sap access control - sap help portal · 1 sap grc access control information produit table 1 :...

Guide d'administration PUBLIC

2017-07-20

SAP Access Control

Contenu

1 SAP GRC Access Control. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

2 Vue d'ensemble SAP GRC Access Control. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

3 Sujets inter-composantes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103.1 Profils et connexions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Connexion utilisateur final. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Connexion d'administrateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Gestion de votre profil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

3.2 Intégration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Intégration de données communes (modèle de données). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Intégration à SAP GRC Process Control et Risk Management. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

3.3 Zones personnalisées. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .153.4 Navigation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

Poste de travail Ma page d'accueil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Poste de travail Configuration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Poste de travail Gestion des accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Etats et analyses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

3.5 Privilèges spéciaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303.6 Jobs d'arrière-plan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32

Ordonnanceur de jobs d'arrière-plan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32Ordonnancement de jobs d'arrière-plan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

4 Gestion de demandes d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344.1 Création de la demande d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Demandes d'accès simplifiées. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Création de demandes d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Analyse de risques lorsque vous envoyez des demandes d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . 40Rôles types. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Création de demandes d'accès basées sur des utilisateurs modèles. . . . . . . . . . . . . . . . . . . . . . . . 46Modification des détails d'utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47Copie de demandes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Création de demandes d'affectation organisationnelle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

4.2 Approbation de demande d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Vérification et autorisation des demandes d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Corbeille de travail simplifiée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Analyse de risques lorsque vous approuvez des demandes d'accès. . . . . . . . . . . . . . . . . . . . . . . . .52Atténuation des risques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

2 P U B L I CSAP Access Control

Contenu

Gestion de tâches et autorisations pour approbateurs de demande. . . . . . . . . . . . . . . . . . . . . . . . .554.3 Administration des demandes d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Création et gestion de modèles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Recherche de demandes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60Vue des journaux d'attribution de privilèges d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62Débloc. et suppr. cptes utilisateur Self-Service pr mot de passe. . . . . . . . . . . . . . . . . . . . . . . . . . . 62Délégation de l'approbateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Création de demandes d'accès basées sur des modèles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .64

5 Gestion de risques d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 665.1 Contrôles d'atténuation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

Recherche de contrôles d'atténuation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 685.2 Configuration de règle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

Règles d'accès d'exception. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69Gestion des règles d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80Règles d'accès critiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

5.3 Analyse de risque d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Analyse de risque d'accès du niveau utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99Simulation du niveau utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103Analyse de risque d'accès du niveau de rôle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .105Simulation du niveau de rôle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107Analyse de risque d'accès du niveau de profil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .108Simulation du niveau de profil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110Analyse de risque d'accès des objets HR. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112Simulation des objets HR. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

5.4 Accès atténué. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115Utilisateurs atténués. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116Utilisateur atténué pour des règles d'organisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .117Rôles atténués. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118Profils atténués. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119Atténuation des objets HR. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120Rôle atténué pour des règles d'organisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

5.5 Analyse de risques lorsque vous approuvez des demandes d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . 1225.6 Analyse de risques lorsque vous envoyez des demandes d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . 1245.7 Analyse de risques d'accès pour la gestion des rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1265.8 Atténuation des risques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1275.9 Alertes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

Recherche d'alertes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129Alertes acquittées. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

5.10 Jobs d'arrière-plan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133Ordonnanceur de jobs d'arrière-plan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .134

SAP Access ControlContenu P U B L I C 3

6 Gestion de rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1356.1 Considérations de la gestion des rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

Méthodologie de création de rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137Gestion des rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141Approbation de demandes de rôle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154Réattribution de privilèges d'accès de rôles utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155Recherche de rôle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158Rôles par défaut. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

6.2 Analyse de rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .160Utilisation d'action. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161Comparaison des rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .161Réaffirmation de rôle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

6.3 Gestion en masse des rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .163Importing Multiple Roles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163Mise à jour de plusieurs rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166Mise à jour de valeurs organisationnelles pour des rôles dérivés multiples. . . . . . . . . . . . . . . . . . . 168Dérivation de rôles multiples. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169Analyse du risque pour des rôles multiples. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170Génération de rôles multiples. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

7 Utilisation de la gestion des accès d'urgence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1727.1 Terminologie GAU. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1747.2 Configuration de l'accès d'urgence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174

Sélection de l'application d'accès d'urgence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .175Configuration de Firefighting basé ID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181Configuration de Firefighting basé sur rôle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .192Configuration d'avis de journal de GAU. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193

7.3 Demande d'accès d'urgence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1947.4 Vérification et autorisation des demandes d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1957.5 Extension périodes de validité pour affectations firefighting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1967.6 Accès aux systèmes Plug-In, pr effectuer activités firefighting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197

Utilisation de la barre de lancement Gestion des accès d'urgence. . . . . . . . . . . . . . . . . . . . . . . . . 1987.7 Révision des activités et des états d'accès d'urgence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200

8 Gestion des révisions d'accès périodiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2018.1 Révisions de certification de conformité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202

Gestion de coordinateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202Réviser les demandes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206Gestion de refus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

8.2 Alertes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209Recherche d'alertes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210Alertes acquittées. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211


Contenu

9 Etats et analyses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2159.1 Tableaux de bord d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216

Tableau de bord d'attribution de privilèges d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .217Tableau de bord de demandes d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218Tableau de bord de bibliothèque des règles d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219Tableau de bord des alertes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219Tableau de bord de bibliothèque de contrôles d'atténuation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220Tableau de bord de violations de risque. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221Tableau de bord d'analyse de rôle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223Tableau de bord de la bibliothèque de rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .224Niveau de service pour tableau de bord de demandes d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . 225Tableau de bord d'analyse pour utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226Tableau de bord de comparaisons de violations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227Violation de risque dans tableau de bord de demande d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . 228

9.2 Etats Analyse des risques d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229Etat Aperçu de règle d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229Etat Détail de la règle d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230Etat Objet atténué. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231Etat Violation de risque de l'objet HR. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232Etat Contrôle d'atténuation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233Etat Violation de risque de profil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .234Etat Violation de risque de rôle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .235Etat Violation de risque utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237

9.3 Etats Demande d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238Etat Délégation d'approbateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239Demandes par profils PD/structurels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239Etat Demandes par rôles et approbateurs d'affectation de rôles. . . . . . . . . . . . . . . . . . . . . . . . . . 240Etat Demandes avec conflits et atténuations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241Niveau de service pour l'état de demandes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242Etat Historique de révision SoD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243Etat Historique de la révision d'accès utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244Etat Statut de la révision utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245

9.4 Etats de gestion de rôle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246Etat Comparer l'action dans le menu et l'autorisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246Etat Comparer les rôles utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247Etat Lister actions dans les rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248Etat Relation rôle de base/rôle dérivé. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249Etat Historique des modifications PFCG. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249Etat Rôle à date de génération. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251Etat Relation rôle individuel/rôle composite. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .251Etat Relation utilisateur/rôle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252

SAP Access ControlContenu P U B L I C 5

Etat Relation entre rôles avec utilisateur/groupe d'utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . 2539.5 Etats de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253

Utilisation de l'action par utilisateur, rôle et profil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .254Etat Nombre d'autorisations pour utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255Etat Nombre d'autorisations dans rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255Etat Lister rôles expirés et en cours d'expirat. pr utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . .256

9.6 Etats Audit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257Etat Journal des modifications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257Etat Appels d'action intégrés dans programmes de systèmes SAP. . . . . . . . . . . . . . . . . . . . . . . . 258Etat Lister actions dans les rôles mais pas dans les règles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259Etat Lister approbations dans les rôles mais pas dans les règles. . . . . . . . . . . . . . . . . . . . . . . . . . 260

9.7 Etats Gestion des accès d'urgence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260Etat de journal consolidé. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261Etat de synthèse journal Firefighter. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262Etat d'accès d'urgence non valide. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .263Etat de code de motif et d'activité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264Etat de conflit SoD pour IDs Firefighter. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265Etat de journal de transaction et détails de session. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266

9.8 Etat Journal de Risk Terminator. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266


Contenu

1 SAP GRC Access Control

Information produit

Table 1 :

Produit SAP GRC Access Control

Version 10.1

Basé sur SAP NetWeaver 7.40 SP2

Documentation publiée Juin 2013

Utilisation

SAP Access Control est une application de progiciel de gestion intégré qui permet aux organisations de contrôler l'accès et d'empêcher la fraude à travers l'entreprise, tout en réduisant le temps et le coût de conformité.

SAP Access ControlSAP GRC Access Control P U B L I C 7

2 Vue d'ensemble SAP GRC Access Control

SAP GRC Access Control est une application de progiciel de gestion intégré qui permet à des organisations de gérer leurs directives de gouvernance d'accès et d'effectuer un suivi en matière de conformité.

SAP GRC Access Control est un add-on SAP NetWeaver et fonctionne avec des applications SAP et des applications non SAP, comme SAP Finance, SAP Administration des ventes, Oracle et JDE.

L'application fournit un logiciel intégré pour des fonctions d'autorisation d'application de gestion des données, par exemple :

Demandes d'accès (ARQ) - Vous pouvez implémenter les directives de votre société pour créer et gérer les demandes d'accès dans ARQ. Les utilisateurs peuvent créer des demandes d'accès à des systèmes et à des applications. Les approbateurs peuvent réviser les demandes, effectuez des analyses pour l'accès utilisateur et les risques de séparation des tâches puis approuver, refuser ou modifier les demandes.

Analyse de risque d'accès (ARA) - Vous pouvez implémenter les directives de votre société pour la SoD et le risque d'accès utilisateur dans ARA. Les analystes de sécurité et les responsables de processus de gestion exécutent des états pour déterminer si des violations de SoD ou directives d'accès utilisateur sont survenues. Ils peuvent identifier la cause profonde des violations et corriger les risques.

Les personnes responsables de la conformité peuvent utiliser cette fonction pour effectuer un suivi des conformités aux directives de société.

Gestion des rôles utilisateur (BRM) - Dans une infrastructure SAP, les autorisations d'utilisateur pour les applications sont gérées via l'utilisation de rôles. Les concepteurs de rôle, les propriétaires du rôle et les analystes de sécurités peuvent utiliser la gestion des rôles utilisateur pour gérer des rôles et les analyser pour des violations de directives de société.

Gestion des accès d'urgence (GAU) - Vous pouvez implémenter les directives de votre société pour gérer l'accès d'urgence dans la GAU. Les utilisateurs peuvent créer des demandes de Self-Service pour l'accès d'urgence à des systèmes et des applications. Les responsables de processus de gestion peuvent réviser les demandes d'accès d'urgence et accorder des accès. Les personnes responsables de la conformité peuvent effectuer des audits périodiques d'utilisation et de journaux pour surveiller la conformité aux directives de société.

Révisions périodiques d'accès utilisateur et séparation des tâches - Vous pouvez utiliser l'application pour exécuter les directives de votre société sur des révisions périodiques en matière de conformité. Les responsables de la sécurité et des processus de gestion identifient les directives qui nécessitent des révisions périodiques et définissent des processus de révision. Les réviseurs effectuent les révisions puis les responsables de la sécurité et des processus de gestion déterminent si les mesures de correction sont requises.


Vue d'ensemble SAP GRC Access Control

Figure 1 : Workflow selon les utilisateurs SAP GRC Access Control

SAP Access ControlVue d'ensemble SAP GRC Access Control P U B L I C 9

3 Sujets inter-composantes

SAP GRC Access Control couvre plusieurs fonctions d'autorisation différentes comme les Demandes d'accès (ARQ), l'Analyse de risque d'accès (analyse de risque d'accès), la Gestion des rôles utilisateur (Gestion des rôles utilisateur), la Gestion des accès d'urgence (GAU), les Révisions périodiques de l'accès utilisateur et la séparation des tâches. Cette section de l'aide à l'application inclut les sujets qui s'appliquent à plusieurs domaines notamment les suivants :

● Profils et connexions [page 10]● Intégration [page 14]● Zones personnalisées [page 15]● Navigation [page 16]● Privilèges spéciaux [page 30]●

3.1 Profils et connexions

Utilisation

Les sujets de cette section abordent la gestion des connexions de l’utilisateur final et de l'administrateur ainsi que la gestion de votre profil utilisateur.

Informations complémentaires

Connexion utilisateur final [page 10]

Connexion d'administrateur [page 12]

Gestion de votre profil [page 13]

3.1.1 Connexion utilisateur final

Utilisation

Vous pouvez utiliser l'écran Connexion utilisateur final pour exécuter des tâches d'attribution de privilèges d'accès externes au rôle d'administrateur comme la création de demandes d'accès, la gestion de votre mot de passe et ainsi de suite.


Sujets inter-composantes

Pour accéder à l'écran de connexion d'utilisateur final, utilisez le lien fourni par votre administrateur. Pour en savoir plus, voir Gestion de la connexion d'utilisateur final [page 11].

RemarqueVous n'avez pas besoin d'un compte d'utilisateur dans le système SAP Access Control pour utiliser la connexion d'utilisateur final.

Conditions requises

Vous avez activé la connexion d'utilisateur final dans l'activité IMG Activer la connexion de l'utilisateur final, sous Governance, Risk, and Compliance SAP GRC Access Control Attribution de privilèges d'accès utilisateur .


Connexion d'administrateur [page 12]

3.1.1.1 Gestion de la connexion d'utilisateur final

Utilisation

L'application vous autorise à activer et à désactiver les caractéristiques de connexion d'utilisateur final suivantes :

● Connexion d'utilisateur final● Liens affichés à l'écran Connexion utilisateur final● Exigence que les utilisateurs saisissent leur mot de passe

Procédure

Pour activer et désactiver la connexion d'utilisateur final et définir les liens affichés à l'écran Connexion utilisateur final :

1. Connectez-vous au backend de contrôle d'accès, puis lancez la transaction SPRO.

2. Ouvrez l'activité IMG Activer la connexion de l'utilisateur final, sous Governance, Risk, and ComplianceSAP GRC Access Control Attribution de privilèges d'accès .

3. Gérez les options si nécessaire et sauvegardez l'entrée.

Pour activer et désactiver l'exigence de mot de passe :

1. Connectez-vous au backend de contrôle d'accès, puis lancez la transaction SPRO.

SAP Access ControlSujets inter-composantes P U B L I C 11

2. Ouvrez l'activité IMG Gérer configuration des sources de données, sous Governance, Risk, and ComplianceSAP GRC Access Control .

3. Double-cliquez sur Vérification utilisateur final.4. Dans la zone Authentification, sélectionnez Oui ou Non le cas échéant puis sauvegardez votre entrée.


3.1.2 Connexion d'administrateur

Utilisation

Vous utilisez la connexion d'administrateur pour exécuter des tâches d'administrateur comme la gestion de demandes d'accès, la gestion de risques d'accès, la gestion de rôles et l'exécution de tâches Firefighter et d'accès d'urgence.

L'application fournit deux options pour la connexion d'administrateur :

● NetWeaver Business Client (NWBC)Pour accéder à la connexion NWBC, utilisez SAP GUI pour vous connecter au système SAP GRC Access Control et lancez la transaction NWBC.

● PortailPour accéder à la connexion de Portail, utilisez le lien fourni par l'administrateur.


Connexion utilisateur final [page 10]



3.1.3 Gestion de votre profil

Contexte

Sur l'écran Mon profil, vous pouvez faire ce qui suit :

● Afficher le statut de votre accèsVous pouvez filtrer la liste par les statuts suivants : Arrivant à expiration, Expiré, Actif, Inactif, Tout.

● Afficher la période de validité pour votre accès● Afficher le type d'accès dans la colonne Elément ; par exemple, rôle dérivé, rôle individuel, profil ou système● Afficher le nom du système● Afficher l'affectation

Si le type d'accès est Rôle, la zone Affectation affiche le nom du rôle. Si le type d'accès est Système, la zone Affectation affiche le nom du système.

● Afficher vos informations de profil, comme l'identité, la communication, l'organisation et l'emplacement

RemarqueSur cet écran, les informations sont en lecture seule. Ces informations sont gérées dans le système source de données utilisateur.

● Créer ou modifier des demandes d'accès pour vous-même ou un autre utilisateur

Procédure

1. Dans Ma page d'accueil, sélectionnez l’alias Mon profil.

RemarqueSi vous utilisez la Connexion utilisateur final, sur l'écran Page d'accueil de l'utilisateur final, sélectionnez l'alias Mon profil.

2. Pour filtrer la liste selon le statut, sélectionnez la liste déroulante Statut puis sélectionnez le statut pertinent.3. Pour créer ou modifier la demande d'accès pour une affectation existante, dans la colonne Sélectionner,

sélectionnez la case à cocher pour les postes pertinents puis sélectionnez Demande d'accès.

Pour créer une demande d'accès pour une nouvelle affectation ou une qui ne figure pas sur votre liste, sélectionnez Demande d'accès sans sélectionner de poste.


3.2 Intégration

Utilisation

Informations d'Intégration importantes

Les processus et interfaces utilisateur des produits suivants sont liés car ils ont des fonctionnalités interconnectées :

● SAP Access Control● SAP Process Control● SAP Risk Management

Vous pouvez accéder aux fonctionnalités et à la documentation de ces produits après autorisation et en installant les produits pertinents.

● SAP Access Control 10.1 June 2013 SAP NetWeaver 7.40 Support Package 02● SAP Process Control10.1, June 2013 SAP NetWeaver 7.40 Support Package 02● SAP Risk Management10.1, June 2013 SAP NetWeaver 7.40 Support Package 02


Intégration de données communes (modèle de données) [page 14]

Intégration à SAP GRC Process Control et Risk Management [page 15]

3.2.1 Intégration de données communes (modèle de données)

Utilisation

SAP Access Control, SAP Process Control et SAP Risk Management peuvent partager les données suivantes :

● Les organisations peuvent être communes (facultatif) à SAP Access Control, SAP Process Control et SAP Risk Management. Certaines données d'organisation peuvent être communes et d'autres peuvent être spécifiques à une application unique. L'accès à ces données est contrôlé par les autorisations de l'utilisateur.

● Les contrôles peuvent être communs à SAP Access Control et SAP Process Control. Certaines informations sont spécifiques aux applications pour les applications SAP Access Control et SAP Process Control. L'accès à ces données est contrôlé par les autorisations de l'utilisateur.

● Vous pouvez configurer les propriétés d'IU des attributs (zones) pour qu'elles soient spécifiques aux applications.




Guide de sécurité pour SAP Access Control 10.1, Process Control 10.1 et Risk Management 10.1 sur http://help.sap.com/grc-ac

3.2.2 Intégration à SAP GRC Process Control et Risk Management

Utilisation

Les applications SAP Access Control, SAP Process Control et SAP Risk Management partagent des fonctionnalités et des domaines de menu liés aux .

Conditions requises

● Vous avez configuré l'application GRC par le biais des activités IMG accessibles via la transaction SPRO.● Vous avez lancé l'application GRC.

Fonctionnalités

SAP Access Control et SAP Process Control ont un point d'intégration permettant d'initialiser l'analyse des risques SAP Access Control depuis SAP Process Control.

3.3 Zones personnalisées

Utilisation

Les zones personnalisées sont toutes les zones que vous avez choisi d'ajouter à l'application. Elles sont aussi appelées zones définies par l'utilisateur. SAP livre un ensemble de zones standard avec l'application. Votre société peut avoir besoin des zones qui ne font pas partie de l'ensemble livré.

Vous pouvez gérer vos zones définies par l'utilisateur dans l'activité de Customizing Zones définies par l'utilisateur, sous Governance, Risk and Compliance Options générales .


http://help.sap.com/disclaimer?site=http://help.sap.com/grc-ac


Fonctionnalités

L'application présente le fonctionnalités suivantes afin de gérer les zones définies par l'utilisateur :

● Ajout de zones définies par l'utilisateur HR● Ajout de zones définies par l'utilisateur non-HR● Vérification de zones définies par l'utilisateur● Gestion de zones définies par l'utilisateur dans l'Interface Web● Inclusion de zones définies par l'utilisateur dans le reporting en ligne

3.4 Navigation

Les caractéristiques principales de l'application sont regroupées dans des postes de travail. Les postes de travail apparaissent au début des écrans principaux. Ils sont organisés de façon à fournir un accès facile aux activités d'application et comportent des groupes de menu et des liens vers des activités supplémentaires.

Les principaux postes de travail livrés sont les suivants :

● Ma page d'accueil● Configuration● Gestion des accès● Etats et analyses

Remarque● SAP GRC Access Control est mis à disposition à la fois comme application autonome et comme partie

intégrée de la solution SAP Governance, Risk and Compliance. Les postes de travail pour l'application autonome SAP GRC Access Control diffèrent des postes de travail pour la solution SAP Governance, Risk and Compliance (GRC). La façon dont les écrans sont organisés constitue la seule différence ; les fonctions dans l'application sont identiques.

● L'application fournit un ensemble de postes de travail standard. Cependant votre administrateur système peut les personnaliser selon les structures internes de votre organisation. Selon le produit ou les produits pour lesquels vous disposez d'une licence, les différentes zones des solutions sont affichées (SAP GRC Access Control, SAP GRC Process Control et SAP GRC Risk Management).

3.4.1 Poste de travail Ma page d'accueil

Utilisation

Le poste de travail Ma page d'accueil est un emplacement central où vous pouvez afficher et agir sur vos tâches affectées et les objets accessibles.



Le poste de travail Ma page d'accueil contient les sections suivantes :

● Corbeille de travailIci, vous pouvez afficher toutes les tâches de workflow GRC qui vous sont affectées.

● Ma délégationIci, vous pouvez déléguer l'approbation temporaire de vos tâches de workflow à une autre personne.

● Aide à l'applicationIci, vous pouvez accéder à l'aide à l'application pour les applications GRC.

● Mon profilIci, vous pouvez créer et effectuer un suivi de vos demandes d'accès, afficher vos affectations d'accès et gérer vos options de sécurité.

RemarqueLe poste de travail Ma page d'accueil est commun aux produits Access Control, Process Control et Risk Management dans l'application GRC 10.0. Les groupes de menus et les alias disponibles sur l'écran sont déterminés par les applications pour lesquelles vous détenez une licence. Le contenu dans cette rubrique couvre les fonctions spécifiques à SAP GRC Access Control. Si vous détenez une licence pour des produits supplémentaires, tels que SAP GRC Process Control ou Risk Management, consultez les rubriques pertinentes ci-dessous pour les fonctions spécifiques aux applications.


● Corbeille de travail [page 17]● Délégation de vos tâches d'approbation [page 18]● Mon profil [page 19]

3.4.1.1 Corbeille de travail

Utilisation

La Corbeille de travail affiche les tâches que vous devez traiter à l'aide d'applications GRC.

Activités

Pour traiter une tâche, sélectionnez un hyperlien dans la table. La fenêtre de workflow correspondante apparaît. Traitez la tâche selon les besoins.

La STANDARDVIEW affiche les colonnes.

Pour modifier les colonnes affichées, sélectionnez Options, gérez les colonnes selon les besoins et sauvegardez la vue.


La nouvelle vue apparaît dans la liste déroulante Vue.

3.4.1.2 Corbeille de travail simplifiée

Utilisation

Vous utilisez la corbeille de travail simplifiée pour afficher les demandes d'accès nécessitant une approbation.

RemarqueVous pouvez également utiliser la corbeille de travail classique pour traiter des demandes d'accès. Pour de plus amples informations, reportez-vous à Corbeille de travail [page 17].

Procédure

Utilisez la procédure ci-dessous pour rechercher des demandes spécifiques :

1. A l'aide de la barre de curseur de réglage ou des boîtes d'entrée de date, sélectionnez une date spécifique ou une plage de dates pour les demandes que vous voulez traiter.

2. Vous pouvez également sélectionner une catégorie comme Nouveau compte d'utilisateur pour limiter votre recherche.

3. Sélectionnez un nombre de résultats à afficher par page (facultatif).4. Sélectionnez un critère de tri comme Numéro de demande ou Demandé par (facultatif).

Le système récupère toutes les demandes qui correspondent à vos critères.5. Cliquez sur un numéro de demande pour effectuer une analyse descendante des détails. Vous pouvez cliquer

sur l'icône d'indicateur pour marquer une demande pour traitement ultérieur (facultatif).

RemarqueVotre administrateur système doit configurer votre système pour vous permettre d'utiliser les processus simplifiés de demande d'accès. Pour en savoir plus, consultez le Guide d'installation pour SAP Access Control 10.1, SAP Process Control 10.1 et SAP Risk Management 10.1 à l'adresse http://service.sap.com/instguides .

3.4.1.3 Délégation de vos tâches d'approbation

Utilisation

Sur l'écran Délégation de l'approbateur, vous pouvez affecter votre tâche d'approbation d'une demande à un autre utilisateur.



http://help.sap.com/disclaimer?site=http://service.sap.com/instguides

Procédure

1. Sur le poste de travail Ma page d'accueil, sous le groupe de menu Ma délégation, sélectionnez Délégation de l'approbateur.L'écran Délégation de l'approbateur s'affiche.

2. Sélectionnez Déléguer pour sélectionner un utilisateur.L'écran Détails de l'approbateur délégué apparaît.

3. Dans les zones pertinentes, sélectionnez l'ID pour l'approbateur, la période de validité et le statut de l'approbateur.

4. Sélectionnez Sauvegarder.

Pour plus d'informations sur la capacité d'un administrateur de réaffecter des tâches d'approbation à un autre utilisateur, voir .

3.4.1.4 Mon profil

Utilisation

Vous pouvez utiliser Mon profil pour créer et suivre vos demandes d'accès, afficher vos affectations d'accès et gérer vos options de sécurité.

Activités

● Gestion de votre profil● Vue de votre statut de la demande● Réinitialisation de mots de passe utilisateur● Modification de noms d'utilisateur● Enregistrement de questions de sécurité● Création de demandes d'accès

3.4.1.4.1 Gestion de votre profil

Contexte

Sur l'écran Mon profil, vous pouvez faire ce qui suit :

● Afficher le statut de votre accèsVous pouvez filtrer la liste par les statuts suivants : Arrivant à expiration, Expiré, Actif, Inactif, Tout.


