Alle Objekte anzeigen

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Ergebnismengen exportieren können Sie die Daten herunterladen, über Druckversion können Sie eine PDF-Datei anlegen und über Risiko mindern können Sie ausgewählten Objekten mindernde Kontrollen zuordnen.

Reportdetails

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

Weitere Informationen

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 237

9.2.8 Risikoüberschreitungsbericht für Benutzer

Verwendung

Dieser Bericht listet alle Risikoüberschreitungen für ausgewählte Benutzer auf. Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● SystemDer Bericht zeigt nur Systeme an, für die Sie eine Anzeigeberechtigung besitzen.

● Benutzer● Benutzergruppe● Zugriffsrisiko-ID● Benutzerdefinierte Gruppe● Risikostufe● Regelwerk

Der Bericht enthält folgende Optionen:

Tabelle 33:

Option Auswahlmöglichkeiten

Format ● Zusammenfassung● Detail● Kurzzusammenfassung● Kurzfassung

Sicht ● Schwachstellenbehebung

HinweisMit dieser Option können Sie eine mindernde Kon­trolle direkt aus dem Bericht heraus zuordnen oder eine Rolle entfernen oder einschränken.

● Technisch● Geschäftlich

Art Zugriffsrisikoanalyse

● Aktionsebene● Kritische Aktion● Kritische Rolle/kritisches Profil● Berechtigungsebene● Kritische Berechtigung

Zusätzliche Kriterien ● Geminderte Risiken einschließen● Alle Objekte anzeigen

238 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Ergebnismengen exportieren können Sie die Daten herunterladen, über Druckversion können Sie eine PDF-Datei anlegen und über Risiko mindern können Sie ausgewählten Objekten mindernde Kontrollen zuordnen.

Reportdetails

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. In den Ergebnissen des Berichts können Sie z.B. nur die für Nordamerika relevanten Daten sehen, wenn Sie nur dafür eine Berechtigung haben.

Weitere Informationen

9.3 Zugriffsanforderungsberichte

In Access Control stehen folgende Zugriffsanforderungsberichte zur Verfügung:

● Bericht zur Genehmigendenvertretung [Seite 240]Mit diesem Bericht können Sie bestimmte Vertretungen, gefiltert nach z.B. Für Benutzer-ID delegiert und An Benutzer-ID delegiert, suchen.

● Anforderungen nach PD-/strukturellen Profilen [Seite 240]Mit diesem Bericht können Sie nach Anforderungen suchen, indem Sie PD-Profile festlegen.

● Bericht zu Anforderungen nach Rollen und Rollenzuordnungsgenehmigenden [Seite 241]Dieser Bericht listet Anforderungen nach Rollen und Rollengenehmigenden auf.

● Bericht zu Anforderungen mit Konflikten und Minderungen [Seite 242]Dieser Bericht listet Anforderungen mit geminderten und nicht geminderten Konflikten auf.

● Bericht zu Servicegrad für Anforderungen [Seite 243]Dieser Bericht listet Anforderungen nach Servicegrad auf.

● Historienbericht zur Funktionstrennungsprüfung [Seite 244]Dieser Bericht stellt Ihnen die Historie der an Aufgaben zur Funktionstrennungsprüfung durchgeführten Aktionen einschließlich der Minderungsbestätigungen zur Verfügung.Bericht zur Historie der Benutzerzugriffsprüfung [Seite 245]Dieser Bericht stellt die Historie der Anforderungen für Benutzerzugriffsprüfungen und der dafür ausgeführten Aktionen bereit.

● Statusbericht der Benutzerprüfung [Seite 246]Dieser Bericht listet den Anforderungsstatus für Funktionstrennungsprüfungen und Benutzerzugriffsprüfungen auf.

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 239

9.3.1 Bericht zur Genehmigendenvertretung

Mit diesem Bericht können Sie nach konfigurierten Vertretungen suchen.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● Für Benutzer-ID delegiert● An Benutzer-ID delegiert● Startdatum● Enddatum● Status

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Export können Sie die Daten herunterladen.

9.3.2 Anforderungen nach PD-/strukturellen Profilen

Verwendung

Mit diesem Bericht können Sie nach Anforderungen suchen, indem Sie PD-Profile festlegen.

Zur Ausführung des Berichts können Sie Werte für jedes der folgenden Filterkriterien angeben:

● Prozessart● Erstellungsdatum● Status● System

Der Bericht zeigt nur Systeme an, für die Sie eine Anzeigeberechtigung besitzen.● PD-Profilname● Beschreibung

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Export können Sie die Daten herunterladen.

Reportdetails

240 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

HinweisZur Anzeige von Zugriffsanforderungsdaten in diesem Bericht müssen Sie einer Rolle zugeordnet sein, die die Anzeigeberechtigung für Zugriffsanforderungsobjekte hat.

Weitere Informationen

9.3.3 Bericht zu Anforderungen nach Rollen und Rollenzuordnungsgenehmigenden

Verwendung

Dieser Bericht listet Anforderungen nach Rollen und Rollengenehmigenden auf.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● Prozessart● Erstellungsdatum● Rollenname● Status● Genehmigender

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Export können Sie die Daten herunterladen.

