Sap grc access control что это

07.01.202408.09.2023 admin 0 Comments

Реализация бизнес-сценариев в рамках SAP GRC AC 10.0 при помощи технологии BRF+

Парахин Константин

Статья является обзорным материалом для специалистов, которые начинают изучение инструмента BRF+ вкупе с продуктом SAP GRC, но имеют представление об основных бизнес-процессах протекающих в SAP GRC.

1. Введение

Продукт GRC Access Control от компании SAP AG является ключевым инструментом в борьбе за соблюдение внутрикорпоративных процедур защиты информации, выявления рисков доступа и корректного распределения полномочий между сотрудниками компании. GRC Access Control состоит из следующих компонентов: Access Risk Analysis, Access Request Management, Business Role Management и Emergency Access Management. Каждый компонент предназначен для решения определенных задач, в реализации которых используется технология Business Rule Framework Plus (BRF+), о которой пойдет речь в данной статье.

Этот инструмент позволяет обеспечить прозрачность конфигурации и настройки правил без программирования в среде ABAP и, соответственно, без привлечения ABAP- программистов, так как ведение правил не нуждается в изменении программного кода. Из преимуществ также стоит отметить возможность быстрой реакции на изменения в бизнес-процессе и, соответственно, быструю разработку BRF-правил.

В статье рассматривается использование BRF+ совместно с SAP GRC Access Control 10.0. на примере реальных бизнес-сценариев.

2. Постановка задачи

Создание правил в Access Control широко используется при проектировании процессов согласования запроса на доступ или переадресации запроса при выполнении анализа на наличии риска у пользователя либо роли. Задачи, с которыми можно столкнуться в процессе проектирования и реализации бизнес-процессов в системе GRC, различны. Мы рассмотрим наиболее актуальные и предложим вариант их реализации при помощи BRF+. В статье рассматривается создание следующих типов правил: «правила инициатора» (Initiator rule) для определения пути согласования и «правила агента» (Agent rule) для определения ответственных за согласование запроса.

Стоит отметить, что помимо доступного способа реализации процесса создания бизнес-правил при помощи BRF+, ABAP-программирование всегда остается альтернативой данного механизма.

3. Бизнес-кейсы

3.1. Бизнес-кейс 1

3.1.1 Пререквизиты

Каждой SAP-роли в системе GRC AC назначается множество атрибутов, которые сопровождают роль на протяжении всего жизненного цикла системы. Среди атрибутов наиболее важным является «Владелец роли», который автоматически определяется в цепочке согласования запроса на доступ и обязан принять решение: согласовывать или нет назначение SAP-роли пользователю.

В GRC AC для пользователя создается запрос на доступ, в котором указаны необходимые роли, а также системы, в которых должна создаться/измениться учетная запись пользователя.

Другим примером одновременного добавления в запрос и ролей, и систем служит сценарий, когда сотруднику необходимо назначены роли и параметры по умолчанию в SAP-системе. В этом случае для назначения параметров учетной записи необходимо добавить в запрос SAP-систему, после чего выбрать значения параметров.

3.1.2 Проблематика

При обработке такого запроса поток операций (workflow) выдаст ошибку, так как системе, добавленной в запрос, не назначен Владелец. В GRC AC, в отличие от объекта «Роль», объекту «Система» не присваивается Владелец, и GRC AC не умеет отправлять подобные комбинированные запросы на согласование без наличия определенной настройки BRF-правила. Альтернативным вариантом является создание двух запросов для одного сотрудника, но это отнимет время как на создание запросов, так и на их согласование.

3.1.3 Решение

Мы выполним конфигурацию BRF-правила, предназначенного для определения пути согласования, таким образом, чтобы запрос разделялся по типам объектов и попадал на нужный нам MSMP-путь согласования (Multi-stage multi-path), на котором задействованы актуальные участники процесса. Объект «Система» не должен попасть на согласование к Владельцу роли, иначе весь запрос будет ошибочный и не сможет выполниться корректно.

Рассмотрим классическую цепочку участников по согласованию запроса: Руководитель, Владелец роли, Сотрудник СБ (Сотрудник службы безопасности). По нашему замыслу сценарий согласования должен выглядеть следующим образом: руководитель получит запрос со всеми объектами («роль», «система»), далее Владелец увидит в запросе только объект «роль», в которой он указан как владелец. После согласования запроса Владельцем, Сотрудник СБ сможет согласовать запрос, в котором увидит как роли, так и системы. Последовательность шагов для решения поставленной задачи описано ниже.

