sap berechtigungswesen · 8.1 grundkonzept des sap erp hcm-organisationsmanagements ..... 312 8.2...
TRANSCRIPT
Bonn � Boston
Volker Lehnert, Katharina Stelzner, Peter John, Anna Otto
SAP Berechtigungswesen ®
Auf einen Blick
1 Einleitung ....................................................................... 23
TEIL I Betriebswirtschaftliche Konzeption
2 Einführung und Begriffsdefinition .................................... 31
3 Organisation und Berechtigungen ................................... 61
4 Rechtlicher Rahmen – normativer Rahmen ...................... 107
5 Berechtigungen in der Prozesssicht ................................. 135
TEIL II Werkzeuge und Berechtigungspflege im SAP-System
6 Technische Grundlagen der Berechtigungspflege ............. 155
7 Systemeinstellungen und Customizing ............................ 227
8 Rollenzuordnung über das Organisationsmanagement ............................................. 311
9 Zentrales Management von Benutzern und Berechtigungen ....................................... 321
10 Berechtigungen: Standards und Analyse .......................... 363
11 SAP Access Control ......................................................... 393
12 User Management Engine ............................................... 413
TEIL III Berechtigungen in spezifischen SAP-Lösungen
13 Berechtigungen in SAP ERP HCM ................................... 437
14 Berechtigungen in SAP CRM ........................................... 459
15 Berechtigungen in SAP SRM ........................................... 541
16 Berechtigungen in SAP NetWeaver BW .......................... 567
17 Berechtigungen in der SAP BusinessObjects Business Intelligence-Plattform 4.x ................................. 593
18 Berechtigungen in SAP HANA ......................................... 609
19 Prozesse in SAP ERP – spezifische Berechtigungen .......... 625
20 Konzepte und Vorgehen im Projekt ................................ 693
7
Inhalt
Vorwort ................................................................................... 19
Danksagung ............................................................................. 21
1 Einleitung ................................................................ 23
Teil I Betriebswirtschaftliche Konzeption
2 Einführung und Begriffsdefinition .......................... 31
2.1 Methodische Überlegungen .................................... 322.1.1 Ansätze für das betriebswirtschaftliche
Berechtigungskonzept ................................ 332.1.2 Beteiligte am Berechtigungskonzept .......... 35
2.2 Compliance ist Regelkonformität ............................ 362.3 Risiko ..................................................................... 372.4 Corporate Governance ............................................ 412.5 Technische versus betriebswirtschaftliche
Bedeutung des Berechtigungskonzepts ................... 432.6 Technische vs. betriebswirtschaftliche Rolle ............ 452.7 Beschreibung von Berechtigungskonzepten ............. 47
2.7.1 Role Based Access Control ......................... 472.7.2 Core RBAC und SAP ERP ............................ 502.7.3 Hierarchical RBAC und SAP ERP – limitierte
Rollenhierarchien ....................................... 552.7.4 Hierarchical RBAC und SAP – allgemeine
Rollenhierarchien ....................................... 562.7.5 Constrained RBAC ..................................... 562.7.6 Constrained RBAC und SAP ERP ................ 582.7.7 Restriktionen des RBAC-Standards ............. 582.7.8 Beschreibung technischer
Berechtigungskonzepte .............................. 59
3 Organisation und Berechtigungen .......................... 61
3.1 Organisatorische Differenzierung am Beispiel .......... 633.2 Begriff der Organisation .......................................... 653.3 Institutioneller Organisationsbegriff ........................ 663.4 Instrumenteller Organisationsbegriff ....................... 70
Inhalt
8
3.4.1 Aufbauorganisation .................................... 703.4.2 Aufgabenanalyse ........................................ 79
3.5 Folgerungen aus der Organisationsbetrachtung ....... 843.6 Sichten der Aufbauorganisation in SAP-Systemen .... 85
3.6.1 Organisationsmanagement ......................... 863.6.2 Organisationssicht des externen
Rechnungswesens ...................................... 873.6.3 Organisationssicht des Haushalts-
managements ............................................. 883.6.4 Organisationssicht der
Kostenstellenstandardhierarchie ................. 893.6.5 Organisationssicht der
Profit-Center-Hierarchie ............................. 903.6.6 Unternehmensorganisation ......................... 913.6.7 Organisationssicht im Projektsystem ........... 923.6.8 Logistische Organisationssicht .................... 933.6.9 Integration der Organisationssichten im
Berechtigungskonzept ................................ 933.7 Organisationsebenen und -strukturen in SAP ERP .... 94
3.7.1 Organisationsebene »Mandant« .................. 953.7.2 Relevante Organisationsebenen des
Rechnungswesens ...................................... 963.7.3 Relevante Organisationsebenen in der
Materialwirtschaft ...................................... 993.7.4 Relevante Organisationsebenen
im Vertrieb ................................................. 1003.7.5 Relevante Organisationsebenen in der
Lagerverwaltung ......................................... 1013.7.6 Integration der Organisationsebenen im
Berechtigungskonzept ................................ 1013.8 Hinweise zur Methodik im Projekt ........................... 1023.9 Fazit ........................................................................ 105
4 Rechtlicher Rahmen – normativer Rahmen ............. 107
4.1 Interne und externe Regelungsgrundlagen ............... 1084.2 Internes Kontrollsystem ........................................... 1124.3 Rechtsquellen des externen Rechnungswesens ........ 113
4.3.1 Rechtsquellen und Auswirkungen für den privaten Sektor .................................... 115
Inhalt
9
4.3.2 Konkrete Anforderungen an das Berechtigungskonzept ................................ 118
4.4 Datenschutzrecht .................................................... 1184.4.1 Gesetzliche Definitionen in Bezug auf
die Datenverarbeitung ............................... 1214.4.2 Rechte des Betroffenen .............................. 1224.4.3 Pflichten in Bezug auf das IKS .................... 1234.4.4 Konkrete Anforderungen an das
Berechtigungskonzept ................................ 1244.4.5 Regelkonformität versus Datenschutz ......... 125
4.5 Allgemeine Anforderungen an ein Berechtigungskonzept ............................................. 1264.5.1 Identitätsprinzip ........................................ 1284.5.2 Minimalprinzip .......................................... 1284.5.3 Stellenprinzip ............................................. 1294.5.4 Belegprinzip der Buchhaltung .................... 1304.5.5 Belegprinzip der
Berechtigungsverwaltung ........................... 1304.5.6 Funktionstrennungsprinzip ......................... 1314.5.7 Genehmigungsprinzip ................................ 1314.5.8 Standardprinzip ......................................... 1314.5.9 Schriftformprinzip ...................................... 1324.5.10 Kontrollprinzip ........................................... 132
4.6 Fazit ....................................................................... 133
5 Berechtigungen in der Prozesssicht ........................ 135
5.1 Prozessübersicht ..................................................... 1355.2 Der Verkaufsprozess ............................................... 1375.3 Der Beschaffungsprozess ......................................... 1435.4 Unterstützungsprozesse .......................................... 1475.5 Maßgaben für die Funktionstrennung ..................... 1505.6 Fazit ....................................................................... 152
Teil II Werkzeuge und Berechtigungspflege im SAP-System
6 Technische Grundlagen der Berechtigungspflege ... 155
6.1 Benutzer ................................................................ 1566.2 Berechtigungen ....................................................... 164
Inhalt
10
6.2.1 Berechtigungsfelder und Berechtigungsobjekte ................................. 164
6.2.2 Berechtigungsprüfungen für ABAP-Programme ...................................... 166
6.3 Rollen und Profile .................................................... 1696.3.1 Manuelle Profile und Berechtigungen ......... 1706.3.2 Rollenpflege ............................................... 171
6.4 Transfer von Rollen .................................................. 2096.4.1 Rollentransport ........................................... 2096.4.2 Down-/Upload von Rollen .......................... 211
6.5 Benutzerabgleich ..................................................... 2126.6 Vom Trace zur Rolle ................................................ 2146.7 Weitere Auswertungen von
Berechtigungsprüfungen .......................................... 2216.7.1 Auswertung der Berechtigungsprüfung ....... 2216.7.2 Prüfung des Programms .............................. 223
6.8 Fazit ........................................................................ 225
7 Systemeinstellungen und Customizing ................... 227
7.1 Pflege und Nutzung der Vorschläge für den Profilgenerator ........................................................ 2287.1.1 Grundzustand und Pflege der
Berechtigungsvorschlagswerte .................... 2307.1.2 Nutzen der Berechtigungs-
vorschlagswerte .......................................... 2407.2 Traces ...................................................................... 247
7.2.1 Vorgehen beim Berechtigungstrace ............ 2497.2.2 Vorgehen beim System-Trace ..................... 251
7.3 Upgrade von Berechtigungen .................................. 2527.4 Parameter für Kennwortregeln ................................. 2597.5 Menükonzept .......................................................... 2627.6 Berechtigungsgruppen ............................................. 268
7.6.1 Optionale Berechtigungsprüfungen auf Berechtigungsgruppen ................................ 270
7.6.2 Tabellenberechtigungen ............................. 2767.6.3 Berechtigungsgruppen als
Organisationsebenen .................................. 2817.7 Parameter- und Query-Transaktionen ...................... 283
Inhalt
11
7.7.1 Parametertransaktion zur Pflege von Tabellen über definierte Views ............ 285
7.7.2 Parametertransaktion zur Ansicht von Tabellen .............................................. 288
7.7.3 Queries in Transaktionen umsetzen ............ 2897.8 Anhebung eines Berechtigungsfeldes zur
Organisationsebene ................................................ 2917.8.1 Auswirkungsanalyse ................................... 2927.8.2 Vorgehen zur Anhebung eines Feldes zur
Organisationsebene ................................... 2967.8.3 Anhebung des Verantwortungsbereichs zur
Organisationsebene ................................... 2977.9 Berechtigungsfelder und -objekte anlegen .............. 300
7.9.1 Berechtigungsfelder anlegen ...................... 3007.9.2 Berechtigungsobjekte anlegen ................... 301
7.10 Weitere Transaktionen der Berechtigungsadministration ................................... 304
7.11 Rollen zwischen Systemen oder Mandanten bewegen .............................................. 3067.11.1 Down-/Upload von Rollen ......................... 3067.11.2 Transport von Rollen .................................. 307
7.12 Benutzerstammabgleich .......................................... 3087.13 Fazit ....................................................................... 308
8 Rollenzuordnung über das Organisationsmanagement ..................................... 311
8.1 Grundkonzept des SAP ERP HCM-Organisationsmanagements .................................... 312
8.2 Fachliche Voraussetzungen ..................................... 3148.3 Technische Umsetzung ........................................... 315
8.3.1 Voraussetzungen ........................................ 3158.3.2 Technische Grundlagen des SAP ERP
HCM-Organisationsmanagements .............. 3158.3.3 Zuweisung von Rollen ................................ 3168.3.4 Auswertungsweg ....................................... 3188.3.5 Benutzerstammabgleich ............................. 318
8.4 Konzeptionelle Besonderheit .................................. 3198.5 Fazit ....................................................................... 319
Inhalt
12
9 Zentrales Management von Benutzern und Berechtigungen .............................. 321
9.1 Grundlagen ............................................................. 3229.1.1 Betriebswirtschaftlicher Hintergrund ........... 3229.1.2 User Lifecycle Management ........................ 3259.1.3 SAP-Lösungen für die zentrale Verwaltung
von Benutzern ............................................ 3289.2 Zentrale Benutzerverwaltung ................................... 328
9.2.1 Vorgehen zur Einrichtung einer ZBV ........... 3309.2.2 Integration mit dem Organisations-
management von SAP ERP HCM ................ 3359.2.3 Integration mit SAP Access Control ............ 336
9.3 SAP Access Control User Access Management ......... 3379.4 SAP NetWeaver Identity Management .................... 345
9.4.1 Relevante technische Details ...................... 3479.4.2 Funktionsweise ........................................... 3489.4.3 Technische Architektur ............................... 3549.4.4 Integration mit SAP Access Control ............ 359
9.5 Fazit ........................................................................ 362
10 Berechtigungen: Standards und Analyse ................ 363
10.1 Standards und ihre Analyse ..................................... 36410.1.1 Rolle anstelle von Profil .............................. 36410.1.2 Definition der Rolle über das Menü ............ 36510.1.3 Vorschlagsnutzung ..................................... 36710.1.4 Tabellenberechtigungen ............................. 36710.1.5 Programmausführungsberechtigungen ........ 36810.1.6 Ableitung ................................................... 36910.1.7 Programmierung – Programmierrichtlinie .... 370
10.2 Kritische Transaktionen und Objekte ....................... 37210.3 Allgemeine Auswertungen technischer Standards .... 374
10.3.1 Benutzerinformationssystem ....................... 37410.3.2 Tabellengestützte Analyse von
