INHALTSVERZEICHNIS
5
Inhaltsverzeichnis Vorwort 9
1 Grundlagen für SAP-Anwender 13 1.1 Überblick für Einsteiger 14
1.1.1 Was bedeutet SAP ERP? 14 1.1.2 Was sind Geschäftsprozesse? 17 1.1.3 Die Module von SAP ERP 21 1.1.4 Wie sieht eine Systemlandschaft aus? 23 1.1.5 Welche Bedeutung hat der Mandant? 27 1.1.6 Programme, Dynpros, Transaktionen und Jobs 29
1.2 Berechtigungsprobleme aus Prozesssicht 33 1.3 Typische Fragen und Lesehinweise 36
2 Authentifizierung und SAP-Benutzerstammsatz 39 2.1 Authentifizierung 39
2.1.1 Was bedeutet Authentifizierung? 39 2.1.2 Welche Authentifizierungsmerkmale gibt es? 41 2.1.3 Welche Authentifizierungstechniken gibt es im SAP-
Umfeld? 46 2.1.4 Was kann ein Anwender zur Sicherheit des SAP-
Systems beitragen? 49 2.2 Benutzerstammsatz 52 2.3 Rollen und Profile 57
2.3.1 Was ist eine Rolle in SAP? 57 2.3.2 Die verschiedenen Rollentypen in SAP 62 2.3.3 Was ist ein Profil? 64
3 Berechtigungsvergabe in SAP 67 3.1 Grundlegende Begriffe des SAP-Berechtigungswesens 67
3.1.1 Was ist ein Berechtigungsfeld? 68 3.1.2 Was ist ein Berechtigungswert? 76 3.1.3 Was sind Berechtigungsobjekte? 80 3.1.4 Was genau ist eine Berechtigung in SAP? 83
INHALTSVERZEICHNIS
6
3.2 Berechtigungen in Rollen und Profilen 87 3.2.1 Der Rollen- bzw. Profilgenerator 88 3.2.2 Bedeutung des Rollenmenüs 92 3.2.3 Wie kommen konkrete Berechtigungen in Rollen und
Profile? 96 3.2.4 Was sind Orgebenen in einer Rolle? 103
3.3 Berechtigungen von SAP-Benutzern 105 3.3.1 Was ist der Benutzerpuffer? 105 3.3.2 Auswirkungen von Änderungen an Rollen und
Profilen auf Anwender 109
4 Berechtigungsprüfungen im SAP-System 113 4.1 Arten von Berechtigungsprüfungen 113
4.1.1 Was ist eine Transaktionsberechtigung? 114 4.1.2 Alternative Startberechtigungsprüfungen 116 4.1.3 Welche Berechtigungen werden nach dem Start
einer Transaktion noch geprüft? 119 4.1.4 Was ist ein AUTHORITY CHECK? 121
4.2 Modulspezifische Berechtigungen 125 4.2.1 Rechnungswesen 126 4.2.2 Personalwesen 137 4.2.3 Logistik 141
4.3 Spezielle Berechtigungsprüfungen 143 4.3.1 Ausführen von ABAP-Programmen 143 4.3.2 Zugriffe auf Dateien, Uploads und Downloads 149 4.3.3 Zugriff auf Tabellen und Views 152 4.3.4 Varianten und Layouts 156 4.3.5 Berechtigungsgruppen 160 4.3.6 LSMW- und Batch-Input-Berechtigungen 163
4.4 Kontrolle fehlgeschlagener Berechtigungsprüfungen 167 4.4.1 Wie sieht eine fehlgeschlagene
Berechtigungsprüfung aus? 167 4.4.2 Transaktion SU53 170 4.4.3 Wie setzt man die SU53 sinnvoll ein? 175 4.4.4 Was ist ein Berechtigungstrace? 180 4.4.5 Warum werden Benutzer geklont? 185
4.5 Fehlende Berechtigungsprüfungen 188
INHALTSVERZEICHNIS
7
4.5.1 Wie erkennt man eine fehlende Berechtigungsprüfung? 188
4.5.2 Wie werden berechtigungsbezogene Programmfehler korrigiert? 190
4.5.3 Welche Alternativen zur Berechtigungsprüfung gibt es? 191
5 Rahmenbedingungen für das SAP-Berechtigungswesen 195 5.1 Akteure im SAP-Umfeld 195
5.1.1 Anwender 196 5.1.2 Key-User 198 5.1.3 Anwendungsbetreuer 199 5.1.4 Benutzerverwalter 200 5.1.5 Systemadministrator 200 5.1.6 Sonstige Akteure 201
