AccessConnector

Duidelijk rolbeheer

AccessConnector laat u toe uw SAP users en rollen te monitoren op Segregation of Duties (SoD) conflicten. Dankzij de workflow met SoD simulatiefunctie kunt u tevens preventief optreden bij wijzigingen in rollen en gebruikers.

In de SoD Master Data Tool worden de Segregation of Duties (SoD) conflicten gedefinieerd. Dit is een set aan conflicterende activiteiten waarop wil monitoren. Een activiteit wordt gedefinieerd als een set van autorisatie objecten met waarden + transacties die nodig zijn om de activiteit te kunnen uitvoeren.

Met SoD Monitoring “get clean” kunnen rapportages gedraaid worden van alle SoD conflicten die aanwezig zijn binnen enkelvoudige rollen, binnen samengestelde rollen en binnen users. Op basis van de output van deze rapportages kunnen conflicten daar waar mogelijk maximaal opgeschoond worden door de rollen of rol-user toekenning te wijzigen. Voor conflicten die niet opgeschoond kunnen worden omwille van organisatorische redenen kan een mitigating control gedefinieerd en toegewezen worden.

Met Workflow “stay clean” kunnen aanvragen voor nieuwe gebruikers of wijzigingen in de roltoewijzing van bestaande gebruikers worden ingediend. Tevens kunnen aanvragen voor wijzigingen binnen samengestelde rollen ingediend worden. De aanvrager en de goedkeurders kunnen onmiddellijk zien of er SoD conflicten zullen ontstaan naar aanleiding van de aangevraagde rollen. Er kan ingesteld worden dat een mitigating control verplicht is in gevallen waar er SoD conflicten aanwezig zijn alvorens de aanvraag goedgekeurd en doorgevoerd kan worden.

De workflow kan flexibel ingericht worden conform de behoeften van , bijvoorbeeld:

  • Stap 1: Leidinggevende voor de goedkeuring van de gebruiker en de rollen zelf.
  • Stap 2: Controller voor monitoring op SoD conflicten en toekenning van mitigating controls daar waar nodig.

Vaak hebben SAP Applicatiebeheerders uitgebreide bevoegdheden in de SAP productieomgeving. Dit is vanuit het oogpunt van interne controle niet gewenst. Via de AccessConnector Nooduser procedure kunnen SAP Applicatiebeheerders tijdelijk inloggen met een noodgebruiker waarbij alle activiteiten gemonitord worden. Na uitloggen met dit account wordt er een verslag doorgestuurd naar een verantwoordelijke ter controle.

Dus geen goedkeuring vooraf, maar een monitoring achteraf. Dit zorgt ervoor dat dezelfde flexibiliteit behouden kan worden als met SAP_ALL  op permanente basis in PRD, maar op een gecontroleerde en gemonitorde manier… en geaccepteerde manier voor de accountants.

Via de Mass Role Builder (optioneel) kunnen afgeleide rollen op basis van een set aan master rollen op een snelle en consistente manier aangemaakt en onderhouden worden. Hierbij wordt vooraf een organisatiestructuur gedefinieerd met de organisatorische waarden per organisatorische unit. Voor elke organisatorische unit kunnen vervolgens afgeleide rollen in mass worden aangemaakt waarbij de organisatorische waarden zoals gedefinieerd in de structuur overgenomen worden in de organisatorische waarden van de afgeleide rol.

Deze tool (optioneel) is voornamelijk geschikt voor gebruik tijdens de eerste weken na een go-live. Vaak zijn rollen vóór go-live gedefinieerd en op een uitgedachte manier toegewezen aan users rekening houdende met SoD conflicten en dergelijke, maar na go-live blijkt vaak dat hier en daar toch nog transacties of autorisatie objecten ontbreken bij gebruikers. Om te voorkomen dat vervolgens op een ongecontroleerde manier rollen en rol toewijzingen gewijzigd worden omdat men snel een extra transactie of autorisatieobject nodig heeft, kan een gebruiker die tegen een autorisatie probleem aanloopt, een quickfix aanvraag indienen. De ontbrekende autorisatie wordt dan automatisch tijdelijk toegekend en de quickfix wordt in een overzicht gezet. De verantwoordelijke voor autorisatiebeheer kan dit overzicht opvragen en dan op een rustige manier alle quickfixen beoordelen en een definitieve oplossing uitwerken.

Enkele van onze klanten