Reportdetails

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 241

HinweisZur Anzeige von Zugriffsanforderungsdaten in diesem Bericht müssen Sie einer Rolle zugeordnet sein, die die Anzeigeberechtigung für Zugriffsanforderungsobjekte hat.

Weitere Informationen

9.3.4 Bericht zu Anforderungen mit Konflikten und Minderungen

Verwendung

Dieser Bericht listet Anforderungen mit geminderten und nicht geminderten Konflikten auf.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● Berichtsname● System

Sie sehen nur Systeme, für die Sie eine Berechtigung haben.● Prozessart● Anforderungsnummer● Erstellungsdatum● Anforderer● Status● Risiko-ID● Genehmigender● Kontrollen mindern

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen.

Über Export können Sie die Daten herunterladen.

Reportdetails

242 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

HinweisZur Anzeige von Zugriffsanforderungsdaten in diesem Bericht müssen Sie einer Rolle zugeordnet sein, die die Anzeigeberechtigung für Zugriffsanforderungsobjekte hat.

Weitere Informationen

9.3.5 Bericht zu Servicegrad für Anforderungen

Verwendung

Dieser Bericht listet Anforderungen nach Servicegrad auf.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● Prozessart● Nur Anforderungen anzeigen, die den Servicegrad überschreiten● Service Level Agreement● Anforderungsnummer● Erstellungsdatum● Anforderer● Status● Genehmigender

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Ergebnismenge exportieren können Sie die Daten herunterladen.

Reportdetails

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 243

HinweisZur Anzeige von Zugriffsanforderungsdaten in diesem Bericht müssen Sie einer Rolle zugeordnet sein, die die Anzeigeberechtigung für Zugriffsanforderungsobjekte hat.

Weitere Informationen

9.3.6 Funktionstrennungsprüfung:Historienbericht

Verwendung

Dieser Bericht stellt Ihnen die Historie der an Aufgaben zur Funktionstrennungsprüfung durchgeführten Aktionen einschließlich der Minderungsbestätigungen zur Verfügung.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● Anforderungsnummer● Erstellungsdatum● Eskaliert● Benutzer-ID● Status● Risiko-ID● System

Sie sehen nur Systeme, für die Sie eine Berechtigung haben.● Prüfer-ID● Koordinator-ID● Aktion

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Export können Sie die Daten herunterladen.

Reportdetails

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

244 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

HinweisZur Anzeige von Zugriffsanforderungsdaten in diesem Bericht müssen Sie einer Rolle zugeordnet sein, die die Anzeigeberechtigung für Zugriffsanforderungsobjekte hat.

Weitere Informationen

9.3.7 Bericht zur Historie der Benutzerzugriffsprüfung

Verwendung

Dieser Bericht stellt die Historie der Anforderungen für Benutzerzugriffsprüfungen und der dafür ausgeführten Aktionen bereit.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● Anforderungsnummer● Erstellungsdatum● Eskaliert● Benutzer-ID● Status● System

Der Bericht zeigt nur Systeme an, für die Sie eine Anzeigeberechtigung besitzen.● Prüfer-ID● Koordinator-ID● Hintergrundjob-ID● Aktion

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Export können Sie die Daten herunterladen.

Reportdetails

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 245

HinweisZur Anzeige von Zugriffsanforderungsdaten in diesem Bericht müssen Sie einer Rolle zugeordnet sein, die die Anzeigeberechtigung für Zugriffsanforderungsobjekte hat.

Weitere Informationen

9.3.8 Statusbericht der Benutzerprüfung

Verwendung

Dieser Bericht listet den Anforderungsstatus für Funktionstrennungsprüfungen und Benutzerzugriffsprüfungen auf.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● Prozessart● Anforderungsnummer● Erstellungsdatum● Eskaliert● Benutzer-ID● Status● Prüfer-ID● Koordinator-ID

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Ergebnismengen exportieren können Sie die Daten herunterladen.

Reportdetails

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

246 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

HinweisZur Anzeige von Zugriffsanforderungsdaten in diesem Bericht müssen Sie einer Rolle zugeordnet sein, die die Anzeigeberechtigung für Zugriffsanforderungsobjekte hat.

Weitere Informationen

9.4 Rollenverwaltungsberichte

In Access Control stehen folgende Rollenverwaltungsberichte zur Verfügung:

● Bericht zum Vergleich der Aktion in Menü und Berechtigung [Seite 248]Dieser Bericht vergleicht die Aktionen im Rollenmenü mit den Berechtigungen, um Diskrepanzen zu ermitteln.

● Bericht zum Vergleich von Benutzerrollen [Seite 248]Dieser Bericht vergleicht Rollen, die zwei Benutzer-IDs oder Personalnummern für SAP-Systeme zugeordnet wurden.

● Bericht zum Auflisten von Aktionen in Rollen [Seite 249]Dieser Bericht listet alle Aktionen, die in bestimmten Rollen vorkommen, auf.