При создании BRF-правила определяются атрибуты (тип запроса, тип роли и т.д.), которые будут передаваться на вход таблице принятия решений (Decision Table) для обработки.

Результатом правила является MSMP-путь, по которому будет выполняться поток операций и определяться участники. Все MSMP-пути, задействованные в правиле инициатора, должны быть определены и настроены заранее.

В BRF-правиле инициатора мы должны создать таблицу принятия решений (Decision Table), на вход которой мы передаем следующие атрибуты:

В нашем случае мы определили тип запроса «Присвоение ролей и блокировка», в котором разрешено добавлять и роль, и систему. Атрибут «Тип роли» позволяет определить тип объекта в запросе и направить один запрос на разные MSMP-пути.

Ключевым моментом является ввод значения «начальный» («is initial») в таблицу принятия решения для «Типа роли», где значение результата соответствует MSMP-пути без Владельца роли.

В примере типу запроса «Присвоение ролей и блокировка» назначен идентификатор «005».

Мы определили следующие MSMP-пути согласования запроса на доступ:

Таблица принятия решения после выполненных действий представлена на Рис. 1.

Рис.1 Таблица принятия решения

Преимуществом данного подхода является возможность избежать создания двух запросов, один из которых содержит роли, подлежащие отклонению, а второй содержит системы, в которых необходимо изменить срок действия учетной записи. Тем самым значительно сокращается время выполнения процедуры и гарантируется соблюдение условий SLA.

3.2 Бизнес-кейс 2

3.2.1 Пререквизиты

Необходимость в различных процессах (цепочках) согласования запроса возникает в случае расширенной организационной структуры и объемного системного ландшафта в компании. Требования к процессу согласования порой настолько индивидуальны, что реализовать их в системе становится затруднительно.

Мы рассмотрим конкретную задачу, когда при помощи BRF+ удалось реализовать сложную цепочку согласования запросов в системе SAP GRC AC.

3.2.2 Проблематика

Различные запросы в системе SAP GRC AC должны быть отправлены на согласование разным цепочкам участников процесса согласования в зависимости от указанных ниже атрибутов в запросе:

3.2.3 Решение

Решение такой задачи невозможно без использования BRF+, когда на вход таблицы принятия решений мы объявляем множество атрибутов с набором значений.

Основной и самой трудоемкой проблемой является формирование матрицы согласования, в которой указаны все возможные варианты пересечения входящих атрибутов с цепочками участников процесса согласования.

Пример матрицы согласования представлен на Рис. 2:

Рис. 2 Матрица согласования

На примере, в качестве входящих атрибутов указаны тип системы (DEV, QUA, PROD), тип сотрудника (сотрудник компании, сотрудник центра компетенции, внешний сотрудник), тип запроса (создание, изменение, блокировка, разблокировка и разблокировка с изменение учетной записи). Указанные значения атрибутов при создании запроса будут влиять на процедуру согласования.

На основе матрицы необходимо определить и настроить MSMP-пути, состав и порядок цепочек согласования в зависимости от характера входящих данных.

По завершению определения и формирования матрицы согласования мы можем приступать к конфигурированию BRF-правила инициатора, в частности нам необходимо отобразить матрицу согласования в таблице принятия решения.

Для этого удобнее всего воспользоваться встроенным в BRF+ импортом Excel-файлов (см. Рис 3)

Рис 3. Импорт из Excel

Предварительно нужно преобразовать бизнес-формат матрицы согласования в формат импортируемого файла, но только после того, как все обозначенные объекты (типы запросов, типы сотрудников, коннекторы систем разработки, качества и продуктивной системы) созданы в SAP GRC.

Содержание файла после преобразования ( Рис. 4):

Рис. 4 Содержание файла после преобразования

Колонка тип сотрудника (Emp Type) содержит значения:

Колонка тип запроса (Req Type) содержит значения:

Колонка результата содержит значения:

После группировки повторяющихся путей можно упростить содержание таблицы ( Рис. 5):

Рис. 5 Упрощение содержания таблицы

В нашем случае мы сгруппировали значения типов запроса по типам сотрудников для которых значения MSMP-пути одинаковы. Упрощение не должно влиять на понимание и чтение бизнес-логики, заложенной в таблице.

