Profil SAP_ALL & Revision

Alles Rund um SAP®.
9 Beiträge • Seite 1 von 1
9 Beiträge Seite 1 von 1

Profil SAP_ALL & Revision

Beitrag von ratsnus (Specialist / 355 / 2 / 54 ) »
Hallo zusammen,

ein ständiges Thema bei Revisionen ist ja das Profil SAP_ALL. Es wird ja immer bemängelt das es im Produktiv System keine Dialog User mit diesem Profil geben sollte.

Das ist natürlich schwierig wenn die SAP Verantwortlichkeit bei nur 1-2 Personen liegt, natürlich kann man mit SM20 SM21 etc. die Logs einschalten, aber mit SAP_ALL kann ich ja auch das aushebeln wenn ich möchte. Was ich nicht möchte, sind die Profile zu kopieren, um den Auditoren vorzugaukeln das kein User SAP_ALL hat.

Mich würde interessieren wie eure Erfahrungen mit diesem Thema sind. Wie geht ihr mit diesem Thema um ? freue mich auf einen regen Erfahrungsaustausch.

Gruss
Tony
<:: XING-Gruppe Tricktresor::>


Re: Profil SAP_ALL & Revision

Beitrag von ewx (Top Expert / 4370 / 213 / 479 ) »
Ich kenne es, dass sogenannte Firefighter User eingesetzt werden. Die User sind generell gesperrt und müssen zentral über ein entsprechendes Tool mit Begründung und ggfs. in Bezug zu einem Incident beantragt werden. Sie werden dann automatisch entsperrt und bekommen ein neues Kennwort, das dem Anfordernden per Mail zugeschickt wird. Im Security Audit Log wird dann für diese Firefighter User alles geloggt, was diese machen.

Re: Profil SAP_ALL & Revision

Beitrag von ratsnus (Specialist / 355 / 2 / 54 ) »
Ja dieses Prinzip ist mir bekannt, aber wer macht die Freigabe für den Firefighter User ? Für unsere ext. Berater fahren wir genau dieses Verfahren, wobei die nicht SAP_ALL bekommen, aber wir entsperren diese User entsprechend und Loggen mit was sie tun. Aber unsere eigenen User von wem sollte ich die freigeben lassen ? Wir machen fast alles selbst auch den applikatorischen Support. Momentan haben wir das als HighRisk Punkt im Security Management Report erwähnt, weil wir offen wissen das es ein Problem ist, aber uns der Gefahr bewusst sind. überzeugt die Revisoren nicht unbedingt
<:: XING-Gruppe Tricktresor::>

Re: Profil SAP_ALL & Revision

Beitrag von ewx (Top Expert / 4370 / 213 / 479 ) »
Die Freigabe erfolgt dadurch, dass du sie im "Fire Fighter Cockpit" beantragst. Der User benötigt dann im Produktivsystem die Berechtigung für die Transaktion.

das sind wirklich nur User für den Notfall, wenn am Wochenende oder abends niemand aus dem Fachbereich da ist, der irgendwas buchen kann oder wenn zur Fehlersuche im Debugging Werte geändert werden müssen oder direkt in einer Tabelle etwas geändert oder gelöscht werden muss oder ähnliches.

Je nach Produkt werden die User dann nach Stunden oder am Ende des Tages automatisch abgemeldet und wieder gesperrt.

Re: Profil SAP_ALL & Revision

Beitrag von ratsnus (Specialist / 355 / 2 / 54 ) »
redest du von diesem Thema ? https://help.sap.com/doc/759acdedc98b49 ... 5cf_en.pdf

das ist ja mit Kanonen auf Spatzen schiessen :-) Es geht nur um 2 Personen.
<:: XING-Gruppe Tricktresor::>

Re: Profil SAP_ALL & Revision

Beitrag von ewx (Top Expert / 4370 / 213 / 479 ) »
ratsnus hat geschrieben:
26.03.2021 10:49
das ist ja mit Kanonen auf Spatzen schiessen :-)
Auf den deal habt ihr euch eingelassen, als ihr SAP installiert habt... 😁

ja, das meine ich. aber das gibt es auch kleiner von anderen Firmen. Wir entwickeln das zum Beispiel auch gerade, weil wir es für uns eh benötigen...

