SAP PRESS
SAP-Berechtigungswesen
Konzeption und Realisierung
vonVolker Lehnert, Katharina Stelzner
Neuausgabe
Rheinwerk Verlag 2009
Verlag C.H. Beck im Internet:www.beck.de
ISBN 978 3 8362 1349 3
schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG
Bonn � Boston
Volker Lehnert, Katharina Bonitz
SAP®-Berechtigungswesen
1349.book Seite 3 Montag, 5. Oktober 2009 4:07 16
Auf einen Blick
1 Einleitung ................................................................... 21
TEIL I Betriebswirtschaftliche Konzeption
2 Einführung und Begriffsdefinition .................................. 27
3 Organisation und Berechtigungen ................................. 45
4 Rechtlicher Rahmen – normativer Rahmen .................... 97
5 Berechtigungen in der Prozesssicht ............................... 125
TEIL II Werkzeuge und Berechtigungspflege im SAP-System
6 Technische Grundlagen der Berechtigungspflege ............ 145
7 Systemeinstellungen und Customizing ........................... 201
8 Rollenzuordnung über das Organisationsmanagement .... 275
9 Automatisierte organisatorische Differenzierung: der Rollenmanager ...................................................... 287
10 Zentrales Management von Benutzern und Berechtigungen ........................................................... 307
11 Berechtigungen: Standards und Analyse ........................ 345
12 SAP BusinessObjects Access Control ............................. 363
13 User Management Engine ............................................ 381
TEIL III Berechtigungen in spezifischen SAP-Lösungen
14 Berechtigungen in SAP ERP HCM ................................. 405
15 Berechtigungen in SAP CRM ........................................ 427
16 Berechtigungen in SAP SRM ......................................... 501
17 Berechtigungen in SAP NetWeaver BW ......................... 527
18 Prozesse in SAP ERP – spezifische Berechtigungen ......... 551
19 Konzepte und Vorgehen im Projekt .............................. 613
Anhang
A Abkürzungsverzeichnis ................................................. 643
B Glossar ....................................................................... 647
C Literaturverzeichnis ..................................................... 663
D Die Autoren ................................................................ 667
1349.book Seite 5 Montag, 5. Oktober 2009 4:07 16
7
Inhalt
Vorwort ................................................................................... 17Danksagung ................................................................................ 19
1 Einleitung ................................................................. 21
TEIL I Betriebswirtschaftliche Konzeption
2 Einführung und Begriffsdefinition ........................... 27
2.1 Methodische Überlegungen ........................................ 282.1.1 Ansätze für das betriebswirtschaftliche
Berechtigungskonzept .................................... 292.1.2 Beteiligte am Berechtigungskonzept ............... 31
2.2 Compliance ist Regelkonformität ................................ 322.3 Risiko ......................................................................... 332.4 Corporate Governance ................................................ 372.5 Technische versus betriebswirtschaftliche Bedeu-
tung des Berechtigungskonzepts ................................. 392.6 Technische versus betriebswirtschaftliche Rolle .......... 41
3 Organisation und Berechtigungen ........................... 45
3.1 Organisatorische Differenzierung am Beispiel .............. 463.2 Einführung .................................................................. 493.3 Institutioneller Organisationsbegriff ............................ 50
3.3.1 Organisationszweck ....................................... 513.3.2 Rechtsformen der Organisation ...................... 523.3.3 Organisation und Umwelt .............................. 533.3.4 Zusammenfassung .......................................... 54
3.4 Instrumenteller Organisationsbegriff ........................... 553.4.1 Spezialisierung (Arbeitsteilung) ...................... 563.4.2 Aufbauorganisation ........................................ 593.4.3 Aufgabenanalyse ............................................ 69
3.5 Folgerungen aus der Organisationsbetrachtung ........... 753.6 Sichten der Aufbauorganisation in SAP-Systemen ....... 76
3.6.1 Organisationsmanagement ............................. 773.6.2 Organisationssicht des externen
Rechnungswesens .......................................... 78
1349.book Seite 7 Montag, 5. Oktober 2009 4:07 16
Inhalt
8
3.6.3 Organisationssicht des Haushalts-managements ................................................ 79
3.6.4 Organisationssicht der Kostenstellen-standardhierarchie ......................................... 80
3.6.5 Organisationssicht der Profit-Center-Hierarchie ..................................................... 81
3.6.6 Unternehmensorganisation ............................ 823.6.7 Organisationssicht im Projektsystem .............. 823.6.8 Logistische Organisationssicht ....................... 833.6.9 Integration der Organisationssichten im
Berechtigungskonzept ................................... 843.7 Organisationsebenen und -strukturen in SAP ERP ...... 85
3.7.1 Organisationsebene »Mandant« ..................... 863.7.2 Relevante Organisationsebenen des
Rechnungswesens ......................................... 863.7.3 Relevante Organisationsebenen in MM ......... 903.7.4 Relevante Organisationsebenen im
Vertrieb ......................................................... 913.7.5 Relevante Organisationsebenen in der
Lagerverwaltung ............................................ 913.7.6 Integration der Organisationsebenen im
Berechtigungskonzept ................................... 913.8 Hinweise zur Methodik im Projekt ............................. 933.9 Fazit ........................................................................... 95
4 Rechtlicher Rahmen – normativer Rahmen .............. 97
4.1 Interne und externe Regelungsgrundlagen ................. 984.2 Internes Kontrollsystem ............................................. 1024.3 Rechtsquellen des externen Rechnungswesens ........... 103
4.3.1 Rechtsquellen und Auswirkungen für den privaten Sektor .............................................. 104
4.3.2 Konkrete Anforderungen an das Berechtigungskonzept ................................... 107
4.4 Datenschutzrecht ....................................................... 1084.4.1 Gesetzliche Definitionen in Bezug auf die
Datenverarbeitung ........................................ 1114.4.2 Rechte des Betroffenen ................................. 1124.4.3 Pflichten in Bezug auf das IKS ........................ 1124.4.4 Konkrete Anforderungen an das
Berechtigungskonzept ................................... 1144.4.5 Regelkonformität versus Datenschutz ............ 115
1349.book Seite 8 Montag, 5. Oktober 2009 4:07 16
Inhalt
9
4.5 Allgemeine Anforderungen an ein Berechtigungskonzept ................................................ 1164.5.1 Identitätsprinzip ............................................. 1184.5.2 Minimalprinzip .............................................. 1184.5.3 Stellenprinzip ................................................. 1194.5.4 Belegprinzip der Buchhaltung ........................ 1204.5.5 Belegprinzip der Berechtigungsverwaltung ..... 1204.5.6 Funktionstrennungsprinzip ............................. 1204.5.7 Genehmigungsprinzip .................................... 1214.5.8 Standardprinzip .............................................. 1214.5.9 Schriftformprinzip .......................................... 1224.5.10 Kontrollprinzip ............................................... 122
4.6 Fazit ........................................................................... 123
5 Berechtigungen in der Prozesssicht ......................... 125
5.1 Prozessübersicht ......................................................... 1255.2 Der Verkaufsprozess ................................................... 1275.3 Der Beschaffungsprozess ............................................. 1335.4 Unterstützungsprozesse .............................................. 1375.5 Maßgaben für die Funktionstrennung ......................... 1405.6 Fazit ........................................................................... 142
TEIL II Werkzeuge und Berechtigungspflege im SAP-System
6 Technische Grundlagen der Berechtigungspflege .... 145
6.1 Benutzer/Berechtigung ............................................... 1466.1.1 Benutzer ........................................................ 1466.1.2 Benutzerpflege (ABAP) ................................... 147
6.2 Transaktion – Programm – Berechtigungsobjekt .......... 1546.2.1 Transaktion .................................................... 1546.2.2 Prüfung im Programmablauf ........................... 1566.2.3 Berechtigungsobjekt ...................................... 158
6.3 Rollen und Rollenprofile ............................................. 1636.3.1 Berechtigungsprofile ...................................... 1636.3.2 Anlage und Pflege von Rollen ........................ 164
6.4 Analyse von Berechtigungsprüfungen ......................... 1916.4.1 Auswertung der Berechtigungsprüfung ........... 1926.4.2 Analyse im Programmablauf System-Trace/
Berechtigungstrace ......................................... 1936.4.3 Prüfung des Programms ................................. 196
6.5 Weitere Rollentypen in SAP ERP ................................. 197
1349.book Seite 9 Montag, 5. Oktober 2009 4:07 16
Inhalt
10
6.5.1 Sammelrolle .................................................. 1986.5.2 Wertrolle/funktionale Rolle ........................... 199
6.6 Fazit ........................................................................... 200
7 Systemeinstellungen und Customizing .................... 201
7.1 Pflege und Nutzung der Vorschläge für den Profil-generator ................................................................... 2027.1.1 Funktion für den Profilgenerator .................... 2047.1.2 Funktion im Upgrade ..................................... 2067.1.3 Normativer Nutzen ........................................ 2067.1.4 Nutzen der Vorschlagswerte für Risiko-
analyse und externe Rollenpflegetools ........... 2077.1.5 Grundzustand und Pflege der Vorschlags-
werte ............................................................ 2087.2 Upgrade von Berechtigungen ..................................... 2167.3 Parameter für Kennwortregeln ................................... 2217.4 Customizing-Einstellungen zum Menükonzept ........... 2247.5 Berechtigungsgruppen ............................................... 232
7.5.1 Optionale Berechtigungsprüfungen auf Berechtigungsgruppen ................................... 234
7.5.2 Tabellenberechtigungen ................................ 2407.5.3 Berechtigungsgruppen als Organisations-
ebenen .......................................................... 2437.6 Parameter- und Query-Transaktionen ........................ 244
7.6.1 Parametertransaktion zur Pflege von Tabellen über definierte Views ...................... 246
7.6.2 Parametertransaktion zur Ansicht vonTabellen ........................................................ 249
7.6.3 Querys in Transaktionen umsetzen ................ 2507.7 Anhebung eines Berechtigungsfeldes zur Organi-
sationsebene .............................................................. 2527.7.1 Auswirkungsanalyse ...................................... 2527.7.2 Vorgehen zur Anhebung eines Feldes zur
Organisationsebene ....................................... 2567.7.3 Anhebung des Verantwortungsbereichs zur
Organisationsebene ....................................... 2577.8 Entwickler- und Berechtigungstrace ........................... 260
7.8.1 Vorgehen für den Entwickler- und Berechtigungstrace ........................................ 260
7.9 Berechtigungsfelder und -objekte anlegen ................. 2637.9.1 Berechtigungsfelder anlegen .......................... 2637.9.2 Berechtigungsobjekte anlegen ....................... 265
1349.book Seite 10 Montag, 5. Oktober 2009 4:07 16
Inhalt
11
7.10 Weitere Transaktionen der Berechtigungs-administration ............................................................ 267
7.11 Rollen zwischen Systemen oder Mandanten bewegen 2697.11.1 Down-/Upload von Rollen ............................. 2697.11.2 Transport von Rollen ...................................... 271
7.12 Benutzerstammabgleich .............................................. 2727.13 Fazit ........................................................................... 273
8 Rollenzuordnung über das Organisationsmanagement ...................................... 275
8.1 Grundkonzept des SAP ERP HCM-Organisations-managements ............................................................. 276
8.2 Fachliche Voraussetzungen ......................................... 2798.3 Technische Umsetzung ............................................... 279
8.3.1 Voraussetzungen ............................................ 2808.3.2 Technische Grundlagen des SAP ERP HCM-
Organisationsmanagements ........................... 2808.3.3 Zuweisung von Rollen .................................... 2818.3.4 Auswertungsweg ............................................ 2828.3.5 Benutzerstammabgleich ................................. 283
8.4 Konzeptionelle Besonderheit ...................................... 2838.5 Fazit ........................................................................... 284
9 Automatisierte organisatorische Differenzierung: der Rollenmanager ................................................... 287
9.1 Herausforderung und Lösungsansatz ........................... 2889.1.1 Rollenmanager OM ........................................ 2919.1.2 Bereichsrollenkonzept .................................... 2939.1.3 Kombination von Bereichsrollen und OM ...... 296
