Das Berechtigungsmanagement

für Ihre SAP Systeme

Access Manager

Der Access Manger ist Bestandteil

unseres Softwarepakets

SUIM-AIM und wurde von

SAP zertifiziert.

Big Picture

Der Access Manger (AM) ist ein zentrales Berechtigungsmanagementsystem. Es

befähigt Sie auch die komplexesten Berechtigungen übersichtlich, der Organisation

Ihres Unternehmens entsprechend und in Echtzeit zu Verwalten. Ableitungen von

Rollen werden automatisch erzeugt und auf Ihre ganze Systemlandschaft verteilt. Der

Access Manager verwaltet sämtliche Berechtigungsobjekte, dazu gehören

selbstverständlich auch BW Analyseberechtigungen welche nach Ihren vorgegebenen

AM ermöglicht die Verwaltung der gesamten

SAP-Produktpalette (unabhängig vom

Releasestand) aus einem zentralen System.

AM verwaltet, generiert und transportiert für

Sie SAP-Rollen, -Profile, OLAP Profile oder

andere Gruppen in der ganzen

Systemlandschaft.

Mit der SUIM-AIM Suite

besitzen Sie ein effizientes

Werkzeug zur Bewirtschaftung

des gesamten User Lifecyles.

Das AM Modul ermöglicht Ihnen

eine einfache Verwaltung der

Berechtigungsvergaben

direkt durch Super User und

Abteilungsleiter. Diese

wählen die gewünschten

Business-Rollen und

Organisationen in der

übersichtlichen

Berechtigungsmatrix aus

teilen somit die

Berechtigungen zu. Nach

einer automatischen

Risikoüberprüfung im

optionalen Compliance

Enforcer Modul generiert der

Access Manager die nötigen

Ableitungen und führt

transparent die

Provisionierung der

Berechtigungen aus.

Umständliche

Berechtigungsanträge

gehören der Vergangenheit

an.

eine schnelle und

kostengünstige Anpassung

der Berechtigungen auf

Unternehmensebene. Sie

können kurzfristig komplexe

Berechtigungen anpassen

und somit Marktchancen

effizient wahrnehmen.

Restrukturierungen sowie

Mergers & Akquisitions

können schnellstens im SAP

System umgesetzt werden.

das Qualitätsmanagement

der Berechtigungsobjekte

sicher zu stellen und verstärkt

Unser Quality Cockpit hilf Ihnen Inkonsistenzen in Rollen und Profilen zu eliminieren.

Somit sind Sie sicher, dass Ihr Berechtigungskonzept nicht nur auf Papier sondern

auch in Ihren Systemen korrekt ist.

Highlights

Berechtigungsmatrix

In einem einzigen Screen kann Ihr

Berechtigungsverantwortlicher alle für seine Rolle

typischen Aufgaben durchführen. Neben der

Zuteilung der Soll-Berechtigungen zu einem SAP-

User kann auch die Segragation of Duty (SoD)

Prüfung und der Genehmigungsprozess

angestossen werden.

AM gibt Ihnen die Möglichkeit Berechtigungen

regelbasierte (auch periodisch wiederkehrende)

zuzuordnen

Die Strukturierung durch AM-Organisationen und

AM-Systeme ermöglicht die sehr ergonomische

Darstellung

als Berechtigungsmatrix.

AM-Rollen

Eine AM-Rolle ist eine sinnvolle Kombination von

Berechtigungselementen (ERP-, BI-, strukturelle

Berechtigung, Org.Management-Objekten, Active

directory, etc.) welche über mehrere Systeme

verteilt sein können.

Durch die Integration der zwei Dimensionen

Systemarchitektur und Berechtigungselemente,

können die oftmals komplexen

Berechtigungsanforderungen als Business Rollen

flexibel abgebildet werden und gleichzeitig wird

das operative Lifecyclemanagement wesentlich

vereinfacht.

AM-Rollenableitung / BI-Profil-

Generierung

Aufgrund der definierten Ableitungs- und

Verteilungsregeln werden organisationsspezifische

Ableitungen einer Masterrolle automatisch und

ohne manuelle Eingriffe im Zielsystem erstellt.

Rollenverteilung

Die Verteilung von Berechtigungselementen zu

einem User wird realtime und direkt im Zielsystem

durchgeführt. Dabei wird sichergestellt, dass der

User insgesamt nur die Soll-Berechtigungen hat.

Auch eine temporäre Nichtverfügbarkeit eines

Zielsystems wird durch entsprechendes Queuing

ausgeglichen.

Rollen können ebenfalls zeitabhängig nach Regeln

und Intervallen zugeteilt werden.

