SAP-Berechtigungswesen - ReadingSample - … · 2015-02-22 · Inhalt 9 4.5 Allgemeine Anforderungen an ein Berechtigungskonzept ..... 116 4.5.1 Identitätsprinzip ..... 118 4.5.2

SAP PRESS

SAP-Berechtigungswesen

Konzeption und Realisierung

vonVolker Lehnert, Katharina Stelzner

Neuausgabe

Rheinwerk Verlag 2009

Verlag C.H. Beck im Internet:www.beck.de

ISBN 978 3 8362 1349 3

schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG

http://www.beck-shop.de/Lehnert-Stelzner-SAP-Berechtigungswesen/productview.aspx?product=752520&utm_source=pdf&utm_medium=clickthru_lp&utm_campaign=pdf_752520&campaign=pdf/752520

Bonn � Boston

Volker Lehnert, Katharina Bonitz

SAP®-Berechtigungswesen

1349.book Seite 3 Montag, 5. Oktober 2009 4:07 16

Auf einen Blick

1 Einleitung ................................................................... 21

TEIL I Betriebswirtschaftliche Konzeption

2 Einführung und Begriffsdefinition .................................. 27

3 Organisation und Berechtigungen ................................. 45

4 Rechtlicher Rahmen – normativer Rahmen .................... 97

5 Berechtigungen in der Prozesssicht ............................... 125

TEIL II Werkzeuge und Berechtigungspflege im SAP-System

6 Technische Grundlagen der Berechtigungspflege ............ 145

7 Systemeinstellungen und Customizing ........................... 201

8 Rollenzuordnung über das Organisationsmanagement .... 275

9 Automatisierte organisatorische Differenzierung: der Rollenmanager ...................................................... 287

10 Zentrales Management von Benutzern und Berechtigungen ........................................................... 307

11 Berechtigungen: Standards und Analyse ........................ 345

12 SAP BusinessObjects Access Control ............................. 363

13 User Management Engine ............................................ 381

TEIL III Berechtigungen in spezifischen SAP-Lösungen

14 Berechtigungen in SAP ERP HCM ................................. 405

15 Berechtigungen in SAP CRM ........................................ 427

16 Berechtigungen in SAP SRM ......................................... 501

17 Berechtigungen in SAP NetWeaver BW ......................... 527

18 Prozesse in SAP ERP – spezifische Berechtigungen ......... 551

19 Konzepte und Vorgehen im Projekt .............................. 613

Anhang

A Abkürzungsverzeichnis ................................................. 643

B Glossar ....................................................................... 647

C Literaturverzeichnis ..................................................... 663

D Die Autoren ................................................................ 667


7

Inhalt

Vorwort ................................................................................... 17Danksagung ................................................................................ 19

1 Einleitung ................................................................. 21

TEIL I Betriebswirtschaftliche Konzeption

2 Einführung und Begriffsdefinition ........................... 27

2.1 Methodische Überlegungen ........................................ 282.1.1 Ansätze für das betriebswirtschaftliche

Berechtigungskonzept .................................... 292.1.2 Beteiligte am Berechtigungskonzept ............... 31

2.2 Compliance ist Regelkonformität ................................ 322.3 Risiko ......................................................................... 332.4 Corporate Governance ................................................ 372.5 Technische versus betriebswirtschaftliche Bedeu-

tung des Berechtigungskonzepts ................................. 392.6 Technische versus betriebswirtschaftliche Rolle .......... 41

3 Organisation und Berechtigungen ........................... 45

3.1 Organisatorische Differenzierung am Beispiel .............. 463.2 Einführung .................................................................. 493.3 Institutioneller Organisationsbegriff ............................ 50

3.3.1 Organisationszweck ....................................... 513.3.2 Rechtsformen der Organisation ...................... 523.3.3 Organisation und Umwelt .............................. 533.3.4 Zusammenfassung .......................................... 54

3.4 Instrumenteller Organisationsbegriff ........................... 553.4.1 Spezialisierung (Arbeitsteilung) ...................... 563.4.2 Aufbauorganisation ........................................ 593.4.3 Aufgabenanalyse ............................................ 69

3.5 Folgerungen aus der Organisationsbetrachtung ........... 753.6 Sichten der Aufbauorganisation in SAP-Systemen ....... 76

3.6.1 Organisationsmanagement ............................. 773.6.2 Organisationssicht des externen

Rechnungswesens .......................................... 78


Inhalt

8

3.6.3 Organisationssicht des Haushalts-managements ................................................ 79

3.6.4 Organisationssicht der Kostenstellen-standardhierarchie ......................................... 80

3.6.5 Organisationssicht der Profit-Center-Hierarchie ..................................................... 81

3.6.6 Unternehmensorganisation ............................ 823.6.7 Organisationssicht im Projektsystem .............. 823.6.8 Logistische Organisationssicht ....................... 833.6.9 Integration der Organisationssichten im

Berechtigungskonzept ................................... 843.7 Organisationsebenen und -strukturen in SAP ERP ...... 85

3.7.1 Organisationsebene »Mandant« ..................... 863.7.2 Relevante Organisationsebenen des

Rechnungswesens ......................................... 863.7.3 Relevante Organisationsebenen in MM ......... 903.7.4 Relevante Organisationsebenen im

Vertrieb ......................................................... 913.7.5 Relevante Organisationsebenen in der

Lagerverwaltung ............................................ 913.7.6 Integration der Organisationsebenen im

Berechtigungskonzept ................................... 913.8 Hinweise zur Methodik im Projekt ............................. 933.9 Fazit ........................................................................... 95

4 Rechtlicher Rahmen – normativer Rahmen .............. 97

4.1 Interne und externe Regelungsgrundlagen ................. 984.2 Internes Kontrollsystem ............................................. 1024.3 Rechtsquellen des externen Rechnungswesens ........... 103

4.3.1 Rechtsquellen und Auswirkungen für den privaten Sektor .............................................. 104

4.3.2 Konkrete Anforderungen an das Berechtigungskonzept ................................... 107

4.4 Datenschutzrecht ....................................................... 1084.4.1 Gesetzliche Definitionen in Bezug auf die

Datenverarbeitung ........................................ 1114.4.2 Rechte des Betroffenen ................................. 1124.4.3 Pflichten in Bezug auf das IKS ........................ 1124.4.4 Konkrete Anforderungen an das

Berechtigungskonzept ................................... 1144.4.5 Regelkonformität versus Datenschutz ............ 115


Inhalt

9

4.5 Allgemeine Anforderungen an ein Berechtigungskonzept ................................................ 1164.5.1 Identitätsprinzip ............................................. 1184.5.2 Minimalprinzip .............................................. 1184.5.3 Stellenprinzip ................................................. 1194.5.4 Belegprinzip der Buchhaltung ........................ 1204.5.5 Belegprinzip der Berechtigungsverwaltung ..... 1204.5.6 Funktionstrennungsprinzip ............................. 1204.5.7 Genehmigungsprinzip .................................... 1214.5.8 Standardprinzip .............................................. 1214.5.9 Schriftformprinzip .......................................... 1224.5.10 Kontrollprinzip ............................................... 122

4.6 Fazit ........................................................................... 123

5 Berechtigungen in der Prozesssicht ......................... 125

5.1 Prozessübersicht ......................................................... 1255.2 Der Verkaufsprozess ................................................... 1275.3 Der Beschaffungsprozess ............................................. 1335.4 Unterstützungsprozesse .............................................. 1375.5 Maßgaben für die Funktionstrennung ......................... 1405.6 Fazit ........................................................................... 142

TEIL II Werkzeuge und Berechtigungspflege im SAP-System

6 Technische Grundlagen der Berechtigungspflege .... 145

6.1 Benutzer/Berechtigung ............................................... 1466.1.1 Benutzer ........................................................ 1466.1.2 Benutzerpflege (ABAP) ................................... 147

6.2 Transaktion – Programm – Berechtigungsobjekt .......... 1546.2.1 Transaktion .................................................... 1546.2.2 Prüfung im Programmablauf ........................... 1566.2.3 Berechtigungsobjekt ...................................... 158

6.3 Rollen und Rollenprofile ............................................. 1636.3.1 Berechtigungsprofile ...................................... 1636.3.2 Anlage und Pflege von Rollen ........................ 164

6.4 Analyse von Berechtigungsprüfungen ......................... 1916.4.1 Auswertung der Berechtigungsprüfung ........... 1926.4.2 Analyse im Programmablauf System-Trace/

Berechtigungstrace ......................................... 1936.4.3 Prüfung des Programms ................................. 196

6.5 Weitere Rollentypen in SAP ERP ................................. 197


Inhalt

10

6.5.1 Sammelrolle .................................................. 1986.5.2 Wertrolle/funktionale Rolle ........................... 199

6.6 Fazit ........................................................................... 200

7 Systemeinstellungen und Customizing .................... 201

7.1 Pflege und Nutzung der Vorschläge für den Profil-generator ................................................................... 2027.1.1 Funktion für den Profilgenerator .................... 2047.1.2 Funktion im Upgrade ..................................... 2067.1.3 Normativer Nutzen ........................................ 2067.1.4 Nutzen der Vorschlagswerte für Risiko-

analyse und externe Rollenpflegetools ........... 2077.1.5 Grundzustand und Pflege der Vorschlags-

werte ............................................................ 2087.2 Upgrade von Berechtigungen ..................................... 2167.3 Parameter für Kennwortregeln ................................... 2217.4 Customizing-Einstellungen zum Menükonzept ........... 2247.5 Berechtigungsgruppen ............................................... 232

7.5.1 Optionale Berechtigungsprüfungen auf Berechtigungsgruppen ................................... 234

7.5.2 Tabellenberechtigungen ................................ 2407.5.3 Berechtigungsgruppen als Organisations-

ebenen .......................................................... 2437.6 Parameter- und Query-Transaktionen ........................ 244

7.6.1 Parametertransaktion zur Pflege von Tabellen über definierte Views ...................... 246

7.6.2 Parametertransaktion zur Ansicht vonTabellen ........................................................ 249

7.6.3 Querys in Transaktionen umsetzen ................ 2507.7 Anhebung eines Berechtigungsfeldes zur Organi-

sationsebene .............................................................. 2527.7.1 Auswirkungsanalyse ...................................... 2527.7.2 Vorgehen zur Anhebung eines Feldes zur

Organisationsebene ....................................... 2567.7.3 Anhebung des Verantwortungsbereichs zur

Organisationsebene ....................................... 2577.8 Entwickler- und Berechtigungstrace ........................... 260

7.8.1 Vorgehen für den Entwickler- und Berechtigungstrace ........................................ 260

7.9 Berechtigungsfelder und -objekte anlegen ................. 2637.9.1 Berechtigungsfelder anlegen .......................... 2637.9.2 Berechtigungsobjekte anlegen ....................... 265


Inhalt

11

7.10 Weitere Transaktionen der Berechtigungs-administration ............................................................ 267

7.11 Rollen zwischen Systemen oder Mandanten bewegen 2697.11.1 Down-/Upload von Rollen ............................. 2697.11.2 Transport von Rollen ...................................... 271

7.12 Benutzerstammabgleich .............................................. 2727.13 Fazit ........................................................................... 273

8 Rollenzuordnung über das Organisationsmanagement ...................................... 275

8.1 Grundkonzept des SAP ERP HCM-Organisations-managements ............................................................. 276

8.2 Fachliche Voraussetzungen ......................................... 2798.3 Technische Umsetzung ............................................... 279