● Bericht zur Beziehung zwischen Stammrolle und abgeleiteter Rolle [Seite 250]Dieser Bericht listet die Beziehung zwischen der Stammrolle und den abgeleiteten Rollen, einschließlich der Organisationsebene, auf der die Ableitung vorgenommen wird, auf.

● Bericht zur PFCG-Änderungshistorie [Seite 251]Dieser Bericht zeigt die Änderungsbelege für die Rollenverwaltung für ein bestimmtes System an.

● Bericht zu Rollen nach Generierungsdatum [Seite 252]In diesem Bericht werden Rollen nach ihrem Generierungsdatum aufgelistet.

● Bericht zu Beziehung von Einzel- zu Sammelrolle [Seite 253]In diesem Bericht wird die Beziehung zwischen Einzel- und Sammelrollen aufgelistet.

● Bericht zu Beziehung zwischen Benutzer und Rolle [Seite 253]Dieser Bericht listet die Benutzer und ihre zugeordneten Rollen auf.

● Bericht zu Rollenbeziehung mit Benutzer/Benutzergruppe [Seite 254]Dieser Bericht listet die den Benutzern und Benutzergruppen zugeordneten Rollen auf.

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 247

9.4.1 Bericht zum Vergleich der Aktion in Menü und Berechtigung

Verwendung

Dieser Bericht vergleicht die Aktionen im Rollenmenü mit den Berechtigungen, um Diskrepanzen zu ermitteln.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● Anwendungstyp● Landschaft● Rollenname● Rollenart

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Ergebnismengen exportieren können Sie die Daten herunterladen.

Reportdetails

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

Weitere Informationen

9.4.2 Bericht zum Vergleich von Benutzerrollen

Verwendung

Dieser Bericht vergleicht Rollen, die zwei Benutzer-IDs oder Personalnummern für SAP-Systeme zugeordnet wurden.

Zur Ausführung des Berichts müssen Sie Werte für jedes der folgenden Filterkriterien angeben:

● SystemDer Bericht zeigt nur Systeme an, für die Sie eine Anzeigeberechtigung besitzen.

● Quelltyp

248 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

● Quellwert● Zieltyp● Zielwert

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Ergebnismengen exportieren können Sie die Daten herunterladen.

Reportdetails

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

Weitere Informationen

9.4.3 Bericht zum Auflisten von Aktionen in Rollen

Verwendung

Dieser Bericht listet alle in Rollen vorkommenden Aktionen auf.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● Anwendungsart● Landschaft● Rollenname● Rollenart

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen.

Reportdetails

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 249

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

Weitere Informationen

9.4.4 Bericht zur Beziehung zwischen Stammrolle und abgeleiteter Rolle

Verwendung

Dieser Bericht listet die Beziehung zwischen der Stammrolle und den abgeleiteten Rollen, einschließlich der Organisationsebene, auf der die Ableitung vorgenommen wird, auf. Dieser Bericht ist nützlich, wenn Sie Stammrollen und abgeleitete Rollen prüfen.

HinweisDer Bericht zeigt die Daten basierend auf der Berechtigung der Stammrolle und nicht auf der Berechtigung der Abgeleiteten Rolle an.

Geben Sie zur Ausführung des Berichts Werte für jedes der folgenden Filterkriterien an:

● SystemDer Bericht zeigt nur Systeme an, für die Sie eine Anzeigeberechtigung besitzen.

● Rollenname

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen.

Reportdetails

Über Ergebnismengen exportieren können Sie die Daten herunterladen und über Druckversion können Sie eine PDF-Datei anlegen.

Weitere Informationen

250 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

9.4.5 Bericht zur PFCG-Änderungshistorie

Verwendung

Dieser Bericht zeigt die Änderungsbelege für die Rollenverwaltung für ein bestimmtes System an.

Zum Ausführen des Berichts müssen Sie ein System oder mehrere Systeme eingeben, für die Sie eine Berechtigung haben.

HinweisDer Bericht zeigt nur Systeme an, für die Sie eine Anzeigeberechtigung besitzen. Wenn Sie für kein System eine Berechtigung haben, ist die Taste PFCG-Änderungshistorie deaktiviert.

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Aktivitäten

1. Wählen Sie zum Ausführen des Berichts PFCG-Historie anzeigen.2. Klicken Sie zum Starten von SAP GUI auf Öffnen.3. Geben Sie den Benutzernamen und das Kennwort für das entsprechende SAP-System ein.4. Klicken Sie auf Anmelden, um auf das Bild zur Ausführung des Berichts PFCG-Änderungshistorie im Plug-In-

System zu gelangen.5. Für die Ausführung des Berichts können Sie die folgenden Parameter festlegen:

○ Rollenname○ Geändert von○ Von/Bis-Datum○ Von/Bis-Zeit○ Änderungsnummer des Belegs

6. Folgende Optionen stehen zur Anzeige der unterschiedlichen Arten von Änderungsbelegen zur Verfügung:○ Übersicht○ Rollen anlegen/löschen○ Rollenbeschreibung○ Einzelrollen in Sammelrollen○ Transaktionen im Rollenmenü○ Andere Objekte im Rollenmenü○ Berechtigungsdaten○ Organisationsebenen○ Berechtigungsprofil

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 251

○ Attribute○ MiniApps○ Startseite für Sammelrolle○ Benutzerzuordnung○ Alle Änderungsbelege (technische Sicht)

7. Klicken Sie zum Starten des Berichts auf Ausführen.

HinweisDer Bericht basiert auf Daten aus Backend-Systemen. Die Systemberechtigung ist der einzig verfügbare Sicherheitsparameter.