Если структура импортированного файла не нарушена и учтен синтаксис при перечислении значений, то процедура импорта пройдет без ошибок. Таблица принятия решений в BRF-правиле будет выглядеть как на Рис. 6:

Рис. 6 Таблица принятия решений

На последнем шаге решения следует сохранить и активировать текущую версию таблицы принятия решения, функцию и приложение BRF.

3.3 Бизнес-кейс 3

3.3.1 Пререквизиты

Компания с организационной структурой филиалов планирует определять Владельца ролей в контексте филиала, за который отвечает соответствующий Владелец ролей (Role owner). Владелец выбирается в зависимости от компании. Роли, относящиеся к одному из филиалов, должны согласовываться сотрудником или рядом сотрудников, отвечающих за их изменение и/или распределение. Решение должно обеспечивать гибкость внесения изменений в случае замены согласующего лица.

3.3.2 Проблематика

Реализация данной задачи достигается путём использования предусмотренного в каждой роли атрибута «Компания», который ведётся средствами SAP GRC AC ( Рис. 7).

Рис. 7 Одиночная роль атрибута «Компания»

Для решения задачи необходимо создать BRF-правило агента (Agent rule), где на вход таблицы принятия решения подать атрибут «Компания». На первый взгляд задача проста, но выясняется, что для этого бизнес-кейса возможности системы ограничены.

Дело в том, что атрибут «Компания» отсутствует как входной параметр в BRF-правиле ( Рис. 8):

Рис. 8 Входной параметр в BRF-правиле

3.3.3 Решение

После установки SAP-ноты приступаем к созданию BRF-правила агента (Agent rule).

После создания приложения в BRF-правиле первым шагом необходимо создать условие (Операция таблицы) для каждого филиала, в котором планируется назначить отдельного согласующего.

Рис. 9 Условие проверки

На следующем шаге нам необходимо создать таблицу принятия решений, где на входе обозначим все условия (операционные таблицы), созданные ранее. Каждое условие должно соответствовать одному филиалу, таким образом, в таблице принятия решений на входе мы получим колонки с названиями филиалов, а в качестве результата мы обозначим учётные записи пользователей ¾ ответственных за согласование ( Рис. 10).

Рис. 10 Таблица принятия решений

При проверке условия равенства значений атрибута «Компания» операционная таблица для каждого филиала подаст на вход таблицы принятия решений, либо значение «Истина», либо «Ложь». Одна роль не может принадлежать двум филиалам (по нашей концепции), значит только одно из четырех условий вернёт значение «Истина». Получив значение «Истина» для одного из филиалов, механизм BRF+ при помощи таблицы принятия решений найдёт соответствие между филиалом и учетной записью.

4. Заключение

Мы рассмотрели лишь несколько бизнес-кейсов, с которыми можно столкнуться в процессе реализации бизнес-процессов SAP GRC Access Control, но они дают представление о возможностях инструмента BRF+ и вариантах решения поставленных задач. Инструмент является очень гибким, и вариантов реализации одной задачи может быть несколько.

Из преимуществ BRF+ стоит отметить:

Из недостатков стоит отметить невысокую скорость обработки запроса, в котором бизнес-логика реализуется с помощью BRF+.

Об авторе:

Парахин Константин, консультант BearingPoint. Константин окончил Московский государственный технический университет имени Н. Э. Баумана. Участвовал в проектах компании BearingPoint для клиентов Метинвест и Tele2. Специализируется в области информационной безопасности и управления рисками в системах SAP.

Если хотите прочитать статью полностью и оставить свои комментарии присоединяйтесь к sapland

Источник

SAP GRC — Краткое руководство

Решение SAP Governance, Risk and Compliance позволяет организациям управлять нормативно-правовыми актами и соответствием требованиям и устранять любые риски при управлении ключевыми операциями организаций. В соответствии с изменяющейся рыночной ситуацией, организации растут и быстро меняются, и неадекватные документы, электронные таблицы не приемлемы для внешних аудиторов и регулирующих органов.

SAP GRC помогает организации управлять их правилами и соответствием, а также выполнять следующие действия:

Простая интеграция действий GRC в существующий процесс и автоматизация ключевых действий GRC.

Низкая сложность и эффективное управление рисками.

Улучшить деятельность по управлению рисками.

