SM62 Event History
Incident Management
Bestenfalls wird für die Zeit, in welcher ein Notfallbenutzer im Einsatz ist, ein gesondertes Protokoll über die getätigten Aktivitäten geschrieben, welches anschließend ausgewertet werden kann. In dem nachfolgenden Kapitel möchte ich Ihnen gerne unsere Best-Practice Herangehensweise zur Umsetzung eines Notfallbenutzerkonzepts erklären. Unsere Herangehensweise zur Verwendung von einem Notfallbenutzerkonzept Wir haben gute Erfahrungen mit dem Einsatz der Xiting Authorizations Management Suite (XAMS) in diesem Bereich gemacht. Diese Suite besteht aus verschiedenen Modulen zur Erstellung von Rollenkonzepten, Verwalten von Berechtigungen inklusive eines Berechtigungskonzepts und ermöglicht zudem die Umsetzung von einem Notfallbenutzerkonzept. Die XAMS arbeitet hier mit einer zeitlich limitierten Zuweisung von Referenzbenutzern mit erweiterten Rechten um das Notfallbenutzerkonzept zu ermöglichen. Hierbei kann ein Self-Service Antrag mit einer Begründung und einer Zeitdauer für die Zuteilung von Sonderrechten erfolgen. Das Antragsfenster ist beispielhaft im folgenden Screenshot dargestellt: Auswertung der Nutzung des Notfallbenutzerkonzepts Sobald dieser Antrag angestoßen wurde, wird für den User ein neuer Modus geöffnet, in welchem er mit den erweiterten Rechten arbeiten kann. Zusätzlich, kann je nach Konfiguration ein hinterlegter Workflow als Genehmigungsprozess angestoßen werden, oder es werden vorher definierte Verantwortliche zur Überprüfung der Aktivitäten per Email benachrichtigt. Sobald die Session mit dem Notfallbenutzer beendet wurde, erhalten die Verantwortlichen eine weitere Email mit den protokollierten Aktivitäten des Users mit den erweiterten Berechtigungen. Eines dieser Protokolle ist im nächsten Screenshot zu sehen: Diese Protokolle können auch im System angeschaut werden. Hier bekommen Sie nach einer Selektion der User einen Überblick über alle gelaufenen Sessions. Es gibt zusätzlich die Möglichkeit getätigte Aktivitäten mit Sonderrechten nach einer entsprechenden Auswertung zu genehmigen. Hierdurch kann sich der Verantwortliche einen Überblick über die getätigten Aktivitäten mit dem Notfallbenutzer verschaffen. Wenn Sie dieses Notfallbenutzerkonzept verwenden und die genannten Schritte befolgen können Sie folgende Punkte sicherstellen: Jeder User auf dem Produktivsystem behält seine ursprünglich notwendigen Rechte.
Zu einem sicheren SAP-System gehört nicht nur ein gutes Rollenkonzept. Es muss auch überprüft werden, ob ein Nutzer eine bestimmte Rolle überhaupt (noch) besitzen soll. Die regelmäßige Überprüfung der Rollenzuordnung wird als Rezertifizierung bezeichnet. In diesem Blogbeitrag möchte ich Ihnen die Notwendigkeit von Rezertifizierungen näherbringen und unser eigenes Tool, den EasyReCert, vorstellen. Die Notwendigkeit der Rezertifizierung - Szenarien: Beispiel 1: Das „Azubi Problem“ Stellen Sie sich folgendes Szenario vor: Ein neuer Mitarbeiter (beispielsweise ein Azubi oder Trainee) durchläuft im Rahmen seiner Einarbeitung verschiedene Abteilungen und arbeitet in verschiedenen Projekten mit. Natürlich wird Ihrem Mitarbeiter gleich zu Beginn ein SAP User zur Verfügung gestellt, welcher mit entsprechenden Rollen versehen ist. Beim Durchlauf der einzelnen Projekte und Abteilungen benötigt der Mitarbeiter immer wieder neue Berechtigungen, um den Anforderungen gerecht zu werden. Nachdem der Mitarbeiter seine Einarbeitung erfolgreich abgeschlossen hat und nun eine feste Stelle besetzt, verfügt er immer noch über Berechtigungen, die zur Bearbeitung seiner Aufgaben nicht nötig sind. Dies verletzt das Prinzip des „least privilede“ und stellt ein potentielles Sicherheitsrisiko für Ihr Unternehmen dar. Beispiel 2: Der Abteilungswechsel Ein Szenario, welches wohl in jedem Unternehmen vorkommt, ist der Abteilungswechsel. Sollte bei einem Abteilungswechsel nicht automatisch eine komplette Neuvergabe der Rollen durchgeführt werden und der Mitarbeiter seine alten Berechtigungen einfach mitnehmen, können sehr schnell kritische Kombinationen von Berechtigungen auftreten. So verletzt ein Mitarbeiter, der beispielsweise über Berechtigungen in der Kreditoren- und Debitorenbuchhaltung verfügt, das Prinzip SoD („Segregation of Duties“) und stellt ein potentielles Sicherheitsrisiko für Ihr Unternehmen dar. Rezertifizierung im Rahmen einer Revision: Die beiden genannten Beispiele zeigen, dass eine regelmäßige Überprüfung der Rollenvergabe potentielle Sicherheitsrisiken für Ihr Unternehmen aufzeigt und sich diese so beheben lassen.