9.4.6 Bericht zu Rollen nach Generierungsdatum

Verwendung

In diesem Bericht werden Rollen nach ihrem Generierungsdatum aufgelistet.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● Generiert von● Generierungsdatum● Anwendungstyp● System

Der Bericht zeigt nur Systeme an, für die Sie eine Anzeigeberechtigung besitzen.

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Ergebnismengen exportieren können Sie die Daten herunterladen.

Reportdetails

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

Weitere Informationen

252 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

9.4.7 Bericht zu Beziehung von Einzel- zu Sammelrolle

Verwendung

In diesem Bericht wird die Beziehung zwischen Einzel- und Sammelrollen aufgelistet.

HinweisDer Bericht zeigt die Daten basierend auf der Berechtigung der Sammelrolle und nicht auf der Berechtigung der Einzelrolle an.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● SystemDer Bericht zeigt nur Systeme an, für die Sie eine Anzeigeberechtigung besitzen.

● Rollenname

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen.

Reportdetails

Über Ergebnismengen exportieren können Sie die Daten herunterladen und über Druckversion können Sie eine PDF-Datei anlegen.

Weitere Informationen

9.4.8 Bericht zu Beziehung zwischen Benutzer und Rolle

Verwendung

Dieser Bericht listet die Benutzer und ihre zugeordneten Rollen auf.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● SystemDer Bericht zeigt nur Systeme an, für die Sie eine Anzeigeberechtigung besitzen.

● Abgelaufene Rolle einschließen

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 253

● Profilname● Rollenname

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Ergebnismengen exportieren können Sie die Daten herunterladen.

Weitere Informationen

9.4.9 Bericht zu Rollenbeziehung mit Benutzer/Benutzergruppe

Dieser Bericht listet die den Benutzern und Benutzergruppen zugeordneten Rollen auf.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● SystemDer Bericht zeigt nur Systeme an, für die Sie eine Anzeigeberechtigung besitzen.

● Benutzertyp

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Ergebnismengen exportieren können Sie die Daten herunterladen und über Druckversion können Sie eine PDF-Datei anlegen.

HinweisDer Bericht basiert auf Daten aus Backend-Systemen. Die Systemberechtigung ist der einzig verfügbare Sicherheitsparameter.

254 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

9.5 Sicherheitsberichte

In Access Control stehen folgende Sicherheitsberichte zur Verfügung:

● Bericht zur Aktionsverwendung nach Benutzer, Rolle und Profil [Seite 255]Dieser Bericht listet die Aktionen nach Benutzer, Rolle und Profil auf.

● Bericht für Anzahl der Benutzerberechtigungen [Seite 256]Dieser Bericht zählt die Benutzerberechtigungen und hebt jene hervor, die die vom System zulässigen Grenzen überschreiten.

● Bericht zur Anzahl der Rollenberechtigungen [Seite 257]Dieser Bericht listet die Anzahl der Berechtigungen für Rollen nach Rollennamen auf.

● Bericht für abgelaufene und ablaufende Rollen für Benutzer [Seite 257]Dieser Bericht listet Rollen auf, die entsprechend der von Ihnen angegebenen Daten bereits abgelaufen sind oder demnächst ablaufen.

9.5.1 Bericht zur Aktionsverwendung nach Benutzer, Rolle und Profil

Verwendung

Dieser Bericht listet die Aktionen nach Benutzer, Rolle und Profil auf.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● System● Aktionsverwendungsdatum● Aktion● Aktionsbeschreibung● Bericht von (Benutzer, Rolle, Profil)● Benutzer-ID● Benutzergruppe● Zeigt nur nicht verwendete Aktionen● Berichtsart (In Risiken oder definierte Aktionen oder Alle)● Zugriffsrisiko-ID● ID-Beschreibung des Zugriffsrisikos

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Export können Sie die Daten herunterladen.

Reportdetails

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 255

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

Weitere Informationen

9.5.2 Bericht zur Anzahl der Benutzerberechtigungen

Verwendung

Dieser Bericht zählt die Benutzerberechtigungen und hebt jene hervor, die die vom System zulässigen Grenzen überschreiten.

Zur Ausführung des Berichts müssen Sie Werte für jedes der folgenden Filterkriterien angeben:

● System● Benutzer● Benutzergruppe

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Ergebnismengen exportieren können Sie die Daten herunterladen und über Druckversion können Sie eine PDF-Datei erstellen.

