Hallo,

ich bin neu und das System ist in der Firma auch neu.

Netweaver, SolMan und und und

Die Aufgabe ist nun ein Basisprofil zu generieren ohne SAP_ALL aufzubauen und doch weitestgehend

das System vernünfigt administrieren zu können.

Ich werde sicherlich noch mehr so Fragen starten...

daher, wer hat da Erfahrung profile von Anfang an richtig aufzusetzen.

Unsere Berater halten sich da ziehmlich raus.

 

Gruß

Joachim

---

Hallo,

ich bin neu und das System ist in der Firma auch neu.

Netweaver, SolMan und und und

Die Aufgabe ist nun ein Basisprofil zu generieren ohne SAP_ALL aufzubauen und doch weitestgehend

das System vernünfigt administrieren zu können.

Ich werde sicherlich noch mehr so Fragen starten...

daher, wer hat da Erfahrung profile von Anfang an richtig aufzusetzen.

Unsere Berater halten sich da ziehmlich raus.

 Gruß

Joachim

Hallo Joachim,

ja, ich kann nachvollziehen dass Eure Berater sich da heraus halten. Zumindest dann, wenn es sich um keine Experten im Bereich Berechtigungen handelt.

Da Ihr das System neu einführt dürfte Euch aber auch auf Administratoren-Seite das Wissen fehlen. Sofern Ihr Euch keine "Berechtigungs-Beratung" ins Haus holen wollt und bereit seit damit zu leben dass die nächsten Monate immer wieder einmal Nachbesserungen nötig werden dürften, schlage ich folgende Alternativen vor:

Variante 1:

Ihr generiert eine Rolle über die Vorlage SAP_ALL und modifiziert sie im Objekt S_TCODE dahingehend, dass die Namensräume für die Applikationen entfernt werden. Ebenso werden die Objekte angepasst.

Vorteil: Schnell umsetzbar

Nachteile:
1. Know-How notwendig im Bereich der Transaktionsbenamung und Objekte.
2. Wird diese Rolle mit einer anderen Rolle kombiniert kann es zu ungewollten Freigaben kommen

Variante 2:

Ihr nutzt die Vorlagen der SAP im Bereich Basis und erarbeitet Euch suksessive die fehlenden Berechtigungen

Vorteil:
1. sicher,
2. keine ungewollten Freigaben

Nachteil:
1. Aufwändig
2. strapaziert die Geduld der Basis
3. Vermutlich hohe Anzahl an fehlenden Berechtigungen

Variante 3:

Ihr generiert über das SAP-Standard-Menü den Bereich "Werkzeuge". Ich empfehle hierbei den Bereich "Berechtigungen" auszuklammern und separat abzubilden (Ihr könnt damit flexibler auf Anforderungen der Wirtschaftsprüfer und Revisioren reagieren). Fehlende Berechtigungen werden nachgepflegt.

Vorteil:
1. schnell umsetzbar 
2. es sind weniger fehlende Berechtigungen zu vermuten als bei Variante 2.
3. durch die Struktur sind auch hier keine ungewollten Freigabe-Kombinationen zu erwarten

Nachteile:
1. Auch hier keine Garantie auf Vollständigkeit
2. Es werden auch Entwicklerberechtigungen mit frei gegeben

Fazit: ich persönlich würde in Eurem Fall Variante 3 nutzen und versuchen die Objekte korrekt auszuprägen.

Ich hoffe ich konnte weiter helfen. Eine grundsätzliche Anmerkung noch hierzu. Ein sauberes Konzept welches später auch noch wirtschaftlich administrierbar sein soll wird ein "Anfänger" kaum ohne Unterstützung aufbauen können.

Gruß

Petra

Ok, danke Petra, für Deinen Rat. Ich werde versuche das hinzubekommen, denn die SAP-Berater wollen da nicht dran und bis

ich einen Berater habe, der das untermauer, läuft mir bereits das Projekt auf Hochturen...

Das ist halt das Probelm, wenn man auf einen fahrenden Zug aufspringt.

Joachim

---

Ok, danke Petra, für Deinen Rat. Ich werde versuche das hinzubekommen, denn die SAP-Berater wollen da nicht dran und bis

ich einen Berater habe, der das untermauer, läuft mir bereits das Projekt auf Hochturen...

Das ist halt das Probelm, wenn man auf einen fahrenden Zug aufspringt.

Joachim

Hallo Joachim,

einen Berater zu bekommen welcher auf Berechtigungskonzepte spezialisiert ist, dürfte kein Problem sein (man muss es nur explizit anfordern). Aber natürlich können auch interne Genehmigungsprozesse dies in die Länge ziehen.