● Afficher la période de validité pour votre accès● Afficher le type d'accès dans la colonne Elément ; par exemple, rôle dérivé, rôle individuel, profil ou système● Afficher le nom du système● Afficher l'affectation

Si le type d'accès est Rôle, la zone Affectation affiche le nom du rôle. Si le type d'accès est Système, la zone Affectation affiche le nom du système.

● Afficher vos informations de profil, comme l'identité, la communication, l'organisation et l'emplacement

RemarqueSur cet écran, les informations sont en lecture seule. Ces informations sont gérées dans le système source de données utilisateur.

● Créer ou modifier des demandes d'accès pour vous-même ou un autre utilisateur

Procédure

1. Dans Ma page d'accueil, sélectionnez l’alias Mon profil.

RemarqueSi vous utilisez la Connexion utilisateur final, sur l'écran Page d'accueil de l'utilisateur final, sélectionnez l'alias Mon profil.

2. Pour filtrer la liste selon le statut, sélectionnez la liste déroulante Statut puis sélectionnez le statut pertinent.3. Pour créer ou modifier la demande d'accès pour une affectation existante, dans la colonne Sélectionner,

sélectionnez la case à cocher pour les postes pertinents puis sélectionnez Demande d'accès.

Pour créer une demande d'accès pour une nouvelle affectation ou une qui ne figure pas sur votre liste, sélectionnez Demande d'accès sans sélectionner de poste.

3.4.1.4.2 Affichage de votre statut de la demande

Contexte

Vous pouvez utiliser l'alias Statut de la demande pour afficher le statut pour des demandes d'accès que vous avez créées. Les demandes peuvent être pour vous ou pour une autre personne.



Procédure

1. Depuis l'écran Ma page d'accueil, sous le groupe de menu Mon profil, sélectionnez Statut de la demande.

RemarqueVous pouvez aussi accéder à cette fonction comme suit : Du poste de travail Gestion des accès, sous le groupe de menu Demande d'accès, sélectionnez Statut de demande.

L'écran Statut de la demande apparaît.2. Pour trier vos demandes par statut, dans la section de Statut de la demande, choisissez parmi les statuts

disponibles : Approuvé, Refusé, Décision en attente, En suspens.3. Pour afficher des informations de workflow, sélectionnez une demande, puis sélectionnez Statut d'instance.

L'écran Statut d'instance MSMP apparaît et affiche les informations sur la demande, comme Créé par, Date de création, Statut chemin d'accès, Approbateurs chemin d'accès sélectionné et Journal d'audit.

RemarqueL'information sur cet écran est en lecture seule et ne peut pas être modifiée.

4. Pour ouvrir une demande d'accès, sélectionnez la demande et ouvrez-la. Selon le statut de la demande, vous pouvez traiter la demande. Par exemple, vous avez une demande pour Créer une affectation d'atténuation. Vous pouvez créer un contrôle pour cette demande. Toutefois si la demande est en attente, alors les boutons sont désactivés.

5. Pour afficher des journaux, sélectionnez la demande puis Aff. journaux attrib. privilèges accès.

3.4.1.4.3 Réinitialisation de mots de passe d'utilisateur

Prérequis

● L'administrateur a géré l'option de self-service pour mot de passe dans l'activité IMG Gérer Self-Service pour mot de passe,sous Governance, Risk, and Compliance SAP GRC Access Control Attribution de privilèges d'accès utilisateur .

● Vous avez enregistré vos questions de sécurité. Pour plus d'informations, voir .

Contexte

Sur l'écran Réinitialiser mot de passe, vous pouvez gérer vos mots de passe d'utilisateur pour des systèmes spécifiques.


Procédure

1. Depuis l'écran Ma page d'accueil, sélectionnez l'alias Réinitialiser mot de passe pour ouvrir l'écran Réinitialiser mot de passe.

RemarqueSi vous utilisez la Connexion d'utilisateur final, sur l'écran Page d'ouverture de l'utilisateur final, sélectionnez l'alias Self-service pour mot de passe.

2. Répondez aux questions de sécurité, puis sélectionnez Suivant.

RemarqueL'administrateur peut exiger que l'utilisateur réponde à un nombre minimum de questions. Par exemple, demandez que l'utilisateur réponde à un minimum de trois questions de sécurité pour permettre une réinitialisation des mots de passe. Pour plus d'informations, voir l'activité IMG Gérer Self-Service pour mot de passe, sous Governance, Risk, and Compliance SAP GRC Access Control Attribution de privilèges d'accès utilisateur .

3. Sélectionnez Ajouter pour sélectionner les systèmes pour lesquels vous voulez modifier votre mot de passe d'utilisateur.

L'écran affiche tous les systèmes pour lesquels vous avez un compte d'utilisateur valide. Sélectionnez les systèmes pertinents, puis OK.

4. Sélectionnez Soumettre puis fermez l'écran.

L'application vous envoie le lien pour un nouveau mot de passe temporaire dans un e-mail. L'application fournit un lien distinct pour chaque système. Vous pouvez utiliser le mot de passe temporaire pour vous connecter au système et modifier le mot de passe.

RemarqueA des fins de sécurité, le lien pour le mot de passe temporaire ne peut être utilisé qu'une fois. Vous pouvez indiquer la période (en secondes) pendant laquelle le mot de passe est visible. Vous gérez l'option dans l'activité IMG Gérer options d'attribution de privilèges d'accès, sous Governance, Risk, and ComplianceSAP GRC Access Control Attribution de privilèges d'accès utilisateur .

3.4.1.4.4 Modification de noms d'utilisateur

Contexte

Sur l'écran Modification de nom, vous pouvez modifier votre nom d'utilisateur pour des systèmes spécifiques.



Procédure

1. Sur l'écran Ma page d'accueil, sélectionnez l'alias Modification de nom .

RemarqueSi vous utilisez la Connexion utilisateur final, sélectionnez l'alias Modification de nom sur l'écran Page d'ouverture de l'utilisateur final.

2. Répondez aux questions de sécurité et sélectionnez Suivant.3. Dans les zones respectives, saisissez l'ancien ID utilisateur et le nouvel ID utilisateur, puis sélectionnez

Suivant.4. Sélectionnez Ajouter et sélectionnez les systèmes pour lesquels vous voulez modifier votre nom d'utilisateur.5. Sous la colonne Mot de passe, saisissez le mot de passe d'utilisateur pour chaque système.6. Sélectionnez Envoyer.

3.4.1.4.5 Enregistrement de questions de sécurité

Prérequis

L'administrateur a géré l'option de self-service pour mot de passe dans l'activité IMG Gérer Self-Service pour mot de passe, sous Governance, Risk, and Compliance SAP GRC Access Control Attribution de privilèges d'accès utilisateur .

Contexte

A l'écran Questions de sécurité, vous pouvez gérer les questions de sécurité utilisées pour confirmer votre identité lors d'une réinitialisation de vos mots de passe d'utilisateur.

Procédure

1. Depuis l'écran Ma page d'accueil, sélectionnez l'alias Enregistrer questions de sécurité pour ouvrir l'écran Questions de sécurité.

RemarqueSi vous utilisez la connexion d'utilisateur final, sur l'écran Page d'accueil de l'utilisateur final, sélectionnez l'alias Enregistrer les questions du Self-service.


2. Sélectionnez Ajouter pour créer vos questions de sécurité.○ Pour ajouter vos propres questions, sélectionnez Questions définies par l'utilisateur.○ Pour ajouter des questions qui sont fournies par l'administrateur, sélectionnez Questions définies par

l'administrateur.3. Pour désactiver une question de sécurité et la garder sur votre liste, sélectionnez Statut et sélectionnez

Inactif.4. Gérez les questions de sécurité si nécessaire puis sélectionnez Sauvegarder et Fermer.

3.4.1.4.6 Création de demandes d'accès

Utilisation

Sur l'écran Demande d'accès, vous pouvez créer des demandes d'accès pour vous-même, pour un autre utilisateur ou pour des utilisateurs multiples.

Conditions requises

L'administrateur a terminé les activités pour l'activité IMG Gérer options d'attribution de privilèges d'accès, sous Governance, Risk, and Compliance SAP GRC Access Control Attribution de privilèges d'accès utilisateur .

Procédure

1. Du poste de travail Gestion des accès, sous le groupe de menu Demande d'accès, sélectionnez Création de demande d'accès.

Remarque○ Si vous utilisez la connexion d'utilisateur final, sur l'écran Page d'accueil d'utilisateur final, sélectionnez

Demande d'accès.



2. Sous la zone Détails de la demande, saisissez l'information requise dans les zones :

Table 2 :

Zone Description

Type de demande Exemples : Nouveau compte, Modifier compte, Accès superutilisateur et ainsi de suite.

Vous pouvez gérer la liste de types de demande disponibles dans l'activité

IMG Définir types de demande, sous Governance, Risk, and Compliance

SAP GRC Access Control Attribution de privilèges d'accès utilisateur .

Demande pour Choisissez de créer une demande pour ce qui suit :

○ Auto, pour créer une demande pour vous-même.La zone Utilisateur est inactive et affiche votre ID utilisateur.

○ Autre, pour créer une demande au nom d'un autre utilisateur.La zone Utilisateur est active et vous autorise à sélectionner le nom de l'utilisateur.

○ Multiple, pour créer une demande pour des utilisateurs multiples.L'application affiche la page à onglet Utilisateurs et vous autorise à sélectionner des utilisateurs multiples. Sélectionnez Ajouter pour ajouter manuellement chaque utilisateur ou sélectionnez Importer pour utiliser un modèle pour importer des utilisateurs multiples.

Priorité Exemples : Haut, Bas et ainsi de suite.

Vous pouvez gérer la liste de types des priorités disponibles dans l'activité

de Customizing Gérer configurations de priorité, sous Governance,

Risk, and Compliance SAP GRC Access Control Attribution de privilèges

d'accès utilisateur .

Processus de gestion Exemples : RH et Paie, Finance et ainsi de suite.

Vous pouvez gérer la liste de processus de gestion disponibles dans l'activité IMG Gérer processus de gestion et sous-processus, sous

Governance, Risk and Compliance SAP GRC Access Control .

Domaine fonctionnel Exemples : Ventes, Ressources humaines et ainsi de suite.

Vous pouvez gérer la liste de domaines fonctionnels disponibles dans l'acti

vité IMG Gérer domaines fonctionnels, sous Governance, Risk and

Compliance SAP GRC Access Control Gestion des rôles .

3. Dans la page à onglet Accès utilisateur, choisissez parmi les options suivantes pour sélectionner les rôles auxquels vous voulez être affectés et les systèmes pour lesquels vous demandez un accès :○ Sélectionnez Ajouter et sélectionnez les éléments suivants :

○ Rôle○ Cliquez sur Ajouter puis cliquez sur Rôle pour rechercher les rôles que vous souhaitez. Une fois

que le système présente les résultats de votre recherche, vous pouvez cliquer sur un nom de rôle


récupéré pour accéder aux détails supplémentaires relatifs au rôle, par exemple les actions valides pour un rôle composite.

○ Si vous sélectionnez un Rôle utilisateur, vous pouvez choisir l'environnement pour lequel vous souhaitez attribuer des privilèges d'accès. Les options d'environnement sont les suivantes : Tous, Développement, Production et Test. Ce choix est uniquement disponible si vous activez le paramètre de configuration SAP GRC Access Control 3026 (Activer attribution de privilèges d'accès de rôle utilisateur en fonction de l'environnement) sur Oui. Non est la valeur par défaut pour ce paramètre.

RemarquePour Recherche de rôle, l'application vous permet (autorisation d'administrateur requise) de configurer les zones de critères de recherche. Vous pouvez ajouter des zones personnalisées et configurer leurs attributs. Par exemple, vous pouvez définir les valeurs par défaut et définir si la zone est obligatoire. Vous pouvez configurer les zones dans le Customizing pour Gérer zones personnalisées pour personnalisation de recherche de rôle sous Governance, Risk, and Compliance SAP GRC Access Control Attribution des privilèges .

○ Système○ ID Firefighter○ Rôle Firefighter

RemarqueLorsqu'un ID Firefighter ou un rôle Firefighter est requis, vous pouvez filtrer la recherche à l'aide de Système et Code d'action. Si vous utilisez Code d'action, vous devez également indiquer le Système. Pour les demandes d'ID Firefighter et de rôle Firefighter, le détenteur est affiché dans la colonne Approbateur d'affectation.

○ Sélectionnez Affectations existantes pour sélectionner dans la liste des rôles et des systèmes qui sont affectés actuellement à l'utilisateur.Si la zone Demande pour est définie sur Multiple, l'application désactive ce bouton.

RemarquePour utiliser des applications dans un système, vous devez avoir accès au système et à un rôle sur le système. Vous devez donc demander à avoir un utilisateur dans le système puis demander d'affecter un rôle à l'utilisateur. S'il n'existe encore aucun utilisateur, vous pouvez également indiquer que l'application en crée un automatiquement dans le système en configurant l'activité IMG Gérer options d'attribution de privilèges d'accès sous Governance, Risk, and Compliance SAP GRC Access Control Attribution des privilèges .

4. Dans la colonne Actions d'attribution de privilèges d'accès, sélectionnez l'action appropriée, comme Créer utilisateur, Affecter (rôle) et ainsi de suite.Vous pouvez placer les actions d'attribution de privilèges d'accès disponibles dans la liste déroulante dans l'activité IMG Définir type de demande, sous Governance, Risk, and Compliance SAP GRC Access Control

Attribution de privilèges d'accès utilisateur .5. Dans la colonne Commentaires, sélectionnez Ajouter commentaire et saisissez les informations sur la

demande.



Vous pouvez définir si les commentaires sont obligatoires dans l'activité IMG Gérer options de configuration, sous Governance, Risk and Compliance SAP GRC Access Control . Pour les colonnes pertinentes, activez les valeurs suivantes :○ Groupe de paramètres : Sélection de rôle de demande d'accès○ ID du paramètre : 2036○ Valeur du paramètre : Oui ou Non, selon les besoins

6. Dans la page à onglet Détails utilisateur, saisissez toutes les informations requises.7. Sélectionnez Simulation, si vous voulez exécuter une analyse des risques des rôles demandés et de l'accès au

système avant d'envoyer la demande.8. Sélectionnez Envoyer.

L'application envoie une notification par e-mail à l'approbateur. Vous pouvez configurer l'e-mail dans l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous Governance, Risk, and ComplianceSAP GRC Access Control Workflow pour SAP GRC Access Control . Dans la phase Gérer chemins d'accès, sous la zone Gérer stades, sélectionnez Options de notification.Les approbateurs peuvent aussi accéder et traiter la demande à partir de leur corbeille de travail.

Les utilisateurs finaux peuvent afficher le statut de la demande à partir de l'alias .


Affichage de votre statut de la demande [page 20]

Modification des détails d'utilisateur [page 47]

Vérification et autorisation des demandes d'accès [page 50]

Analyse de risques lorsque vous envoyez des demandes d'accès [page 40]

3.4.1.4.7 Créer une demande simplifiée

Contexte

Une interface utilisateur plus simple permet de demander des rôles pour l'ajout, la suppression ou l'extension.

Procédure

1. Pour demander un accès pour vous-même ou pour d'autres, saisissez les informations suivantes :


RemarqueUn astérisque (*) à l'écran désigne une zone obligatoire.

Table 3 :

Zone Description

Motif de la demande Sélectionnez un motif dans la liste déroulante ou sélectionnez Autres et écrivez votre motif dans la boîte en dessous.

Infos utilisateur Le système remplit vos informations pour votre demande. Si la demande concerne d'autres utilisateurs, vous pouvez rechercher des informations d'utilisateur via l'aide à la saisie dans la zone d'ID utilisateur.

Sélectionner les rôles pour l'ajout Vous pouvez rechercher des rôles par attributs de rôle comme le nom, le système, le code de transaction ou le mot-clé. Les caractères génériques comme * sont valides. Vous pouvez aussi utiliser la Recherche avancée pour une recherche plus granuleuse. Vous pouvez utiliser les filtres à gauche de l'écran pour affiner davantage vos résultats de recherche.

Vous pouvez afficher la liste de codes de transaction définis dans le rôle par cliquer sur le nom du rôle. Vous pouvez effectuer une analyse descendante pour obtenir plus d'informations sur le rôle en cliquant sur le bouton Afficher plus à l'écran pop-up.

Sélectionner les rôles pour la suppression Sélectionnez cette option pour supprimer les affectations de rôle de cet utilisateur.

Sélectionner les rôles pour l'extension Sélectionnez cette option pour étendre les dates de validité du rôle.

2. En cas de demande d'accès pour d'autres utilisateurs, vous pouvez à titre facultatif exécuter l'analyse des risques en cliquant sur l'Analyse des risques dans le panneau latéral.

A titre facultatif, vous pouvez afficher les rôles ajoutés par le système en cliquant sur le panneau latéral Rôles ajoutés par le système.

3. A titre facultatif, vous pouvez sauvegarder la demande comme version préliminaire à traiter ultérieurement.4. Lorsque votre demande est terminée, soumettez-la pour approbation.

3.4.2 Poste de travail Configuration

Le poste de travail Configuration fournit un emplacement central pour effectuer des activités de préparation uniques ou rares comme la création d'ensembles de règles d'accès, la création des règles atténuantes et ainsi de suite.



Le poste de travail Configuration contient les sections suivantes :

● Gestion des règles d'accès [page 80]● Règles d'accès critiques [page 95]●● Utilisation de la gestion des accès d'urgence [page 172]●● Règles d'accès d'exception [page 69]● Règles générées [page 77]● Contrôles d'atténuation [page 67]

3.4.3 Poste de travail Gestion des accès

Le poste de travail Gestion des accès fournit un emplacement central pour exécuter des tâches comme le suivi, le test et l'exécution d'accès et les contrôles d'autorisation.

Le poste de travail Gestion des accès contient les sections suivantes :

● Analyse de risque d'accès [page 98]● Accès atténué [page 115]● Administration des demandes d'accès [page 59]● Création de la demande d'accès [page 35]● Considérations de la gestion des rôles [page 136]● Révisions de certification de conformité [page 202]● Analyse de rôles [page 160]● Gestion en masse des rôles [page 163]● Alertes [page 128]● Ordonnancement de jobs d'arrière-plan [page 32]

RemarqueLe poste de travail Gestion des accès est partagé par les produits SAP GRC Access Control, SAP GRC Process Control et Risk Management dans l'application GRC. Les groupes de menus et les alias disponibles sur l'écran sont déterminés par les applications pour lesquelles vous détenez une licence.

3.4.4 Etats et analyses

Le poste de travail Etats et analyses fournit un emplacement central pour afficher des états et des tableaux de bord pour les informations SAP GRC Access Control, comme les alertes, l'analyse d'utilisateur, les rapports d'audit etc.

RemarqueLe poste de travail Etats et analyses est partagé par les produits SAP GRC Access Control, SAP GRC Process Control et Risk Management dans l'application GRC. Les groupes de menus et les alias disponibles sur l'écran


sont déterminés par les applications pour lesquelles vous détenez une licence. Le contenu dans cette rubrique couvre les fonctions spécifiques à SAP GRC Access Control.

Table 4 :

Catégorie Description

Tableaux de bord d'accès Tableaux de bord pour l'analyse de risque d'accès, la gestion de rôle utilisateur et la gestion des accès utilisateurs

Etats d'analyse des risques d'accès Etats liés à l'analyse de risque d'accès, y compris des violations de risque d'utilisateur, des violations de risque de rôle, des violations de risque de profil et des violations de risque d'objet RH.

Etats de demande d'accès Etats liés aux demandes d'accès, y compris le niveau de service pour des demandes et des demandes avec conflits et atténuation

Etats de la gestion des rôles Etats liés à la gestion de rôle, y compris des relations entre les rôles et les utilisateurs et des relations entre les rôles de base-à-dérivés

Etats de sécurité Etats liés à l'utilisateur, au rôle et à la sécurité de profil

Etats de vérification Etats en rapport avec l'audit, y compris des actions dans des rôles (mais pas dans des règles) et des approbations dans des rôles (mais pas dans des règles)

Etats de gestion des accès utilisateur d'urgence Etats liés à des activités de superutilisateur, y compris des superutilisateurs non valides et des journaux consolidés

3.5 Privilèges spéciaux

Les utilisateurs SAP GRC Access Control auxquels des privilèges spéciaux ont été affectés peuvent être affectés comme détenteurs. Les utilisateurs auxquels des privilèges spéciaux peuvent être affectés incluent ce qui suit :

Table 5 :

Type Description

Détenteur ID Firefighter Les détenteurs d'ID Firefighter sont responsables de gérer les ID Firefighter et leurs affectations aux firefighters. Les détenteurs d'ID Firefighter utilisent le rôle par défaut SAP_GRAC_SUPER_USER_MGMT_OWNER.



Type Description

Détenteur du rôle Firefighter Les détenteurs de rôle Firefighter sont responsables de la gestion des rôles Firefighter et de leurs affectations aux firefighters. Les détenteurs de rôle Firefighter utilisent le rôle par défaut SAP_GRAC_SUPER_USER_MGMT_OWNER.

Détenteur du risque Les détenteurs du risque sont affectés aux risques et sont communément responsables d'approuver les modifications apportées aux définitions du risque et aux violations du risque.

Détenteur du rôle (ERM) Les détenteurs du rôle sont responsables d'approuver du contenu ou de l'affectation de rôle utilisateur ou les deux.

Moniteur d'atténuation Les moniteurs d'atténuation sont affectés aux contrôles pour surveiller l'activité et peuvent recevoir des alertes de moniteur de contrôle.

Approbateur d'atténuation Les approbateurs d'atténuation sont affectés aux contrôles et sont responsables d'approuver les modifications apportées à la définition de contrôle et aux affectations.

Contrôleur d'ID Firefighter Les contrôleurs d'ID Firefighter sont responsables de réviser le journal généré pendant l'usage d'ID Firefighter. Les contrôleurs d'ID Firefighter utilisent le rôle par défaut SAP_GRAC_SUPER_USER_MGMT_CNTLR.

Contrôleur de rôle Firefighter Les contrôleurs de rôle Firefighter sont responsables de réviser le journal généré pendant l'usage de rôle Firefighter. Les contrôleurs de rôle Firefighter utilisent le rôle par défaut SAP_GRAC_SUPER_USER_MGMT_CNTLR.

Point de contact Le point de contact est un approbateur pour un domaine fonctionnel spécifique. Le domaine fonctionnel est un attribut utilisé pour classer des utilisateurs et des rôles.

Responsable sécurité Le responsable de la sécurité est un groupe ou un individu qui peut fournir une approbation secondaire pour des demandes d'accès et des révisions.

Trois types de groupes sont définis pour les détenteurs :

● Détenteur● Groupe de détenteurs● Groupe Lightweight Directory Access Protocol (LDAP)


3.6 Jobs d'arrière-plan

Utilisation

Dans le poste de travail Gestion d'accès, sous Planification, vous pouvez utiliser les liens pour planifier et afficher les jobs d'arrière-plan.

Fonctionnalités

● Ordonnanceur de jobs d'arrière-plan [page 32]● Ordonnancement de jobs d'arrière-plan [page 32]

3.6.1 Ordonnanceur de jobs d'arrière-plan

Utilisation

Vous pouvez utiliser Ordonnanceur de jobs arrière-plan pour créer et gérer des ordonnancements pour des jobs d'arrière-plan.

Activités

1. Saisissez le nom de l'ordonnancement.2. Sélectionnez une activité pour le job d'arrière-plan.3. Sélectionnez si le job d'arrière-plan doit être lancé immédiatement.4. Indiquez la date et l'heure de début.

3.6.2 Ordonnancement de jobs d'arrière-plan

Utilisation

Sur l'écran Ordonnancement, vous pouvez sélectionner de planifier que le job s'exécute en arrière-plan à un moment donné ou sélectionner d'exécuter le job en avant-plan.

Pour exécuter le job en avant-plan, sélectionnez la case à cocher Avant-plan et sélectionnez Soumettre.



Procédure

Pour exécuter le job comme job d'arrière-plan :

1. Sous la section Ordonnancer, sélectionnez Arrière-plan.2. Pour activer le job pour qu'il revienne plusieurs fois, mettez l'option Plan récurrent sur Oui puis sélectionnez la

date et les heures.Vous pouvez définir la Fréquence comme : Horaire, Quotidienne, Hebdomadaire ou Mensuelle.Dans la zone Récurrence, vous pouvez activer le job d'arrière-plan pour qu'il revienne tous les certains nombres d'heures. Par exemple, revenir toutes les 4 heures.

3. Pour activer le job afin qu'il s'exécute une seule fois, définissez l'option Plan récurrent sur Non. Vous pouvez choisir de lancer le job immédiatement ou de commencer à une date et heure spécifique.

4. Sélectionnez Envoyer.


4 Gestion de demandes d'accès

Utilisation

SAP Access Control propose un framework standard et centralisé pour demander un accès utilisateur, réviser et gérer ces demandes.

Ce processus explique comment surveiller et empêcher des risques à l'aide d'un workflow d'approbation et d'une analyse des risques pendant l'attribution de privilèges.

Conditions requises

● En dehors de l'application, vous avez identifié vos besoins de gestion et évalué votre approche de l'accès au système.

● Dans l'application, vous avez géré la révision et les workflows d'approbation.Vous gérez les workflows dans l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous

Governance, Risk, and Compliance SAP GRC Access Control Workflow pour SAP GRC Access Control

Processus

Le processus d'attribution des privilèges de base, comme l'indiquent la plupart des administrateurs système, est décrit ci-dessous.

1. Créer et soumettre une demande d'accès utilisateurL'utilisateur crée une demande d'accès en sélectionnant des applications et des rôles appropriés qui fournissent un accès au système pour exécuter des tâches de travail. Une fois toutes les zones obligatoires de la demande d'accès utilisateur renseignées, il ou elle soumet cette demande pour approbation.

