PL EN DE
Najlepsze praktyki zarządzania usługami SAP

Dedykowana organizacja serwisowa SNP zapewnia jakość i ciągłość obsługi kontraktów SAP Managed Services. Pracujemy w oparciu o standardy ISO 20000 i ISO 27001. Posiadamy certyfikat PCoE - SAP Partner Center of Expertise.

SNP Poland to lider rynku usług SAP w Polsce.
Zapewniamy pełen zakres wdrożeń, rozwoju i utrzymania systemów SAP. Dostarczamy usługi bezpieczeństwa IT i rozwoju oprogramowania. Do 2017 roku działaliśmy jako BCC.

Jesteśmy częścią Grupy SNP – wiodącego światowego dostawcy rozwiązań do transformacji środowisk SAP.

Od 1995 roku zrealizowaliśmy z sukcesem setki projektów IT w Polsce i kilkudziesięciu innych krajach.

"Lepszy Biznes" to magazyn klientów SNP. Czytaj setki artykułów, przydatnych w przygotowaniu i realizacji projektów IT.

Nasi eksperci przedstawiają najciekawsze rozwiązania i nowości ze świata IT.

Zobacz archiwum nagrań z webinarów, zarejestruj się na kolejne edycje.

Dlaczego uważamy, że SNP Poland jest dobrym pracodawcą? Bo łączymy cechy rzadko spotykane w jednej organizacji - duże możliwości rozwoju, a zarazem dobrą atmosferę i elastyczność środowiska pracy. Dowiedz się więcej, na czym to polega w praktyce!

Uprawnienia w systemach SAP

Role: reorganizacja, tworzenie, utrzymanie

Udostępnij
Drukuj:
Zmiany w firmowym SAP to nie tylko dodawanie nowych funkcji czy rozszerzeń. Często zmiana wiąże się z reorganizacją zakresu obowiązków na stanowiskach pracy, przydzielaniem (również czasowym) nowych obowiązków, rozdzielaniem zadań pomiędzy pracowników w różnych działach. Po kilku latach funkcjonowania i modyfikowania SAP ERP warto przyjrzeć się systemowi uprawnień, by nie zatracić klarowności podziału ról biznesowych i nie pozostawiać zbyt szerokich uprawnień osobom niepowołanym.
 

Od strony technicznej tworzenie uprawnień w systemach SAP jest względnie prostą operacją. Jeśli wiemy, do jakich transakcji/programów chcemy nadać uprawnienia, oraz jakie mają być ograniczenia, stworzenie odpowiedniej roli nie wydaje się skomplikowane. Obraz staje się jednak mniej czytelny, kiedy spojrzymy na uprawnienia z perspektywy całego systemu.

W złożonych funkcjonalnie systemach jak rozwiązania SAP kluczowe jest takie zaprojektowanie siatki uprawnień, aby możliwe było przejrzyste ich przypisywanie do odpowiednich stanowisk (użytkowników). Wyzwaniem jest pogrupowanie uprawnień w rolach w taki sposób, aby możliwe było ich wielokrotne wykorzystanie, przy jednoczesnym uwzględnieniu faktu, że uprawnienia pojedynczych użytkowników często nieznacznie się różnią (co komplikuje grupowanie).

Na przykład wszyscy pracownicy zatrudnieni na stanowisku specjalisty ds. administracji kadrami korzystają z tego samego zbioru ról, a dodatkowo dla wybranego pracownika uprawnienia mogą być rozszerzone do funkcjonalności zarządzania czasem pracy lub zakładowym funduszem świadczeń socjalnych.