Эффективное управление мошенничеством в бизнесе и управление аудитом.

Организации работают лучше, и компании могут защитить свои ценности.

Решение SAP GRC состоит из трех основных областей: анализ, управление и мониторинг.

Простая интеграция действий GRC в существующий процесс и автоматизация ключевых действий GRC.

Низкая сложность и эффективное управление рисками.

Улучшить деятельность по управлению рисками.

Эффективное управление мошенничеством в бизнесе и управление аудитом.

Организации работают лучше, и компании могут защитить свои ценности.

Решение SAP GRC состоит из трех основных областей: анализ, управление и мониторинг.

Модули в SAP GRC

Давайте теперь разберемся с различными модулями в SAP GRC —

SAP GRC Контроль доступа

Чтобы снизить риск в организации, необходимо осуществлять контроль рисков как часть практики соблюдения и регулирования. Должны быть четко определены обязанности, управление предоставлением ролей и управление доступом для суперпользователя имеет решающее значение для управления рисками в организации.

SAP GRC Контроль процессов и борьба с мошенничеством

Программное решение SAP GRC Process Control используется для управления соответствием и политикой. Возможности управления соответствием позволяют организациям управлять и контролировать свою среду внутреннего контроля. Организации могут заблаговременно устранять любые выявленные проблемы, а также сертифицировать и сообщать об общем состоянии соответствующих мероприятий по обеспечению соответствия.

SAP Process control поддерживает полный жизненный цикл управления политиками, включая распределение и соблюдение политик целевыми группами. Эти политики помогают организациям снизить стоимость соответствия требованиям и повысить прозрачность управления, а также позволяют организации разрабатывать процессы и политики управления соответствием в бизнес-среде.

SAP GRC Управление рисками

SAP GRC Risk Management позволяет управлять действиями по управлению рисками. Вы можете заблаговременно планировать выявление рисков в бизнесе и внедрять меры по управлению рисками, которые позволят вам принимать более правильные решения, повышающие эффективность бизнеса.

Риски бывают разных форм —

SAP GRC Audit Management

Это используется для улучшения процесса управления аудитом в организации путем документирования артефактов, организации рабочих документов и создания отчетов аудита. Вы можете легко интегрироваться с другими решениями по управлению, рискам и соответствию требованиям и позволить организациям привести политики управления аудитом в соответствие с бизнес-целями.

Управление аудитом SAP GRC помогает аудитору упростить задачу, предоставляя следующие возможности:

Вы можете мгновенно захватить артефакты для управления аудитом и других доказательств, используя функцию перетаскивания мобильных функций.

Вы можете легко создавать, отслеживать и управлять проблемами аудита с помощью глобального мониторинга и контроля.

Вы можете выполнять поиск, используя возможности поиска, что позволяет получить больше информации из старых и рабочих документов.

Вы можете привлечь аудиторов с помощью удобного интерфейса и инструментов для совместной работы.

Простая интеграция управления аудитом с SAP Fraud Management, SAP Risk Management и SAP Process Control для согласования процесса аудита с бизнес-целями.

Быстрое решение проблем с помощью автоматизированного инструмента отслеживания.

Повысить коэффициент использования персонала и сократить командировочные расходы благодаря планированию внутреннего аудита, управлению ресурсами и составлению графиков.

Простая интеграция с инструментом отчетности и визуализации данных SAP Business Objects для визуализации отчетов аудита с использованием Lumira и других отчетов BI.

Использование предварительно установленных шаблонов для стандартизации артефактов аудита и процесса отчетности.

Вы можете привлечь аудиторов с помощью удобного интерфейса и инструментов для совместной работы.

Быстрое решение проблем с помощью автоматизированного инструмента отслеживания.

SAP GRC Мошенничество

Инструмент управления мошенничеством SAP GRC помогает организациям выявлять и предотвращать мошенничество на ранней стадии, что позволяет снизить до минимума потери бизнеса. Сканирование может быть выполнено на большом количестве данных в режиме реального времени с большей точностью, и мошеннические действия могут быть легко идентифицированы.

Программное обеспечение SAP для борьбы с мошенничеством может помочь организациям со следующими возможностями:

Простое расследование и документирование случаев мошенничества.

Повысьте уровень готовности системы и скорость реагирования, чтобы предотвратить мошеннические действия в будущем.

Простое сканирование больших объемов транзакций и бизнес-данных.