2. Réviser la demandeChaque approbateur révise la demande d'accès approprié.

3. Modifier la demandeSi l'accès n'est pas approprié, chaque approbateur peut modifier la demande.

4. Effectuer l’analyse des risquesL'analyse des risques devrait être effectuée pour assurer que l'approbation de la demande n'introduise pas de risques d'accès dans l'environnement.1. Modifier la demande d'accès pour supprimer des conflits le cas échéant.2. Si l'accès ne peut pas être modifié, le risque devrait être atténué selon les directives de votre société.

5. Attribution de privilèges d'accès utilisateurUne fois la demande approuvée, l'accès est mis à disposition des utilisateurs.


Gestion de demandes d'accès

Résultat

L'accès est mis à disposition dans des environnements sans risques ou avec des risques atténués pour garantir un accès utilisateur conforme.

4.1 Création de la demande d'accès

L'application SAP GRC Access Control permet de créer des demandes d'accès pour obtenir l'accès aux systèmes et aux autorisations pour exécuter des tâches. Vous pouvez créer des demandes d'accès pour vous-même, pour un autre utilisateur ou pour des utilisateurs multiples.

Vous pouvez initialiser le processus de création de demandes d'accès sur les écrans suivants :

● Pour la connexion d'utilisateur final, allez à l'écran Page d'ouverture de l'utilisateur final puis sélectionnez Demande d'accès.

● Pour la connexion de NWBC ou la connexion de Portail, allez au poste de travail Ma page d'accueil ou au poste de travail Gestion des accès puis sélectionnez Demande d'accès ou Créer demande - Simplifiée.

Le menu Demande d'accès regroupe des fonctions permettant de créer des demandes pour l'accès d'utilisateur, l'accès au système et les affectations organisationnelles. Ce groupe de menus est mis à disposition du poste de travail Gestion des accès, où vous pouvez procéder comme suit :

● Utilisez Demande d'accès pour créer des demandes pour vous-même, pour un autre utilisateur ou pour des utilisateurs multiples.

● Utilisez Utilisateur du modèle pour créer des demandes d'accès basées sur un utilisateur modèle.● Utilisez la Demande basée sur modèle pour créer des demandes d'accès basées sur un modèle.● Utilisez la Demande de copie pour utiliser les détails d'une demande existante afin de créer une demande.● Utilisez la Demande d'affectation organisationnelle pour créer des demandes pour les affectations

organisationnelles.● Utilisez Créer demande - Simplifiée pour créer des demandes à l'aide d'une interface utilisateur rationalisée.

4.1.1 Demandes d'accès simplifiées

Le traitement de demande d'accès simplifiée permet de traiter des demandes d'accès à l'aide d'écrans transformés avec une interface utilisateur rationalisée. Vous pouvez utiliser ces écrans à la place des anciens écrans de traitement de demande d'accès ou vous pouvez continuer à utiliser les anciens écrans. Les écrans transformés suivants sont mis à disposition

● Créer une demande simplifiée [page 27]

SAP Access ControlGestion de demandes d'accès P U B L I C 35

4.1.1.1 Créer une demande simplifiée

Contexte

Une interface utilisateur plus simple permet de demander des rôles pour l'ajout, la suppression ou l'extension.

Procédure

1. Pour demander un accès pour vous-même ou pour d'autres, saisissez les informations suivantes :

RemarqueUn astérisque (*) à l'écran désigne une zone obligatoire.

Table 6 :

Zone Description

Motif de la demande Sélectionnez un motif dans la liste déroulante ou sélectionnez Autres et écrivez votre motif dans la boîte en dessous.

Infos utilisateur Le système remplit vos informations pour votre demande. Si la demande concerne d'autres utilisateurs, vous pouvez rechercher des informations d'utilisateur via l'aide à la saisie dans la zone d'ID utilisateur.

Sélectionner les rôles pour l'ajout Vous pouvez rechercher des rôles par attributs de rôle comme le nom, le système, le code de transaction ou le mot-clé. Les caractères génériques comme * sont valides. Vous pouvez aussi utiliser la Recherche avancée pour une recherche plus granuleuse. Vous pouvez utiliser les filtres à gauche de l'écran pour affiner davantage vos résultats de recherche.

Vous pouvez afficher la liste de codes de transaction définis dans le rôle par cliquer sur le nom du rôle. Vous pouvez effectuer une analyse descendante pour obtenir plus d'informations sur le rôle en cliquant sur le bouton Afficher plus à l'écran pop-up.

Sélectionner les rôles pour la suppression Sélectionnez cette option pour supprimer les affectations de rôle de cet utilisateur.



Zone Description

Sélectionner les rôles pour l'extension Sélectionnez cette option pour étendre les dates de validité du rôle.

2. En cas de demande d'accès pour d'autres utilisateurs, vous pouvez à titre facultatif exécuter l'analyse des risques en cliquant sur l'Analyse des risques dans le panneau latéral.

A titre facultatif, vous pouvez afficher les rôles ajoutés par le système en cliquant sur le panneau latéral Rôles ajoutés par le système.

3. A titre facultatif, vous pouvez sauvegarder la demande comme version préliminaire à traiter ultérieurement.4. Lorsque votre demande est terminée, soumettez-la pour approbation.

4.1.2 Création de demandes d'accès

Utilisation

Sur l'écran Demande d'accès, vous pouvez créer des demandes d'accès pour vous-même, pour un autre utilisateur ou pour des utilisateurs multiples.

Conditions requises

L'administrateur a terminé les activités pour l'activité IMG Gérer options d'attribution de privilèges d'accès, sous Governance, Risk, and Compliance SAP GRC Access Control Attribution de privilèges d'accès utilisateur .

Procédure

1. Du poste de travail Gestion des accès, sous le groupe de menu Demande d'accès, sélectionnez Création de demande d'accès.

Remarque○ Si vous utilisez la connexion d'utilisateur final, sur l'écran Page d'accueil d'utilisateur final, sélectionnez

Demande d'accès.


2. Sous la zone Détails de la demande, saisissez l'information requise dans les zones :

Table 7 :

Zone Description

Type de demande Exemples : Nouveau compte, Modifier compte, Accès superutilisateur et ainsi de suite.

Vous pouvez gérer la liste de types de demande disponibles dans l'activité

IMG Définir types de demande, sous Governance, Risk, and Compliance

SAP GRC Access Control Attribution de privilèges d'accès utilisateur .

Demande pour Choisissez de créer une demande pour ce qui suit :

○ Auto, pour créer une demande pour vous-même.La zone Utilisateur est inactive et affiche votre ID utilisateur.

○ Autre, pour créer une demande au nom d'un autre utilisateur.La zone Utilisateur est active et vous autorise à sélectionner le nom de l'utilisateur.

○ Multiple, pour créer une demande pour des utilisateurs multiples.L'application affiche la page à onglet Utilisateurs et vous autorise à sélectionner des utilisateurs multiples. Sélectionnez Ajouter pour ajouter manuellement chaque utilisateur ou sélectionnez Importer pour utiliser un modèle pour importer des utilisateurs multiples.

Priorité Exemples : Haut, Bas et ainsi de suite.

Vous pouvez gérer la liste de types des priorités disponibles dans l'activité

de Customizing Gérer configurations de priorité, sous Governance,

Risk, and Compliance SAP GRC Access Control Attribution de privilèges

d'accès utilisateur .

Processus de gestion Exemples : RH et Paie, Finance et ainsi de suite.

Vous pouvez gérer la liste de processus de gestion disponibles dans l'activité IMG Gérer processus de gestion et sous-processus, sous

Governance, Risk and Compliance SAP GRC Access Control .

Domaine fonctionnel Exemples : Ventes, Ressources humaines et ainsi de suite.

Vous pouvez gérer la liste de domaines fonctionnels disponibles dans l'acti

vité IMG Gérer domaines fonctionnels, sous Governance, Risk and

Compliance SAP GRC Access Control Gestion des rôles .

3. Dans la page à onglet Accès utilisateur, choisissez parmi les options suivantes pour sélectionner les rôles auxquels vous voulez être affectés et les systèmes pour lesquels vous demandez un accès :○ Sélectionnez Ajouter et sélectionnez les éléments suivants :

○ Rôle○ Cliquez sur Ajouter puis cliquez sur Rôle pour rechercher les rôles que vous souhaitez. Une fois

que le système présente les résultats de votre recherche, vous pouvez cliquer sur un nom de rôle



récupéré pour accéder aux détails supplémentaires relatifs au rôle, par exemple les actions valides pour un rôle composite.

○ Si vous sélectionnez un Rôle utilisateur, vous pouvez choisir l'environnement pour lequel vous souhaitez attribuer des privilèges d'accès. Les options d'environnement sont les suivantes : Tous, Développement, Production et Test. Ce choix est uniquement disponible si vous activez le paramètre de configuration SAP GRC Access Control 3026 (Activer attribution de privilèges d'accès de rôle utilisateur en fonction de l'environnement) sur Oui. Non est la valeur par défaut pour ce paramètre.

RemarquePour Recherche de rôle, l'application vous permet (autorisation d'administrateur requise) de configurer les zones de critères de recherche. Vous pouvez ajouter des zones personnalisées et configurer leurs attributs. Par exemple, vous pouvez définir les valeurs par défaut et définir si la zone est obligatoire. Vous pouvez configurer les zones dans le Customizing pour Gérer zones personnalisées pour personnalisation de recherche de rôle sous Governance, Risk, and Compliance SAP GRC Access Control Attribution des privilèges .

○ Système○ ID Firefighter○ Rôle Firefighter

RemarqueLorsqu'un ID Firefighter ou un rôle Firefighter est requis, vous pouvez filtrer la recherche à l'aide de Système et Code d'action. Si vous utilisez Code d'action, vous devez également indiquer le Système. Pour les demandes d'ID Firefighter et de rôle Firefighter, le détenteur est affiché dans la colonne Approbateur d'affectation.

○ Sélectionnez Affectations existantes pour sélectionner dans la liste des rôles et des systèmes qui sont affectés actuellement à l'utilisateur.Si la zone Demande pour est définie sur Multiple, l'application désactive ce bouton.

RemarquePour utiliser des applications dans un système, vous devez avoir accès au système et à un rôle sur le système. Vous devez donc demander à avoir un utilisateur dans le système puis demander d'affecter un rôle à l'utilisateur. S'il n'existe encore aucun utilisateur, vous pouvez également indiquer que l'application en crée un automatiquement dans le système en configurant l'activité IMG Gérer options d'attribution de privilèges d'accès sous Governance, Risk, and Compliance SAP GRC Access Control Attribution des privilèges .

4. Dans la colonne Actions d'attribution de privilèges d'accès, sélectionnez l'action appropriée, comme Créer utilisateur, Affecter (rôle) et ainsi de suite.Vous pouvez placer les actions d'attribution de privilèges d'accès disponibles dans la liste déroulante dans l'activité IMG Définir type de demande, sous Governance, Risk, and Compliance SAP GRC Access Control

Attribution de privilèges d'accès utilisateur .5. Dans la colonne Commentaires, sélectionnez Ajouter commentaire et saisissez les informations sur la

demande.


Vous pouvez définir si les commentaires sont obligatoires dans l'activité IMG Gérer options de configuration, sous Governance, Risk and Compliance SAP GRC Access Control . Pour les colonnes pertinentes, activez les valeurs suivantes :○ Groupe de paramètres : Sélection de rôle de demande d'accès○ ID du paramètre : 2036○ Valeur du paramètre : Oui ou Non, selon les besoins

6. Dans la page à onglet Détails utilisateur, saisissez toutes les informations requises.7. Sélectionnez Simulation, si vous voulez exécuter une analyse des risques des rôles demandés et de l'accès au

système avant d'envoyer la demande.8. Sélectionnez Envoyer.

L'application envoie une notification par e-mail à l'approbateur. Vous pouvez configurer l'e-mail dans l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous Governance, Risk, and ComplianceSAP GRC Access Control Workflow pour SAP GRC Access Control . Dans la phase Gérer chemins d'accès, sous la zone Gérer stades, sélectionnez Options de notification.Les approbateurs peuvent aussi accéder et traiter la demande à partir de leur corbeille de travail.

Les utilisateurs finaux peuvent afficher le statut de la demande à partir de l'alias .


Affichage de votre statut de la demande [page 20]

Modification des détails d'utilisateur [page 47]

Vérification et autorisation des demandes d'accès [page 50]

Analyse de risques lorsque vous envoyez des demandes d'accès [page 40]

4.1.3 Analyse de risques lorsque vous envoyez des demandes d'accès

Utilisation

Sur l'écran Demande d'accès, vous pouvez effectuer des analyses de risques et des analyses d'impact sur les pages à onglet suivantes :

● Violations de risquesSi vous voulez sauvegarder les résultats de l'analyse, utilisez la fonction d'analyse dans l'onglet.

● Accès utilisateurLa caractéristique Simulation vous autorise à effectuer d'abord l'analyse, puis à choisir de sauvegarder ou non les résultats.

Remarque● Vous pouvez définir l'application de sorte qu'elle analyse automatiquement les risques lorsqu'une

personne envoie une demande d'accès. Par exemple, si l'auteur de la demande décide d'envoyer une



demande sans analyser les risques d'abord, l'application effectue automatiquement une analyse et ajoute les résultats à la demande d'accès qui apparaît dans la corbeille de travail de l'approbateur.Vous gérez cette option dans l'activité IMG Gérer options de configuration, sous Governance, Risk, and Compliance SAP GRC Access Control . Pour le paramètre Activer analyse des risques lors de l'envoi du formulaire, saisissez les valeurs comme suit :

Table 8 :

Colonne Valeur

Groupe de paramètres Analyse des risques - Demande d'accès

ID du paramètre 1071

Valeur du paramètre Oui ou Non, le cas échéant

● Vous pouvez personnaliser l'application pour inclure des affectations de firefighter automatiquement dans l'analyse des risques.Vous gérez cette option dans l'activité IMG Gérer options de configuration, sous Governance, Risk, and Compliance SAP GRC Access Control . Pour le paramètre Prendre en compte les affectations FF dans l'analyse des risques, saisissez les valeurs comme suit :

Table 9 :

Colonne Valeur

Groupe de paramètres Analyse des risques



Procédure

La procédure suivante est la même quelle que soit la page à onglet que vous sélectionnez pour l'initialiser. La seule différence est que la fonctionnalité de simulation vous permet de choisir si vous souhaitez sauvegarder les résultats ou non.

1. Sur l'écran , procédez comme suit :○ Sélectionnez l'onglet Violations de risques.○ Dans l'onglet Accès utilisateur, sélectionnez Simulation.

2. Dans la liste déroulante Type d'analyse, sélectionnez le type d'analyse pertinent :○ Vous utilisez Analyse des risques pour identifier des violations d'autorisation affectées au rôle. Un

exemple, lorsque les autorisations se traduisent par des violations de la séparation des tâches.○ Vous utilisez Analyse d'impact pour identifier les violations d'autorisation concernant d'autres rôles.

C'est-à-dire, les autorisations pour le rôle sélectionné, avec des autorisations pour un autre rôle, se traduisent par des violations.

3. Sélectionnez le Système et l'Ensemble de règles des zones respectives.


4. Dans la zone Options de résultat, sélectionnez le format, le type et des critères supplémentaires pour les résultats d'analyse.

Exemple

Table 10 :

Format : Aperçu exécutif

Type : Niveau d'action, Niveau d'autorisation

Critères supplémentaires : Inclure les risques atténués

5. Sélectionnez le bouton de commande Exécuter analyse de risques.6. Dans la zone Résultat, vous pouvez sélectionner les manières différentes d'afficher les résultats de l'analyse.7. Si vous exécutez une fonctionnalité de simulation, vous pouvez procéder comme suit :

○ Sélectionnez Annuler si vous ne voulez pas sauvegarder les résultats de l'analyse.○ Sélectionnez Appliquer si vous voulez sauvegarder les résultats. L'information est sauvegardée dans

l'onglet Violations de risques et vous pouvez l'afficher quand vous ouvrez la demande. Les résultats sont aussi mis à disposition de l'approbateur de la demande.

4.1.3.1 Atténuation des risques

Prérequis

Vous avez créé des contrôles d'atténuation.

Contexte

Sur l'écran Affecter contrôles d'atténuation, vous pouvez affecter des contrôles d'atténuation aux risques trouvés pendant l'analyse des risques et l'analyse d'impact.

L'écran vous autorise aussi à atténuer des risques pour des rôles qui ne font pas partie de la demande actuelle. Par exemple, vous atténuez actuellement des risques pour John_Current_Request. Vous pouvez aussi atténuer des violations de risque pour John_Other_Request1 et John _Other_Request2. Sélectionnez le bouton de commande Ajouter pour ajouter et terminer la procédure ci-dessous pour l'étape 4.

RemarqueLa caractéristique Atténuer risque est mise à disposition sur plusieurs écrans dans l'application. Dans la procédure ci-dessous, nous décrivons un point d'accès ; votre point d'accès peut être différent. L'information s'applique à tous les points d'accès.



Procédure

1. Sur l'écran Analyser risque d'accès, sous la section Résultats, sélectionnez une violation de risque ou plusieurs violations puis sélectionnez le bouton de commande Atténuer risque.

L'écran Affecter des contrôles d'atténuation apparaît. L'application utilise l'information de la violation de risque, comme l'ID de risque d'accès et affiche le contrôle d'atténuation pertinent.

2. Pour utiliser le contrôle d'atténuation indiqué par l'application :1. modifiez l'information dans les zones pertinentes selon les besoins, comme la période de validité, l'ID de

contrôle et ainsi de suite.2. Sélectionnez Envoyer.

3. Pour créer un nouveau contrôle :1. Sélectionnez Créer contrôle et terminez les tâches pour créer un nouveau contrôle.2. Sélectionnez Ajouter.

L'application ajoute une ligne vide à la liste de contrôles d'atténuation.3. Saisissez l'information dans les zones pertinentes pour le nouveau contrôle.4. Sélectionnez Envoyer.

4. Pour affecter des contrôles d'atténuation pour d'autres rôles ou demandes :1. Sélectionnez Ajouter.


Étapes suivantes

4.1.4 Rôles types

Utilisation

Vous pouvez utiliser des rôles types pour fournir aux utilisateurs un ensemble d'attributs qu'ils peuvent sélectionner lors de la création de demandes d'accès.

ExemplePar exemple, vous indiquez que tous les rôles Finance sont valides pour le rôle type. Lorsqu'un utilisateur demande un rôle Finance, il peut sélectionner des attributs supplémentaires tels que Région, Unité d'Affaires, Division et ainsi de suite.


Remarque● Vous devez activer le BAdI GRAC_TEMPLATE_ROLE pour activer la fonction pour les rôles types.● Dans le BAdI, vous pouvez indiquer les attributs de rôle que l'utilisateur peut sélectionner.

Procédure

1. Sur la page à onglet Ecran de demande d'accès Accès utilisateur , sélectionnez un rôle puis sélectionnez le bouton Rôle type. Un écran apparaît et affiche les attributs que l'utilisateur peut sélectionner pour le rôle.

RemarqueLe bouton est seulement actif si vous sélectionnez un rôle valide pour le rôle type. Vous indiquez les rôles valides pour le rôle type.

2. Sélectionnez les attributs pour le rôle et terminez la demande d'accès.


Création de demandes d'accès [page 24]

Configuration de rôles types [page 44]

4.1.4.1 Configuration de rôles types

Pour activer des rôles types pour des demandes d'accès, vous implémentez le BAdI GRAC_TEMPALTE_ROLE.

Méthodes

Les méthodes suivantes sont disponibles pour le BAdI.

RemarqueLa méthode IS_TEMPLATE_ROLE constitue la méthode minimale requise pour l'activation de rôles types.



Table 11 :

Méthode Description

IS_TEMPLATE_ROLE Vous utilisez cette méthode pour indiquer les rôles utilisateurs que l'application prend en compte comme rôles types. Par exemple, vous pouvez indiquer que tout rôle avec le schéma d'appellation Z_Template_role... est considéré comme rôle type.

GET_URL Vous utilisez cette méthode pour accéder à l'URL de l'application personnalisée. Cette méthode est appelée lorsque le rôle type est ajouté à la demande. L'URL renvoyé par cette méthode s'affiche comme nouvelle fenêtre et affiche les détails du rôle,

VALIDATE_ROLE Vous utilisez cette méthode pour contrôler la cohérence du rôle type. L'application appelle cette méthode au cours de l'envoi d'une demande d'accès. Cette méthode contrôle si les informations supplémentaires fournies dans l'application personnalisée sont cohérentes.

Cette implémentation de méthode doit renvoyer une liste de messages d'erreur et de confirmation.

GET_PROVISIONING_TYPE Vous utilisez cette méthode pour déterminer si l'attribution de privilèges d'accès standard ou personnalisée est requise pour la demande d'accès. L'application appelle cette méthode au cours de l'attribution de privilèges d'accès.

Le type d'attribution de privilèges d'accès 1 signifie qu'il s'agit d'une attribution de privilèges d'accès personnalisée.

GET_PROVISIONING_OBJECTS Vous utilisez cette méthode pour renvoyer la liste d'objets pour lesquels des privilèges d'accès doivent être attribués. Cette méthode est appelée uniquement lorsque la méthode GET_PROVISIONING_TYPE renvoie une valeur 1 (attribution de privilèges d'accès personnalisée).

SET_PROVISIONING_STATUS Vous utilisez cette méthode pour indiquer le statut d'attribution de privilèges d'accès.


4.1.5 Création de demandes d'accès basées sur des utilisateurs modèles

Contexte

Vous pouvez utiliser les fonctions sur l'écran Accès utilisateur modèle pour créer des demandes d'accès pour de nouveaux utilisateurs en copiant les autorisations d'un utilisateur existant. Cela vous autorise à utiliser les options d'accès d'un utilisateur existant comme modèle et vous fait gagner du temps dans le processus de création d'accès.

Par exemple, vous ajoutez de nouveaux salariés à votre équipe et vous voulez qu'ils aient le même accès que d'autres membres de votre équipe. Au lieu de saisir la même information plusieurs fois, vous sélectionnez l'un de vos salariés actuels comme utilisateur modèle et l'application copie l'information d'accès de celui-ci dans la demande d'accès pour les nouveaux salariés.

Procédure

1. Sur le poste de travail Gestion des accès, sous le groupe de menu Création de demande, sélectionnez Utilisateur modèle.

L'écran Accès utilisateur modèle apparaît.2. Sur l'écran Sélectionner utilisateur, sélectionnez la zone Demande pour et sélectionnez Auto ou Autre.3. Dans la page à onglet Détails de l'utilisateur, saisissez l'information pertinente dans les zones obligatoires puis

sélectionnez Suivant.4. Sous la zone Sélectionner utilisateur modèle, sélectionnez la zone Utilisateur, recherchez et sélectionnez

l'utilisateur.5. Sous la zone Sélectionner l'accès d'utilisateur, dans la liste Disponible, sélectionnez l'accès et les autorisations

dans l'utilisateur modèle que vous voulez copier vers le nouvel utilisateur.6. Sous la zone Type de demande, sélectionnez la zone Type de demande, sélectionnez un type de demande puis

sélectionnez Suivant.7. Saisissez les détails de la demande si besoin est, puis sélectionnez Soumettre.

C'est la procédure standard pour créer une demande d'accès dans l'application. Pour obtenir de plus amples informations, reportez-vous à .



4.1.6 Modification des détails d'utilisateur

Contexte

Vous pouvez utiliser l'écran Demande d'accès pour modifier les détails pour votre utilisateur, comme le nom, le poste, le gestionnaire, l'organisation, l'emplacement et ainsi de suite.

Procédure

1. Du poste de travail Gestion des accès, sous le groupe de menu Créations de demande d'accès, sélectionnez Demande d'accès.

RemarqueSi vous utilisez la connexion d'utilisateur final, sur l'écran Page d'accueil d'utilisateur final, sélectionnez Demande d'accès.

2. Sélectionnez la zone Type de demande et sélectionnez Modifier le compte.3. Dans la page à onglet Accès d'utilisateur, sélectionnez Ajouter puis sélectionnez Système.

L'écran Sélectionner le système s'affiche.4. Sélectionnez les systèmes pertinents, puis OK.

Dans la page à onglet Accès d'utilisateur, sous la colonne Attribution de privilèges d'accès de l'action, l'application remplit automatiquement l'action comme Modifier utilisateur.

5. Sélectionnez la page à onglet Détails de l'utilisateur , modifiez les informations d'utilisateur si nécessaire, puis sélectionnez Soumettre.

L'application envoie la demande à l'approbateur.

4.1.7 Copie de demandes

Utilisation

Sur l'écran Copier la demande, vous pouvez utiliser les informations des demandes d'accès précédentes pour créer de nouvelles demandes.


Procédure

1. Du poste de travail Gestion des accès, sous le groupe de menu Demande d'accès, sélectionnez Copier la demande.L'écran Copier la demande s'affiche.

2. Dans la zone Numéro de demande, sélectionnez la demande à partir de laquelle les attributs sont à copier.3. Dans la table Attributs, sélectionnez les attributs que vous voulez copier puis sélectionnez Suivant.4. Dans la zone Demande pour, sélectionnez si la demande est pour Soi-même, Autre ou Multiple.5. Modifiez l'information pertinente dans les pages à onglet Détails de l'utilisateur et Utilisateurs selon les

besoins puis sélectionnez Suivant.

RemarqueLa page à onglet Utilisateurs est mise à disposition seulement si vous sélectionnez Demande pour : Multiple.

6. Saisissez les détails de la demande pertinents selon les besoins, comme le système ou l'accès de rôle dans la page à onglet Accès utilisateur et ainsi de suite, puis sélectionnez Suivant.


RemarquePour la procédure ci-dessus, les étapes 1 à 3 servent à copier la demande. Les étapes restantes suivent la procédure standard pour créer une demande. Pour obtenir de plus amples informations, reportez-vous à .

4.1.8 Création de demandes d'affectation organisationnelle

Contexte

A l'écran Demande d'affectation organisationnelle, vous pouvez affecter des rôles aux objets de gestion d'organisation (gestion de l'organisation), comme les postes, les jobs ou les organisations, au lieu d'utilisateurs.

Procédure

1. Du poste de travail Gestion des accès, sous le groupe de menu Demandes d'accès, sélectionnez Demande d'affectation organisationnelle.