Berechtigungen .......................................... 37710.4 AGS Security Services .............................................. 381
10.4.1 Secure Operations Standard und Secure Operations Map .............................. 382
Inhalt
13
10.4.2 Berechtigungs-Checks im SAP EarlyWatch Alert und Security Optimization Service ..... 384
10.4.3 Reporting über die Zuordnung kritischer Berechtigungen mithilfe der Configuration Validation .................................................. 390
10.5 Fazit ....................................................................... 392
11 SAP Access Control ................................................. 393
11.1 Grundlagen ............................................................. 39311.2 Access Risk Analysis ................................................ 39711.3 Business Role Management .................................... 40311.4 User Access Management ....................................... 40511.5 Emergency Access Management ............................. 40711.6 Risk Terminator ...................................................... 41011.7 Fazit ....................................................................... 411
12 User Management Engine ....................................... 413
12.1 Überblick über die UME ......................................... 41412.1.1 UME-Funktionen ....................................... 41412.1.2 Architektur der UME .................................. 41612.1.3 Oberfläche der UME .................................. 41712.1.4 Konfiguration der UME .............................. 419
12.2 Berechtigungskonzept von SAP NetWeaver AS Java ................................................................... 42212.2.1 UME-Rollen ............................................... 42212.2.2 UME-Aktionen ........................................... 42312.2.3 UME-Gruppe ............................................. 42512.2.4 Java-EE-Sicherheitsrollen ........................... 427
12.3 Benutzer- und Rollenadministration mit der UME ... 42712.3.1 Voraussetzungen zur Benutzer- und
Rollenadministration .................................. 42812.3.2 Administration von Benutzern .................... 42812.3.3 Benutzertypen ........................................... 43012.3.4 Administration von UME-Rollen ................ 43112.3.5 Administration von UME-Gruppen ............. 43212.3.6 Tracing und Logging .................................. 432
12.4 Fazit ....................................................................... 434
Inhalt
14
Teil III Berechtigungen in spezifischen SAP-Lösungen
13 Berechtigungen in SAP ERP HCM ........................... 437
13.1 Grundlagen ............................................................. 43713.2 Besondere Anforderungen von SAP ERP HCM ......... 43813.3 Berechtigungen und Rollen ..................................... 440
13.3.1 Berechtigungsrelevante Attribute in SAP ERP HCM ............................................ 441
13.3.2 Beispiel »Personalmaßnahme« .................... 44213.4 Berechtigungshauptschalter ..................................... 44613.5 Organisationsmanagement und indirekte
Rollenzuordnung ..................................................... 44813.6 Strukturelle Berechtigungen .................................... 450
13.6.1 Strukturelles Berechtigungsprofil ................ 45113.6.2 Auswertungsweg ........................................ 45213.6.3 Strukturelle Berechtigungen und
Performance ............................................... 45413.6.4 Anmerkung zu strukturellen
Berechtigungen .......................................... 45413.7 Kontextsensitive Berechtigungen ............................. 45513.8 Fazit ........................................................................ 457
14 Berechtigungen in SAP CRM ................................... 459
14.1 Grundlagen ............................................................. 46014.1.1 Die SAP CRM-Oberfläche:
der CRM Web Client .................................. 46014.1.2 Erstellen von Benutzerrollen für
den CRM Web Client .................................. 46814.2 Abhängigkeiten zwischen der Benutzerrolle
und PFCG-Rollen ..................................................... 46914.3 Erstellen von PFCG-Rollen abhängig von
Benutzerrollen ......................................................... 47114.3.1 Voraussetzungen für das Erstellen von
PFCG-Rollen ............................................... 47114.3.2 Erstellen von PFCG-Rollen .......................... 477
14.4 Zuweisen von Benutzerrollen und PFCG-Rollen ....... 48214.5 Beispiele für Berechtigungen in SAP CRM ................ 490
Inhalt
15
14.5.1 Berechtigen von Oberflächenkomponenten ......................... 490
14.5.2 Berechtigen von Transaktionsstarter-Links ........................... 500
14.5.3 Sonstige Berechtigungsmöglichkeiten für den CRM Web Client ............................ 502
14.5.4 Berechtigen von Stammdaten .................... 50414.5.5 Berechtigen von Geschäftsvorgängen ......... 50714.5.6 Berechtigen von Attributgruppen ............... 51814.5.7 Berechtigen von Marketingelementen ........ 519
14.6 Fehlersuche im CRM Web Client ............................ 52114.7 Access-Control-Engine ............................................ 52414.8 Fazit ....................................................................... 539
15 Berechtigungen in SAP SRM ................................... 541
15.1 Grundlagen ............................................................. 54115.2 Berechtigungsvergabe in SAP SRM .......................... 544
15.2.1 Berechtigen der Oberflächenmenüs ........... 54815.2.2 Berechtigen typischer Geschäftsvorgänge ... 550
15.3 Fazit ....................................................................... 565
16 Berechtigungen in SAP NetWeaver BW ................. 567
16.1 OLTP-Berechtigungen ............................................. 56816.2 Analyseberechtigungen ........................................... 570
16.2.1 Grundlagen ................................................ 57116.2.2 Schrankenprinzip ....................................... 57316.2.3 Transaktion RSECADMIN ........................... 57416.2.4 Berechtigungspflege ................................... 57416.2.5 Massenpflege ............................................. 57716.2.6 Zuordnung zu Benutzern ........................... 57816.2.7 Analyse und Berechtigungsprotokoll .......... 58216.2.8 Generierung ............................................... 58516.2.9 Berechtigungsmigration ............................. 587
16.3 Modellierung von Berechtigungen in SAP NetWeaver BW ............................................... 58816.3.1 InfoProvider-basierte Modelle ................... 58916.3.2 Merkmalsbasierte Modelle ......................... 58916.3.3 Gemischte Modelle .................................... 590
Inhalt
16
16.4 RBAC-Modell .......................................................... 59016.5 Fazit ........................................................................ 592
17 Berechtigungen in der SAP BusinessObjects Business Intelligence-Plattform 4.x ....................... 593
17.1 Berechtigungskonzept ............................................. 59317.1.1 Benutzer und Benutzergruppen .................. 59517.1.2 Objekte, Ordner, Kategorien ...................... 59817.1.3 Zugriffsberechtigungen ............................... 599
17.2 Interaktion mit SAP NetWeaver BW ........................ 60217.2.1 System für Endbenutzer anschließen ........... 60317.2.2 Beispiel einer Anwendung: Query in
Web Intelligence einbinden ........................ 60417.3 Fazit ........................................................................ 606
18 Berechtigungen in SAP HANA ................................. 609
18.1 Architektur von SAP HANA ..................................... 61018.2 Anwendungsszenarien von SAP HANA .................... 61118.3 Objekte des Berechtigungswesens in SAP HANA ..... 614
18.3.1 Benutzer ..................................................... 61518.3.2 Privilegien .................................................. 61718.3.3 Rollen ......................................................... 62018.3.4 Beispiel ...................................................... 621
18.4 Fazit ........................................................................ 622
19 Prozesse in SAP ERP – spezifische Berechtigungen 625
19.1 Grundlagen ............................................................. 62619.1.1 Stamm- und Bewegungsdaten .................... 62619.1.2 Organisationsebenen .................................. 627
19.2 Berechtigungen im Finanzwesen .............................. 62819.2.1 Organisatorische Differenzierungs-
kriterien ..................................................... 62919.2.2 Stammdaten ............................................... 63119.2.3 Buchungen ................................................. 64319.2.4 Zahllauf ...................................................... 648
19.3 Berechtigungen im Controlling ................................ 65019.3.1 Organisatorische Differenzierungs-
kriterien ..................................................... 651
Inhalt
17
19.3.2 Stammdatenpflege ..................................... 65219.3.3 Buchungen ................................................ 66119.3.4 Altes und neues Berechtigungskonzept im
Controlling ................................................. 66319.4 Berechtigungen in der Logistik (allgemein) .............. 664
19.4.1 Organisatorische Differenzierungs-kriterien ..................................................... 664
19.4.2 Materialstamm/Materialart ........................ 66619.5 Berechtigungen im Einkauf ..................................... 669
19.5.1 Stammdatenpflege ..................................... 67019.5.2 Beschaffungsabwicklung ............................ 670
19.6 Berechtigungen im Vertrieb .................................... 67619.6.1 Stammdatenpflege ..................................... 67619.6.2 Verkaufsabwicklung ................................... 678
19.7 Berechtigungen in technischen Prozessen ............... 68119.7.1 Funktionstrennung in der
Berechtigungsverwaltung ........................... 68119.7.2 Funktionstrennung im Transportwesen ...... 68419.7.3 RFC-Berechtigungen .................................. 68619.7.4 Debugging-Berechtigungen ........................ 68719.7.5 Mandantenänderung ................................. 68819.7.6 Änderungsprotokollierung ......................... 68919.7.7 Batchberechtigungen ................................. 690
19.8 Fazit ....................................................................... 690
20 Konzepte und Vorgehen im Projekt ........................ 693
20.1 Berechtigungskonzept im Projekt ............................ 69420.2 Vorgehensmodell .................................................... 696
20.2.1 Logischer Ansatz ........................................ 69720.2.2 Implementierung ....................................... 69920.2.3 Redesign .................................................... 70020.2.4 Konkretes Vorgehen .................................. 701
20.3 SAP Best Practices-Template-Rollenkonzept ........... 70520.3.1 SAP Best Practices ..................................... 70520.3.2 SAP-Template-Rollen ................................. 70620.3.3 Methodische Vorgehensweise des
SAP Best Practices-Rollenkonzepts ............. 70820.3.4 Einsatz mit SAP Access Control .................. 711
20.4 Inhalte eines Berechtigungskonzepts ....................... 712
Inhalt
18
20.4.1 Einleitung und normativer Rahmen des Konzepts .............................................. 713
20.4.2 Technischer Rahmen ................................... 71520.4.3 Risikobetrachtung ....................................... 71520.4.4 Person – Benutzer – Berechtigung ............... 71620.4.5 Berechtigungsverwaltung ............................ 71720.4.6 Organisatorische Differenzierung ................ 71820.4.7 Prozessdokumentation ............................... 71820.4.8 Rollendokumentation ................................. 718
20.5 Schritte zum Berechtigungskonzept ........................ 71920.6 Fazit ........................................................................ 721
Anhang ............................................................................ 723
A Abkürzungsverzeichnis ....................................................... 725B Glossar .............................................................................. 729C Literaturverzeichnis ............................................................ 745D Die Autoren ....................................................................... 751
Index ........................................................................................ 755
23
Das Berechtigungswesen ist ein originär betriebswirtschaft-liches Aufgabengebiet, das nicht allein der Systemadminis-tration überlassen werden kann. In diesem Buch zeigen wir Ihnen, wie Sie Berechtigungen auf Basis von Geschäfts-prozessen umsetzen können.
1 Einleitung
Was heißt Compliance?
Dem Thema Berechtigungen in SAP-Systemen wird erst seit einigen Jahren verstärkt Aufmerksamkeit geschenkt. Dieser Umstand ist dem Bemühen von Organisationen geschuldet, Compliance nachzuwei-sen. Compliance wird in diesem Buch mit dem Ziel grundsätzlicher Regelkonformität und dem Aufbau beziehungsweise der Nutzung geeigneter Strukturen und Instrumente, um dieses Ziel zu erreichen, gleichgesetzt.
Die faktisch übliche Fokussierung des Compliance-Begriffs auf die Rechnungslegung ist verständlich, da diese erst ein Bewusstsein für das Thema geschaffen hat. In weiten Teilen ist sie auch durch die rela-tiv klare Normierung der Anforderungen und der etwaigen Konse-quenzen fassbar. Trotzdem ist diese Fokussierung irreführend. Orga-nisationen haben – abhängig von ihrer Rechtsform und von den Märkten, in denen sie tätig sind – eine manchmal unüberschaubare Vielzahl weiterer gesetzlicher Normen zu erfüllen. Beispiele sind die umfassenden Regeln der US-amerikanischen Food and Drug Admi-nistration (FDA) oder die europäischen Regeln des Datenschutzes. Dass z. B. dem Schutz von Kundendaten nicht immer angemessen Aufmerksamkeit geschenkt wird, ist durch den Verkauf von Schwei-zer (Bank-)Kundendaten an deutsche Ermittlungsbehörden im Jahr 2012 oder von Kreditkartendaten an kriminelle Dritte ebenfalls im Jahr 2012 öffentlichkeitswirksam dokumentiert worden. Neben dem wahrscheinlichen Verstoß gegen datenschutzrechtliche Regularien ist der Reputationsverlust für die Beteiligten erheblich.