8.3.1 Voraussetzungen ............................................ 2808.3.2 Technische Grundlagen des SAP ERP HCM-

Organisationsmanagements ........................... 2808.3.3 Zuweisung von Rollen .................................... 2818.3.4 Auswertungsweg ............................................ 2828.3.5 Benutzerstammabgleich ................................. 283

8.4 Konzeptionelle Besonderheit ...................................... 2838.5 Fazit ........................................................................... 284

9 Automatisierte organisatorische Differenzierung: der Rollenmanager ................................................... 287

9.1 Herausforderung und Lösungsansatz ........................... 2889.1.1 Rollenmanager OM ........................................ 2919.1.2 Bereichsrollenkonzept .................................... 2939.1.3 Kombination von Bereichsrollen und OM ...... 296

9.2 Umsetzungsbeispiel für das Bereichsrollenkonzept ...... 2979.3 Integration, Einschränkungen und Perspektiven .......... 3059.4 Fazit ........................................................................... 305

10 Zentrales Management von Benutzern und Berechtigungen ........................................................ 307

10.1 Grundlagen ................................................................ 30810.1.1 Betriebswirtschaftlicher Hintergrund .............. 30810.1.2 User Lifecycle Management ........................... 31110.1.3 SAP-Lösungen für die zentrale Verwaltung

von Benutzern ................................................ 314


Inhalt

12

10.2 Zentrale Benutzerverwaltung ..................................... 31410.2.1 Vorgehen zur Einrichtung einer ZBV .............. 31610.2.2 Integration mit dem Organisations-

management von SAP ERP HCM ................... 32110.2.3 Integration mit SAP BusinessObjects

Access Control .............................................. 32110.3 SAP BusinessObjects Access Control Compliant

User Provisioning ....................................................... 32310.4 SAP NetWeaver Identity Management ....................... 329

10.4.1 Relevante technische Details ......................... 33010.4.2 Funktionsweise ............................................. 33110.4.3 Technische Architektur .................................. 33810.4.4 Integration von SAP BusinessObjects Access

Control .......................................................... 34110.5 Fazit ........................................................................... 343

11 Berechtigungen: Standards und Analyse ................. 345

11.1 Standards und ihre Analyse ........................................ 34511.1.1 Rolle anstelle von Profil ................................. 34511.1.2 Definition der Rolle durch Transaktionen ....... 34711.1.3 Vorschlagsnutzung ........................................ 34911.1.4 Tabellenberechtigungen ................................ 34911.1.5 Programmausführungsberechtigungen ........... 35011.1.6 Ableitung ...................................................... 35111.1.7 Programmierung – Programmierrichtlinie ...... 352

11.2 Kritische Transaktionen und Objekte .......................... 35411.3 Allgemeine Auswertungen technischer Standards ....... 356

11.3.1 Benutzerinformationssystem .......................... 35611.3.2 Tabellengestützte Analyse von

Berechtigungen ............................................. 35911.4 Fazit ........................................................................... 362

12 SAP BusinessObjects Access Control ...................... 363

12.1 Grundlagen ................................................................ 36312.2 Risk Analysis and Remediation ................................... 36712.3 Enterprise Role Management ..................................... 37312.4 Compliant User Provisioning ...................................... 37512.5 Superuser Privilege Management ............................... 37712.6 Risk Terminator .......................................................... 37912.7 Fazit ........................................................................... 380


Inhalt

13

13 User Management Engine ........................................ 381

13.1 Überblick über die UME ............................................. 38213.1.1 UME-Funktionen ........................................... 38213.1.2 Architektur der UME ...................................... 38413.1.3 Oberfläche der UME ...................................... 38513.1.4 Konfiguration der UME .................................. 386

13.2 Berechtigungskonzept des SAP NetWeaver AS Java .... 39013.2.1 UME-Rollen ................................................... 39013.2.2 UME-Aktionen ............................................... 39113.2.3 UME-Gruppe ................................................. 39213.2.4 J2EE-Sicherheitsrollen .................................... 394

13.3 Benutzer- und Rollenadministration mit der UME ....... 39513.3.1 Voraussetzungen zur Benutzer- und Rollen-

administration ................................................ 39513.3.2 Administration von Benutzern ........................ 39613.3.3 Benutzertypen ............................................... 39713.3.4 Administration von UME-Rollen .................... 39913.3.5 Administration von UME-Gruppen ................. 40013.3.6 Tracing und Logging ....................................... 400

13.4 Fazit ........................................................................... 402

TEIL III Berechtigungen in spezifischen SAP-Lösungen

14 Berechtigungen in SAP ERP HCM ............................ 405

14.1 Grundlagen ................................................................ 40514.2 Besondere Anforderungen von SAP ERP HCM ............ 40614.3 Berechtigungen und Rollen ......................................... 408

14.3.1 Berechtigungsrelevante Attribute in SAP ERP HCM ................................................ 408

14.3.2 Beispiel Personalmaßnahme ........................... 41014.4 Berechtigungshauptschalter ........................................ 41314.5 Organisationsmanagement und indirekte Rollen-

zuordnung .................................................................. 41614.6 Strukturelle Berechtigungen ........................................ 417

14.6.1 Das strukturelle Berechtigungsprofil ............... 41814.6.2 Auswertungsweg ............................................ 42014.6.3 Strukturelle Berechtigungen und

Performance .................................................. 42114.6.4 Anmerkung zu strukturellen Berechtigungen ... 422

14.7 Kontextsensitive Berechtigungen ................................ 42314.8 Fazit ........................................................................... 425


Inhalt

14

15 Berechtigungen in SAP CRM .................................... 427

15.1 Grundlagen ................................................................ 42815.1.1 Die SAP CRM-Oberfläche: der CRM Web

Client ............................................................ 42815.1.2 Erstellen von Benutzerrollen für den CRM

Web Client .................................................... 43615.2 Abhängigkeiten zwischen der Benutzerrolle und

PFCG-Rollen .............................................................. 43715.3 Erstellen von PFCG-Rollen abhängig von

Benutzerrollen ........................................................... 43815.3.1 Voraussetzungen für das Erstellen von

PFCG-Rollen .................................................. 43915.3.2 Erstellen von PFCG-Rollen ............................. 444

15.4 Zuweisen von Benutzerrollen und PFCG-Rollen .......... 44815.5 Beispielszenarien für Berechtigungen in SAP CRM ...... 457

15.5.1 Berechtigen von Oberflächenkomponenten ... 45715.5.2 Berechtigen von Transaktionsstarter-Links ..... 46615.5.3 Berechtigen von Stammdaten ........................ 46815.5.4 Berechtigen von Geschäftsvorgängen ............. 47115.5.5 Berechtigen von Attributgruppen .................. 48015.5.6 Berechtigen von Marketingelementen ........... 481

15.6 Fehlersuche im CRM Web Client ................................ 48315.7 Access Control Engine ................................................ 48615.8 Fazit ........................................................................... 499

16 Berechtigungen in SAP SRM .................................... 501

16.1 Grundlagen ................................................................ 50116.2 Berechtigungsvergabe in SAP SRM ............................. 504

16.2.1 Berechtigen der Oberflächenmenüs ............... 50816.2.2 Berechtigen typischer Geschäftsvorgänge ...... 510

16.3 Fazit ........................................................................... 525

17 Berechtigungen in SAP NetWeaver BW .................. 527

17.1 OLTP-Berechtigungen ................................................ 52817.2 Analyseberechtigungen .............................................. 530

17.2.1 Grundlagen ................................................... 53117.2.2 Schrankenprinzip ........................................... 53217.2.3 Transaktion RSECADMIN .............................. 53317.2.4 Berechtigungspflege ...................................... 533


Inhalt

15

17.2.5 Zuordnung zu Benutzern: Transaktion RSU01 und SU01 ........................................... 537

17.2.6 Analyse und Berechtigungsprotokoll .............. 54117.2.7 Generierung ................................................... 54317.2.8 Berechtigungsmigration ................................. 546

17.3 Modellierung von Berechtigungen in SAP NetWeaver BW ................................................... 54717.3.1 InfoProvider-basierte Modelle ........................ 54717.3.2 Merkmalsbasierte Modelle ............................. 54817.3.3 Gemischte Modelle ........................................ 549

17.4 Fazit ........................................................................... 549

18 Prozesse in SAP ERP – spezifische Berechtigungen ... 551

18.1 Grundlagen ................................................................ 55218.1.1 Stamm- und Bewegungsdaten ........................ 55218.1.2 Organisationsebenen ..................................... 553

18.2 Berechtigungen im Finanzwesen ................................. 55418.2.1 Organisatorische Differenzierungskriterien ..... 55518.2.2 Stammdaten .................................................. 55718.2.3 Buchungen ..................................................... 56418.2.4 Zahllauf .......................................................... 568

18.3 Berechtigungen im Controlling ................................... 57018.3.1 Organisatorische Differenzierungskriterien ..... 57018.3.2 Stammdatenpflege ......................................... 57118.3.3 Buchungen ..................................................... 58118.3.4 Altes und neues Berechtigungskonzept im

Controlling ..................................................... 58318.4 Berechtigungen in der Logistik (allgemein) .................. 584

18.4.1 Organisatorische Differenzierungskriterien ..... 58418.4.2 Materialstamm/Materialart ............................ 585

18.5 Berechtigungen im Einkauf ......................................... 58918.5.1 Stammdatenpflege ......................................... 58918.5.2 Beschaffungsabwicklung ................................. 589

18.6 Berechtigungen im Vertrieb ........................................ 59518.6.1 Stammdatenpflege ......................................... 59518.6.2 Verkaufsabwicklung ....................................... 597

18.7 Berechtigungen in technischen Prozessen ................... 60018.7.1 Funktionstrennung in der Berechtigungs-

verwaltung ..................................................... 60018.7.2 Funktionstrennung im Transportwesen ........... 60418.7.3 RFC-Berechtigungen ...................................... 605


Inhalt

16

18.7.4 Debugging-Berechtigungen ........................... 60718.7.5 Mandantenänderung ..................................... 60718.7.6 Änderungsprotokollierung ............................. 60918.7.7 Batchberechtigungen ..................................... 610

18.8 Fazit ........................................................................... 610

19 Konzepte und Vorgehen im Projekt ......................... 613

19.1 Berechtigungskonzept im Projektbezug ...................... 61319.2 Vorgehensmodell ....................................................... 616

19.2.1 Logischer Ansatz ........................................... 61719.2.2 Implementierung ........................................... 61919.2.3 Redesign ....................................................... 62019.2.4 Konkretes Vorgehen ...................................... 621

19.3 SAP Best Practices-Template-Rollenkonzept ............... 62419.3.1 SAP Best Practices ......................................... 62519.3.2 SAP-Template-Rollen .................................... 62619.3.3 Methodische Vorgehensweise des SAP Best

Practices-Rollenkonzepts ............................... 62719.3.4 Einsatz mit SAP BusinessObjects Access

Control .......................................................... 63019.4 Inhalte eines Berechtigungskonzepts .......................... 631

19.4.1 Einleitung und normativer Rahmen des Konzepts ....................................................... 633

19.4.2 Technischer Rahmen ..................................... 63419.4.3 Risikobetrachtung ......................................... 63419.4.4 Person – Benutzer – Berechtigung ................. 63519.4.5 Berechtigungsverwaltung .............................. 63719.4.6 Organisatorische Differenzierung ................... 63719.4.7 Prozessdokumentation .................................. 63719.4.8 Rollendokumentation .................................... 638

19.5 Fazit ........................................................................... 638

Anhang ........................................................................... 641

A Abkürzungsverzeichnis ......................................................... 643B Glossar ................................................................................. 647C Literaturverzeichnis .............................................................. 663D Die Autoren ......................................................................... 667

Index ................................................................................... 669


145

In diesem Kapitel erfahren Sie, wie Sie Benutzer und Rollen anlegen können. Darüber hinaus soll ein grundlegendes Ver-ständnis der Wirkung von Berechtigungen geschaffen werden.