L'écran Demande d'affectation organisationnelle apparaît.2. Sous la zone Détails de la demande, sélectionnez ou saisissez les informations dans les zones pertinentes.3. Dans la zone Type d'objet de gestion de l'organisation, sélectionnez le type d'objet que vous voulez ajouter :

job, poste ou entité organisationnelle.



4. Recherchez et sélectionnez les objets de gestion de l'organisation.1. Dans la page à onglet Accès utilisateur, sélectionnez Ajouter.

L'écran Sél.obj.GestOrg. apparaît.2. Sélectionnez les systèmes pertinents, puis Rechercher.3. De la liste Disponible, sélectionnez les objets de gestion de l'organisation pertinents et sélectionnez OK.

5. Recherchez et affectez des rôles aux objets de gestion de l'organisation.1. Dans la page à onglet Accès d'utilisateur, sélectionnez un ou plusieurs objets de gestion de l'organisation

et sélectionnez Affecter rôle.L'écran Rechercher rôles s'affiche.

2. Recherchez et sélectionnez les rôles pertinents puis sélectionnez OK.6. Pour chacune des affectations d'objet de gestion de l'organisation et de rôle, vous pouvez activer ce qui suit :

○ Début de validité○ Fin de validité○ Ajouter commentaires○ Action d'attribution de privilèges d'accès


4.2 Approbation de demande d'accès

Utilisation

L'application SAP GRC Access Control fournit un cadre normalisé et centralisé pour demander l'accès utilisateur et système et pour réviser et gérer ces demandes. Le processus d'attribution de privilèges d'accès utilisateur basique, comme indiqué par la plupart des administrateurs de système et de sécurité, implique les étapes décrites ci-dessous.

RemarqueLe processus décrit est un exemple. Le processus de votre société peut être différent et peut avoir plus ou moins d'étapes. L'application vous permet de personnaliser les étapes si nécessaire. Pour de plus amples informations, voir l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous Governance, Risk, and Compliance SAP GRC Access Control Workflow pour SAP GRC Access Control .

Conditions requises

● En dehors de l'application, vous avez identifié vos besoins de gestion et évalué votre approche pour gérer l'accès utilisateur et l'accès système.

● Dans l'application, vous avez géré la révision et les workflows d'approbation.Vous gérez les workflows dans l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous

Governance, Risk, and Compliance SAP GRC Access Control Workflow pour SAP GRC Access Control .


Processus

L'attribution de privilèges d'accès utilisateur est constitué des procédures suivantes :

1. Vérification de demandes d'accès2. Analyse de risques d'accès3. Gestion de risques4. Autorisation de demandes

L'application met alors à disposition les demandes d'accès utilisateur.Vous pouvez configurer des options d'attribution de privilèges d'accès comme la notification par e-mail, l'attribution de privilèges d'accès automatique et ainsi de suite, à l'aide de l'activité IMG Gérer options d'attribution de privilèges d'accès, sous Governance, Risk, and Compliance SAP GRC Access ControlAttributPrivilAccès utilisateur .

4.2.1 Vérification et autorisation des demandes d'accès

Utilisation

Sur l'écran Demande d'accès, les approbateurs peuvent réviser, refuser, modifier ou approuver des demandes d'accès.

Processus

1. Pour réviser une demande d'accès, procédez comme suit :○ Du poste de travail Ma page d'accueil, sélectionnez Corbeille de travail.

De la liste Work items, sélectionnez une demande d'accès pour l'ouvrir.○ Du poste de travail Gestion des accès, sous le groupe de menu Administration des demandes d'accès,

sélectionnez Rechercher demandes.Recherchez une demande puis sélectionnez le bouton de commande Administrateur pour l'ouvrir et la réviser. Pour plus d'informations, voir .

L'application affiche l'écran Demande d'accès, identique à celui qu'utilisent les demandeurs lorsqu'ils soumettent la demande. Les approbateurs voient toutes les informations que le demandeur a saisi. En outre, les approbateurs voient des boutons de commande et des zones supplémentaires qui leur permettent de réviser, refuser, modifier ou approuver la demande.

RemarqueVous pouvez configurer les boutons de commande et les zones que les approbateurs peuvent voir. Par exemple, vous pouvez autoriser les approbateurs à ajouter des rôles à une demande. Pour plus d'informations, voir .

2. Révisez la demande et exécutez des actions si nécessaire, comme Approuver, Refuser et ainsi de suite.3. Dans le coin supérieur droit, sélectionnez Stade pour afficher des informations sur le stade actuel du workflow

d'approbation et son statut.



4. Dans la page à onglet Violations de risque, vous pouvez afficher les résultats de l'analyse des risques que le demandeur a effectuée ou vous pouvez effectuer votre propre analyse des risques.

RemarqueVous pouvez configurer l'application pour exiger des approbateurs qu'ils effectuent une analyse des risques avant d'approuver toute demande. Pour plus d'informations, voir .

5. Lorsque vous avez terminé la révision de la demande, sélectionnez Soumettre.

4.2.2 Corbeille de travail simplifiée

Utilisation

Vous utilisez la corbeille de travail simplifiée pour afficher les demandes d'accès nécessitant une approbation.

RemarqueVous pouvez également utiliser la corbeille de travail classique pour traiter des demandes d'accès. Pour de plus amples informations, reportez-vous à Corbeille de travail [page 17].

Procédure

Utilisez la procédure ci-dessous pour rechercher des demandes spécifiques :

1. A l'aide de la barre de curseur de réglage ou des boîtes d'entrée de date, sélectionnez une date spécifique ou une plage de dates pour les demandes que vous voulez traiter.

2. Vous pouvez également sélectionner une catégorie comme Nouveau compte d'utilisateur pour limiter votre recherche.

3. Sélectionnez un nombre de résultats à afficher par page (facultatif).4. Sélectionnez un critère de tri comme Numéro de demande ou Demandé par (facultatif).

Le système récupère toutes les demandes qui correspondent à vos critères.5. Cliquez sur un numéro de demande pour effectuer une analyse descendante des détails. Vous pouvez cliquer

sur l'icône d'indicateur pour marquer une demande pour traitement ultérieur (facultatif).

RemarqueVotre administrateur système doit configurer votre système pour vous permettre d'utiliser les processus simplifiés de demande d'accès. Pour en savoir plus, consultez le Guide d'installation pour SAP Access Control 10.1, SAP Process Control 10.1 et SAP Risk Management 10.1 à l'adresse http://service.sap.com/instguides .


http://help.sap.com/disclaimer?site=http://service.sap.com/instguides

4.2.3 Analyse de risques lorsque vous approuvez des demandes d'accès

Utilisation

A l'écran Demande d'accès, vous pouvez effectuer une analyse des risques et une analyse d'impact avant d'approuver les demandes. Vous disposez des options suivantes pour effectuer l'analyse :

● Dans l'onglet Violations de risque, vous pouvez effectuer l'analyse et sauvegarder les résultats.● Dans l'onglet Accès utilisateur, vous pouvez utiliser la caractéristique Simulation pour effectuer d'abord

l'analyse puis sélectionner la sauvegarde ou non des résultats.

Remarque● Vous pouvez activer l'exigence que les approbateurs doivent analyser des risques avant d'approuver les

demandes d'accès. Vous gérez cette option dans l'activité IMG (transaction SPRO) Gérer workflows MSMP (Multiple Stage Multiple Pass), sous Governance, Risk, and Compliance SAP GRC Access Control Workflow pour SAP GRC Access Control . Dans la phase Gérer chemins d'accès, sous la section Gérer stades, sélectionnez Afficher options des tâches. Sélectionnez la zone Analyse des risques obligatoire et sélectionnez Oui ou Non le cas échéant.

● Vous pouvez autoriser les approbateurs à approuver des demandes d'accès malgré les risques. Vous gérez cette option dans l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous

Governance, Risk and Compliance SAP GRC Access Control Workflow pour SAP GRC Access Control . Dans la phase Gérer chemins d'accès, sous la section Gérer stades, sélectionnez Afficher options des tâches. Cochez la case pour la zone Approuver malgré risque.

Procédure

La procédure suivante est la même quelle que soit la page à onglet que vous sélectionnez pour l'initialiser. La seule différence est que la Simulation vous autorise à choisir si vous souhaitez sauvegarder les résultats ou non.

1. Du poste de travail Ma page d'accueil, sélectionnez Corbeille de travail. A l'écran Work items, sélectionnez Gestion des accès. Sélectionnez une demande d'accès.

2. Exécutez une des options suivantes :○ Sélectionnez l'onglet Violations de risques.○ Dans l'onglet Accès utilisateur, sélectionnez Simulation.

3. Dans la liste déroulante Type d'analyse, sélectionnez le type d'analyse pertinent.○ Vous utilisez Analyse des risques pour identifier des violations d'autorisation affectées au rôle. Par

exemple, lorsque les autorisations se traduisent par des violations de la séparation des tâches.

RemarqueVous pouvez personnaliser SAP Access Control pour inclure des affectations de firefighter automatiquement dans l'analyse des risques.



Vous gérez cette option dans l'activité IMG (transaction SPRO) Gérer options de configuration, sous Governance, Risk, and Compliance SAP GRC Access Control . Pour le paramètre Prendre en

compte les affectations FF dans l'analyse des risques, saisissez les valeurs comme suit :

Table 12 :

Colonne Valeur




○ Vous utilisez Analyse d'impact pour identifier les violations d'autorisation concernant d'autres rôles. C'est-à-dire, les autorisations pour le rôle sélectionné, avec des autorisations pour un autre rôle, se traduisent par des violations.

4. Sélectionnez Système et Ensemble de règles.5. Sous la zone Options du résultat, sélectionnez le format, le type et les critères supplémentaires pour le

résultat de l'analyse.

Exemple

Table 13 :

Format : Synthèse exécutive



6. Sélectionnez le bouton de commande Exécuter analyse de risques.7. Dans la zone Résultat, vous pouvez sélectionner les manières différentes d'afficher les résultats de l'analyse.8. Si vous exécutez une simulation, vous pouvez procéder comme suit :

○ Sélectionnez Annuler si vous ne voulez pas sauvegarder les résultats de l'analyse.○ Sélectionnez Appliquer si vous voulez sauvegarder les résultats de l'analyse. L'information est

sauvegardée dans l'onglet Violations de risques et vous pouvez l'afficher quand vous ouvrez la demande. Les résultats sont aussi mis à disposition de l'approbateur de la demande.

9. Dans l'onglet Violations de risques, vous pouvez choisir d'atténuer tout risque en sélectionnant le risque et Atténuer le risque.


4.2.4 Atténuation des risques

Prérequis


Contexte




Procédure







4. Pour affecter des contrôles d'atténuation pour d'autres rôles ou demandes :



1. Sélectionnez Ajouter.L'application ajoute une ligne vide à la liste de contrôles d'atténuation.

2. Saisissez l'information dans les zones pertinentes pour le nouveau contrôle.3. Sélectionnez Envoyer.

Étapes suivantes

4.2.5 Gestion de tâches et autorisations pour approbateurs de demande

Contexte

Dans l'écran Détails du stade de la Configuration MSMP, vous pouvez sélectionner les tâches qui sont mises à disposition des approbateurs sur l'écran Demande d'accès pour des approbateurs et indiquer ce qu'ils sont autorisés à faire. Par exemple, vous pouvez autoriser les approbateurs à refuser une demande ou à envoyer la demande à un autre approbateur.

Procédure

1. Sélectionnez l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous Governance, Risks, and Compliance SAP GRC Access Control Workflow pour SAP GRC Access Control .

L'écran Configuration de Workflow MSMP apparaît.2. Dans la phase Traiter options globales, sélectionnez le processus pour Workflow d'approbation de la demande

d'accès puis sélectionnez la phase Gérer chemins d'accès.3. Sous la zone Gérer stades, sélectionnez Afficher options des tâches.

L'écran Définition du stade apparaît.4. Sous la section Options de tâches, sélectionnez les cases à cocher pour les caractéristiques que vous voulez

mettre à disposition des approbateurs sur l'écran de demande d'accès.


Table 14 :

Zone Description

Modification configuration durée d'exécution : ok Utilise les modifications de configuration disponibles au moment de l'exécution.

Rééval.chem. nv rôle Lorsqu'elle est appliquée au workflow de demande d'accès, cette option autorise les approbateurs à analyser les rôles dans la demande par rapport aux initiateurs pour déterminer si un autre workflow parallèle doit être créé. Vous pouvez choisir parmi ce qui suit :

○ Tous les rôles du chemin d'évaluation.Réévaluer tous les rôles.

○ Nouveaux rôles uniquementRéévaluer seulement les nouveaux rôles.

○ AucunNe pas réévaluer de rôles.

Réacheminer Autorise les approbateurs à réacheminer la demande à un stade précédent comme alternative au refus de demande.

RemarqueLe workflow d'approbation est composé de stades et de chemins. Pour un approbateur standard, l'application n'affiche pas l'option de réacheminer dans le premier stade, parce qu'il y a pas de stade précédent. Pour un administrateur, l'option de réacheminement est disponible pour tous les stades car l'administrateur peut envoyer la demande vers des chemins différents.

Confirmer l'approbation Affiche un écran supplémentaire qui demande aux approbateurs de confirmer qu'ils approuvent la demande.

Confirmer le refus Affiche un écran supplémentaire qui demande aux approbateurs de confirmer qu'ils refusent la demande.

Approuver par e-mail Les approbateurs reçoivent des e-mails qui les informent qu'une demande requiert leur attention. Ces e-mails incluent un lien qui ouvre l'écran d'attribution de privilèges d'accès utilisateur.

Refus par e-mail Les approbateurs reçoivent des e-mails qui les informent qu'une demande requiert leur attention. Ces e-mails incluent un lien qui ouvre l'écran d'attribution de privilèges d'accès utilisateur.

Approuver malgré le risque Autorise les approbateurs à approuver des demandes malgré des violations de risque.



Zone Description

Réaffirmer Approuver Demande que les approbateurs confirment leurs identités avant d'approuver les demandes.

Réaffirmer refus Demande que les approbateurs confirment leurs identités avant d'approuver les demandes de refus.

Détails de demande de modification Autorise les approbateurs à modifier le contenu des demandes.

Niveau d'approbation Autorise les approbateurs à approuver des demandes pour les niveaux suivants :

○ DemandeLes approbateurs ont l'autorité pour approuver tous les rôles dans une demande. Par exemple, les approbateurs de sécurité peuvent approuver un rôle pertinent à une demande.

○ RôleLes approbateurs ne peuvent approuver que les rôles qui leur appartiennent.

○ Système et rôleLes approbateurs ont l'autorité pour approuver des systèmes et des rôles.

Niveau de refus Autorise les approbateurs à refuser des demandes pour les niveaux suivants :

○ DemandeLes approbateurs ont l'autorité pour refuser tous les rôles dans une demande. Par exemple, les approbateurs de sécurité peuvent refuser un rôle pertinent à une demande.

○ RôleLes approbateurs ne peuvent refuser que les rôles qui leur appartiennent.

○ Système et rôleLes approbateurs ont l'autorité pour refuser des systèmes et des rôles.

Commentaires requis Demande que les approbateurs saisissent des commentaires lorsqu'ils approuvent ou refusent une demande.


Zone Description

ID de personnalisation utilisateur final La personnalisation de l'utilisateur final (EUP) vous autorise à définir le comportement des zones et des boutons de commande sur l'écran Demander l'accès, comme ce qui suit :

○ Valeurs par défaut pour les zones○ Si la zone est obligatoire○ Si la zone est modifiable○ Si la zone est visible à l'écran

Vous avez renseigné les paramètres dans l'activité IMG Gérer la personnalisation d'utilisateur final, sous

Governance, Risk, and Compliance SAP GRC Access

Control Attribution de privilèges d'accès utilisateur .

Dans la zone ID de personnalisation utilisateur final, vous saisissez l'ID de la personnalisation de l'utilisateur final que vous voulez utiliser.

Substitution de type d'affectation ○ DirecteLes rôles sont affectés aux utilisateurs.

○ IndirecteLes rôles sont affectés aux postes ou aux organisations.

○ Attribution de privilèges d'accès combinée

RemarqueDans la configuration d'attribution de privilèges d'accès, vous devez aussi définir Attribution de privilèges d'accès manuelle sur Vrai.

Ajout d'affectation Autorise les approbateurs à ajouter des affectations pour des rôles ou des systèmes à la demande.

Demande refusée Autorise les approbateurs à refuser des demandes.

Transfert autorisé Autorise les approbateurs à envoyer des demandes à un autre approbateur.

Afficher l'écran de révision Autorise les approbateurs à voir l'écran Accéder à la révision.

Analyse des risques requise Demande que les approbateurs effectuent une analyse des risques avant d'approuver ou de refuser une demande.



Zone Description

Groupe d'e-mail RemarqueL'application n'utilise pas cette zone. Nous la fournissons seulement pour la compatibilité arrière.

Permettre l'attribution de privilèges d'accès manuelle Autorise les approbateurs à faire une attribution de privilèges d'accès directement depuis l'écran d'approbation de stade.


4.3 Administration des demandes d'accès

Vous pouvez utiliser l'application SAP GRC Access Control pour gérer et réviser les demandes d'accès, les affectations, les comptes d'utilisateur et les processus. L'application affiche ces fonctions dans le groupe de menu Administration des demandes d'accès .

Pour localiser le groupe de menu, procédez comme suit :

1. Depuis la connexion de NWBC ou la connexion de Portail, sélectionnez le poste de travail Gestion des accès.2. Sous le groupe de menu Administration de demandes d'accès, sélectionnez les activités pertinentes :

○ Création et gestion de modèles [page 59]○ Recherche de demandes [page 60]○ Vue des journaux d'attribution de privilèges d'accès [page 62]○ Déblocage et suppression comptes utilisateur Self-Service pour mot de passe [page 62]○ Délégation de l'approbateur [page 63]

4.3.1 Création et gestion de modèles

Prérequis

Vous avez créé des ID de personnalisation de l'utilisateur final (ID de personnalisation utilisateur final) dans l'activité IMG Gérer la personnalisation d'utilisateur final sous Governance, Risk, and Compliance SAP GRC Access Control Attribution de privilèges d'accès utilisateur .


Contexte

Vous pouvez utiliser l'écran Modèle de demande d'accès pour créer, mettre à jour ou supprimer des modèles. Les modèles vous permettent de faciliter la création de demandes d'accès en définissant les détails que vous utilisez constamment dans des demandes d'accès. Par exemple, vous savez que les membres de l'équipe de finance ont toujours besoin de l'accès au système de finance et du rôle Finance_User. Vous pouvez créer un modèle avec ces détails et utiliser ce modèle pour créer des demandes pour les nouveaux membres de finance. L'application insère automatiquement les informations du modèle dans la nouvelle demande.

Procédure

1. Sur le poste de travail Gestion des accès, sous le groupe de menu Administration des demandes d'accès, sélectionnez Gestion des modèles.

L'écran Modèle de demande d'accès s'affiche.2. Sélectionnez Créer.3. Dans la page à onglet Détails de modèle, saisissez les informations dans les zones obligatoires.

L'ID de personnalisation utilisateur final définit les zones et les valeurs par défaut sur l'écran de Demande d'accès.

4. Dans la page à onglet Détails d'accès, saisissez des détails pour l'utilisateur, l' accès et ainsi de suite, selon les besoins.


4.3.2 Recherche de demandes

Contexte

Vous pouvez utiliser les fonctions à l'écran Rechercher demande pour créer un état qui liste des demandes, le type de demande, la priorité, le statut et la date d'échéance, parmi d'autres informations. Vous pouvez aussi utiliser Rechercher demande pour ouvrir une demande spécifique, afficher des informations de gestion de demande, afficher le journal d'audit pour une demande et annuler une instance de demande ou apporter d'autres modifications, selon la configuration de votre système.

.



Procédure

1. Sélectionnez Gestion des accès Administration des demandes d'accès Rechercher demandes .

L'écran Rechercher demandes s'ouvre.2. Indiquez les critères de recherche.

Procédez comme suit :

1. Sélectionnez le type d'objet à l'aide de la première liste déroulante.2. Sélectionnez l'opérateur à l'aide de la deuxième liste déroulante, parmi les propositions suivantes :

○ est○ n'est pas○ commence par○ contient

3. Saisissez ou sélectionnez la valeur dans la troisième zone.4. Vous pouvez ajouter (facultatif) une ligne aux critères de recherche en sélectionnant le bouton de

commande plus (+) et en indiquant les zones appropriées. Sinon, vous pouvez supprimer une ligne des critères de recherche en sélectionnant le bouton de commande correspondant moins (-).

3. Vous pouvez sauvegarder (facultatif) les critères de recherche en tant que variante en saisissant un nom dans la zone Sauvegarder variante comme et en sélectionnant Sauvegarder.

4. Sélectionnez Rechercher.

Les résultats de la recherche apparaissent dans la table.5. Pour afficher le journal d'audit, sélectionnez Journal d'audit. L'écran Journal d'audit s'ouvre.

Vous pouvez choisir de développer ou réduire les entrées de journal d'audit et imprimer le journal.6. Pour afficher le statut d'instance, sélectionnez une demande dans la table et sélectionnez Statut d'instance.

L'écran Recherche de demande d'accès s'ouvre en affichant les détails d'instance.7. Pour ouvrir une demande spécifique, sélectionnez la demande dans la table. L'écran Approuver demande

d'accès s'ouvre.

Vous pouvez afficher les détails de la demande suivants en sélectionnant l'onglet correspondant :

○ Accès utilisateur○ Violations de risques○ Détails d'utilisateur○ Journal d'audit○ Commentaires○ Pièces jointes

8. Pour afficher des informations de gestion de demande, sélectionnez une demande dans la table et sélectionnez Administration. L'écran Administration de demande apparaît.

La table en bas de l'écran affiche tous les chemins pour la demande. Sélectionnez un lien de chemin pour afficher un écran qui vous autorise à approuver la demande correspondante.

9. Pour annuler une instance, sélectionnez la demande dans la table et sélectionnez Annuler instance. Une boîte de dialogue de confirmation apparaît.

Sélectionnez Oui pour annuler l'instance de workflow ; sélectionnez Non pour écarter le dialogue sans annuler l'instance.

Vous pouvez aussi choisir d'interrompre l'instance dans la fenêtre de dialogue qui apparaît.


4.3.3 Vue des journaux d'attribution de privilèges d'accès

Contexte

Vous pouvez utiliser l'écran Journaux d'attribution de privilèges d'accès, pour réviser des activités d'attribution de privilèges d'accès et pour confirmer que l'attribution de privilèges d'accès a été terminée.

RemarqueLe journal d'attribution de privilèges d'accès affiche seulement des informations pour des demandes clôturées. Pour afficher le statut des demandes qui sont en cours de traitement, voir .

Procédure

1. Sur le poste de travail Gestion des accès, sous le groupe de menu Administration des demandes d'accès, sélectionnez Journaux d'attribution de privilège d'accès.

L'écran Journaux d'attribution de privilèges d'accès apparaît.2. Dans les zones de recherche, sélectionnez les critères pertinents, puis sélectionnez Rechercher.

Dans la table Résultats, l'application affiche les demandes qui remplissent vos critères de recherche.

La table affiche des informations comme le statut, l'action de l'attribution de privilèges d'accès, l'horodatage et ainsi de suite.

4.3.4 Débloc. et suppr. cptes utilisateur Self-Service pr mot de passe

Prérequis

Vous avez terminé les étapes de configuration dans l'activité IMG Gérer Self-Service pour mot de passe, sous Governance, Risk, and Compliance SAP GRC Access Control Attribution des privilèges .



Contexte

Sur l'écran Gérer Self-Service pour mot de passe, vous pouvez débloquer ou supprimrer des comptes d'utilisateur qui ont été bloqués en raison d'un trop grand nombre de tentatives de connexion infructueuses.

RemarquePour configurer des options de mot de passe comme l'activation ou la désactivation de self-service pour mot de passe, le nombre de fois qu'un utilisateur peut tenter de se connecter avant que son compte d'utilisateur soit bloqué et ainsi de suite, utilisez l'activité IMG Gérer Self-Service pour mot de passe, sous Governance, Risk, and Compliance SAP GRC Access Control Attribution de privilèges .

Procédure

1. A partir du poste de travail Gestion des accès, sous le groupe de menu Administration des demandes d'accès, sélectionnez Gérer Self-Service pour mot de passe.

L'écran Gérer Self-Service pour mot de passe apparaît.2. Dans la zone ID utilisateur, saisissez le compte utilisateur.3. Pour débloquer le compte d'utilisateur, sélectionnez-le puis sélectionnez Débloquer utilisateur.

Cette action réinitialise le nombre de tentatives de connexion infructueuses à zéro.4. Pour supprimer le compte, sélectionnez-le puis sélectionnez Supprimer.

4.3.5 Délégation de l'approbateur

Contexte

Sur l'écran Délégation d'administrateur, vous pouvez réaffecter les tâches d'approbation d'un utilisateur à un autre. Par exemple, en tant qu'administrateur, vous avez l'autorité de déléguer les tâches d'approbation Approver_A à Approver_B.

Procédure

1. Sur le poste de travail Gestion des accès, sous le groupe de menu Administration des demandes d'accès, sélectionnez Délégation d'administration.

L'écran Délégation d'administration s'affiche.


2. Pour modifier la période de validité ou le statut d'une délégation existante, sélectionnez une délégation dans la liste puis sélectionnez Ouvrir.

Modifiez la période de validité et le statut le cas échéant et sélectionnez Sauvegarder.3. Pour créer une nouvelle délégation, sélectionnez Déléguer.

Sous la section Détails d'approbateur, saisissez l'information pour la personne qui a actuellement les tâches d'approbation.

Sous la section Détails d'approbation délégués, saisissez les détails pour la personne à laquelle vous souhaitez affecter les tâches d'approbation.

Étapes suivantes

Pour l'information sur la délégation de vos propres tâches d'approbation à un autre utilisateur, voir Délégation de vos tâches d'approbation [page 18].

