Monthly Archives: Januar 2019

  • 0

Strategische Ausrichtung von SAP-Berechtigungskonzepten

Die wichtigste Entscheidung bei der Planung von SAP-Berechtigungskonzepten

Während die technischen Grundlagen von SAP-Berechtigungen wahrlich keine Raketenphysik sind, stellt die Umsetzung eines langfristig effektiven und effizienten Berechtigungskonzeptes viele Unternehmen vor eine große Herausforderung. Die Implementierung von Berechtigungskonzepten erfolgt, wie der Name bereits sagt, optimalerweise einem Konzept. Die erste Entscheidung, die ein Unternehmen oder eine Behörde bezüglich des Berechtigungskonzepts treffen sollte, ist ob dieses primär entweder die Aufbau- oder Ablauforganisation abbilden soll. Oft wird diese Entscheidung unbewusst oder zu spät getroffen und resultiert in einem Berechtigungskonzept, welches keiner klaren Struktur bei der Entwicklung von Anwenderrollen folgt.

Dieser Artikel erläutert die beiden grundlegenden Ansätze für den Aufbau von Berechtigungskonzepten sowie einer verbreiteten Mischform und nennt Vor- und Nachteile für deren Verwendung. Sobald sich ein Unternehmen bewusst für eine Strategie entscheidet, können sich langfristig viele schwerwiegenden Entscheidungen und Korrekturmaßnahmen erübrigen.

Dieser Artikel ist angelehnt an Wessing, A case study into the applicability of a good practice SAP (Access) Security Design Framework, 09/2015.

Berechtigungen nach der Ablauforganisation (Prozessorientiert)

Die Orientierung der Berechtigungsvergabe an die Ablauforganisation (Prozesse) eines Unternehmens verspricht die präzisesten Ergebnisse hinsichtlich des Minimalprinzips. Dabei werden zunächst alle Geschäftsprozesse und deren Unterstützungstätigkeiten analysiert und in deren einzelne Aktivitäten untergliedert. Diese Aktivitäten werden anschließend feingranular und zielgerichtet an die Anwender vergeben.

Entgegen der klaren Vorteile für eine funktionstrennende Rechtevergabe und der Einhaltung des Minimalprinzips, scheitert dieser Ansatz oft an dem hohen Administrationsaufwand in der Nutzerverwaltung. Es kommt nicht selten zu einer Anhäufung von Berechtigungen auf einzelnen Nutzern, sofern diese nicht aufwendig periodisch überprüft (rezertifiziert) werden. Weiterhin erfordert eine präzise Beantragung von Rechten eine genaue Kenntnis der Inhalte durch die entsprechenden Nutzerverwalter oder Key User. Das prozessorientierte Modell eignet sich vor allem für Unternehmen, die einem stetigen Wandel unterliegen und sich flexibel auf Änderungen in der Organisation anpassen müssen.

Aufgrund der Komplexität von SAP-Berechtigungen ist auf der Ebene von Einzelrollen grundsätzlich (Ausnahmen sind möglich) der prozessbezogene Ansatz zu wählen. Daher werden einzelne Prozessschritte (Aktivitäten) und Funktionen in separate Rollen aufgeteilt und implementiert. Neben den Vorlagen aus dem SAP-Standard bieten mittlerweile viele Firmen und Berater vorgefertigte Templates an, um den Implementierungsprozess dieser „Bausteine“ abzukürzen. Hierbei ist zu beachten, dass ein sauberes, präzises Rollenkonzept genauso individuell ist wie das Unternehmen selbst.

Berechtigungen nach der Aufbauorganisation (Arbeitsplatzorientiert)

Werden Berechtigungen an die Aufbauorganisation angelehnt, bekommt jeder Nutzer eine einzelne Rolle, die seinem zugeteilten Arbeitsplatz entspricht (zum Beispiel: Anlagenbuchhalter). Innerhalb dieser Rolle sind alle Aktivitäten berechtigt, die eine typische Person zur Ausführung der Tätigkeiten des Arbeitsplatzes benötigt. Während dieser Ansatz eine klare und einfach nachvollziehbare Zuordnung von Rollen zu Anwendern ermöglicht, führt er nicht selten zu einer Überberechtigung und mangelnden Funktionstrennung innerhalb der Arbeitsplatzrollen. Besonders geeignet ist dieser Ansatz für Unternehmen oder Behörden mit statischen Strukturen und ausreichender Funktionstrennung auf Prozessebene.

