SAP jogosultságkezelés alapjai: Fontos tranzakciók és használatuk (1. rész)

Az SAP rendszerek jogosultságkezelése kulcsfontosságú a vállalati adatok és folyamatok biztonságos, ugyanakkor hatékony működtetéséhez. Ebben a blogban áttekintjük az SAP jogosultságkezelés alapjait, legfontosabb elemeit, különös tekintettel a PFCG tranzakcióra, az authorization object-ekre, az AUTHORITY-CHECK mechanizmusra, valamint a szerepkoncepciókra, beleértve a szülő-gyerek szerepek kapcsolatát. Ezenkívül bemutatjuk az AGR_1251 és AGR_1252 táblákat, amelyek kulcsszerepet játszanak a szerepekhez rendelt jogosultságok és azok részleteinek lekérdezésében, így hasznos eszközök lehetnek a jogosultsági elemzések és auditok során.

Mi az SAP jogosultságkezelés?

Az SAP rendszerek jogosultságkezelése kulcsfontosságú a vállalati adatok és folyamatok biztonságos, ugyanakkor hatékony működtetéséhez. Ebben a blogban áttekintjük az SAP jogosultságkezelés alapjait, legfontosabb elemeit, különös tekintettel a PFCG tranzakcióra, az authorization object-ekre, az AUTHORITY-CHECK mechanizmusra, valamint a szerepkoncepciókra, beleértve a szülő-gyerek szerepek kapcsolatát. Ezenkívül bemutatjuk az AGR_1251 és AGR_1252 táblákat, amelyek kulcsszerepet játszanak a szerepekhez rendelt jogosultságok és azok részleteinek lekérdezésében, így hasznos eszközök lehetnek a jogosultsági elemzések és auditok során.

• Jogosultsági objektumok: Meghatározzák, hogy egy adott tranzakcióhoz vagy funkcióhoz milyen feltételek mellett férhet hozzá egy felhasználó.

• Jogosultsági profilok: Az objektumokat és attribútumaikat összefogó csoportok.

• Szerepkörök: A felhasználókhoz rendelt profilok, amelyek az adott munkakörhöz szükséges hozzáféréseket tartalmazzák.

• Felhasználói rekordok: A felhasználó azonosító adatait és szerepköreit tartalmazza.

A legfontosabb jogosultságkezelési tranzakciók

SU01 – Felhasználókezelés (User Maintenance)

A SU01 az egyik legfontosabb tranzakció, mivel ezzel lehet:

• új felhasználókat létrehozni,
• módosítani az adatokat (név, e-mail, beállítások),
• jelszót állítani vagy zárolni a felhasználót,
• szerepköröket és jogosultsági profilokat rendelni a felhasználókhoz.

Használati példa: Ha egy új alkalmazott csatlakozik a vállalathoz, az SAP adminisztrátor ezzel a tranzakcióval hozza létre és állítja be az SAP hozzáférését.

Miután létrehoztuk a felhasználót az SU01 tranzakcióban, a következő lépés a megfelelő jogosultságok hozzárendelése. Az egyéni jogosultságok manuális beállítása helyett az SAP szerepkör-alapú jogosultságkezelést használ, amelynek központi eszköze a PFCG. Nézzük meg, hogyan hozhatunk létre és kezelhetünk szerepköröket a felhasználók számára!

PFCG – Szerepkörök kezelése (Role Maintenance)

A PFCG (Profile Generator) tranzakció az SAP jogosultságkezelés egyik legfontosabb eszköze. Ezzel lehet szerepköröket (roles) létrehozni, karbantartani és kiosztani a felhasználók számára. A szerepkörök határozzák meg, hogy egy adott felhasználó milyen tranzakciókat és jogosultsági objektumokat érhet el a rendszerben.

Milyen feladatokat végezhetünk a PFCG-vel?