24
Einleitung1
Benutzer-berechtigungen
in ERP-Systemen
Der Übergang vom abstrakten und weitreichenden Begriff Compli-ance zu einem vergleichsweise konkreten Gegenstand wie Benutzer-berechtigungen mag überraschend wirken. In ERP-Systemen werden zumeist erhebliche Teile der Geschäftsvorfälle einer Organisation abgebildet. In der Systemlandschaft finden die Erfassung, Buchung und Auswertung der relevanten Geschäftsvorfälle statt. Meistens stellt SAP ERP dabei das Herzstück dar, d. h., dass zumindest die buchhalterisch relevanten Daten in diesem System verarbeitet wer-den. Damit sind die Aktivitäten im System nichts anderes als Aufga-ben bei der Bearbeitung eines Geschäftsvorfalls. Mithin ist jedes Risiko, das in der Bearbeitung eines einzelnen oder in der Summe der Bearbeitung aller Geschäftsvorfälle auftritt, ein Risiko im System. Die Aufgabenverteilung, die bei der Bearbeitung von Geschäftsvorfällen u. a. besteht, um kriminelles oder fehlerhaftes Handeln zu vermei-den, muss im System nachvollzogen werden. Die organisatorisch erforderliche Aufgabenverteilung muss über Berechtigungen, die erforderlichen detektivischen Kontrollen müssen durch eine sinn-volle Berichterstattung (Reporting) im System nachvollzogen wer-den.
Thema dieses Buches
Berechtigungen sind in diesem Sinne kein technisches Thema, sondern ein originär betriebswirtschaftliches. Dementsprechend erhalten Sie in diesem Buch auch Hinweise auf Inhalte der Organisationslehre, des Geschäftsprozessmanagements und weiterer betriebswirtschaftlicher Themen. Der Schwerpunkt dieses Buches liegt in der Abbildung von Berechtigungen entlang der betriebswirtschaftlichen Prozesse in der Organisation. Um Berechtigungen abbilden zu können, müssen Sie einerseits die Prozesse und die Organisation verstehen. Anderseits bedarf es selbstverständlich auch des technischen Wissens darüber, wie Berechtigungen funktionieren, wie sie angelegt werden und wie sie durch komponentenbezogene Einstellungen differenziert werden können. Dieses Buch hat das Ziel, Berechtigungen im Rahmen durch-greifender Konzepte technischer Regelkonformität aus dem techni-schen in das betriebswirtschaftliche Blickfeld zu rücken.
Neuerungen in der 2. Auflage
Nach dem großen Erfolg der 1. Auflage dieses Buches, die im Jahr 2010 erschienen ist, halten Sie nun die 2., aktualisierte und erwei-terte Auflage in Händen. Wir haben das Buch komplett überarbeitet und auf den neuesten Wissensstand gebracht. Nicht nur im SAP-Berechtigungswesen sind bedeutende Neuerungen zu verzeichnen; es sind zudem neue SAP-Lösungen auf den Markt gekommen (z. B.
25
Einleitung 1
SAP HANA), die nun in das Blickfeld gerückt sind. Im Einzelnen fin-den Sie in der 2. Auflage nun Informationen zu den folgenden neuen Themen:
� Die neue und verbesserte Berechtigungspflege von SAP wird aus-führlich beschrieben. Dort steht insbesondere der Einsatz des neuen Berechtigungstraces bei der Pflege von Rollen und Vor-schlagswerten im Vordergrund (Kapitel 6 und 7).
� Die Darstellung von SAP NetWeaver Identity Management wurde aktualisiert und ausgebaut (Kapitel 9).
� Die Werkzeuge zum Sicherheitsmonitoring, die im SAP Solution Manager kostenfrei zur Verfügung stehen, werden umfassend erläutert. Wir stellen Ihnen die Services des SAP Active Global Supports vor, die Sie u. a. nutzen können, um Ihr Berechtigungs-konzept regelmäßig zu prüfen (Kapitel 10).
� Aufgrund des neuen Releases von SAP Access Control (10.0) sind Änderungen und Ergänzungen in diesem Buch notwendig gewor-den (Kapitel 11).
� Zu den Berechtigungen in der SAP BusinessObjects BI-Plattform haben wir ein komplett neues Kapitel aufgenommen, denn mit zunehmender Verbreitung der BusinessObjects-Werkzeuge müssen Unternehmen auch ihre Berechtigungen überdenken (Kapitel 17).
� Ein zweites vollständig neues Kapitel gibt Ihnen einen Überblick über die Berechtigungen in SAP HANA. SAP HANA ermöglicht es Unternehmen, durch den Zugriff auf Daten im Arbeitsspeicher (In-Memory Computing) die Analyse von Geschäftsdaten immens zu beschleunigen (Kapitel 18).
Aufbau dieses Buches
Das Buch ist in drei Teile gegliedert. Es ist im Einzelnen folgender-maßen aufgebaut und folgt damit auch unserem Beratungsansatz:
Teil I: Betriebs-wirtschaftliche Konzeption
Der erste Teil des Buches rüstet Sie mit den notwendigen Grundlagen aus, die Sie brauchen, um ein betriebswirtschaftliches Berechtigungs-konzept zu erstellen. Kapitel 2 bietet eine allgemeine Einführung und klärt zentrale Begriffe. In Kapitel 3, »Organisation und Berechti-gungen«, setzen wir uns dann mit der Organisation, ihrem Aufbau und ihren Abläufen auseinander. Kapitel 4, »Rechtlicher Rahmen – normativer Rahmen«, wendet sich den legalen und internen Regeln zu, die die Grundlage für ein betriebswirtschaftliches Berechtigungs-konzept bilden. Schließlich stellen wir in Kapitel 5, »Berechtigungen
26
Einleitung1
in der Prozesssicht«, einen End-to-End-Prozess dar, der Ihnen an vie-len Stellen im Buch wiederbegegnen wird.
Teil II: Werkzeuge und Berechti-
gungspflege im SAP-System
Kapitel 6 bis 12 in Teil III behandeln die verschiedenen Werkzeuge, die Ihnen rund um die Berechtigungspflege im SAP-System zur Ver-fügung stehen. In Kapitel 6, »Technische Grundlagen der Berechti-gungspflege«, und Kapitel 7, »Systemeinstellungen und Customi-zing«, stellen wir Ihnen die wesentlichen technischen Grundlagen der Berechtigungspflege vor. In Kapitel 8, »Rollenzuordnung über das Organisationsmanagement«, folgt eine Einführung in die Methode der indirekten Rollenvergabe, die auf der Organisations-struktur beruht. Kapitel 9, »Zentrales Management von Benutzern und Berechtigungen«, widmet sich dann der zentralen Verwaltung von Benutzern mithilfe der Zentralen Benutzerverwaltung (ZBV), SAP NetWeaver Identity Management und SAP Access Control.
Kapitel 10, »Berechtigungen: Standards und Analyse«, beschreibt notwendige technische Minimalstandards, die wir gerne in einer so komprimierten Form am Anfang unserer Laufbahn vermittelt bekommen hätten. Kapitel 11 widmet sich dann ganz der GRC-Lösung SAP Access Control. Kapitel 12 stellt die User Management Engine dar.
Teil III: Berechti-gungen in
spezifischen SAP-Lösungen
Die Kapitel 13 bis 18 gehen auf Berechtigungen in den einzelnen SAP-Lösungen ein: Kapitel 13 behandelt die Berechtigungen in SAP ERP HCM. Kapitel 14 widmet sich SAP CRM und Kapitel 15 SAP SRM. In Kapitel 16, »Berechtigungen in SAP NetWeaver BW«, und Kapitel 17, »Berechtigungen in der SAP BusinessObjects Business Intelligence-Plattform 4.x«, geht es schließlich um BI-Lösungen von SAP. Kapitel 18 widmet sich den Berechtigungen in SAP HANA. Kapitel 19 umfasst schließlich die Berechtigungen in Bezug auf Pro-zesse in SAP ERP.
Wir schließen dieses Buch mit einem Kapitel zum Vorgehen beim Erstellen eines betriebswirtschaftlichen Berechtigungskonzepts ab (Kapitel 20, »Konzepte und Vorgehen im Projekt«).
Im Anhang finden Sie ein Glossar, Hinweise auf weiterführende und verwendete Literatur, Erläuterungen der in den Abbildungen ver-wendeten Symbole sowie ein Abkürzungsverzeichnis.
27
Einleitung 1
Download-Angebot auf der Verlagswebsite
Auf der Website des Verlag unter https://ssl.galileo-press.de/bonus-seite finden Sie weitere Informationen, z. B. das Kapitel zum Rollen-manager, das in der 1. Auflage dieses Buches enthalten war.
Aus der Inhaltsübersicht für dieses Buch lässt sich bereits sein Umfang erahnen: Wir bieten Ihnen eine umfassende Darstellung des SAP-Berechtigungswesens. Auch wenn dieses Buch nicht alle Aspekte vollständig behandeln kann, haben wir versucht, Ihnen ein Hand-buch mit vielen konkreten Hinweisen zu bieten.
155
In diesem Kapitel erfahren Sie, wie Sie Benutzer und Rollen anlegen können. Darüber hinaus soll ein grundlegendes Ver-ständnis der Wirkung von Berechtigungen geschaffen werden.
6 Technische Grundlagen der Berechtigungspflege
Das zentrale Instrument zur Verwaltung von Berechtigungen in SAP ERP sind Rollen. Die wichtigste Ergänzung des rollenbasierten Kon-zeptes in der Personalwirtschaft (SAP ERP HCM) wird in Kapitel 13 behandelt. Die wichtigsten Attribute einer Rolle sind das Menü und die Berechtigungen. Berechtigungen bestehen dabei aus Berechti-gungsobjekten mit Berechtigungsfeldern, in die die gewünschten Werte eingetragen werden. Aus den Berechtigungen der Rolle wird das Berechtigungsprofil automatisch generiert. Ohne das gene-rierte Berechtigungsprofil bleiben die in einer Rolle enthaltenen Berechtigungen unwirksam. Die Pflege von Berechtigungsdaten über Rollen mit anschließender Profilgenerierung ist die Nachfol-gemethode zur manuellen Pflege von Profilen und Berechtigungen (siehe Abschnitt 6.3.1, »Manuelle Profile und Berechtigungen«).
In diesem Kapitel werden die zentralen Definitionen und Instru-mente zur Pflege von Benutzern und Berechtigungen im SAP ERP-System vorgestellt. Nach der Benutzerpflege (Abschnitt 6.1, »Benut-zer«) beschreiben wir in Abschnitt 6.2, »Berechtigungen«, die Struk-tur von Berechtigungen und deren Prüfung in ABAP-Programmen. Die Rollenpflege ist Gegenstand des Abschnitts 6.3, »Rollen und Pro-file«, gefolgt von Informationen zum Transfer von Rollen in andere Mandanten in Abschnitt 6.4, »Transfer von Rollen«, und zum Benut-zerabgleich in Abschnitt 6.5, »Benutzerabgleich«. Die Auswertung von Berechtigungsprüfungen in Abschnitt 6.6, »Vom Trace zur Rolle«, schließt das Kapitel ab.
156
Technische Grundlagen der Berechtigungspflege6
6.1 Benutzer
Unterschiedliche Benutzertypen
Damit eine (natürliche) Person im SAP-System Aktionen ausführen kann, benötigt sie einen Benutzer, dem Berechtigungen zugeordnet sind. Dies ist in Abbildung 6.1 dargestellt. Eine Person 1 verfügt 2über einen Benutzer 3. Dem Benutzer sind eine (oder mehrere) Rol-len 4 zugeordnet. Eine Rolle 5 verfügt über ein Menü 6, das Anwendungen 7 enthält. In Bezug auf diese Anwendungen gehören zur Rolle Berechtigungen 8. Die einzelnen Berechtigungen sind Berechtigungen zu einem Berechtigungsobjekt 9.
Abbildung 6.1 Person – Benutzer – Rolle – Berechtigungen
Alle Aktionen im SAP-System werden durch Benutzer ausgeführt. Es gibt unterschiedliche Benutzertypen für unterschiedliche Arten von Aktionen.
� Dialogbenutzer
� Servicebenutzer
� Kommunikationsbenutzer
� Systembenutzer
� Referenzbenutzer
ME22N
ME25
…
S-TCODETCD: ME22N, ME25, …
M_BEST_BSAACTVT: 02, 03, …BSART: NB
………
Ber
echt
igun
gen
Menü der Rolle
157
Benutzer 6.1
DialogbenutzerDialogbenutzer sind für natürliche Personen personalisierte Benut-zer, die sich über das SAP GUI, die graphische Benutzeroberfläche (Graphical User Interface), am SAP-System anmelden. Der Dialogbe-nutzer ist der zentrale Benutzertyp, er steht deshalb in diesem Buch im Vordergrund.