Dem Aufbauorganisations-orientierten Modell liegt im Normalfall ein prozessorientierter Baukasten aus Einzelrollen zugrunde. Diese werden entsprechend der Planstellen im Unternehmen in Rollencontainern zusammengefasst. Im SAP ABAP Standard sind dies Sammelrollen. Kommen Drittsysteme wie SAP GRC BRM oder SAP IDM zum Einsatz wird von Business-Rollen gesprochen. Spätestens bei der Verwendung von SAP IDM treten die Vorteile eines Rollenmodells nach der Aufbauorganisation zum Vorschein, da hier auch Zugänge und Berechtigungen aus nicht-SAP Systemen wie zum Beispiel Mail- und Windows-Accounts, Buchungsportale und Zugangskarten integriert werden können. Diese lassen sich effizient aus dem Organisationsmodell ableiten.

Mischformen – Das Add-on Modell

Über die vorgestellten Ansätze hinaus werden in der Praxis auch nicht selten hybride Modelle verwendet, um die jeweiligen Schwächen des einen Modells mit den Stärken des anderen zu verbinden. Eine beliebtes Konzept ist das Add-on Modell. Bei diesem werden zunächst klassisch Aktivitäten entsprechend der Geschäftsprozesse in Einzelrollen abgebildet. Die Anwender bekommen anschließend eine Rollenzuordnung entsprechend ihrer Planstelle. Besonders in flexiblen Unternehmen kommt es dabei häufig vor, dass einzelne Mitarbeiter Aufgaben wahrnehmen, die über ihre zugeordnete Planstelle hinausgehen. Um diesen Anforderungen zu begegnen, wird die Möglichkeit eingeräumt, über die eigenen Berechtigungen hinaus Add-on Rollen für spezifische Prozesse zu beantragen.  Die Add-on Rollen können dabei aus dem bestehenden Rollenbaukasten entstammen oder speziell dafür angelegt sein.

Während der Add-on basierte Ansatz Vorteile bezüglich der Flexibilität von aufbauorganisationsbasierten Berechtigungskonzepten bietet, muss hier stets überprüft werden, auf welcher Ebene Änderungen implementiert werden müssen. Des weiteren ist zu klären, wie der Beantragungs- und Genehmigungsprozess im Detail für Add-on Rollen aussehen kann. Ggf. muss auch die Menge der beantragbaren Add-on Rollen abhängig von der jeweiligen Planstelle gesteuert werden, so dass zum Beispiel keine Basis-Berechtigungen für den Fachbereich vergeben werden.

Zusammenfassung

Unabhängig davon, für welche Strategie Sie sich entscheiden: Wichtig ist, dass Sie sich entscheiden, sich der jeweiligen Konsequenzen bewusst machen und den eingeschlagenen Weg konsequent verfolgen. Weiterhin ist bei dem gewählten Modell stets zu berücksichtigen, dass die Strategie auch tatsächlich langfristig umsetzbar ist. Hier gilt oft: Weniger ist mehr. Es ist zumeist besser, einfache Vorgaben konsequent umzusetzen, als sich auf ein überzogen komplexes Geflecht aus Regeln, Prozessen und Verantwortlichkeiten einzulassen.

In jedem Fall sollte eine klare Vorgabe bezüglich der Strategie die Gestaltung ihres Rollenmodells und Prozesse in der Benutzer- und Berechtigungsverwaltung nachhaltig positiv beeinflussen.

 

Welche Erfahrungen haben Sie mit Ihrem Konzept gemacht? Haben Sie andere Herangehensweisen bei sich erfolgreich implementiert? Lassen Sie es uns wissen!

Hendrik Winkler