Reportdetails

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

Weitere Informationen

256 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

9.5.3 Bericht zur Anzahl der Rollenberechtigungen

Verwendung

Dieser Bericht listet die Anzahl der Berechtigungen für Rollen nach Rollennamen auf.

Zur Ausführung des Berichts müssen Sie Werte für jedes der folgenden Filterkriterien angeben:

● Anwendungstyp● System● Rollenname● Rollenart

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Ergebnismengen exportieren können Sie die Daten herunterladen und über Druckversion können Sie eine PDF-Datei erstellen.

Reportdetails

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

Weitere Informationen

9.5.4 Bericht für abgelaufene und ablaufende Rollen für Benutzer

Dieser Bericht listet Rollen auf, die entsprechend der von Ihnen angegebenen Daten bereits abgelaufen sind oder demnächst ablaufen.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● SystemSie sehen nur Systeme, für die Sie eine Berechtigung haben.

● Benutzer-ID● Benutzergruppe● Gültig bis

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 257

● Abgelaufene Rollen

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen.

Über Ergebnismengen exportieren können Sie die Daten herunterladen und über Druckversion können Sie eine PDF-Datei anlegen.

9.6 Revisionsberichte

In Access Control stehen folgende Revisionsberichte zur Verfügung:

● Änderungsprotokollbericht [Seite 258]Dieser Bericht stellt Änderungsinformationen zu Objekten von Access Control, wie Rolle, Risiko und Profil, bereit. Die Informationen beinhalten den Änderer des Objekts, den Zeitstempel, neue und alte Werte, den Namen und die Art der Entität, Attribute und die Änderungsart.

● Bericht zu eingebetteten Aktionsaufrufen in Programmen des SAP-Systems [Seite 259]Dieser Bericht ermittelt eingebettete Transaktionsaufrufe in Benutzerprogrammen.

● Bericht zur Auflistung von Aktionen in Rollen, aber nicht in Regeln [Seite 260]Dieser Bericht listet alle Aktionen, die in Rollen, jedoch nicht in der Regelbibliothek vorkommen, auf.

● Bericht zur Auflistung von Berechtigungen in Rollen, aber nicht in Regeln [Seite 261]Dieser Bericht listet alle Berechtigungen, die in Rollen, jedoch nicht in der Regelbibliothek vorkommen, auf.

9.6.1 Änderungsprotokollbericht

Verwendung

Dieser Bericht stellt Änderungsinformationen zu Objekten von Access Control, wie Rolle, Risiko und Profil, bereit. Die Informationen beinhalten den Änderer des Objekts, den Zeitstempel, neue und alte Werte, den Namen und die Art der Entität, Attribute und die Änderungsart.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● Geändert am● Kritisches Profil● Kritische Rolle● Verantwortlicher● Kontrolleur● Firefighter-Rolle

258 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

● FF-Verantwortlicher● Ursachencode● Firefighter-Benutzer● Funktion● Organisationsregel● Risiko● Rolle● Regelwerk● Zusatzregel● Benutzer-ID

Über Suche können Sie den Bericht im Vordergrund ausführen. Über Zurücksetzen können Sie den Wert im Suchfeld löschen.

Über Export können Sie die Daten herunterladen und über Druckversion können Sie eine PDF-Datei anlegen.

HinweisWenn Sie die Ergebnisse Ihrer Suche für einen späteren Abruf sichern möchten, müssen Sie einen Namen im Feld Suche sichern als eingeben und Sichern wählen. Über die Taste Laden können Sie die gesicherte Suche abrufen und über Löschen können Sie die gesicherte Suche löschen.

AchtungDieser Bericht unterstützt nur die Sicherheit auf Berichtsebene. Wenn Sie also die Berechtigung zum Anzeigen dieses Berichts haben, können Sie alle Felder ohne Einschränkungen anzeigen.

Weitere Informationen

9.6.2 Bericht zu eingebetteten Aktionsaufrufen in Programmen des SAP-Systems

Verwendung

Dieser Bericht ermittelt eingebettete Transaktionsaufrufe in Benutzerprogrammen.

Geben Sie zur Ausführung des Berichts Werte für jedes der folgenden Filterkriterien an:

● Aktion● System● Programm

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 259

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen.

Reportdetails

Über Ergebnismengen exportieren können Sie die Daten herunterladen und über Druckversion können Sie eine PDF-Datei anlegen.

Reportdetails

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

Weitere Informationen

9.6.3 Bericht zur Auflistung von Aktionen in Rollen, aber nicht in Regeln

Verwendung

Dieser Bericht listet alle Aktionen, die in Rollen, jedoch nicht in der Regelbibliothek vorkommen, auf.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● System● Profil● Rolle

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen.

Über Ergebnismengen exportieren können Sie das gesamte Datenset herunterladen, über Export können Sie die Ergebnisse herunterladen und auf dem Bild anzeigen und über Druckversion können Sie eine PDF-Datei anlegen. Sie können einzelne Positionen auch als analysiert markieren.

