Workshop SAP GRC AC Představení SAP GRC Access Control Josef Piňos, CONSIT s.r.o

Workshop SAP GRC AC - 18.6.2009 Představení SAP GRC Access Control Josef Piňos, CONSIT s.r.o.

Představení SAP GRC Access Control


Aplikace SAP GRC AC se obsluhuje v prostředí SAP Portál.




Technicky se jedná o samostatně instalovaný NetWeaver 2004s + GRC AC s propojením na ostatní systémy (SAP ERP 4.6 – 6.0, možno i ORACLE, Peoplesoft,..).




SAP GRC AC obsahuje čtyři hlavní komponenty:  Analýza a eliminace rizik (Risk Analysis And Remediation)  Podniková správa rolí (Enterprise Role Management)  Konformní zakládání uživatelů (Compliant User Provisioning)  Správa privilegií superusera (Superuser Privilege Management)

Představení SAP GRC Access Control

SAP GRC AC – Analýza a eliminace rizik


Základem pro vyhodnocení konfliktních oprávnění je soubor pravidel s následující strukturou:    

Riziko – potenciální možnost zneužití oprávnění v informačním systému (Kdo pořizuje fakturu nesmí měnit dodavatele) Funkce – oblast činností (Účtování přijaté faktury) Pravidlo – kritické kombinace akcí a povolení, které způsobují riziko (vzájemné kombinace transakcí) V GRC AC jsou definovány 3 typy rizik: 1. 2. 3.

Rozdělení kompetencí (Segregation of Duties) Kritická akce (transakce) Kritické povolení (autorizační objekty a jejich hodnoty)

SAP GRC AC – Analýza a eliminace rizik

SAP GRC AC – Analýza a eliminace rizik

SAP GRC AC – Analýza a eliminace rizik

SAP GRC AC – Analýza a eliminace rizik








Analýzy rizik na úrovni rolí, uživatelů, profilů, HR objektů. Automatizovaný audit oprávnění v reálném čase. Simulace dopadů plánovaných změn rolí a přístupů uživatelů. Správa kompenzačních kontrol a přiřazení rolím resp. uživatelům. Přehledné reporty (tabulky, grafy) kombinující různé úhly pohledu (manažerský i detailní z pohledu autorizačních objektů). Možnost doplnění databáze pravidel jako základny pro vyhodnocení (doplnit Z transakce, změnit úroveň rizika). Automatické výstrahy – upozornění na kritické kombinace transakcí (kdo, v kterém čase, na jakém počítači použil kritické kombinace transakcí).

SAP GRC AC – Analýza a eliminace rizik

SAP GRC AC – Podniková správa rolí





Správa rolí (zakládání, změna) s využitím automatické kontroly z pohledu rozdělení kompetencí. Workflow v procesu schvalování změn rolí, přehled o stavu změnového procesu. Nástroj pro centrální správu rolí a následné automatické generování změněných nebo nově založených rolí. Umožnění auditu provedených změn v rolích.

SAP GRC AC – Podniková správa rolí

SAP GRC AC – Podniková správa rolí

Podniková správa rolí – příklad workflow












Garant nebo metodik vytvoří požadavek na změnu nebo vytvoření nové role na základě žádosti oprávněného manažera. IT specialista provede požadovanou úpravu resp. založení role. Role je vygenerována prostřednictvím GRC AC nebo přímo přes transakci PFCG v SAP ERP systému. Nová, případně modifikovaná role prochází bezpečnostním testem aplikace GRC Access Control. Jestliže při testu role nebyly nalezeny konflikty, je odeslána ke schválení garantem. V případě konfliktů je možno žádost zamítnout nebo aplikovat kompenzační kontroly. Role je dokončena a může být využita k přidělení uživateli. Celý proces je automatizován bez nutnosti použití klasických „papírových“ formulářů žádosti a zdlouhavého schvalování.

GRC AC – Konformní zakládání uživatelů









Automatizovaná aplikace s „workflow“ pro schvalování oprávnění uživatelů. Po podání žádosti o oprávnění GRC AC vyhodnotí riziko z pohledu SoD a následně elektronicky odešle požadavek nadřízené osobě ke schválení nebo zamítnutí požadavku žadatele nebo navrhne aplikaci kompenzační kontroly. Proces schvalování je maximálně usnadněn tím, že GRC AC „online“ prověřuje, zda jsou oprávnění, o které uživatel žádá, konfliktní nebo nikoli a upozorní na to schvalovatele. Workflow v procesu schvalování změn rolí poskytuje přehled o aktuálním stavu změnového procesu. Možnost využití GRC AC funkcionality při volání z jiných aplikací jako například IDM apod.

