Volker Lehnert ist seit 2000 bei SAP in unterschiedlichen Positionen in den Bereichen Compliance und Sicherheit tätig. Seit 2012 arbeitet er für SAP AG Installed Base Maintenance and Support (IMS) als Projektleiter Datenschutz. In seiner neunjährigen Beratungstätigkeit hat er Projekte rund um das Berechtigungswesen vorangetrieben. Um den gesetzlichen Anforderungen gerecht zu werden, führt Volker Lehnert Sicherheitskonzepte immer wieder auf die eigentlichen Kernfragen zurück: betriebswirtschaftliche Funktionen, organisatorische Konzepte und legale Anforderungen. Volker Lehnert ist Co-Autor des Datenschutzleitfadens der DSAG.

Berechtigungen für SAP ERP, HCM, CRM, SRM, BW, SAP HANA und SAP BusinessObjects

Vorwort ... 21

Danksagung ... 23

1. Einleitung ... 27

TEIL I Betriebswirtschaftliche Konzeption ... 33

2. Einführung und Begriffsdefinition ... 35

2.1 ... Methodische Überlegungen ... 36

2.2 ... Compliance ist Regelkonformität ... 40

2.3 ... Risiko ... 41

2.4 ... Corporate Governance ... 45

2.5 ... Technische vs. betriebswirtschaftliche Bedeutung des Berechtigungskonzepts ... 47