Простое расследование и документирование случаев мошенничества.

Простое сканирование больших объемов транзакций и бизнес-данных.

SAP GRC Global Trade Services

Программное обеспечение SAP GRC GTS помогает организациям расширять трансграничные поставки в рамках управления международной торговлей. Это помогает в снижении штрафа за риски со стороны органов регулирования международной торговли.

Он обеспечивает централизованный процесс управления глобальной торговлей с единым хранилищем для всех основных данных и контента соответствия, независимо от размера организации.

Модель возможностей SAP GRC

На следующей диаграмме показана модель возможностей SAP GRC, которая охватывает все ключевые функции программного обеспечения SAP GRC. Используя GRC, организации могут проверять все потенциальные риски и данные о соответствии и могут принять правильное решение для их снижения.

SAP GRC — навигация

В более старых версиях SAP GRC для управления доступом, управления процессами и управления рисками для каждого компонента была отдельная навигация. Это означает, что пользователи для выполнения межкомпонентных обязанностей должны были входить в каждый модуль отдельно и входить в систему несколько раз. В результате сложный процесс управления несколькими окнами и документами для поиска также был сложным.

SAP GRC 10.0 обеспечивает прямую навигацию к компонентам контроля доступа, управления процессами и управления рисками для одного пользователя согласно авторизации и устраняет управление несколькими окнами.

Шаг 1 — Чтобы выполнить действия по настройке и сохранить параметры конфигурации для решения GRC, перейдите к T-коду — SPRO → SAP Reference IMG

Шаг 2 — Разверните узел Управление, Риск и Соответствие —

Шаг 3 — Вход в NetWeaver Business Client —

Запустите транзакцию для NWBC в SAP Easy Access.

Откроется экран NetWeaver Business Client, и вы получите следующий URL — http://ep5crgrc.renterpserver.com:8070/nwbc/

Рабочие центры SAP GRC

Вы можете использовать рабочие центры, чтобы предоставить центральную точку доступа для GRC 10.0. Они могут быть организованы в зависимости от того, на что клиент имеет лицензию на деятельность.

Шаг 1. Чтобы получить доступ к рабочим центрам, откройте NetWeaver Business Client, как указано выше. Перейдите к параметру / nwbc вверху, чтобы открыть рабочие центры.

Шаг 2. После нажатия вы будете перенаправлены на домашний экран клиента SAP NetWeaver Business.

SAP GRC — Контроль доступа

Контроль доступа SAP GRC помогает организациям автоматически обнаруживать, управлять и предотвращать нарушения рисков доступа и сокращать несанкционированный доступ к данным и информации компании. Пользователи могут использовать автоматическое самообслуживание для доступа к отправке запросов, запросам на управление рабочим процессом и подтверждениям доступа. С помощью SAP GRC Access Control можно использовать автоматические проверки доступа пользователей, авторизации ролей и нарушений рисков.

SAP GRC Access Control решает ключевые проблемы, позволяя бизнесу управлять рисками доступа. Это помогает организациям предотвращать несанкционированный доступ путем определения разделения обязанностей SoD и критического доступа и минимизации времени и затрат на управление рисками доступа.

Ключевая особенность

Ниже приведены ключевые функции SAP GRC Access Control —

Провести аудит и соответствие требованиям законодательства с различными стандартами аудита, такими как SOX, BSI и ISO.

Автоматическое обнаружение нарушений рисков доступа в системах SAP и не-SAP в организации.

Как уже упоминалось, он предоставляет пользователям возможность самостоятельного предоставления доступа, запросов доступа, основанных на рабочих процессах, и подтверждения запросов.

Автоматизировать проверки доступа пользователей, авторизации ролей, нарушений рисков и контроля назначений в малых и крупных организациях.

Эффективно управлять доступом суперпользователя и избегать нарушений риска и несанкционированного доступа к данным и приложениям в SAP и не-SAP-системе.

Автоматическое обнаружение нарушений рисков доступа в системах SAP и не-SAP в организации.

Как изучить центр управления настройкой доступа?

Запустите транзакцию для NWBC в SAP Easy Access.

Откроется экран NetWeaver Business Client, и вы получите следующий URL — http://ep5crgrc.renterpserver.com:8070/nwbc/

Шаг 2. После нажатия вы будете перенаправлены на домашний экран клиента SAP NetWeaver Business.

