Because SAP_ALL is so 2004.
Many organizations are still struggling with the implementation of their SAP authorization concept. It is a major challenge to keep it simple, functional, but above all manageable and transparent.
Transparantie is ook gevraagd in geval van een externe auditing. Ook dient het beschermen van vertrouwelijke informatie alsmede Segregation Of Duty (SOD) en ongeautoriseerd gebruik van taakrollen een prominente plaats in het gelaagde SAP- autorisatieconcept te verkrijgen. Elk rollen concept binnen SAP is een dynamisch geheel. Je voegt steeds stukjes autorisatie toe, wijzigt en verwijdert ze. Indien “de nood aan de man” is, bijvoorbeeld bij een high priority change, stapt men vanwege de geboden snelheid vaak over op een nood-user.
Go for a TOF model!
An emergency user is a user with very many rights, for a limited period, usually FireFighter or SAP_ALL.
With SAP_ALL in particular, one has all rights and is also able, temporarily, to build in an unsecured back door. Checking and accountability for the use of SAP_ALL, unfortunately it is rarely done afterwards in practice.
Dit is een van de reden waarom newITera nadrukkelijk stuurt om SAP_ALL te vervangen door het TOF-model. Het TOF Model (Transacties Objecten
Functiebouwstenen) werkt niet met het opbouw principe maar het afbouw principe. Het is een SAP_ALL-autorisatie met zeer specifieke uitsluitingen. Voor financiële organisaties is dit TOF-model
min of meer een must! Hiermee kunnen hoge rechten worden uitgegeven met uitzondering van zeer specifieke gevaarlijke rechten.
Replace your SAP_ALL for;
Technische SAP_ALL. Zonder users, rollen, Financiële transacties en andere business operaties; de beheerders kunnen dus geen geld over maken;
Functionele SAP_ALL. Alle functionele rechten zonder users, rollen, customizing wijzigen, systeem open zetten, RFC verbindingen, Database; defunctioneel beheerders kunnen het systeem niet veranderen of een backdoor user aanmaken.
Lokale functionele SAP_ALL. Ongevoelig voor overname door een ander systeem. Kan gebruikt worden als batch user;
Gesegmenteerde functionele SAP_ALL. Functionele SAP_ALL voor maar een enkel bedrijf. Wordt vaak toegepast voor een firefighter voor éen enkel bedrijf.
Interface SAP_ALL. Voor interfaces. Er kunnen geen transacties worden uitgevoerd, alleen functiebouwstenen.