5.2 Das Vier-Augen-Prinzip 202 5.3 Sicherheitsanforderungen und Konzepte für die
IT-Sicherheit 205 5.3.1 Gesetzliche Rahmenbedingungen für den SAP-
Einsatz 206 5.3.2 Betriebskonzept für den SAP-Einsatz 208 5.3.3 Berechtigungskonzept 210 5.3.4 Entwicklungsrichtlinien 211
5.4 Rollen- und Namenskonventionen 213 5.5 Kritische und unkritische Berechtigungen 217
5.5.1 Kritische Transaktionsberechtigungen 217 5.5.2 Kritische Berechtigungsobjekte 221 5.5.3 Auswertung kritischer Berechtigungen 224 5.5.4 Unkritische Berechtigungen 227
6 Fazit 229
7 Weiterführende Informationen 231 7.1 Literatur 231 7.2 SAP Onlinehilfe 233 7.3 SAP Support Portal 235
INHALTSVERZEICHNIS
8
A Der Autor 240
B Index 241
C Disclaimer 248
Weitere Bücher von Espresso Tutorials 249
39
2 Authentifizierung und SAP-Benutzerstammsatz
Bevor ich Ihnen technische Details zu den Berechtigungen und Berechtigungsprüfungen in SAP-Systemen erläutere, erfahren Sie in diesem Kapitel, was »Authentifizierung« bedeutet und warum sie für das Berechtigungswesen eine unverzichtbare Grundlage darstellt. Zudem erläutere ich Ihnen kurz, wie ein SAP-Benutzerstammsatz aussieht und wie diesem Berechtigungen »technisch« zugeordnet werden.
2.1 Authentifizierung
Ohne Authentifizierung keine personenbezogene Autorisierung, d. h. keine nutzerabhängige Berechtigungsvergabe: Zu Beginn des zwei-ten Kapitels erfahren Sie, warum das so ist. Außerdem lernen Sie die Merkmale kennen, anhand derer eine Authentifizierung möglich wird – sowie einige Rahmenbedingungen, die erforderlich sind, damit die-se Maßnahmen tatsächlich die Sicherheit der Daten und Systemfunk-tionen verbessern.
2.1.1 Was bedeutet Authentifizierung?
Jeder Anwender sollte innerhalb eines Anwendungssystems nur Zu-griff auf Daten und Funktionen haben, die er zur Erledigung seiner betrieblichen Aufgaben benötigt. Man spricht in diesem Zusammen-hang auch vom Minimalprinzip bei der Berechtigungsvergabe. Spezi-ell in integrierten Systemen, die die Geschäftsprozesse und Daten aus vielen verschiedenen Teilbereichen der Unternehmung abbilden, ist diese Maxime wichtig. Welche Daten die einzelnen Funktionsbe-reiche und Sparten einsehen oder bearbeiten dürfen, unterscheidet
AUTHENTIFIZIERUNG UND SAP-BENUTZERSTAMMSATZ
40
sich genauso wie die Zugriffsrechte von Führungskräften und Sach-bearbeitern innerhalb eines Bereichs.
Grundlegende Rahmenbedingungen für die Beschränkung von Zu-griffen auf Daten in IT-Systemen lassen sich aus externen Anforde-rungen ableiten, insb. aus den gesetzlichen Regelungen zum Thema Datenschutz (vgl. hierzu Abschnitt 5.3.1). Details der Zugriffskonzepte sind hingegen eher durch unternehmensinterne Vorgaben geprägt.
Damit das Minimalprinzip in einem System umsetzbar ist, muss tech-nisch ein anderes Verfahren realisiert sein: eine sogenannte explizite Autorisierung. Jedem Benutzer müssen die Rechte für den Zugriff auf Daten oder Funktionen gezielt zugewiesen werden. In anderen Wor-ten: Alles, was nicht ausdrücklich gestattet wird, ist nicht erlaubt.