Bisher ist mir noch nicht klar welchen Verantwortungsbereich Du bei dieser Thematik hast. Solltest Du tatsächlich "nur" die Basisberechtigungen im Fokus haben, so ist externe Unterstützung eher nicht notwendig. Solltest Du aber ein vollständiges Konzept aufbauen müssen, so rate ich Dir doch Beratung anzufordern. Denn in diesem Fall gehe ich davon aus, dass diese Fragestellung noch die einfachste war . Hinzu kommt, dass ein Berechtigungskonzept von einer sauberen Struktur lebt. D.h. je durchdachter Du gliederst umso einfacher ist die spätere Administration.

Viel Erfolg

Petra

Hallo Petra,

DU hast recht, das Berechtigungsthema ist nur ein "Minitask".

da sind noch so Themen wie Systemsizing, Plattensizing, Systemlandschaft,

Wir sind schon mal soweit, daß wir auf eine Power5 aufsetzen wollen und unsere EVA

noch ausbauen müssen. Blueprint läuft gerade an und es gibt fast gar kein SAP-

Wissen im EDV-Bereich

Ich kämpfe um jeden millimeter :-))

Joachim

---

Hallo Petra,

DU hast recht, das Berechtigungsthema ist nur ein "Minitask".

da sind noch so Themen wie Systemsizing, Plattensizing, Systemlandschaft,

Wir sind schon mal soweit, daß wir auf eine Power5 aufsetzen wollen und unsere EVA

noch ausbauen müssen. Blueprint läuft gerade an und es gibt fast gar kein SAP-

Wissen im EDV-Bereich

Ich kämpfe um jeden millimeter :-))

Joachim

Ahh...Power5...bin auch gerade für BigBlue unterwegs (System Copies, Installation, Upgrades, Systemadministration)....wenn du Fragen hast, dann immer her damit...vlt. kann man ja unterstützend mitwirken :)

Ciao, OldSAPGuru

---

Hallo Petra,

DU hast recht, das Berechtigungsthema ist nur ein "Minitask".

da sind noch so Themen wie Systemsizing, Plattensizing, Systemlandschaft,

Wir sind schon mal soweit, daß wir auf eine Power5 aufsetzen wollen und unsere EVA

noch ausbauen müssen. Blueprint läuft gerade an und es gibt fast gar kein SAP-

Wissen im EDV-Bereich

Ich kämpfe um jeden millimeter :-))

Joachim

Hallo Joachim,

ja, das kann ich mir vorstellen, zumal ich mit meinem Post zum Ausdruck bringen wollte, dass schon alleine ein sauberes Berechtigungskonzept aufwändig genug ist. Mit Basisberechtigungen meinte ich Berechtigungen für die SAP-Basis. Da Ihr ja aber auch noch Applikationsberechtigungen für die Fachbereiche benötigt ist da noch eines hinzuzurechnen und dadurch ein häufig unterschätztes Thema.

Was den Aufwand beeinflusst sind

-Anzahl User
-Anzahl Applikationen
-Org.-Struktur

Seit Ihr schon Produktiv oder kommt das erst?

Halte(t) die Ohren steif

Petra

Hallo Petra,

sorry, war am Freitag abgehängt und finde gerade erst Zeit vorbei zu schauen.

Nein, wir sind noch nicht Produktiv.

Aber ich möchte halt versuchen schon in der Sand-Box auf das Thema hinzuweisen und versuche nun schon mal

Wissen zusammen zu tragen. Ich habe gestern mal einen älteren SAP security Guide 3.0 überflogen.

Da sind schon mal ein paar Empfehlungen erkenntlich. (Auch Einstellungsparameter) Leider ist das Ding von 2001 und da gab es noch keine Netweaver,

aber vielleicht finde ich ja noch was neueres. Über help.sap.com/Netweaver... muss ich immer gleich eine Rechner mitschleppen ;-(

E-Book wäre schön;-) aber ist wohl auch nicht.

Im WWW scheint es da kaum konkrete hinweise zu geben, so alla ... damit haben wir gute Erfahrung gemacht.

ww.it-audit.de ist auch ziemlich umfänglich.

Ich wühl mal weiter..