• Új szerepkör létrehozása: Meghatározhatjuk, milyen tranzakciók tartoznak egy adott szerepkörhöz.
• Jogosultsági objektumok beállítása: Az SAP automatikusan hozzárendeli a szükséges jogosultsági objektumokat, de ezeket finomhangolhatjuk.
• Felhasználók hozzárendelése: A szerepkörökhöz felhasználókat adhatunk hozzá, így nem kell egyenként állítgatni a jogosultságokat.
• Meglévő szerepkörök másolása és módosítása: Ha egy új szerepkör hasonlít egy meglévőhöz, azt könnyedén lemásolhatjuk és módosíthatjuk.
• Jogosultsági profilok generálása: Az SAP a szerepkörökből profilokat hoz létre, amelyeket a rendszer ténylegesen használ a jogosultságok ellenőrzésére.

Egy szerep tartalmazhat:

• tranzakciókat (pl. VA01 – Értékesítési rendelés létrehozása),
• jogosultsági objektumokat és azok mezőértékeit,
• felhasználói menüket, amelyek megkönnyítik a napi munkavégzést.

Használati példa:
Egy vállalat pénzügyi osztályának különböző munkakörökre van szüksége (pl. könyvelő, pénzügyi vezető). A PFCG segítségével létrehozhatunk külön szerepköröket ezekhez a feladatkörökhöz, így mindenki csak a számára releváns funkciókat érheti el.

Szervezeti szintek (Org Levels)

A szervezeti szintek (pl. vállalati kód, üzem) különleges mezők, amelyek megkönnyítik a jogosultságok kezelését. Ezeket a PFCG-ben található „Org Level” gombbal lehet beállítani. A szervezeti szintek értékei automatikusan alkalmazhatók minden olyan jogosultsági objektumra, amely igényli ezeket az adatokat.

Jogosultsági objektumok és mezők

A jogosultsági objektumok (authorization objects) olyan elemek, amelyek csoportosítják a kapcsolódó jogosultsági mezőket. Például az S_TCODE objektum határozza meg, hogy egy felhasználó mely tranzakciókat érheti el. A mezők (pl. ACTVT – tevékenység) határozzák meg az engedélyezett műveleteket (pl. olvasás: 03, módosítás: 02).

AUTHORITY-CHECK

Az AUTHORITY-CHECK parancsot ABAP programokban használják annak ellenőrzésére, hogy egy felhasználó rendelkezik-e a szükséges jogosultságokkal. Példa:

Ez a kód ellenőrzi, hogy a felhasználó rendelkezik-e a VA01 tranzakció futtatásához szükséges jogosultsággal.

Szerepkoncepció: szülő-gyerek szerepek

Szülő-gyerek kapcsolat

A szülő-gyerek szerepkoncepció célja az adminisztráció egyszerűsítése nagyvállalati környezetben. A szülőszerep tartalmazza az általános jogosultságokat (pl. tranzakciókat), míg a gyerekszerepek öröklik ezeket, de egyedi szervezeti szint értékekkel egészíthetők ki (pl. különböző országok vállalati kódjai).

Szülőszerep létrehozása:

1. Hozzon létre egy szülőszerepet a PFCG-ben.
2. Adja hozzá az általános tranzakciókat és jogosultsági objektumokat.
3. Hagyja üresen a szervezeti szint mezőket.

Gyerekszerep létrehozása:

1. Hozzon létre egy új szerepet.
2. Állítsa be a szülőszerepet az „Inheritance of transactions” mezőben.
3. Adja meg a gyerekszerephez szükséges szervezeti szint értékeket.

Ezáltal bármilyen változás a szülőszerepben automatikusan öröklődik minden gyerekszerepre.

Jogosultságkezelési koncepció kialakítása

Egy jól megtervezett jogosultságkezelési koncepció elengedhetetlen. Kialakításához javasolt:

• Szülő-gyerek szerepek kiosztása az egyszerűség végett.
• Manuális beavatkozás minimalizálása a szervezeti szintű mezők használatával.
• Jogosultsági adatok rendszeres ellenőrzése és frissítése.