Шаг 3 — Перейдите к настройке рабочего центра и изучите рабочий набор. Нажмите на некоторые ссылки под каждой и исследуйте различные экраны.

Шаг 4 — Рабочий центр установки доступен в Access Control и предоставляет ссылки на следующие разделы —

Шаг 5 — Вы можете использовать перечисленные выше функции следующими способами —

Используя раздел «Обслуживание правил доступа», вы можете управлять наборами правил доступа, функциями и рисками доступа, используемыми для выявления нарушений доступа.

Используя исключительные правила доступа, вы можете управлять правилами, дополняющими правила доступа.

Используя раздел критических правил доступа, вы можете определить дополнительные правила, определяющие доступ к критическим ролям и профилям.

Используя раздел сгенерированных правил, вы можете найти и просмотреть сгенерированные правила доступа.

В разделе «Организации» вы можете поддерживать организационную структуру компании для обеспечения соответствия и управления рисками с помощью соответствующих назначений.

Раздел «Митигационные элементы управления» позволяет управлять элементами управления для смягчения разделения обязанностей, критических действий и нарушений доступа к критическим разрешениям.

Назначение суперпользователя — это место, где вы назначаете владельцев идентификаторам пожарных и назначаете идентификаторы пожарных пользователям.

Техническое обслуживание суперпользователя — это то, где вы поддерживаете назначения пожарного, контроллера и кода причины.

В разделе «Владельцы доступа» вы управляете привилегиями владельца для возможностей управления доступом.

Используя исключительные правила доступа, вы можете управлять правилами, дополняющими правила доступа.

Используя раздел сгенерированных правил, вы можете найти и просмотреть сгенерированные правила доступа.

В разделе «Владельцы доступа» вы управляете привилегиями владельца для возможностей управления доступом.

SAP GRC — Рабочий центр управления доступом

Согласно лицензии на программное обеспечение GRC, вы можете перемещаться по Access Management Work Center. Он имеет несколько разделов для управления действиями контроля доступа.

Когда вы нажимаете на Access Management Work Center, вы видите следующие разделы —

Вышеуказанные разделы помогут вам следующими способами —

В разделе администрирования запросов доступа вы можете управлять назначениями доступа, учетными записями и процессами проверки.

Используя управление ролями, вы управляете ролями из нескольких систем в одном унифицированном хранилище.

В функции группы по анализу ролей вы можете выбирать нужные роли, анализировать их и предпринимать действия.

В разделе « Назначение суперпользователя » вы можете назначить владельцам идентификаторы пожарных и назначить идентификаторы пожарных и контроллеров.

В разделе « Техническое обслуживание суперпользователя » вы можете выполнять такие действия, как исследование и обслуживание пожарных и контроллеров, а также назначение кодов причин системой.

Сертификационные обзоры соответствия подтверждают проверки доступа пользователей, нарушений рисков и назначения ролей.

Используя раздел « Планирование » рабочего центра настройки правил, вы можете вести графики непрерывного контроля и автоматического тестирования, а также отслеживать ход выполнения соответствующих заданий.

Используя управление ролями, вы управляете ролями из нескольких систем в одном унифицированном хранилище.

Управление доступом и авторизацией

В решении SAP GRC вы можете управлять объектами авторизации, чтобы ограничить элементы и данные, к которым может обращаться пользователь. Авторизация контролирует доступ пользователя к рабочим центрам и отчетам в системе SAP.

Чтобы получить доступ к решению GRC, вы должны иметь следующий доступ —

Перечисленные ниже типы авторизации являются обязательными для компонентов GRC — AC, PC и RM.

Авторизация в компоненте портала и NWBC

В решении SAP GRC 10.0 рабочие центры определяются в ролях PCD для компонента портала и в ролях PFCG для NWBC ( NetWeaver Business Client ). Рабочие центры закреплены в каждой базовой роли. SAP выполняет эти роли, однако; эти роли могут быть изменены клиентом согласно требованию.

Расположение папок приложений и подчиненных приложений в карте сервиса контролируется приложением SAP NetWeaver Launchpad. Карта услуг контролируется авторизацией пользователя, поэтому, если у пользователя нет авторизации для просмотра какого-либо приложения, он будет скрыт в клиенте NetWeaver Business.

Как просмотреть назначения ролей в Access Management Work Center?