9.2 Umsetzungsbeispiel für das Bereichsrollenkonzept ...... 2979.3 Integration, Einschränkungen und Perspektiven .......... 3059.4 Fazit ........................................................................... 305
10 Zentrales Management von Benutzern und Berechtigungen ........................................................ 307
10.1 Grundlagen ................................................................ 30810.1.1 Betriebswirtschaftlicher Hintergrund .............. 30810.1.2 User Lifecycle Management ........................... 31110.1.3 SAP-Lösungen für die zentrale Verwaltung
von Benutzern ................................................ 314
1349.book Seite 11 Montag, 5. Oktober 2009 4:07 16
Inhalt
12
10.2 Zentrale Benutzerverwaltung ..................................... 31410.2.1 Vorgehen zur Einrichtung einer ZBV .............. 31610.2.2 Integration mit dem Organisations-
management von SAP ERP HCM ................... 32110.2.3 Integration mit SAP BusinessObjects
Access Control .............................................. 32110.3 SAP BusinessObjects Access Control Compliant
User Provisioning ....................................................... 32310.4 SAP NetWeaver Identity Management ....................... 329
10.4.1 Relevante technische Details ......................... 33010.4.2 Funktionsweise ............................................. 33110.4.3 Technische Architektur .................................. 33810.4.4 Integration von SAP BusinessObjects Access
Control .......................................................... 34110.5 Fazit ........................................................................... 343
11 Berechtigungen: Standards und Analyse ................. 345
11.1 Standards und ihre Analyse ........................................ 34511.1.1 Rolle anstelle von Profil ................................. 34511.1.2 Definition der Rolle durch Transaktionen ....... 34711.1.3 Vorschlagsnutzung ........................................ 34911.1.4 Tabellenberechtigungen ................................ 34911.1.5 Programmausführungsberechtigungen ........... 35011.1.6 Ableitung ...................................................... 35111.1.7 Programmierung – Programmierrichtlinie ...... 352
11.2 Kritische Transaktionen und Objekte .......................... 35411.3 Allgemeine Auswertungen technischer Standards ....... 356
11.3.1 Benutzerinformationssystem .......................... 35611.3.2 Tabellengestützte Analyse von
Berechtigungen ............................................. 35911.4 Fazit ........................................................................... 362
12 SAP BusinessObjects Access Control ...................... 363
12.1 Grundlagen ................................................................ 36312.2 Risk Analysis and Remediation ................................... 36712.3 Enterprise Role Management ..................................... 37312.4 Compliant User Provisioning ...................................... 37512.5 Superuser Privilege Management ............................... 37712.6 Risk Terminator .......................................................... 37912.7 Fazit ........................................................................... 380
1349.book Seite 12 Montag, 5. Oktober 2009 4:07 16
Inhalt
13
13 User Management Engine ........................................ 381
13.1 Überblick über die UME ............................................. 38213.1.1 UME-Funktionen ........................................... 38213.1.2 Architektur der UME ...................................... 38413.1.3 Oberfläche der UME ...................................... 38513.1.4 Konfiguration der UME .................................. 386
13.2 Berechtigungskonzept des SAP NetWeaver AS Java .... 39013.2.1 UME-Rollen ................................................... 39013.2.2 UME-Aktionen ............................................... 39113.2.3 UME-Gruppe ................................................. 39213.2.4 J2EE-Sicherheitsrollen .................................... 394
13.3 Benutzer- und Rollenadministration mit der UME ....... 39513.3.1 Voraussetzungen zur Benutzer- und Rollen-
administration ................................................ 39513.3.2 Administration von Benutzern ........................ 39613.3.3 Benutzertypen ............................................... 39713.3.4 Administration von UME-Rollen .................... 39913.3.5 Administration von UME-Gruppen ................. 40013.3.6 Tracing und Logging ....................................... 400
13.4 Fazit ........................................................................... 402
TEIL III Berechtigungen in spezifischen SAP-Lösungen
14 Berechtigungen in SAP ERP HCM ............................ 405
14.1 Grundlagen ................................................................ 40514.2 Besondere Anforderungen von SAP ERP HCM ............ 40614.3 Berechtigungen und Rollen ......................................... 408
14.3.1 Berechtigungsrelevante Attribute in SAP ERP HCM ................................................ 408
14.3.2 Beispiel Personalmaßnahme ........................... 41014.4 Berechtigungshauptschalter ........................................ 41314.5 Organisationsmanagement und indirekte Rollen-
zuordnung .................................................................. 41614.6 Strukturelle Berechtigungen ........................................ 417
14.6.1 Das strukturelle Berechtigungsprofil ............... 41814.6.2 Auswertungsweg ............................................ 42014.6.3 Strukturelle Berechtigungen und
Performance .................................................. 42114.6.4 Anmerkung zu strukturellen Berechtigungen ... 422
14.7 Kontextsensitive Berechtigungen ................................ 42314.8 Fazit ........................................................................... 425
1349.book Seite 13 Montag, 5. Oktober 2009 4:07 16
Inhalt
14
15 Berechtigungen in SAP CRM .................................... 427
15.1 Grundlagen ................................................................ 42815.1.1 Die SAP CRM-Oberfläche: der CRM Web
Client ............................................................ 42815.1.2 Erstellen von Benutzerrollen für den CRM
Web Client .................................................... 43615.2 Abhängigkeiten zwischen der Benutzerrolle und
PFCG-Rollen .............................................................. 43715.3 Erstellen von PFCG-Rollen abhängig von
Benutzerrollen ........................................................... 43815.3.1 Voraussetzungen für das Erstellen von
PFCG-Rollen .................................................. 43915.3.2 Erstellen von PFCG-Rollen ............................. 444
15.4 Zuweisen von Benutzerrollen und PFCG-Rollen .......... 44815.5 Beispielszenarien für Berechtigungen in SAP CRM ...... 457
15.5.1 Berechtigen von Oberflächenkomponenten ... 45715.5.2 Berechtigen von Transaktionsstarter-Links ..... 46615.5.3 Berechtigen von Stammdaten ........................ 46815.5.4 Berechtigen von Geschäftsvorgängen ............. 47115.5.5 Berechtigen von Attributgruppen .................. 48015.5.6 Berechtigen von Marketingelementen ........... 481
15.6 Fehlersuche im CRM Web Client ................................ 48315.7 Access Control Engine ................................................ 48615.8 Fazit ........................................................................... 499
16 Berechtigungen in SAP SRM .................................... 501
16.1 Grundlagen ................................................................ 50116.2 Berechtigungsvergabe in SAP SRM ............................. 504
16.2.1 Berechtigen der Oberflächenmenüs ............... 50816.2.2 Berechtigen typischer Geschäftsvorgänge ...... 510
16.3 Fazit ........................................................................... 525
17 Berechtigungen in SAP NetWeaver BW .................. 527
17.1 OLTP-Berechtigungen ................................................ 52817.2 Analyseberechtigungen .............................................. 530
17.2.1 Grundlagen ................................................... 53117.2.2 Schrankenprinzip ........................................... 53217.2.3 Transaktion RSECADMIN .............................. 53317.2.4 Berechtigungspflege ...................................... 533
1349.book Seite 14 Montag, 5. Oktober 2009 4:07 16
Inhalt
15
17.2.5 Zuordnung zu Benutzern: Transaktion RSU01 und SU01 ........................................... 537
17.2.6 Analyse und Berechtigungsprotokoll .............. 54117.2.7 Generierung ................................................... 54317.2.8 Berechtigungsmigration ................................. 546
17.3 Modellierung von Berechtigungen in SAP NetWeaver BW ................................................... 54717.3.1 InfoProvider-basierte Modelle ........................ 54717.3.2 Merkmalsbasierte Modelle ............................. 54817.3.3 Gemischte Modelle ........................................ 549
17.4 Fazit ........................................................................... 549
18 Prozesse in SAP ERP – spezifische Berechtigungen ... 551
18.1 Grundlagen ................................................................ 55218.1.1 Stamm- und Bewegungsdaten ........................ 55218.1.2 Organisationsebenen ..................................... 553
18.2 Berechtigungen im Finanzwesen ................................. 55418.2.1 Organisatorische Differenzierungskriterien ..... 55518.2.2 Stammdaten .................................................. 55718.2.3 Buchungen ..................................................... 56418.2.4 Zahllauf .......................................................... 568
18.3 Berechtigungen im Controlling ................................... 57018.3.1 Organisatorische Differenzierungskriterien ..... 57018.3.2 Stammdatenpflege ......................................... 57118.3.3 Buchungen ..................................................... 58118.3.4 Altes und neues Berechtigungskonzept im
Controlling ..................................................... 58318.4 Berechtigungen in der Logistik (allgemein) .................. 584
18.4.1 Organisatorische Differenzierungskriterien ..... 58418.4.2 Materialstamm/Materialart ............................ 585
18.5 Berechtigungen im Einkauf ......................................... 58918.5.1 Stammdatenpflege ......................................... 58918.5.2 Beschaffungsabwicklung ................................. 589
18.6 Berechtigungen im Vertrieb ........................................ 59518.6.1 Stammdatenpflege ......................................... 59518.6.2 Verkaufsabwicklung ....................................... 597
18.7 Berechtigungen in technischen Prozessen ................... 60018.7.1 Funktionstrennung in der Berechtigungs-
verwaltung ..................................................... 60018.7.2 Funktionstrennung im Transportwesen ........... 60418.7.3 RFC-Berechtigungen ...................................... 605
1349.book Seite 15 Montag, 5. Oktober 2009 4:07 16
Inhalt
16
18.7.4 Debugging-Berechtigungen ........................... 60718.7.5 Mandantenänderung ..................................... 60718.7.6 Änderungsprotokollierung ............................. 60918.7.7 Batchberechtigungen ..................................... 610
18.8 Fazit ........................................................................... 610
19 Konzepte und Vorgehen im Projekt ......................... 613
19.1 Berechtigungskonzept im Projektbezug ...................... 61319.2 Vorgehensmodell ....................................................... 616
19.2.1 Logischer Ansatz ........................................... 61719.2.2 Implementierung ........................................... 61919.2.3 Redesign ....................................................... 62019.2.4 Konkretes Vorgehen ...................................... 621
19.3 SAP Best Practices-Template-Rollenkonzept ............... 62419.3.1 SAP Best Practices ......................................... 62519.3.2 SAP-Template-Rollen .................................... 62619.3.3 Methodische Vorgehensweise des SAP Best
Practices-Rollenkonzepts ............................... 62719.3.4 Einsatz mit SAP BusinessObjects Access
Control .......................................................... 63019.4 Inhalte eines Berechtigungskonzepts .......................... 631
19.4.1 Einleitung und normativer Rahmen des Konzepts ....................................................... 633
19.4.2 Technischer Rahmen ..................................... 63419.4.3 Risikobetrachtung ......................................... 63419.4.4 Person – Benutzer – Berechtigung ................. 63519.4.5 Berechtigungsverwaltung .............................. 63719.4.6 Organisatorische Differenzierung ................... 63719.4.7 Prozessdokumentation .................................. 63719.4.8 Rollendokumentation .................................... 638
19.5 Fazit ........................................................................... 638
Anhang ........................................................................... 641
A Abkürzungsverzeichnis ......................................................... 643B Glossar ................................................................................. 647C Literaturverzeichnis .............................................................. 663D Die Autoren ......................................................................... 667
Index ................................................................................... 669
1349.book Seite 16 Montag, 5. Oktober 2009 4:07 16
145
In diesem Kapitel erfahren Sie, wie Sie Benutzer und Rollen anlegen können. Darüber hinaus soll ein grundlegendes Ver-ständnis der Wirkung von Berechtigungen geschaffen werden.
