One Identity Manager | SAP Experience #16 | SAP GRC mapping in Identity Manager

One Identity by Quest
10 Oct 201908:25

Summary

TLDRIn diesem Video wird der Prozess der Erstellung und Konfiguration von Identitätsprüfungen im One Identity Manager (OIM) erklärt. Es wird gezeigt, wie Funktionsdefinitionen erstellt, Transaktionen und Berechtigungsobjekte hinzugefügt und mit SAP-Systemen integriert werden. Der Autor erklärt, wie Variable definiert und auf Funktionseinheiten angewendet werden, um spezifische Berechtigungen zuzuweisen. Zudem wird erläutert, wie Segregation-of-Duties (SOD)-Regeln erstellt werden, um Sicherheitsverletzungen und toxische Berechtigungs-Kombinationen zu erkennen. Das Ziel ist eine optimierte Verwaltung von Benutzerberechtigungen und die Gewährleistung der Compliance in SAP-Systemen.

Takeaways

  • 😀 Die Funktion „Funktionsdefinition“ in One Identity Manager dient als Vorlage für die Zuordnung von Berechtigungen zu SAP-Rollen und -Profilen.
  • 😀 Funktionsdefinitionen enthalten keine Details zu Berechtigungen, sondern nur Platzhalter, die später über den Berechtigungseditor mit relevanten SAP-Objekten und Feldern gefüllt werden.
  • 😀 Der Berechtigungseditor ermöglicht es, SAP-Objekte, Felder und deren Werte zu suchen, um exakte Berechtigungen zu identifizieren und toxische Kombinationen zu finden.
  • 😀 Mit der Transaktionssuche im Berechtigungseditor können SAP-Transaktionen hinzugefügt werden, die dann alle relevanten Informationen über Aktivitäten und Felder enthalten.
  • 😀 Variablen können in Funktionsdefinitionen verwendet werden, um Werte zu ersetzen, die später in Funktionsinstanzen automatisch durch den definierten Wert ersetzt werden.
  • 😀 Die Aktivierung der Funktionsdefinition führt zur Erstellung einer Funktionsinstanz, bei der spezifische Werte auf SAP-Systemebene angewendet werden.
  • 😀 Für jede Funktionsinstanz können unterschiedliche SAP-Systeme und Mandanten konfiguriert werden, sodass beispielsweise Länder- oder regionsspezifische Werte verwendet werden können.
  • 😀 Die Funktionsinstanz berechnet automatisch alle betroffenen SAP-Gruppen, die mit den definierten Berechtigungen übereinstimmen.
  • 😀 Eine SEO-D-Regel kann erstellt werden, um Benutzer zu identifizieren, deren Berechtigungen durch eine oder mehrere Funktionsinstanzen mit hohem Risiko übereinstimmen, was zu Compliance-Verstößen führen kann.
  • 😀 Über die Regelübersicht können Mitarbeiter angezeigt werden, die gegen eine Regel verstoßen, basierend auf der Kombination von Berechtigungen aus verschiedenen Funktionsinstanzen.

Q & A

  • Was ist eine Funktionsdefinition in One Identity Manager?

    -Eine Funktionsdefinition ist eine Vorlage, in der spezifische Kombinationen von Transaktionen, Berechtigungsobjekten, Feldern, Werten und Grenzwerten definiert werden. Diese dient als Container, der die relevanten Informationen enthält, um Berechtigungen in SAP zu überprüfen.

  • Wie wird eine Funktionsdefinition in One Identity Manager erstellt?

    -Um eine Funktionsdefinition zu erstellen, geht man zum Bereich ‚Funktionsdefinitionen‘ im Modul ‚Identity Audit‘, wählt die relevanten Transaktionen und Berechtigungsobjekte aus und fügt diese hinzu. Die Funktionsdefinition enthält dabei nur die Struktur, nicht die Details der Berechtigungen.

  • Was macht der Berechtigungseditor in One Identity Manager?

    -Der Berechtigungseditor ermöglicht es, SAP-Berechtigungsobjekte, Felder und Werte zu identifizieren, die für die Funktionsdefinition relevant sind. Er hilft dabei, die genauen Berechtigungen zu bestimmen, die später auf Verstöße oder toxische Kombinationen überprüft werden.