Eine Umsetzung des Minimalprinzips ist daher eine wichtige Anforde-rung an den Betrieb eines ERP-Systems. Das SAP-System basiert entsprechend auf expliziter Autorisierung. Man bezeichnet die Verga-be von Berechtigungen an die Benutzer eines Systems auch als die Provisionierung von Usern mit Rechten.
Das Berechtigungswesen in SAP ist ein sehr mächtiges und komple-xes Werkzeug der Systemadministration. Es ermöglicht eine sehr detaillierte technische Zugriffssteuerung auf Daten und Funktionen, da die Zugriffsrechte in der Realität zumeist ebenfalls sehr vielschich-tig sind.
Um einem Benutzer die richtigen Berechtigungen zuweisen zu kön-nen, müssen zwei Voraussetzungen erfüllt sein:
Es muss definiert sein, welche Berechtigungen ein Sys-temanwender für die Erledigung der ihm zugewiesenen be-trieblichen Aufgaben benötigt – dieser Aspekt wird in den Ab-schnitten 2.3.1 und 5.3.3 aufgegriffen.
Das System benötigt eine gesicherte Information darüber, wer der Systemanwender ist. Diese Information bereitzustel-len, ist Aufgabe der Authentifizierung.
AUTHENTIFIZIERUNG UND SAP-BENUTZERSTAMMSATZ
41
Authentifizierung bezeichnet demnach
1. die Identifizierung einer Person gegenüber einem technischen System bzw.
2. die Feststellung der Identität einer Person durch ein System.
Nicht zu verwechseln ist eine Authentifizierung mit der »einfachen« Überprüfung einer Zugriffsberechtigung – für den Anwender ist der Unterschied mitunter allerdings nicht zu erkennen, zumal Merkmale und Techniken, die in den folgenden beiden Abschnitten vorgestellt werden, dieselben sind. Die Ungleichheit erscheint auf den ersten Blick auch nicht besonders groß: Sie besteht darin, ob bei der Über-prüfung der Zugriffsberechtigung die Identität der Person eine Rolle spielt oder nicht.
Identifizierung vs. Anonymität
Handelt es sich z. B. bei einem Passwort oder einer PIN um eine benutzerbezogene Angabe, führt das System eine Authentifizierung durch – wodurch der Benutzer bei der Nutzung des Systems selbstver-ständlich nicht mehr anonym sein kann.
Aufgrund der heutigen Durchdringung des täglichen Lebens mit tech-nischen Systemen sind damit verbundene Zugriffsbeschränkungen und Passwörter allgegenwärtig: Sie werden entsprechend als alltäg-lich wahrgenommen und zumeist nicht hinterfragt – insbesondere dann nicht, wenn der Zugriff anschließend »problemlos« gelingt.
2.1.2 Welche Authentifizierungsmerkmale gibt es?
In diesem Abschnitt erfahren Sie zunächst etwas über die verschie-denen Merkmale, auf die die Identifizierung einer Person durch ein System ganz allgemein abstellen kann, bevor ich im nächsten Ab-schnitt zwei im SAP-Umfeld übliche Authentifizierungstechniken be-schreiben werde.
AUTHENTIFIZIERUNG UND SAP-BENUTZERSTAMMSATZ
42
Grundsätzlich kann Authentifizierung anhand von drei verschiedenen Merkmalen erfolgen: Ein System kann
1. das Vorhandensein von spezifischem Wissen,
2. den Besitz einer Sache oder
3. die Existenz eines charakteristischen Merkmals der Person (bio-metrische Merkmale)
überprüfen. In Abbildung 2.1 sind diesen drei Merkmalen verschiede-ne Authentifizierungstechniken zugeordnet, die auf deren Überprü-fung ausgerichtet sind.
