Emergency Handler

Emergency Handler
Management der Zugriffsberechtigungen
in Notfallsituationen für
IT-Organisationen und Fachabteilungen
Der Emergency Handler ist
Bestandteil unseres Softwarepakets
SUIM-AIM und wurde von
SAP zertifiziert.
Big Picture
Im Alltagsgebrauch sollten Ihre Benutzer nur mit ihren Bereichen entsprechenden
Berechtigungen ausgestattet sein. Dies gilt für gewöhnliche Benutzer aber auch für
Administratoren, Entwickler und den Picket Dienst. In besonderen Fällen sind jedoch
erhöhte Rechte nötig. In diesen Fällen ermöglicht der Emergency Handler eine zeitlich
begrenzte Zuteilung von erhöhten Rechten. Alle vom Benutzer während dieser Zeit
ausgeführten Aktionen werden detailliert zu Auditzwecken und internen
Mit der SUIM-AIM Suite
besitzen Sie ein effizientes
Werkzeug zur Bewirtschaftung
des gesamten User Lifecyles.
Das EH Modul ermöglicht Ihnen
 eine einfache Verwaltung von
erhöhten Rechten und deren
Zuteilung an zuständige
Personen um in
Notfallsituationen die nötigen
Massnahmen auf Ihrem SAP
System ausführen zu könne
 eine schnelle Zuteilung der
Emergency Rechte wenn ein
Fall eintritt
 eine lückenlose Erfassung
aller Aktivitäten welche
während einer Emergency
durch den Benutzer
ausgeführt werden.
 eine detaillierte Auswertung
der Aktivitäten zu
Überwachungs– und
Revisionszwecken
Integration in die AIM-Softwaresuite
Innerhalb der AIM-Softwaresuite ist der Emergency Handler ein eigenständiges
Werkzeug. Einige seiner Funktionen werden auch durch Softwaremodule aus unseren
anderen Werkzeugen (z.B. Access Manger, Access Manager for Support
Organizations, Identity Manager und Application Tracer) genutzt.
Die aufgezeichneten Emergency Daten können optional mit dem Compliance Enforcer
Highlights
Ausgangslage & Anforderungen
In Notfall– und ähnlichen Supportsituationen benötigt
der verantwortliche Mitarbeiter den Zugriff auf die
relevanten IT-Systeme. Er braucht also einen User
mit passenden Berechtigungen und dessen
Passwort.
im Emergency Handler realisierte
Lösungsprinzipien
Diese Anforderungen können bezüglich
Zuweisungsmethode und Zuweisungsprozess durch
jeweils zwei Lösungsprinzipien abgedeckt werden.
Zuweisungsmethoden:
 temporäre Erweiterung der Berechtigungen
des eigenen oder eines „fremden“ Users
 Nutzbarmachung eines „fremden mächtigen“
Users der bereits über die nötigen Berechtigungen
verfügt
Zuweisungsprozesse:
 Self Service (ohne Interaktion mit einem
weiteren Anwender)
 Workflow (mit Interaktion einer
Genehmigungsinstanz)
Aus unterschiedlichen Gründen kann es vorkommen,
dass dem User des Mitarbeiters nicht permanent die
notwendigen Berechtigungen zugeteilt sind. In
diesem Fall muss der Mitarbeiter temporär mit den
ausreichenden Berechtigungen ausgestattet werden.
im Emergency Handler realisiertes
Risikomanagement &
Revisionssicherheit
Durch die in einer solchen Notfallsituation bewusst
zusätzlich zugewiesenen Berechtigungen, können
grosse potentielle Risiken entstehen. Diesen gilt es
entgegenzuwirken, indem sichergestellt wird, dass
alle Aktivitäten aufgezeichnet und analysiert werden.
Eingetretene Risiken gilt es zu erkennen und zu
überprüfen.
Der Emergency Handler sammelt und analysiert alle
Aktivitäten des Emergency-Users (Activities
Detector) im Zeitraum von der Eröffnung bis zur
Beendigung der Emergency. Dies umfasst
insbesondere:
 die aufgerufenen Business-Transaktionen
 die erzeugten Tabellenänderungen
Beide Prinzipien haben im spezifischen Kontext Vor–
und Nachteile.
Der Emergency Handler umfasst Funktionen, die
jeweils beide Lösungsprinzipien abdecken.
 die erzeugten Änderungsbelege
 die durchgeführten Änderungen an Benutzer– und
Berechtigungsstammsätzen
Die Revisionssicherheit garantiert der Emergency
Handler, indem er sämtliche Aktivitäten mit und im
Emergency Handler (Eröffnung, Beendigung,
Anpassung Customizing, etc.), aber auch sämtliche
Resultate des Activities Detectors, protokolliert und
nachfolgenden Prüfungen zur Verfügung stellt.