6 Technische Grundlagen der Berechtigungspflege

Das technische Berechtigungskonzept von SAP ERP ist ein positivesBerechtigungskonzept: Das heißt, Sie müssen ausdrücklich festlegen,was ein Benutzer darf. Eine Ausnahme von diesem Prinzip gibt es inSAP ERP HCM, dort gibt es den Ausschluss der eigenen Personalnum-mer (siehe Kapitel 14, »Berechtigungen in SAP ERP HCM«).

Die Berechtigungen in SAP ERP werden überwiegend über Rollenverwaltet (SAP ERP HCM bietet noch weitere Möglichkeiten, sieheebenfalls Kapitel 14), die einem Benutzer zugewiesen werden. EineRolle besteht aus Transaktionen und Berechtigungsobjekten. DieBerechtigungsobjekte sind im Berechtigungsprofil zusammengefasstund enthalten Berechtigungsfelder, in denen Aktivitäten und weitereWerte, wie z. B. Organisationsebenen, ausgeprägt werden.

In diesem Kapitel werden die zentralen Begriffe und Konzepte derBerechtigungspflege nacheinander vorgestellt. Zunächst beschreibenwir in Abschnitt 6.1, »Benutzer/Berechtigung«, wie ein Benutzererstellt wird. In Abschnitt 6.2, »Transaktion – Programm – Berechti-gungsobjekt«, werden Transaktionen, Programme und Berechti-gungsobjekte vorgestellt. Im Anschluss daran lernen Sie Rollen undRollenprofile in Abschnitt 6.3, »Rollen und Rollenprofile«, kennen. Inden beiden letzten Abschnitten dieses Kapitels behandeln wir dieAnalyse von Berechtigungsprüfungen (Abschnitt 6.4, »Analyse vonBerechtigungsprüfungen«) sowie weitere Rollentypen in SAP ERP(Abschnitt 6.5, »Weitere Rollentypen in SAP ERP«).


146

Technische Grundlagen der Berechtigungspflege6

6.1 Benutzer/Berechtigung

Benutzerpuffer Damit eine Person im SAP-System eine Aktion ausführen kann, benö-tigt sie zunächst einen Benutzer(-stammsatz), dem die notwendigenBerechtigungen zugeordnet sind. Zu diesem Zweck werden demBenutzer Rollen zugeordnet, zu denen jeweils Berechtigungsprofilegehören, die die tatsächlichen Berechtigungen enthalten. Bei derAnmeldung eines Benutzers am System werden alle Berechtigungen,die ihm zugeordnet sind, in den Benutzerpuffer geladen. SämtlicheBerechtigungsverprobungen finden gegen den Benutzerpuffer statt.

Abbildung 6.1 zeigt einen Benutzer, dem eine Rolle zugeordnet ist,die Rolle enthält Transaktionen, ein Menü und ein Profil, das ausBerechtigungsobjekten besteht.

Abbildung 6.1 Benutzer und Berechtigungen

Die verschiedenen Benutzertypen sowie die Benutzerpflege werdenim Folgenden genauer beschrieben.

6.1.1 Benutzer

UnterschiedlicheBenutzertypen

Alle Aktionen im SAP-System werden durch Benutzer ausgeführt.Dabei gibt es unterschiedliche Benutzertypen für unterschiedlicheArten von Aktionen.

� Dialogbenutzer

� Servicebenutzer

� Kommunikationsbenutzer

� Systembenutzer

� Referenzbenutzer

PRO

FIL

Menüder

Rolle

TCD: F110, XK03, NNNN

S_TCODE

BUKRS: DEMO

FBTCH: 02, 11, 14,F_REGU_BUK

ACTVT: 01, 02FIELD: XXX

E_XAM_PLE

F110

XK03

NNNN


147

Benutzer/Berechtigung 6.1

DialogbenutzerDialogbenutzer sind für natürliche Personen personalisierte Benutzer,die sich über das SAP GUI am System anmelden. Der Dialogbenutzerist der zentrale Benutzertyp, er steht deshalb in diesem Buch im Vor-dergrund.

ServicebenutzerServicebenutzer dienen z. B. in Webservices dem anonymen Zugriffmehrerer Benutzer. Aus diesem Grund sollten die Berechtigungen fürdiesen Benutzertyp stark eingeschränkt werden. Das bedeutet auch,dass nur ein Benutzeradministrator das Kennwort ändern kann. DieAnwender melden sich über das SAP GUI an, dabei ist es möglich,dass sie sich mehrfach anmelden. Es wird nicht vom System über-prüft, ob das Kennwort abgelaufen oder initial ist.

Kommunikations-benutzer

Kommunikationsbenutzer sind systematisch personenbezogene Benut-zer, die sich allerdings nicht über das SAP GUI, sondern über RFC-Aufruf (Remote Function Call) anmelden. In diesem Fall ist es demBenutzer möglich, das Kennwort zu ändern. Es erfolgt eine Prüfung,ob das Kennwort abgelaufen oder initial ist. Je nachdem, ob sich derNutzer interaktiv angemeldet hat oder nicht, muss das Kennwortgeändert werden.

SystembenutzerSystembenutzer sind Benutzer, die in technischen Abläufen, wie z. B.Batchläufen, Verwendung finden. Der Benutzer meldet sich hiernicht über das SAP GUI an. Beim Einsatz von Systembenutzern sindMehrfachanmeldungen möglich. Für Kennwörter gibt es keine Ände-rungspflicht.

ReferenzbenutzerDer Referenzbenutzer ist ein Mittel, um die Berechtigungsadministra-tion zu vereinfachen. Es ist nicht möglich, sich über einen solchenBenutzer am SAP-System anzumelden, sondern er dient lediglichdazu, Berechtigungen zu kopieren oder zu vererben.

Das betriebswirtschaftliche Berechtigungskonzept muss auch Aussa-gen zu den dargestellten Benutzern enthalten. Regelmäßig dürfenauch für technische Benutzer nur die Berechtigungen vergeben wer-den, die erforderlich sind. Umso mehr gilt dieses Prinzip für alleBenutzer, die Personen Zugriffe auf das System ermöglichen.

6.1.2 Benutzerpflege (ABAP)

Benutzer-stammsatz

In der Benutzerpflege wird für jeden Benutzer in jedem Mandantenein Benutzerstammsatz angelegt. Er besteht aus dem Benutzernamen,Daten zur Person, Einstellungen für den Benutzer, benutzerspezifi-


148


schen Parametern, den Berechtigungen aus Rollen und/oder Profilenund einigen weiteren Einstellungen. Der Benutzerstammsatz hat eineerhebliche Bedeutung für die Sicherheit und Ordnungsmäßigkeit desSystems. Sämtliche Protokollierungen von Systemzugriffen und inden Belegen beziehen sich auf den Benutzernamen. Diese Protokollemüssen je nach definierter Aufbewahrungsfrist langfristig aufbe-wahrt werden. Sie müssen darüber hinaus lesbar bleiben, und dasbedeutet in diesem Kontext, dass der Benutzer gegebenenfalls auchnach zehn Jahren nachvollziehbar sein muss, der eine bestimmteCharge freigab oder einen Beleg buchte. Daraus ergibt sich zwingendund ausnahmslos, dass ein Benutzer nur einmalig einer Person zuge-ordnet werden darf. Benutzer zu »vererben«, also sie im Laufe derZeit unterschiedlichen Mitarbeitern zur Verfügung zu stellen, ist injedem Fall eine substanzielle Gefährdung der Sicherheit und Ord-nungsmäßigkeit.

Eine Person –ein Benutzer

Auch die Praxis, eine Person im System mit mehreren Benutzern aus-zustatten, ist eine ähnlich erhebliche Gefährdung. Allerdings kannhier eine logische Ausnahme geltend gemacht werden, wie sie z. B.im Superuser Privilege Management (SPM) von SAP BusinessObjectsAccess Control möglich ist. Dort wird in einem definierten und pro-tokollierten Verfahren aus dem »normalen« Benutzer heraus einSuperuser gestartet, der entsprechend weitreichende Berechtigungenhat. Generell gilt, wenn eine Person in einem System mehrere Benut-zer hat, ist ein Nachweis etwaiger Funktionstrennungskonflikte undebenso von Vorgängen unter Umgehung der Funktionstrennungkonzeptionell nur mit erheblichem Aufwand, praktisch hingegennicht mehr darstellbar. Auch in Bezug auf diese Praxis ist zumindestder Verdacht naheliegend, dass es sich um eine substanzielle Gefähr-dung der Sicherheit und Ordnungsmäßigkeit handelt. Die Eindeutig-keit der Zuordnung des Benutzers zur Person bezeichnen wir als Iden-titätsprinzip.

Kennwortregeln In den meisten Organisationen werden nach wie vor fast täglichBenutzer und Kennwörter weitergegeben. Der einzig regelkonformeUmgang mit diesem Missbrauch ist, diesen dauerhaft zu unterbin-den. Den Missbrauch können Sie einfach auswerten: Benutzer undRechner können ohne Schwierigkeit ermittelt werden, ebenso kannohne Schwierigkeiten festgestellt werden, welche Personen an einem


149


bestimmten Tag nicht arbeiten, bringt man diese Informationenzusammen, gelingt der konkrete Nachweis über missbräuchliche Nut-zung von Benutzern. Datenschutzrechtliche Bedenken gegen diesesVerfahren können nicht geltend gemacht werden, da eine miss-bräuchliche Nutzung von Benutzern gegebenenfalls den Zugriff aufsensible Daten (und damit einen Verstoß gegen den Datenschutz)ebenso ermöglicht wie deutliche Gefährdungen des Belegprinzips.Neben einer einschlägigen Auswertung sollten immer auch arbeits-rechtliche Schritte erwogen werden. Die Kennwortregeln werden inAbschnitt 7.3, »Parameter für Kennwortregeln«, dargestellt.

Benutzerpflege vereinheitlichen

Das Verfahren der Benutzeranlage kann über SAP BusinessObjectsAccess Control, SAP NetWeaver Identity Management, die ZentraleBenutzerverwaltung (siehe für alle drei Lösungen Kapitel 10, »Zentra-les Management von Benutzern und Berechtigungen«), vereinheit-licht und signifikant vereinfacht werden.

Vorgehen in der Benutzerpflege

Zum Anlegen oder Ändern eines Benutzers verwenden Sie die Trans-aktion SU01 (Benutzerpflege).

Beim Anlegen tragen Sie den gewünschten Benutzernamen im Feld Be-

nutzer ein und klicken auf den Button Anlegen (siehe Abbildung 6.2).In den folgenden Bildschirmen werden die Angaben und Attribute desBenutzers gepflegt.

Abbildung 6.2 Einstieg in die Benutzerpflege

Registerkarte »Adresse«

Auf der Registerkarte Adresse (siehe Abbildung 6.3) müssen Sie min-destens die Angaben zur Person pflegen.