ServicebenutzerServicebenutzer dienen z. B. in Webservices dem anonymen Zugriff mehrerer Benutzer. Aus diesem Grund sollten die Berechtigungen für diesen Benutzertyp stark eingeschränkt werden. Ein Anwender meldet sich über das SAP GUI an; dabei ist es möglich, dass er sich mehrfach anmeldet. Der Status des Kennwortes eines Servicebenut-zers ist immer produktiv. Das bedeutet auch, dass nur ein Benutzer-administrator das Kennwort ändern kann.
Kommunikations-benutzer
Kommunikationsbenutzer sind personenbezogene Benutzer, die sich allerdings nicht über das SAP GUI, sondern per RFC-Aufruf (Remote Function Call) anmelden. Es ist dem Benutzer möglich, das Kennwort zu ändern. Es erfolgt eine Prüfung, ob das Kennwort abgelaufen oder initial ist. Je nachdem, ob sich der Nutzer interaktiv angemeldet hat oder nicht, muss das Kennwort geändert werden.
SystembenutzerSystembenutzer sind Benutzer, die in technischen Abläufen, wie z. B. Batchläufen, Verwendung finden. Der Benutzer meldet sich hier nicht über das SAP GUI an. Beim Einsatz von Systembenutzern sind Mehrfachanmeldungen möglich. Für Kennwörter gibt es keine Ände-rungspflicht.
ReferenzbenutzerDer Referenzbenutzer ist ein Mittel, um die Berechtigungsadminist-ration zu vereinfachen. Es ist nicht möglich, sich über einen solchen Benutzer am SAP-System anzumelden. Der Referenzbenutzer dient dazu, Berechtigungen zu vererben.
Das betriebswirtschaftliche Berechtigungskonzept muss auch Aussa-gen zu den dargestellten Benutzern enthalten. Aus Gründen der Regelkonformität dürfen auch für technische Benutzer nur die Berechtigungen vergeben werden, die erforderlich sind. Umso mehr gilt dieses Prinzip für alle Benutzer, die Personen Zugriffe auf das Sys-tem ermöglichen.
Benutzer-stammsatz
In der Benutzerpflege wird für einen Benutzer jeweils in einem (oder mehreren) Mandanten ein Benutzerstammsatz angelegt. Der Benut-zerstammsatz ist mandantenspezifisch. Er wird über einen Benutzer-namen identifiziert und enthält:
158
Technische Grundlagen der Berechtigungspflege6
� Anmeldeinformationen wie Authentifizierungs- und Gruppie-rungsmerkmale, Gültigkeiten des Benutzers sowie den Sperrstatus des Benutzers
� Angaben zur natürlichen Person und Firmenzuordnung
� persönliche Einstellungen zum Benutzerstamm, wie z. B. Parame-ter, Datumsdarstellung oder Drucker
� Zuordnungen zu Berechtigungen in Form von Rollen- und/oder Profilzuordnungen
Der Benutzerstammsatz hat eine erhebliche Bedeutung für die Sicherheit und Ordnungsmäßigkeit des Systems. Sämtliche Protokol-lierungen von Systemzugriffen und in den Belegen beziehen sich auf den Benutzernamen. Diese Protokolle müssen je nach definierter Aufbewahrungsfrist aufbewahrt werden. In Bezug auf die Buchfüh-rungspflichten kann von einer Aufbewahrungsfrist von zehn Jahren nach Abschluss des Geschäftsjahres der letzten Aktivität des Benut-zers ausgegangen werden. In anderen Bereichen (z. B. Pharmaunter-nehmen, die der Kontrolle der Food and Drug Administration, FDA, unterliegen) kann auch die Notwendigkeit einer Aufbewahrung von bis zu 30 Jahren erforderlich sein.
Die Protokolle müssen darüber hinaus lesbar bleiben, und das bedeu-tet in diesem Kontext, dass der Benutzer, der eine bestimmte Charge freigab oder einen Beleg buchte, gegebenenfalls auch nach zehn Jah-ren ermittelbar sein muss. Daraus ergibt sich zwingend und aus-nahmslos, dass ein Benutzer nur einmalig einer Person zugeordnet werden darf. Benutzer zu »vererben« (dienstposten-, arbeitsplatz- oder stellenbezogenen Benutzer-IDs), also sie im Laufe der Zeit unterschiedlichen Mitarbeitern zur Verfügung zu stellen, ist in jedem Fall eine substanzielle Gefährdung der Sicherheit und Ordnungsmä-ßigkeit der EDV-Buchführung.
Eine Person – ein Benutzer
Auch die Praxis, eine Person im System mit mehreren Benutzern aus-zustatten, ist eine ähnlich erhebliche Gefährdung. Allerdings kann hier eine logische Ausnahme geltend gemacht werden, wie sie z. B. im Emergency Access Management (EAM) von SAP Access Control möglich ist. Dort wird in einem definierten und protokollierten Ver-fahren aus dem »normalen« Benutzer heraus ein Superuser gestartet, der entsprechend umfangreiche Berechtigungen hat. Generell gilt,
159
Benutzer 6.1
wenn eine Person in einem System mehrere Benutzer hat, ist ein Nachweis etwaiger Funktionstrennungskonflikte und ebenso von Vorgängen unter Umgehung der Funktionstrennung konzeptionell nur mit erheblichem Aufwand, praktisch hingegen nicht mehr dar-stellbar. Auch in Bezug auf diese Praxis ist zumindest der Verdacht naheliegend, dass es sich um eine substanzielle Gefährdung der Sicherheit und Ordnungsmäßigkeit handelt. Die Eindeutigkeit der Zuordnung des Benutzers zur Person bezeichnen wir als Identitäts-prinzip.
KennwortregelnIn den meisten Organisationen werden nach wie vor fast täglich Benutzer und Kennwörter weitergegeben. Der einzig regelkonforme Umgang mit diesem Missbrauch ist, diesen dauerhaft zu unterbin-den. Den Missbrauch können Sie einfach auswerten: Benutzer und Rechner können ohne Schwierigkeit ermittelt werden, ebenso kann ohne Schwierigkeiten festgestellt werden, welche Personen an einem bestimmten Tag nicht arbeiten. Bringt man diese Informationen zusammen, gelingt der verdachtsbegründende Nachweis über eine mutmaßlich missbräuchliche Nutzung von Benutzern. Dies reicht aus, um eine weitere Klärung, wie z. B. die Ansprache der Person, vorzunehmen. Datenschutzrechtliche Bedenken gegen dieses Verfah-ren können nicht geltend gemacht werden, da eine missbräuchliche Nutzung von Benutzern gegebenenfalls den Zugriff auf sensible Daten (und damit einen Verstoß gegen den Datenschutz) ebenso ermöglicht wie deutliche Gefährdungen des Belegprinzips. Neben einer einschlägigen Auswertung sollten immer auch arbeitsrechtliche Schritte erwogen werden. Die Kennwortregeln werden in Abschnitt 7.4, »Parameter für Kennwortregeln«, dargestellt.
Benutzerpflege vereinheitlichen
Das Verfahren der Benutzeranlage kann über SAP Access Control, SAP NetWeaver Identity Management, die Zentrale Benutzerverwal-tung (siehe für alle drei Lösungen Kapitel 10, »Zentrales Management von Benutzern und Berechtigungen«), vereinheitlicht und signifikant vereinfacht werden.
Vorgehen in der Benutzerpflege
Zum Anlegen oder Ändern eines Benutzers verwenden Sie die Trans-aktion SU01 (Benutzerpflege). Beim Anlegen tragen Sie den gewünschten Benutzernamen im Feld Benutzer ein und klicken auf den Button Anlegen (siehe Abbildung 6.2). In den folgenden Bild-schirmen werden die Attribute des Benutzers gepflegt.
160
Technische Grundlagen der Berechtigungspflege6
Abbildung 6.2 Einstieg in die Benutzerpflege
Registerkarte »Adresse«
Auf der Registerkarte Adresse (siehe Abbildung 6.3) müssen Sie min-destens aus den Angaben zur Person den Nachnamen pflegen. Beachten Sie, dass der Benutzer nicht gespeichert werden kann, bis auf der nächs-ten Registerkarte Logondaten ein Initialkennwort vergeben wurde.
Abbildung 6.3 Registerkarte »Adresse« der Benutzerpflege
Registerkarte »Logondaten«
Danach pflegen Sie auf der Registerkarte Logondaten den Benutzer-
typ und abhängig vom Benutzertyp das Kennwort. In der Regel wer-den Sie den Dialogbenutzer pflegen.
161
Benutzer 6.1
Das Kennwort können Sie automatisch generieren (über einen Klick auf den Button Wizard) oder manuell festlegen. Die Pflege einer Benutzergruppe für Berechtigungen ist dringend zu empfehlen, unter anderem um grundlegende Unterscheidungen zwischen System-administration und Endbenutzern zu ermöglichen. Neben der Benutzergruppe für Berechtigungsprüfungen können Benutzer belie-big vielen Gruppen zugeordnet werden (Registerkarte Gruppen). Dies dient u. a. der vereinfachten Pflege und Auswertung (siehe Abbildung 6.4).
Registerkarte »SNC«
Auf der Registerkarte SNC (Secure Network Communications) wer-den Angaben in Bezug auf ein (existierendes) Single-Sign-on-Verfah-ren (SSO) gepflegt. SNC ist für die Benutzerauthentifizierung verfüg-bar und stellt bei Verwendung des SAP GUI for Windows oder RFC eine SSO-Umgebung bereit.
Abbildung 6.4 Registerkarte »Logondaten«
Registerkarte »Festwerte«
Auf der Registerkarte Festwerte pflegen Sie Benutzerfestwerte, wie Startmenü, Drucker (Ausgabegerät), Dezimaldarstellung und Zeit-zone.
162
Technische Grundlagen der Berechtigungspflege6
Registerkarte »Parameter«
Parameter sind Angaben zum Benutzer, die ursprünglich dazu einge-richtet wurden, entsprechende Werte, wie z. B. den Buchungskreis, automatisch in die Selektion entsprechender Reports in die SAP-Finanzbuchhaltung (FI) zu übernehmen. Mittlerweile werden über Parameter aber auch Zugriffsmöglichkeiten unter anderem für den Employee Self-Service (ESS) gesteuert, damit können Parameter fall-weise auch Zugriffsberechtigungen einschränken. Für die Parameter steht eine Wertehilfe zur Verfügung (siehe Abbildung 6.5). Die ein-heitliche Betrachtung von Berechtigungen wird durch die Verwen-dung von Benutzerparametern erschwert. Um die Berechtigungen zu pflegen und zu prüfen, ist es erforderlich, neben den Rollen und etwaigen Profilen auch die Benutzerparameter zu betrachten: Statt einer Betrachtungsebene sind es somit mindestens zwei.
Abbildung 6.5 Registerkarte »Parameter«
Auf der Registerkarte Rollen (siehe Abbildung 6.6) können Sie direkte Rollenzuordnungen pflegen. Neben direkten Zuordnungen 1 sind auch indirekte Rollenzuordnungen 2 sichtbar, können aber nicht geändert werden. Indirekte Zuordnungen sind die Konsequenz anderer Zuordnungen. Man unterscheidet zwischen indirekten
163
Benutzer 6.1
Zuordnungen aus Sammelrollen (zur Definition der Sammelrolle siehe Abschnitt 6.3.2, »Rollenpflege«) oder aus dem HCM-Organisa-tionsmanagement (siehe Kapitel 8, »Rollenzuordnung über das Orga-nisationsmanagement«).
Abbildung 6.6 Registerkarte »Rollen«
Registerkarte »Rollen«
Die unterschiedlichen Zuordnungstypen werden bis Release 7.02 in SAP NetWeaver durch Farbcodierungen dargestellt. Direkte Zuord-nungen sind schwarz, indirekte blau gekennzeichnet. Ab Release 7.10 lösen Symbole in der äußersten rechten Spalte die Farbcodierungen ab. Wenn im Feld Referenzbenutzer für zusätzliche Rechte ein Referenzbenutzer eingetragen ist, erhält der aktuelle Benutzer zusätz-lich die Berechtigungen aus den Rollen- und Profilzuordnungen des Referenzbenutzers.
Registerkarte »Profile«
Auf der Registerkarte Profile (siehe Abbildung 6.7) sind sowohl die Zuordnungen aus Rollen generierter Profile als auch die Zuordnun-gen manuell erzeugter Profile (siehe Abschnitt 6.3.1, »Manuelle Pro-file und Berechtigungen«) zusammengefasst. Nur die Zuordnungen manueller Profile lassen sich direkt ändern. Um Änderungen der Zuordnungen generierter Profile herbeizuführen, müssen die ent-sprechenden Rollenzuordnungen geändert werden. Die Profiltypen sind durch unterschiedliche Symbole in der Spalte Typ gekennzeich-
164
Technische Grundlagen der Berechtigungspflege6
net, in Abbildung 6.7 durch 1 für Sammelprofile und 2 für gene-rierte Profile hervorgehoben.