4.3.6 Création de demandes d'accès basées sur des modèles

Prérequis

L'administrateur a créé les modèles de demande d'accès. Pour plus d'informations, voir Création et gestion de modèles [page 59].

Contexte

Vous pouvez utiliser l'écran Créer demande avec modèle pour créer de nouvelles demandes d'accès à l'aide de modèles. Vous enregistrez des information de demande d'accès fréquemment utilisées dans des modèles, puis vous utilisez les modèles pour créer de nouvelles demandes d'accès qui requièrent la même information. Les avantages de cette méthode sont la cohérence et le gain de temps.

Procédure

1. Sur le poste de travail Gestion des accès, sous le groupe de menu Demande d'accès, sélectionnez Demande basée sur modèle.

L'écran Créer demande avec modèle apparaît.2. Sélectionnez un modèle et sélectionnez Suivant.



La page à onglet Détails de l'utilisateur apparaît. L'application renseigne automatiquement les zones avec les informations détaillées d'utilisateur du modèle.

3. Saisissez les informations dans les zones obligatoires et apportez toute modification pertinente puis sélectionnez Suivant.

4. Saisissez les détails de la demande selon les besoins, puis sélectionnez Soumettre.

Ces étapes font partie de la procédure standard pour créer les demandes d'accès.

Étapes suivantes

Pour obtenir de plus amples informations, reportez-vous à Création de demandes d'accès [page 24]


5 Gestion de risques d'accès

Utilisation

Le processus de gestion des risques implique la définition des priorités et l'exécution d'actions appropriées pour adresser les occurrences de risque en fonction des résultats d'analyse des risques. Selon les caractéristiques de risque, différentes méthodes peuvent être utilisées.

Processus

1. Effectuer l’analyse des risques d'accès2. Priorité aux violations de risques

Identifier les risques qui doivent être adressés en premier en fonction des critères de risque. Les risques ayant l'impact potentiel le plus élevé à travers l'organisation doivent avoir la priorité la plus élevée. Le résultat de définition des priorités devrait être approuvé par les parties intéressées clés.

3. Identifier les causes profondesIdentifiez les autorisations spécifiques qui ont introduit les risques. Pour chaque salarié, déterminez si l'accès est approprié pour effectuer ses responsabilités.

4. Modifier l’accèsL'approche préférentielle consiste à éliminer des risques le cas échéant. L'élimination d'un risque devrait commencer au niveau le plus bas possible, en corrigeant la cause profonde.

5. Définir des contrôles pour atténuer le risque (le cas échéant)Si un risque est inévitable ou jugé acceptable, des contrôles doivent être définis et implémentés pour atténuer le risque. Une définition de contrôle peut inclure les risques associés, les instructions d'exécution, les responsables et l'action à mener si le contrôle détecte une violation de directive.

RemarqueSi le contrôle approprié existe déjà, sautez cette étape et passez à l'étape 6.

6. Affecter des contrôles au risque atténuéVous identifiez un contrôle approprié au risque et affectez un responsable. Ensuite vous activez le contrôle et l'affectez au risque. En outre, vous affectez une personne à la surveillance des risques atténués.

7. Exécuter des contrôlesLe responsable (moniteur) sera en charge du suivi des étapes documentées dans le contrôle et effectuera ce suivi périodiquement si nécessaire.


Gestion de risques d'accès

Figure 2 : Workflow par responsables fonctionnels

Résultat

Les risques détectés sont corrigés en supprimant l'accès et/ou l'atténuation.

5.1 Contrôles d'atténuation

Utilisation

Vous pouvez utiliser Contrôles d'atténuation pour associer des contrôles aux risques et les affecter aux utilisateurs, rôles, profils ou objets HR. Vous pouvez alors définir des personnes comme moniteurs ou approbateurs de contrôles et les affecter à des contrôles spécifiques. Vous pouvez aussi créer des organisations et des processus de gestion pour aider à classer les contrôles d'atténuation.

A l'aide de la section Contrôles d'atténuation, vous pouvez effectuer les tâches suivantes :

● Créer des contrôles d'atténuation (que vous ne pouvez pas supprimer)

SAP Access ControlGestion de risques d'accès P U B L I C 67

● Affecter les contrôles d'atténuation aux utilisateurs, rôles et profils qui comportent un risque● Etablir une période pendant laquelle le contrôle est valide● Indiquer des étapes pour surveiller les actions en conflit associées au risque● Créer un administrateur, des moniteurs de contrôles, des approbateurs et des détenteurs de risque et leur

affecter des contrôles d'atténuation


Recherche de contrôles d'atténuation [page 68]

5.1.1 Recherche de contrôles d'atténuation

Contexte

Vous pouvez rechercher et afficher des contrôles d'atténuation à l'aide de l'écran de Contrôles d'atténuation.

Procédure

1. Sélectionnez Configuration Contrôles d'atténuation Contrôles d'atténuation

L'écran de Contrôles d'atténuation s'ouvre, affichant tous les Contrôles d'atténuation définis.2. Sélectionnez Filtre, saisissez les critères dans l'ID de contrôle, Titre, Description et Organisation et appuyez

sur Entrée.

Les contrôles correspondants s'affichent dans le tableau.3. Sélectionnez une ligne dans le tableau et Ouvrir pour afficher des informations sur un contrôle particulier.

Étapes suivantes

Contrôles d'atténuation [page 67]



5.2 Configuration de règle

Le poste de travail Configuration de la règle fournit un emplacement central pour créer et gérer des règles pour atténuer des risques de demande d'accès.

RemarqueLe poste de travail Configuration de la règle est commun aux produits Access Control, Process Control et Risk Management dans l'application GRC 10.1. Les groupes de menus et les alias disponibles sur l'écran sont déterminés par les applications pour lesquelles vous détenez une licence. Le contenu dans cette rubrique couvre les fonctions spécifiques à SAP GRC Access Control. Si vous détenez une licence pour des produits supplémentaires (tels que Process Control ou Risk Management), reportez-vous à leurs systèmes d'aide spécifiques.

Le poste de travail Configuration de la règle contient les sections Access Control suivantes :

● Gestion des règles d'accès [page 80]● Règles d'accès critiques [page 95]● Règles d'accès d'exception [page 69]● Règles générées [page 77]

5.2.1 Règles d'accès d'exception

Utilisation

Les règles d'exception éliminent les faux positifs en se basant sur les restrictions au niveau organisationnel. Cela active un reporting basé sur l'exception pour des règles organisationnelles et des règles supplémentaires.


Règles d'organisation [page 70]

Création d'une règle d'organisation à l'aide de l'assistant [page 71]


5.2.1.1 Règles d'organisation

Utilisation

La fonctionnalité de règles d'organisation fournit un filtre supplémentaire pour vos états de séparation des tâches (SoD). Les règles d'organisation sont utilisées pour éliminer des risques faux positifs dans vos états d'analyse de risque d'accès. Utilisez cette fonctionnalité uniquement pour le reporting basé sur les exceptions.

Avant l'implémentation, les entreprises doivent faire une analyse pour s'assurer que leur situation justifie l'utilisation de règles d'organisation. Vous ne devez pas établir de règles d'organisation jusqu'à la phase de correction de votre projet. Vous devez créer les règles organisationnelles uniquement après avoir identifié un scénario de règle organisationnelle possible.

AttentionSi vous créez des règles organisationnelles de façon incorrecte, vous pouvez potentiellement filtrer trop. En en filtrant trop, vous ne pouvez pas identifier les problèmes de contrôle possibles avec votre accès. Du point de vue du contrôle, il est conseillé de surdéclarer (génération de faux positifs) plutôt que de sous-déclarer (génération de faux négatifs).

RecommandationUtilisez les règles d'organisation exclusivement pour le reporting basé sur l'exception afin de supprimer des conflits faux positifs qui résultent de la séparation au niveau de l'organisation.

N'utilisez pas de règles d'organisation pour regrouper des utilisateurs dans des états, par niveau organisationnel, pour répartir les états SoD sur divers niveaux de gestion.

En raison de l'impact potentiellement considérable des règles d'organisation en matière de performance, utilisez-les uniquement pour les situations où l'entreprise a pris une décision consciente, à savoir effectuer une séparation via les niveaux organisation.

ExempleUn client dispose d'un centre de services partagés qui permet à un membre de l'équipe de traiter des factures fournisseurs et créer des paiements fournisseur. La plupart du temps, cette action peut représenter un conflit de risque élevé. Cependant, le centre de services partagés a également séparé les membres de son équipe de telle sorte que le même salarié ne puisse pas traiter la facture et effectuer les paiements dans le même niveau organisationnel.


Création d'une règle d'organisation [page 71]

Création d'une règle d'organisation à l'aide de l'assistant [page 71]



5.2.1.1.1 Création d'une règle d'organisation à l'aide de l'assistant

Utilisation

L'assistant de règle d'organisation accélère le processus de création d'une règle d'organisation et élimine des entrées non valides possibles en raison d'une alimentation manuelle.

Procédure

Suivez les étapes ci-dessous :

1. Du poste de travail Configuration, localisez la section Règles d'accès d'exception. Sélectionnez Assistant de création de règle d'organisation.

2. Vue d'ensemble - Lire les instructions au premier stade et sélectionnez Suivant.3. Sélectionner système et ensemble de règles - Sélectionnez l'ERP Système dans lequel vous devez travailler.

Sélectionnez les Ensembles de règles requis. Vous pouvez sélectionner plusieurs ensembles de règles en maintenant enfoncé le bouton de contrôle et en sélectionnant plusieurs ensembles de règles. Sélectionnez Suivant.

4. Réviser les niveaux d'organisation - Sélectionnez les Niveaux d'organisation des risques existants. Sélectionnez Suivant.

5. Sélectionner les valeurs organisationnelles - Sélectionnez les Valeurs de niveau d'organisation du système ERP. Vous pouvez aussi supprimer les valeurs que vous ne voulez pas utiliser. Sélectionnez Suivant.

6. Réviser les règles d'organisation - Réviser les règles. Utilisez la zone Format de règle d'organisation pour ajouter un indicatif commun à toutes les règles qui seront générées pour simplifier le tri. Sélectionnez Suivant.

7. Générer règles - Sélectionnez Générer règles pour terminer la tâche.

5.2.1.1.2 Création d'une règle d'organisation

Utilisation

Utilisez cette fonctionnalité uniquement pour le reporting basé sur les exceptions.

Conditions requises

Vous pouvez créer des règles d'organisation seulement après avoir identifié un scénario de règle organisationnelle possible.


Procédure

Pour créer une règle d'organisation :

1. Sélectionnez Configuration Règles d'accès d'exception Règles d'organisation .2. Sélectionnez Créer.

L'écran Règles d'organisation s'affiche.3. Saisissez les informations pertinentes dans toutes les zones requises. Les zones obligatoires sont marquées

d'un astérisque (*).

Remarque○ ID de règle d'organisation : Le code d'identification pour la règle d'organisation. Saisissez un code

alphanumérique à dix caractères, pouvant contenir des traits de soulignement (_). Les espaces ne sont pas autorisés.

○ ID RèglOrgParente : Si vous créez une règle d'organisation toute nouvelle, cette zone n'est pas requise. Si vous créez une règle d'organisation basée sur une règle précédemment créée, sélectionnez l'ID de la règle d'organisation supérieure que vous voulez utiliser.

○ ID de risque : Sélectionnez parmi la liste d'ID de risque disponibles○ Description : Saisissez une description significative pour cette règle.

4. Sélectionnez Système si vous voulez activer la règle d'organisation pour des systèmes spécifiques seulement.

RemarqueLimiter les règles à certains systèmes peut améliorer les temps de réponse.

5. Sélectionnez Ajouter pour affecter plusieurs niveaux d'organisation et des valeurs correspondantes pour la durée de la règle d'organisation, sa condition et son statut. Sélectionnez Supprimer pour supprimer un niveau d'organisation précédemment saisi.

6. Sélectionnez Sauvegarder.Un message de confirmation signalant que les données ont été sauvegardées s'affiche.

7. Sélectionnez Fermer pour afficher la règle d'organisation que vous avez créée.

Résultat

L'ID de la règle d'organisation est ajouté à la liste des règles d'organisation.



Modification d'une règle d'organisation [page 73]

Suppression d'une règle d'organisation [page 74]



5.2.1.1.3 Modification d'une règle d'organisation

Utilisation

Utilisez cette fonctionnalité pour modifier une règle d'organisation existante.

Procédure

1. Sélectionnez Configuration Règles d'accès d'exception Règles d'organisation .L'écran Règles d'organisation s'affiche.

2. Sélectionnez l'ID de règle d'organisation pour la règle d'organisation que vous voulez modifier puis sélectionnez Ouvrir.L'écran pour l'ID d'organisation que vous avez sélectionné apparaît et vous pouvez y saisir vos modifications.

3. Modifiez les règles d'organisation le cas échéant.Vous pouvez modifier les données uniquement dans les zones suivantes :○ ID règle d'organisation parente○ Description

Dans l'onglet Niveau d'organisation, vous pouvez seulement modifier des données dans les zones suivantes :○ Valeur initiale○ Valeur finale○ Condition○ Statut

RemarqueVous ne pouvez pas modifier d'informations dans l'onglet Systèmes pour des ID de règle d'organisation parente.

4. Sélectionnez Sauvegarder.Un message de confirmation signalant que les données ont été sauvegardées s'affiche.

5. Sélectionnez Fermer.

Modification du volume important de règles d'organisation

Les administrateurs peuvent utiliser les activités IMG suivantes (de la transaction SPRO), sous Governance, Risk and Compliance SAP GRC Access Control Analyse de risque d'accès Règles SoD pour créer et modifier un volume important de règles d'organisation :

● Téléchargement de règles supplémentaires● Télédéchargement de règles supplémentaires




Suppression d'une règle d'organisation [page 74]


5.2.1.1.4 Suppression d'une règle d'organisation

Contexte

Utilisez cette fonctionnalité pour supprimer une règle d'organisation existante.

AttentionLa suppression d'une règle d'organisation invalide toute règle générée à partir de cette règle d'organisation.

Procédure

1. Sélectionnez Configuration Règles d'accès d'exception Règles d'organisation .

L'écran Règles d'organisation s'affiche.2. Sélectionnez l'ID de règle d'organisation pour la règle d'organisation que vous voulez supprimer et Supprimer.

Un écran de confirmation apparaît.3. Sélectionnez OK.4. Sélectionnez Fermer.

Étapes suivantes


Modification d'une règle d'organisation [page 73]




5.2.1.2 Création d'une règle supplémentaire

Utilisation

Créez une règle supplémentaire pour garantir des résultats d'analyse corrects pour une violation qui pourrait être rapportée comme un faux positif.

Procédure

Pour créer une règle supplémentaire :

1. Sélectionnez Configuration Règles supplémentaires .2. Sélectionnez Créer.3. Dans la liste déroulante Système, sélectionnez le système cible dans lequel cette règle supplémentaire se

trouve.Pour créer la même règle dans plusieurs systèmes cibles, vous devez créer une règle pour chaque système.

4. Saisissez l'ID de fonction qui requiert un contrôle supplémentaire pour déterminer si l'utilisateur peut exécuter la fonction. Si vous ne connaissez pas l'ID de fonction, cliquez sur Rechercher.

5. Saisissez un ID de risque (facultatif). Si vous ne connaissez pas l'ID de règle, cliquez sur Filtrer.6. Saisissez une description pour la règle supplémentaire.7. Saisissez le Nom d'une table de base de données.

Vous pouvez saisir une table personnalisée ou une table fournie par SAP.8. Saisissez l'ID utilisateur ou le nom du rôle dans la zone Nom de zone de contrôle (BNAME ou UNAME).9. La liste déroulante Inclure les violations contrôle si l'état des conflits SoD inclut ou exclut les violations pour

les objets (utilisateur, rôle, profil et ainsi de suite) qui répondent aux critères de la règle en se basant sur les entrées de la table.Pour indiquer que les violations pour les objets (utilisateur, rôle, profil et ainsi de suite) qui répondent aux critères de la règle supplémentaire sont inclus dans les états, sélectionnez Oui.Si vous sélectionnez Non, l'état exclut les violations pour les objets (utilisateur, rôle, profil et ainsi de suite) qui répondent aux critères du contrôle supplémentaire.

RemarqueLorsque vous faites correspondre des valeurs de caractères génériques, la valeur du caractère générique requiert une correspondance exacte de l'entrée dans la règle et de l'entrée à contrôler dans la table SAP.

Résultat

Si vous avez configuré le paramètre Utiliser l'analyse SoD supplémentaire sur Oui, le système prend en compte la règle supplémentaire lorsqu'il génère l'état.



Modification d'une règle supplémentaire [page 76]

Suppression d'une règle supplémentaire [page 76]

5.2.1.2.1 Modification d'une règle supplémentaire

Procédure

1. Sélectionnez Configuration Règles d'accès d'exception Règles supplémentaires .2. Sélectionnez Filtrer.

Une ligne vide apparaît au début de la liste de règles supplémentaires.3. Saisissez des critères de recherche pour localiser la règle supplémentaire que vous voulez modifier.4. Une fois que vous trouvez la règle supplémentaire, modifiez-la puis sélectionnez Sauvegarder.

Un message de confirmation apparaît.

Étapes suivantes

Création d'une règle supplémentaire [page 75]

Suppression d'une règle supplémentaire [page 76]

5.2.1.2.2 Suppression d'une règle supplémentaire

Procédure

1. Sélectionnez Configuration Règles d'accès d'exception Règles supplémentaires .2. Sélectionnez Filtrer.

Une ligne vide apparaît au début de la liste de règles supplémentaires.3. Saisissez des critères de recherche pour localiser la règle supplémentaire que vous voulez supprimer.4. Dès que vous avez trouvé la règle supplémentaire, sélectionnez la case à cocher à côté de cette dernière puis

sélectionnez Supprimer.



Un message de confirmation apparaît.5. Sélectionnez OK.

Étapes suivantes

Création d'une règle supplémentaire [page 75]

Modification d'une règle supplémentaire [page 76]

5.2.1.3 Règles générées

Utilisation

L'analyse de risque d'accès traite les risques que vous définissez. Elle génère des règles d'après les actions ou approbations qu'un risque d'accès comporte.

Utilisez cette fonctionnalité pour afficher les états contenant les résultats de règles générées à l'aide de la fonctionnalité Risques d'accès.

Quand vous générez les risques d'action de séparation des tâches (SoD), l'analyse de risque d'accès crée une règle séparée pour chaque combinaison d'actions présentant un risque.

ExempleSi un risque d'accès inclut deux fonctions, chacune comprenant cinq actions, et que le risque d'accès s'applique à deux systèmes, l'analyse de risque d'accès génère 20 règles distinctes à partir du risque d'accès.

ExempleVous pouvez avoir un risque d'accès (P086) qui inclut les fonctions suivantes :

● MD12 avec 21 actions● BR08 avec 46 actions● TS22 avec 34 actions

Si ce risque d'accès s'applique à trois versions différentes de SAP qui s'exécutent toutes dans votre environnement, P086 est alors converti en 98 532 (21x46x34x3) règles distinctes.

RemarqueLe nombre maximum de règles SoD autorisé par risque est de 1 679 615. Lorsque l'analyse de risque d'accès essaye de traiter un risque d'accès qui génère plus du nombre maximum de règles, le message d'erreur suivant apparaît :

ERREUR : Le risque : #### a dépassé le nombre maximum de règles (1 679 615) qui peuvent être générées pour un risque



Aperçu des règles d'accès [page 78]

Détail des règles d'accès [page 79]

Risques d'accès [page 90]

Règles d'accès d'exception [page 69]


5.2.1.3.1 Aperçu des règles d'accès

Contexte

Utilisez l'écran Aperçu des règles d'accès pour afficher un état récapitulatif des règles d'accès.

Procédure

1. Sélectionnez Configuration Règles générées Synthèse de règle d'accès .

L'écran Etat synthèse de règle d'accès s'affiche.2. Saisissez les critères de sélection pour limiter les résultats pour votre état.3. Sélectionnez Exécuter en avant-plan ou Exécuter en arrière-plan pour afficher l'état.

Nous vous conseillons d'exécuter l'état en arrière-plan lorsque vous générez un vaste ensemble de résultats.

Si vous sélectionnez Exécuter en arrière-plan, le dialogue Ordonnanceur de jobs d'arrière-plan apparaît. Saisissez les détails d'ordonnanceur et sélectionnez OK. Le numéro de job apparaît sur l'écran Niveau utilisateur.

Pour afficher le job, naviguez jusqu'à Gestion des accès Planification Jobs d'arrière-plan .

Si vous sélectionnez Exécuter en avant-plan, confirmez que vous voulez exécuter l'analyse immédiatement en sélectionnant OK. Les résultats de l'analyse s'affichent dans une nouvelle fenêtre.

Résultats

L'état récapitulatif des règles d'accès affiche les relations entre les fonctions et les risques d'accès.



Étapes suivantes


Détail des règles d'accès [page 79]

Règles générées [page 77]

5.2.1.3.2 Détail des règles d'accès

Prérequis

Vous devez générer des règles à l'aide de la fonctionnalité Risques d'accès avant de pouvoir afficher un état détaillé des règles d'accès.

Contexte

Utilisez l'écran Détail des règles d'accès pour afficher un état détaillé des règles d'accès.

Procédure

1. Sélectionnez Configuration Règles générées Détail des règles d'accès .

L'écran État détaillé des règles d'accès s'affiche.2. Saisissez les critères de sélection pour limiter les résultats pour votre état.3. Sélectionnez Exécuter en avant-plan ou Exécuter en arrière-plan.

Nous vous conseillons d'exécuter l'état en arrière-plan lorsque vous générez un vaste ensemble de résultats.





Résultats

L'état des détails des règles d'accès affiche les règles générées pour les actions comme pour les approbations.

Étapes suivantes


Aperçu des règles d'accès [page 78]

Règles générées [page 77]

5.2.2 Gestion des règles d'accès

Utilisation

Vous pouvez utiliser la section de Gestion des règles d'accès pour gérer les entités de règle d'accès suivantes :

● Ensembles de règles - Il s'agit de catégories ou de regroupements de règles utilisés essentiellement pour déterminer le groupe de risques d'accès à utiliser lors de l'exécution d'une analyse de risque d'accès.

● Fonctions - Il s'agit d'une action ou d'un ensemble actions qu'un salarié doit effectuer pour atteindre un objectif spécifique.

● Risques d'accès - Il s'agit d'objets qui identifient des problèmes d'accès potentiels que votre entreprise peut rencontrer.

Fonctionnalités

A l'aide de la section de Gestion des règles d'accès, vous pouvez effectuer les opérations suivantes :

● Rechercher et afficher les ensembles de règles, fonctions et risques d'accès existants● Créer de nouveaux ensembles de règles, fonctions et risques d'accès● Modifier des ensembles de règles, fonctions et risques d'accès existants● Supprimer des ensembles de règles, fonctions et risques d'accès, si nécessaire


Ensembles de règles [page 81]

Fonctions [page 85]




5.2.2.1 Ensembles de règles

Utilisation

Les ensembles de règles sont des définitions arbitraires qui s'appliquent seulement aux risques d'accès et aux règles. Ils définissent des catégories ou des regroupements de règles. Un ensemble de règles est utilisé principalement pour déterminer le groupe de risques d'accès qui doit être utilisé lorsque vous exécutez une analyse de risque d'accès.

Lorsque vous sélectionnez le lien Ensemble de règles, l'écran Ensembles de règles apparaît, affichant les ensembles de règles existants auxquels vous êtes autorisé à accéder.

A l'aide de l'écran Ensemble de règles, vous pouvez effectuer les opérations suivantes :

● Saisir des critères de recherche pour rechercher un ensemble de règles particulier à l'aide du bouton Filtrer● Définir une nouvelle requête● Réorganiser les options de colonne pour créer une vue personnalisée de l'écran

Activités

Les tâches associées à la gestion des risques incluent la création, l'affichage, la modification et la suppression des ensembles de règles.


Création d'un nouvel ensemble de règles [page 81]

Affichage d'un ensemble de règles [page 82]

Modification d'un ensemble de règles [page 83]

Suppression d'un ensemble de règles [page 84]

5.2.2.1.1 Création d'un ensemble de règles

Contexte

Un ensemble de règles inclut un identifiant et une description. Pour créer un ensemble de règles, vous choisissez un nom et saisissez une description.


Procédure

1. Sélectionnez Configuration Gestion des règles d'accès Ensembles de règles .2. Sélectionnez Créer.

L'écran Ensemble de Règles : Nouveau apparaît.3. Saisissez les valeurs appropriées dans les zones :

○ ID de l'ensemble de règles : Saisissez un nom pour l'ensemble de règles. Ce nom doit être clair pour les autres membres de votre organisation.

○ Description : Saisissez une description de l'ensemble de règles. Cette description doit être claire pour les autres utilisateurs de votre organisation.


Résultats

L'analyse de risque d'accès sauvegarde le nouvel ensemble de règles.

Étapes suivantes




5.2.2.1.2 Affichage d'un ensemble de règles

Contexte

Pour modifier ou supprimer un ensemble de règles, recherchez d'abord cet ensemble de règles et affichez-le.

Procédure

1. Sélectionnez Configuration Gestion des règles d'accès Ensembles de règles .

L'écran Ensembles de règles s'affiche.



2. Sélectionnez Filtrer.

Une ligne vide apparaît au début de la liste d'ensembles de règles.3. Dans les zones ID de l'ensemble de règles et Description, saisissez un texte pour filtrer le nombre de résultats

puis appuyez sur Entrée.

Le filtre retourne tous les ensembles de règles qui répondent aux critères de recherche. Si vous ne filtrez pas le texte dans ces zones, la recherche retourne tous les ensembles de règles existants. La recherche supporte les caractères génériques (*).

Résultats

Le nombre d'ensembles de règles retournés dépend de la restriction de vos critères de recherche. Si la recherche ne retourne pas les ensembles de règles que vous attendiez, exécutez à nouveau la recherche avec des critères de recherche plus restrictifs.

Étapes suivantes




5.2.2.1.3 Modification d'un ensemble de règles

Contexte

Vous ne pouvez modifier que la description d'un ensemble de règles. Une fois l'ensemble de règles créé, vous ne pouvez pas modifier son ID.