Registerkarte »Logondaten«

Danach pflegen Sie auf der Registerkarte Logondaten den Benutzer-typ und abhängig vom Benutzertyp das Kennwort. In der Regel wer-den Sie den Dialogbenutzer pflegen.


150


Abbildung 6.3 Registerkarte »Adresse« der Benutzerpflege

Das Kennwort können Sie automatisch generieren (Button Wizard)oder manuell festlegen. Die Pflege einer Benutzergruppe für Berech-tigungen ist dringend zu empfehlen, unter anderem um grundle-gende Unterscheidungen zwischen Systemadministration und End-benutzern zu ermöglichen. Neben der Benutzergruppe fürBerechtigungsprüfungen können Benutzer beliebig vielen Gruppenzugeordnet werden (Registerkarte Gruppen). Dies dient u. a. der ver-einfachten Pflege und Auswertung (siehe Abbildung 6.4).

Registerkarte»SNC«

Auf der Registerkarte SNC (Secure Network Communications) werdenAngaben in Bezug auf ein (existierendes) Single-Sign-on-Verfahren(SSO) gepflegt. SNC ist für die Benutzerauthentifizierung verfügbarund stellt bei Verwendung des SAP GUI for Windows oder RFC eineSSO-Umgebung bereit.


151


Abbildung 6.4 Pflege der Logon-Daten des Benutzers

Registerkarte »Festwerte«

Auf der Registerkarte Festwerte pflegen Sie Benutzerfestwerte, wieStartmenü, Drucker (Ausgabegerät), Dezimaldarstellung und Zeit-zone.

Registerkarte »Parameter«

Parameter sind Angaben zum Benutzer, die ursprünglich dazu einge-richtet wurden, entsprechende Werte, wie z. B. den Buchungskreis,automatisch in die Selektion entsprechender Reports in FI zu über-nehmen. Mittlerweile werden über Parameter aber auch Zugriffs-möglichkeiten unter anderem in ESS gesteuert, damit können Para-meter fakultativ auch Zugriffsberechtigungen einschränken. Für dieParameter steht eine Werthilfe zur Verfügung (siehe Abbildung 6.5).Die einheitliche Betrachtung von Berechtigungen wird durch die Ver-wendung von Benutzerparametern erschwert.


152


Abbildung 6.5 Registerkarte »Parameter«

Registerkarte»Rollen«

Auf der Registerkarte Rollen (siehe Abbildung 6.6) können dem Benut-zer Rollen zugeordnet werden. Sofern Rollen zugeordnet sind, könnensie direkt (durch Zuordnung einer Einzelrolle oder Sammelrolle) oderindirekt zugeordnet sein. Die indirekte Zuordnung erfolgt über dasOrganisationsmanagement von SAP ERP HCM (siehe Kapitel 8, »Rollen-zuordnung über das Organisationsmanagement«).

Die unterschiedlichen Zuordnungen werden verdeutlicht durch unter-schiedliche Icons in der Spalte Typ und durch unterschiedliche farblicheCodierungen, blau gekennzeichnete Rollen sind indirekt zugeordnet.Die direkt zugeordneten Rollen sind schwarz gekennzeichnet.


153


Abbildung 6.6 Registerkarte »Rollen«

Im Feld Referenzbenutzer für zusätzliche Rechte kann ein Referenz-benutzer eingetragen werden (siehe Abschnitt 6.1.1, »Benutzer«),dessen Zuordnungen hier (ergänzend) übernommen würden.

Registerkarte »Profile«

Auf der Registerkarte Profile (siehe Abbildung 6.7) sind die demBenutzer zugeordneten Profile zusammengefasst. Ausnahmslos sol-len sämtliche Profile eines Endbenutzers »Profile zur Rolle« sein.Prinzipiell stünde auf der Registerkarte Profile auch die Möglichkeitzur Verfügung, Profile manuell zuzuordnen. In Abschnitt 6.3.1,»Berechtigungsprofile«, wird dargestellt, warum die Profilpflegejedoch keine angemessene Option für die Verwaltung von Endbenut-zerberechtigungen ist.

Abbildung 6.7 Registerkarte »Profile«


154


Dem Benutzer werden Rollen zugeordnet, diese enthalten Transakti-onen und Berechtigungsobjekte, die wir im nächsten Abschnitt dar-stellen werden.

6.2 Transaktion – Programm – Berechtigungs-objekt

In diesem Abschnitt werden wir Ihnen den Zusammenhang vonTransaktionen und Programmen, die Logik der Berechtigungsprü-fung und die Ausprägung der Berechtigungen durch Berechtigungs-objekte erläutern.

Berechtigungen dienen dazu, Programme in einer definierten Tiefeausführen zu können. Jede Programmausführung durch einen Dialog-benutzer sollte über eine Transaktion erfolgen. ECC 6.0 verfügt übermehr als 370.000 Programme und mehr als 70.000 Transaktionen.

6.2.1 Transaktion

Über einen Transaktionscode wird im SAP-System eine betriebswirt-schaftliche Funktion (eine sogenannte Transaktion) im System ausge-führt. Entsprechend ist ein Großteil der Transaktionen auch in Bezugauf die ursprünglichen Module fachlich gruppiert und im SAP EasyAccess-Menü enthalten (siehe Abbildung 6.8)

Abbildung 6.8 Transaktionen im SAP Easy Access-Menü


155

Transaktion – Programm – Berechtigungsobjekt 6.2

Eine Transaktion ist grundsätzlich mit einem ausführbaren Pro-gramm verbunden. Die Zuordnung einer Transaktion zu einem Pro-gramm dient bereits der Einschränkung von Berechtigungen. Pro-gramme können entsprechend über die Transaktion oder aber überdie direkte Programmausführung mit der Transaktion SA38 (ABAP/4-Reporting) ausgeführt werden:

� Um ein Programm über eine Transaktion ausführen zu können,braucht der Benutzer minimal die Berechtigung, die Transaktionaufrufen zu dürfen. Diese Berechtigung wird im Berechtigungsob-jekt S_TCODE (Transaktionscode-Prüfung bei Transaktionsstart)hinterlegt. Es handelt sich somit um eine spezifische Berechtigungzur Ausführung einer bestimmten Transaktion. Diese wird meis-tens noch weiter über Berechtigungsobjekte eingeschränkt.

� Um ein Programm über die Transaktion SA38 (ABAP/4-Reporting)ausführen zu können, braucht der Benutzer die Berechtigung fürdie SA38, die auch im S_TCODE hinterlegt wird. Es handelt sichsomit um eine unspezifische Berechtigung für das Ausführen allerProgramme. Diese wird noch weiter über Berechtigungsobjekteeingeschränkt.

EingangsprüfungDer Transaktion kann eine weitere Eingangsprüfung zugeordnet sein,die als zusätzliche sehr allgemeine Berechtigungsprüfung nach derPrüfung auf der Transaktionsberechtigung wirkt. Sie ist keine detail-lierte Prüfung im Programmablauf, sondern es wird lediglicherreicht, dass die definierten Werte als Berechtigung vorhanden seinmüssen. Eine logische Verbindung zu den Daten gibt es nicht.

Die Eingangsprüfung wird in der Transaktion SE93 (Pflege Transakti-onscodes) festgelegt (siehe Abbildung 6.9).

Beispiel

Wenn als Eingangsprüfung ein kundeneigenes Berechtigungsobjekt Z_ALLES_GUT mit dem Feld ALLES_GUT und dem Wert »Y« definiert ist,müssen genau diese Berechtigungen auch im Benutzerpuffer vorhandensein, unabhängig davon, dass Z_ALLES_GUT in keinem Programm alsBerechtigungsprüfung definiert ist.


156


Abbildung 6.9 Berechtigungsobjekt als Eingangsprüfung

6.2.2 Prüfung im Programmablauf

Im Programmablauf prüft das System, ob die für die Transaktionbenötigten Werte denen im Benutzerpuffer entsprechen. Im Benut-zerpuffer befinden sich meistens gleiche Berechtigungsobjekte inunterschiedlicher Ausprägung. Als Berechtigung wird das Berechti-gungsobjekt betrachtet, das die am besten passende Ausprägung hat.Das ist wichtig für die Logik von Rollen: Geprüft wird jeweils gegendas für den Anwendungsfall am weitesten berechtigte Berechtigungs-objekt – ohne Relation zur Transaktion.

Prüfung bei Aufrufeiner Transaktion

Beim Aufruf einer Transaktion wird immer zunächst das Berechti-gungsobjekt S_TCODE (Transaktionscode-Prüfung bei Transaktions-start) abgeprüft. Danach können nahezu beliebig viele weitere Prü-fungen vorgesehen sein. Dies ist unmittelbar abhängig vomjeweiligen Programm. Im Quellcode ist die jeweilige Prüfanweisungfestgelegt als Check eines Berechtigungsobjekts und seiner Felder –dabei müssen nicht alle Felder eines Berechtigungsobjekts verprobtwerden. Der entsprechende String der Prüfanweisung ist authority-check (siehe Abbildung 6.10).


669

Index

* 178/SAPCND/CM 5210BI_ALL 538, 5400TCAACTVT 531, 5340TCAIPROV 531, 534, 5480TCAKYFNM 5320TCAVALID 531, 534

A

ABAP 647ABAP Dictionary 158, 647ABAP Source Scan 196ABAP-Benutzertyp 398Abgabenordnung 647Abgabenordnung und Grundsätze zum

Datenzugriff und zur Prüfbarkeit digitaler Unterlagen 105

abgeleitete Rolle 514Typisierung 198

abgeleitete Rollen generierenDrucktaste 187

Ablauforganisation 647betriebswirtschaftliches Berechtigungs-

konzept 108IdM 312

ableiten aus Rolle 186Ableitung

Abweichung 351beim Anlegen einer Rolle 167Manipulation 351

Ableitungsbeziehung 187Ableitungskonzept 252, 647

Abweichung 188Abstraktion 623Abweichung von Vorschlagswert

Dokumentation 180Access Control 616, 638, 647, 658

Benutzerverwaltung 323Compliant User Provisioning 366Enterprise Role Management 366IdM und Organisationsmanagement

342Risk Analysis and Remediation 366Risk Terminator 366

Access Control (Forts.)SAP NetWeaver IdM 341Superuser Privilege Management 366Vorschlagswerte 208ZBV 321

Access Control Engine (ACE) 427, 486, 647

Access Control List 491, 497, 647ACE-Aktionsgruppe 647ACE-Aktivierungs-Tool 494ACE-Aktualisierungs-Tool 495ACE-Benutzergruppe 488, 647ACE-Design-Report 493ACE-Laufzeit-Report 495ACE-Recht 488, 647ACE-Regel 488, 489, 647Active Directory 647

IdM 329SAP NetWeaver IdM 330

Actors from Objects 489Actors from User 489Ad-hoc Query 245, 647Aggregationsberechtigung 534, 543AktG � siehe Aktiengesetz (AktG)Aktiengesetz (AktG) 647Aktionsgruppe 488, 490Aktivität

Berechtigungskonzept 73Aktortyp 489, 648ALE 648

ZBV 316alternative Hierarchien 578, 648

Controlling 81Analyse von Berechtigungsprüfun-

gen 191individuelle 162

Analyseberechtigungen 530, 532Analyse-Synthese Konzept 63Analytics 503Angebot

Verkaufsprozess 128Anspruchsgruppen 31Anzeigeattribute 532Application Link Enabling � ALE