GRC AC – Konformní zakládání uživatelů

GRC AC – Konformní zakládání uživatelů

SAP GRC AC – Správa privilegií superusera








Při běžném provozu SAP ERP systému mohou nastat situace, kdy je uživatel nucen řešit mimořádné situace s využitím oprávnění, které nemá ve standardním profilu. K tomu slouží SAP GRC AC komponenta Správa privilegií superusera. V takovém případě může uživatel prostřednictvím zmíněné functionality použít běžně nedostupná oprávnění a transakce, například změnit údaje v kmenovém záznamu dodavatele aj. Veškerá činnost uživatele je v tento okamžik plně monitorována prostřednictvím aplikace SAP GRC AC a umožňuje nadřízeným uživatele kdykoliv zpětně dohledat, co v rámci mimořádné situace v systému prováděl, proč a posoudit, jestli byl zásah oprávněný.

SAP GRC AC – Správa privilegií superusera

SAP GRC AC – Správa privilegií superusera

Workshop SAP GRC Access Control Referenčním zákazníkem využívajícím přínosy aplikace SAP GRC Access Control verze 5.3 je společnost Letiště Praha, a.s. O zkušenostech z implementace blíže pohovoří v závěrečném bloku dnešního workshopu kolega Vít Veselý.

Konec teoretické části… Děkuji za Vaši pozornost Ing. Josef Piňos CONSIT s.r.o. [email protected] +420 777 791 971

Analýza a eliminace rizik - ukázka


Manažerský pohled na stav rizik na úrovni všech uživatelů v jednom ze systémů a přehledem přes procesy.




Analýza uživatele NÁKUPČÍ, ukázka kompenzovaných rizik.




Analýza vybrané role ZMM_PURCHASER_M_W – bez rizik.




Simulace dopadu přidání transakce ME29N do této role.




Výstrahy – kdo, kdy a jak použil kritické kombinace transakcí.




Výstražný monitor – kritické akce.

Správa privilegií superusera - ukázka


Uživatel ÚČETNÍ se pokusí účtovat v SAP ERP systému doklad do období květen 2009.




Období je už uzavřeno, systém to nepovolí. ÚČETNÍ se pokusí otevřít období květen 2009 pro účtování – nemá ale oprávnění.




ÚČETNÍ využije funkcionality GRC AC, přihlásí se přes nouzový přístup, otevře účetní období.




Dokončí účtování rozpracovaného dokladu, opět uzavře otevřené období.




Operace je dokončena, účet pro nouzový přístup je uvolněn pro další použití. V GRC AC je zaznamenáno využití nouzového přístupu včetně všech podrobností.

Konformní zakládání uživatelů - ukázka


Příklad třístupňového schvalovacího procesu.




REFERENT vytvoří požadavek na založení nového zaměstnance. Navrhne přidání tří rolí (podle už existujícího uživatele).




MANAGER částečně schvaluje požadavek (dvě role ano, třetí ne).




ROLEOWNER schvaluje požadavek tak, jak přišel od managera.




SECURITY provede analýzu rizik. Přiradí kompenzační kontroly.




Nový uživatel je automaticky založen do SAP ERP systému.

Podniková správa rolí - ukázka









Uživatel ROLEMANAGER vytváří novou roli pro založení kmenového záznamu dodavatele. Založí jednu hlavní (master) roli MD_MD01_FK_M, která obsahuje transakce FK01, FK02, FK04, FK05, FK06 a role je bez omezení na organizační úrovni´=> účetní okruh (firma) = *. Provede údržbu oprávnění prostřednictvím SAP ERP (transakce PFCG). Potom v GRC AC vytvoří dvě odvozené (derivované) role omezené na organizační úrovni na konkrétní účetní okruhy. Následně provede analýzy rizik a odešle ke schválení uživateli ROLEOWNER. Po schválení je role generována a on-line synchronizována se SAP ERP systémem.

Jednorázová analýza přes GRC AC





Jako součást pre-sales aktivit je vybraným klientům nabízena možnost provedení jednorázové analýzy stavu oprávnění v jejich SAP ERP systému. Princip provedení analýzy: 1. Download rolí a uživatelů ze SAP ERP systému klienta do externích souborů. 2. Upload rolí a uživatelů do CONSIT demo SAP ERP systému (samostatný klient). 3. Generování a vyrovnání rolí, profilů, přiřazení uživatelům. 4. Provedení analýzy na propojeném SAP GRC AC systému prostřednictvím základní přednastavené konfliktní matice. 5. Závěrečná zpráva včetně výstupních souborů analýzy a doporučení dalšího postupu pro odstranění konfliktů. 6. Závěrečný workshop s klientem spojený s předáváním výsledků analýzy.