Procédure

1. Suivez la procédure dans pour rechercher l'ensemble de règles que vous voulez traiter.2. Sélectionnez l'ensemble de règles puis cliquez sur Ouvrir.

La zone Description de cet ensemble de règles devient blanche pour indiquer que vous pouvez traiter la zone de texte.


3. Modifiez le texte et cliquez sur Sauvegarder.

L'onglet Historique des modifications de l'écran Ensemble de règles affiche toutes les modifications apportées à l'ensemble de règles sélectionné.

Étapes suivantes




5.2.2.1.4 Suppression d'un ensemble de règles

Prérequis

Avant de pouvoir supprimer un ensemble de règles, vous devez supprimer l'affectation d'ensemble de règles de tous les risques d'accès en affectant un ensemble de règles différent à chaque risque d'accès.

Contexte

Vous pouvez supprimer un ensemble de règles. Cependant, si l'ensemble de règles est affecté à un autre ensemble de règles, à un risque d'accès ou à une règle, vous ne pouvez pas le supprimer.

Procédure

1. Suivez la procédure dans pour rechercher l'ensemble de règles que vous voulez supprimer.2. Sélectionnez l'ensemble de règles que vous voulez supprimer puis sélectionnez Supprimer.

Une boîte de dialogue vous demandant de confirmer que vous voulez supprimer l'ensemble de règles s'affiche.

Étapes suivantes

Création d'un ensemble de règles [page 81]





5.2.2.2 Fonctions et risques

Utilisation

Une fonction est un regroupement comprenant une ou plusieurs actions. Un risque d'accès est un objet qui associe deux fonctions en conflit ou plus ou une action critique et une approbation critique. Les actions critiques et les approbations critiques sont aussi appelées des attributs. Les attributs ont un impact sur la façon dont le risque d'accès se traduit en une règle d'accès.

Lorsque vous définissez un risque d'accès, vous spécifiez une combinaison de fonctions qui représentent un risque d'accès au niveau d'un salarié.

RemarqueLa définition d'un risque comprend d'autres attributs ayant un impact sur la manière dont le risque se convertit en règles. La condition qui détermine la présence d'un risque est constituée d'une ou plusieurs fonctions qui créent un conflit quand elles sont combinées.

Les actions affectées à une fonction représentent les tâches qu'un salarié doit pouvoir accomplir pour atteindre un objectif spécifique.

Cependant, des fonctions combinées peuvent entrer en conflit.

ExempleUn salarié qui a accès aux enregistrements d'inventaire ne devrait pas avoir l'autorisation de signer les livraisons. Quand ces deux fonctions sont combinées, elles présentent un risque de séparation des tâches.


Fonctions [page 85]


5.2.2.2.1 Fonctions

Utilisation

Les Fonctions sont les modules de risques d'accès. Elles définissent une tâche ou un ensemble de tâches qu'un salarié doit effectuer pour atteindre un objectif spécifique.


Ces tâches sont appelées Actions.

Fonctionnalités

Les Fonctions ont les attributs suivants :

Table 15 : Attributs de fonction

Attribut Description

ID fonction Le code d'identification de la fonction.

Description Une description synthétique en texte en clair de la fonction qui identifie sa nature pour les utilisateurs.

Processus de gestion Une valeur qui définit à quel processus de gestion cette fonction appartient. Son utilisation a pour objectif la classification.

Etendue de l'analyse Un paramètre qui détermine si la fonction s'applique uniquement à un système unique (par exemple, SAP) ou à plusieurs systèmes.

Activités

Lorsque vous définissez une fonction, vous associez une ou plusieurs actions à cette fonction. Chacune de ces actions a une approbation associée (objet de sécurité) qui définit l'étendue de l'accès pour l'action.


Création d'une fonction [page 87]

Recherche et affichage d'une fonction [page 88]

Modification d'une fonction [page 89]

Suppression d'une fonction [page 89]



5.2.2.2.1.1 Création d'une fonction

Contexte

Vous créez une fonction en lui attribuant un ID et une description et en définissant ses attributs.

Procédure

1. Sélectionnez Configuration Gestion des règles d'accès Fonctions .2. Sélectionnez Créer.

La Fonction : nouveau apparaît.3. Saisissez les attributs de base de la fonction.

1. Dans la zone ID fonction, saisissez le code à 8 caractères pour la fonction.La plupart des entreprises choisissent une convention d'appellation pour ce code. Le SAP GRC Access Control affecte aux fonctions par défaut un code à quatre caractères.

2. Dans la zone Description, saisissez une description en texte en clair de la fonction.Vous utilisez cette description pour identifier la fonction dans l'interface.

3. Dans la liste déroulante Processus de gestion, sélectionnez le processus de gestion auquel appartient cette fonction.La zone Processus de gestion est une zone obligatoire. Il est vivement recommandé d'associer chaque fonction avec son propre processus de gestion à moins que la fonction n'appartienne à plus d'un processus.

4. Dans la liste déroulante Périmètre d'analyse, sélectionnez soit Système unique soit Système croisé.○ Choisissez Système unique si la fonction ne s'applique qu'à une seule plate-forme d'entreprise

(système SAP ou externe).○ Choisissez Système croisé si la fonction s'applique à plusieurs plates-formes d'entreprise (systèmes

SAP et externe(s)).4. Vous pouvez associer cette fonction avec une action ou une autorisation. Utilisez la liste d'Actions pour

associer une action à une fonction, ajouter une action à la liste ou supprimer une action de la liste.5. Sélectionnez l'onglet Approbations (facultatif).

L'écran Approbations apparaît, affichant les approbations (objets d'autorisation) pour toutes les actions qui ont été ajoutées à la fonction.

AttentionCet écran vous permet de limiter davantage l'accès défini dans l'objet d'approbation. Vous ne pouvez pas étendre l'accès ou reconfigurer l'objet d'approbation.

Pour modifier les restrictions d'accès :

○ Si vous n'avez pas besoin de modifier d'approbation associée, utilisez le dialogue Définition d'approbation.


○ Pour afficher et évaluer les détails d'une approbation avant de la modifier, utilisez l'onglet Approbations pour développer et afficher chaque approbation.


Étapes suivantes




5.2.2.2.1.2 Recherche et affichage d'une fonction

Contexte

Pour modifier ou supprimer une fonction, vous devez d'abord la rechercher et l'afficher.

Procédure

1. Sélectionnez Configuration Gestion des règles d'accès Fonction .2. Sélectionnez Filtre.

Une ligne vide apparaît au début de la liste de fonctions.3. Dans les zones ID de fonction et Description, saisissez un texte pour limiter le nombre de résultats puis

appuyez sur Entrée.

Le filtre retourne toutes les fonctions qui répondent aux critères de recherche.

Limitez votre recherche avec des filtres ou des critères de recherche ou la recherche retourne toutes les fonctions existantes. La recherche supporte les caractères génériques (*).

Étapes suivantes






5.2.2.2.1.3 Modification d'une fonction

Contexte

Vous pouvez modifier tout aspect d'un fonction à l'exception de son ID.

Procédure

1. Suivez la procédure pour trouver la fonction que vous souhaitez traiter.2. Après avoir trouvé la fonction, sélectionnez la ligne puis le bouton de commande Ouvrir.3. Modifiez la fonction.

Les modifications que vous pouvez apporter à une fonction sont les mêmes que les attributs que vous définissez dans .


Étapes suivantes




5.2.2.2.1.4 Suppression d'une fonction

Contexte

Faites attention lorsque vous supprimez une fonction. Vous devez d'abord supprimer tout risque existant de la fonction avant de la supprimer elle-même.


Procédure

1. Sélectionnez Configuration Gestion des règles d'accès Fonctions .2. Sélectionnez Filtrer.

Une ligne vide apparaît au début de la liste de fonctions.3. Saisissez des critères de recherche pour localiser la fonction que vous voulez supprimer.

Vous pouvez vous référer à pour obtenir des instructions sur la recherche de la fonction que vous voulez supprimer.

4. Après avoir trouvé la fonction, sélectionnez la ligne puis le bouton de commande Supprimer.


Étapes suivantes




5.2.2.2.2 Risques d'accès

Utilisation

Les risques d'accès identifient des problèmes d'accès potentiels que votre entreprise peut rencontrer.

Utilisez cette fonctionnalité pour créer, afficher, modifier ou supprimer un risque d'accès.


Création de risques d'accès [page 91]

Recherche et affichage de risques d'accès [page 93]

Modification d'un risque d'accès [page 94]

Suppression d'un risque d'accès [page 94]



5.2.2.2.2.1 Création de risques d'accès

Contexte

Un risque d'accès requiert un identifiant et des attributs définis.

Procédure

1. Sélectionnez Configuration Gestion des règles d'accès Risques d'accès . L'écran Risque d'accès s'affiche.

2. Sélectionnez Créer.3. Saisissez les attributs de base du risque d'accès :

1. Dans la zone ID de risque, saisissez un code alphanumérique à 4 caractères pour identifier le risque.Ce code ne doit correspondre qu'à ce risque d'accès.

2. Dans la zone Description, saisissez une description synthétique du risque.3. Dans la liste déroulante Type de risque, sélectionnez le type de risque.

Les types de risques incluent les éléments suivants :○ Risque de Séparation des tâches (SoD)○ Risque d'Action critique○ Risque d'Approbation critique

4. Dans la liste déroulante Niveau de risque, sélectionnez le niveau de gravité du risque.Les niveaux de risques sont suivants :○ Faible○ Moyen○ Élevé○ Critique

5. Dans la liste déroulante Processus de gestion, sélectionnez le processus de gestion pour ce risque.6. Dans le menu déroulant Statut, sélectionnez soit Activé soit Désactivé pour indiquer s'il faut activer le

risque lors de la sauvegarde.4. Sélectionnez l'onglet Fonctions pour afficher l'écran Fonction.

Vous utilisez cet écran pour identifier les fonctions de ce risque :

1. Sélectionnez la case à cocher à côté d'une ligne vide et cliquez sur la flèche vers le bas située à droite de la ligne pour afficher une zone de liste déroulante de toutes les fonctions définies.

2. Sélectionnez la fonction que vous souhaitez ajouter au risque.

Répétez ces étapes jusqu'à ce que toutes les fonctions soient incluses dans le risque :

○ Pour les risques SoD, sélectionnez au moins deux fonctions.○ Pour les risques Action critique et Approbation critique, sélectionnez au moins une fonction.

5. Sélectionnez l'onglet Description détaillée pour afficher la zone de texte Description détaillée. Saisissez une description du risque.


6. Sélectionnez l'onglet Objectif du contrôle pour afficher la zone de texte Objectif du contrôle. Saisissez une description de l'objectif du contrôle ciblé par le risque.

AttentionÉvitez les caractères de Tabulation du clavier lorsque vous saisissez des données de risque dans les zones de texte Description détaillée et Objectif du contrôle. Les caractères de Tabulation du clavier peuvent causer problèmes lorsque vous utilisez les utilitaires Exporter et Importer pour déplacer des règles d'un système à un autre.

7. Cliquez sur l'onglet Détenteurs du risque pour afficher l'écran ID du détenteur.

AttentionPour affecter un détenteur du risque à un risque d'accès, vous devez vous assurer que l'utilisateur est affecté comme détenteur.

Vous utilisez cet écran pour identifier le ou les salarié(s) détenteur(s) de ce risque :

1. Cliquez sur l'icône Plus pour ajouter une zone Détenteur du risque.2. Cliquez sur la flèche vers le bas située à droite de la ligne pour afficher une liste des salariés définis.3. Pour affecter un détenteur au risque, sélectionnez-le dans la liste.

Répétez ces étapes pour affecter tous les détenteurs au risque.8. Cliquez sur l'onglet Ensembles de règles pour afficher l'écran Ensemble de règles.

Cet écran identifie les ensembles de règles à ajouter à ce risque :

1. Cliquez sur l'icône Plus pour ajouter une zone d'ensembles de règles.2. Cliquez sur la flèche vers le bas située à droite de la ligne pour afficher une zone de liste déroulante de

tous les ensembles de règles définis.3. Sélectionnez l'ensemble de règles que vous souhaitez ajouter au risque.

Répétez ces étapes jusqu'à l'ajout de tous les ensembles de règles au risque.9. Sélectionnez Sauvegarder.

Étapes suivantes






5.2.2.2.2.2 Recherche et affichage de risques d'accès

Contexte

Cette procédure décrit comment rechercher et afficher un risque d'accès.

Procédure

1. Sélectionnez Configuration Gestion des règles d'accès Risques d'accès .

L'écran Risque d'accès s'affiche.2. Sélectionnez Filtrer.

Une ligne vide apparaît au début de la liste de risques d'accès.3. Saisissez des critères de recherche pour filtrer vos résultats puis appuyez sur Entrée.

La recherche supporte les caractères génériques (*).

Lorsque vous appuyez sur Entrée, l'application retourne les risques d'accès qui répondent aux critères de recherche dans l'écran Résultats de la recherche.

Résultats

Si vous n'avez pas filtré la recherche, l'application peut retourner une longue liste de risques d'accès. Vous pouvez naviguer dans la liste pour trouver le risque d'accès que vous recherchez.

Étapes suivantes





5.2.2.2.2.3 Modification d'un risque d'accès

Contexte

Vous pouvez modifier la plupart des critères de sélection des risques d'accès. Cependant, vous ne pouvez pas modifier l'ID et le Type de risque.

Procédure


L'écran Risque d'accès s'affiche.2. Suivez la procédure dans pour rechercher le risque d'accès que vous voulez traiter.3. Après avoir trouvé le risque d'accès, sélectionnez la ligne puis le bouton de commande Ouvrir.

L'écran Risque d'accès s'affiche.4. Modifiez le risque d'accès selon vos besoins.5. Sélectionnez Sauvegarder.

Étapes suivantes




5.2.2.2.2.4 Suppression d'un risque d'accès

Contexte

Vous pouvez supprimer n'importe quel risque d'accès. Cependant, la suppression d' un risque d'accès invalide toute règle générée à partir de ce risque d'accès.



Procédure


L'écran Risque d'accès s'affiche.2. Suivez la procédure dans pour rechercher le risque d'accès que vous voulez traiter.3. Lorsque vous trouvez le risque d'accès, sélectionnez la ligne puis le bouton de commande Supprimer.


Étapes suivantes




5.2.3 Règles d'accès critiques

Utilisation

Utilisez cette fonctionnalité pour identifier des rôles individuels et des profils qui représentent un risque d'accès pour votre entreprise. Par exemple, une personne qui a le rôle d'administrateur de la base de données principale est un risque pour votre entreprise. Vérifiez qu'un salarié affecté à ce rôle satisfait les exigences d'autorisation de votre entreprise. Assurez-vous d'avoir désigné ce rôle comme rôle critique. Si votre système utilise les profils, vous pouvez avoir défini les profils présentant un risque d'accès. Assurez-vous d'avoir désigné chaque profil comme étant critique.


Profils critiques [page 97]



5.2.3.1 Règles de rôles critiques et de profil critiques

Concept

Identifiez les rôles individuels et les profils présentant un risque d'accès pour votre société. Par exemple, une personne qui a le rôle d'administrateur de la base de données principale est un risque pour votre entreprise. Assurez-vous que tout salarié à qui ce rôle a été affecté est dûment autorisé. Soyez sûr que vous avez désigné ce rôle comme rôle critique. Si votre système utilise les profils, vous pouvez avoir défini les profils présentant un risque. Soyez sûr que vous avez désigné chaque profil comme étant critique.


Règles d'accès critiques [page 95]


5.2.3.1.1 Rôles critiques

Utilisation

Utilisez cette fonctionnalité pour identifier des rôles qui font prendre un risque à votre société.

Procédure

Pour créer et gérer des rôles critiques :

1. Sélectionnez Configuration Règles d'accès critiques Rôles critiques .L'écran Rôles critiques s'affiche.

2. Sélectionnez Créer.3. Sélectionnez le Système, l'Ensemble de règles, le Niveau de risque, et le Statut dans les zones de listes

déroulantes.4. Naviguez jusqu'au nom de Rôle.5. Sélectionnez le Rôle que vous voulez puis sélectionnez OK.6. Saisissez une description du risque décrivant pourquoi ce rôle est un rôle critique.7. Sélectionnez Sauvegarder.

Recherche d'un rôle critique

Utilisez l'option Filtrer pour rechercher et apporter des modifications à un rôle critique.



Pour rechercher un rôle critique :

1. Sélectionnez Configuration Règles d'accès critiques Rôles critiques .L'écran Rôles critiques s'affiche.

2. Sélectionnez Filtrer.Une ligne vide apparaît au début de la liste de rôles critiques.

3. Saisissez des critères de recherche pour rechercher le rôle que vous voulez modifier puis appuyez sur Entrée.L'application retourne les rôles critiques qui répondant aux critères à l'écran Résultats de la recherche.




5.2.3.1.2 Profils critiques

Utilisation

Utilisez cette fonctionnalité pour identifier des profils qui font prendre un risque à votre société.

Procédure

Pour créer un profil critique :

1. Sélectionnez Configuration Règles d'accès critiques Profils critiques .L'écran Profils critiques s'affiche.

2. Sélectionnez Créer.3. Sélectionnez le Système, Ensemble de règles, Niveau du risque et Statut dans les listes déroulantes.4. Naviguez jusqu'au nom de Profil.5. Sélectionnez le Profil que vous voulez puis sélectionnez OK.6. Saisissez une description du risque décrivant pourquoi ce profil est un profil critique.7. Sélectionnez Sauvegarder.

Recherche d'un profil critique

Utilisez l'option Filtre pour rechercher et apporter des modifications à un profil critique.

Pour rechercher un profil critique :

1. Sélectionnez Configuration Règles d'accès critiques Profils critiques .L'écran Profils critiques s'affiche.

2. Sélectionnez Filtrer.Une ligne vide apparaît au début de la liste de profils critiques.


3. Saisissez des critères de recherche pour rechercher le profil critique que vous voulez modifier puis appuyez sur Entrée.L'application retourne les profils répondant aux critères de recherche à l'écran Résultats de la recherche.



Rôles critiques [page 96]

5.3 Analyse de risque d'accès

Utilisation

Un risque d'accès correspond à une ou plusieurs actions ou autorisations qui, lorsqu'elles sont disponibles pour un utilisateur unique (ou un rôle, profil ou objet HR unique), créent un potentiel pour des erreurs de fraude ou des erreurs involontaires.

Parmi les opérations commerciales, vous pouvez définir des risques d'accès qui nécessitent un contrôle supplémentaire pour s'assurer que votre organisation fonctionne correctement. Vous pouvez alors surveiller et contrôler ces risques pour empêcher les utilisateurs d'exploiter des vulnérabilités pour commettre des fraudes ou enregistrer des erreurs involontaires.

SAP GRC Access Control vous permet de spécifier les types de risques d'accès suivants :

● Séparation des tâches - Elle est définie comme un individu ayant la capacité d'effectuer deux ou plusieurs fonctions en conflit pour contrôler un processus du début à la fin sans la participation d'autres personnes. Par exemple, une personne peut être capable de configurer un fournisseur de contenus et de traiter des paiements ou de manipuler des ventes et des factures clients, pour dissimuler des commissions.

● Action critique - Certaines fonctions sont de nature si critiques que toute personne y ayant accès doit être identifiée et évaluée pour garantir que l'accès est autorisé. Cela est différent des risques de séparation des tâches où la personne a seulement besoin d'avoir accès à une fonction unique. Par exemple, la capacité de configurer un système de production est considérée comme une action critique indépendamment de tout autre accès que la personne peut avoir.

● Approbation critique - De même que pour les actions critiques, certaines approbations (objets d'autorisation) sont considérées comme critiques par nature. Par exemple, le fait d'obtenir des approbations d'administration de jobs d'arrière-plan peut être considéré comme critique par certaines organisations.

Après avoir défini les risques, vous pouvez utiliser la section Analyse de risque d'accès pour générer des états présentant différents types d'informations, y compris des états présentant des risques d'accès, des conflits ou l'utilisation d'actions critiques par utilisateur, rôle, profil ou objet HR.

RemarqueL'administrateur peut configurer l'application de sorte qu'elle contienne des affectations Firefighter (FF) dans l'analyse des risques. Si la fonctionnalité est activée, l'écran Analyse des risques affiche la case à cocher Inclure



ID Firefighter. Vous pouvez alors décider d'inclure ou non des affectations Firefighter pour votre analyse spécifique des risques.

L'administrateur configure cette option dans l'activité IMG Gérer options de configuration, sous Governance, Risk, and Compliance Access Control . Pour le paramètre Prendre en compte les affectations Firefighter dans l'analyse des risques, saisissez les valeurs comme suit :

Table 16 :

Colonne Valeur




Lorsque vous identifiez un risque d'accès dans un état, vous pouvez le résoudre ou y remédier en le supprimant ou en appliquant un contrôle d'atténuation. Vous pouvez aussi utiliser des états dans la section Analyse de risque d'accès pour afficher des risques atténués et des risques qui n'ont pas encore été corrigés.


Analyse de risque d'accès du niveau utilisateur [page 99]


Analyse de risque d'accès du niveau de profil [page 108]

Analyse de risque d'accès des objets HR [page 112]

5.3.1 Analyse de risque d'accès du niveau utilisateur

Contexte

Vous pouvez créer un état affichant l'analyse de risque d'accès du niveau utilisateur pour votre organisation.

Procédure

1. Sélectionnez Gestion des accès Analyse de risque d'accès Niveau utilisateur .

L'écran Analyse des risques : Niveau utilisateur apparaît.


2. Indiquez les critères d'analyse.1. Sélectionnez le type d'objet à l'aide de la première liste déroulante contenant les options suivantes :

○ Système○ Groupe personnalisé

RemarqueVous pouvez utiliser des groupes d'utilisateurs personnalisés pour effectuer une analyse des risques pour le groupe plutôt que séparément pour chaque utilisateur. Par exemple, vous créez Group_A puis ajouter User_01 via user_10. Vous pouvez ensuite exécuter l'analyse des risques sur Group_A. Pour plus d'informations, voir Création d'un groupe d'utilisateurs personnalisé. [page 102]

○ Inclure utilisateurs○ Inclure affectation de rôle○ Niveau d'organisation○ Règle d'organisation○ ID utilisateur○ Entité organisationnelle○ Valeur organisationnelle○ Risque par processus○ ID de risque d'accès○ Niveau de risque○ Ensemble de règles○ Utilisateur

RemarqueSur une base ad hoc, vous pouvez exécuter une analyse des risques pour une liste filtrée d'utilisateurs en fonction de leurs attributs SU01. Pour ce faire, sélectionnez Sélections multiples dans la colonne du milieu. Ensuite sélectionnez Ajouter sélection. Puis sélectionnez Recherche SU01 pour identifier les attributs que vous voulez analyser.

○ Groupe d'utilisateurs○ Type d'utilisateur○ Date de validité

2. Sélectionnez l'opérateur à l'aide de la deuxième liste déroulante, parmi les propositions suivantes :○ est○ n'est pas○ commence par○ contient○ se situe entre○ sélections multiples

3. Dans la zone Valeur, saisissez ou sélectionnez la valeur dans la troisième zone.4. Vous pouvez ajouter (facultatif) une ligne aux critères d'analyse en sélectionnant le bouton de commande

plus (+) et en indiquant les zones. Ou vous pouvez supprimer une ligne en sélectionnant le bouton de commande moins (-).

3. Indiquez les options d'état.



1. Dans la section Format, sélectionnez le type de format et la vue.Vous pouvez choisir parmi les types de format suivants :○ Synthèse○ Détail○ Vue de gestion○ Vue exécutive

Vous pouvez choisir parmi les vues suivantes :○ Vue de correction

RemarqueCette vue vous permet de lancer des actions de correction directement de l'état. Pour de plus amples informations, reportez-vous à Vue de correction [page 222].

○ Vue technique○ Vue de gestion d'entreprise

4. Dans la section Type, sélectionnez le type d'état :○ Analyse de risque d'accès - Sélectionnez Niveau d'action, Niveau d'approbation, Action critique,

Approbation critique et Rôle/Profil critique.○ Évaluation des risques d'accès○ Analyse d'atténuation - Sélectionnez Contrôles d'atténuation ou Contrôles d'atténuation non valides.

5. Dans la section Critères supplémentaires, sélectionnez tout critère de reporting supplémentaire.6. Vous pouvez sauvegarder (facultatif) les critères d'analyse en tant que variante en saisissant un nom dans la

zone Sauvegarder la variante en tant que et en sélectionnant Sauvegarder.7. Sélectionnez Exécuter en avant-plan ou Exécuter en arrière-plan.




Étapes suivantes

Analyse de risque d'accès [page 98]

Simulation du niveau utilisateur [page 103]

Création d'un groupe d'utilisateurs personnalisé [page 102]

Vue de correction [page 222]


5.3.1.1 Création d'un groupe d'utilisateurs personnalisé

Utilisation

Vous pouvez utiliser des groupes d'utilisateurs personnalisés pour effectuer des activités, comme l'analyse des risques, pour le groupe plutôt que séparément pour chaque utilisateur. Par exemple, vous créez Group_A puis ajoutez User_01 par le biais d'user_10. Vous pouvez ensuite effectuer l'activité sur Group_A.

Conditions requises

Cette fonctionnalité s'applique à deux scénarios, Analyse de niveau utilisateur et Simulation de niveau utilisateur.

Procédure

RemarqueIl existe deux façons de créer un Groupe d'utilisateurs personnalisé.

● Vous pouvez utiliser l'activité IMG (transaction SPRO). Localisez l'activité et la documentation à Governance, Risk and Compliance Contrôle d'accès Gérer groupe d'utilisateurs personnalisé .

● Vous pouvez le créer directement de l'application, si vous y êtes autorisé. Les étapes ci-dessous donnent des instructions sur la façon de créer le groupe par le biais de l'application. Cette méthode vous permet aussi d'ajouter des utilisateurs au groupe en fonction de leurs attributs de SU01.