670

Index

Application Programming Interface (API) 384

Arbeitspaket 63, 490, 648Archivierung 530ARIS 30, 648ASAP 29, 648Attributgruppe 457, 480Audit 648Auditierbarkeit 203Aufbauorganisation 59, 62, 648

betriebswirtschaftliches Berechtigungs-konzept 108

ERP 76IdM 312

Aufgabe 31, 55, 63, 71, 621, 648Berechtigungskonzept 73Funktionstrennungskonflikt 622

Aufgabenanalyse 69, 621, 648Aufgabensynthese 71, 622Berechtigungskonzept 40Objektanalyse 70Stelle 71Stellen- und Abteilungsbildung 71Verrichtungsanalyse 70

Auftragsart 89, 648Auftragsbearbeiter 507Auftragserfassung

Verkaufsprozess 128Auftragsposition 128Auktion 502Auswertung

Profilzuordnung 346Auswertungsweg 420, 648

Organisationsmanagement 278Authority-Check 156, 196, 648

B

B_BUPA_GRP 468B_BUPA_RLT 468, 522B_BUPR_BZT 470BAdl 487BANF 135, 593, 648Barriereprinzip 532Batch

Berechtigungen 610Batchbenutzer 610BBM1 522BBP_BUDGET 522

BBP_CTR_2 518BBP_FUNCT 522, 523BBP_PD_AUC 515BBP_PD_BID 515BBP_PD_CNF 515BBP_PD_CTR 515, 518BBP_PD_INV 516BBP_PD_PCO 515BBP_PD_PO 515BBP_PD_QUO 515BBP_PD_SC 515BBP_PD_VL 516BBP_SUS_P2 520BBP_SUS_PD 520BBP_VEND 523BDSG 110, 648Beleg 511, 513, 648

Bewegungsdaten 553Belegpositionsdaten 136Belegprinzip 117Benachrichtigungs-E-Mail 389Benutzer 146, 450, 648

HCM-OM 409pro Mandant 147Protokollierungen von Systemzugriffen

148Rollenzuordnung 181

Benutzer synchronisierenZBV 320

Benutzerabgleich 182Benutzeradministration 509Benutzeranlage 149Benutzerauthentifizierung 150Benutzerdaten

Organisationsmanagement 310Benutzerfehler 34Benutzerfestwerte 151Benutzergruppe 150, 453, 510, 524,

649Benutzerinformationssystem 356Benutzerkennung 313Benutzerkontext 490, 495Benutzerkonto 308, 311Benutzermanagementlösung

SAP NetWeaver IdM 329Benutzermenü 224, 438, 446, 462Benutzerparameter 151, 454

ZBV 315Benutzerpflege 147


671

Index

Benutzerpuffer 146Benutzerrolle 432, 433, 435, 436,

437, 438, 444, 448, 450, 452, 454, 455, 458, 649Zuweisung 448

Benutzerrollenzuweisung 448benutzerspezifische Parameter 148Benutzerstammabgleich 283, 649Benutzerstammsatz 146, 381, 453

Benutzernamen 147Elemente 147IdM, Attribute 315ZBV, zentrale und dezentrale Pflege

318Benutzertyp 146, 149, 397, 649

Betriebswirtschaftliches Berechti-gungskonzept 147

Benutzerverwalter 601Benutzerverwaltung (Java) 382Benutzer-Workflow 375, 649Benutzerzuordnung 538Berechtigungen 158, 649

Customizing 162IdM, regelbasiert 310Profilgenerator 171Standards 345Trace 260Upgrade 206Vertragsverhältnis 310vorschlagsbasiert 349

Berechtigungsdaten ändernDrucktaste 171, 172

Berechtigungsdifferenzierung 60Berechtigungserstellung 382Berechtigungsfeld 158, 649

anlegen 263Berechtigungsgruppe 162, 232, 468,

649Debitor 128Haushaltsmanagement 234Optionale Prüfung 235organisatorisches Unterscheidungs-

merkmal 243Tabellenzugriff 234

Berechtigungshauptschalter 649HCM 413

Berechtigungskonzept 39, 63, 390, 436, 465, 649Aufgabenanalyse 40

Berechtigungskonzept (Forts.)betriebswirtschaftliches 40Blueprints 614Corporate Governance 41Erweiterungsprojekt 613Funktionstrennung 616heterogene Systemlandschaften 614IKS 614Inhalte 41Kosten der Prävention 41Kosteneinsparung 615Revision 614SAP-Einführung 613Stammdaten 552Standardisierung von Geschäftsprozes-

sen 614Standards 614technisches 39Upgrade 613Verfahrenssicht 615

Berechtigungsmigration 546Berechtigungsobjekt 158, 442, 503,

508, 509, 511, 516, 649applikationsübergreifende Nutzung

162ausprägen 176Berechtigungsgruppe 235erforderliche Berechtigungen 177F_REGU_BUK 568F_REGU_KOA 568gelbe Ampel 178Generische Pflege 178Inaktiv setzen 177k_cca 577K_VRGNG 582kritische 354M_BEST_EKO 160, 161manuell 176P_ORGIN 158P_PERNR 413P_TCODE 413S_BDC_MONI 355S_CTS_ADMI 604S_DEVELOP 354, 607S_RFC 355S_TABU_DIS 157, 241, 244, 350,

354S_TCODE 155, 156, 347S_USER_AGR 603


672

Index

Berechtigungsobjekt (Forts.)S_USER_PRO 603S_USER_SAS 603Status 176, 179, 205Status Gepflegt 179Status Manuell 179Status Standard 179Status Verändert 179Teilgenerische Pflege 178Transaktion 161V_VBAK_AAT 598V_VBAK_VKO 598

Berechtigungsobjekte hinzuzufügenin Rolle 175

Berechtigungspflegeregelbasiert 203

BerechtigungsprofilHistorie 163keine Vorschlagswerte 164manuelle Pflege 163Nachteile 164Nutzung ausschließen 345Pflege über den Profilgenerator 163

Berechtigungsprotokoll 541, 542Berechtigungsprüfung 532Berechtigungsrelevanz 530, 531, 534Berechtigungstrace 193, 483Berechtigungstyp 535Berechtigungsverwaltung

Funktionstrennung 600Berechtigungsvorlagen 190Berechtigungsvorschlag

Menü 169Bereichsmenü 224, 649Bereichsrolle 649

Rollenmanager 294Bereichsrollenkonzept 290, 649

Rollenmanager 293Bereichsstartseite 429, 433, 435, 436,

446, 457, 460, 650Beschaffungsprozess

Bestellung 133Freigabeverfahren 135Lieferant 133Rechnungsprüfung 133Wareneingang 133

BeschreibungRolle 167

Bestellanforderung 589, 593, 650

Bestellung 591Beschaffungsprozess 133Bewegungsdaten 553

betrieblicher Datenschutz 110Betriebsrat 53, 650

Datenschutz 108, 112Betriebsverfassung 53, 650betriebswirtschaftliches Berechti-

gungskonzept 613, 650Anforderungen 107Aufwand 30Benutzertypen 147Berechtigungsverwaltung 637Cross System Integration 616Datenschutz 108, 634funktionale Differenzierung 615Genehmigung 633Genehmigungsprinzip 636Grundprinzipien 117grüne Wiese 619IKS 631Implentierung 617Inhalte 31, 631institutioneller Rahmen 633komponentenbezogene Workshops 29Konfiguration 635Methode der Benutzerpflege 635Methode der Berechtigungspflege 634minimale Normen 634Mitbestimmung 634Organisationsabbildung 620organisatorische Differenzierung

616, 637Partizipation 31Prozessabbildung 620Rechnungslegungsvorschriften 634Rechtsform der Organisation 50Redesign 617, 620Risikobetrachtung 635Schriftformprinzip 632Standardprinzip 637Stellenprinzip 636Systemlandschaft 634Teilkonzept 615Vier-Augen-Prinzip 637

BewegungsartBeschaffungsprozes 136

BewegungsdatenBeleg 553


673

Index

Bieter 506BP 442, 451Branche

Regelkonformität 102Browser 428BSP 428, 503, 509, 650BSP-Applikation 428, 432, 440BSP-Komponente 439Buchhaltungsbeleg 136Buchungen

Controlling 581FI 564

Buchungskreis 78, 86, 650Beschaffungsprozess 134Customizing 555Verkaufsprozess 128

Bundesdatenschutzgesetz 110Bundesdatenschutzgesetz (BDSG) 650Business Add-in (BAdI) � BAdlBusiness Process

Access Control 367Business Role 432Business Server Pages (BSP) � BSPBW-Berechtigungen 547BW-Berechtigungsobjekte 529

S_RS_AUTH 530S_RSEC 530

BW-Berechtigungsprüfung 542

C

C_CABN 480C_KLAH_BKL 481C_KLAH_BKP 480C_LL_TGT 466, 467C_TCLA_BKA 481Catalog Content Management 502Checkpoint 485COM_ASET 521COM_PRD 471, 521COM_PRD_CT 471COMMPR01 521Compliance 28, 32, 650

Ziel 38Compliant Identity Management 342Compliant User Provisioning (CUP)

323, 650Access Control 366

Configuration Tool 386

ControllingUnterstützungsprozess 138

Corporate Governance 28, 37, 650Definition 38Managementaufgabe 38Organisation 39

COSO-Rahmenkonzept 100CRM Web Client 427, 428, 433, 435,

436, 437, 439, 440, 451, 453, 650Anmeldung 455

CRM_ACE_MD 496CRM_ACT 479CRM_BPROLE 468CRM_CMP 479CRM_CO_PU 479CRM_CO_SA 479CRM_CO_SE 479CRM_CO_SL 479CRM_CON_SE 479CRM_CPG 481CRM_CPGAGR 481CRM_CPGCTP 481CRM_CPGRES 481CRM_LEAD 479CRM_OPP 479CRM_ORD_LP 473, 477CRM_ORD_OE 480CRM_ORD_OP 472CRM_ORD_PR 479CRM_SAO 479CRM_SEO 479CRM_UI_PROFILE 454CRM_UIF_NAV_AUTH 485CRM-Business-Objekt 427, 650CRMC_UI_COMP_IP 461, 464CRMC_UI_NBLINKS 433, 459CRMC_UI_PROFILE 436, 459CRMD_UI_ROLE_ASSIGN 452, 453,

454CRMD_UI_ROLE_PREPARE 444, 457CRMD_UI_ROLE_REPARE 448CRM-Navigationsleiste 429Cross-Navigation 465CUP 366Customizing 427


674

Index

D

Data Browser 650Zugriff ausschließen 349

Databrowser 240DataStore-Objekte 544Datenquelle 386, 387, 388, 396Datenschutz 650

betrieblicher 110Definition von personenbezogenen

Daten 110elektronische Datenverarbeitung 110EU 109IKS 113Schweiz 110sensitive Daten 110Vereinigte Staaten – Geltung der EU-

Richtlinie 109Datenschutzgesetze der Länder 110,

651Datenschutzleitfaden

Regelkonformität 100Datenschutzrecht 108Datenschutzrichtlinien 108Datenselektion 532Datenübermittlung

Datenschutz 111Datenverarbeitung

Datenschutz 111Debitor 651

Feldstatusgruppenpflege 559Funktionstrennung 128Stammdaten 557Stammdatum 595Verkaufsprozess 127