Joachim

 

---

Hallo Joachim,

kein Problem, wir sind hier doch zum Vergnügen

Inhaltliche Tipps wirst Du auch nicht von SAP finden. Es gibt aber aus meiner Sicht ein hilfreiches Buch was Dich bei der Gliederung der Berechtigungen unterstützen kann. D.h., wie baue ich Sammel- und Einzelrollen auf so dass sie optimal (sprich mehrfach) nutzbar sind. Ebenso gibt es ein paar gute Hinweise darauf was zusätzlich noch beachtet werden sollte

Verlag: Galileo Press; Auflage: 1 (Dez. 2002)

Sprache: Deutsch

ISBN-10: 3898423123

ISBN-13: 978-3898423120

Wie gesagt, das hilft Dir aber nicht bei der Frage welche Transaktionen werden wo benötigt und mir persönlich ist da auch nichts an Literatur bekannt. Die SAP-Vorlage-Rollen halte ich für nicht praxisnah und auch nicht für vollständig, so dass diese allenfalls in den Bereichen "Auditorenrollen" und "Rolle für alle Mitarbeiter = z.B. Berechtigungen zum Drucken" genutzt werden können. Aber auch hier empfehle ich eine Überprüfung der Objekteinstellungen.

Was die Parametereinstellungen im System angeht (also Transaktion RZ11 und Tabelle SSM_CUST), so gibt es teilweise dazu OSS-Hinweise. Leider habe ich sie aktuell nicht vorliegen und Du wirst deshalb selbst danach suchen müssen.

Dann gibt es noch die SAP-Leitfäden SAP Security Guide und  SAP-Leitfaden-DS (Datenschutz), soweit ich weiss auch neuere. Für HR, MM, FI wird auch noch etwas eigenständiges angeboten. Schau einfach mal nach den Leitfäden bei SAP selbst.

Ach ja.. und was audit.de angeht. Das ist viel zu revisionslastig als das es Dir beim grundsätzlichen Aufbau des Berechtigungskonzeptes helfen könnte. Das empfehle ich bei konkreten Fragen.

Viel Erfolg beim Suchen

Petra

 

 

Ich muss dieses alte Thmea nochmal hochholen, weil es in etwa um mein derzeitiges Problem geht.
Eine Firma möchte Berechtigungen für Entwickler ohne FI/CO Tabellenzugriff sowie ohne FI/CO Transaktionszugriff.
Im Moment habe ich keine genaue Idee, wie das zu verwirklichen sein soll - mein normalerweise grundsätzlicher Ansatz dann zu sagen, welche Berechtigungen die Entwickler überhaupt brauchen, stösst hier etwas auf taube Ohren ;-)

Im Prinzip wäre gewünscht SAP_ALL ohne die oben genannten Berechtigungen, da die Entwickler in allen anderen Bereichen auch Support leiste können müssen.

Reicht es, eine Rolle aus SAP_ALL zu generieren und dort dann sowohl im Feld S_TCODE einzuschränken als auch sämtliche mit F beginnenden Berechtigungsobjekte zu deaktiveren?
Oder macht es hier mehr Sinn, eine Rolle aus dem SAP Menübaum zu erstellen und dann die Knoten für FI und CO wegzulassen?

Grüsse
blausieben

---

Hallo blausieben,

Reicht es, eine Rolle aus SAP_ALL zu generieren und dort dann sowohl im Feld S_TCODE einzuschränken als auch sämtliche mit F beginnenden Berechtigungsobjekte zu deaktiveren?

--> NEIN. Dann kann ich mit SE11, SM30 etc. immer noch auf jeden Tabelleninhalt zugreifen. Zudem sind in den S_xxx_xxxx Transaktionen beliebige Module versteckt, auch FI/CO.

Oder macht es hier mehr Sinn, eine Rolle aus dem SAP Menübaum zu erstellen und dann die Knoten für FI und CO wegzulassen?

--> Das ist schon besser (wenn SAP wirklich nur in diesem Teilbaum die Transaktionen hat), schliesst aber den oben genannten Zugriff noch nicht aus. Auch nicht ausgeschlossen ist, das auch in anderen Bereichen FI/CO Berechtigungen geprüft werden und hinterher mit in der Rolle sind.

Sicher werden Berechtigungen erst, wenn nur die tatsächlich jeweils benötigten Berechtigungen vergeben werden und nicht blind SAP Rollen oder Profile ohne genaue Analyse der enthaltenen Berechtigungsobjekte verwendet werden. Und die Prüfung der möglichen Querausstiege und Seiteneffekte durch andere Rollen sollte auch nicht vergessen werden.

Gruß
Dirk

Hi, schöner, interessanter Thread.
Ich bin im FI/CO unterwegs und wir haben ein ziemlich ausgepägtes Berechtigungssystem.
Bei uns machen das im Prinzip die Modulverantwortlichen weil die das Wissen haben ob jemand die Transaktion braucht, was sich dahinter versteckt und was man noch so drum herum benötigt.

Es gibt eine gute Seite die sich mit dem Thema aus Sicht der Prüfung beschäftig was ja auch sehr wichtig ist:
http://www.mariewagener.de/

Gruß, Thomas