Segregation of Duties in SAP: a brief instruction

July 5th 2012: Instruction document is now in English!

As of SAP Web AS 6.20 the ABAP report RSUSR008_009_NEW (transaction S_BCE_68002111) has been made available in SAP.

This report combines the (quite useless!) old reports RSUSR008 and RSUSR009 and had has become a simple but reliable tool to import your SoD rule set and to report on it.

It's possible to report on sole 'authorization id' (Critical Authorizations) or on a combination of 2 different 'authorization id's' (SoD).

For both reports you can create various reporting variants and you can colorize the various results.

Reporting is only possible on userids, so when checking your authorization concept itself, it is necessary to create dummy users per role (in a development system e.g.).

The possible granularity of the checks is equal with all the existing tools on the market: apart from checking on transaction codes, you can check on every object value and adequate AND/OR operators are available.

It is not possible to downdrill in your report and to make detailed analyses of the cause of the conflict. 'Heavy users' will still have to rely on the third-party tools for detailed analysis, but when you make a start with SoD reporting this tool can be of great use!

Here you can find the SAP Help for this report.

I also made an instruction with various screenprints on how to implement critical authorizations, combinations and report variants.

How to secure PFCG & SU01 combination for SoD

I found an interesting article on SAPTechies.com on how to assign SU01 & PFCG (one in display mode of course) to the same user, but still manage to secure SoD that exists in maintaining roles and users:


After you import the correction, the ASSIGN_ROLE_AUTH switch described in note 312682 (PRGN_CUST table) is also effective in the PFCG. If you have set ASSIGN_RpE_AUTH=ASSIGN, in addition to S_USER_GRP, ACTVT=22 you only need S_USER_AGR, ACTVT=22 for the user assignment but you no longer need S_USER_AGR, ACTVT=02. However, you can no longer assign users if you only have change authorization for the role (S_USER_AGR, ACTVT=02).

Depending on the authorization you have, the system behaves as follows:

 

1. You only have authorization for the user assignment (S_USER_AGR, ACTVT=22):
   Since you are not allowed to change the role itself, first you can change to change mode after you have navigated to the "user" tab in the display mode. Provided that you are still in change mode when you exit this tab, the system automatically switches back to display mode. If you have not saved changed user assignments yet, a dialog box appears asking you whether you wan to do this. Note that the text in this dialog box appears in English if you have imported the solution using correction instructions.
2. You only have authorization to change the role (S_USER_AGR, ACTVT=02):You can change to change mode everywhere, however, you cannot change the user assignment because the corresponding fields on the "User" tab are not ready for input and the pushbuttons (Select, Delete, and so on) are missing for processing entries that already exist.
3. You have both authorizations (S_USER_AGR, ACTVT=02 and 22):
   All change options provided are available on each tab.
   If ASSIGN_ROLE_AUTH does not have the ASSIGN value (which is the default value), you need both the role as well as the S_USER_AGR, ACTVT=02 user assignment to make changes.

 More comments: 

• Basically, the two "User master comparison" and "HR Organizational Management" functions on the tab are also active in display mode. This does not result in any safety hazards because the role itself cannot be changed by these functions and the required authorizations, in particular S_USER_AGR, ACTVT=22, are always checked. However, if you want to deactivate the two functions in display mode, set the USRPROF_IN_DISP_MODE switch in the PRGN_CUST table to NO. Both pushbuttons can then no longer be selected but the status specifications (green or red traffic lights) continue to be displayed.
   
• On the "Display/change roles (activity groups)" screen of the PFCG, you can call the "Settings: Role maintenance (activity group maintenance)" the dialog box under the "Utilities" -> "Settings" menu path. There you will find the checkbox "Automatic comparison of user master when saving the role (activity group)" as the first item. When you select this field, you define that a user master comparison is performed each time a role is saved. The setting is only valid for the user who has set it (in this case, you) and only in the current client. For more information about this, also refer to note 511200.
  If the automatic user master comparison is deactivated globally (AUTO_USERCOMPARE=NO in table PRGN_CUST), you cannot make any individual changes. In this case, the checkbox as of Release 4.6C is inactive and in Release 4.6B, it is hidden altogether. In Release 4.5B, the 293(S#) error message (see above) appears instead of the "Settings: Activity group maintenance" dialog box

Source: http://www.saptechies.com/pfcg-authorization-check-with-role-assignment/

Verslag bijeenkomst over SAP GRC Access Control van 13 december 2011

Op dinsdag 13 december hadden we de laatste bijeenkomst van 2011 bij Logica in Rotterdam (gastheer was Jurgen de Kok). Deze bijeenkomst stond geheel in het teken van SAP GRC.

