Novinky

Více než 30 IDM realizací v České republice i zahraničí

AMI Praha Audit rolí a oprávnění SAP
Audit rolí a oprávnění SAP

Audit rolí a oprávnění SAP

Důležitá je i podpora auditních činností – díky zavedení tohoto systému je možné jednoduše provádět interní kontrolu oprávnění dle nastavených pravidel. Díky tomu je možné průběžně vyhodnocovat a nastavovat SAP oprávnění tak, aby vyhovovala auditním požadavkům. Řešení tak pokrývá podobnou oblast kontrol jako nástroj SAP GRC.

Pro tyto účely implementujeme produkt CA GovernanceMinder (GM), který dokáže načíst oprávnění SAP na úrovni rolí, autorizačních objektů a transakcí. Zároveň jsou spolu s oprávněními načteny i účty uživatelů s vazbou na jednotlivé role, čímž vzniká ucelený analytický model.

Aplikace GM se skládá ze serverové části – webového portálu – a tlustého klienta pro analýzu dat. Připojení na SAP je realizováno pomocí read-only dotazů na standardní rozhraní SAP BAPI. Díky tomu odpadají případné náklady na konfiguraci systému SAP či nutnost exportu dat přes SAP XI.

Analýza dat

Aplikace GM umožňuje nad načtenými daty provádět analýzy s využitím pokročilých algoritmů. Tyto analýzy zahrnují:

 • Přehledné pohledy na data, kdy lze efektivně zobrazit vzájemné vazby mezi oprávněními (vč. hierarchie) a vazbou na uživatele (vč. časového přiřazení rolí).
 • Nalezení uživatelů se stejnou či podobnou sadou oprávnění.
 • Nalezení uživatelů, kteří hromadí příliš mnoho oprávnění.
 • Nalezení nepoužívaných oprávnění.
 • Modelování nových rolí, refactoring existujících rolí.
 • Vzájemné porovnání rolí s cílem zjistit duplicity ve složení (z pohledu autorizačních objektů).

Zabudované auditní kontroly umožňují například nalezení rolí, které mají z pohledu obsažených autorizačních objektů stejné či podobné složení. 

Pravidla

Řešení dále umožňuje stanovení logických podmínek mezi jednotlivými entitami modelu rolí:

 • Pravidla vztahující se k uživatelům – uživatel nesmí mít současně určité role či autorizační objekty a transakce, nebo naopak určitá oprávnění mohou mít pouze uživatelé s vyjmenovanými parametry (např. dle organizačního zařazení).
 • Definování exkluzivních pravidel mezi rolemi a dalšími objekty oprávnění. Je například možné zajistit, že určité autorizační objekty nemohou být společně obsaženy ve stejné SAP roli.
 • Kromě omezující logiky je možné zapojit i vynucení přiřazení role uživatelům na základě atributů uživatele či role, popřípadě využít regulární výrazy.

Nadefinovaná pravidla je možné spustit na vybraný model rolí. Výstupem je auditní karta, kde jsou jednotlivé rozpory vyznačeny. Rozpory lze řešit buď přímou nápravou, nebo časově omezenou výjimkou. Zavedení logických pravidel mezi objekty SAP může organizaci pomoci v plnění regulačních požadavků či požadavků auditu na zajištění Segregation of Duties (např. SOX, unbundling). Auditní karty jsou v aplikaci archivovány a mohou být použity jako podklad pro bezpečností audit. Aplikaci je možné nastavit tak, aby prováděla kontroly pravidel na reálných datech SAP např. na týdenní bázi a vám pak stačí jen sledovat případné incidenty v generované auditní kartě.

Certifikace

Pro zajištění maximální bezpečnosti je možné u vybraných rolí či uživatelů certifikovat jejich vazbu na ostatní entity modelu – autorizační objekty či role. Certifikace má formu schvalovacích workflow, kdy mohou zodpovědné osoby potvrdit přiřazení oprávnění na těchto úrovních:

 • Přiřazení role k uživatelům. Je možné certifikovat z pohledu role či uživatele.
 • Přiřazení autorizačních objektů a transakcí do rolí.
 • Hierarchie role-role.

Proces certifikace je možné periodicky opakovat například každých 6 měsíců. Společně s dobře vydefinovanými pravidly pak umožňuje organizaci výrazně snížit riziko ze zneužití práv a zároveň zjednodušit proces správy SAP díky efektivnějšímu modelu oprávnění. Výsledek certifikace je uložen a je tak možné zpětně dohledat informace o provedené schvalovací akci.

Shrnutí

Použití nástroje GM přináší celou řadu výhod, jedná se zejména o možnost efektivního řízení uživatelských rolí v SAP systémech, zvýšení bezpečnosti a přípravu podkladů pro bezpečnostní audit. Díky řadě zabudovaných kontrol a možnosti tvorby pravidel pomáhá řešení organizacím plnit regulatorní či jiné požadavky na oddělení kompetencí mezi uživateli. Velkým benefitem je uživatelsky přívětivé prostředí a také možnost individuálních nastavení. Využití standardního rozhraní SAP a nenáročná instalace aplikace umožňuje rychlé nasazení řešení do organizace s brzkým přínosem prvních efektů.

Popis řešení auditu oprávnění SAP