6 Technische Grundlagen der Berechtigungspflege
Das technische Berechtigungskonzept von SAP ERP ist ein positivesBerechtigungskonzept: Das heißt, Sie müssen ausdrücklich festlegen,was ein Benutzer darf. Eine Ausnahme von diesem Prinzip gibt es inSAP ERP HCM, dort gibt es den Ausschluss der eigenen Personalnum-mer (siehe Kapitel 14, »Berechtigungen in SAP ERP HCM«).
Die Berechtigungen in SAP ERP werden überwiegend über Rollenverwaltet (SAP ERP HCM bietet noch weitere Möglichkeiten, sieheebenfalls Kapitel 14), die einem Benutzer zugewiesen werden. EineRolle besteht aus Transaktionen und Berechtigungsobjekten. DieBerechtigungsobjekte sind im Berechtigungsprofil zusammengefasstund enthalten Berechtigungsfelder, in denen Aktivitäten und weitereWerte, wie z. B. Organisationsebenen, ausgeprägt werden.
In diesem Kapitel werden die zentralen Begriffe und Konzepte derBerechtigungspflege nacheinander vorgestellt. Zunächst beschreibenwir in Abschnitt 6.1, »Benutzer/Berechtigung«, wie ein Benutzererstellt wird. In Abschnitt 6.2, »Transaktion – Programm – Berechti-gungsobjekt«, werden Transaktionen, Programme und Berechti-gungsobjekte vorgestellt. Im Anschluss daran lernen Sie Rollen undRollenprofile in Abschnitt 6.3, »Rollen und Rollenprofile«, kennen. Inden beiden letzten Abschnitten dieses Kapitels behandeln wir dieAnalyse von Berechtigungsprüfungen (Abschnitt 6.4, »Analyse vonBerechtigungsprüfungen«) sowie weitere Rollentypen in SAP ERP(Abschnitt 6.5, »Weitere Rollentypen in SAP ERP«).
1349.book Seite 145 Montag, 5. Oktober 2009 4:07 16
146
Technische Grundlagen der Berechtigungspflege6
6.1 Benutzer/Berechtigung
Benutzerpuffer Damit eine Person im SAP-System eine Aktion ausführen kann, benö-tigt sie zunächst einen Benutzer(-stammsatz), dem die notwendigenBerechtigungen zugeordnet sind. Zu diesem Zweck werden demBenutzer Rollen zugeordnet, zu denen jeweils Berechtigungsprofilegehören, die die tatsächlichen Berechtigungen enthalten. Bei derAnmeldung eines Benutzers am System werden alle Berechtigungen,die ihm zugeordnet sind, in den Benutzerpuffer geladen. SämtlicheBerechtigungsverprobungen finden gegen den Benutzerpuffer statt.
Abbildung 6.1 zeigt einen Benutzer, dem eine Rolle zugeordnet ist,die Rolle enthält Transaktionen, ein Menü und ein Profil, das ausBerechtigungsobjekten besteht.
Abbildung 6.1 Benutzer und Berechtigungen
Die verschiedenen Benutzertypen sowie die Benutzerpflege werdenim Folgenden genauer beschrieben.
6.1.1 Benutzer
UnterschiedlicheBenutzertypen
Alle Aktionen im SAP-System werden durch Benutzer ausgeführt.Dabei gibt es unterschiedliche Benutzertypen für unterschiedlicheArten von Aktionen.
� Dialogbenutzer
� Servicebenutzer
� Kommunikationsbenutzer
� Systembenutzer
� Referenzbenutzer
PRO
FIL
Menüder
Rolle
TCD: F110, XK03, NNNN
S_TCODE
BUKRS: DEMO
FBTCH: 02, 11, 14,F_REGU_BUK
ACTVT: 01, 02FIELD: XXX
E_XAM_PLE
F110
XK03
NNNN
1349.book Seite 146 Montag, 5. Oktober 2009 4:07 16
147
Benutzer/Berechtigung 6.1
DialogbenutzerDialogbenutzer sind für natürliche Personen personalisierte Benutzer,die sich über das SAP GUI am System anmelden. Der Dialogbenutzerist der zentrale Benutzertyp, er steht deshalb in diesem Buch im Vor-dergrund.
ServicebenutzerServicebenutzer dienen z. B. in Webservices dem anonymen Zugriffmehrerer Benutzer. Aus diesem Grund sollten die Berechtigungen fürdiesen Benutzertyp stark eingeschränkt werden. Das bedeutet auch,dass nur ein Benutzeradministrator das Kennwort ändern kann. DieAnwender melden sich über das SAP GUI an, dabei ist es möglich,dass sie sich mehrfach anmelden. Es wird nicht vom System über-prüft, ob das Kennwort abgelaufen oder initial ist.
Kommunikations-benutzer
Kommunikationsbenutzer sind systematisch personenbezogene Benut-zer, die sich allerdings nicht über das SAP GUI, sondern über RFC-Aufruf (Remote Function Call) anmelden. In diesem Fall ist es demBenutzer möglich, das Kennwort zu ändern. Es erfolgt eine Prüfung,ob das Kennwort abgelaufen oder initial ist. Je nachdem, ob sich derNutzer interaktiv angemeldet hat oder nicht, muss das Kennwortgeändert werden.
SystembenutzerSystembenutzer sind Benutzer, die in technischen Abläufen, wie z. B.Batchläufen, Verwendung finden. Der Benutzer meldet sich hiernicht über das SAP GUI an. Beim Einsatz von Systembenutzern sindMehrfachanmeldungen möglich. Für Kennwörter gibt es keine Ände-rungspflicht.
ReferenzbenutzerDer Referenzbenutzer ist ein Mittel, um die Berechtigungsadministra-tion zu vereinfachen. Es ist nicht möglich, sich über einen solchenBenutzer am SAP-System anzumelden, sondern er dient lediglichdazu, Berechtigungen zu kopieren oder zu vererben.
Das betriebswirtschaftliche Berechtigungskonzept muss auch Aussa-gen zu den dargestellten Benutzern enthalten. Regelmäßig dürfenauch für technische Benutzer nur die Berechtigungen vergeben wer-den, die erforderlich sind. Umso mehr gilt dieses Prinzip für alleBenutzer, die Personen Zugriffe auf das System ermöglichen.
6.1.2 Benutzerpflege (ABAP)
Benutzer-stammsatz
In der Benutzerpflege wird für jeden Benutzer in jedem Mandantenein Benutzerstammsatz angelegt. Er besteht aus dem Benutzernamen,Daten zur Person, Einstellungen für den Benutzer, benutzerspezifi-
1349.book Seite 147 Montag, 5. Oktober 2009 4:07 16
148
Technische Grundlagen der Berechtigungspflege6
schen Parametern, den Berechtigungen aus Rollen und/oder Profilenund einigen weiteren Einstellungen. Der Benutzerstammsatz hat eineerhebliche Bedeutung für die Sicherheit und Ordnungsmäßigkeit desSystems. Sämtliche Protokollierungen von Systemzugriffen und inden Belegen beziehen sich auf den Benutzernamen. Diese Protokollemüssen je nach definierter Aufbewahrungsfrist langfristig aufbe-wahrt werden. Sie müssen darüber hinaus lesbar bleiben, und dasbedeutet in diesem Kontext, dass der Benutzer gegebenenfalls auchnach zehn Jahren nachvollziehbar sein muss, der eine bestimmteCharge freigab oder einen Beleg buchte. Daraus ergibt sich zwingendund ausnahmslos, dass ein Benutzer nur einmalig einer Person zuge-ordnet werden darf. Benutzer zu »vererben«, also sie im Laufe derZeit unterschiedlichen Mitarbeitern zur Verfügung zu stellen, ist injedem Fall eine substanzielle Gefährdung der Sicherheit und Ord-nungsmäßigkeit.
Eine Person –ein Benutzer
Auch die Praxis, eine Person im System mit mehreren Benutzern aus-zustatten, ist eine ähnlich erhebliche Gefährdung. Allerdings kannhier eine logische Ausnahme geltend gemacht werden, wie sie z. B.im Superuser Privilege Management (SPM) von SAP BusinessObjectsAccess Control möglich ist. Dort wird in einem definierten und pro-tokollierten Verfahren aus dem »normalen« Benutzer heraus einSuperuser gestartet, der entsprechend weitreichende Berechtigungenhat. Generell gilt, wenn eine Person in einem System mehrere Benut-zer hat, ist ein Nachweis etwaiger Funktionstrennungskonflikte undebenso von Vorgängen unter Umgehung der Funktionstrennungkonzeptionell nur mit erheblichem Aufwand, praktisch hingegennicht mehr darstellbar. Auch in Bezug auf diese Praxis ist zumindestder Verdacht naheliegend, dass es sich um eine substanzielle Gefähr-dung der Sicherheit und Ordnungsmäßigkeit handelt. Die Eindeutig-keit der Zuordnung des Benutzers zur Person bezeichnen wir als Iden-titätsprinzip.
Kennwortregeln In den meisten Organisationen werden nach wie vor fast täglichBenutzer und Kennwörter weitergegeben. Der einzig regelkonformeUmgang mit diesem Missbrauch ist, diesen dauerhaft zu unterbin-den. Den Missbrauch können Sie einfach auswerten: Benutzer undRechner können ohne Schwierigkeit ermittelt werden, ebenso kannohne Schwierigkeiten festgestellt werden, welche Personen an einem
1349.book Seite 148 Montag, 5. Oktober 2009 4:07 16
149
Benutzer/Berechtigung 6.1
bestimmten Tag nicht arbeiten, bringt man diese Informationenzusammen, gelingt der konkrete Nachweis über missbräuchliche Nut-zung von Benutzern. Datenschutzrechtliche Bedenken gegen diesesVerfahren können nicht geltend gemacht werden, da eine miss-bräuchliche Nutzung von Benutzern gegebenenfalls den Zugriff aufsensible Daten (und damit einen Verstoß gegen den Datenschutz)ebenso ermöglicht wie deutliche Gefährdungen des Belegprinzips.Neben einer einschlägigen Auswertung sollten immer auch arbeits-rechtliche Schritte erwogen werden. Die Kennwortregeln werden inAbschnitt 7.3, »Parameter für Kennwortregeln«, dargestellt.
Benutzerpflege vereinheitlichen
Das Verfahren der Benutzeranlage kann über SAP BusinessObjectsAccess Control, SAP NetWeaver Identity Management, die ZentraleBenutzerverwaltung (siehe für alle drei Lösungen Kapitel 10, »Zentra-les Management von Benutzern und Berechtigungen«), vereinheit-licht und signifikant vereinfacht werden.
Vorgehen in der Benutzerpflege
Zum Anlegen oder Ändern eines Benutzers verwenden Sie die Trans-aktion SU01 (Benutzerpflege).
Beim Anlegen tragen Sie den gewünschten Benutzernamen im Feld Be-
nutzer ein und klicken auf den Button Anlegen (siehe Abbildung 6.2).In den folgenden Bildschirmen werden die Angaben und Attribute desBenutzers gepflegt.
Abbildung 6.2 Einstieg in die Benutzerpflege
Registerkarte »Adresse«
Auf der Registerkarte Adresse (siehe Abbildung 6.3) müssen Sie min-destens die Angaben zur Person pflegen.
Registerkarte »Logondaten«
Danach pflegen Sie auf der Registerkarte Logondaten den Benutzer-typ und abhängig vom Benutzertyp das Kennwort. In der Regel wer-den Sie den Dialogbenutzer pflegen.