AGR_1251 és AGR_1252 táblák

Az AGR_1251 és AGR_1252 táblák kiemelése kulcsfontosságú, mivel ezek alapvető funkciót látnak el az SAP rendszer szerepköreinek és jogosultságainak kezelésében.

AGR_1251: Jogosultsági adatok szerepkörökhöz

Az AGR_1251 tábla részletes információkat tárol a szerepkörökhöz tartozó jogosultsági objektumokról és azok értékeiről. Ez az egyik legfontosabb tábla a szerepkörök konfigurációjának megértéséhez.

• Funkciója: A szerepkörökhöz rendelt jogosultsági objektumokat, mezőket és ezek értékeit tartalmazza.
• Fontos mezők:
  • MANDT: Ügyfél azonosító.
  • AGR_NAME: Szerepkör neve.
  • OBJECT: Jogosultsági objektum.
  • AUTH: Jogosultság neve.
  • FIELD: Jogosultsághoz tartozó mező neve.
  • LOW és HIGH: Jogosultsági értékek tartománya (pl. hozzáférési szintek).
• Felhasználási területek:
  • Annak elemzése, hogy egy szerepkörhöz milyen jogosultsági objektumok vannak hozzárendelve.
  • Mezőszintű jogosultságok ellenőrzése szerepkörökben.
  • Hozzáférési problémák auditálása vagy hibakeresése hiányzó, vagy hibás jogosultságok azonosításával.

Például, ha szeretnéd meghatározni, hogy egy felhasználó milyen tranzakciókhoz férhet hozzá egy adott szerepkör által, az AGR_1251 tábla OBJECT és AUTH mezői segítségével megtalálhatod a releváns jogosultsági objektumokat és azok paramétereit.

AGR_1252: Szervezeti elemek a jogosultságokhoz

Az AGR_1252 tábla a szervezeti szintű adatokat tárolja a jogosultságokon belül. Ez különösen hasznos olyan szerepkörök kezelésénél, amelyek szervezeti korlátozásokat tartalmaznak.

• Funkciója: Szervezeti szintekre (pl. vállalatkódokra, beszerzési csoportokra) vonatkozó információkat tárol a szerepkörökhöz kapcsolódóan.
• Fontos mezők:
  • MANDT: Ügyfél azonosító.
  • AGR_NAME: Szerepkör neve.
  • VARBL: Szervezeti szint változója (pl. $BUKRS vállalatkódhoz).
  • LOW és HIGH: Tartományértékek a szervezeti szintekhez.
• Felhasználási területek:
  • A szerepkörökhöz kapcsolt szervezeti korlátozások azonosítása.
  • A feladatok megfelelő elkülönítésének (SoD) biztosítása azáltal, hogy a szerepkörök meghatározott szervezeti egységekre korlátozódnak.

Például, ha egy szerepkörnek csak egy adott vállalatkód adataihoz kell hozzáférést biztosítania, akkor a megfelelő változó (VARBL) és érték (LOW) ebben a táblában kerül meghatározásra.

Összegzés

Az SAP jogosultságkezelése kulcsszerepet játszik egy vállalat adatainak védelmében és hatékony működésében. A PFCG tranzakcióval létrehozható és karbantartható szerepek, valamint az AUTHORITY-CHECK mechanizmusok biztosítják, hogy csak megfelelő felhasználók férjenek hozzá kritikus adatokhoz és funkciókhoz. A szülő-gyerek szerepkoncepció pedig jelentős időmegtakarítást eredményezhet nagyvállalati környezetben. Emellett az AGR_1251 és AGR_1252 táblák is fontos szerepet töltenek be a jogosultságok ellenőrzésében és auditálásában, mivel segítségükkel könnyen lekérdezhetők és elemezhetők a szerepkörökhöz kapcsolódó jogosultsági beállítások.

A blog folytatásában a jogosultsági hibák elemzését, az audit megfelelőséget, és az egyéb haladó témákat is ismertetem.

Felhasznált irodalom:

Understanding SAP Authorization – SafePaaS

SAP Library – Identity Management