Konsolidiertes Berechtigungskonzept schafft Abhilfe
SAP Benutzer - Berechtigungswesen und Benutzerverwaltung in SAP
Wie gehen Sie mit neuen Anwendern im Rahmen der SAP Fiori Benutzerverwaltung um? Natürlich können Sie jeden Benutzer einzeln in allen Systemen anlegen, mit denen der Anwender arbeitet. Das ist aber je nach Anzahl der Systeme extrem aufwendig. Daher bietet sich hierfür eine zentrale Benutzerverwaltung an. Häufig werden neue Nutzer nur in einem System (z. B. Microsoft Active Directory) angelegt und von dort automatisiert in alle anderen Systeme übertragen. Eine weitere Möglichkeit ist die Selbst-Registrierung der Anwender. Der IAS in der Cloud bringt neben der im Standard enthaltenen Selbst-Registrierung auch einige Sicherheitsfeatures mit. Dazu zählt beispielsweise die Einschränkung von erlaubten E-Mail-Adressen oder die Definition von Passwort-Richtlinien. On-Premises ist diese Funktionalität nicht standardmäßig gegeben und Sie müssten sich bei Bedarf selbst um eine Selbst-Registrierung kümmern. Der Vorteil: Wenn Sie schon einmal dabei sind, können Sie die Registrierung auch um die automatische Vergabe der benötigten Berechtigungen erweitern und weitere Zeit einsparen. Durch die Nutzung eines solchen Features wird Ihre IT-Abteilung operativ entlastet – so bleiben mehr Kapazitäten für andere Aufgaben.
Geschwindigkeit und Agilität werden zu kritischen Erfolgsfaktoren erfolgreicher Unternehmen. Damit einher gehen oft Mitarbeiterwachstum und der flexible Einsatz von Fachkräften in den unterschiedlichsten Abteilungen und Projekten. IT-Abteilungen können in diesem Fall an Kapazitätsgrenzen geraten, da die Vergabe von Benutzern, Rollen und Berechtigungen in den relevanten Systemen verbreitet noch auf manuellen Prozessschritten beruht.
UNZUREICHEND GESCHÜTZTE TECHNISCHE SAP-BENUTZER STELLEN EINE GEFAHR DAR
SAP-Nutzer hatten es in den letzten Jahren nicht leicht – gerade Themen wie „Netweaver Foundation For Third Party Applications“ und die indirekte Nutzung erhitzten die Gemüter. Nun plant SAP den nächsten Kurswechsel: Die User-Lizenzvergabe auf Grundlage von Berechtigungen. Obwohl diese Lizenzbedingung schon lange in den Preis- und Konditionslisten (PKL) enthalten ist, wurde sie bis jetzt noch nicht in dem Maße genutzt. Das soll sich jetzt ändern ….
Als einfachste Form der Anmeldung können Sie auf Benutzername und Passwort zurückgreifen. In der Cloud authentifiziert sich der Nutzer dann mit den Zugangsdaten, die im Identity and Authentication Service (IAS) für ihn hinterlegt sind. On-Premises erfolgt die Authentifizierung mit den Zugangsdaten des SAP Gateway Systems. Dabei spielt es keine Rolle, ob Sie ein Gateway Hub oder ein Embedded Gateway nutzen. Es gelten die Zugangsdaten des SAP-Systems, in dem das Gateway läuft. Die Anmeldung kann durch Mechanismen wie beispielsweise Single-Sign-On (SSO) unterstützt werden, um die Usability für Endanwender zu verbessern. Sowohl in der SAP Cloud Platform als auch On-Premises können Sie hierfür SAML (Security Assertion Markup Language) einsetzen. Zwar sind die Schritte zur Konfiguration unterschiedlich, der Effekt ist jedoch identisch. Nutzer melden sich nicht mit separaten Zugangsdaten an, sondern authentifizieren sich an einem anderen System –beispielsweise einem Microsoft Active Directory.
Einige fehlende Funktionen im SAP-Standard der Benutzerverwaltung werden durch die PC-Anwendung "Shortcut for SAP Systems" nachgeliefert.
Es empfiehlt sich ein eigenständiges SAP HANA Datenbank-Berechtigungskonzept aufzubauen und anzuwenden, um die Aufgabengebiete wie Administration, Konfiguration, Entwicklung als auch allfällige Anwendungen (Reporting) des Fachbereichs auf der Datenbankebene zu trennen.
Beim Kopieren oder Zuordnen eines Referenzbenutzers überprüft das System, ob Sie die Berechtigung haben, dessen Profile und Rollen zuzuordnen.