1349.book Seite 149 Montag, 5. Oktober 2009 4:07 16
150
Technische Grundlagen der Berechtigungspflege6
Abbildung 6.3 Registerkarte »Adresse« der Benutzerpflege
Das Kennwort können Sie automatisch generieren (Button Wizard)oder manuell festlegen. Die Pflege einer Benutzergruppe für Berech-tigungen ist dringend zu empfehlen, unter anderem um grundle-gende Unterscheidungen zwischen Systemadministration und End-benutzern zu ermöglichen. Neben der Benutzergruppe fürBerechtigungsprüfungen können Benutzer beliebig vielen Gruppenzugeordnet werden (Registerkarte Gruppen). Dies dient u. a. der ver-einfachten Pflege und Auswertung (siehe Abbildung 6.4).
Registerkarte»SNC«
Auf der Registerkarte SNC (Secure Network Communications) werdenAngaben in Bezug auf ein (existierendes) Single-Sign-on-Verfahren(SSO) gepflegt. SNC ist für die Benutzerauthentifizierung verfügbarund stellt bei Verwendung des SAP GUI for Windows oder RFC eineSSO-Umgebung bereit.
1349.book Seite 150 Montag, 5. Oktober 2009 4:07 16
151
Benutzer/Berechtigung 6.1
Abbildung 6.4 Pflege der Logon-Daten des Benutzers
Registerkarte »Festwerte«
Auf der Registerkarte Festwerte pflegen Sie Benutzerfestwerte, wieStartmenü, Drucker (Ausgabegerät), Dezimaldarstellung und Zeit-zone.
Registerkarte »Parameter«
Parameter sind Angaben zum Benutzer, die ursprünglich dazu einge-richtet wurden, entsprechende Werte, wie z. B. den Buchungskreis,automatisch in die Selektion entsprechender Reports in FI zu über-nehmen. Mittlerweile werden über Parameter aber auch Zugriffs-möglichkeiten unter anderem in ESS gesteuert, damit können Para-meter fakultativ auch Zugriffsberechtigungen einschränken. Für dieParameter steht eine Werthilfe zur Verfügung (siehe Abbildung 6.5).Die einheitliche Betrachtung von Berechtigungen wird durch die Ver-wendung von Benutzerparametern erschwert.
1349.book Seite 151 Montag, 5. Oktober 2009 4:07 16
152
Technische Grundlagen der Berechtigungspflege6
Abbildung 6.5 Registerkarte »Parameter«
Registerkarte»Rollen«
Auf der Registerkarte Rollen (siehe Abbildung 6.6) können dem Benut-zer Rollen zugeordnet werden. Sofern Rollen zugeordnet sind, könnensie direkt (durch Zuordnung einer Einzelrolle oder Sammelrolle) oderindirekt zugeordnet sein. Die indirekte Zuordnung erfolgt über dasOrganisationsmanagement von SAP ERP HCM (siehe Kapitel 8, »Rollen-zuordnung über das Organisationsmanagement«).
Die unterschiedlichen Zuordnungen werden verdeutlicht durch unter-schiedliche Icons in der Spalte Typ und durch unterschiedliche farblicheCodierungen, blau gekennzeichnete Rollen sind indirekt zugeordnet.Die direkt zugeordneten Rollen sind schwarz gekennzeichnet.
1349.book Seite 152 Montag, 5. Oktober 2009 4:07 16
153
Benutzer/Berechtigung 6.1
Abbildung 6.6 Registerkarte »Rollen«
Im Feld Referenzbenutzer für zusätzliche Rechte kann ein Referenz-benutzer eingetragen werden (siehe Abschnitt 6.1.1, »Benutzer«),dessen Zuordnungen hier (ergänzend) übernommen würden.
Registerkarte »Profile«
Auf der Registerkarte Profile (siehe Abbildung 6.7) sind die demBenutzer zugeordneten Profile zusammengefasst. Ausnahmslos sol-len sämtliche Profile eines Endbenutzers »Profile zur Rolle« sein.Prinzipiell stünde auf der Registerkarte Profile auch die Möglichkeitzur Verfügung, Profile manuell zuzuordnen. In Abschnitt 6.3.1,»Berechtigungsprofile«, wird dargestellt, warum die Profilpflegejedoch keine angemessene Option für die Verwaltung von Endbenut-zerberechtigungen ist.
Abbildung 6.7 Registerkarte »Profile«
1349.book Seite 153 Montag, 5. Oktober 2009 4:07 16
154
Technische Grundlagen der Berechtigungspflege6
Dem Benutzer werden Rollen zugeordnet, diese enthalten Transakti-onen und Berechtigungsobjekte, die wir im nächsten Abschnitt dar-stellen werden.
6.2 Transaktion – Programm – Berechtigungs-objekt
In diesem Abschnitt werden wir Ihnen den Zusammenhang vonTransaktionen und Programmen, die Logik der Berechtigungsprü-fung und die Ausprägung der Berechtigungen durch Berechtigungs-objekte erläutern.
Berechtigungen dienen dazu, Programme in einer definierten Tiefeausführen zu können. Jede Programmausführung durch einen Dialog-benutzer sollte über eine Transaktion erfolgen. ECC 6.0 verfügt übermehr als 370.000 Programme und mehr als 70.000 Transaktionen.
6.2.1 Transaktion
Über einen Transaktionscode wird im SAP-System eine betriebswirt-schaftliche Funktion (eine sogenannte Transaktion) im System ausge-führt. Entsprechend ist ein Großteil der Transaktionen auch in Bezugauf die ursprünglichen Module fachlich gruppiert und im SAP EasyAccess-Menü enthalten (siehe Abbildung 6.8)
Abbildung 6.8 Transaktionen im SAP Easy Access-Menü
1349.book Seite 154 Montag, 5. Oktober 2009 4:07 16
155
Transaktion – Programm – Berechtigungsobjekt 6.2
Eine Transaktion ist grundsätzlich mit einem ausführbaren Pro-gramm verbunden. Die Zuordnung einer Transaktion zu einem Pro-gramm dient bereits der Einschränkung von Berechtigungen. Pro-gramme können entsprechend über die Transaktion oder aber überdie direkte Programmausführung mit der Transaktion SA38 (ABAP/4-Reporting) ausgeführt werden:
� Um ein Programm über eine Transaktion ausführen zu können,braucht der Benutzer minimal die Berechtigung, die Transaktionaufrufen zu dürfen. Diese Berechtigung wird im Berechtigungsob-jekt S_TCODE (Transaktionscode-Prüfung bei Transaktionsstart)hinterlegt. Es handelt sich somit um eine spezifische Berechtigungzur Ausführung einer bestimmten Transaktion. Diese wird meis-tens noch weiter über Berechtigungsobjekte eingeschränkt.
� Um ein Programm über die Transaktion SA38 (ABAP/4-Reporting)ausführen zu können, braucht der Benutzer die Berechtigung fürdie SA38, die auch im S_TCODE hinterlegt wird. Es handelt sichsomit um eine unspezifische Berechtigung für das Ausführen allerProgramme. Diese wird noch weiter über Berechtigungsobjekteeingeschränkt.
EingangsprüfungDer Transaktion kann eine weitere Eingangsprüfung zugeordnet sein,die als zusätzliche sehr allgemeine Berechtigungsprüfung nach derPrüfung auf der Transaktionsberechtigung wirkt. Sie ist keine detail-lierte Prüfung im Programmablauf, sondern es wird lediglicherreicht, dass die definierten Werte als Berechtigung vorhanden seinmüssen. Eine logische Verbindung zu den Daten gibt es nicht.
Die Eingangsprüfung wird in der Transaktion SE93 (Pflege Transakti-onscodes) festgelegt (siehe Abbildung 6.9).
Beispiel
Wenn als Eingangsprüfung ein kundeneigenes Berechtigungsobjekt Z_ALLES_GUT mit dem Feld ALLES_GUT und dem Wert »Y« definiert ist,müssen genau diese Berechtigungen auch im Benutzerpuffer vorhandensein, unabhängig davon, dass Z_ALLES_GUT in keinem Programm alsBerechtigungsprüfung definiert ist.
1349.book Seite 155 Montag, 5. Oktober 2009 4:07 16
156
Technische Grundlagen der Berechtigungspflege6
Abbildung 6.9 Berechtigungsobjekt als Eingangsprüfung
6.2.2 Prüfung im Programmablauf
Im Programmablauf prüft das System, ob die für die Transaktionbenötigten Werte denen im Benutzerpuffer entsprechen. Im Benut-zerpuffer befinden sich meistens gleiche Berechtigungsobjekte inunterschiedlicher Ausprägung. Als Berechtigung wird das Berechti-gungsobjekt betrachtet, das die am besten passende Ausprägung hat.Das ist wichtig für die Logik von Rollen: Geprüft wird jeweils gegendas für den Anwendungsfall am weitesten berechtigte Berechtigungs-objekt – ohne Relation zur Transaktion.
Prüfung bei Aufrufeiner Transaktion
Beim Aufruf einer Transaktion wird immer zunächst das Berechti-gungsobjekt S_TCODE (Transaktionscode-Prüfung bei Transaktions-start) abgeprüft. Danach können nahezu beliebig viele weitere Prü-fungen vorgesehen sein. Dies ist unmittelbar abhängig vomjeweiligen Programm. Im Quellcode ist die jeweilige Prüfanweisungfestgelegt als Check eines Berechtigungsobjekts und seiner Felder –dabei müssen nicht alle Felder eines Berechtigungsobjekts verprobtwerden. Der entsprechende String der Prüfanweisung ist authority-check (siehe Abbildung 6.10).