Abbildung 6.7 Registerkarte »Profile«
Nachdem wir die Benutzerpflege und auch die Zuordnung von Berechtigungen dargestellt haben, wenden wir uns im folgenden Abschnitt den eigentlichen Berechtigungen zu.
6.2 Berechtigungen
Berechtigungen werden benötigt, um Anwendungen im ERP-System starten und deren Funktionen ausführen zu können. In den folgen-den Abschnitten beschreiben wir die strukturellen Eigenschaften und die Verwendung von Berechtigungen in ABAP-Programmen.
6.2.1 Berechtigungsfelder und Berechtigungsobjekte
Um die Ausführung einer betriebswirtschaftlichen Funktion vor Unbefugten zu schützen, enthalten ABAP-Programme Berechtigungs-prüfungen. Bei der Ausführung der Programme wird festgestellt, ob der ausführende Benutzer die anwendungsspezifischen Daten in der gewünschten Weise bearbeiten darf.
755
Index
0BI_ALL 579, 581, 5820TCAACTVT 572, 574, 5910TCAIPROV 572, 574, 589, 5910TCAKYFNM 5720TCAVALID 572, 574, 575, 591
A
ABAP 729ABAP Dictionary 729ABAP Source Scan 224ABAP-Benutzertyp 430Abgabenordnung 729abgeleitete Rolle 555Ablauforganisation 66, 729
betriebswirtschaftliches Berechtigungs-konzept 118
ID Management 326Ableitung von Rollen
Abweichung 369Manipulation 369Referenzrolle 203Standards 369
Ableitungskonzept 200, 291, 729Abstraktion 703AcceleratedSAP � ASAPAccess Control Engine � ACEAccess Control List 530, 536, 729Access Control � SAP Access ControlAccess Risk Analysis � ARAACE 524, 729ACE-Aktionsgruppe 729ACE-Aktivierungs-Tool 533ACE-Aktualisierungs-Tool 534ACE-Benutzergruppe 526, 729ACE-Design-Report 531ACE-Laufzeitreport 533ACE-Recht 526, 729ACE-Regel 525, 526, 527, 729Active Directory 729
SAP NetWeaver ID Management 345, 347
Actors from Objects 527Actors from User 527Ad-hoc Query 284, 729Aggregationsberechtigung 575, 584AGS Security Services 381
AktG 729Aktiengesetz � AktGAktionsgruppe 526, 528Aktivität im Berechtigungskonzept 82Aktortyp 527, 730ALE 330alternative Hierarchien 658, 730
Controlling 90Ampelfarben 187Analyse von Berechtigungsprüfun-
gen 221Analyseberechtigungen 567, 570, 573Analyse-Synthese-Konzept 74Analytics 542analytische Privilegien 618, 619Angebot im Verkaufsprozess 138ANSI INCITS 47Anspruchsgruppen 35Anwendungen in entfernten verbun-
denen Systemen 182Anzeigeattribute 572Application Link Enabling � ALEApplication Programming Interface
(API) 417ARA 396, 730Arbeitspaket 74, 528, 730Archivierung 571ARIS 34, 730ASAP 33, 730Attributgruppe 490, 518Audit 35, 241, 377, 628, 730Aufbauorganisation 66, 70, 73, 730
betriebswirtschaftliches Berechtigungs-konzept 118
SAP ERP 85Aufgabe 35, 45, 70, 74, 80, 702, 730
Berechtigungskonzept 82Funktionstrennungskonflikt 703
Aufgabenanalyse 79, 701, 730Aufgabensynthese 80, 702Berechtigungskonzept 44Objektanalyse 79Stelle 80Stellen- und Abteilungsbildung 80Verrichtungsanalyse 79
Auftragsart 98, 730Auftragsbearbeiter 547
756
Index
Auftragserfassung im Verkaufspro-zess 138
Auftragsposition 138Auktion 542Auswertung
Profilzuordnung 364über Status 366
Auswertungsweg 452, 730Organisationsmanagement 314
Authentifizierung in SAP HANA 616Authority-Check 166, 224, 730
B
BANF 145, 674, 730Barriereprinzip � SchrankenprinzipBatch Berechtigungen 690Batchbenutzer 690BDSG 119, 731Beleg 551, 554, 731
Bewegungsdaten 627Belegpositionsdaten 146Belegprinzip 130Benachrichtigungseinstellung im
Workflow 342Benachrichtigungs-E-Mail 421Benutzer 156, 484, 595, 731
Benutzerpflege 157Dialogbenutzer 157HCM-OM 441Kommunikationsbenutzer 157Mandant 157Person 158Protokollierungen von Systemzugriffen
158Referenzbenutzer 157SAP HANA 614Servicebenutzer 157Systembenutzer 157
Benutzer synchronisieren (ZBV) 334Benutzerabgleich 206, 212
OM 213Profilabgleich 214Sammelrollen 213
Benutzeradministration 550Benutzeranlage 159Benutzerauthentifizierung 161Benutzerdaten im Organisationsma-
nagement 324Benutzerfehler 38
Benutzerfestwerte 161Benutzergruppe 161, 487, 550, 564,
596, 731Benutzergruppen 595Benutzerinformationssystem 374Benutzerkennung 327Benutzerkontext 528, 534Benutzerkonto 322, 326Benutzermanagementlösung SAP Net-
Weaver ID Management 345Benutzermenü 470, 479Benutzerparameter 162, 488
CRM_UI_PROFILE 488ZBV 329
Benutzerrolle 464, 465, 467, 468, 469, 471, 477, 481, 484, 485, 488, 489, 492, 731Zuweisung 482
Benutzerstammabgleich 318, 731Benutzerstammsatz 413, 487
Elemente 157ID Management, Attribute 329ZBV, zentrale und dezentrale Pflege
333Benutzertyp 157, 160, 430, 731Benutzerverwalter 682Benutzerverwaltung (Java) 414Benutzer-Workflow 731Benutzerzuordnung 579Berechtigung 164, 731
Debug/Replace 387deklarative 427ID Management, regelbasiert 324kontextsensitive 455kopieren 198kritische 39, 40Nummer 191programmatische 427Standards 364tabellengestützte Analyse 377Upgrade 244Vertragsverhältnis 324verweigern 600vorschlagsbasiert 367
Berechtigungs-Check 384im EWA 385, 386im SOS 388kundenspezifisch 389Struktur 385
Berechtigungsdifferenzierung 72Berechtigungserstellung 414
757
Index
Berechtigungsfeld 165, 731anlegen 300
Berechtigungsgruppe 268, 271, 504, 731Debitor 138Haushaltsmanagement 270optionale Prüfung 270organisatorisches Unterscheidungs-
merkmal 281Tabellenzugriff 269
Berechtigungshauptschalter 731HCM 446
Berechtigungskonzept 74, 422, 468, 500, 731Anforderungen 126Aufgabenanalyse 44Aufwand 34Beschreibung 47betriebswirtschaftliches 33, 44Blueprints 694Corporate Governance 45Definition 31, 43Erweiterungsprojekt 694Funktionstrennung 696heterogene Systemlandschaften 694IKS 694Inhalte 45komponentenbezogen 33Kosten der Prävention 45Kosteneinsparung 695Partizipation 35positives 43Revision 694SAP BusinessObjects 593SAP-Einführung 694Stammdaten 626Standardisierung von Geschäfts-
prozessen 694Standards 694technisches 43, 59Upgrade 694Verfahrenssicht 695
Berechtigungsmigration 587Berechtigungsobjekt 165, 243, 372,
474, 543, 548, 551, 556, 731/SAPCND/CM 561B_BUPA_GRP 504B_BUPA_RLT 504, 562B_BUPR_BZT 506BBP_BUDGET 562BBP_CTR_2 559
BBP_FUNCT 562, 563BBP_PD_AUC 555BBP_PD_BID 555BBP_PD_CNF 556BBP_PD_CTR 555, 558BBP_PD_INV 556BBP_PD_PCO 555BBP_PD_PO 555BBP_PD_QUO 555BBP_PD_SC 556BBP_PD_VL 556BBP_SUS_P2 560BBP_SUS_PD 560BBP_VEND 563C_CABN 518C_KLAH_BKL 518C_KLAH_BKP 518C_LL_TGT 501C_TCLA_BKA 519COM_ASET 561COM_PRD 507, 561COM_PRD_CT 507CRM_ACE_MD 536CRM_ACT 516CRM_BPROLE 504CRM_CMP 516CRM_CO_PU 516CRM_CO_SA 516CRM_CO_SE 516CRM_CO_SL 516CRM_CON_SE 516CRM_CPG 519CRM_CPGAGR 519CRM_CPGCTP 519CRM_CPGRES 519CRM_LEAD 516CRM_OPP 516CRM_ORD_LP 509, 514CRM_ORD_OE 516CRM_ORD_OP 508CRM_ORD_PR 516CRM_SAO 516CRM_SEO 516F_REGU_BUK 648F_REGU_KOA 648k_cca 657K_VRGNG 662P_PERNR 445P_TCODE 445S_BDC_MONI 373S_CTS_ADMI 685
758
Index
S_DEVELOP 368, 372, 373, 688S_LOG_COM 373S_RFC 373S_RS_ALVL 568S_RS_AUTH 569, 580S_RS_HIST 569S_RS_ICUBE 569S_RS_ISNEW 568S_RS_PLSE 568S_RS_PLSQ 568S_RSEC 569S_TABU_DIS 281, 283, 368, 372,
536S_TCODE 365, 474, 480S_USER_AGR 684S_USER_PRO 684S_USER_SAS 684SAP HANA 614UIU_COMP 472, 475, 480, 490,
491, 495, 501, 502V_VBAK_AAT 679V_VBAK_VKO 679
Berechtigungspflegegenerische Pflege 190regelbasierte Pflege 241
BerechtigungsprofilNutzung ausschließen 364
Berechtigungsprotokoll 582, 583Berechtigungsprüfung 573Berechtigungsrelevanz 569, 571, 574Berechtigungstrace 215, 248, 521Berechtigungstyp 576Berechtigungsvergabe, objektorien-
tiert 597Berechtigungsvorschlagswert 170Bereichsmenü 731Bereichsstartseite 461, 465, 466, 467,
468, 479, 491, 493, 732Beschaffungsprozess
Bestellung 143Bewegungsart 146Buchungskreis 144Einkäufergruppe 145Einkaufsorganisation 144Freigabeverfahren 145Lagerort 146Lieferant 143Rechnungsprüfung 143Wareneingang 143
Bestellanforderung � BANF
Bestellung 672Beschaffungsprozess 143Bewegungsdaten 626
betrieblicher Datenschutz 120Betriebsrat 68, 732
Datenschutz 118, 122Betriebsverfassung 68, 732betriebswirtschaftliches Berechti-
gungskonzept 694, 732Ablauforganisation 118Anforderungen 118Aufbauorganisation 118Benutzertypen 157Berechtigungsverwaltung 717Cross System Integration 696Datenschutz 118, 714funktionale Differenzierung 695Funktionstrennung 118Genehmigung 713Genehmigungsprinzip 717Grundprinzipien 127grüne Wiese 699IKS 712Implementierung 697Inhalte 35, 712institutioneller Rahmen 713Konfiguration 716kritische Aktionen 118Methode der Benutzerpflege 716Methode der Berechtigungspflege 715minimale Normen 714Mitbestimmung 714Organisationsabbildung 700organisatorische Differenzierung
696, 718Prozessabbildung 700Rechnungslegungsvorschriften 714Rechtsform 66Redesign 697, 700Risikobetrachtung 715Schriftform 118Schriftformprinz 712Standardprinzip 717Stellenprinzip 716Systemlandschaft 715Teilkonzept 695Vier-Augen-Prinzip 717
Bewegungsart im Beschaffungspro-zess 146
Bewegungsdaten 627BI Launchpad 594
759
Index
Bieter 546BRF+ 340BRM 396, 732Browser 460BSP 460, 543, 549, 732BSP-Applikation 460, 464, 473BSP-Komponente 472Buchhaltungsbeleg 146Buchungen
Controlling 661Finanzbuchhaltung 644
Buchungskreis 87, 96, 732Beschaffungsprozess 144Customizing 629Verkaufsprozess 138
Bundesdatenschutzgesetz � BDSGBusiness Planning and Simulation �
BW-BPSBusiness Role 464Business Role Management � BRMBusiness Server Pages � BSPBusinessObjects-Server � SAP Busi-
nessObjects BI-PlattformBW-Berechtigungen 588BW-Berechtigungsobjekte 570
S_RS_AUTH 569S_RSEC 569
BW-Berechtigungsprüfung 584BW-BPS 568
C
Catalog Content Management 542Central Management Console � CMCCheckpoint 522
CRM_UIF_NAV_AUTH 522CMC 594CobiT 110Compliance 32, 36, 42, 732Compliant Identity Management 361Configuration Tool 419Configuration Validation 384, 390Constrained RBAC 56, 58Controlling 148Core RBAC 49, 50Corporate Governance 32, 41, 732
Definition 42Managementaufgabe 42Organisation 42
COSO-Rahmenkonzept 110
CRM Web Client 459, 460, 465, 467, 468, 469, 471, 473, 485, 487, 732Anmeldung 490