Выполните следующие шаги, чтобы просмотреть назначения ролей —

Шаг 1. Перейдите в рабочий центр управления доступом в NetWeaver Business Client.

Шаг 2 — Выберите бизнес-процесс в разделе Назначение ролей GRC и перейдите на уровень роли подпроцесса. Нажмите «Далее», чтобы продолжить назначение разделов ролей.

Как просмотреть назначения ролей в рабочем центре основных данных?

Шаг 1 — Перейти к рабочему центру основных данных → Организации

Шаг 2 — В следующем окне выберите любую организацию из списка, затем нажмите «Открыть».

Шаг 3 — Обратите внимание, что треугольник рядом с организацией означает, что есть суборганизации, а точка рядом с организацией означает, что это самый низкий уровень.

Шаг 4 — Нажмите на вкладку подпроцесса → Назначить подпроцесс. Теперь выберите один или два подпроцесса и нажмите «Далее».

Шаг 5 — Не внося никаких изменений, нажмите Готово на шаге Выбор элементов управления.

Шаг 6 — Выберите первый подпроцесс из списка, затем нажмите Открыть. Вы должны увидеть детали подпроцесса.

Шаг 7 — Нажмите вкладку Роли. Выберите роль из списка, затем нажмите «Назначить».

SAP GRC — Авторизация

SAP GRC Access Control использует роли UME для управления авторизацией пользователей в системе. Администратор может использовать действия, которые представляют наименьший объект роли UME, который пользователь может использовать для создания прав доступа.

Авторизация в UME

Когда пользователь не имеет доступа к определенной вкладке, эта вкладка не будет отображаться при входе пользователя в систему, когда пользователь пытается получить доступ к этой вкладке. Когда действие UME для вкладки назначается этому конкретному пользователю, только тогда он сможет получить доступ к этой функции.

UME Роли

Вы должны создать роль администратора, и эта роль должна быть назначена Superuser для выполнения действий, связанных с калибратором соответствия SAP. Существуют различные роли CC, которые могут быть созданы в SAP GRC Access control во время внедрения.

Описание — Compliance Calibrator Отображение и отчетность

Описание — соблюдение правил калибровки калибратора

Описание — Соответствие Калибратору Смягчение Обслуживание

Описание — Администрирование калибратора соответствия и базовая конфигурация

Описание — Compliance Calibrator Отображение и отчетность

Описание — соблюдение правил калибровки калибратора

Описание — Соответствие Калибратору Смягчение Обслуживание

Описание — Администрирование калибратора соответствия и базовая конфигурация

Как открыть User Maintenance Engine?

Используя UME, вы можете выполнять различные ключевые действия в Access Control —

Чтобы открыть UME, вы должны использовать следующий URL —

SAP GRC — Панель управления доступом

В GRC Access Control вы можете использовать возможности анализа и исправления рисков (RAR) для проведения аудита безопасности и анализа разделения обязанностей (SoD). Это инструмент, который можно использовать для выявления, анализа и решения проблем риска и аудита, связанных с соблюдением следующих нормативных требований. Здесь вы также можете определить следующее:

Создание новой панели запуска в NWBC

Выполните следующие действия, чтобы создать новую панель запуска в NWBC.

Шаг 1. Перейдите к ролям PFCG и откройте роль SAP_GRAC_NWBC

Шаг 4 — Когда вы нажимаете на Дисплей, вы можете увидеть этот экран —

Шаг 6 — Нажмите кнопку Настроить UIBB на этом экране. Вы будете перенаправлены на следующий экран —

Шаг 7 — Вы можете выбрать панель запуска, к которой хотите подключиться. Если вы хотите создать новую панель запуска, вы также можете сопоставить ее с новой ролью.

Шаг 8 — Чтобы создать новую панель запуска, определите следующее —

Создайте новую панель запуска с элементами меню, которые вы хотите.

Создайте новую конфигурацию приложения GRFN_SERVICE_MAP или вы можете скопировать идентификатор конфигурации GRAC_FPM_AC_LPD_HOME и настроить его дальше.

В новой конфигурации выберите панель запуска, которую вы хотите связать.

Создайте новую роль и добавьте в нее приложение webdynpro GRFN_SERVICE_MAP с пользовательским идентификатором конфигурации, созданным на предыдущем шаге.

Создайте новую панель запуска с элементами меню, которые вы хотите.