260 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

Reportdetails

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

Weitere Informationen

9.6.4 Bericht zur Auflistung von Berechtigungen in Rollen, aber nicht in Regeln

Verwendung

Dieser Bericht listet alle Berechtigungen, die in Rollen, jedoch nicht in der Regelbibliothek vorkommen, auf.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● System● Profil● Rolle

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen.

Über Ergebnismengen exportieren können Sie das gesamte Datenset herunterladen, über Export können Sie die Ergebnisse herunterladen und auf dem Bild anzeigen und über Druckversion können Sie eine PDF-Datei anlegen. Sie können einzelne Positionen auch als analysiert markieren.

Reportdetails

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

Weitere Informationen

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 261

9.7 Berichte der Notfallzugriffsverwaltung

In Access Control stehen die folgenden Berichte für die Notfallzugriffsverwaltung zur Verfügung:

● Konsolidierter Protokollbericht [Seite 262] – Dieser Bericht erfasst Daten aus dem ausgewählten Systemkonnektor für Firefighter-Benutzer. Der Bericht stellt Informationen anhand der folgenden Protokolle aus den Remote-Systemen bereit: Transaktionsprotokoll, Änderungsprotokoll, Systemprotokoll, Security-Audit-Log, BS-Befehlsprotokoll. Dieser ist der am häufigsten verwendete Bericht. Sie können Ihr System so konfigurieren, dass Sie diesen Bericht per E-Mail oder über den Workflow erhalten.

Sie müssen von einem Administrator zur Anzeige folgender Berichte berechtigt werden. Wenn Sie sich den konsolidierten Protokollbericht angesehen haben und nun weitere Nachforschungen anstellen müssen, greifen Sie auf folgende Berichte zu:

● Bericht zu ungültigem Notfallzugriff [Seite 264] – Mit diesem Bericht können Sie die Benutzertypen für Notfallzugriffe ermitteln, die abgelaufen, gelöscht oder gesperrt sind, wie Firefighter-IDs, Kontrolleure oder Verantwortliche.

● Bericht zur Firefighter-Protokollzusammenfassung [Seite 264] – Dieser Bericht erfasst Transaktionsdaten aus dem ausgewählten Systemkonnektor für Firefighter-IDs.

● Ursachencode- und Aktivitätsbericht [Seite 265] – Dieser Bericht zeigt Daten aus dem ausgewählten Systemkonnektor für jede Firefighter-ID an. Der Bericht listet die Ursache und Aktivität für jedes Anmeldeereignis auf.

● Bericht zu Transaktionsprotokoll und Sitzungsdetails [Seite 267] – Dieser Bericht erfasst Transaktionsdaten aus dem ausgewählten Systemkonnektor für Firefighter-IDs und Firefighter-Benutzer. Er zeigt die Anzahl und Arten der für jede Firefighter-ID und jeden Firefighter-Benutzer verwendeten Transaktionen an.

● Funktionstrennungskonflikt-Bericht für Firefighter-IDs [Seite 266] – Dieser Bericht stellt Ihnen die Historie der an Aufgaben zur Funktionstrennungsprüfung durchgeführten Aktionen, einschließlich der Minderungsbestätigungen, zur Verfügung.

9.7.1 Konsolidierter Protokollbericht

Verwendung

Dieser Bericht erfasst Daten aus dem ausgewählten Systemkonnektor für Firefighter-IDs. Der Bericht stellt Informationen anhand der folgenden Protokolle aus den Remote-Systemen bereit:

Tabelle 34:

Protokoll Beschreibung

Transaktionsprotokoll Erfasst die Ausführungen der Transaktion STAD.

Änderungsprotokoll der Belegobjekte Erfasst das Änderungsprotokoll der Änderungen von Belegob­jekten aus Tabelle CDPOS und Tabelle CDHDR.

262 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

Protokoll Beschreibung

Änderungsprotokoll der Tabellendaten Erfasst Änderungsprotokolle, wenn Tabellenänderungen mit­hilfe der Transaktionen SE16/SE16N/SE17/SM30/SM31 usw. vorgenommen werden.

Systemprotokoll Erfasst Informationen zum Debuggen und Ersetzen aus Transaktion SM21.

Security-Audit-Log Erfasst das Security-Audit-Log aus Transaktion SM20.

BS-Befehlsprotokoll Erfasst Änderungen an BS-Befehlen aus Transaktion SM49.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● Berichtsname● System

Sie sehen nur Systeme, für die Sie eine Berechtigung haben.● Firefighter-Benutzer● Verantwortlicher● Firefighter-Rolle● Transaktion● Datum

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen.

Über Export können Sie die Daten herunterladen und über Druckversion können Sie eine PDF-Datei anlegen.

Reportdetails

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

Weitere Informationen

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 263

9.7.2 Firefighter-Protokollzusammenfassung

Verwendung

Dieser Bericht erfasst Transaktionsdaten aus dem ausgewählten Systemkonnektor für Firefighter-IDs.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● SystemSie sehen nur Systeme, für die Sie eine Berechtigung haben.