Abbildung 2.1: Authentifizierungsmerkmale und -techniken
Das am häufigsten verwendete Authentifizierungsmerkmal ist das spezifische Wissen, das i. d. R. in Form eines Passwortes oder einer PIN (persönlichen Identifikationsnummer) abgefragt wird. Gleichzeitig ist es das potenziell unsicherste Merkmal für die Identitätsprüfung:
Spezifisches Wissen kann jederzeit problemlos auf andere Personen übertragen bzw. von mehreren Personen geteilt werden. Die zweifelsfreie Identifizierung einer Person über dieses Authentifizierungsmerkmal ist daher an bestimmte Vo-raussetzungen gebunden: insbesondere, dass es geheim
AUTHENTIFIZIERUNG UND SAP-BENUTZERSTAMMSATZ
43
bleiben muss. Wird ein personenbezogenes Passwort oder eine PIN frei zugänglich aufbewahrt, handelt es sich nicht mehr um das spezifische Wissen einer Person, sondern sozusagen um allgemeines Wissen, das keinen gesicherten Rückschluss mehr auf die Identität einer Person zulässt.
Es ist vergleichsweise einfach, unberechtigt Kenntnis über ein spezifisches Wissen zu erlangen, z. B. durch unerlaubtes Beobachten einer Passworteingabe, durch Aufzeichnen von Tastatureingaben an einem Gerät oder durch Abhören einer unverschlüsselten Datenübertragung.
Je nach Komplexität des spezifischen Wissens ist es u. U. einfach, durch Ausprobieren möglicher Ausprägungen die Lösung herauszufinden. Abhängig von der Anzahl der Zei-chen eines Passwortes oder einer PIN, ist zwar ein manuel-les Ausprobieren aller möglichen Zeichenkombinationen kaum sinnvoll, das automatisierte Ausprobieren durch ein Programm jedoch immer eine Gefahr.
Passwortsicherheit
In Abschnitt 2.1.4 finden Sie einige Hinweise zur Passwortsicherheit.
Das Authentifizierungsmerkmal Besitz einer Sache verlangt von ei-nem Benutzer die Vorlage eines physischen Gegenstands als Identi-tätsbeweis. Dabei liegt die Annahme zugrunde, dass der Zugriff auf diesen einzigartigen Gegenstand nur dem Eigentümer möglich ist. Für diese Form der Authentifizierung ist zusätzliche Hardware erfor-derlich.
Die häufigste Authentifizierungstechnik in diesem Kontext ist die Iden-titätsprüfung mittels einer Smartcard bzw. Chipkarte: Deren Chip enthält mindestens einen Datenspeicher sowie ggf. auch Mikropro-zessoren, die Daten verarbeiten können. Auf dem Speicher der
INDEX
241
B Index
A ABAP 29
Liste 157 Ablauforganisation 16 absoluter Pfad 150 Administrator 202 Akteur 195 Aktivität 17, 20 ALV-Liste 157 Anmeldebildschirm 28, 46 Anmeldeverfahren 46 Anwender
dezentral 197 zentral 197
Anwendungsbetreuer 199 Applikationsserver 26 Aufbauorganisation 16 Auswertungsweg 141 Authentifizierung 39, 41
Besitz einer Sache 43 biometrisches Merkmal 45 charakteristisches Merkmal
45 Merkmale 42 Sicherheitsmaßnahme 47 spezifische Fähigkeit 45 spezifisches Wissen 42
Authentifizierungstechnik kombinierte 44
Authority Check 121, 144, 188, 213
Autorisierung explizite 40
B Batch-Input-Mappe 163, 167 Beleg 127 Benutzerabgleich 112 Benutzeridentität 44 Benutzerinformationssystem
224 Benutzer-Klon 187 Benutzermenü 60, 92, 96 Benutzername 46 Benutzerparameter 56 Benutzerpuffer 62, 105, 111 Benutzerstammsatz 52