В новой конфигурации выберите панель запуска, которую вы хотите связать.

SAP GRC — интеграция с контролем доступа

В решении SAP GRC 10.0 основные данные и организационная структура являются общими для контроля доступа, управления процессами и управления рисками. Process Control также разделяет определенные возможности с процессом управления рисками.

Ниже приведены основные функции, которыми обладает Access Control.

Контроль доступа и контроль процесса разделяют структуру соответствия в следующих областях —

В решении по управлению процессами элементы управления используются как средства управления смягчением в управлении доступом в решении SAP GRC 10.0.

Контроль доступа и управление процессами принадлежат одной организации.

В управлении процессами процессы используются как бизнес-процессы в управлении доступом.

Управление процессами и контроль доступа интегрированы с анализом рисков доступа для мониторинга разделения обязанностей SoD.

Контроль доступа и контроль процесса разделяют структуру соответствия в следующих областях —

Контроль доступа и управление процессами принадлежат одной организации.

В управлении процессами процессы используются как бизнес-процессы в управлении доступом.

Области меню, общие для управления процессами и управления рисками:

Ниже приведены ключевые моменты интеграции между Process Control и Risk Management —

Новые контрольные точки могут быть предназначены для управления процессом в управлении рисками.

Когда предлагается новый элемент управления, Process Control должен оценить запрос от Управления рисками.

Управление рисками использует результаты Process Control для оценки новых средств контроля.

Управление рисками также может использовать существующие элементы управления Process Control в качестве ответов в управлении рисками.

Новые контрольные точки могут быть предназначены для управления процессом в управлении рисками.

Когда предлагается новый элемент управления, Process Control должен оценить запрос от Управления рисками.

Управление рисками использует результаты Process Control для оценки новых средств контроля.

SAP GRC — интеграция с IAM

Управление внутренним аудитом позволяет обрабатывать информацию из управления рисками и контроля процессов для использования при планировании аудита. Предложение аудита может быть передано в управление аудита для обработки, когда это необходимо, а элементы аудита могут использоваться для создания проблем для отчетности. IAM предоставляет вам место, где вы можете выполнять полное планирование аудита, создавать элементы аудита, определять юниверс аудита, а также создавать и просматривать отчеты аудита и вопросы аудита.

Рабочий центр по внутреннему аудиту обеспечивает центральное расположение для следующих видов деятельности:

SAP GRC — Аудит Вселенной

Аудит Universe содержит объекты аудита, которые могут быть классифицированы как бизнес-единицы, направления бизнеса или отделы. Аудиторские организации определяют стратегию планирования аудита, и они могут быть связаны с Process Control и Risk Management для поиска рисков, средств контроля и т. Д.

Создать проверяемую сущность

Давайте теперь поймем, как создать контролируемую сущность.

Шаг 1 — Перейдите к параметру / nwbc вверху, чтобы открыть рабочие центры

Шаг 2. В SAP NetWeaver Business Client перейдите в рабочий центр IAM.

Шаг 3 — Перейдите к Управлению внутренним аудитом → Audit Universe

Шаг 4 — Нажмите кнопку « Создать» и перейдите на вкладку « Общие ».

Шаг 5 — Введите следующие данные для аудируемого лица —

Шаг 6 — Перейдите на вкладку « План аудита » для просмотра предложений аудита и предложений плана аудита с датой переноса.

Шаг 7 — Выберите вкладку вложений и ссылок, чтобы добавить любой тип файлов или ссылок.

Шаг 8 — Когда вы вводите необходимые данные, вы можете выбрать один из следующих вариантов —

SAP Process Control — Аудит рейтинга риска

Аудиторский рейтинг риска используется для определения критериев, по которым организация находит рейтинг риска и устанавливает рейтинг рейтинга риска. Каждый подлежащий аудиту субъект оценивается в соответствии с отзывами руководства в ARR. Вы можете использовать ARR для выполнения следующих функций —

Вы можете найти множество проверяемых объектов и факторов риска.

Определите и оцените оценки риска для фактора риска в каждой проверяемой организации.

В соответствии с оценкой риска вы можете оценить аудируемый субъект.

Вы также можете сгенерировать план аудита из ARR, сравнивая оценки рисков для разных объектов аудита. В дополнение к этому вы можете выбрать объекты аудита с высокой степенью риска и сгенерировать предложение по аудиту и предложение по плану аудита.