W całym procesie bardzo istotne jest również podejście do późniejszych zmian uprawnień (tworzenie nowych bądź modyfikacja istniejących ról). Częste zmiany uprawnień, niejednokrotnie ad hoc, wykonywane w oderwaniu od początkowej koncepcji, powodują, że po kilku latach użytkowania stwierdzamy, że użytkownicy posiadają znacznie szersze uprawnienia niż powinni. Dodatkowo, ze względu na wprowadzane zmiany, zaciera się definicja konkretnych ról. Skutkuje to np. dużą ilością konfliktów, kiedy wprowadzamy zasady SoD (Segregation of Duties) i zwiększa się ryzyko nieautoryzowanego dostępu do danych.

Poniżej prezentujemy podstawowe zasady, które warto wziąć pod uwagę przy tworzeniu bądź reorganizacji uprawnień w systemach SAP.

Analiza aktywności

Pierwszym i najbardziej istotnym krokiem przy tworzeniu lub reorganizacji uprawnień jest zebranie pełnych informacji o aktywności użytkowników w systemie. Informacje, jakie transakcje, programy wykorzystywane są na danym stanowisku, jakie są ograniczenia (np. jednostka gospodarcza, kanał sprzedaży itp.) są kluczowe.

Takie informacje powinny się znajdować np. w dokumentacji procesów biznesowych. Jeśli obawiamy się, że nasza dokumentacja nie jest kompletna i aktualna, to możemy takie informacje zebrać od użytkowników kluczowych.

Pomocne mogą być również narzędzia zbierające informacje o aktywności użytkowników, takie jak:

  • ST01 – System Trace,
  • SM20 – Security Audit Log.

Fragment logu security dla użytkownika BCCBASIS

Finalnie powinniśmy dysponować arkuszem, który opisuje aktywności wszystkich użytkowników na poszczególnych stanowiskach. Ze względu na dużą liczbę informacji arkusze warto podzielić np. ze względu na moduły (jeden arkusz dla każdego modułu).

Przykładowy fragment arkusza aktywności/uprawnień

Grupowanie autoryzacji w rolach

Kiedy zgromadziliśmy już komplet informacji o aktywności użytkowników z danego modułu, możemy przystąpić do grupowania autoryzacji w role. Jeśli dysponujemy dobrze przygotowanym arkuszem, jest to relatywnie proste. Możemy wizualnie ocenić, które transakcje można zgromadzić w jednej roli, tak aby można ją było wykorzystać na kilku stanowiskach.

Grupowanie transakcji w role

Jak łatwo zauważyć, w przykładzie zamieszczonym w arkuszu powyżej wystarczy utworzyć trzy role. Oczywiście nie zawsze sytuacja będzie tak przejrzysta, może się zdarzyć, że na określonych stanowiskach wymagany będzie dostęp do pojedynczych transakcji i wtedy zmuszeni będziemy utworzyć większą liczbę „drobnych” ról.

Na tym etapie powinniśmy tworzyć role jako role pojedyncze. Ewentualnie możemy również wykorzystać role pochodne (derived roles), w sytuacji kiedy np. na kilku stanowiskach mamy takie same aktywności (transakcje/programy), a różnice polegają na ograniczeniach takich jak np. inne jednostki gospodarcze. Wykorzystanie ról pochodnych pozwoli nam łatwiej modyfikować role w przyszłości.

W kolejnym kroku opisujemy nasze role tak, aby możliwe było ich łatwe utworzenie w systemie. Ponieważ pojedyncza rola może zawierać dziesiątki obiektów autoryzacji, warto przyjąć założenie, że na arkuszu umieszczamy tylko te informacje, które są niezbędne do utworzenia roli. Pomijamy obiekty autoryzacji, których nie wypełniamy (mają standardowe wartości), jak również te, które mają pełne uprawnienia (*). Wszystkie obiekty, które nie mają wartości, oraz te, które modyfikujemy (zmieniamy standardową wartość), powinny się znaleźć na arkuszu.

Tak przygotowany arkusz pozwoli na utworzenie w systemie ról pojedynczych przez osobę, która niekoniecznie musi być zaangażowana w projekt tworzenia uprawnień.