Profile 64 Rollen 59
Benutzerverwalter 200, 203 Berechtigung 85
Definition 83 Berechtigungsfehler 168
Dokumentation 176 Berechtigungsfeld 67, 72, 76
ACTVT 75, 79, 101, 117, 144
AUTHC 139 BDCAKTI 167
INDEX
242
BDCGROUPID 167 BEGRU 78, 161, 162 BUKRS 71, 77 CO_ACTION 136 Definition 69 DICBERCLS 152 FILE 76 INFTY 138 kein 74 OTYPE 138 P_ACTION 143 P_GROUP 143, 162 PCBEGRU 162 PERSA 138 PERSG 138 PERSK 138 PPFCODE 139 PSIGN 139 RESPAREA 134 TCD 76, 114
Berechtigungsgruppe 74, 132, 142, 146, 152, 160
Berechtigungskonzept 210 Berechtigungsmeldung 179 Berechtigungsobjekt 67, 85
B_LSMW 164 B_LSMW_PRO 164 Definition 80 F_BKPF_BLA 99 F_BKPF_BUK 82, 84, 120 F_BKPF_GSB 120 F_BKPF_KOA 120 F_LFA1_APP 120 F_LFA1_GEN 120 F_LFA1_GRP 120 F_SKA1_BUK 81, 120,
122, 124 mehrfach zugeordnet 100
P_ORGIN 138 P_ORGINCON 138 P_PERNR 139 P_TCODE 140 PLOG 139 S_ALV_LAYO 157 S_ALV_LAYR 157 S_DATASET 149, 152, 165,
213 S_DEVELOP 223 S_GUI 151, 152 S_PROGNAM 119, 147,
212 S_PROGRAM 119, 143,
145, 212 S_RFC 116 S_SERVICE 118 S_START 118 S_TABU_DIS 152 S_TABU_NAM 154 S_TCODE 114, 120, 140,
148 Trugschluss 69
Berechtigungsobjektklasse 80, 99
Berechtigungsprozess 33, 36 Aktivitäten 34
Berechtigungsprüfung 72, 82, 84, 113, 119, 121, 145, 156 fehlende 123 fehlgeschlagene 167, 170
Berechtigungsszenarien schaltbar 148
Berechtigungstrace 121, 178, 183
Berechtigungsverwalter 203 Berechtigungswert 67
INDEX
243
unzulässige Feldwerte 78 Betriebskonzept 208 Bildschirmausgabe 32 Buchungskreis 16, 70 Buchungsperiodensteuerung
75, 131, 192 Business Client 27
C CCC 199 CCoE 190, Siehe Customer
Center of Expertise Childrolle 64 Chipkarte 43 Customer Center of Expertise
199
D Dateizugriff 26, 149, 165 Datenbank 201 Datenschutz 207 Debitor 126 Debugging 223 Dongle 44 Dreisystemlandschaft 24 Dynpro 32
E Einkäufergruppe 142 Einkaufsorganisation 142 Einzelrolle 63 elektronischer Kontoauszug
129 Endgerät 27 Entwicklungsrichtlinie 212 Entwicklungssystem 24
Ereignis 20 ereignisgesteuerte
Prozesskette (EPK) 20 ERP-System 16 explizite Autorisierung 40
F Favoriten 95, 96 Fehler nachstellen 186 Fehlerkaskade 177 Fehlermeldung
Dialogfenster 168 Fiori 27, 47, 118 Folgefehler 168 Fragen aus Sicht eines
Anwenders 36 Frontend 152, 202 Funktionstrennung 210
G Gelegenheits-User 196 Geschäftsbereich 16, 71 Geschäftspartner 202 Geschäftsprozess 16, 17
Aktivität 17 Definition 17 Teilprozess 17
gesetzliche Rahmenbedingung 206
GoB 206 GoBD 132, 206 GUI-Fenster 27
H Hintergrundjob 144, Siehe
Job
INDEX
244
Hinweis Siehe SAP Note
I Identität einer Person 41 Identitätsprüfung 48 Infotyp 137 Innenauftrag 134 Instanz 26
J Job 32
K Key-User 33, 198 Kommandofeld 30
Programmfunktionen 31 Kontengruppe 74 Kontenplan 126 Konvention 210 Kostenart 133 Kostenrechnungskreis 133 Kostenstelle 16, 71, 133 Kreditor 126 kritisches Feld
Änderungsbestätigung 192 kundeneigenes Programm
146 Kundennamensraum 91
L Lastverteilung 26 Laufzeitumgebung 114 Layout 156, 159 Lesehinweise 36 Liste
kritischer Berechtigungsobjekte 221
kritischer Transaktionen 218
unkritischer Transaktionen 227
LSMW 163
M Mandant 27 Mandantenkopie 25, 150, 186