Debitorenbuchhaltung 127Debitorenpflege

buchhalterische Sicht 127logistische Sicht 127zentrale Sicht 127

Debugging 36, 651Berechtigungen 607

deduktiver Ansatz 94Definition von personenbezogenen

Daten 110deklarative Berechtigung 394detektivische Kontrolle 103, 365Dialogbenutzer 147, 651

keine Profile 346

Dienstleistungsbeschaffung 502Differenzierung von Berechtigungen

58Differenzierungsschema 72Directory Server Log 401direkte Leistungsverrechnung 138direkte Zuordnung 152Dokumente zu Bewegungsdaten 530Download

Rolle 269DSMLv2

SAP NetWeaver IdM 330

E

Einfügen Berechtigungen 176Eingabekontrolle 113Eingangsprüfung 155Einkauf

Berechtigungsprüfung für Sachkon-ten 594

Einkäufer-Administrator 506Einkäufergruppe 90, 504, 512, 514,

523, 651Beschaffungsprozess 135Customizing 584

Einkäuferorganisation 503, 511, 512, 523

Einkaufsorganisation 90, 504, 508, 514, 651Beschaffungsprozess 134Customizing 584

Einkaufswagen 502, 505, 510, 512, 513, 515

Einlinienorganisation 59, 80Einstellung

Zugriffsrechte 308Einzelrolle 165

Typisierung 198Elementarfunktion 621E-Mail-Konto 308Enjoy-Transaktion 213, 592, 651Enterprise Role Management (ERM)

208, 366, 651Access Control 366

Enterpriserolle 624Typisierung 198

Entwicklertrace 193, 260Ergebnisbereich 88


675

Index

erweiterte StammdatenprüfungBerechtigungshauptschalter 414

EU-Datenschutzrichtlinie 109Excluding 534Expertenmodus zur Profilgenerierung

Drucktaste 171externe Regeln 31externer Service 439, 440, 442, 445,

446, 448, 462, 651Vorschlagswerte 209

F

F2-Hilfe 457, 462Faktura 598, 651

Customizing 599Verkaufsprozess 130

Fakturaart 599FDA Compliance 619Federal Drug Administration (FDA)

619Fehlersuche 486

im CRM Web Client 483Feld

REPSAREA 255RESPAREA 575

Feldstatusgruppen 651Feldstatusgruppenpflege

Debitor 559Kreditor 559

Feldwerte in Berechtigungsobjekten 157

Festwerte 151Filterprinzip 533Finanzbuchhaltung 78, 651Finanzkreis 79Finanzpositionenhierarchie 79Finanzstellenhierarchie 79Firmenadresse

ZBV 319Fonds 80Formalziel 51Freigabestrategie 651

Finanzwesen 565Freigabeverfahren 651

Beschaffung 589Beschaffungsprozess 135

Führungsaufgabenunternehmerische 28

FunktionAccess Control 369

funktionale Rolle 651Definition 199Rollenmanager 291Typisierung 198

Funktionsbereich 79, 87, 651Berechtigungsgruppe 556Customizing 556

Funktionstrennung 34, 651betriebswirtschaftliches Berechtigungs-

konzept 108Debitor 128Definition 35, 106GoBS 106im Transportwesen 604in Bezug auf Organisation 57Intersystemkonflikt 132Intrasystemkonflikt 132Kosten 37Maßgaben 140Rollenzuweisung 324unzureichend 614wirksame 364Zahllauf 569

Funktionstrennungskonflikt 31, 35, 621, 652Identitätsprinzip 148

Funktionstrennungsprinzip 117

G

GDPdU 105Gebot

Regelkonformität 99gelbe Ampel 178Genehmiger

Access Control CUP 327Genehmigungsprinzip 117, 652Genehmigungsprozess 652

SAP NetWeaver IdM 330Genehmigungsprozess SAP NetWeaver

IdM 337Genehmigungsverfahren 61Genehmigungsworkflow 524Generieren des Rollenprofils 180Generierung 539, 543, 545generisch 239


676

Index

generische PflegeBerechtigungsfeld 178S_TCODE 347

generischer Link 465Gesamtberechtigung

Drucktaste 174Geschäftsbereich 79, 86, 652Geschäftspartner 53, 127, 450, 451,

457, 468, 503, 510, 511, 521, 522, 652

Geschäftspartnerbeziehung 470Geschäftspartnermanagement 78Geschäftspartnerrolle 468Geschäftsprozess 652

Definition 64Kerngeschäftsprozess 65Steuerungsprozess 65

Geschäftsrollenhierarchie 652SAP NetWeaver IdM 334

Geschäftsvorgang 450, 457, 471Geschäftsvorgangsart 474, 652Geschäftsvorgangstyp 479, 518, 652Gesellschaft 79

Customizing 555Gesetz zur Kontrolle und Transparenz

in Unternehmen (KonTraG) � Kon-TraG

GoB 103, 105, 652GoBS 105, 652Grundsätze ordnungsgemäßer Buch-

führung (GoB) � GoBGrundsätze ordnungsgemäßer DV-

gestützter Buchführungssysteme (GoBS) � GoBS

Gruppe mit direkten Links 430, 434, 652

Gültigkeitsbereich 535Gültigkeitsdauer von Kennwörtern

224

H

Handelsgesetzbuch 103Handelsgesetzbuch (HGB) � HGBHashwert 445HGB 652Hierarchieberechtigungen 533, 535Hierarchiestruktur 536

Hosting 652Hostingpartner 53, 653

I

IC Web Client 427, 653Identitätsprinzip 117, 148, 653Identity Center

SAP NetWeaver IdM 338Identity Management

Zweck 308Identity Management (UME) 382,

390, 391, 395, 396Identity Services

SAP NetWeaver IdM 331Identity Store

SAP NetWeaver IdM 333IKS 653

Berechtigungskonzept 103COSO 100Datenschutz 113Definition 102Grundlagen 102

Implementierungsmethoden 619inaktiv setzen 177Inbound-Plug 440, 442, 458, 653indirekte Benutzerzuordnung 180indirekte Rollenzuordnung 416, 653

Organisationsmanagement 278indirekte Zuordnung 152induktiver Ansatz 95, 617InfoProvider 547Information und Kommunikation

IKS 100Infotyp 408, 653

0105 (Kommunikation) 280IT0105 (Kommunikation) 412Tabellen 410

InitiatorDefinition 325

Innenauftrag 579, 653institutioneller Organisationsbegriff

Regelkonformität 101Integration der Organisationssichten

84Integrierte Planung 530, 546Interaktionskanäle 427internationale Normen

Regelkonformität 98


677

Index

interne Regeln 50Internes Kontrollsystem (IKS) � IKSInternet Transaction Server (ITS) 503,

504, 508, 653Intervallberechtigungen 534Intervallpflege

S_TCODE 347IT-Grundschutzkatalog 653

Regelkonformität 100iView 509, 510

J

J2EE-Sicherheitsrolle 390, 394, 653Java 382Java Connector (JCo) 388, 653Java-Benutzertyp 398

K

Kalkulationsschema 598, 653Kameralistik 104Kategorisierungsobjekt 653

Rollenmanager 293Kennwort 148

Missbrauch 148Kennworthistorie 224Kennwortregeln 148Kennzahl 532Kernprozess 126Klasseneinteilung

Berechtigungsobjekt 161Klassifikation 480Kommunikationsbenutzer 147, 388kompensierende Kontrolle 365, 653Komponentenfenster 440, 442, 458,

462Komponentenname 440, 458, 462Komponenten-Plug 462Kondition 521, 654

Verkauf 596Verkaufsprozess 128

Konditionsart 522Konditionsfindung 128Konditionspflege 596Konfiguration

Funktionstrennung 622Konfiguration der UME 386

Konnektor 654SAP NetWeaver IdM 330

Kontengruppe 128, 239, 557Kontenplan 86, 654Kontextlösung 423, 654

Berechtigungshauptschalter 414Organisationsmanagement 416

kontextsensitive Berechtigungen 423, 654

Kontierungsobjekt 80, 654als Unterscheidungsmerkmal 69CO 138

KonTraG 105, 652, 654Kontrollaktivitäten

IKS 100Kontrolle 654Kontrollprinzip 117Kontrollumfeld

IKS 100Kopfblock 435Kosten und Leistungen 581Kostenart 572, 654Kostenrechnungskreis 87, 654

Customizing 570Kostenstelle 80, 573, 654Kostenstellenhierarchie 66, 654Kostenstellenrechnung 80Kostenstellenstandardhierarchie 80,

88, 571Kreditkrontrolle 598Kreditor 133, 654

Feldstatusgruppenpflege 559Stammdaten 557

Kreditorenbuchhaltung 133, 506Kreditorenkonto 134kriminelle Handlung 34kritische Aktion 31, 35, 654

betriebswirtschaftliches Berechtigungs-konzept 108

Datenschutz 114Definition 36, 107

kritische Berechtigung 35, 654Definition 36GoBS 106

kritische Berechtigungsobjekte 354kritische Transaktionen 354Kunde

Geschäftspartner und Berechtigung 78


678

Index

Kunde (Forts.)Stammdatum 595Verkaufsprozess 127

kundeneigene Transaktion 654Trace 260

Kunden-Exit 537kurative Maßnahmen 34

L

Lagerort 91, 654Beschaffungsprozess 136Customizing 585

LaufbahnZugriffsrechte 308

Layoutprofil 434LDAP 382, 655LDAPv3

SAP NetWeaver IdM 330LDAP-Verzeichnis 382, 388legale Normen 50, 98

Definition 99Leistungserbringer 507Leistungsverrechnung 138Lieferant 501, 506, 509, 510, 523,

524Beschaffungsprozess 133Geschäftspartner und Berechtigung

78Stammdaten 552

Lieferanten-Administrator 507Lieferantenbeziehung 501Lieferantenqualifizierung 502Lieferplan 598Liefersperre

Verkaufsprozess 130Lieferung

Verkaufsprozess 129Lightweight Directory Access Protocol

(LDAP) � LDAPLinienorganisation 62, 655

Organisationsmanagement 276Linienvorgesetzter 69, 655Link, generischer � siehe generischer

LinkLinkgruppe 433LISTCUBE 530LL_TGT 466LL_TYPE 466

Log Viewer 401Logging 400, 655

Datenschutz 115Logischer Link 429, 433, 436, 442,

446, 457, 461, 655logisches System 655

ZBV 316Logondaten 149Lotus Notes


M

M_BBP_PC 522Manager 505Mandant 86, 655manueller Zahlungsausgang 566Marketingelement 457, 481Marketingmerkmal 480Material 128, 655

Stammdaten 552Materialart 585, 655Materialnummer, 136Materialstamm

Customizing 585Matrixorganisation 59, 61, 655MDX 530Mehrlinienorganisation 59, 60Menü 446, 655

Berechtigungsvorschlag 169Rolle 167Transaktionen 167

Menükonzept 169Menüschalter im Customizing 229Metarolle

SAP NetWeaver IdM 331Metarollenhierarchie

SAP NetWeaver IdM 334Metarollenmodell 313Minimalprinzip 117

GoBS 106Missbrauch

Kennwort 148Mitarbeiter 505


MitarbeitergruppeHCM-OM 410


679

Index

MitarbeiterkreisHCM-OM 410

Mitbestimmung 53Datenschutz 112

MMC-Snap-inSAP NetWeaver IdM 338

Mobile Client 427Monitoring 655

Datenschutz 115MS Exchange

SAP NetWeaver IdM 330Muster 534

N

NamenskonventionRolle 166

natürliche PersonDialogbenutzer 147

Navigationsleiste 429, 437Navigationsleistenprofil 432, 433,

434, 437, 458, 655Nebenbuchhaltung 127, 655neues Berechtigungskonzept im Cont-

rolling 583Norm 655

Vorschlagswerte 206normativ 655normativer Rahmen

normative Vorgaben und Organisa-tion 45

Organisation 101Regelkonformität 101

O

Oberflächenberechtigung 427, 457Oberflächenmenü 508Oberflächenrolle 432Objects by Filter 489Objekt