Helaas was Erwin Albers van SAP verhinderd wegens ziekte, maar gelukkig kon Henk Peter Wind met veel improvisatietalent een prima inhoudelijke presentatie geven over SAP GRC Access Control 10.0. Ook de klantpresentaties over SAP GRC Access Control bij L’Oreál (Jurgen de Kok) en PostNL (Bernd Mobach & Virgil Verloop) waren zeer de moeite waard.

Kijk bij Documenten voor de diverse downloads van deze presentaties (bij GRC AC 10.0 staat de presentatie die Erwin Albers had willen geven).
Tevens zijn er data gepland voor de bijeenkomsten in 2012:

·          donderdag 15 maart 2012
·          dinsdag 12 juni 2012
·          donderdag 13 september 2012
·          dinsdag 11 december 2012

Vóór de eerste bijeenkomst van 15 maart zullen we enquête versturen en daarin vragen welke onderwerpen aan de orde zouden moeten komen in 2012 en welke bijdrage jullie daaraan zouden kunnen leveren. Ook zullen we inventariseren welke locaties we zouden kunnen gebruiken.

Bron: http://t.co/Uzqv5YsB

SAP Espresso Sessies

Afgelopen donderdag zat er weer een uitnodiging in de mailbox voor de nieuwe SAP Espresso Sessies: webinars van 25 minuten waarin je wordt bijgepraat over diverse onderwerpen. In de afgelopen anderhalf jaar zijn er i.i.g. een tweetal sessies geweest die ook interessant waren voor de SAP Security community. Ik heb hierover niet bericht maar gelukkig zijn deze presentaties wel terug te kijken:

• PASSWORD MANAGEMENT MADE EASY WITH SAP (29-9-2010)
• ONTDEK DE NIEUWE TOEPASSINGEN VOOR GOVERNANCE, RISK AND COMPLIANCE (14-9-2011)

Als er in de toekomst nog meer relevante Espresso Sessie komen dan zal ik dat vanaf nu hier vooraf melden.

Useful information on how to use SU25

I was looking for instruction material for SU25 (Profile Generator: Upgrade & First Installation) and found these useful instructions:

SAP Help

Sapsecurity.info

Mariewagener.de

SAP SCN

 

Verslag VNSG Focusgroepbijeenkomst op 8 september over Basis Security

Op 8 september waren we te gast bij IVENT (MinDef) op de Frederikkazerne in Den Haag. Gelukkig was de zaal groot genoeg, want met zo’n 35 personen hadden we weer een zeer aardige opkomst. En we werden niet teleurgesteld want de presentaties waren zeer interessant en onderhoudend.

Allereerst werder we verwelkomd door Kolonel Eric Molenaar en werden we ingewijd in de wondere wereld van het project SPEER: één van de grootste SAP-implementatietrajecten in Nederland dat al bijna 10 jaar loopt en dat erg veel last heeft gehad van het enorme ambitieniveau van het Ministerie van Defensie.

Joris van de Vis & Fred van de Langenberg van ERP Security lieten op zeer overtuigende wijze zien dat SAP Security meer is dan alleen Autorisaties. Het was goed om te zien dat meerdere leden dit ook al in de praktijk uitvoeren, maar het kan niet genoeg benadrukt worden dat de focus van de autorisatiebeheerder verbreed dient te worden en vaak toch een leading rol gaan moeten spelen om ook de Basis Security te borgen, alhoewel in de uitvoering daarvan meestal ook andere specialisten ingeschakeld zullen worden.

Maaike Duchateau van Philips gaf in haar presentatie een kijkje in de keuken bij over hoe bij Philips de SAP Security notes worden beoordeeld, uitgevoerd en geïmplementeerd worden over 22 productiesystemen!

Ook gaf ze tips over hoe je een dergelijk proces (géén project) bij je eigen bedrijf kunt inrichten en hoe belangrijk het is dat alle stakeholders (management, business en IT support) het eens zijn over het belang van het tijdig implementeren van deze notes.

Al met al was het een zeer leerzame en gezellige bijeenkomst, waarbij de heerlijke zelfgebakken appelflappen van gastheer Jeen Murk natuurlijk niet onvermeld mogen blijven!

Bron: www.vnsg.nl/aut

How to monitor the use of &SAP_EDIT and how to disable it

Although the lates SAP releases have decreased the possibility to tamper with table data, there are still some loopholes that need your attention.

This fine article on home4sap.com shows you how to stay in control.