Optional kann mit dem Compliance Enforcer eine
Überprüfung von tatsächlich während einer
Emergency Organizer
Der Emergency Organizer stellt die Funktionen für die
Organisation der beiden im EH implementierten
Lösungsprinzipien der Berechtigungszuweisung zur
Verfügung.
Temporäre Erweiterung der
Berechtigungen
Dieses Lösungsprinzip basiert auf Referenzusern.
Deren Berechtigungen werden dem Emergency-User
temporär zugewiesen. Die Funktionen des
Emergency Organizers stellen die Verfügbarkeit und
Korrektheit der Referenzuser in der Systemarchitektur
sicher. Die einzelnen Funktionen sind:
Nutzbarmachung eines „fremden
mächtigen“ Users
Dieses Lösungsprinzip
basiert auf Usern, die bereits
über „mächtige
Berechtigungen“ verfügen.
Dies können z.B. der User
DDIC oder spezifisch
angelegte Notfalluser sein.
Der Emergency Organizer
ermöglicht die Verwaltung der
zulässigen User und definiert
deren Verhalten im
 Gruppierung der Referenzuser in Aufgabengebiete
 Zuweisung von Rollen und Profilen an die
Referenzuser
 Analyse, Abgleich und Verteilung der Referenzuser
in der Systemarchitektur
Emergency Handler.
Emergency Assigner
Der Emergency Assigner stellt die Funktionen für die
Zuweisung der notwendigen Notfallberechtigungen
sicher. Er unterstützt beide im EH implementierten
Lösungsprinzipien der Berechtigungszuweisung.
Nutzbarmachung eines „fremden
mächtigen“ Users (Supportuser)
 Generierung /Anzeige und Setzen eines
Initialpassworts für den Supportuser im
Emergency-System
Positionierung / Eröffnung eines
Emergencys
 optional -> Entsperrung des Supportusers
 Positionierung / Anlegen des Emergencys in der
 Start der Protokollierungsmechanismen
Systemlandschaft
 Dokumentieren / Begründen des Emergencys
 Auswahl des in den jeweiligen Systemen
notwendigen Notfall-Users / Referenzusers
Beendigung einer Emergency
 Stop der Protokollierungsmechanismen
 Rücknahme des Referenzusers und dessen
Profilen im Emergency-System
temporäre Erweiterung der
Berechtigungen (Referenzuser)
 optional -> sperren, deaktivieren Passwort, setzen
 Auswahl des Emergency-Users (eigener oder
 Sammlung und zentrale Speicherung aller
fremder User)
 sofern nicht vorhanden -> Anlegen des Emergency
-Users im Emergency-System
 Zuweisung des Referenzusers und dessen
Profilen zum Emergency-User im EmergencySystem
 Start der Protokollierungsmechanismen
Random Initialpasswort
Aktivitäten des Emergency-Users
 optional -> starten eines Workflows für ein Audit
Activities Detector
Der Activities Detector sammelt, speichert und
analysiert alle Aktivitäten des Emergency-Users im
Zeitraum von der Eröffnung bis zur Beendigung des
Emergencys . Dies umfasst insbesondere:
 Change logs
 Customizing change logs
 Users and authorization change logs
 HR change logs
Die Resultate werden in einer zentralen Datenbank
gespeichert und können jederzeit als übersichtliche
Liste aller relevanten Aktivitäten dargestellt und
analysiert werden.
 Authorizations Trace
 Workload Analyse
 STAD Workloads
 Tables change logs
HR Change Logs
Authorisation Trace
STAD Workloads
Table Change Logs
unsere Softwareprodukte
Unsere Softwareprodukte sind Zusatzmodule für SAP
oder Frontendapplikationen mit SAP-Integration. Wie
fokussieren auf das IT Service Management (ITSM) und
das Interne Kontrollsystem (IKS).
Im Bereich ITSM decken wir vom Service Design über
die Kalkulation, die Vereinbarung und das Reporting bis
zur Verrechnung alle „kundenorientierten“ Prozesse ab.
Auch der Betrieb des Access– und Identity
Managements, des User Logins und der Netzwerksicherheit werden durch unsere Softwareprodukte
optimal unterstützt. Die typischen Anwender sind ITOrganisationseinheiten und Shared Services
SUIM GmbH
Chemin du Marguery 15
1802 Corseaux,
Switzerland
www.suim.ch
[email protected]
Centers.
Das IKS wird durch unsere Werkzeuge bei der
Definition der Vorgaben (Risiken) und bei der Prüfung
der Einhaltung (Compliance) unterstützt. Dabei decken
wir neben den
manuellen und automatischen Kontrollen auf
Prozessebene auch die generellen
IT-Kontrollen ab. Die typischen Anwender sind externe
und interne Revisoren oder IKS- und
Prozessverantwortliche.