1. Sélectionnez Gestion des accès Analyse de risque d'accès Niveau utilisateurL'écran Analyse des risques : Niveau utilisateur apparaît.

2. Localisez le Groupe personnalisé dans la liste des Critères d'analyse.3. Acceptez la valeur par défaut est dans la deuxième colonne.4. Dans la colonne suivante, sélectionnez F4 pour voir l'écran Recherche groupe personnalisé.5. Saisissez le nouveau Nom d'utilisateur personnalisé.

RemarquePour voir les groupes existants, sélectionnez Réinitialiser pour réinitialiser la zone. Puis cliquez sur Rechercher. La colonne de gauche affiche les Noms de groupe personnalisé. La colonne de droite affiche les ID utilisateur des membres du Groupe d'utilisateurs personnalisé sélectionné. Si vous devez limiter le nombre de groupes d'utilisateurs personnalisés affichés, vous pouvez utiliser des caractères génériques (comme l'astérisque).

6. Cliquez sur Créer. L'écran Groupe personnalisé s'affiche.7. Saisissez une Description du nouveau groupe.8. Sélectionnez les Attributs SU01 que vos utilisateurs ont en commun. Système est requis et doit être un

système SAP.



9. Sélectionnez Rechercher.10. Sélectionnez les ID utilisateur que vous souhaitez dans la liste.11. Cliquez sur Utilisateurs sélectionnés pour voir la liste des utilisateurs que vous avez sélectionnés pour votre

groupe d'utilisateurs personnalisé. Vérifiez que ce sont les utilisateurs que vous souhaitez dans votre groupe d'utilisateurs personnalisé.

12. Sélectionnez Sauvegarder pour sauvegarder votre groupe avec ses membres.




Simulation du niveau utilisateur [page 103]

Création d'un groupe d'utilisateurs personnalisé (par le biais de SPRO) : Governance, Risk and ComplianceContrôle d'accès Gérer groupe d'utilisateurs personnalisé

5.3.2 Simulation du niveau utilisateur

Contexte

Vous pouvez utiliser les fonctions de l'écran Simulation du niveau utilisateur pour effectuer une simulation du niveau utilisateur comme partie de l'analyse de risque d'accès pour votre organisation.

Procédure

1. Sélectionnez Gestion des accès Analyse de risque d'accès Simulation du niveau utilisateur .

L'écran Simulation : Niveau utilisateur apparaît et affiche la phase Définir les critères d'analyse.2. Définissez les critères d'analyse :

○ Utilisez un ensemble existant de critères d'analyse en saisissant son nom dans la zone Variantes sauvegardées.

○ Utilisez les zones disponibles à l'écran pour indiquer de nouveaux critères d'analyse :1. Sous la zone Critères d'analyse, utilisez les zones pour indiquer les critères d'analyse, tels que

Système, Utilisateuretc.


RemarqueVous pouvez utiliser les boutons de commande plus (+) et moins (-) pour ajouter ou supprimer des zones de critères.

2. Sous la zone Options de l'état, sélectionnez parmi les propositions suivantes :○ Format, tel que Synthèse, Détail, Aperçu de gestion et Aperçu exécutif○ Vue, telle que Vue technique et Vue de gestion d'entreprise○ Type, seule l'Analyse de risque d'accès est disponible et est automatiquement sélectionnée. Vous

pouvez sélectionner parmi les options d'analyse de risque d'accès suivantes : Niveau d'action, Niveau d'approbation, Action critique, Approbation critique, Rôle/Approbation critique

○ Critères supplémentaires, tels que Inclure risques atténués, Afficher tous objets et Tenir cmpte règle org..

3. Vous pouvez sauvegarder (facultatif) les critères d'analyse pour les utiliser ultérieurement, en saisissant un nom dans la zone Sauvegarder variante comme et en sélectionnant Sauvegarder.

4. Sélectionnez Suivant.3. A l'écran Définir critères de simulation, indiquez les critères :

○ Utilisez un ensemble existant de critères de simulation en saisissant le nom dans la zone Variantes sauvegardées.

○ Utilisez les zones disponibles pour indiquer de nouveaux critères de simulation :1. Sélectionnez l'onglet Actions pour ajouter ou supprimer des actions, ajouter ou supprimer des

approbations liées aux actions.2. Sélectionnez l'onglet Rôles pour ajouter ou supprimer des actions, ajouter ou supprimer des

approbations liées aux rôles.3. Sélectionnez l'onglet Profils pour ajouter ou supprimer des profils, ajouter ou supprimer des

approbations liées aux profils.4. Dans la section Critères supplémentaires, sélectionnez tout critère de reporting supplémentaire tel

que Exclure des valeurs et Risque provenant uniquement de la simulation.5. Vous pouvez sauvegarder (facultatif) les critères de simulation en tant que variante en saisissant un

nom dans la zone Sauvegarder variante comme et en sélectionnant Sauvegarder.6. Sélectionnez Exécuter en avant-plan pour lancer la simulation immédiatement ou sélectionnez

Exécuter en arrière-plan pour planifier une heure et une date pour le lancement de la simulation.

Remarque

Pour afficher le statut des jobs d'arrière-plan, naviguez jusqu'à Gestion des accès PlanificationJobs d'arrière-plan .

7. Si vous sélectionnez Exécuter en avant-plan, confirmez que vous voulez exécuter l'analyse immédiatement en sélectionnant OK. Les résultats de la simulation apparaissent dans l'écran Confirmation.

4. Sur l'écran Confirmation, vérifiez les résultats.

Vous pouvez sélectionner (facultatif) Exporter ensembles de résultats pour exporter les résultats vers votre machine locale.



Étapes suivantes



5.3.3 Analyse de risque d'accès du niveau de rôle

Contexte

Vous pouvez créer un état affichant l'analyse de risque d'accès du niveau de rôle pour votre organisation.

Procédure

1. Sélectionnez Gestion des accès Analyse de risque d'accès Niveau de rôle .

L'écran Analyse des risques : Niveau de rôle apparaît.2. Indiquez les critères d'analyse.


1. Sélectionnez le type d'objet à l'aide de la première liste déroulante, parmi les propositions suivantes :○ Système○ Niveau d'organisation○ Règle d'organisation○ Entité organisationnelle○ Valeur organisationnelle○ Risque par processus○ ID de risque d'accès○ Niveau de risque○ Rôle○ Type de rôle○ Ensemble de règles○ Date de validité

2. Sélectionnez l'opérateur à l'aide de la deuxième liste déroulante, parmi les propositions suivantes :○ est○ n'est pas○ commence par○ contient○ se situe entre


○ sélections multiples3. Dans la zone Valeur, saisissez ou sélectionnez la valeur dans la troisième zone.4. Vous pouvez ajouter (facultatif) une ligne aux critères d'analyse en sélectionnant le bouton de commande

plus (+) et en indiquant les zones appropriées. Sinon vous pouvez supprimer une ligne des critères d'analyse en sélectionnant le bouton de commande correspondant moins (-).




Vous pouvez choisir parmi les vues suivantes :○ Vue technique○ Vue de gestion d'entreprise

4. Dans la section Type, sélectionnez le type d'état parmi les propositions suivantes :○ Analyse de risque d'accès - Vous pouvez sélectionner Niveau d'action, Niveau d'approbation, Action

critique, Approbation critique, Rôle/Profil critique et Etat analytique.○ Évaluation des risques d'accès○ Analyse d'atténuation - Vous pouvez choisir entre Contrôles d'atténuation ou Contrôles d'atténuation non

valides.5. Dans la section Critères supplémentaires, sélectionnez tout critère de reporting supplémentaire.6. Vous pouvez sauvegarder (facultatif) les critères d'analyse en tant que variante en saisissant un nom dans la





Étapes suivantes


Simulation du niveau de rôle [page 107]



5.3.4 Simulation du niveau de rôle

Contexte

Vous pouvez utiliser les fonctions de l'écran Simulation du niveau de rôle pour effectuer une simulation du niveau de rôle comme partie de l'analyse de risque d'accès pour votre organisation.

Procédure

1. Sélectionnez Gestion des accès Analyse de risque d'accès Simulation du niveau de rôle .

L'écran Simulation : Niveau de rôle apparaît et affiche la phase Définir critères d'analyse.2. Définissez les critères d'analyse à l'aide des méthodes suivantes :


○ Utilisez les zones disponibles sur l'écran pour indiquer de nouveaux critères d'analyse en procédant comme suit :1. Sous la zone Critères d'analyse, utilisez les zones disponibles pour indiquer les critères d'analyse, tels

que Système, Type d'analyse, etc.


2. Sous la zone Options de l'état, sélectionnez et choisissez parmi les propositions suivantes :○ Format, tel que Synthèse, Détail, Aperçu de gestion et Aperçu exécutif○ Vue, telle que Vue technique et Vue de gestion d'entreprise○ Type, seule l'Analyse de risque d'accès est disponible et est automatiquement sélectionnée. Vous


○ Critères supplémentaires, tels que Inclure risques atténués et Afficher tous objets3. Vous pouvez sauvegarder (facultatif) les critères d'analyse en tant que variante en saisissant un nom

dans la zone Sauvegarder variante comme et en sélectionnant Sauvegarder.4. Sélectionnez Suivant.

3. Sur l'écran Définir critères de simulation, indiquez les critères pour la simulation à l'aide des méthodes suivantes :○ Utilisez un ensemble existant de critères de simulation en saisissant son nom dans la zone Variantes

sauvegardées.○ Utilisez les zones disponibles sur l'écran pour indiquer de nouveaux critères de simulation en procédant

comme suit :1. Sélectionnez la page à onglet Actions pour ajouter ou supprimer des actions, ajouter ou supprimer

des approbations liées aux actions.


2. Sélectionnez la page à onglet Rôles pour ajouter ou supprimer des rôles, ajouter ou supprimer des approbations liées aux rôles.

3. Sélectionnez la page à onglet Profils pour ajouter ou supprimer des profils, ajouter ou supprimer des approbations liées aux profils.

4. Dans la section Critères supplémentaires, sélectionnez tout critère de reporting supplémentaire tel que Exclure des valeurs et Risque provenant uniquement de la simulation.

5. Vous pouvez sauvegarder (facultatif) les critères de simulation en tant que variante en saisissant un nom dans la zone Sauvegarder variante comme et en sélectionnant Sauvegarder.

6. Sélectionnez Exécuter en avant-plan pour lancer la simulation immédiatement ou sélectionnez Exécuter en arrière-plan pour planifier une heure et une date pour le lancement de la simulation.

Remarque





Étapes suivantes


Analyse de risque d'accès du niveau de rôle [page 105]

5.3.5 Analyse de risque d'accès du niveau de profil

Contexte

Vous pouvez créer un état affichant l'analyse de risque d'accès du niveau de profil pour votre organisation.

Procédure

1. Sélectionnez Gestion des accès Analyse de risque d'accès Niveau de profil .



L'écran Analyse des risques : Niveau de profil apparaît.2. Indiquez les critères d'analyse.


1. Sélectionnez le type d'objet à l'aide de la première liste déroulante, parmi les propositions suivantes :○ Système○ Profil○ Risque par processus○ ID de risque d'accès○ Niveau de risque○ Ensemble de règles○ Date de validité

2. Sélectionnez l'opérateur à l'aide de la deuxième liste déroulante, parmi les propositions suivantes :○ est○ n'est pas○ commence par○ contient○ se situe entre○ sélections multiples

3. Dans la zone Valeur, saisissez ou sélectionnez la valeur dans la troisième zone.4. Vous pouvez ajouter (facultatif) une ligne aux critères d'analyse en sélectionnant le bouton de commande

plus (+) et en indiquant les zones appropriées. Sinon vous pouvez supprimer une ligne des critères d'analyse en sélectionnant le bouton de commande correspondant moins (-).




Vous pouvez choisir parmi les vues suivantes :○ Vue technique○ Vue de gestion d'entreprise

4. Dans la section Type, sélectionnez le type d'état parmi les propositions suivantes :○ Analyse de risque d'accès - Sélectionnez Niveau d'action, Niveau d'approbation, Action critique,

Approbation critique et Rôle critique/Profil.○ Évaluation des risques d'accès○ Analyse d'atténuation - Sélectionnez Contrôles d'atténuation ou Contrôles d'atténuation non valides.

5. Dans la section Critères supplémentaires, sélectionnez tout critère de reporting supplémentaire.6. Vous pouvez sauvegarder (facultatif) les critères d'analyse en tant que variante en saisissant un nom dans la






Étapes suivantes


Simulation du niveau de profil [page 110]

5.3.6 Simulation du niveau de profil

Contexte

Vous pouvez utiliser les fonctions de l'écran Simulation du niveau de profil pour effectuer une simulation du niveau de profil comme partie de l'analyse de risque d'accès pour votre organisation.

Procédure

1. Sélectionnez Gestion des accès Analyse de risque d'accès Simulation du niveau de profil .

L'écran Simulation : Niveau de profil apparaît et affiche la phase Définir les critères d'analyse.2. Définissez les critères d'analyse à l'aide des méthodes suivantes :














des approbations liées aux actions.2. Sélectionnez la page à onglet Rôles pour ajouter ou supprimer des rôles, ajouter ou supprimer des

approbations liées aux rôles.3. Sélectionnez la page à onglet Profils pour ajouter ou supprimer des profils, ajouter ou supprimer des





Remarque





Étapes suivantes


Analyse de risque d'accès du niveau de profil [page 108]


5.3.7 Analyse de risque d'accès des objets HR

Contexte

Vous pouvez créer un état qui affiche l'analyse de risque d'accès des objets HR pour votre organisation.

Procédure

1. Sélectionnez Gestion des accès Analyse de risque d'accès Objets HR .

L'écran Analyse des risques : Niveau d'objet HR apparaît.2. Choisissez parmi les méthodes suivantes pour créer un état d'analyse de risque pour les objets HR :





2. Sous la zone Options de l'état, sélectionnez et choisissez parmi les propositions suivantes :○ Format, tel que Synthèse, Détail, Aperçu de gestion et Aperçu exécutif○ Vue, telle que Vue technique et Vue de gestion d'entreprise○ Critères supplémentaires, tels que Inclure risques atténués et Afficher tous objets

3. Dans la zone Type, choisissez parmi les types et options suivants :○ Analyse de risque d'accès

Vous pouvez sélectionner parmi les options d'analyse de risque d'accès suivantes : Niveau d'action, Niveau d'approbation, Action critique, Approbation critique, Rôle/Approbation critique

○ Évaluation des risques d'accès○ Analyse d'atténuation

Vous pouvez choisir parmi les options d'analyse d'atténuation suivantes : Contrôles d'atténuation ou Contrôles d'atténuation invalides.

4. Vous pouvez sauvegarder (facultatif) les critères d'analyse en tant que variante en saisissant un nom dans la zone Sauvegarder variante comme et en sélectionnant Sauvegarder.

3. Sélectionnez Exécuter en avant-plan pour lancer l'analyse immédiatement ou sélectionnez Exécuter en arrière-plan pour planifier une heure et une date pour le lancement de l'analyse.



Remarque

Pour afficher le statut des jobs d'arrière-plan, naviguez jusqu'à Gestion des accès Planification Jobs d'arrière-plan .

4. Si vous sélectionnez Exécuter en avant-plan, confirmez que vous voulez exécuter l'analyse immédiatement en sélectionnant OK.

Étapes suivantes


Simulation des objets HR [page 113]

5.3.8 Simulation des objets HR

Contexte

Vous pouvez effectuer une simulation des objets HR comme partie de l'analyse de risque d'accès pour votre organisation.

Procédure

1. Sélectionnez Gestion des accès Analyse de risque d'accès Simulation des objets HR .

L'écran Simulation : Niveau d'objet HR apparaît et affiche la phase Définir critères d'analyse.2. Définissez les critères d'analyse à l'aide des méthodes suivantes :













des approbations liées aux actions.2. Sélectionnez la page à onglet Rôles pour ajouter ou supprimer des rôles, ajouter ou supprimer des

approbations liées aux rôles.3. Sélectionnez la page à onglet Profils pour ajouter ou supprimer des profils, ajouter ou supprimer des





Remarque





Étapes suivantes


Analyse de risque d'accès des objets HR [page 112]



5.4 Accès atténué

Utilisation

L'Accès atténué vous permet de gérer les risques reliés au contrôle d'accès en identifiant des risques, en évaluant le niveau de ces risques et en affectant des contrôles d'atténuation aux utilisateurs, aux rôles et aux profils pour atténuer des violations de règle d'accès.

L'analyse des risques identifie un risque, ce dernier ne peut pas être atténué sans que le contrôle n'ait été préalablement défini.

La première étape pour définir ou créer un contrôle d'atténuation consiste à créer un ID de contrôle d'atténuation. Cet ID apparaît dans les états d'analyse des risques. Tous les ID risque associés au contrôle doivent être également atténués avec le contrôle.

Fonctionnalités

● Créer des contrôles d'atténuation que vous ne pouvez pas supprimer● Affecter les contrôles d'atténuation aux utilisateurs, rôles et profils qui comportent un risque● Etablir une période pendant laquelle le contrôle est valide● Indiquer des étapes pour surveiller les actions en conflit associées au risque● Créer un administrateur, des moniteurs de contrôles, des approbateurs et des détenteurs de risque et leur

affecter des contrôles d'atténuation.

Vous pouvez imprimer tous les résultats de la recherche pour l'atténuation ou les exporter vers un fichier Excel. En raison des limitations de taille d'écran, les versions imprimées et exportées des résultats de recherche peuvent contenir davantage de zones de données que l'écran ne peut l'afficher.


Utilisateurs atténués [page 116]

Utilisateur atténué pour des règles d'organisation [page 117]

Rôles atténués [page 118]

Profils atténués [page 119]

Atténuation des objets HR [page 120]

Rôle atténué pour des règles d'organisation [page 121]


5.4.1 Utilisateurs atténués

Utilisation

Utilisez la zone Utilisateurs atténués pour créer de nouveaux utilisateurs atténués en les associant à des contrôles d'atténuation prédéfinis, que ce soit individuellement ou avec une couverture d'atténuation. La couverture d'atténuation vous permet d'atténuer les risques d'accès pour plusieurs utilisateurs à la fois.

Vous pouvez aussi utiliser cette caractéristique pour rechercher des utilisateurs déjà atténués par l'association d'un utilisateur et d'un contrôle d'atténuation.

Conditions requises

Vous devez d'abord définir un contrôle d'atténuation avant de pouvoir l'affecter à des utilisateurs pour atténuer un risque d'accès.

Affectation d'un contrôle d'atténuation à un utilisateur

1. Sélectionnez Gestion des accès Accès atténué Utilisateurs atténués .L'écran Utilisateurs atténués apparaît, affichant une liste des utilisateurs existants à qui les contrôles d'atténuation ont été affectés.

2. Cliquez sur le bouton de commande Affecter.La fenêtre Atténuation utilisateur apparaît.

3. Saisissez les informations dans les zones obligatoires marquées d'un astérisque (*).○ ID de risque d'accès - Sélectionnez la zone pour saisir l'ID de risque d'accès.○ ID de contrôle - Sélectionnez la zone pour saisir l'ID de contrôle.○ Moniteur - Automatiquement rempli avec des données de système après que vous avez sélectionné l'ID

de contrôle.○ Début de validité - Début de la période de contrôle d'atténuation.○ Fin de validité - Fin de la période de contrôle d'atténuation.○ Statut - Sélectionnez Actif ou Inactif dans la liste déroulante.

4. Sélectionnez le bouton de commande Ajouter pour associer un système au contrôle d'atténuation.5. Sélectionnez le bouton de commande Ajouter pour associer un utilisateur au contrôle d'atténuation.

6. Sélectionnez Envoyer Clôturer .Le contrôle d'atténuation que vous avez affecté est inclus dans la liste de l'écran Utilisateurs atténués.

Suppression d'un contrôle d'atténuation d'un utilisateur

1. Sélectionnez Gestion des accès Accès atténué Utilisateurs atténués .L'écran Utilisateurs atténués apparaît, affichant une liste des utilisateurs existants à qui les contrôles d'atténuation ont été affectés.

2. Sélectionnez l'utilisateur que vous voulez supprimer puis sélectionnez le bouton de commande Supprimer.Confirmez votre décision de supprimer ce contrôle d'atténuation.

3. Cliquez sur le bouton de commande Oui.Le contrôle d'atténuation est supprimé de l'écran Utilisateurs atténués.




5.4.2 Utilisateur atténué pour des règles d'organisation

Utilisation

Conditions requises

Vous devez d'abord définir un contrôle d'atténuation avant de pouvoir l'affecter à une organisation pour atténuer un risque d'accès.

Affectation d'un contrôle d'atténuation à une règle d'organisation

1. Sélectionnez Gestion des accès Accès atténué Règle d'organisation pour utilisateur atténué .L'écran Règle d'organisation pour utilisateur atténué apparaît, affichant une liste des organisations existantes auxquelles des contrôles d'atténuation ont été affectés.

2. Sélectionnez Affecter.L'écran Atténuation d'organisation utilisateur apparaît.

3. Saisissez les informations pour les zones requises. Les zones obligatoires sont marquées d'un astérisque (*).○ ID de règle d'organisation - Sélectionnez la zone pour saisir l'ID de la règle d'organisation.○ ID de risque d'accès - Sélectionnez la zone pour saisir l'ID de risque d'accès.○ ID de contrôle - Saisissez l'ID de contrôle.○ Moniteur - Automatiquement rempli avec des données de système après que vous avez sélectionné l'ID


4. Sélectionnez Ajouter pour associer un système au contrôle d'atténuation.5. Sélectionnez Ajouter pour associer un utilisateur au contrôle d'atténuation.

6. Sélectionnez Envoyer Clôturer .Le contrôle d'atténuation que vous avez affecté est inclus dans la liste de l'écran Utilisateurs atténués.

Suppression d'une règle d'organisation pour utilisateur atténué

1. Sélectionnez Gestion des accès Accès atténué Règle d'organisation pour utilisateur atténué .L'écran Règle d'organisation pour utilisateur atténué apparaît, affichant une liste des organisations existantes auxquelles des contrôles d'atténuation ont été affectés.

2. Sélectionnez l'utilisateur que vous souhaitez supprimer puis sélectionnez Supprimer.Confirmez votre décision de supprimer ce contrôle d'atténuation.

3. Sélectionnez Oui.Le contrôle d'atténuation que vous avez supprimé est effacé de l'écran Règle d'organisation pour utilisateur atténué.



5.4.3 Rôles atténués

Utilisation

Utilisez l'écran Rôles atténués pour affecter des contrôles d'atténuation à un rôle.

Conditions requises

Vous devez d'abord définir un contrôle d'atténuation avant de pouvoir l'affecter à un rôle pour atténuer un risque d'accès.

Affectation de contrôles d'atténuation à des rôles

1. Sélectionnez Gestion des accès Accès atténué Rôles atténués .L'écran Rôles atténués affiche une liste des rôles existants auxquels les contrôles d'atténuation ont été affectés.

2. Sélectionnez Affecter.La boîte de dialogue Atténuation de rôles s'ouvre.

3. Saisissez les informations dans les zones obligatoires marquées d'un astérisque (*).○ ID de risque d'accès - Sélectionnez la zone pour saisir l'ID de risque d'accès.○ ID de contrôle - Saisissez l'ID de contrôle.○ Moniteur - Automatiquement rempli avec des données de système après que vous avez sélectionné l'ID


4. Sélectionnez Ajouter pour associer un système au contrôle d'atténuation.5. Sélectionnez Ajouter pour associer un rôle au contrôle d'atténuation.

6. Sélectionnez Envoyer Clôturer .Le contrôle d'atténuation que vous avez affecté est inclus dans la liste de l'écran Rôles atténués.

Suppression de contrôles d'atténuation de rôles

1. Sélectionnez Gestion des accès Accès atténué Rôles atténués .L'écran Rôles atténués affiche une liste des rôles existants auxquels les contrôles d'atténuation ont été affectés.

2. Sélectionnez le rôle que vous voulez supprimer puis sélectionnez Supprimer.Confirmez votre décision de supprimer ce contrôle d'atténuation.

3. Sélectionnez Oui.Le contrôle d'atténuation est supprimé de l'écran Rôles atténués.




5.4.4 Profils atténués

Utilisation

Utilisez l'écran Profils atténués pour affecter des contrôles d'atténuation à un profil.

Conditions requises

Vous devez d'abord définir un contrôle d'atténuation avant de pouvoir l'affecter à un profil pour atténuer un risque d'accès.

Affectation d'un contrôle d'atténuation à un profil

1. Sélectionnez Gestion des accès Accès atténué Profils atténués .L'écran Profils atténués affiche une liste des profils existants auxquels des contrôles d'atténuation ont été affectés.

2. Sélectionnez Affecter.L'écran Atténuation de profil apparaît.

3. Saisissez les informations dans les zones obligatoires marquées d'un astérisque (*).○ ID de risque d'accès - Sélectionnez la zone pour saisir l'ID de risque d'accès.○ ID de contrôle - Sélectionnez la zone pour saisir l'ID de contrôle que vous voulez ajouter.○ Moniteur - Cette zone est automatiquement remplie avec des données de système après que vous avez

sélectionné l'ID de contrôle.○ Début de validité - Il s'agit du début de la période de contrôle d'atténuation.○ Fin de validité - Il s'agit de la fin de la période de contrôle d'atténuation.○ Statut - Sélectionnez Actif ou Inactif dans la liste déroulante.

4. Sélectionnez Ajouter pour associer un système au contrôle d'atténuation.5. Sélectionnez Ajouter pour associer un rôle au contrôle d'atténuation.

6. Sélectionnez Envoyer Clôturer .Le contrôle d'atténuation que vous avez affecté est inclus dans la liste de l'écran Profils atténués.

Suppression d'un contrôle d'atténuation d'un profil

1. Sélectionnez Gestion des accès Accès atténué Profils atténués .L'écran Profils atténués affiche une liste des profils existants auxquels des contrôles d'atténuation ont été affectés.

2. Sélectionnez le profil que vous voulez supprimer puis sélectionnez Supprimer. Confirmez votre décision de supprimer ce contrôle d'atténuation.