CRM_UI_PROFILE 488CRM-Business-Objekt 460, 732CRM-Navigationsleiste 461Cross-Navigation 500Crystal Reports 598Customizing 459
Buchungskreis 629Einkäufergruppe 665Einkaufsorganisation 664Faktura 680Funktionsbereich 630Gesellschaft 629Kostenrechnungskreis 651Lagerort 665Organisationsebene 627Profitcenter 657Sparte 665Verkäufergruppe 665Verkaufsorganisation 665Vertriebsauftragsart 678Vertriebsweg 665Werk 664
D
Dashboards � SAP BusinessObjects Dashboards
Data Browser 276, 277, 732Zugriff ausschließen 367
DataStore-Objekte � DSODatenquelle 419, 420, 428, 602Datenschutz 732
betrieblicher 120Definition von personenbezogenen
Daten 120elektronische Datenverarbeitung 119EU-Datenschutzrichtlinie 119IKS 123Logging 125Protokollierung der Programmnut-
zung 125Safe Harbor Privacy Principles 119Schweiz 120sensitive Daten 121Vereinigte Staaten – Geltung der EU-
Richtlinie 119
760
Index
Datenschutzgesetze der Länder 119, 732
Datenschutzleitfaden 110Datenschutzrecht 118Datenschutzrichtlinien 118Datenselektion 573Datenübermittlung (Datenschutz) 122Datenverarbeitung (Datenschutz) 121Debitor 732
Feldstatusgruppenpflege 636Funktionstrennung 138Stammdaten 631Stammdatum 676Verkaufsprozess 137Vier-Augen-Prinzip 138
Debitorenbuchhaltung 137Debitorenpflege
buchhalterische Sicht 138logistische Sicht 138zentrale Sicht 138
Debug/Replace 387Debugging 733
Berechtigungen 687deduktiver Ansatz 104Definition von personenbezogenen
Daten 120deklarative Berechtigung 427detektivische Kontrolle 113, 395, 401Dialogbenutzer 157, 733
keine Profile 364Dienstleistungsbeschaffung 542Differenzierungsschema 81Directory Server Log 433Dokumente zu Bewegungsdaten 571Download einer Rolle 306DSMLv2 im SAP NetWeaver ID
Management 347DSO 585Dynamic Separation of Duty 56, 58
E
EAM 196, 407, 733Eingabekontrolle 123Einkauf, Berechtigungsprüfung für
Sachkonten 675Einkäuferadministrator 546Einkäufergruppe 100, 544, 553, 554,
563, 733Beschaffungsprozess 145Customizing 665
Einkäuferorganisation 544, 552, 553, 563
Einkaufsorganisation 99, 544, 548, 554, 733Beschaffungsprozess 144Customizing 664
Einkaufswagen 542, 545, 550, 553, 556
Einlinienorganisation 70, 89Einstellung der Zugriffsrechte 322Elementarfunktion 702E-Mail-Konto 322Emergency Access Management �
EAMEnd User Personalization � EUPEndbenutzer verbotene Transaktio-
nen 372Enjoy-Transaktion 237, 672, 733Enterprise-Rolle 704Ergebnisbereich 97erweiterte Stammdatenprüfung im
Berechtigungshauptschalter 446EUP 342EWA 385Excluding 575Expertenmodus zur Profilgenerie-
rung 193externe Regeln 35externer Service 472, 473, 474, 478,
479, 481, 733
F
F2-Hilfe 491, 496Faktura 679, 733
Customizing 680Verkaufsprozess 140
Fakturaart 680FDA 699Fehlersuche 524
im CRM Web Client 521Feld
ACTVT 166, 591LL_TGT 501LL_TYPE 501RESPAREA 294, 656, 739
Feldstatusgruppen 733Feldstatusgruppenpflege
Debitor 636Kreditor 636
761
Index
Festwerte 161Filterprinzip 573Finanzbuchhaltung 88, 733Finanzkreis 89Finanzpositionenhierarchie 89Finanzstellenhierarchie 89Firmenadresse (ZBV) 333Fonds 89Food and Drug Administration � FDAFreigabestrategie 733
Beschaffung 671Beschaffungsprozess 145Finanzwesen 646
Führungsaufgaben 32Funktionsbereich 88, 96, 733
Berechtigungsgruppe 630Customizing 630
Funktionstrennung 38, 131, 394, 681, 733betriebswirtschaftliches Berechtigungs-
konzept 118Debitor 138Definition 39, 117dynamische 56, 58GoBS 116im Transportwesen 684Intersystemkonflikt 142Intrasystemkonflikt 142Konfiguration 704Kosten 41Maßgaben 150Rollenzuweisung 338statische 56, 58unzureichend 694Zahllauf 649
Funktionstrennungskonflikt 35, 39, 394, 701, 733Identitätsprinzip 159
Funktionstrennungsprinzip 131
G
GDPdU 115Genehmigungsprinzip 131, 733Genehmigungsprozess 733
SAP NetWeaver ID Management 347, 354
Genehmigungsverfahren 72Genehmigungsworkflow 564General IT Controls 123
Generierung 580, 585, 586generische Pflege S_TCODE 366generischer Link 500Geschäftsbereich 88, 96, 98, 734Geschäftspartner 68, 137, 484, 485,
490, 504, 543, 551, 561, 562, 734Geschäftspartnerbeziehung 506Geschäftspartnermanagement 87Geschäftspartnerrolle 504Geschäftsprozess 74, 625, 734Geschäftsrollenhierarchie 734
SAP NetWeaver ID Management 351Geschäftsvorgang 485, 490, 507Geschäftsvorgangsart 511, 734Geschäftsvorgangstyp 515, 558, 734Gesellschaft 88
Customizing 629Gesetz zur Kontrolle und Transparenz
in Unternehmen � KonTraGGoB 113, 115, 130, 734GoBS 115, 116, 734Grundsätze ordnungsgemäßer Buch-
führung � GoBGrundsätze ordnungsgemäßer DV-
gestützter Buchführungssysteme � GoBS
Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen � GDPdU
Gruppe mit direkten Links 462, 466, 734
Gültigkeitsbereich 576
H
HANA � SAP HANAHandelsgesetzbuch � HGBHashwert 478HGB 113, 734Hierarchical RBAC 53, 55Hierarchieberechtigungen 573, 575Hierarchiestruktur 577Hosting 734Hostingpartner 69, 734
I
IC Web Client 459, 734Identitätsprinzip 128, 159, 735
762
Index
Identity Center im SAP NetWeaver ID Management 354
Identity Management 128, 322, 327, 345, 415
Identity Services 347Identity Store 350IKS 112, 735
Berechtigungskonzept 113COSO 110Datenschutz 123Definition 112Grundlagen 112Risikobeurteilung 110
Implementierungsmethoden 699Inbound-Plug 473, 474, 492, 735indirekte Rollenzuordnung 448, 735
Organisationsmanagement 314induktiver Ansatz 104, 697InfoObjects 571InfoProvider 589Information und Kommunikation �
IKSInfotyp 441, 735
0105 (Kommunikation) 315IT0105 (Kommunikation) 444Tabellen 442
Initiator 340In-Memory � SAP HANAInnenauftrag 660, 735institutioneller Organisationsbegriff
65Regelkonformität 111
instrumenteller Organisationsbegriff 65, 70
Integration der Organisationssichten 93
Integrierte Planung 570, 587Interaktionskanäle 459interne Regeln 66Internes Kontrollsystem � IKSInternet Transaction Server � ITSIntervallberechtigungen 574Intervallpflege S_TCODE 366IT Infrastructure Library � ITILIT-Grundschutzkatalog 735ITIL 110ITS 543, 548, 735iView 549, 550
J
J2EE-Sicherheitsrolle 422, 427, 735Java 414Java Connector � JCoJava-Benutzertyp 430JCo 420, 735juristische Person 65
K
Kalkulationsschema 679, 735Kameralistik 114Kategorie 599Kennwort 159
Gültigkeitsdauer 262Missbrauch 159
Kennworthistorie 262Kennwortregeln 159Kennzahl 572Kernprozess 136Klassifikation 518Kommunikationsbenutzer 420kompensierende Kontrolle 395, 735Komponentenfenster 473, 474, 492,
496Komponentenname 473, 492, 496Komponenten-Plug 496Kondition 561
Verkauf 676Verkaufsprozess 138
Konditionen 735Konditionsart 562Konditionsfindung 139Konditionspflege 677Konfiguration der UME 419Konnektor 735
SAP NetWeaver ID Management 347Kontengruppe 138, 275, 633Kontenplan 96, 736Kontextlösung 455, 736
Berechtigungshauptschalter 446kontextsensitive Berechtigungen 455,
736Kontierungsobjekt 89, 736
als Unterscheidungsmerkmal 78CO 148
KonTraG 115, 734, 736Kontrollaktivitäten (IKS) 110
763
Index
Kontrolle 736detektivische 395, 401kompensierende 395präventive 401
Kontrollprinzip 132Kontrollumfeld im IKS 110Kopfblock 467Kosten und Leistungen 662Kostenart 652, 736Kostenrechnungskreis 97, 651, 736Kostenstelle 89, 654, 736Kostenstellenhierarchie 75, 76, 85,
90, 736Kostenstellenrechnung 89Kostenstellenstandardhierarchie 89,
97, 651Kreditkontrolle 678Kreditor 143, 736
Feldstatusgruppenpflege 636Stammdaten 631Vier-Augen-Prinzip 144
Kreditorenbuchhaltung 143, 546Kreditorenkonto 144kriminelle Handlung 38kritische Aktion 35, 39, 736
betriebswirtschaftliches Berechtigungs-konzept 118
Datenschutz 124Definition 40, 117
kritische Berechtigung 39, 736Definition 40GoBS 116
kritische Berechtigungsobjekte 372kritische Transaktionen 372Kunde
Geschäftspartner und Berechtigun-gen 87
Stammdatum 676Verkaufsprozess 137
kundeneigene Transaktion 736Kunden-Exit 577kurative Maßnahmen 39
L
Lagerort 101, 736Beschaffungsprozess 146Customizing 665
Laufbahn Zugriffsrechte 322
Layoutprofil 466LDAP 414, 736LDAPv3 und SAP NetWeaver ID
Management 347LDAP-Verzeichnis 414, 420, 421legale Normen 66, 108Leistungserbringer 547Leistungsverrechnung 148Lieferant 546, 549, 550, 563, 564
Beschaffungsprozess 143Geschäftspartner und Berechtigung
87Stammdaten 626
Lieferanten-Administrator 547Lieferantenbeziehung 541Lieferantenqualifizierung 542Lieferplan 679Liefersperre im Verkaufsprozess 140Lieferung im Verkaufsprozess 140Lightweight Directory Access Protocol
� LDAPLinienorganisation 73, 737
Organisationsmanagement 312Linienvorgesetzter 78, 737Link, generischer � generischer LinkLinkgruppe 465Log Viewer 433Logging 432, 737logischer Link 461, 465, 468, 475,
479, 491, 494, 737logisches System 737
ZBV 330Logondaten 160Lotus Notes 347
M
Manager 545Mandant 95, 737manueller Zahlungsausgang 647Marketingelement 490, 519Marketingmerkmal 518Massenpflege Berechtigungen 577Maßnahmen
kurative 38präventive 38
Material 139, 737Materialart 666, 737Materialnummer 146
764
Index
Materialstamm 626, 666Matrixorganisation 737MaxAttention 382MDX 571Mehrlinienorganisation 70, 71Menü 479, 737Menüschalter im Customizing 265Metarolle in SAP NetWeaver ID
Management 347Metarollenhierarchie in SAP NetWea-
ver ID Management 351Metarollenmodell 327Microsoft Management Console 355Minimalprinzip 128
GoBS 116Missbrauch des Kennwort 159Mitarbeiter 545
Geschäftspartner und Berechtigung 87
Mitarbeitergruppe in HCM-OM 442Mitarbeiterkreis in HCM-OM 442Mitbestimmung 68, 122MMC-Snap-in und SAP NetWeaver ID
Management 355Mobile Client 459Monitoring 737
Datenschutz 125MS Exchange und SAP NetWeaver ID
Management 347Multidimensional Expressions � MDXMuster 574
N
Navigationsleiste 461, 469Navigationsleistenprofil 464, 465,
466, 470, 492, 737Nebenbuchhaltung 137, 737neues Berechtigungskonzept im Cont-
rolling 663Norm 737
Vorschlagswerte 244normativ 737normativer Rahmen
Organisation 112Regelkonformität 111
Notfallbenutzer 372Notfalluser-Management 58
O