Berechtigung 28 Maßnahme (HCM) 137 Masterrolle 64 Material 142 Materialart 142 Mehrfachzuordnung 100 Menüfunktion
inaktiv 167 Minimalprinzip 39, 76, 114,
227 Modul
CO 21 FI 21, 126 HCM 22 MM 22 PCA 22 SD 22
Modus 27
N Namenskonvention 215 Negativ-Test 189 Neustart des Rechners 110
INDEX
245
O Objekttyp 138
Organisationseinheit 138 Person 138 Planstelle 138 Stelle 138
Organisationsstruktur 16 Orgebene 99, 103
unternehmungsspezifische 105
P Passwort 42, 46
mandantenabhängig 48 Passwortregeln 47, 51 Patch 190 Pflegestatus 98 PIN 42 Positiv-Test 188 Power-User 196 Produktivsystem 23 Profil 64, 84
SAP_ALL 65 SAP_NEW 65
Profilgenerator 88 Profit Center 134 Programm 29, 32, 114 Prozessauslöser 19 Prozesseigenschaften 19 Prozessergebnis 19 Prozessmodell
EPK- 21 hierarchisch 17
Prozessschritte 19 Prüfer
externe 202
interne 198 Prüftabelle 71 PSP-Element 134
Q Qualitätskontrolle 211 Qualitätssicherungssystem 24 Quellcode 29, 188 Quelltext 123, 124
R relativer Pfad 150 Returncode 125 RFC 116 Risiko
Arbeitsplatz 52 Ausdrucke 52 persönliches 50
Rolle 57, 84 Ausgestaltung 58, 108 Bearbeitung 89 Berechtigungsdaten 62, 97 Funktionsrolle 211 Kombination 62 Mischrolle 211 Name 215 Namenskonvention 58 Orgrolle 211 technische 62
Rollenmenü 60, 89, 93
S S/4HANA 15 Sachkonto 126 Sammelrolle 63 SAP Easy Access 92
INDEX
246
SAP ERP 14 Branchenlösungen 22 Module 21 Teilmodule 22
SAP GUI 27 Datenübertragung 47
SAP Query 152 SAP Single Sign-On Secure
Login 48 SAP-Anwender 196 Sapbasis 200 SAP-Menü 92, 96 SAP-Note 190 Schnelleinstieg 36 Secure Network Connection
48 Selektionsbild 32 Sicherheitskonzept
Schwachstelle 49 Sicherheitsmaßnahme
Authentifizierung 47 Umgehung 50
Single-Sign-On 47, 49 Smartcard 43, 48
Passwortregeln 52 SNC-Daten 49, 56 Sparte 16 Standardhierarchie 134 Startberechtigungsprüfung
115 Step Siehe Job Strukturparameter 16, 70, 213 SU53
Anzeige 172 per Mail 174 Screenshot 176
Support Package 190 Systemadministrator 200 Systemkopie 25, 186
Berechtigung 28 Systemlandschaft 23 Systemtrace 181
T Tabelle
AGR_1250 84 AGR_1251 84 TACT 79 TSTC 218 USR12 84
Teilprozess 17 Testsystem 24, 27, 28 Transaktion 30, 32, 114
LSMW 163 OB28 193 OKC7 193 OOSP 140 PFCG 88 SA38 32, 90, 144, 146 SE16N 152 SE38 144 SE80 144 SM35 167 SQ01 90, 152 ST01 181 STAUTHTRACE 183 SU20 76 SU3 52 SU53 63, 170, 175 SU56 106, 170 SUIM 224
Transaktionsberechtigung 114, 226
INDEX
247
Transaktionscode 30 Erzeugung 92 Konvention 90
Transportauftrag 24 Transportlandschaft 24 Transportsystem 24
U Unternehmen 15 Unternehmung 16 Unternehmungs-IT 199 Update 190 Upgrade 148
V Validierung 193 Variante 33, 156 Variantenpflege 144 Verantwortungsbereich 134 Vererbung 134 Verfahrensdokumentation 207 Verfahrensverzeichnis 207 Verkäufergruppe 142 Verkaufsbüro 142
Verkaufsorganisation 142 Verschlüsselung
Datenübertragung 47 Vertriebsweg 142 Vier-Augen-Prinzip 35, 192,
200, 202 Virtualisierung 26 Vorabkorrektur 190 Vorschlagswerte 98, 100
keine 102 Rollenpflege 96
W Web Dynpro 118 Web GUI 27, 47 Werk 141
Z Zahlprogramm 128 Zahlungslauf 204 Zertifikat 44 Z-Transaktionscode 212 Zugriff auf digitale Unterlagen
132