● Firefighter-Benutzer● Verantwortlicher● Firefighter-ID● Datum● Größe der Ergebnismenge

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen.

Über Export können Sie die Daten herunterladen und über Druckversion können Sie eine PDF-Datei anlegen.

Reportdetails

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

Weitere Informationen

9.7.3 Bericht für ungültigen Notfallzugriff

Verwendung

Mit diesem Bericht können Sie die Benutzertypen (Firefighter-IDs, Kontrolleure oder Verantwortliche) ermitteln, die abgelaufen, gelöscht oder gesperrt sind.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● System

264 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

Sie sehen nur Systeme, für die Sie eine Berechtigung haben.● Firefighter-Benutzer● Verantwortlicher● Firefighter-ID● Kontrolleur● Größe der Ergebnismenge

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Export können Sie die Daten herunterladen und über Druckversion können Sie eine PDF-Datei anlegen.

Reportdetails – Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

Weitere Informationen

9.7.4 Ursachencode- und Aktivitätsbericht

Verwendung

Dieser Bericht zeigt Daten aus dem ausgewählten Systemkonnektor für jede Firefighter-ID an. Der Bericht listet die Ursache und Aktivität für jedes Anmeldeereignis auf.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● SystemSie sehen nur Systeme, für die Sie eine Berechtigung haben.

● Firefighter-Benutzer● Verantwortlicher● Firefighter-ID● Datum● Größe der Ergebnismenge

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 265

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Export können Sie die Daten herunterladen und über Druckversion können Sie eine PDF-Datei anlegen.

Reportdetails – Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

Weitere Informationen

9.7.5 Funktionstrennungskonflikt-Bericht für Firefighter-IDs

Verwendung

Dieser Bericht stellt Ihnen die Historie der an Aufgaben zur Funktionstrennungsprüfung durchgeführten Aktionen einschließlich der Minderungsbestätigungen zur Verfügung.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● System● Firefighter-ID● Verantwortlicher● Firefighter-Benutzer● Aktion

Berichtsoptionen - Folgende Optionen stehen für diesen Bericht zur Verfügung.

● Format○ Zusammenfassung○ Detail○ Kurzzusammenfassung○ Kurzfassung○ Technische/Betriebswirtschaftliche Ansicht

● Art der Zugriffsrisikoanalyse○ Aktions-/Berechtigungsebene○ Kritische Aktion/Berechtigung○ Kritische Rolle/kritisches Profil

● Zusätzliche Kriterien○ Alle Objekte anzeigen○ Nur ausgeführte Transaktionen

266 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen. Über Ergebnismengen exportieren können Sie die Daten herunterladen und über Druckversion können Sie eine PDF-Datei anlegen.

Reportdetails – Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

Weitere Informationen

9.7.6 Bericht zu Transaktionsprotokoll und Sitzungsdetails

Verwendung

Dieser Bericht erfasst Transaktionsdaten aus dem ausgewählten Systemkonnektor für Firefighter-IDs und Firefighter-Benutzer. Er zeigt die Anzahl und Art der für jede Firefighter-ID und jeden Firefighter-Benutzer verwendeten Transaktionen an.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● SystemSie sehen nur Systeme, für die Sie eine Berechtigung haben.

● Firefighter-Benutzer● Firefighter-ID● Transaktion● Ursachencode● Datum● Größe der Ergebnismenge

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen.

Über Export können Sie die Daten herunterladen und über Druckversion können Sie eine PDF-Datei anlegen.

SAP Access ControlBerichte und Analysen P U B L I C ( Ö F F E N T L I C H ) 267

Reportdetails

Die Anwendung zeigt nur die Objekte an, für die Sie eine Anzeigeberechtigung haben. Wenn Sie z.B. nur eine Anzeigeberechtigung für Nordamerika haben, werden im Bericht nur die für Nordamerika relevanten Ergebnisse angezeigt.

Weitere Informationen

Berichte und Analysen [Seite 29]

9.8 Protokollbericht des Risikoterminators

Dieser Bericht stellt Informationen zu Rollenänderungen bereit, die direkt in den Backend-Systemen aktualisiert werden.

Geben Sie zur Ausführung des Berichts Werte für folgende Filterkriterien an:

● System● Rolle/Benutzer● Generiert von● Generierungsdatum● Generierungszeit● Ursache

EmpfehlungWenn Sie denselben Bericht mit denselben Filterwerten regelmäßig ausführen, können Sie eine Variante definieren und sichern. Wenn Sie den Bericht beim nächsten Mal mit diesen Werten ausführen möchten, können Sie die Variante unter Gesicherte Varianten abrufen und das System fügt Ihre Werte automatisch ein.

Sie können den Bericht im Vordergrund oder im Hintergrund ausführen.

Über Export können Sie die Daten herunterladen und über Druckversion können Sie eine PDF-Datei anlegen.