Oberflächenberechtigung 459, 490Objects by Filter 527Objektkontext 528, 535Objekttyp 441, 526OLAP 611, 738OLAP-Verbindungen 603OLTP 611, 738OneOrder-Objekt 737Online Analytical Processing � OLAPOnline Transaction Processing �
OLTPOperational Contract Management
542operativer Einkäufer 545operativer Kontrakt 542optionale Prüfung 738Oracle und SAP NetWeaver ID
Management 347Ordner 598Ordnerberechtigung 601Ordnerfreigabe 322Organisation 738
Ablauforganisation 66Aufbauorganisation 66, 70Begriff 65Einlinienorganisation 70institutioneller Begriff 65, 66, 111instrumenteller Begriff 65, 70Linienorganisation 66, 71Organisationsformen 66Projektorganisation 66Prozessmodell 66Rechenschaftspflichten 69Rechtsform 67Rechtsnormen 67Stelle 80zentrale Unterscheidungsmerkmale
102Organisationsebene 94, 738
Auswertung der Nutzung 701Berechtigungen 94Customizing 627Definition in Bezug auf Berechtigun-
gen 95erstellen 291kundeneigene 94Stammdaten 626Zuordnung 628
765
Index
Organisationsebenenpflege 187Organisationseinheit 482
HCM-OM 441ID Management 324
Organisationsmanagement 312, 448, 651, 738Auswertungsweg 314Benutzerdaten 324indirekte Rollenzuordnung 314Linienorganisation 312Metarolle 352Organisationseinheiten 312Person 312Planstelle 312SAP NetWeaver ID Management 346SAP NetWeaver ID Management und
SAP Access Control 361Stelle 313ZBV 335
Organisationsmodell 482, 484, 485, 487, 488, 489, 509, 510, 511, 543, 544, 545, 551, 552, 563
Organisationsschlüssel in HCM-OM 442
Organisationszweck 738Regelkonformität 111
organisatorische Differenzierung 738organisatorische Konzepte in SAP ERP
86Owner-Konzept 618
P
Paket 286Parameter 162
auth/authorization_trace 249login/accept_sso2_ticket 260login/fails_to_session_end 260login/fails_to_session_lock 261login/min_downwards_compatibility
262login/min_password_diff 261login/min_password_digits 261login/min_password_expiration_time
262login/min_password_history 262login/min_password_letters 261login/min_password_lng 261login/min_password_lowercase 261
login/min_password_specials 261login/min_password_uppercase 262login/min_password_waittime 262
Parametertransaktionen 285, 738Partner-Channel-Management 525Partnerfunktion 508, 738Passwortregel 421Path 343People-Centric UI 459Permission 423, 738Persistenzmanager 417, 738Person 738
Geschäftspartner und Berechti-gungen 87
ID Management 324Organisationsmanagement 312, 441
Personalbereich in HCM-OM 442Personalisierung 464, 564Personalnummer, Berechtigungs-
hauptschalter 446Personalrat 68
Datenschutz 118PFCG-Rolle 171, 426, 428, 459, 465,
467, 469, 471, 477, 479, 485, 488, 525, 543, 544, 550Ableitungskonzept 200Benutzerabgleich 206Expertenmodus zur Profilgenerie-
rung 193Zuweisung 482
Plan-Driven Procurement � planungs-gesteuerte Beschaffung
Planstelle 482, 484, 485, 487, 551, 738HCM-OM 441ID Management 324Organisationsmanagement 312
planungsgesteuerte Beschaffung 542, 543, 546
Planungsstatus in HCM-OM 442Planvariante in HCM-OM 441Portalberechtigung 543, 544Portalintegration 460Portalrolle 413, 549, 564, 565, 739Position, Zugriffsrechte 322präventive Kontrolle 113, 401, 739präventive Maßnahmen 38, 739Primärkosten 148, 739Primärkostenart 652Prinzipale 596, 602Privilegien in SAP HANA 614, 617
766
Index
Privilegientypenanalytische Privilegien 618Repository-Privilegien 618System-Privilegien 618
Produkt 504, 507Profil 170, 364, 487
ZBV 329Profilanalyse 364Profilart 466Profilgenerator 364, 739Profilname 185Profilparameter auth/no_check_in_
some_cases 236Profilpflege 364Profilverwalter 682Profilzuordnung 364Profit-Center 98, 657, 739Profit-Center-Hierarchie 90, 651Programm
Berechtigungsprüfung 370kundeneigenes 370
programmatische Berechtigung 427programmatische Berechtigungsprü-
fung 423Programmausführungsberechtigung
368Programmierrichtlinie 370Projektorganisation 70, 72, 73Projektstrukturplan 92Protokollierung 739Protokollierungen von Systemzugrif-
fen eines Benutzers 158Provisionierungsaufgabe in SAP Net-
Weaver ID Management 350Prozess 74, 739Prozesskontrolle 38, 739Prozessorganisation 70Prüfkennzeichen 235Prüfreihenfolge 507Prüfung der rechnerischen Richtig-
keit 143Prüfung der sachlichen Richtigkeit
143
Q
Query 284, 289, 367, 572, 739Questionnaire im SOS 388Quick Viewer 367
R
Radierverbot 739Debugging 40
RBAC 47Begriffe 48Component 48Constrained 56, 58Core 49, 50Hierarchical 53, 55Kernelemente 48Objects 48Operations 48Permissions 48Restriktionen 58Roles 48Session 48Session_Roles 49Subordinate Role 54, 55Superior Role 54Übertragung auf SAP ERP 50User 48User_Sessions 49Übertragung auf BW 590
RBAC-Standard Rollenkonzept 47rechnerische Richtigkeit 739Rechnungslegungsgrundsätze 67Rechnungsprüfung 676
Beschaffungsprozess 143Rechnungssteller 547Rechtsnormen 67Rechtsquellen für das externes Rech-
nungswesen 113redundanzfreies Menü 263Referenzbeleg 678Referenzbenutzer 739
ZBV 329Referenzrolle 203, 739Regel
externe 35interne 35
Regelkonformität 36, 108, 739Branche 112Compliance 36Datenschutzleitfaden 110Gebot 109ID Management 326internationale Normen 108IT-Grundschutzkatalog 110Kontrolle 36
767
Index
normativen Rahmen 111Organisation 36Rechtsform 109, 111rechtsgleiche Normen 109Schaden 37Sicherheitsleitfäden von SAP 110sozialen Normen 108Stakeholder-Normen 108Standards 108Verbot 109Vertrag 112vertraglichen Normen 108Vorschlagswerte 245Ziel 42
Regelwerk 393, 397Regelwerk der Organisation 35Remote Function Call � RFCRemote Services für die Sicherheit
381Report
CRMD_UI_ROLE_ASSIGN 486, 487, 488
CRMD_UI_ROLE_PREPARE 477, 490
CRMD_UI_ROLE_REPARE 481PFCG_ORGFIELD_CREATE (Profilge-
nerator: Neues Org.-Ebenen-Feld anlegen) 296
PFCG_ORGFIELD_UPGRADE (Anpas-sung nach Upgrade für neue Org.-Ebenen) 256
PFCG_TIME_DEPENDENCY (Massen-abgleich) 308, 318
RHAUTUPD_NEW (Abgleich Benut-zerstamm) 318
RSPARAM (Anzeige der SAP-Profilpa-rameter) 260
Report Painter 739Report Writer 739Reporting-Berechtigungen 587Repository in SAP NetWeaver ID
Management 350Repository-Privilegien 618, 620Requester 553RESPAREA 294, 656, 739RFC 157, 686, 739, 740
Berechtigungen 686Trusted 686Untrusted 686ZBV 331
Risikoaktivitätsbezogenes 37Definition 37Definition für Berechtigungen 39Funktionstrennung 38Grenzen der Erfassung 40Kosten der Erfassung 41Organisationsziel 37prozessuales 37strategisches 37
Risikomanagement 38Risk Terminator � RTRole Based Access Control � RBACRolle 45, 169, 364, 740
abgeleitete 369ableiten 200Ableitungskonzept 200Anwendungen in entfernten verbunde-
nen Systemen 182Automatisierung 214Benutzerabgleich 206Berechtigungen - Ampel 187Berechtigungen ermitteln 214Berechtigungstrace 215betriebswirtschaftliche 45Definition durch Transaktionen 365Definiton 171Download 211, 306Einzelrolle 55, 173Expertenmodus zur Profilgenerie-
rung 193Generische Pflege 190HCM-OM 441Hierarchie 54Menü 176, 177Menü aus anderer Role 176Namenskonvention 172Organisationsebenen 187Pflegestatus von Berechtigungen 191,
200Profilgenerator 171Profilname 185Referenzrolle 203Sammelrolle 55, 173, 208SAP HANA 614, 620stellenbasierte Vergabe 83Systemtrace 220technische 45Trace 214Trace auswerten 219
768
Index
Transport 209, 307Upgrade 253Upload 211, 306Web-Dynpro-Applikationen 181Web-Dynpro-Konfigurationen 181ZBV 329Zuordnung 162
Rollenadministrator 681Rollenhierarchie
allgemeine 54, 56limitierte 54, 55
Rollenimport 595Rollenkonfigurationsschlüssel 466,
467, 740Rollenkonzept im RBAC 47Rollenmanager 740Rollenmenü 479Rollenpflege 365Rollentransport 209Route Mapping 344RSECADMIN (Analyseberechtigungen)
574RSECAUTH (Analyseberechtigungen
pflegen) 574RT 740Runtime Engine in SAP NetWeaver ID
Management 354
S
S_RS_AUTH 569, 580S_TABU_DIS 536S_TCODE 365, 474, 480
Standardberechtigung 191SAAB 522Sachkontenstammsatz 633Sachkonto-Stammdaten 626, 631sachliche Richtigkeit 740Safe Harbor Privacy Principles 740Sammelrolle 208, 489
Kontext Organisation 83Sammelrollen 597SAP Access Control 341, 393, 696,
719, 740Access Risk Analysis (ARA) 396, 730Benutzerverwaltung 337Benutzer-Workflow 405BRF+ 339, 340Business Process 397
Business Role Management (BRM) 396, 403, 732
Detour 344Emergency Access Management (EAM)
396, 407, 733End User Personalization 340, 342Funktion 398Funktionstrennungskonflikt 397,
398ID Management und Organisations-
management 361Initiator 339, 340kompensierende Kontrolle 398, 400Kontrolleur 408kritische Aktion 397, 398kritische Berechtigungen 397, 399MSMP-Workflow 339Organizational Value Mapping 404Path 340, 343Priorität 397Regeln 400Regelwerk 393, 397Risiko 397Risk Terminator (RT) 396, 410Route Mapping 340, 344Routing 407SAP NetWeaver ID Management 359Segregation of Duties (SoD) 397Stage 340, 406Standardregelwerk 400Superuser-ID 408User Access Management (UAM)
328, 336, 396, 405, 743Verantwortlicher 409Vorschlagswerte 246Workflow 338ZBV 336
SAP Active Global Support 381SAP Best Practices-Ansatz 705SAP Best Practices-Template
Rollen 706Rollenkatalog 707Rollenkonzept 705
SAP Business Suite 459SAP BusinessObjects 593, 604
BI-Plattform 593CMC 594Dashboards 598Web Intelligence 598, 604
SAP CRM 459
769
Index
SAP Customer Relationship Manage-ment � SAP CRM
SAP EarlyWatch Alert � EWASAP End-to-End Solution Operations
Standard for Security � Secure Ope-rations Standard
SAP Enterprise Support 382SAP ERP 541SAP GUI 459, 460, 474, 485, 490SAP HANA 609
analytische Privilegien 617, 622Anwendungsszenarien 611Architektur 610Authentifizierung 616Authorization Framework 613Benutzer 614Benutzertypen 615Benutzerverwaltung 615Berechtigungskonzept 612Identity Store 612In-Memory 610, 740Logging Framework 613Objekt 614Objekte Berechtigungswesen 614Owner-Konzept 618Passwort-Sicherheitsrichtlinien 617Privilegien 613, 617Repository-Privilegien 617Rolle 614, 620Rollenhierarchie 614, 620Sicherheitsarchitektur 613Sicherheitsleitfäden 613SQL-Privilegien 617System-Privilegien 617Verschlüsselung 613