Organisationslehre 57Objektbezeichnung 441Objektkontext 491, 496Objekttyp 409, 488OneOrder-Objekt 656Operational Contract Management

502operativer Einkäufer 505

operativer Kontrakt 502optionale Prüfung 656Oracle

SAP NetWeaver IdM 330Ordnerfreigabe 308Organisation 656

Ablauforganisation 49, 56Aufbauorganisation 49, 55, 59Begriff 49Einlinienorganisation 59formale Organisation 59funktionale Sicht 56institutioneller Begriff 49, 50instrumenteller Begriff 49, 55konfigurative Sicht 49, 55Linienorganisation 49, 60Objektsicht 57Organisationsebene 57Organisationsformen 49Organisationsstruktur 55Organisationszweck 51Projektorganisation 49Prozessmodell 49Rechenschaftspflichten 54Rechtsform 52Rechtsnormen 52Stelle 71Verrichtungssicht 57zentrale Unterscheidungsmerkmale

92Organisationsebene 85, 656

Auswertung der Nutzung 620Berechtigungen 85Customizing 553Definition in Bezug auf Berechtigun-

gen 85Einkäufergruppe 160Einkaufsorganisation 160erstellen 252im Profil zur Rolle 174individuelle Pflege 174kundeneigene 85Pflege in Rolle 174Rolle 174Stammdaten 552Werk 160Zuordnung 554

Organisationsebenenobjekt 656Rollenmanager 293


680

Index

Organisationseinheit 448HCM-OM 409IdM 310Organisationsmanagement 276

Organisationsmanagement 276, 416, 571, 656Benutzerdaten 310IdM 329Linienorganisation 276Metarolle 336SAP NetWeaver IdM und SAP

BusinessObjects Access Control 342ZBV 321

Organisationsmodell 448, 450, 452, 453, 454, 455, 473, 474, 475, 503, 504, 505, 510, 511, 523

OrganisationsschlüsselHCM-OM 410

Organisationszweck 656Regelkonformität 101

organisatorische Differenzierung 57, 656Ableitung 185Rollenableitung 185Rollenmanager 288Vereinfachung 288

organisatorische KonzepteERP 77

P

Paket 247Parameter 151

auth/authorization_trace 260login/accept_sso2_ticket 222login/fails_to_session_end 222login/fails_to_session_lock 223login/min_DONWARDS_

COMPATIBILITY 224login/min_password_diff 223login/min_password_digits 223login/min_password_expiration_time

224login/min_password_history 224login/min_password_letters 223login/min_password_lng 223login/min_password_lowercase 223login/min_password_specials 224login/min_password_uppercase 224

Parameter (Forts.)login/min_password_waittime 224

Parametertransaktionen 246, 656Partner-Channel-Management 487Partnerfunktion 471, 656Passwortregel 388People-Centric UI 427Permission 390, 391, 656Persistenzmanager 384, 656Person 656


HCM-OM 409IdM 310Organisationsmanagement 276

PersonalbereichHCM-OM 409

Personalisierung 432, 524Personalnummer

Berechtigungshauptschalter 414Personalrat 53

Datenschutz 108PFCG 446PFCG-Rolle 393, 396, 427, 433, 434,

435, 437, 438, 444, 452, 454, 487, 503, 504, 508, 510Zuweisung 448

Plan-Driven Procurement � planungs-gesteuerte Beschaffung

Planstelle 448, 450, 451, 452, 453, 511, 656HCM-OM 409IdM 310Organisationsmanagement 276

planungsgesteuerte Beschaffung 502, 503, 506

PlanungsstatusHCM-OM 409

PlanvarianteHCM-OM 409

Platzhaltereinträge 178Portalberechtigung 503, 504Portalintegration 428Portalrolle 381, 390, 509, 524, 525,

657Position

Zugriffsrechte 308positive Berechtigung 145PPOCA_BBP 512


681

Index

PPOMA_BBP 504, 512PPOMA_CRM 448präventive Kontrollen 103, 657präventive Maßnahmen 34, 657Primärkosten 138, 657Primärkostenart 571Prioritäten

Access Control 368Produkt 468, 471, 521Profil 153, 453

Rollenprofile 153ZBV 315

Profil generieren 180Profilart 434Profilgenerator 163, 164, 442, 657

Vorschlagswerte 202Profilparameter

AUTH/NO_CHECK_IN_SOME_CASES 212

Profilverwalter 601Profit-Center 88, 657

Customizing 577Profit-Center-Hierarchie 81, 571Programm

Berechtigungsprüfung 352kundeneigenes 352

programmatische Berechtigung 394programmatische Berechtigungs-

prüfung 391Programmausführung

Berechtigung 350Spezifische Berechtigung 155Unspezifische Berechtigung 155

Programmierrichtlinie 352Projektorganisation 59, 62, 63Projektstrukturplan 83Protokollierung 657Protokollierung der Programmnutzung

Datenschutz 115Protokollierungen von System-

zugriffenBenutzer 148

ProvisionierungsaufgabeIdM 333

Prozess 64, 657Prozesskontrolle 34, 657Prozessorganisation 59Prüfkennzeichen 211, 441Prüfreihenfolge 471

Prüfung der rechnerischen Richtigkeit 133

Prüfung der sachlichen Richtigkeit 133

Q

Query 245, 250, 532, 657Zugriff ausschließen 349

Quick ViewerZugriff ausschließen 349

R

Radierverbot 657Debugging 36

rechnerische Richtigkeit 657Rechnungslegungsgrundsätze 52Rechnungsprüfung 595

Beschaffungsprozess 133Rechnungssteller 507Rechtsform

Regelkonformität 99, 101, 102rechtsgleich

Regelkonformität 99Rechtsnormen 51Rechtsquellen

externes Rechnungswesen 103redundanzfreies Menü 225Referenzbeleg 598Referenzbenutzer 147, 153, 657

ZBV 315Referenzrolle 185, 657

Normative Vorgabe 186Typisierung 198

Regelkonformität 32, 98, 657Compliance 32IdM 312Kontrolle 32Organisation 32Schaden 32Vorschlagswerte 207Ziel 38

Regelwerk 363Regelwerk der Organisation 31Remote Function Call (RFC) � RFCReport

PFCG_ORGFIELD_CREATE 256PFCG_ORGFIELD_UPGRADE 218


682

Index

Report (Forts.)PFCG_TIME_DEPENDENCY 182,

272, 283RHAUTUPD_NEW 182, 283RSPARAM 222

Report Painter 657Report Writer 658

Drucktaste 183Reporting-Berechtigungen 546Repository

SAP NetWeaver IdM 334REPSAREA 658Requester 513RFC 605, 657, 658

Berechtigungen 605ZBV 317

RFC-DestinationenRolle 170

RFC-FunktionsbausteineVorschlagswerte 209

Risikoaktivitätsbezogenes 33Definition 33Definition für Berechtigungen 35Funktionstrennung 34Grenzen der Erfassung 36Kosten der Erfassung 37Organisationsziel 33prozessuales 33strategisches 33

RisikobeurteilungIKS 100

Risk Analysis and Remediation (RAR) 658Access Control 366

Risk Terminator (RT) 366, 658Access Control 366

Rolle 152, 658Berechtigungsobjekte hinzuzufügen

175Berichte einbinden 183Definition durch Transaktionen 347Download 269HCM-OM 409Namenskonvention 166Organisationsebene 174Profilgenerator 164Rollenname 165stellenbasierte Vergabe 74

Rolle (Forts.)Transport 271Upgrade 216Upload 269ZBV 315Zuordnung zu Benutzer 181

Rolle Zielsystem 170Rollenableitung 184Rollenadministrator 601rollenbasiertes Konzept 163Rollenkonfigurationsschlüssel 434,

435, 658Rollenmanager 287, 658

freie Adaption 290OM 290

Rollenmanager-Rolle 658Typisierung 198

Rollenmenü 224, 446Rollentyp 165RSECADMIN 533, 541Runtime-Engine


S

S_RS_AUTH 539S_TABU_DIS 496S_TCODE 442, 446, 509, 523SA38 444, 452SAAB 485Sachkontenstammsatz 557Sachkonto

Stammdaten 552, 557sachliche Richtigkeit 658Sachziel 51Safe Harbor Privacy Principles 658

Datenschutz 109Sammelrolle 165, 455

Definition 199Kontext Organisation 74Typisierung 198

SAP Best Practices-Ansatz 625SAP Best Practices-Template

Rollen 626Rollenkatalog 627Rollenkonzept 624

SAP Business Suite 427SAP CRM 427


683

Index

SAP Customer Relationship Manage-ment � siehe SAP CRM

SAP Easy Access Menü 224SAP ERP 502SAP GUI 427, 428, 442, 451, 455,

509SAP NetWeaver Administrator (NWA)

385, 401SAP NetWeaver Application Server

381SAP NetWeaver AS ABAP 381, 503,

510SAP NetWeaver AS Java 381

SAP NetWeaver Business Warehouse (BW) 502

SAP NetWeaver Identity Management (IdM) 329, 382, 658Access Control 341Organisationsmanagement und SAP

BusinessObjects Access Control 342Verfügbarkeit 331Vertretungsregelung 337

SAP NetWeaver IdM Genehmigungs-prozess 337

SAP NetWeaver IdM Self-Services 337

SAP NetWeaver Portal 381, 385, 503, 504, 509, 510, 525

SAP Solution Manager 619, 638SAP SRM 381, 501

Berechtigungsvergabe 504Oberfläche 503

SAP Supplier Relationship Manage-ment � siehe SAP SRM

SAP_ALL 54, 539SAP_CRM_UIU_FRAMEWORK 453,

464SAP_J2EE_ADMIN 396SAP_NEW 220SAP-Benutzerkonto

IdM 308SAP-Einführung

Teilprojekt Berechtigungen 30SAPJSF 388SapWorkDir-Verzeichnis 444, 446Sarbanes-Oxley Act (SOX) 103, 658Satzung 52

Schriftformbetriebswirtschaftliches Berechtigungs-

konzept 108Schriftformprinzip 117, 658Schutzbedarfsanalyse 617SE16 461Secure Network Communications 150Security Audit Log 400Security Log 400Sekundärkosten 138, 659Sekundärkostenart 571Self-Service 502, 505, 506, 510, 512

SAP NetWeaver IdM 337Self-Service Procurement 502sensitive Daten 659

Datenschutz 110Service Procurement 502Service, externer � siehe externer Ser-

viceServicebenutzer 147Sicherheitskonzept 386, 388Sicherheitsleitfäden von SAP

Regelkonformität 100Single Sign-on (SSO) 150, 222, 384,

659soziale Normen

Definition 101Regelkonformität 98

Sparte 91, 659Customizing 585Verkaufsprozess 128

Spezialisierung 56Spezialmerkmale 531, 534SPM 366SQL-Trace

Datenschutz 115SRM-Geschäftsprozesse 504SRM-Geschäftsszenarien 501, 509SRM-Geschäftsvorgänge 510SRM-Server 510SRM-Standardrolle 501SSO 659SSO-Ticket 222ST01 483, 486staatlicher Zugriff auf Daten 99Staging 530Stakeholder 54Stakeholder-Ansatz 31, 659