268 P U B L I C ( Ö F F E N T L I C H )SAP Access Control

Berichte und Analysen

Ausschlussklauseln und rechtliche Aspekte

Coding-BeispieleBei dem in der vorliegenden Dokumentation enthaltenen Quell- und/oder Objektcode für Software („Code“) handelt es sich ausschließlich um eine beispielhafte Darstellung. Dieser Code ist in keinem Fall für die Nutzung in einem produktiven System geeignet. Der Code dient ausschließlich dem Zweck, beispielhaft aufzuzeigen, wie Quelltext erstellt und gestaltet werden kann. SAP übernimmt keine Gewährleistung für die Funktionsfähigkeit, Richtigkeit und Vollständigkeit des hier abgebildeten Codes, und SAP übernimmt keine Haftung für Schäden, die durch die Nutzung des Codes entstehen, sofern solche Schäden nicht durch vorsätzliches oder grob fahrlässiges Verhalten der SAP verursacht wurden.

BarrierefreiheitDie in der Dokumentation der SAP-Bibliothek enthaltenen Informationen stellen Kriterien der Barrierefreiheit aus Sicht von SAP zum Zeitpunkt der Veröffentlichung dar und sollen keineswegs obligatorische Richtlinien sein, wie die Barrierefreiheit von Softwareprodukten zu gewährleisten ist. SAP lehnt insbesondere jede Haftung in Bezug auf dieses Dokument ab, (die nicht aus dem vorsätzlichen oder grob fahrlässigen Handeln der SAP resultieren), aus dem weder direkt noch indirekt irgendwelche vertraglichen Verpflichtungen entstehen.

Geschlechtsneutrale SpracheDie SAP-Dokumentation ist, sofern sprachlich möglich, geschlechtsneutral formuliert. Je nach Kontext wird die direkte Anrede mit „Sie“ oder ein geschlechtsneutrales Substantiv (wie z.B. „Fachkraft“ oder „Personentage“) verwendet. Wenn, um auf Personen beiderlei Geschlechts Bezug zu nehmen, die dritte Person Singular nicht vermieden werden kann oder es kein geschlechtsneutrales Substantiv gibt, wird aus Gründen der besseren Lesbarkeit durchgängig die männliche Form des Substantivs und des Pronomens verwendet. Hierdurch wird sichergestellt, dass die Dokumentation verständlich bleibt.

Internet-HyperlinksDie SAP-Dokumentation kann Hyperlinks auf das Internet enthalten. Diese Hyperlinks dienen lediglich als Hinweis auf ergänzende und weiterführende Dokumentation. SAP übernimmt keine Gewährleistung für die Verfügbarkeit oder Richtigkeit dieser ergänzenden Information oder deren Nutzbarkeit für einen bestimmten Zweck. SAP übernimmt keine Haftung für Schäden, die durch die Nutzung solcher Informationen verursacht werden, es sei denn, dass diese Schäden von SAP grob fahrlässig oder vorsätzlich verursacht wurden. Informationen zur Klassifizierung von Links finden Sie unter: http://help.sap.com/disclaimer.

SAP Access ControlAusschlussklauseln und rechtliche Aspekte P U B L I C ( Ö F F E N T L I C H ) 269

go.sap.com/registration/contact.html

© 2017 SAP SE oder ein SAP-Konzernunternehmen Alle Rechte vorbehalten.Weitergabe und Vervielfältigung dieser Publikation oder von Teilen daraus sind, zu welchem Zweck und in welcher Form auch immer, ohne die ausdrückliche schriftliche Genehmigung durch SAP SE oder ein SAP-Konzernunternehmen nicht gestattet. In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden.Die von SAP SE oder deren Vertriebsfirmen angebotenen Softwareprodukte können Softwarekomponenten auch anderer Softwarehersteller enthalten. Produkte können länderspezifische Unterschiede aufweisen.Die vorliegenden Unterlagen werden von der SAP SE oder einem SAP-Konzernunternehmen bereitgestellt und dienen ausschließlich zu Informationszwecken. Die SAP SE oder ihre Konzernunternehmen übernehmen keinerlei Haftung oder Gewährleistung für Fehler oder Unvollständigkeiten in dieser Publikation. Die SAP SE oder ein SAP-Konzernunternehmen steht lediglich für Produkte und Dienstleistungen nach der Maßgabe ein, die in der Vereinbarung über die jeweiligen Produkte und Dienstleistungen ausdrücklich geregelt ist. Keine der hierin enthaltenen Informationen ist als zusätzliche Garantie zu interpretieren.SAP und andere in diesem Dokument erwähnte Produkte und Dienstleistungen von SAP sowie die dazugehörigen Logos sind Marken oder eingetragene Marken der SAP SE (oder von einem SAP-Konzernunternehmen) in Deutschland und verschiedenen anderen Ländern weltweit. Alle anderen Namen von Produkten und Dienstleistungen sind Marken der jeweiligen Firmen.Zusätzliche Informationen zur Marke und Vermerke finden Sie auf der Seite http://www.sap.com/corporate-de/legal/copyright/index.epx.