1349.book Seite 156 Montag, 5. Oktober 2009 4:07 16
669
Index
* 178/SAPCND/CM 5210BI_ALL 538, 5400TCAACTVT 531, 5340TCAIPROV 531, 534, 5480TCAKYFNM 5320TCAVALID 531, 534
A
ABAP 647ABAP Dictionary 158, 647ABAP Source Scan 196ABAP-Benutzertyp 398Abgabenordnung 647Abgabenordnung und Grundsätze zum
Datenzugriff und zur Prüfbarkeit digitaler Unterlagen 105
abgeleitete Rolle 514Typisierung 198
abgeleitete Rollen generierenDrucktaste 187
Ablauforganisation 647betriebswirtschaftliches Berechtigungs-
konzept 108IdM 312
ableiten aus Rolle 186Ableitung
Abweichung 351beim Anlegen einer Rolle 167Manipulation 351
Ableitungsbeziehung 187Ableitungskonzept 252, 647
Abweichung 188Abstraktion 623Abweichung von Vorschlagswert
Dokumentation 180Access Control 616, 638, 647, 658
Benutzerverwaltung 323Compliant User Provisioning 366Enterprise Role Management 366IdM und Organisationsmanagement
342Risk Analysis and Remediation 366Risk Terminator 366
Access Control (Forts.)SAP NetWeaver IdM 341Superuser Privilege Management 366Vorschlagswerte 208ZBV 321
Access Control Engine (ACE) 427, 486, 647
Access Control List 491, 497, 647ACE-Aktionsgruppe 647ACE-Aktivierungs-Tool 494ACE-Aktualisierungs-Tool 495ACE-Benutzergruppe 488, 647ACE-Design-Report 493ACE-Laufzeit-Report 495ACE-Recht 488, 647ACE-Regel 488, 489, 647Active Directory 647
IdM 329SAP NetWeaver IdM 330
Actors from Objects 489Actors from User 489Ad-hoc Query 245, 647Aggregationsberechtigung 534, 543AktG � siehe Aktiengesetz (AktG)Aktiengesetz (AktG) 647Aktionsgruppe 488, 490Aktivität
Berechtigungskonzept 73Aktortyp 489, 648ALE 648
ZBV 316alternative Hierarchien 578, 648
Controlling 81Analyse von Berechtigungsprüfun-
gen 191individuelle 162
Analyseberechtigungen 530, 532Analyse-Synthese Konzept 63Analytics 503Angebot
Verkaufsprozess 128Anspruchsgruppen 31Anzeigeattribute 532Application Link Enabling � ALE
1349.book Seite 669 Montag, 5. Oktober 2009 4:07 16
670
Index
Application Programming Interface (API) 384
Arbeitspaket 63, 490, 648Archivierung 530ARIS 30, 648ASAP 29, 648Attributgruppe 457, 480Audit 648Auditierbarkeit 203Aufbauorganisation 59, 62, 648
betriebswirtschaftliches Berechtigungs-konzept 108
ERP 76IdM 312
Aufgabe 31, 55, 63, 71, 621, 648Berechtigungskonzept 73Funktionstrennungskonflikt 622
Aufgabenanalyse 69, 621, 648Aufgabensynthese 71, 622Berechtigungskonzept 40Objektanalyse 70Stelle 71Stellen- und Abteilungsbildung 71Verrichtungsanalyse 70
Auftragsart 89, 648Auftragsbearbeiter 507Auftragserfassung
Verkaufsprozess 128Auftragsposition 128Auktion 502Auswertung
Profilzuordnung 346Auswertungsweg 420, 648
Organisationsmanagement 278Authority-Check 156, 196, 648
B
B_BUPA_GRP 468B_BUPA_RLT 468, 522B_BUPR_BZT 470BAdl 487BANF 135, 593, 648Barriereprinzip 532Batch
Berechtigungen 610Batchbenutzer 610BBM1 522BBP_BUDGET 522
BBP_CTR_2 518BBP_FUNCT 522, 523BBP_PD_AUC 515BBP_PD_BID 515BBP_PD_CNF 515BBP_PD_CTR 515, 518BBP_PD_INV 516BBP_PD_PCO 515BBP_PD_PO 515BBP_PD_QUO 515BBP_PD_SC 515BBP_PD_VL 516BBP_SUS_P2 520BBP_SUS_PD 520BBP_VEND 523BDSG 110, 648Beleg 511, 513, 648
Bewegungsdaten 553Belegpositionsdaten 136Belegprinzip 117Benachrichtigungs-E-Mail 389Benutzer 146, 450, 648
HCM-OM 409pro Mandant 147Protokollierungen von Systemzugriffen
148Rollenzuordnung 181
Benutzer synchronisierenZBV 320
Benutzerabgleich 182Benutzeradministration 509Benutzeranlage 149Benutzerauthentifizierung 150Benutzerdaten
Organisationsmanagement 310Benutzerfehler 34Benutzerfestwerte 151Benutzergruppe 150, 453, 510, 524,
649Benutzerinformationssystem 356Benutzerkennung 313Benutzerkontext 490, 495Benutzerkonto 308, 311Benutzermanagementlösung
SAP NetWeaver IdM 329Benutzermenü 224, 438, 446, 462Benutzerparameter 151, 454
ZBV 315Benutzerpflege 147
1349.book Seite 670 Montag, 5. Oktober 2009 4:07 16
671
Index
Benutzerpuffer 146Benutzerrolle 432, 433, 435, 436,
437, 438, 444, 448, 450, 452, 454, 455, 458, 649Zuweisung 448
Benutzerrollenzuweisung 448benutzerspezifische Parameter 148Benutzerstammabgleich 283, 649Benutzerstammsatz 146, 381, 453
Benutzernamen 147Elemente 147IdM, Attribute 315ZBV, zentrale und dezentrale Pflege
318Benutzertyp 146, 149, 397, 649
Betriebswirtschaftliches Berechti-gungskonzept 147
Benutzerverwalter 601Benutzerverwaltung (Java) 382Benutzer-Workflow 375, 649Benutzerzuordnung 538Berechtigungen 158, 649
Customizing 162IdM, regelbasiert 310Profilgenerator 171Standards 345Trace 260Upgrade 206Vertragsverhältnis 310vorschlagsbasiert 349
Berechtigungsdaten ändernDrucktaste 171, 172
Berechtigungsdifferenzierung 60Berechtigungserstellung 382Berechtigungsfeld 158, 649
anlegen 263Berechtigungsgruppe 162, 232, 468,
649Debitor 128Haushaltsmanagement 234Optionale Prüfung 235organisatorisches Unterscheidungs-
merkmal 243Tabellenzugriff 234
Berechtigungshauptschalter 649HCM 413
Berechtigungskonzept 39, 63, 390, 436, 465, 649Aufgabenanalyse 40
Berechtigungskonzept (Forts.)betriebswirtschaftliches 40Blueprints 614Corporate Governance 41Erweiterungsprojekt 613Funktionstrennung 616heterogene Systemlandschaften 614IKS 614Inhalte 41Kosten der Prävention 41Kosteneinsparung 615Revision 614SAP-Einführung 613Stammdaten 552Standardisierung von Geschäftsprozes-
sen 614Standards 614technisches 39Upgrade 613Verfahrenssicht 615
Berechtigungsmigration 546Berechtigungsobjekt 158, 442, 503,
508, 509, 511, 516, 649applikationsübergreifende Nutzung
162ausprägen 176Berechtigungsgruppe 235erforderliche Berechtigungen 177F_REGU_BUK 568F_REGU_KOA 568gelbe Ampel 178Generische Pflege 178Inaktiv setzen 177k_cca 577K_VRGNG 582kritische 354M_BEST_EKO 160, 161manuell 176P_ORGIN 158P_PERNR 413P_TCODE 413S_BDC_MONI 355S_CTS_ADMI 604S_DEVELOP 354, 607S_RFC 355S_TABU_DIS 157, 241, 244, 350,
354S_TCODE 155, 156, 347S_USER_AGR 603
1349.book Seite 671 Montag, 5. Oktober 2009 4:07 16
672
Index
Berechtigungsobjekt (Forts.)S_USER_PRO 603S_USER_SAS 603Status 176, 179, 205Status Gepflegt 179Status Manuell 179Status Standard 179Status Verändert 179Teilgenerische Pflege 178Transaktion 161V_VBAK_AAT 598V_VBAK_VKO 598
Berechtigungsobjekte hinzuzufügenin Rolle 175
Berechtigungspflegeregelbasiert 203
BerechtigungsprofilHistorie 163keine Vorschlagswerte 164manuelle Pflege 163Nachteile 164Nutzung ausschließen 345Pflege über den Profilgenerator 163
Berechtigungsprotokoll 541, 542Berechtigungsprüfung 532Berechtigungsrelevanz 530, 531, 534Berechtigungstrace 193, 483Berechtigungstyp 535Berechtigungsverwaltung
Funktionstrennung 600Berechtigungsvorlagen 190Berechtigungsvorschlag
Menü 169Bereichsmenü 224, 649Bereichsrolle 649
Rollenmanager 294Bereichsrollenkonzept 290, 649
Rollenmanager 293Bereichsstartseite 429, 433, 435, 436,
446, 457, 460, 650Beschaffungsprozess
Bestellung 133Freigabeverfahren 135Lieferant 133Rechnungsprüfung 133Wareneingang 133
BeschreibungRolle 167
Bestellanforderung 589, 593, 650
Bestellung 591Beschaffungsprozess 133Bewegungsdaten 553
betrieblicher Datenschutz 110Betriebsrat 53, 650
Datenschutz 108, 112Betriebsverfassung 53, 650betriebswirtschaftliches Berechti-
gungskonzept 613, 650Anforderungen 107Aufwand 30Benutzertypen 147Berechtigungsverwaltung 637Cross System Integration 616Datenschutz 108, 634funktionale Differenzierung 615Genehmigung 633Genehmigungsprinzip 636Grundprinzipien 117grüne Wiese 619IKS 631Implentierung 617Inhalte 31, 631institutioneller Rahmen 633komponentenbezogene Workshops 29Konfiguration 635Methode der Benutzerpflege 635Methode der Berechtigungspflege 634minimale Normen 634Mitbestimmung 634Organisationsabbildung 620organisatorische Differenzierung
616, 637Partizipation 31Prozessabbildung 620Rechnungslegungsvorschriften 634Rechtsform der Organisation 50Redesign 617, 620Risikobetrachtung 635Schriftformprinzip 632Standardprinzip 637Stellenprinzip 636Systemlandschaft 634Teilkonzept 615Vier-Augen-Prinzip 637
BewegungsartBeschaffungsprozes 136
BewegungsdatenBeleg 553
1349.book Seite 672 Montag, 5. Oktober 2009 4:07 16
673
Index
Bieter 506BP 442, 451Branche
Regelkonformität 102Browser 428BSP 428, 503, 509, 650BSP-Applikation 428, 432, 440BSP-Komponente 439Buchhaltungsbeleg 136Buchungen
Controlling 581FI 564
Buchungskreis 78, 86, 650Beschaffungsprozess 134Customizing 555Verkaufsprozess 128
Bundesdatenschutzgesetz 110Bundesdatenschutzgesetz (BDSG) 650Business Add-in (BAdI) � BAdlBusiness Process
Access Control 367Business Role 432Business Server Pages (BSP) � BSPBW-Berechtigungen 547BW-Berechtigungsobjekte 529
S_RS_AUTH 530S_RSEC 530
BW-Berechtigungsprüfung 542
C
C_CABN 480C_KLAH_BKL 481C_KLAH_BKP 480C_LL_TGT 466, 467C_TCLA_BKA 481Catalog Content Management 502Checkpoint 485COM_ASET 521COM_PRD 471, 521COM_PRD_CT 471COMMPR01 521Compliance 28, 32, 650
Ziel 38Compliant Identity Management 342Compliant User Provisioning (CUP)
323, 650Access Control 366
Configuration Tool 386
ControllingUnterstützungsprozess 138
Corporate Governance 28, 37, 650Definition 38Managementaufgabe 38Organisation 39
COSO-Rahmenkonzept 100CRM Web Client 427, 428, 433, 435,
436, 437, 439, 440, 451, 453, 650Anmeldung 455
CRM_ACE_MD 496CRM_ACT 479CRM_BPROLE 468CRM_CMP 479CRM_CO_PU 479CRM_CO_SA 479CRM_CO_SE 479CRM_CO_SL 479CRM_CON_SE 479CRM_CPG 481CRM_CPGAGR 481CRM_CPGCTP 481CRM_CPGRES 481CRM_LEAD 479CRM_OPP 479CRM_ORD_LP 473, 477CRM_ORD_OE 480CRM_ORD_OP 472CRM_ORD_PR 479CRM_SAO 479CRM_SEO 479CRM_UI_PROFILE 454CRM_UIF_NAV_AUTH 485CRM-Business-Objekt 427, 650CRMC_UI_COMP_IP 461, 464CRMC_UI_NBLINKS 433, 459CRMC_UI_PROFILE 436, 459CRMD_UI_ROLE_ASSIGN 452, 453,