684

Index

Stakeholder-NormenDefinition 101Regelkonformität 98

Stammdaten 57, 450, 468, 511, 521, 552Berechtigungskonzept 552Controlling 570

StammdatenprüfungBerechtigungshauptschalter 413

Standardprinzip 117Standardrolle 464, 504, 507, 510Standards 659

Berechtigungen 345Regelkonformität 98

Standards und internationale NormenDefinition 99

StandardtransaktionenVorschlagswerte 204

Startmenü 151Status

Berechtigungsobjekt 179, 205gepflegt 205manuell 205Standard 205Verändert 205

Status manuellBerechtigungsobjekt 176

Stelle 59, 71, 622, 659HCM-OM 409IdM 310Organisationsmanagement 277

Stellenbildung 56Stellenprinzip 117Sternchenausprägung 178Strategic Sourcing 502strategische Bezugsquellenfindung

502strategischer Einkäufer 505strukturelle Berechtigungen 659

Berechtigungshauptschalter 414Organisationsmanagement 416organisatorische Differenzierung 418Risikoanalyse 422SAP BusinessObjects Access Control

422strukturelle Profile 315, 659strukturelles Berechtigungsprofil

Definition 418SU01 315, 450, 453, 509, 510

SU21 482, 516SU22 439, 442, 443SU24 442, 443, 448SU25 443SU53 484

Nachteile 193Subtyp 409Suchseiten 430, 431, 435SUIM 484Superobjekttypen 488Superuser 148, 659Superuser Privilege Management

(SPM) 659Access Control 366

Supplier Qualification 502Supplier Self-Service 506, 507, 510,

511, 523System Trace 177, 193, 483Systembenutzer 147, 388, 660Systemzugriff 309

T

Tabelleder Berechtigungsadministration 359SSM_CUST 229USOBT 203USOBT_C 171, 203USOBX 260USOBX_C 209

Tabellenberechtigungen 349Tabellenberechtigungsgruppe 240TADIR-Services

Vorschlagswerte 209technische Standards 345technisches Berechtigungskonzept

145, 162, 660Definition 39

technisches Profil 434Teilaufgabe 63, 71, 621, 660

Berechtigungskonzept 73Teilaufgaben 31teilgenerisch 239teilgenerische Pflege

Berechtigungsfeld 178Tochtersystem

ZBV 317Toleranzzeitraum

Berechtigungshauptschalter 414


685

Index

Trace 660Interpretation der Werte 195Nachweis erforderlicher Berechtigun-

gen 177System Trace 177

Trace-Datei 400Tracing 400Transaktion 660

ABAP/4 Reporting – SA38 155Abgleich Benutzerstamm – PFUD

182Allgemeine Tabellenanzeige – SE16N

245Allgemeine Tabellenanzeige – SE17

245Aufruf View-Pflege – SM30 245Auswertung der Berechtigungsprüfung

– SU53 192Auswertung Verwendung 621Benutzerpflege – SU01 149Berechtigungsgruppe zu Tabellen und

Views – SM30_V_BRG 241Berechtigungsobjekt 161Berechtigungsobjekte nach komplexen

Selektionskriterien – S_BCE_68001413 197

Berechtigungspflege 267Bereichsmenüpflege – SE43 226Bestellung ändern – ME22N 592Bestellung anlegen – ME21N 160,

210, 591Bestellung anzeigen – ME23N 213,

592Data Browser – Se16 245Databrowser – SE16 240Eingangsprüfung 155Eingangsrechnung erfassen – MIRO

595Einstellung des Einstiegsmenüs –

SSM2 225entfernen 205F-28 (Zahlungseingang buchen) 566F-53 (Zahlungsausgang buchen) 566Faktura ändern – VF02 599Faktura anlegen – VF01 599FB60 (Kreditorenrechnung erfassen)

564FB70 (Debitorenrechnung erfassen)

564

Transaktion (Forts.)HR:OOAC (Berechtigungshauptschal-

ter) 414immer über Menü 168KA01 (Kostenart anlegen) 571KA02 (Kostenart ändern) 571KA06 (Kostenart sekundär

anlegen) 571Konditionen ändern – VK32 596Konditionen anlegen – VK31 596Konditionen anzeigen – VK33 596Kostenstelle ändern – KS02 573Kostenstelle anlegen – KS01 573Kostenstellengruppe anlegen – KSH1

574Kostenstellenstandardhierarchie

ändern – OKEON 573Kreditorenpflege 237kritische 354Lieferung ändern – VL02N 599Lieferung anlegen – VL01N 599Mandantenverwaltung – SCC4 607Manuelle Pflege von Profilen – SU02

163MIRO (Eingangsrechnung erfassen)

564Object Navigator – SE80 196PA30 (Personalstammdaten pflegen)

410PA40 (Personalmaßnahme) 281PA40 (Pflege über Personalmaßnah-

men) 410PFCG (Pflege von Rollen) 205Pflege der Berechtigungsfelder – SU20

263Pflege der Profilparameter – RZ10

221Pflege der Profilparameter – RZ11

260Pflege Transaktionscodes – SE93 155Pflege von Rollen – PFCG 163Pflegen der Berechtigungsobjekte –

SU21 265PFUD (Abgleich Benutzerstamm)

283PPOME (Organisation und Besetzung

ändern) 281Profile bearbeiten – RZ10 260Profilparameter – RZ11 610


686

Index

Transaktion (Forts.)Profit Center Ändern – KE52 578Profit Center Anlegen – KE51 578Programm 155Programmausführung – SA38 256SA38 (ABAP/4 Reporting) 350SE16 (Data Browser) 350SE38 (ABAP Editor) 354Sicht Komponenten aktivieren/Steue-

rungskennzeichen ändern – OKKP 578

SM12 (Sperren anzeigen und löschen) 356

SM13 (Verbuchungssätze administrie-ren) 356

SM35 (Batch-Input-Monitoring) 355Speicher-Param. für Tabellen pflegen –

SE13 609spezifische Berechtigung für eine Pro-

grammausführung 155Standardhierarchie ändern –

KCHN5N 578SU02 (Profile) 345SU24 (Pflege der Zuordnungen von

Berechtigungsobjekten zu Transakti-onen) 204

SU25 (Upgrade-Tool für den Profilge-nerator) 206

SU25 (Upgrade-Tool) 203SUIM (Benutzerinformationssystem)

356System-Trace – ST01 193Transaktionspflege – SE93 246Upgradetool für den Profilgenerator –

SU25 216VF01 (Anlegen Faktura) 564VF02 (Ändern Faktura) 564Vorschlagswerte 209Warenbewegung – MIGO 594Wareneingang vorerfassen – MIR7

595Zuordnung Berechtigungsgruppe zu

Tabelle/View - SM30_V_DDAT 242

Transaktionscode 660Funktion 154

Transaktionsstarter 466Transport von Rollen 271

TransportauftragVorschlagswerte 214

True and Fair View 632, 660Controlling 570

Trusted RFC 606

U

Übersichtsseite 430, 435Überwachung

IKS 100UI-Komponente 428, 439, 441, 442,

443, 446, 457UIU_COMP 439, 442, 443, 446, 457,

461, 467UME

Architektur 384Benutzer 395Benutzeroberfläche 385Datenquelle 383, 387Import- und Exportfunktion 383Konfiguration 386Self-Service 383Sicherheitseinstellung 383

UME-Aktion 390, 391, 396, 660UME-Funktionen 382UME-Gruppe 390, 392, 395, 400, 660UME-Gruppen 510UME-Konfiguration 398UME-Rolle 390, 395, 399, 660Umwelt 46unkritische Berechtigungen 116, 660Unterdrückung der Berechtigungsprü-

fung 212Unternehmensorganisation 82, 571,

660Unterstellungsverhältnis 60Untrusted RFC 606Upgrade 660

Berechtigungen 206, 216Projekt 221Rolle 206, 216Status von Berechtigungsobjekten

180Teilprojekt Berechtigungen 30

Upgrade-Kosten 203Upload

Rolle 269User 661


687

Index

User Lifecycle Management 311, 661User Management Engine (UME)

381, 661USOBT 439, 442USOBT_C 439, 442, 444USOBX 439, 442USOBX_C 439, 442, 444

V

Variablen 533, 536Veränderungshistorie

SAP NetWeaver IdM 331Verantwortungsbereich 661Verbot

Regelkonformität 99Verfahrensverzeichnis

Datenschutz 114Verfügbarkeit

SAP NetWeaver IdM 331Verfügbarkeitskontrolle 113Verkäufergruppe 475, 661

Customizing 585Verkaufsbelegart

Verkaufsprozess 129Verkaufsorganisation 91, 475, 661


Verkaufsprozess 127Angebot 128Auftragserfassung 128Debitor 127Faktura 130Konditionen 128Lieferung 129Zahlungseingang 131

Verrichtung 63Berechtigungskonzept 73Organisationslehre 57

Verrichtungen 31Versand 598Verteilung von Benutzerdaten

SAP NetWeaver IdM 331Vertrag

Regelkonformität 102vertragliche Normen

Definition 100Regelkonformität 98

VertragsverhältnisBerechtigungen 310

VertretungsregelungSAP NetWeaver IdM 337

VertriebsauftragsartCustomizing 597Risiko 597

Vertriebsorganisation 480Vertriebsweg 91


Vier-Augen-Prinzip 661Benutzer- und Berechtigungsadminist-

ration 637Debitor 128Debitorenbuchhaltung 561Kreditor 134

View 432, 440Visual Administrator 394, 401Vorgangsart 479, 517Vorlagerolle 185

Typisierung 198Vorschlagswert 439, 442

Normativer Nutzen 206Regelkonformität 207Standardtransaktionen 204Tabellen und ihre Relation 214Ziel 206

Vorschlagswerte Access Control 208Vorschlagswerte Profilgenerator 202

W

WareneingangBeschaffungsprozess 133, 136

Warenversender 507Warenzusteller 506Web Dynpro 385, 387Webservices 147Weitergabekontrolle 113Werk 90, 661

Customizing 584Wertrolle 661

Definition 199Typisierung 198

Workflow 661Workflow-Typ

Access Control CUP 326


688

Index

Z

Zahllauf 57, 131, 133, 661Finanzwesen 568

ZahlungseingangVerkaufsprozess 131

ZahlungsprogrammFinanzwesen 568

ZBV 661Access Control 321Definition 315logisches System 316Organisationsmanagement 321Tochtersystem 317

ZBV (Forts.)zentraler Pflegemandant 316

Zentrale Benutzerverwaltung (ZBV) � ZBV

zentraler PflegemandantZBV 316

Ziel-ID 461, 463Zielsystem

Rolle 170Zugangskontrolle 114Zugriffskontrolle 114Zuordnungsblock 430, 431, 435, 661Zuständigkeitsrolle 661

Rollenmanager 291Zutrittskontrolle 113


Documents

SAP-Berechtigungswesen - ReadingSample - … · 2015-02-22 · Inhalt 9 4.5 Allgemeine Anforderungen an ein Berechtigungskonzept ..... 116 4.5.1 Identitätsprinzip ..... 118 4.5.2