Arkusz ról

Przypisanie uprawnień użytkownikom

Przygotowane role pojedyncze najlepiej zgrupować w role złożone. Takie podejście zdecydowanie ułatwia przypisywanie uprawnień użytkownikom.

Rekomendujemy, aby jedna rola złożona odpowiadała stanowisku. W ten sposób przypisanie uprawnień do użytkownika wymaga przypisania tylko jednej roli (role pojedyncze zostaną przypisane pośrednio przez rolę złożoną).

Fragment arkusza ról złożonych

Podział obowiązków

Tworząc uprawnienia, warto pamiętać o podziale obowiązków (Segregation of Duties). Mając przygotowane odpowiednie macierze konfliktów, możemy, już na etapie analizy aktywności, sprawdzać, czy przypisane do stanowiska aktywności nie kolidują ze sobą.

Po utworzeniu ról w systemie SAP proces sprawdzania konfliktów SoD możemy zautomatyzować, korzystając z dodatkowych narzędzi, takich jak SAP GRC lub narzędzia firm trzecich, albo posiłkować się rozwiązaniami, które są dostępne w systemie, takimi jak funkcjonalność analizy krytycznych kombinacji (raport RSUSR008_009_NEW).

Niestety, przygotowanie odpowiednich definicji krytycznych autoryzacji, a następnie pogrupowanie ich w odpowiednie kombinacje odpowiadające konfliktom, wymaga sporego nakładu pracy.

O czym warto pamiętać

Realizując projekt reorganizacji czy tworzenia uprawnień, warto pamiętać o kilku podstawowych zasadach.

  • Właściwe zaprojektowanie ról wymaga wiedzy z danego obszaru/modułu SAP, dlatego do projektu warto zaangażować osoby, które znają specyfikę danego obszaru (np. użytkowników kluczowych lub konsultantów modułowych).
  • Jeśli role nie zostały dobrze zaprojektowane, to suma uprawnień z kilku ról może pozwolić użytkownikowi na szerszy dostęp, niż pierwotnie zakładaliśmy.
  • Nowo utworzone role powinny zostać przetestowane. Jako scenariusz testów możemy wykorzystać arkusz aktywności.
  • W przypadku problemów do analizy warto wykorzystać zbiór raportów dostępnych z tr. SUIM. Za ich pomocą możemy wyszukać określone informacje (role, użytkowników, przypisania itp.), jak również prześledzić zmiany wprowadzane w uprawnieniach, korzystając z dokumentów zmian.
  • Tworzone role powinny mieć spójne, czytelne nazwy, tak aby łatwo można było je identyfikować i kojarzyć, czego dotyczą.

Jeśli mamy do czynienia z systemami, na których zdefiniowano wiele mandantów, to warto rozważyć konfigurację centralnego zarządzania użytkownikami (CUA), aby usprawnić przypisywanie uprawnień do użytkowników (zamiast wykonywać ją na każdym mandancie osobno, możemy realizować centralnie, z jednego miejsca).

Lepszy Biznes

magazyn klientów SNP

Przejdź do bazy artykułów
Udostępnij
Drukuj:

Nasza oferta

Nasze referencje

Poradniki

Aktualności

Formularz kontaktowy





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Napisz maila lub zadzwoń

E-mail: office.pl@snpgroup.com
Tel. 61 827 7000

SNP Poland Sp. z o.o.

Centrala:
Złotniki, ul. Krzemowa 1
62-002 Suchy Las k. Poznania

Skontaktuj się z nami

W czym możemy pomóc?
Napisz do nas
Wyślij email
Zadzwoń





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Kontakt ogólny do firmy
office.pl@snpgroup.com

Pytania o produkty i usługi
info.pl@snpgroup.com

Pytania na temat pracy i staży
kariera@snpgroup.com

61 827 70 00

Biuro jest czynne
od poniedziałku do piątku
w godz. 8:00 – 17:00