454CRMD_UI_ROLE_PREPARE 444, 457CRMD_UI_ROLE_REPARE 448CRM-Navigationsleiste 429Cross-Navigation 465CUP 366Customizing 427
1349.book Seite 673 Montag, 5. Oktober 2009 4:07 16
674
Index
D
Data Browser 650Zugriff ausschließen 349
Databrowser 240DataStore-Objekte 544Datenquelle 386, 387, 388, 396Datenschutz 650
betrieblicher 110Definition von personenbezogenen
Daten 110elektronische Datenverarbeitung 110EU 109IKS 113Schweiz 110sensitive Daten 110Vereinigte Staaten – Geltung der EU-
Richtlinie 109Datenschutzgesetze der Länder 110,
651Datenschutzleitfaden
Regelkonformität 100Datenschutzrecht 108Datenschutzrichtlinien 108Datenselektion 532Datenübermittlung
Datenschutz 111Datenverarbeitung
Datenschutz 111Debitor 651
Feldstatusgruppenpflege 559Funktionstrennung 128Stammdaten 557Stammdatum 595Verkaufsprozess 127
Debitorenbuchhaltung 127Debitorenpflege
buchhalterische Sicht 127logistische Sicht 127zentrale Sicht 127
Debugging 36, 651Berechtigungen 607
deduktiver Ansatz 94Definition von personenbezogenen
Daten 110deklarative Berechtigung 394detektivische Kontrolle 103, 365Dialogbenutzer 147, 651
keine Profile 346
Dienstleistungsbeschaffung 502Differenzierung von Berechtigungen
58Differenzierungsschema 72Directory Server Log 401direkte Leistungsverrechnung 138direkte Zuordnung 152Dokumente zu Bewegungsdaten 530Download
Rolle 269DSMLv2
SAP NetWeaver IdM 330
E
Einfügen Berechtigungen 176Eingabekontrolle 113Eingangsprüfung 155Einkauf
Berechtigungsprüfung für Sachkon-ten 594
Einkäufer-Administrator 506Einkäufergruppe 90, 504, 512, 514,
523, 651Beschaffungsprozess 135Customizing 584
Einkäuferorganisation 503, 511, 512, 523
Einkaufsorganisation 90, 504, 508, 514, 651Beschaffungsprozess 134Customizing 584
Einkaufswagen 502, 505, 510, 512, 513, 515
Einlinienorganisation 59, 80Einstellung
Zugriffsrechte 308Einzelrolle 165
Typisierung 198Elementarfunktion 621E-Mail-Konto 308Enjoy-Transaktion 213, 592, 651Enterprise Role Management (ERM)
208, 366, 651Access Control 366
Enterpriserolle 624Typisierung 198
Entwicklertrace 193, 260Ergebnisbereich 88
1349.book Seite 674 Montag, 5. Oktober 2009 4:07 16
675
Index
erweiterte StammdatenprüfungBerechtigungshauptschalter 414
EU-Datenschutzrichtlinie 109Excluding 534Expertenmodus zur Profilgenerierung
Drucktaste 171externe Regeln 31externer Service 439, 440, 442, 445,
446, 448, 462, 651Vorschlagswerte 209
F
F2-Hilfe 457, 462Faktura 598, 651
Customizing 599Verkaufsprozess 130
Fakturaart 599FDA Compliance 619Federal Drug Administration (FDA)
619Fehlersuche 486
im CRM Web Client 483Feld
REPSAREA 255RESPAREA 575
Feldstatusgruppen 651Feldstatusgruppenpflege
Debitor 559Kreditor 559
Feldwerte in Berechtigungsobjekten 157
Festwerte 151Filterprinzip 533Finanzbuchhaltung 78, 651Finanzkreis 79Finanzpositionenhierarchie 79Finanzstellenhierarchie 79Firmenadresse
ZBV 319Fonds 80Formalziel 51Freigabestrategie 651
Finanzwesen 565Freigabeverfahren 651
Beschaffung 589Beschaffungsprozess 135
Führungsaufgabenunternehmerische 28
FunktionAccess Control 369
funktionale Rolle 651Definition 199Rollenmanager 291Typisierung 198
Funktionsbereich 79, 87, 651Berechtigungsgruppe 556Customizing 556
Funktionstrennung 34, 651betriebswirtschaftliches Berechtigungs-
konzept 108Debitor 128Definition 35, 106GoBS 106im Transportwesen 604in Bezug auf Organisation 57Intersystemkonflikt 132Intrasystemkonflikt 132Kosten 37Maßgaben 140Rollenzuweisung 324unzureichend 614wirksame 364Zahllauf 569
Funktionstrennungskonflikt 31, 35, 621, 652Identitätsprinzip 148
Funktionstrennungsprinzip 117
G
GDPdU 105Gebot
Regelkonformität 99gelbe Ampel 178Genehmiger
Access Control CUP 327Genehmigungsprinzip 117, 652Genehmigungsprozess 652
SAP NetWeaver IdM 330Genehmigungsprozess SAP NetWeaver
IdM 337Genehmigungsverfahren 61Genehmigungsworkflow 524Generieren des Rollenprofils 180Generierung 539, 543, 545generisch 239
1349.book Seite 675 Montag, 5. Oktober 2009 4:07 16
676
Index
generische PflegeBerechtigungsfeld 178S_TCODE 347
generischer Link 465Gesamtberechtigung
Drucktaste 174Geschäftsbereich 79, 86, 652Geschäftspartner 53, 127, 450, 451,
457, 468, 503, 510, 511, 521, 522, 652
Geschäftspartnerbeziehung 470Geschäftspartnermanagement 78Geschäftspartnerrolle 468Geschäftsprozess 652
Definition 64Kerngeschäftsprozess 65Steuerungsprozess 65
Geschäftsrollenhierarchie 652SAP NetWeaver IdM 334
Geschäftsvorgang 450, 457, 471Geschäftsvorgangsart 474, 652Geschäftsvorgangstyp 479, 518, 652Gesellschaft 79
Customizing 555Gesetz zur Kontrolle und Transparenz
in Unternehmen (KonTraG) � Kon-TraG
GoB 103, 105, 652GoBS 105, 652Grundsätze ordnungsgemäßer Buch-
führung (GoB) � GoBGrundsätze ordnungsgemäßer DV-
gestützter Buchführungssysteme (GoBS) � GoBS
Gruppe mit direkten Links 430, 434, 652
Gültigkeitsbereich 535Gültigkeitsdauer von Kennwörtern
224
H
Handelsgesetzbuch 103Handelsgesetzbuch (HGB) � HGBHashwert 445HGB 652Hierarchieberechtigungen 533, 535Hierarchiestruktur 536
Hosting 652Hostingpartner 53, 653
I
IC Web Client 427, 653Identitätsprinzip 117, 148, 653Identity Center
SAP NetWeaver IdM 338Identity Management
Zweck 308Identity Management (UME) 382,
390, 391, 395, 396Identity Services
SAP NetWeaver IdM 331Identity Store
SAP NetWeaver IdM 333IKS 653
Berechtigungskonzept 103COSO 100Datenschutz 113Definition 102Grundlagen 102
Implementierungsmethoden 619inaktiv setzen 177Inbound-Plug 440, 442, 458, 653indirekte Benutzerzuordnung 180indirekte Rollenzuordnung 416, 653
Organisationsmanagement 278indirekte Zuordnung 152induktiver Ansatz 95, 617InfoProvider 547Information und Kommunikation
IKS 100Infotyp 408, 653
0105 (Kommunikation) 280IT0105 (Kommunikation) 412Tabellen 410
InitiatorDefinition 325
Innenauftrag 579, 653institutioneller Organisationsbegriff
Regelkonformität 101Integration der Organisationssichten
84Integrierte Planung 530, 546Interaktionskanäle 427internationale Normen
Regelkonformität 98
1349.book Seite 676 Montag, 5. Oktober 2009 4:07 16
677
Index
interne Regeln 50Internes Kontrollsystem (IKS) � IKSInternet Transaction Server (ITS) 503,
504, 508, 653Intervallberechtigungen 534Intervallpflege
S_TCODE 347IT-Grundschutzkatalog 653
Regelkonformität 100iView 509, 510
J
J2EE-Sicherheitsrolle 390, 394, 653Java 382Java Connector (JCo) 388, 653Java-Benutzertyp 398
K
Kalkulationsschema 598, 653Kameralistik 104Kategorisierungsobjekt 653
Rollenmanager 293Kennwort 148
Missbrauch 148Kennworthistorie 224Kennwortregeln 148Kennzahl 532Kernprozess 126Klasseneinteilung
Berechtigungsobjekt 161Klassifikation 480Kommunikationsbenutzer 147, 388kompensierende Kontrolle 365, 653Komponentenfenster 440, 442, 458,
462Komponentenname 440, 458, 462Komponenten-Plug 462Kondition 521, 654
Verkauf 596Verkaufsprozess 128
Konditionsart 522Konditionsfindung 128Konditionspflege 596Konfiguration
Funktionstrennung 622Konfiguration der UME 386
Konnektor 654SAP NetWeaver IdM 330
Kontengruppe 128, 239, 557Kontenplan 86, 654Kontextlösung 423, 654
Berechtigungshauptschalter 414Organisationsmanagement 416
kontextsensitive Berechtigungen 423, 654
Kontierungsobjekt 80, 654als Unterscheidungsmerkmal 69CO 138
KonTraG 105, 652, 654Kontrollaktivitäten
IKS 100Kontrolle 654Kontrollprinzip 117Kontrollumfeld
IKS 100Kopfblock 435Kosten und Leistungen 581Kostenart 572, 654Kostenrechnungskreis 87, 654
Customizing 570Kostenstelle 80, 573, 654Kostenstellenhierarchie 66, 654Kostenstellenrechnung 80Kostenstellenstandardhierarchie 80,
88, 571Kreditkrontrolle 598Kreditor 133, 654
Feldstatusgruppenpflege 559Stammdaten 557
Kreditorenbuchhaltung 133, 506Kreditorenkonto 134kriminelle Handlung 34kritische Aktion 31, 35, 654
betriebswirtschaftliches Berechtigungs-konzept 108
Datenschutz 114Definition 36, 107
kritische Berechtigung 35, 654Definition 36GoBS 106
kritische Berechtigungsobjekte 354kritische Transaktionen 354Kunde
Geschäftspartner und Berechtigung 78
1349.book Seite 677 Montag, 5. Oktober 2009 4:07 16
678
Index
Kunde (Forts.)Stammdatum 595Verkaufsprozess 127
kundeneigene Transaktion 654Trace 260
Kunden-Exit 537kurative Maßnahmen 34
L
Lagerort 91, 654Beschaffungsprozess 136Customizing 585
LaufbahnZugriffsrechte 308
Layoutprofil 434LDAP 382, 655LDAPv3
SAP NetWeaver IdM 330LDAP-Verzeichnis 382, 388legale Normen 50, 98
Definition 99Leistungserbringer 507Leistungsverrechnung 138Lieferant 501, 506, 509, 510, 523,
524Beschaffungsprozess 133Geschäftspartner und Berechtigung
78Stammdaten 552
Lieferanten-Administrator 507Lieferantenbeziehung 501Lieferantenqualifizierung 502Lieferplan 598Liefersperre
Verkaufsprozess 130Lieferung
Verkaufsprozess 129Lightweight Directory Access Protocol
(LDAP) � LDAPLinienorganisation 62, 655
Organisationsmanagement 276Linienvorgesetzter 69, 655Link, generischer � siehe generischer
LinkLinkgruppe 433LISTCUBE 530LL_TGT 466LL_TYPE 466
Log Viewer 401Logging 400, 655
Datenschutz 115Logischer Link 429, 433, 436, 442,
446, 457, 461, 655logisches System 655
ZBV 316Logondaten 149Lotus Notes
SAP NetWeaver IdM 330
M
M_BBP_PC 522Manager 505Mandant 86, 655manueller Zahlungsausgang 566Marketingelement 457, 481Marketingmerkmal 480Material 128, 655
Stammdaten 552Materialart 585, 655Materialnummer, 136Materialstamm