Re: Profil SAP_ALL & Revision

Beitrag von black_adept (Top Expert / 3510 / 70 / 692 ) »
Es reicht eigentlich, wenn ihr statt SAP_ALL im Profil den beiden Usern stattdessen die Möglichkeit gebt ihren eigenen User mit neuen Rollen zu versehen und sie dann anweist, wenn sie SAP_ALL benötigen sich das kurzzeitig selber zuzuordnen und danach dann wieder wegzunehmen. Da die Audits üblicherweise nur eine Momentaufnahme sind und wenn die beiden das halt wirklich sparsam verwenden fällt es evtl. einfach nicht auf.
P.S. Ja - schon erlebt! 😱
live long and prosper
Stefan Schmöcker

email: stefan@schmoecker.de

Re: Profil SAP_ALL & Revision

Beitrag von Tron (Top Expert / 1231 / 26 / 303 ) »
Moin.
Wir hatten früher einen User mit umfassenden Berechtigungen im Prod.System.
Wenn wir den User im Notfall benutzen mußten, habe wir das Zugangspasswort
vom Boss beantragt. Nach dem Einsatz, wurde der User wieder gesperrt.
Klar, wenn das am Wochenende passiert, das man den chef belästigen müßte
(Aber es gibt halt keine Helden mehr 😉 ;-) .
Um den Notfall user 24/7 erreichbar zu haben, könnte man einen eine RFC-Anbindung, oder WEB Schnittstelle programmieren, die den User frei schaltet. Die Aktivtäten des Notfalluser wurden hier natürlich protokolliert.
Funktionbausteine : BAPI_USER_UNLOCK /BAPI_USER_LOCK/ BAPI_USER_CHANGE
Alle FMs sind RFC Enabled.

gruß Jens
Beispiel PW Reset ( Kein Fiori, aber HTML5/Smartphone tauglich )
Die BSP Application kann überall installiert sein, solange eine RFC Destination zum Produktiv System führt.
( Lass die "Revisionisten" ruhig mal suchen. )
Das initial PW wird nach eingehender Prüfung mit einer Email an den "Beantragenden" geschickt.
000.png
<:: XING-Gruppe Tricktresor::>
Die deutsche Rechtschreibung ist Freeware, du darfst sie kostenlos nutzen –
Aber sie ist nicht Open Source, d. h. du darfst sie nicht verändern oder in veränderter Form veröffentlichen.

Re: Profil SAP_ALL & Revision

Beitrag von Tron (Top Expert / 1231 / 26 / 303 ) »
Moin.
Hier das Passwort Reset tool :
http://www.bb1.gate2app.com/viewtopic.php?f=36&t=20630
gruß Jens
Ps wer möchte, kann Teile in einer Fiori app verwenden.
Bild

Folgende Benutzer bedankten sich beim Autor Tron für den Beitrag (Insgesamt 2):
ewxedwin

<:: XING-Gruppe Tricktresor::>
Die deutsche Rechtschreibung ist Freeware, du darfst sie kostenlos nutzen –
Aber sie ist nicht Open Source, d. h. du darfst sie nicht verändern oder in veränderter Form veröffentlichen.

Seite 1 von 1

Über diesen Beitrag



Unterstütze die Community und teile den Beitrag für mehr Leser und besseren Inhalt:

Vergleichbare Themen

Revision - SAP_ALL / Abstimmmöglichkeiten
von jamesbu » 26.04.2007 14:05
AUTHORITY-CHECK auf ein Profil
von ijiro » 23.12.2005 14:06
Aktivierung Profil für User
von Foppa » 23.01.2007 16:17