  • Wie wird eine Transaktion in die Funktionsdefinition aufgenommen?

    -Eine Transaktion wird über den Berechtigungseditor hinzugefügt, indem man die Transaktionsbezeichner in das Filterfeld eingibt und die Transaktion auswählt. Die Transaktion wird dann mit den entsprechenden Berechtigungskomponenten verknüpft, die in SAP unter der Transaktionscode SU-24 abgerufen werden können.

  • Was ist der Unterschied zwischen einer Funktionsdefinition und einer Funktionsinstanz?

    -Die Funktionsdefinition ist eine Vorlage, die die Struktur der Berechtigungen beschreibt, während die Funktionsinstanz die tatsächliche Implementierung dieser Vorlage in einem bestimmten SAP-System darstellt. Die Funktionsinstanz enthält auch spezifische Werte und Variablen, die in der Funktionsdefinition definiert wurden.

  • Wie werden Variablen in der Funktionsdefinition verwendet?

    -Variablen werden in der Funktionsdefinition erstellt und später in der Funktionsinstanz durch die Werte ersetzt, die durch eine Variable gesetzt wurden. Dies ermöglicht eine flexible Anpassung an unterschiedliche Systeme oder Regionen, indem unterschiedliche Werte in verschiedenen Instanzen verwendet werden.

  • Was sind betroffene SAP-Gruppen in der Funktionsinstanz?

    -Betroffene SAP-Gruppen sind SAP-Rollen und -Profile, die entweder Einzelrollen oder zusammengesetzte Rollen sind und deren Berechtigungen mit denen in der Funktionsinstanz übereinstimmen, z. B. bestimmte Aktivitäten oder Felder mit spezifischen Werten.

  • Wie kann eine Funktionsinstanz zur Überprüfung von Berechtigungsverstößen verwendet werden?

    -Eine Funktionsinstanz kann in eine SOD-Regel (Segregation of Duties) integriert werden, um nachzuverfolgen, welche Benutzerkonten oder Mitarbeiter Berechtigungen haben, die mit den in der Funktionsinstanz definierten Berechtigungen übereinstimmen. Dies ermöglicht die Identifizierung von Verstößen gegen die Trennung von Aufgaben.

  • Was passiert, wenn eine SOD-Regel verletzt wird?

    -Wenn eine SOD-Regel verletzt wird, wird der betroffene Benutzer oder Mitarbeiter in einen Zustand der ‚Compliance-Regel-Verletzung‘ versetzt. Ein Ausnahmegenehmigungsantrag wird an den zuständigen Genehmiger gesendet, der entscheiden muss, ob eine Ausnahme genehmigt wird.

  • Wie können Mitarbeiter, die gegen eine SOD-Regel verstoßen, angezeigt werden?

    -Mitarbeiter, die gegen eine SOD-Regel verstoßen, können durch die Regelübersicht angezeigt werden. Hier wird gezeigt, welche Mitarbeiter von jeder einzelnen Funktionsinstanz betroffen sind und wie die verschiedenen Kombinationen der Funktionsinstanzen die SOD-Verletzung beeinflussen.

Outlines

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Mindmap

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Keywords

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Highlights

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Transcripts

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Browse More Related Video

ENTITY RELATIONSHIP MODELL einfach erklärt (ER-Modell)

Erzähltexte analysieren - Deutsch Oberstufe Abitur

7 Steps to Write Standard Operating Procedures that ACTUALLY Work

Mesomerie einfach erklärt - Definition, Regeln & Beispiele Benzol & Anilin - Organische Chemie

Drehbewegung / Rotation - Einführung, Formeln, Winkelgeschwindigkeit berechnen (Physik)

13.07 Übersicht über die Modellierungsschritte: von der Realität zum Datenbankschema

Rate This

5.0 / 5 (0 votes)

Summary
Outlines
Mindmap
Keywords
Highlights
Transcripts
Related Tags
IdentitätsmanagementOne Identity ManagerSAP BerechtigungenSicherheitsregelnComplianceFunktion DefinitionSegregation of DutiesBerechtigungsanalyseSystemintegrationRisikomanagementCompliance Verstöße
Do you need a summary in English?