AM-Organisationen, AM-Systeme

und AM-Rollenkatalog

Die Strukturierung durch Organisationen, Systeme

und Kataloge ermöglicht einerseits eine sehr

einfache

Umsetzung der Anforderungen und andererseits

können auch sehr komplexe

Anforderungsszenarien sauber abgebildet werden.

AM-Organisationsebene

Berechtigungsfelder können im AM nicht nur

grundsätzlich, sondern auch rollenspezifisch als

Organisationsfeld definiert werden. Dies

ermöglicht den Freiheitsgrad, um in den

komplexen Konstellationen die richtige

Lösung zu finden.

Massen-Rollenableitung / BI-Profil-

Massengenerierung

Bei Änderungen an Masterrollen oder der

Integration einer neuen Organisation in das

Unternehmen entstehen oft sehr grosse

Anpassungsnotwendigkeiten. Durch die

Möglichkeit alle relevanten Ableitungen

automatisch anzupassen oder neu anzulegen

reduziert sich der Arbeitsaufwand auf ein

Minimum.

Massen-Rollenverteilung

Die AM-Verteilungsmechanismen können auch zur

Massenverarbeitung genutzt werden

Risiko-Analyse

Bei der Zuteilung einer Berechtigung / eines BI-

Profils zu einem User kann automatisch geprüft

werden, ob dadurch eine Konstellation entsteht,

die den definierten SoD-Regeln widerspricht.

Als kritisch eingestufte Berechtigungen sowie

kritische Aktionen werden ausgewiesen.

User Lifecycle: AM-Workplace

Berechtigungsmatrix Die AM-Berechtigungsmatrix ist das am häufigsten

genutzte Werkzeug im User Lifecycle Management.

Sie dient der Anzeige und Mutation aller

Berechtigungszuordnungen zu den SAP-Usern. Die

SoD- und Risiko-Prüfungen sowie die definierten

Workflow-Prozessschritte vom Antrag über die

Genehmigung bis zur physischen Zuteilung der

Berechtigungen auf den dezentralen Systemen

werden ebenfalls aus dieser Matrix angestossen. Die

Berechtigungsmatrix kann sowohl via Web als auch

via den SAP-GUI genutzt werden.

Der Zugriff auf die Berechtigungsmatrix sowie

sämtliche weiteren Funktionen des Access Managers

erfolgt über einen übersichtlich gestalteten

Hauptfunktionen

Berechtigungen zuordnen:

- Auswahl der Berechtigungen durch Markieren der

Checkbox in der Matrix.

- Abbildung komplexer Zeitabhängigkeiten durch

die AM-Zeitregeln.

Zugeordnete Rollen anzeigen:

Soll- / Ist-Vergleich der Berechtigungselemente

des SAP-Users in den entsprechenden

Zielsystemen.

Ein Simulationsmodus erlaubt es Ihnen die

Auswirkung von Berechtigungszuteilungen

durchzuspielen

Berechtigungen verteilen:

Verteilung der Soll-Berechtigungszuordnungen des

SAP-Users in den entsprechenden Zielsystemen.

Actionlog:

Anzeige der Änderungsbelege zum gewählten SAP

User Lifecycle: AM-Workflow

AM-Standardprozess

AM stellt Ihnen verschiedene

Lösungsansätze zu Anträgen und

Zuteilungen von Berechtigungen.

Diese reichen vom Employeee Self

Service (ESS) über verantwortliche Super

User in den jeweiligen

Geschäftsbereichen bis zu dedizierten

Berechtigungsteams hin.

Damit Berechtigungen nicht willkürlich

vergeben werden, haben wir einen

optionalen Workflow Prozess in die

Berechtigungsvergabe integriert. Dieser

kann je nach Rolle und deren Kritikalität

angestossen werden. Damit wird in

diesen Fällen das Vier-Augen Prinzip

gewährleistet.

Im optionalen Standardprozess wird

nach erfolgter Risikoprüfung der

Workflow angestossen, wenn der

Super-User die AM Rollenzuordnung

eines Benutzers ändert.

Der Vorgesetzte des Antragstellers

wird ermittelt und erhält das aus dem

Berechtigungsantrag entstandene

Workitem zur Bearbeitung

in seinen Eingangskorb.

Der Berechtigungsantrag

wird durch den

Vorgesetzten genehmigt

oder abgelehnt. Die

Verteilung der

Berechtigungs-zuordnung

(inkl. der Erstellung einer

allfälligen Ableitung von der

Masterrolle im Zielsystem)

kann direkt aus der

Workitembearbeitung

Risikoanalyse & Qualitätssicherung

Qualitätssicherung AM stellt für die Überwachung und Steuerung der

Qualität der Berechtigungsobjekte das AM-Quality-

Cockpit zur Verfügung. Die Prüf– und

Bereinigungsfunktionen konzentrieren sich auf

folgende Aufgaben:

Qualitätsprüfung der einzelnen Rollen in der SAP-

Landschaft.