Customizing 585Matrixorganisation 59, 61, 655MDX 530Mehrlinienorganisation 59, 60Menü 446, 655
Berechtigungsvorschlag 169Rolle 167Transaktionen 167
Menükonzept 169Menüschalter im Customizing 229Metarolle
SAP NetWeaver IdM 331Metarollenhierarchie
SAP NetWeaver IdM 334Metarollenmodell 313Minimalprinzip 117
GoBS 106Missbrauch
Kennwort 148Mitarbeiter 505
Geschäftspartner und Berechtigung 78
MitarbeitergruppeHCM-OM 410
1349.book Seite 678 Montag, 5. Oktober 2009 4:07 16
679
Index
MitarbeiterkreisHCM-OM 410
Mitbestimmung 53Datenschutz 112
MMC-Snap-inSAP NetWeaver IdM 338
Mobile Client 427Monitoring 655
Datenschutz 115MS Exchange
SAP NetWeaver IdM 330Muster 534
N
NamenskonventionRolle 166
natürliche PersonDialogbenutzer 147
Navigationsleiste 429, 437Navigationsleistenprofil 432, 433,
434, 437, 458, 655Nebenbuchhaltung 127, 655neues Berechtigungskonzept im Cont-
rolling 583Norm 655
Vorschlagswerte 206normativ 655normativer Rahmen
normative Vorgaben und Organisa-tion 45
Organisation 101Regelkonformität 101
O
Oberflächenberechtigung 427, 457Oberflächenmenü 508Oberflächenrolle 432Objects by Filter 489Objekt
Organisationslehre 57Objektbezeichnung 441Objektkontext 491, 496Objekttyp 409, 488OneOrder-Objekt 656Operational Contract Management
502operativer Einkäufer 505
operativer Kontrakt 502optionale Prüfung 656Oracle
SAP NetWeaver IdM 330Ordnerfreigabe 308Organisation 656
Ablauforganisation 49, 56Aufbauorganisation 49, 55, 59Begriff 49Einlinienorganisation 59formale Organisation 59funktionale Sicht 56institutioneller Begriff 49, 50instrumenteller Begriff 49, 55konfigurative Sicht 49, 55Linienorganisation 49, 60Objektsicht 57Organisationsebene 57Organisationsformen 49Organisationsstruktur 55Organisationszweck 51Projektorganisation 49Prozessmodell 49Rechenschaftspflichten 54Rechtsform 52Rechtsnormen 52Stelle 71Verrichtungssicht 57zentrale Unterscheidungsmerkmale
92Organisationsebene 85, 656
Auswertung der Nutzung 620Berechtigungen 85Customizing 553Definition in Bezug auf Berechtigun-
gen 85Einkäufergruppe 160Einkaufsorganisation 160erstellen 252im Profil zur Rolle 174individuelle Pflege 174kundeneigene 85Pflege in Rolle 174Rolle 174Stammdaten 552Werk 160Zuordnung 554
Organisationsebenenobjekt 656Rollenmanager 293
1349.book Seite 679 Montag, 5. Oktober 2009 4:07 16
680
Index
Organisationseinheit 448HCM-OM 409IdM 310Organisationsmanagement 276
Organisationsmanagement 276, 416, 571, 656Benutzerdaten 310IdM 329Linienorganisation 276Metarolle 336SAP NetWeaver IdM und SAP
BusinessObjects Access Control 342ZBV 321
Organisationsmodell 448, 450, 452, 453, 454, 455, 473, 474, 475, 503, 504, 505, 510, 511, 523
OrganisationsschlüsselHCM-OM 410
Organisationszweck 656Regelkonformität 101
organisatorische Differenzierung 57, 656Ableitung 185Rollenableitung 185Rollenmanager 288Vereinfachung 288
organisatorische KonzepteERP 77
P
Paket 247Parameter 151
auth/authorization_trace 260login/accept_sso2_ticket 222login/fails_to_session_end 222login/fails_to_session_lock 223login/min_DONWARDS_
COMPATIBILITY 224login/min_password_diff 223login/min_password_digits 223login/min_password_expiration_time
224login/min_password_history 224login/min_password_letters 223login/min_password_lng 223login/min_password_lowercase 223login/min_password_specials 224login/min_password_uppercase 224
Parameter (Forts.)login/min_password_waittime 224
Parametertransaktionen 246, 656Partner-Channel-Management 487Partnerfunktion 471, 656Passwortregel 388People-Centric UI 427Permission 390, 391, 656Persistenzmanager 384, 656Person 656
Geschäftspartner und Berechtigung 78
HCM-OM 409IdM 310Organisationsmanagement 276
PersonalbereichHCM-OM 409
Personalisierung 432, 524Personalnummer
Berechtigungshauptschalter 414Personalrat 53
Datenschutz 108PFCG 446PFCG-Rolle 393, 396, 427, 433, 434,
435, 437, 438, 444, 452, 454, 487, 503, 504, 508, 510Zuweisung 448
Plan-Driven Procurement � planungs-gesteuerte Beschaffung
Planstelle 448, 450, 451, 452, 453, 511, 656HCM-OM 409IdM 310Organisationsmanagement 276
planungsgesteuerte Beschaffung 502, 503, 506
PlanungsstatusHCM-OM 409
PlanvarianteHCM-OM 409
Platzhaltereinträge 178Portalberechtigung 503, 504Portalintegration 428Portalrolle 381, 390, 509, 524, 525,
657Position
Zugriffsrechte 308positive Berechtigung 145PPOCA_BBP 512
1349.book Seite 680 Montag, 5. Oktober 2009 4:07 16
681
Index
PPOMA_BBP 504, 512PPOMA_CRM 448präventive Kontrollen 103, 657präventive Maßnahmen 34, 657Primärkosten 138, 657Primärkostenart 571Prioritäten
Access Control 368Produkt 468, 471, 521Profil 153, 453
Rollenprofile 153ZBV 315
Profil generieren 180Profilart 434Profilgenerator 163, 164, 442, 657
Vorschlagswerte 202Profilparameter
AUTH/NO_CHECK_IN_SOME_CASES 212
Profilverwalter 601Profit-Center 88, 657
Customizing 577Profit-Center-Hierarchie 81, 571Programm
Berechtigungsprüfung 352kundeneigenes 352
programmatische Berechtigung 394programmatische Berechtigungs-
prüfung 391Programmausführung
Berechtigung 350Spezifische Berechtigung 155Unspezifische Berechtigung 155
Programmierrichtlinie 352Projektorganisation 59, 62, 63Projektstrukturplan 83Protokollierung 657Protokollierung der Programmnutzung
Datenschutz 115Protokollierungen von System-
zugriffenBenutzer 148
ProvisionierungsaufgabeIdM 333
Prozess 64, 657Prozesskontrolle 34, 657Prozessorganisation 59Prüfkennzeichen 211, 441Prüfreihenfolge 471
Prüfung der rechnerischen Richtigkeit 133
Prüfung der sachlichen Richtigkeit 133
Q
Query 245, 250, 532, 657Zugriff ausschließen 349
Quick ViewerZugriff ausschließen 349
R
Radierverbot 657Debugging 36
rechnerische Richtigkeit 657Rechnungslegungsgrundsätze 52Rechnungsprüfung 595
Beschaffungsprozess 133Rechnungssteller 507Rechtsform
Regelkonformität 99, 101, 102rechtsgleich
Regelkonformität 99Rechtsnormen 51Rechtsquellen
externes Rechnungswesen 103redundanzfreies Menü 225Referenzbeleg 598Referenzbenutzer 147, 153, 657
ZBV 315Referenzrolle 185, 657
Normative Vorgabe 186Typisierung 198
Regelkonformität 32, 98, 657Compliance 32IdM 312Kontrolle 32Organisation 32Schaden 32Vorschlagswerte 207Ziel 38
Regelwerk 363Regelwerk der Organisation 31Remote Function Call (RFC) � RFCReport
PFCG_ORGFIELD_CREATE 256PFCG_ORGFIELD_UPGRADE 218
1349.book Seite 681 Montag, 5. Oktober 2009 4:07 16
682
Index
Report (Forts.)PFCG_TIME_DEPENDENCY 182,
272, 283RHAUTUPD_NEW 182, 283RSPARAM 222
Report Painter 657Report Writer 658
Drucktaste 183Reporting-Berechtigungen 546Repository
SAP NetWeaver IdM 334REPSAREA 658Requester 513RFC 605, 657, 658
Berechtigungen 605ZBV 317
RFC-DestinationenRolle 170
RFC-FunktionsbausteineVorschlagswerte 209
Risikoaktivitätsbezogenes 33Definition 33Definition für Berechtigungen 35Funktionstrennung 34Grenzen der Erfassung 36Kosten der Erfassung 37Organisationsziel 33prozessuales 33strategisches 33
RisikobeurteilungIKS 100
Risk Analysis and Remediation (RAR) 658Access Control 366
Risk Terminator (RT) 366, 658Access Control 366
Rolle 152, 658Berechtigungsobjekte hinzuzufügen
175Berichte einbinden 183Definition durch Transaktionen 347Download 269HCM-OM 409Namenskonvention 166Organisationsebene 174Profilgenerator 164Rollenname 165stellenbasierte Vergabe 74
Rolle (Forts.)Transport 271Upgrade 216Upload 269ZBV 315Zuordnung zu Benutzer 181
Rolle Zielsystem 170Rollenableitung 184Rollenadministrator 601rollenbasiertes Konzept 163Rollenkonfigurationsschlüssel 434,
435, 658Rollenmanager 287, 658
freie Adaption 290OM 290
Rollenmanager-Rolle 658Typisierung 198
Rollenmenü 224, 446Rollentyp 165RSECADMIN 533, 541Runtime-Engine
SAP NetWeaver IdM 338
S
S_RS_AUTH 539S_TABU_DIS 496S_TCODE 442, 446, 509, 523SA38 444, 452SAAB 485Sachkontenstammsatz 557Sachkonto
Stammdaten 552, 557sachliche Richtigkeit 658Sachziel 51Safe Harbor Privacy Principles 658
Datenschutz 109Sammelrolle 165, 455
Definition 199Kontext Organisation 74Typisierung 198
SAP Best Practices-Ansatz 625SAP Best Practices-Template
Rollen 626Rollenkatalog 627Rollenkonzept 624
SAP Business Suite 427SAP CRM 427
1349.book Seite 682 Montag, 5. Oktober 2009 4:07 16
683
Index
SAP Customer Relationship Manage-ment � siehe SAP CRM
SAP Easy Access Menü 224SAP ERP 502SAP GUI 427, 428, 442, 451, 455,
509SAP NetWeaver Administrator (NWA)
385, 401SAP NetWeaver Application Server
381SAP NetWeaver AS ABAP 381, 503,
510SAP NetWeaver AS Java 381
SAP NetWeaver Business Warehouse (BW) 502
SAP NetWeaver Identity Management (IdM) 329, 382, 658Access Control 341Organisationsmanagement und SAP
BusinessObjects Access Control 342Verfügbarkeit 331Vertretungsregelung 337
SAP NetWeaver IdM Genehmigungs-prozess 337
SAP NetWeaver IdM Self-Services 337
SAP NetWeaver Portal 381, 385, 503, 504, 509, 510, 525
SAP Solution Manager 619, 638SAP SRM 381, 501
Berechtigungsvergabe 504Oberfläche 503
SAP Supplier Relationship Manage-ment � siehe SAP SRM
SAP_ALL 54, 539SAP_CRM_UIU_FRAMEWORK 453,
464SAP_J2EE_ADMIN 396SAP_NEW 220SAP-Benutzerkonto
IdM 308SAP-Einführung
Teilprojekt Berechtigungen 30SAPJSF 388SapWorkDir-Verzeichnis 444, 446Sarbanes-Oxley Act (SOX) 103, 658Satzung 52
Schriftformbetriebswirtschaftliches Berechtigungs-
konzept 108Schriftformprinzip 117, 658Schutzbedarfsanalyse 617SE16 461Secure Network Communications 150Security Audit Log 400Security Log 400Sekundärkosten 138, 659Sekundärkostenart 571Self-Service 502, 505, 506, 510, 512