SAP HANA Appliance 610SAP HANA Studio 610, 616SAP HANA-Datenbank 610, 740SAP HANA-Persistenz 611, 740SAP HANA-Realtime-Analysen 611,
612, 740SAP NetWeaver Application Server
SAP NetWeaver AS ABAP 413, 543, 550
SAP NetWeaver AS Java 413SAP NetWeaver BW 541, 567SAP NetWeaver ID Management 328,
345, 414Genehmigungsprozess 354Organisationsmanagement 361
SAP Access Control 359Self-Services 354Verfügbarkeit 348Vertretungsregelung 354
SAP NetWeaver Identity Management � SAP NetWeaver ID Management
SAP NetWeaver Portal 413, 417, 543, 544, 549, 550, 565
SAP Security Baseline 391SAP Solution Manager 382, 699, 718SAP SRM 413, 541
Berechtigungsvergabe 544Oberfläche 543
SAP Supplier Relationship Manage-ment � SAP SRM
SAP_ALL 69, 580SAP_CRM_UIU_FRAMEWORK 487,
499SAP_J2EE_ADMIN 428SAP_NEW 258SAP-Benutzerkonto
ID Management 322SAP-Einführung
Teilprojekt Berechtigungen 34SAPJSF 420SapWorkDir-Verzeichnis 477, 479Sarbanes-Oxley Act � SOXSatzung 67Schrankenprinzip 573Schriftformprinzip 132, 741Schutzbedarfsanalyse 698Secure Network Communications 161Secure Operations Map 382, 383Secure Operations Standard 382Security Audit Log 432Security Log 432Security Optimization Service � SOSSegregation of Duties � Funktions-
trennungSekundärkosten 148, 741Sekundärkostenart 652Self-Service 542, 545, 546, 550, 553
SAP NetWeaver ID Management 354Self-Service Procurement 542sensitive Daten 741
Datenschutz 121Service Procurement 542Service, externer � externer ServiceSession_Roles in RBAC 49Sicherheitskonzept 419, 421
770
Index
Single Sign-on � SSOSOS 384
Questionnaire 388Whitelist 388
SOX 741soziale Normen
Definition 111Regelkonformität 108
Sparte 101, 741Customizing 665Verkaufsprozess 138
Spezialmerkmale 572, 574SQL-Privilegien 618SQL-Trace (Datenschutz) 125SRM-Geschäftsprozesse 544SRM-Geschäftsszenarien 541, 549SRM-Geschäftsvorgänge 550SRM-Server 550SRM-Standardrolle 541SSO 161, 260, 416, 604, 741SSO-Ticket 260staatlicher Zugriff auf Daten 109Stage 340Staging 571Stakeholder 69Stakeholder-Ansatz 35, 741Stakeholder-Normen
Definition 111Regelkonformität 108
Stammdaten 485, 504, 551, 561, 626Berechtigungskonzept 626Controlling 650
Stammdatenprüfung im Berechti-gungshauptschalter 446
Standardberechtigung im S_TCODE 191
Standardprinzip 131Standardrolle 499, 544, 547, 550Standards 741
Berechtigungen 364Standards und internationale Nor-
men 109Standardtransaktionen, Vorschlags-
werte 244Startberechtigung
Externer Service 167RFC-Funktionsbaustein 167Service mit Objektkatalogeintrag 167Web-Dynpro-Anwendung 167Web-Dynpro-Konfiguration 167
Startberechtigungsprüfung 167Startmenü 161Static Separation of Duty 56, 58Status
Berechtigungsobjekt 243gepflegt 191, 200, 243manuell 200, 243Standard 191, 200, 243Verändert 243
Stelle 70, 80, 702, 741HCM-OM 441ID Management 324Organisationsmanagement 313
Stellenprinzip 129Strategic Sourcing 542strategische Bezugsquellenfindung
542strategischer Einkäufer 545strukturelle Berechtigungen 741
Berechtigungshauptschalter 446Organisationsmanagement 448organisatorische Differenzierung 450Risikoanalyse 454SAP BusinessObjects Access Control
455strukturelle Profile 222, 329, 451,
742Subordinate Role 54Subtyp 441Suchseiten 462, 463, 467Superior Role 54Superobjekttypen 526Superuser 158, 742Supplier Qualification 542Supplier Self-Service 546, 551, 563Systembenutzer 420, 742System-Trace 220, 249, 251, 521Systemzugriff 323
T
TabelleAGR_1251 366, 370AGR_DEFINE 370Berechtigungsadministration 378CRMC_UI_COMP_IP 495, 498SSM_CUST 265TSTC 371USOBT 472
771
Index
USOBT_C 472USOBX 248, 472USOBX_C 472USR10 364UST04 364
Tabellenberechtigung 367Tabellenzugriffsrecht 368technisches Berechtigungskonzept
742technisches Profil 466Teilaufgabe 35, 74, 80, 702, 742
Berechtigungskonzept 82Tochtersystem (ZBV) 331Toleranzzeitraum, Berechtigungs-
hauptschalter 446Trace 214, 247, 432, 742Trace-Datei 433Transaktion 742
Berechtigungspflege 304, 305CRMC_UI_NBLINKS 465, 493CRMC_UI_PROFILE 468, 492Endbenutzer 372entfernen 243F-28 (Zahlungseingang buchen) 647F-53 (Zahlungsausgang buchen) 647FB60 (Kreditorenrechnung erfassen)
645FB70 (Debitorenrechnung erfassen)
645HR:OOAC (Berechtigungshauptschal-
ter) 446KA01 (Kostenart anlegen) 652KA02 (Kostenart ändern) 652KA06 (Kostenart sekundär
anlegen) 652KCHN5N (Standardhierarchie ändern)
659KE51 (Profit-Center anlegen) 659KE52 (Profit-Center ändern) 659Kreditorenpflege 273kritische 372KS01 (Kostenstelle anlegen) 654KS02 (Kostenstelle ändern) 654KSH1 (Kostenstellengruppe anlegen)
655LISTCUBE 571ME21N (Bestellung anlegen) 672ME22N (Bestellung ändern) 672ME23N (Bestellung anzeigen) 237,
672
MIGO (Warenbewegung) 675MIR7 (Wareneingang vorerfassen)
676MIRO (Eingangsrechnung erfassen)
645, 676OKEON (Kostenstellenstandardhierar-
chie ändern) 654OKKP (Sicht Komponenten aktivieren/
Steuerungskennzeichen) 658PA30 (Personalstammdaten pflegen)
443PA40 (Personalmaßnahme) 316PA40 (Pflege über Personalmaßnah-
men) 443PFCG (Pflege von Rollen) 171, 377PFUD (Abgleich Benutzerstamm)
318PPOCA_BBP 553PPOMA_BBP 544, 553PPOMA_CRM 482PPOME (Organisation und Besetzung
ändern) 316RSECADMIN (Analyseberechtigungen)
574RSECAUTH (Analyseberechtigungen
pflegen) 574RSU01 (Benutzerzuordnung BW)
579RSUDO 582RZ10 (Pflege der Profilparameter)
259RZ11 (Pflege der Profilparameter)
248RZ11 (Profilparameter) 690S_ALR_87101219 368SA38 (Programmausführung) 296,
368, 372, 477, 486SCC4 (Mandantenverwaltung) 688SE13 (Speicher-Param. für Tabellen
pflegen) 689SE16 (Data Browser) 277, 368, 371,
495SE16N (Allgemeine Tabellenanzeige)
284SE17 (Allgemeine Tabellenanzeige)
284SE38 (ABAP Editor) 372SE80 (Object Navigator) 224SE93 (Transaktionspflege) 285
772
Index
SM12 (Sperren anzeigen und löschen) 374
SM13 (Verbuchungssätze administrie-ren) 374
SM30 (Aufruf View-Pflege) 284SM30_V (Berechtigungsgruppe zu
Tabellen und Views) 281SM35 (Batch-Input-Monitoring) 373ST01 521, 524SU01 (Benutzerpflege) 159, 329,
484, 487, 550SU02 (Profile) 364SU20 (Pflege der Berechtigungsfel-
der) 300SU21 (Pflege der Berechtigungsob-
jekte) 301, 519, 556SU22 (Pflege der Zuordnung von
Berechtigungsobjekten) 472, 474SU24 (Berechtigungsobjektprüfung
unter Transaktion) 474, 481SU25 (Upgrade-Tool für den Profilge-
nerator) 244, 253, 475SU53 (Auswertung der Berechtigungs-
prüfung) 221, 522SUIM (Benutzerinformationssystem)
374, 522VF01 (Anlegen Faktura) 644VF01 (Faktura anlegen) 680VF02 (Ändern Faktura) 644VF02 (Faktura ändern) 680VK31 (Konditionen anlegen) 677VK32 (Konditionen ändern) 677VK33 (Konditionen anzeigen) 677VL01N (Lieferung anlegen) 679VL02N (Lieferung ändern) 679
Transaktionscode 742Transaktionsstarter 500Transport von Rollen 307Transportauftrag, Vorschlagswerte
238True and Fair View 44, 650, 713, 742Trusted RFC 686
U
UAM 328, 336, 396, 405, 743Übersichtsseite 463, 467Überwachung im IKS 110
UI-Komponente 460, 472, 474, 475, 480, 491
UME 413, 423, 427, 743Architektur 416Benutzer 427Benutzeroberfläche 417Datenquelle 415, 419Import- und Exportfunktion 415Self-Service 415Sicherheitseinstellung 415
UME-Aktion 422, 423, 428, 742UME-Funktionen 414UME-Gruppe 422, 425, 427, 432,
550, 742UME-Konfiguration 419, 430UME-Rolle 422, 427, 431, 742unkritische Berechtigungen 126, 742Unterdrückung der Berechtigungsprü-
fung 236Unternehmensorganisation 91, 651,
742Unterordner 600Unterstellungsverhältnis 72Untrusted RFC 686Upgrade 743
Berechtigungen 244, 253Kosten 241Projekt 259Rolle 244, 253Teilprojekt Berechtigungen 34
Upload einer Rolle 306User 743User Access Management � UAMUser Lifecycle Management 325, 743User Management Engine � UMEUser_Sessions in RBAC 49
V
Variablen 573, 577Veränderungshistorie in SAP NetWea-
ver ID Management 347Verantwortungsbereich 743Verfahrensverzeichnis 123
Datenschutz 124Verfügbarkeit in SAP NetWeaver ID
Management 348Verfügbarkeitskontrolle 123
773
Index
Verkäufergruppe 512, 743Customizing 665
Verkaufsbelegart im Verkaufsprozess 139
Verkaufsorganisation 100, 511, 743Customizing 665
Verkaufsprozess 137Angebot 138Auftragserfassung 138Buchungskreis 138Debitor 137Faktura 140Konditionen 138Kunde 137Liefersperre 140Lieferung 140Sparte 138Verkaufsbelegart 139Verkaufsorganisation 138Vertriebsweg 138Zahlungseingang 141
Verrichtung 35, 74Berechtigungskonzept 82
Versand 679Verteilung von Benutzerdaten in SAP
NetWeaver ID Management 348vertragliche Normen
Definition 110Regelkonformität 108
Vertragsverhältnis, Berechtigungen 324
Vertretungsregelung in SAP NetWea-ver ID Management 354
VertriebsauftragsartCustomizing 678Risiko 678
Vertriebsorganisation 516Vertriebsweg 101
Customizing 665Verkaufsprozess 138
Vier-Augen-Prinzip 743asymmetrisches 639Benutzer- und Berechtigungsadminist-
ration 717Debitor 138Debitorenbuchhaltung 639Kreditor 144symmetrisches 639
View 464, 473Vorgangsart 516, 558Vorschlagsnutzung 367
Vorschlagswert 365, 367, 472, 474normativer Nutzen 244Regelkonformität 245Standardtransaktionen 244Tabellen und ihre Relation 238Ziel 244
W
Wareneingang im Beschaffungsprozess 143, 146
Warenversender 547Warenzusteller 546Web Dynpro 417, 420Web Intelligence � SAP Business-
ObjectsWebservices 157Weitergabekontrolle 123Werk 100, 743
Customizing 664Workflow 743
Benachrichtigungseinstellung 342
Z
Zahllauf 141, 143, 743Finanzwesen 648
Zahlungseingang im Verkaufsprozess 141
Zahlungsprogramm im Finanzwesen 648
ZBV 328, 743Definition 329logisches System 330Organisationsmanagement 335SAP Access Control 336Tochtersystem 331UAM 336, 337zentraler Pflegemandant 330
Zentrale Benutzerverwaltung � ZBVzentraler Pflegemandant (ZBV) 330Ziel-ID 495, 498Zugangskontrolle 124Zugriffsberechtigung 599, 600
vordefiniert 601Zugriffskontrolle 124Zuordnungsblock 462, 463, 467, 743Zutrittskontrolle 123