Sie möchten mehr über die verschiedenen SAP Module erfahren?
Automatisierung der Prozesse In einem IDM werden IT-Geschäftsprozesse, das Anlegen, Ändern sowie das Löschen eines Benutzers anhand eines eindeutigen Regelwerks zentral definiert. Anschließend laufen alle notwendigen Schritte mittels automatisierter Workflows ab. Die Benutzerverwaltung muss nicht mehr für jedes einzelne System separat administriert werden, sondern nur noch an einer zentralen Stelle (Single Point of Administration). Datenkonsistenz Mitarbeiterdaten werden in einer IDM-Architektur nur einmal in einem führenden System angelegt. Alle angeschlossenen Systeme nutzen diese Daten in ihrer Benutzerverwaltung bedarfsorientiert. Bei einem Abteilungswechsel oder einer neuen Tätigkeit werden Berechtigungen automatisiert angepasst. Sicherheit und Dokumentation In einer zentralen Benutzerverwaltung lassen sich Anwender effizient auf allen Systemen sperren oder die Zugriffsrechte ändern. Durch die Anbindung an den Personalprozess wird der Änderungsprozess automatisch angestoßen sobald in der Personalabteilung der Stammdatensatz angepasst wird. Außerdem können durch Dokumentationslösungen alle Vorgänge lückenlos archiviert werden. Dadurch entsteht eine Transparenz die auch den Nachweis eines funktionierenden und sicheren Berechtigungskonzepts bei Revisionsprüfungen erleichtert. Anforderungen an IDM-Systeme Personen erhalten elektronische Identität Attribute beschreiben die Rolle der person Qualitätsanforderungen Verlässlichkeit: Missbrauchsverhinderung Nachvollziehbarkeit: Dokumentation und Logging Ausfallsicherheit: Back-up-Systeme Einklang mit rechtlichen Vorgaben Datenschutzgesetz Worauf sollte man bei Antragsprozessen achten? Bei der Implementierung und auch im laufenden Betrieb eines IDM gibt es bestimmte Dinge die man bei Antragsprozessen zwingend beachten sollte. Die wichtigsten Punkte habe ich Ihnen in Form einer Checkliste zusammengefasst.
Aufgezeichnete Traces können auch gespeichert werden. Wählen Sie dazu im Menü Performance-Trace > Trace sichern bzw. Performance- Trace > Gesicherten Trace anzeigen, um einen gesicherten Trace wieder abzurufen.
"Shortcut for SAP Systems" ist eine PC-Anwendung, mit der viele Tätigkeiten in der SAP Basis vereinfacht bzw. auch überhaupt erst ermöglicht werden.
So können Sie anhand der Einzelsätze entscheiden, ob die Antwortzeiten für alle Transaktionsschritte gleichmäßig hoch oder ob sie generell niedrig sind und nur sporadisch extrem hohe Antwortzeiten auftreten, die zu einem erhöhten Mittelwert führen.
Umgekehrt kann es vorkommen, dass Ihnen Benutzer Performanceprobleme melden, die Ihnen im Workload-Monitor nicht sofort ins Auge springen.