SAP NetWeaver IdM 337Self-Service Procurement 502sensitive Daten 659
Datenschutz 110Service Procurement 502Service, externer � siehe externer Ser-
viceServicebenutzer 147Sicherheitskonzept 386, 388Sicherheitsleitfäden von SAP
Regelkonformität 100Single Sign-on (SSO) 150, 222, 384,
659soziale Normen
Definition 101Regelkonformität 98
Sparte 91, 659Customizing 585Verkaufsprozess 128
Spezialisierung 56Spezialmerkmale 531, 534SPM 366SQL-Trace
Datenschutz 115SRM-Geschäftsprozesse 504SRM-Geschäftsszenarien 501, 509SRM-Geschäftsvorgänge 510SRM-Server 510SRM-Standardrolle 501SSO 659SSO-Ticket 222ST01 483, 486staatlicher Zugriff auf Daten 99Staging 530Stakeholder 54Stakeholder-Ansatz 31, 659
1349.book Seite 683 Montag, 5. Oktober 2009 4:07 16
684
Index
Stakeholder-NormenDefinition 101Regelkonformität 98
Stammdaten 57, 450, 468, 511, 521, 552Berechtigungskonzept 552Controlling 570
StammdatenprüfungBerechtigungshauptschalter 413
Standardprinzip 117Standardrolle 464, 504, 507, 510Standards 659
Berechtigungen 345Regelkonformität 98
Standards und internationale NormenDefinition 99
StandardtransaktionenVorschlagswerte 204
Startmenü 151Status
Berechtigungsobjekt 179, 205gepflegt 205manuell 205Standard 205Verändert 205
Status manuellBerechtigungsobjekt 176
Stelle 59, 71, 622, 659HCM-OM 409IdM 310Organisationsmanagement 277
Stellenbildung 56Stellenprinzip 117Sternchenausprägung 178Strategic Sourcing 502strategische Bezugsquellenfindung
502strategischer Einkäufer 505strukturelle Berechtigungen 659
Berechtigungshauptschalter 414Organisationsmanagement 416organisatorische Differenzierung 418Risikoanalyse 422SAP BusinessObjects Access Control
422strukturelle Profile 315, 659strukturelles Berechtigungsprofil
Definition 418SU01 315, 450, 453, 509, 510
SU21 482, 516SU22 439, 442, 443SU24 442, 443, 448SU25 443SU53 484
Nachteile 193Subtyp 409Suchseiten 430, 431, 435SUIM 484Superobjekttypen 488Superuser 148, 659Superuser Privilege Management
(SPM) 659Access Control 366
Supplier Qualification 502Supplier Self-Service 506, 507, 510,
511, 523System Trace 177, 193, 483Systembenutzer 147, 388, 660Systemzugriff 309
T
Tabelleder Berechtigungsadministration 359SSM_CUST 229USOBT 203USOBT_C 171, 203USOBX 260USOBX_C 209
Tabellenberechtigungen 349Tabellenberechtigungsgruppe 240TADIR-Services
Vorschlagswerte 209technische Standards 345technisches Berechtigungskonzept
145, 162, 660Definition 39
technisches Profil 434Teilaufgabe 63, 71, 621, 660
Berechtigungskonzept 73Teilaufgaben 31teilgenerisch 239teilgenerische Pflege
Berechtigungsfeld 178Tochtersystem
ZBV 317Toleranzzeitraum
Berechtigungshauptschalter 414
1349.book Seite 684 Montag, 5. Oktober 2009 4:07 16
685
Index
Trace 660Interpretation der Werte 195Nachweis erforderlicher Berechtigun-
gen 177System Trace 177
Trace-Datei 400Tracing 400Transaktion 660
ABAP/4 Reporting – SA38 155Abgleich Benutzerstamm – PFUD
182Allgemeine Tabellenanzeige – SE16N
245Allgemeine Tabellenanzeige – SE17
245Aufruf View-Pflege – SM30 245Auswertung der Berechtigungsprüfung
– SU53 192Auswertung Verwendung 621Benutzerpflege – SU01 149Berechtigungsgruppe zu Tabellen und
Views – SM30_V_BRG 241Berechtigungsobjekt 161Berechtigungsobjekte nach komplexen
Selektionskriterien – S_BCE_68001413 197
Berechtigungspflege 267Bereichsmenüpflege – SE43 226Bestellung ändern – ME22N 592Bestellung anlegen – ME21N 160,
210, 591Bestellung anzeigen – ME23N 213,
592Data Browser – Se16 245Databrowser – SE16 240Eingangsprüfung 155Eingangsrechnung erfassen – MIRO
595Einstellung des Einstiegsmenüs –
SSM2 225entfernen 205F-28 (Zahlungseingang buchen) 566F-53 (Zahlungsausgang buchen) 566Faktura ändern – VF02 599Faktura anlegen – VF01 599FB60 (Kreditorenrechnung erfassen)
564FB70 (Debitorenrechnung erfassen)
564
Transaktion (Forts.)HR:OOAC (Berechtigungshauptschal-
ter) 414immer über Menü 168KA01 (Kostenart anlegen) 571KA02 (Kostenart ändern) 571KA06 (Kostenart sekundär
anlegen) 571Konditionen ändern – VK32 596Konditionen anlegen – VK31 596Konditionen anzeigen – VK33 596Kostenstelle ändern – KS02 573Kostenstelle anlegen – KS01 573Kostenstellengruppe anlegen – KSH1
574Kostenstellenstandardhierarchie
ändern – OKEON 573Kreditorenpflege 237kritische 354Lieferung ändern – VL02N 599Lieferung anlegen – VL01N 599Mandantenverwaltung – SCC4 607Manuelle Pflege von Profilen – SU02
163MIRO (Eingangsrechnung erfassen)
564Object Navigator – SE80 196PA30 (Personalstammdaten pflegen)
410PA40 (Personalmaßnahme) 281PA40 (Pflege über Personalmaßnah-
men) 410PFCG (Pflege von Rollen) 205Pflege der Berechtigungsfelder – SU20
263Pflege der Profilparameter – RZ10
221Pflege der Profilparameter – RZ11
260Pflege Transaktionscodes – SE93 155Pflege von Rollen – PFCG 163Pflegen der Berechtigungsobjekte –
SU21 265PFUD (Abgleich Benutzerstamm)
283PPOME (Organisation und Besetzung
ändern) 281Profile bearbeiten – RZ10 260Profilparameter – RZ11 610
1349.book Seite 685 Montag, 5. Oktober 2009 4:07 16
686
Index
Transaktion (Forts.)Profit Center Ändern – KE52 578Profit Center Anlegen – KE51 578Programm 155Programmausführung – SA38 256SA38 (ABAP/4 Reporting) 350SE16 (Data Browser) 350SE38 (ABAP Editor) 354Sicht Komponenten aktivieren/Steue-
rungskennzeichen ändern – OKKP 578
SM12 (Sperren anzeigen und löschen) 356
SM13 (Verbuchungssätze administrie-ren) 356
SM35 (Batch-Input-Monitoring) 355Speicher-Param. für Tabellen pflegen –
SE13 609spezifische Berechtigung für eine Pro-
grammausführung 155Standardhierarchie ändern –
KCHN5N 578SU02 (Profile) 345SU24 (Pflege der Zuordnungen von
Berechtigungsobjekten zu Transakti-onen) 204
SU25 (Upgrade-Tool für den Profilge-nerator) 206
SU25 (Upgrade-Tool) 203SUIM (Benutzerinformationssystem)
356System-Trace – ST01 193Transaktionspflege – SE93 246Upgradetool für den Profilgenerator –
SU25 216VF01 (Anlegen Faktura) 564VF02 (Ändern Faktura) 564Vorschlagswerte 209Warenbewegung – MIGO 594Wareneingang vorerfassen – MIR7
595Zuordnung Berechtigungsgruppe zu
Tabelle/View - SM30_V_DDAT 242
Transaktionscode 660Funktion 154
Transaktionsstarter 466Transport von Rollen 271
TransportauftragVorschlagswerte 214
True and Fair View 632, 660Controlling 570
Trusted RFC 606
U
Übersichtsseite 430, 435Überwachung
IKS 100UI-Komponente 428, 439, 441, 442,
443, 446, 457UIU_COMP 439, 442, 443, 446, 457,
461, 467UME
Architektur 384Benutzer 395Benutzeroberfläche 385Datenquelle 383, 387Import- und Exportfunktion 383Konfiguration 386Self-Service 383Sicherheitseinstellung 383
UME-Aktion 390, 391, 396, 660UME-Funktionen 382UME-Gruppe 390, 392, 395, 400, 660UME-Gruppen 510UME-Konfiguration 398UME-Rolle 390, 395, 399, 660Umwelt 46unkritische Berechtigungen 116, 660Unterdrückung der Berechtigungsprü-
fung 212Unternehmensorganisation 82, 571,
660Unterstellungsverhältnis 60Untrusted RFC 606Upgrade 660
Berechtigungen 206, 216Projekt 221Rolle 206, 216Status von Berechtigungsobjekten
180Teilprojekt Berechtigungen 30
Upgrade-Kosten 203Upload
Rolle 269User 661
1349.book Seite 686 Montag, 5. Oktober 2009 4:07 16
687
Index
User Lifecycle Management 311, 661User Management Engine (UME)
381, 661USOBT 439, 442USOBT_C 439, 442, 444USOBX 439, 442USOBX_C 439, 442, 444
V
Variablen 533, 536Veränderungshistorie
SAP NetWeaver IdM 331Verantwortungsbereich 661Verbot
Regelkonformität 99Verfahrensverzeichnis
Datenschutz 114Verfügbarkeit
SAP NetWeaver IdM 331Verfügbarkeitskontrolle 113Verkäufergruppe 475, 661
Customizing 585Verkaufsbelegart
Verkaufsprozess 129Verkaufsorganisation 91, 475, 661
Customizing 585Verkaufsprozess 128
Verkaufsprozess 127Angebot 128Auftragserfassung 128Debitor 127Faktura 130Konditionen 128Lieferung 129Zahlungseingang 131
Verrichtung 63Berechtigungskonzept 73Organisationslehre 57
Verrichtungen 31Versand 598Verteilung von Benutzerdaten
SAP NetWeaver IdM 331Vertrag
Regelkonformität 102vertragliche Normen
Definition 100Regelkonformität 98
VertragsverhältnisBerechtigungen 310
VertretungsregelungSAP NetWeaver IdM 337
VertriebsauftragsartCustomizing 597Risiko 597
Vertriebsorganisation 480Vertriebsweg 91
Customizing 585Verkaufsprozess 128
Vier-Augen-Prinzip 661Benutzer- und Berechtigungsadminist-
ration 637Debitor 128Debitorenbuchhaltung 561Kreditor 134
View 432, 440Visual Administrator 394, 401Vorgangsart 479, 517Vorlagerolle 185
Typisierung 198Vorschlagswert 439, 442
Normativer Nutzen 206Regelkonformität 207Standardtransaktionen 204Tabellen und ihre Relation 214Ziel 206
Vorschlagswerte Access Control 208Vorschlagswerte Profilgenerator 202
W
WareneingangBeschaffungsprozess 133, 136
Warenversender 507Warenzusteller 506Web Dynpro 385, 387Webservices 147Weitergabekontrolle 113Werk 90, 661
Customizing 584Wertrolle 661
Definition 199Typisierung 198
Workflow 661Workflow-Typ
Access Control CUP 326
1349.book Seite 687 Montag, 5. Oktober 2009 4:07 16
688
Index
Z
Zahllauf 57, 131, 133, 661Finanzwesen 568
ZahlungseingangVerkaufsprozess 131
ZahlungsprogrammFinanzwesen 568
ZBV 661Access Control 321Definition 315logisches System 316Organisationsmanagement 321Tochtersystem 317
ZBV (Forts.)zentraler Pflegemandant 316
Zentrale Benutzerverwaltung (ZBV) � ZBV
zentraler PflegemandantZBV 316
Ziel-ID 461, 463Zielsystem
Rolle 170Zugangskontrolle 114Zugriffskontrolle 114Zuordnungsblock 430, 431, 435, 661Zuständigkeitsrolle 661
Rollenmanager 291Zutrittskontrolle 113
1349.book Seite 688 Montag, 5. Oktober 2009 4:07 16