Omdat SAP_ALL zó 2004 is.
Veel organisaties worstelen nog steeds met de invulling van hun SAP-autorisatieconcept. Het is een grote uitdaging om het simpel, functioneel maar met name beheersbaar én transparant te houden.
Transparantie is ook gevraagd in geval van een externe auditing. Ook dient het beschermen van vertrouwelijke informatie alsmede Segregation Of Duty (SOD) en ongeautoriseerd gebruik van taakrollen een prominente plaats in het gelaagde SAP- autorisatieconcept te verkrijgen. Elk rollen concept binnen SAP is een dynamisch geheel. Je voegt steeds stukjes autorisatie toe, wijzigt en verwijdert ze. Indien “de nood aan de man” is, bijvoorbeeld bij een high priority change, stapt men vanwege de geboden snelheid vaak over op een nood-user.
Ga voor een TOF model!
Een nood-user is een user met héel erg veel rechten, voor een gelimiteerde periode, meestal FireFighter of SAP_ALL.
Met name met SAP_ALL heeft men alle rechten en is ook, tijdelijk, in staat een onbeveiligde achterdeur in te bouwen. Controle en verantwoording van wijze van gebruik van SAP_ALL, achteraf wordt helaas in de praktijk zelden gedaan.
Dit is een van de reden waarom newITera nadrukkelijk stuurt om SAP_ALL te vervangen door het TOF-model. Het TOF Model (Transacties Objecten
Functiebouwstenen) werkt niet met het opbouw principe maar het afbouw principe. Het is een SAP_ALL-autorisatie met zeer specifieke uitsluitingen. Voor financiële organisaties is dit TOF-model
min of meer een must! Hiermee kunnen hoge rechten worden uitgegeven met uitzondering van zeer specifieke gevaarlijke rechten.
Vervang je SAP_ALL voor;
Technische SAP_ALL. Zonder users, rollen, Financiële transacties en andere business operaties; de beheerders kunnen dus geen geld over maken;
Functionele SAP_ALL. Alle functionele rechten zonder users, rollen, customizing wijzigen, systeem open zetten, RFC verbindingen, Database; defunctioneel beheerders kunnen het systeem niet veranderen of een backdoor user aanmaken.
Lokale functionele SAP_ALL. Ongevoelig voor overname door een ander systeem. Kan gebruikt worden als batch user;
Gesegmenteerde functionele SAP_ALL. Functionele SAP_ALL voor maar een enkel bedrijf. Wordt vaak toegepast voor een firefighter voor éen enkel bedrijf.
Interface SAP_ALL. Voor interfaces. Er kunnen geen transacties worden uitgevoerd, alleen functiebouwstenen.