2.6 ... Technische vs. betriebswirtschaftliche Rolle ... 49

2.7 ... Beschreibung von Berechtigungskonzepten ... 51

3. Organisation und Berechtigungen ... 67

3.1 ... Organisatorische Differenzierung am Beispiel ... 69

3.2 ... Begriff der Organisation ... 71

3.3 ... Institutioneller Organisationsbegriff ... 72

3.4 ... Instrumenteller Organisationsbegriff ... 76

3.5 ... Folgerungen aus der Organisationsbetrachtung ... 90

3.6 ... Die Grenzen der Organisation und das Internet der Dinge ... 91

3.7 ... Sichten der Aufbauorganisation in SAP-Systemen ... 92

3.8 ... Organisationsebenen und -strukturen in der SAP Business Suite ... 101

3.9 ... Hinweise zur Methodik im Projekt ... 110

3.10 ... Fazit ... 112

4. Rechtlicher Rahmen -- normativer Rahmen ... 113

4.1 ... Interne und externe Regelungsgrundlagen ... 114

4.2 ... Internes Kontrollsystem ... 118

4.3 ... Rechtsquellen des externen Rechnungswesens ... 120

4.4 ... Datenschutzrecht ... 124

4.5 ... Allgemeine Anforderungen an ein Berechtigungskonzept ... 135

4.6 ... Fazit ... 142

5. Berechtigungen in der Prozesssicht ... 143

5.1 ... Prozessübersicht ... 143

5.2 ... Der Verkaufsprozess ... 145

5.3 ... Der Beschaffungsprozess ... 151

5.4 ... Unterstützungsprozesse ... 155

5.5 ... Maßgaben für die Funktionstrennung ... 158

5.6 ... Fazit ... 160

TEIL II Werkzeuge und Berechtigungspflege im SAP-System ... 161

6. Technische Grundlagen der Berechtigungspflege ... 163

6.1 ... Benutzer ... 163

6.2 ... Berechtigungen ... 173

6.3 ... Rollen und Profile ... 176

6.4 ... Transfer von Rollen ... 222

6.5 ... Benutzerabgleich ... 225

6.6 ... Vom Trace zur Rolle ... 227

6.7 ... Weitere Auswertungen von Berechtigungsprüfungen ... 234

6.8 ... Fazit ... 239

7. Systemeinstellungen und Customizing ... 241

7.1 ... Pflege und Nutzung der Vorschläge für den Profilgenerator ... 242

7.2 ... Traces ... 262

7.3 ... Upgrade-Nacharbeiten von Berechtigungen ... 271

7.4 ... Parameter für Kennwortregeln ... 278

7.5 ... Menükonzept ... 284

7.6 ... Berechtigungsgruppen ... 290

7.7 ... Parameter- und Query-Transaktionen ... 305

7.8 ... Anhebung eines Berechtigungsfeldes zur Organisationsebene ... 315

7.9 ... Berechtigungsfelder und -objekte anlegen ... 323

7.10 ... Weitere Transaktionen der Berechtigungsadministration ... 327

7.11 ... Fazit ... 329

8. Rollenzuordnung über das Organisationsmanagement ... 331

8.1 ... Grundkonzept des SAP-ERP-HCM-Organisationsmanagements ... 332

8.2 ... Fachliche Voraussetzungen ... 335

8.3 ... Technische Umsetzung ... 335

8.4 ... Konzeptionelle Besonderheit ... 339

8.5 ... Fazit ... 340

9. Zentrales Management von Benutzern und Berechtigungen ... 341

9.1 ... Grundlagen ... 342

9.2 ... Zentrale Benutzerverwaltung ... 348

9.3 ... SAP Access Control User Access Management ... 358

9.4 ... SAP Identity Management ... 366

9.5 ... Compliant Identity Management ... 383

9.6 ... Fazit ... 385

10. Berechtigungen: Standards und Analyse ... 387

10.1 ... Standards und ihre Analyse ... 387

10.2 ... Kritische Transaktionen und Objekte ... 396

10.3 ... Allgemeine Auswertungen technischer Standards ... 398

10.4 ... AGS Security Services ... 406

10.5 ... Fazit ... 418

11. SAP Access Control ... 419

11.1 ... Grundlagen ... 419

11.2 ... Access Risk Analysis ... 423

11.3 ... Business Role Management ... 429

11.4 ... User Access Management ... 431

11.5 ... Emergency Access Management ... 433

11.6 ... Fazit ... 436

12. User Management Engine ... 437

12.1 ... Überblick über die UME ... 438

12.2 ... Berechtigungskonzept von SAP NetWeaver AS Java ... 446

12.3 ... Benutzer- und Rollenadministration mit der UME ... 451

12.4 ... Fazit ... 458

TEIL III Berechtigungen in spezifischen SAP-Lösungen ... 459

13. Berechtigungen in SAP ERP HCM ... 461

13.1 ... Grundlagen ... 461

13.2 ... Besondere Anforderungen von SAP ERP HCM ... 462

13.3 ... Berechtigungen und Rollen ... 464

13.4 ... Berechtigungshauptschalter ... 470

13.5 ... Organisationsmanagement und indirekte Rollenzuordnung ... 472

13.6 ... Strukturelle Berechtigungen ... 474

13.7 ... Kontextsensitive Berechtigungen ... 479

13.8 ... Zeitabhängiges Sperren personenbezogener Daten ... 481

13.9 ... Fazit ... 486

14. Berechtigungen in SAP CRM ... 487

14.1 ... Grundlagen ... 488

14.2 ... Abhängigkeiten zwischen der Benutzerrolle und PFCG-Rollen ... 498

14.3 ... Erstellen von PFCG-Rollen abhängig von Benutzerrollen ... 500

14.4 ... Zuweisen von Benutzerrollen und PFCG-Rollen ... 508

14.5 ... Beispiele für Berechtigungen in SAP CRM ... 517

14.6 ... Fehlersuche im CRM Web Client ... 546

14.7 ... Access Control Engine ... 549

14.8 ... Fazit ... 563

15. Berechtigungen in SAP SRM ... 565

15.1 ... Grundlagen ... 565

15.2 ... Berechtigungsvergabe in SAP SRM ... 568

15.3 ... Fazit ... 588

16. Berechtigungen in SAP BW ... 589

16.1 ... OLTP-Berechtigungen ... 590

16.2 ... Analyseberechtigungen ... 593

16.3 ... Modellierung von Berechtigungen in SAP BW ... 610

16.4 ... RBAC-Modell ... 612

16.5 ... Fazit ... 614

17. Berechtigungen in der SAP-BusinessObjects-Business-Intelligence-Plattform 4.x ... 615

17.1 ... Berechtigungskonzept ... 616

17.2 ... Interaktion mit SAP BW ... 624

17.3 ... Fazit ... 628

18. RFC-Sicherheit mittels Unified Connectivity ... 631

18.1 ... RFC-Sicherheit im Überblick ... 632

18.2 ... Das Konzept von Unified Connectivity ... 634

18.3 ... UCON einrichten und betreiben ... 637

18.4 ... Zusammenspiel von UCON und Berechtigungsprüfungen auf Funktionsbausteine ... 641

18.5 ... Fazit ... 648

19. Berechtigungen in SAP HANA ... 649

19.1 ... Anwendungsszenarien von SAP HANA ... 650

19.2 ... Architektur von SAP HANA ... 651

19.3 ... Benutzerverwaltung in SAP HANA ... 657

19.4 ... Berechtigungen in SAP HANA ... 660

19.5 ... Fazit ... 667

20. Berechtigungen in SAP S/4HANA ... 669

20.1 ... Überblick ... 669

20.2 ... Fiori-Anwendungsrollen anlegen ... 670

20.3 ... Kontinuität im Benutzermanagement ... 677

20.4 ... Fazit ... 677

21. SAP Business Suite: Prozesse und Einstellungen ... 679

21.1 ... Grundlagen ... 680

21.2 ... Berechtigungen im Finanzwesen ... 682

21.3 ... Berechtigungen im Controlling ... 704

21.4 ... Berechtigungen in der Logistik (allgemein) ... 718

21.5 ... Berechtigungen im Einkauf ... 724

21.6 ... Berechtigungen im Vertrieb ... 731

21.7 ... Berechtigungen in technischen Prozessen ... 735

21.8 ... Vereinfachtes Sperren und Löschen personenbezogener Daten in der SAP Business Suite ... 747

21.9 ... Fazit ... 757

22. Konzepte und Vorgehen im Projekt ... 759

22.1 ... Berechtigungskonzept im Projekt ... 760

22.2 ... Vorgehensmodell ... 762

22.3 ... SAP-Best-Practices-Template-Rollenkonzept ... 771

22.4 ... Inhalte eines Berechtigungskonzepts ... 778

22.5 ... Schritte zum Berechtigungskonzept ... 785

22.6 ... Fazit ... 792

Anhang ... 793

A ... Abkürzungsverzeichnis ... 795

B ... Glossar ... 799

C ... Literaturverzeichnis ... 815

D ... Die Autoren ... 823

Index ... 827