Prüfung und Sicherstellung der Berechtigungs-

Konsistenz zwischen den zentralen AM-Vorgaben

und den dezentralen Zielsystemen.

Prüfung und Sicherstellung der User-Konsistenz

zwischen den zentralen AM-Vorgaben und den

dezentralen Zielsystemen.

Analyse der Risiken und der

Segregation of Duties Funktionstrennung bedeutet, das bestimmte

Aufgaben eines Geschäftsprozesses nicht durch ein

und dieselbe Person oder Organisationseinheit

durchgeführt werden sollen.

(Quelle Wikipedia)

AM kann mit Hilfe des Zusatzmoduls

„Compliance Enforcer“ eine

umfangreiche Risikoüberprüfung

ausführen. Dabei werden drei

verschiedene Risikotypen unterschieden:

Segregation of Duties (SoD):

Überprüfung stellt sicher, dass die

Berechtigungskonstellation nicht eine

Verletzung der vorgegebenen

Funktionstrennungsprinzipien darstellt.

Kritische Berechtigungen (kritische

Berechtigungsobjekte)

Kritische Aktionen (kritische

Transaktionen)

Die im Compliance Enforcer definierten

Regeln und Risiken stellen sicher, dass

ein potentielles Risiko erkannt wird.

AM generiert im Risikofall einen

Workflow welcher nach Risiko und

Wichtigkeit an die zuständigen

Entscheider weitergeleitet wird.

Durch Projektrollouts, Reorganisationen, Fusionen

oder Übernahmen können im

Berechtigungsmanagement grosse Aufwände

entstehen. Diese sind als kritisch für den Erfolg des

Vorhabens einzustufen. AM stellt Ihnen für derartige

Massenverarbeitungen hocheffiziente Werkzeuge zur

Verfügung.

Massengenerierung Die AM-Massengenerierung generiert alle

Ableitungen von Masterrollen unter

Berücksichtigung der im AM-Customizing

definierten Struktur– und

Organisationselementen ohne manuellen

Aufwand.

Generierung aller Rollen für eine neue

Organisation (z.B. Buchungskreis oder

Werk).

Generierung der Ableitungen einer neuen

Rolle für alle Organisationen oder

selbstdefinierten Orgebenen.

Neugenerierung aller Ableitungen nach

Anpassungen an einer Masterrolle oder

Zwecks Bereinigung manueller Anpassungen an

Ableitungen in den Zielsystemen.

Massenzuordnung Die AM-Massenzuordnung generiert die

Berechtigungszuordnung für alle selektierten

User und Systeme ohne

manuellen Aufwand .

Initialmassenzuordnung für ein neues System

(basierend auf bereits vorhandenen Zuordnungen

im AM oder im Sinne einer Datenmigration aus

einer Excel Datei).

Massenzuordnung für die User einer neuen

Organisation in einem bestehenden System.

Neugenerierung der Berechtigungszuordnungen

Zwecks Bereinigung manueller Anpassungen an

Zuordnungen in den Zielsystemen.

Massentransport Der AM-Massentransport importiert die

Berechtigungsobjekte ohne manuellen Aufwand in die

relevanten Zielsysteme.

Massenarchivierung / -restore

Die AM-Massenarchivierung stellt sicher, dass Rollen

gelöscht und wiederhergestellt werden können.

Rollouts, Reorganisations, Mergers & Acquisitions

Unsere Softwareprodukte sind Zusatzmodule für SAP

oder Frontendapplikationen mit SAP-Integration. Wie

fokussieren auf das IT Service Management (ITSM) und

das Interne Kontrollsystem (IKS).

Im Bereich ITSM decken wir vom Service Design über

die Kalkulation, die Vereinbarung und das Reporting bis

zur Verrechnung alle „kundenorientierten“ Prozesse ab.

Auch der Betrieb des Access– und Identity

Managements, des User Logins und der Netzwerk-

sicherheit werden durch unsere Softwareprodukte

optimal unterstützt. Die typischen Anwender sind IT-

Organisationseinheiten und Shared Services

Centers.

Das IKS wird durch unsere Werkzeuge bei der

Definition der Vorgaben (Risiken) und bei der Prüfung

der Einhaltung (Compliance) unterstützt. Dabei decken

wir neben den

manuellen und automatischen Kontrollen auf

Prozessebene auch die generellen

IT-Kontrollen ab. Die typischen Anwender sind externe

und interne Revisoren oder IKS- und

Prozessverantwortliche.

unsere Softwareprodukte

Version 2015/1

SUIM GmbH Chemin du Marguery 15 1802 Corseaux, Switzerland www.suim.ch info@suim.ch