3. Sélectionnez Oui.Le contrôle d'atténuation que vous avez supprimé est effacé de l'écran Profils atténués.



5.4.5 Atténuation des objets HR

Utilisation

Vous pouvez utiliser les fonctions sur l'écran Atténuation HR pour atténuer les risques d'accès en affectant des contrôles d'atténuation des objets de ressources humaines (HR).

Conditions requises

Vous avez défini des contrôles d'atténuation.

Pour de plus amples informations, reportez-vous à .

Procédure

Affectation de contrôles d'atténuation aux objets HR

1. Sélectionnez Gestion des accès Accès atténué Atténuation HR .L'écran Atténuation HR affiche la liste d'objets HR existants auxquels les contrôles d'atténuation ont été affectés.

2. Sélectionnez Affecter.L'écran Atténuation d'objet HR s'affiche.

3. Saisissez les informations pour les zones requises.○ Type d'objet – Sélectionnez la zone pour saisir le type d'objet.○ ID de risque d'accès – Saisissez l'ID de risque d'accès○ ID de contrôle - Saisissez l'ID de contrôle.○ Moniteur - Automatiquement rempli avec des données de système après que vous avez sélectionné l'ID


4. Dans la table Systèmes, sélectionnez Ajouter pour associer un système au contrôle d'atténuation.5. Dans la table Objet HR, sélectionnez Ajouter pour associer un objet HR au contrôle d'atténuation.6. Sélectionnez Soumettre si les workflows sont activés.

Si les workflows ne sont pas activés, sélectionnez Sauvegarder.7. Sélectionnez Fermer.



Suppression de contrôles d'atténuation des objets HR

1. Sélectionnez Gestion des accès Accès atténué Atténuation HR .L'écran Atténuation HR affiche la liste d'objets HR existants auxquels les contrôles d'atténuation ont été affectés.

2. Sélectionnez un objet HR puis sélectionnez Supprimer.3. Dans la boîte de dialogue Confirmer, sélectionnez Oui.

5.4.6 Rôle atténué pour des règles d'organisation

Utilisation

Utilisez l'écran d'Atténuation d'organisation de rôles pour affecter des contrôles d'atténuation à une règle d'organisation pour un rôle.

Conditions requises

Vous devez d'abord définir un contrôle d'atténuation avant de pouvoir l'affecter à un rôle d'organisation pour atténuer un risque d'accès.

Affectation de l'Atténuation d'organisation de rôles

1. Sélectionnez Gestion des accès Accès atténué Atténuation d'organisation de rôles .L'écran Atténuation d'organisation de rôles affiche une liste des rôles d'organisation existants auxquels les contrôles d'atténuation ont été affectés.

2. Sélectionnez Affecter.La fenêtre Atténuation d'organisation de rôles s'ouvre.

3. Saisissez les informations dans les zones obligatoires marquées d'un astérisque (*).○ ID de règle d'organisation - Sélectionnez la zone pour saisir l'ID de la règle d'organisation.○ ID de risque d'accès - Sélectionnez la zone pour saisir l'ID de risque d'accès.○ ID de contrôle - Sélectionnez la zone pour saisir l'ID de contrôle que vous voulez ajouter.○ Moniteur - Cette zone est automatiquement remplie avec des données de système après que vous avez

sélectionné l'ID de contrôle.○ Début de validité - Il s'agit du début de la période de contrôle d'atténuation.○ Fin de validité - Il s'agit de la fin de la période de contrôle d'atténuation.○ Statut - Sélectionnez Actif ou Inactif dans le menu déroulant.

4. Sélectionnez Ajouter pour associer un système au contrôle d'atténuation.5. Sélectionnez Ajouter pour associer un rôle d'organisation au contrôle d'atténuation.

6. Sélectionnez Envoyer Clôturer .Le contrôle d'atténuation que vous avez affecté est inclus dans la liste de l'écran Atténuation d'organisation de rôles.

Suppression de contrôles d'atténuation de rôles

1. Sélectionnez Gestion des accès Accès atténué Atténuation d'organisation de rôles .L'écran Atténuation d'organisation de rôles affiche une liste des rôles d'organisation existants auxquels les contrôles d'atténuation ont été affectés.

2. Sélectionnez le rôle d'organisation que vous voulez supprimer puis sélectionnez Supprimer.


Confirmez votre décision de supprimer ce contrôle d'atténuation.3. Sélectionnez Oui.

Le contrôle d'atténuation que vous avez supprimé est effacé de l'écran Atténuation d'organisation de rôles.


5.5 Analyse de risques lorsque vous approuvez des demandes d'accès

Utilisation

A l'écran Demande d'accès, vous pouvez effectuer une analyse des risques et une analyse d'impact avant d'approuver les demandes. Vous disposez des options suivantes pour effectuer l'analyse :

● Dans l'onglet Violations de risque, vous pouvez effectuer l'analyse et sauvegarder les résultats.● Dans l'onglet Accès utilisateur, vous pouvez utiliser la caractéristique Simulation pour effectuer d'abord

l'analyse puis sélectionner la sauvegarde ou non des résultats.

Remarque● Vous pouvez activer l'exigence que les approbateurs doivent analyser des risques avant d'approuver les

demandes d'accès. Vous gérez cette option dans l'activité IMG (transaction SPRO) Gérer workflows MSMP (Multiple Stage Multiple Pass), sous Governance, Risk, and Compliance SAP GRC Access Control Workflow pour SAP GRC Access Control . Dans la phase Gérer chemins d'accès, sous la section Gérer stades, sélectionnez Afficher options des tâches. Sélectionnez la zone Analyse des risques obligatoire et sélectionnez Oui ou Non le cas échéant.

● Vous pouvez autoriser les approbateurs à approuver des demandes d'accès malgré les risques. Vous gérez cette option dans l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous

Governance, Risk and Compliance SAP GRC Access Control Workflow pour SAP GRC Access Control . Dans la phase Gérer chemins d'accès, sous la section Gérer stades, sélectionnez Afficher options des tâches. Cochez la case pour la zone Approuver malgré risque.

Procédure

La procédure suivante est la même quelle que soit la page à onglet que vous sélectionnez pour l'initialiser. La seule différence est que la Simulation vous autorise à choisir si vous souhaitez sauvegarder les résultats ou non.

1. Du poste de travail Ma page d'accueil, sélectionnez Corbeille de travail. A l'écran Work items, sélectionnez Gestion des accès. Sélectionnez une demande d'accès.



2. Exécutez une des options suivantes :○ Sélectionnez l'onglet Violations de risques.○ Dans l'onglet Accès utilisateur, sélectionnez Simulation.

3. Dans la liste déroulante Type d'analyse, sélectionnez le type d'analyse pertinent.○ Vous utilisez Analyse des risques pour identifier des violations d'autorisation affectées au rôle. Par

exemple, lorsque les autorisations se traduisent par des violations de la séparation des tâches.

RemarqueVous pouvez personnaliser SAP Access Control pour inclure des affectations de firefighter automatiquement dans l'analyse des risques.

Vous gérez cette option dans l'activité IMG (transaction SPRO) Gérer options de configuration, sous Governance, Risk, and Compliance SAP GRC Access Control . Pour le paramètre Prendre en

compte les affectations FF dans l'analyse des risques, saisissez les valeurs comme suit :

Table 17 :

Colonne Valeur




○ Vous utilisez Analyse d'impact pour identifier les violations d'autorisation concernant d'autres rôles. C'est-à-dire, les autorisations pour le rôle sélectionné, avec des autorisations pour un autre rôle, se traduisent par des violations.

4. Sélectionnez Système et Ensemble de règles.5. Sous la zone Options du résultat, sélectionnez le format, le type et les critères supplémentaires pour le

résultat de l'analyse.

Exemple

Table 18 :

Format : Synthèse exécutive



6. Sélectionnez le bouton de commande Exécuter analyse de risques.7. Dans la zone Résultat, vous pouvez sélectionner les manières différentes d'afficher les résultats de l'analyse.8. Si vous exécutez une simulation, vous pouvez procéder comme suit :

○ Sélectionnez Annuler si vous ne voulez pas sauvegarder les résultats de l'analyse.○ Sélectionnez Appliquer si vous voulez sauvegarder les résultats de l'analyse. L'information est

sauvegardée dans l'onglet Violations de risques et vous pouvez l'afficher quand vous ouvrez la demande. Les résultats sont aussi mis à disposition de l'approbateur de la demande.


9. Dans l'onglet Violations de risques, vous pouvez choisir d'atténuer tout risque en sélectionnant le risque et Atténuer le risque.

5.6 Analyse de risques lorsque vous envoyez des demandes d'accès

Utilisation

Sur l'écran Demande d'accès, vous pouvez effectuer des analyses de risques et des analyses d'impact sur les pages à onglet suivantes :

● Violations de risquesSi vous voulez sauvegarder les résultats de l'analyse, utilisez la fonction d'analyse dans l'onglet.

● Accès utilisateurLa caractéristique Simulation vous autorise à effectuer d'abord l'analyse, puis à choisir de sauvegarder ou non les résultats.

Remarque● Vous pouvez définir l'application de sorte qu'elle analyse automatiquement les risques lorsqu'une

personne envoie une demande d'accès. Par exemple, si l'auteur de la demande décide d'envoyer une demande sans analyser les risques d'abord, l'application effectue automatiquement une analyse et ajoute les résultats à la demande d'accès qui apparaît dans la corbeille de travail de l'approbateur.Vous gérez cette option dans l'activité IMG Gérer options de configuration, sous Governance, Risk, and Compliance SAP GRC Access Control . Pour le paramètre Activer analyse des risques lors de l'envoi du formulaire, saisissez les valeurs comme suit :

Table 19 :

Colonne Valeur

Groupe de paramètres Analyse des risques - Demande d'accès



● Vous pouvez personnaliser l'application pour inclure des affectations de firefighter automatiquement dans l'analyse des risques.



Vous gérez cette option dans l'activité IMG Gérer options de configuration, sous Governance, Risk, and Compliance SAP GRC Access Control . Pour le paramètre Prendre en compte les affectations FF dans l'analyse des risques, saisissez les valeurs comme suit :

Table 20 :

Colonne Valeur




Procédure

La procédure suivante est la même quelle que soit la page à onglet que vous sélectionnez pour l'initialiser. La seule différence est que la fonctionnalité de simulation vous permet de choisir si vous souhaitez sauvegarder les résultats ou non.

1. Sur l'écran , procédez comme suit :○ Sélectionnez l'onglet Violations de risques.○ Dans l'onglet Accès utilisateur, sélectionnez Simulation.

2. Dans la liste déroulante Type d'analyse, sélectionnez le type d'analyse pertinent :○ Vous utilisez Analyse des risques pour identifier des violations d'autorisation affectées au rôle. Un

exemple, lorsque les autorisations se traduisent par des violations de la séparation des tâches.○ Vous utilisez Analyse d'impact pour identifier les violations d'autorisation concernant d'autres rôles.

C'est-à-dire, les autorisations pour le rôle sélectionné, avec des autorisations pour un autre rôle, se traduisent par des violations.

3. Sélectionnez le Système et l'Ensemble de règles des zones respectives.4. Dans la zone Options de résultat, sélectionnez le format, le type et des critères supplémentaires pour les

résultats d'analyse.

Exemple

Table 21 :

Format : Aperçu exécutif



5. Sélectionnez le bouton de commande Exécuter analyse de risques.6. Dans la zone Résultat, vous pouvez sélectionner les manières différentes d'afficher les résultats de l'analyse.


7. Si vous exécutez une fonctionnalité de simulation, vous pouvez procéder comme suit :○ Sélectionnez Annuler si vous ne voulez pas sauvegarder les résultats de l'analyse.○ Sélectionnez Appliquer si vous voulez sauvegarder les résultats. L'information est sauvegardée dans

l'onglet Violations de risques et vous pouvez l'afficher quand vous ouvrez la demande. Les résultats sont aussi mis à disposition de l'approbateur de la demande.

5.7 Analyse de risques d'accès pour la gestion des rôles

Utilisation

Vous pouvez utiliser la phase Analyse risques d'accès pour effectuer les types d'analyse suivants :

● Vous utilisez Analyse des risques pour déterminer des violations des autorisations affectées au rôle, par exemple, les autorisations se traduisent par des violations de séparation des tâches.

● Vous utilisez Analyse d'impact pour déterminer des violations d'autorisation concernant d'autres rôles. C'est-à-dire, les autorisations pour ce rôle en combinaison avec des autorisations pour un autre rôle se traduisent par des violations.

Procédure

Pour effectuer l'analyse des risques :

1. Dans la liste déroulante Type d'analyse, sélectionnez Analyse des risques.2. Sélectionnez le Système et l'Ensemble de règles des zones respectives.3. Sous la zone Options de résultat, sélectionnez le format pour le résultat de l'analyse et l'objet pour l'analyse,

comme le niveau d'action, niveau d'autorisation et ainsi de suite.

RemarqueLa zone Sélectionner options pour analyse d'impact est seulement activée lorsque l'analyse d'impact est sélectionnée.

4. Dans la zone du milieu de l'écran, sélectionnez pour exécuter le job d'analyse en avant-plan ou arrière-plan.5. Dans la zone Afficher résultat pr, sélectionnez Analyse des risques parmi la liste déroulante puis sélectionnez

Lancer.6. Dans la zone Résultat, vous pouvez sélectionner les manières différentes d'afficher les résultats de l'analyse.7. Sélectionnez Atténuer risque, pour atténuer toute violation.

Pour effectuer l'analyse d'impact :


comme le niveau d'action, niveau d'autorisation et ainsi de suite.4. Dans la zone Sélectionner des options pour l'analyse d'impact, choisissez d'effectuer l'analyse d'impact pour

les points suivants : Utilisateurs, Rôles composites ou Rôles utilisateurs.



5. Dans la zone du milieu de l'écran, sélectionnez pour exécuter le job d'analyse en avant-plan ou arrière-plan.6. Dans la zone Afficher résultat pr, sélectionnez Analyse d'impact parmi la liste déroulante, sélectionnez l'option

d'analyse d'impact puis sélectionnez Lancer.7. Dans la zone Résultat, vous pouvez sélectionner les manières différentes d'afficher les résultats de l'analyse.8. Sélectionnez Atténuer risque, pour atténuer toute violation.



Atténuation des risques [page 42]

5.8 Atténuation des risques

Prérequis


Contexte





Procédure









Étapes suivantes

5.9 Alertes

Utilisation

Quand un utilisateur exécute des actions critiques ou en conflit, le système peut envoyer une alerte d'escalade au personnel approprié. Vous pouvez utiliser la caractéristique Alertes pour surveiller les alertes d'accès en conflit et critiques et de contrôle d'atténuation, le cas échéant.

Vous pouvez plus particulièrement effectuer les tâches suivantes :

● Rechercher et filtrer des alertes à afficher● Acquitter des alertes● Rechercher et filtrer des alertes acquittées




Recherche d'alertes [page 129]

Alertes acquittées [page 130]

Acquittement d'alertes [page 131]

Recherche d'alertes acquittées [page 132]

5.9.1 Recherche d'alertes

Contexte

Vous pouvez rechercher les types suivants d'alertes :

● Alertes d'accès critiques et en conflit● Contrôles d'atténuation

Procédure

1. Sélectionnez Gestion des accès Alertes d'accès Alertes d'accès critiques et en conflit ou Gestion des accès Alertes d'accès Contrôles d'atténuation .

L'écran Alertes d'accès critiques et en conflit ou Alertes de contrôle d'atténuation s'ouvre.2. Indiquez les critères de recherche.

1. Sélectionnez le type d'objet à l'aide de la première liste déroulante.Pour Alertes d'accès critiques et en conflit, vous pouvez choisir entre les types d'objet suivants :○ Processus de gestion○ Système○ Date/Heure exécutée○ ID de risque d'accès○ Niveau de risque○ Détenteur du risque○ Type de risque○ ID utilisateur○ Date/Heure alerte

Pour Alertes contrôle d'atténuation, vous pouvez choisir entre les types d'objet suivants :○ Action○ Système○ ID de contrôle


○ Date/Heure exécutée○ ID utilisateur○ Date/Heure alerte

2. Sélectionnez l'opérateur à l'aide de la deuxième liste déroulante, parmi les propositions suivantes :○ est○ n'est pas○ commence par○ contient○ se situe entre○ Sélections multiples

3. Saisissez ou sélectionnez la valeur de recherche dans la troisième zone.4. Vous pouvez ajouter (facultatif) une ligne aux critères de recherche en sélectionnant le bouton de

commande plus (+) et en indiquant les zones. Sinon, vous pouvez supprimer une ligne des critères de recherche en sélectionnant le bouton de commande correspondant moins (-).


Les résultats de la recherche apparaissent dans la table.4. Vous pouvez sauvegarder (facultatif) les critères de recherche en tant que variante en saisissant un nom dans

la zone Sauvegarder variante comme et en sélectionnant Sauvegarder.

Étapes suivantes

Alertes [page 128]




5.9.2 Alertes acquittées

Utilisation

Une fois qu'un message d'alerte a été livré et acquitté ou supprimé, il est conservé en tant qu'enregistrement archivé. Vous pouvez poursuivre le suivi de ces alertes à l'aide de l'onglet Alertes acquittées des écrans Alertes de risque de conflit et de risque critique et Contrôles d'atténuation.


Alertes [page 128]






5.9.2.1 Acquittement d'alertes

Contexte

Vous pouvez acquitter les types suivants d'alertes, le cas échéant :


Procédure


L'écran Alertes d'accès critiques et en conflit ou Alertes de contrôle d'atténuation s'ouvre.2. Indiquez les critères de recherche.3. Sélectionnez Rechercher.

Les résultats de la recherche apparaissent dans la table.4. Sélectionnez l'alerte pour annuler en sélectionnant la boîte à gauche et sélectionnez Acquitter l'alerte.

La fenêtre de dialogue Acquitter l'alerte apparaît.5. Saisissez une raison pour acquitter l'alerte et sélectionnez OK.

L'alerte est acquittée. Vous pouvez afficher des alertes acquittées à l'aide de l'onglet Alertes acquittées. Pour plus d'informations, voir .

Étapes suivantes

Alertes [page 128]





5.9.2.2 Recherche d'alertes acquittées

Contexte

Vous pouvez rechercher les types suivants d'alertes acquittées :


Procédure


L'écran Alertes d'accès critiques et en conflit ou Alertes de contrôle d'atténuation s'ouvre.2. Sélectionnez l'onglet Alertes acquittées.3. Indiquez les critères de recherche.


Pour Alertes contrôle d'atténuation, vous pouvez choisir entre les types d'objet suivants :○ Action○ Système○ ID de contrôle○ Date/Heure exécutée○ ID utilisateur○ Date/Heure alerte

2. Sélectionnez l'opérateur à l'aide de la deuxième liste déroulante, parmi les propositions suivantes :○ est○ n'est pas○ commence par○ contient



○ se situe entre○ Sélections multiples





la zone Sauvegarder variante comme et en sélectionnant Sauvegarder.6. Pour afficher la raison pour laquelle une alerte a été acquittée, sélectionnez le lien Commentaires dans la zone

Raison pour l'alerte correspondante.

Le dialogue Acquitter l'alerte apparaît en affichant la raison. Sélectionnez Annuler pour écarter le dialogue.

Étapes suivantes

Alertes [page 128]




5.10 Jobs d'arrière-plan

Utilisation

Dans le poste de travail Gestion d'accès, sous Planification, vous pouvez utiliser les liens pour planifier et afficher les jobs d'arrière-plan.

Fonctionnalités

● Ordonnanceur de jobs d'arrière-plan [page 32]● Ordonnancement de jobs d'arrière-plan [page 32]


5.10.1 Ordonnanceur de jobs d'arrière-plan

Utilisation

Vous pouvez utiliser Ordonnanceur de jobs arrière-plan pour créer et gérer des ordonnancements pour des jobs d'arrière-plan.

Activités

1. Saisissez le nom de l'ordonnancement.2. Sélectionnez une activité pour le job d'arrière-plan.3. Sélectionnez si le job d'arrière-plan doit être lancé immédiatement.4. Indiquez la date et l'heure de début.



6 Gestion de rôles

Utilisation

Ce processus de vue d'ensemble explique comment surveiller et empêcher des risques pendant la création et la mise à jour de rôle.

Processus

1. Gérer et/ou affiner la définition de rôleSi le rôle applicable n'existe pas déjà, la première étape est de définir et de documenter les exigences commerciales et les principaux attributs pour le nouveau rôle.1. Pour quels motifs de gestion le rôle est-il requis ?2. De quelle partie de l'organisation fait-il partie, par exemple, processus de gestion, sous-processus,

domaine fonctionnel etc.3. Qui est responsable du contenu de rôle ? Qui approuvera l'accès utilisateur au rôle ?

2. Gérer les détails techniques de rôleUne fois la détermination des rôles créée ou mise à jour, l'étape suivante consiste à identifier les détails techniques pour exécuter les tâches de processus de travail définies dans la détermination des rôles.

3. Effectuer l’analyse des risques1. Affiner des détails techniques de rôle pour supprimer des conflits le cas échéant.2. Si les détails techniques ne peuvent pas être affinés, le risque devrait être atténué avec les contrôles

appropriés.4. Gérer des données d'autorisation

Une fois les détails techniques définis, l'étape suivante consiste à identifier les données d'autorisation pour limiter les tâches de processus de travail basées sur la responsabilité de job et l'affectation d'organisation.

5. Effectuer l’analyse des risquesUne fois les données d'autorisation définies ou mises à jour, l'analyse des risques est effectuée pour contrôler si le rôle contient des violations de risque d'accès.1. Affiner des données d'autorisation de rôle pour supprimer un conflit le cas échéant.2. Si les données d'autorisation ne peuvent pas être affinées, le risque devrait être atténué avec les

contrôles appropriés.6. Approbation de propriétaire du rôle

Le rôle est prêt à être soumis pour approbation de propriétaire du rôle s'il ne contient pas de violations de risque d'accès ou s'ils sont atténués. Si le rôle est refusé par le propriétaire du rôle, il pourrait être redéfini, mis à jour ou supprimé.

7. Créer et mettre à jour les rôlesUne fois le rôle approuvé par le propriétaire du rôle, il est créé ou mis à jour dans le système.

8. Tester et documenter les résultatsLes tests sont effectués pour garantir que le rôle dispose de l'accès correct. Les résultats de test sont documentés.

SAP Access ControlGestion de rôles P U B L I C 135

9. Attribution de privilègesLes rôles approuvés et testés sont prêts à être mis à disposition des utilisateurs pour leur fournir l'accès au système.

Résultat

Les rôles sont introduits dans des environnements sans risque ou avec des risques atténués pour fournir un accès utilisateur conforme.

6.1 Considérations de la gestion des rôles

Utilisation

La gestion des rôles vous autorise à gérer des rôles des systèmes multiples avec un référentiel de rôle unifié unique. Les rôles peuvent être documentés, conçus, analysés pour des violations de contrôle, approuvés puis générés automatiquement. Cela permet de bénéficier de pratiques normalisées afin d'assurer que les déterminations des rôles, le développement, le test et la gestion soient cohérents à travers l'entreprise entière.

Implémentation

● Conception d'une convention d'appellation de rôle logique● La création d'une intégration de gestion des rôles bien pensée dans les processus actuels de gestion de

développement, de test et de modification des rôles.● Identification d'utilisateurs lorsque vous définissez des rôles, comme les détenteurs du rôle, les

administrateurs de sécurité et les administrateurs des utilisateurs● La définition d'objectifs, tels que l'optimisation ou la consolidation de rôles, l'optimisation de l'accès utilisateur

ainsi que la réduction des risques et des demandes de modification.● L'identification des états personnalisés.

Fonctionnalités

L'application permet aux détenteurs du rôle et aux administrateurs de sécurité de :

● Suivre l'avancement durant l'implémentation des rôles.● Suivre la qualité globale de l'implémentation.● Réaliser une analyse des risques lors de la conception des rôles.● Mettre en place un workflow pour l'approbation des rôles.● Fournir une piste de vérification pour toutes les modifications de rôles.


Gestion de rôles

● Gérer des rôles après leur génération afin d'avoir des informations de rôle à jour.

Rôles et affectation des rôles

Un rôle est un ensemble prédéfini d'autorisations d'accès. Dans ce modèle, l'accès n'est pas accordé aux utilisateurs individuels, mais plutôt aux rôles.

ExemplePour autoriser l'accès à une application financière pour un utilisateur, vous devez affecter à cet utilisateur un rôle ayant accès à cette application. Si l'utilisateur est affecté au rôle requis, il peut automatiquement avoir accès à l'application.

Plusieurs utilisateurs nécessitant l'accès au même module ou à la même application requièrent toutefois différents niveaux d'accès. En général, pour une application donnée, il existe plusieurs rôles comprenant une forme d'accès. Par conséquent, l'affectation de rôle définit l'application à laquelle l'utilisateur a accès et le niveau de l'accès auquel l'utilisateur a droit dans l'application.

Analyse et atténuation des risques

L'identification et l'atténuation des risques constituent l'un des éléments clés de l'attribution de privilèges d'accès.

ExempleDans la plupart des organisations, les rôles Réception, Stock et Fournisseurs s'excluent mutuellement. Pour empêcher le risque de fraude, un responsable du catalogue des livraisons ne peut pas avoir la possibilité de cataloguer le stock et d'autoriser le paiement pour une livraison.

RecommandationPour faciliter la planification de rôle et la gestion des rôles, voir l'ensemble des états dans le poste de travail Etats et analyses qui inclut des états pour :

● Faciliter la gestion de la qualité de rôle globale● Fournir des informations précieuses pour créer les déterminations des rôles précises● Minimiser la gestion des rôles continue

6.1.1 Méthodologie de création de rôles

Utilisation

La méthodologie de création de rôles permet de personnaliser le processus de gestion de rôle pour correspondre à vos exigences. Vous pouvez aussi configurer plusieurs méthodologies ; par exemple, créez une méthodologie pour des rôles de finance et un autre pour des rôles de sécurité.

Une méthodologie de création de rôles est constituée d'actions prédéfinies et d'étapes reliées à ces actions. Les étapes sont ensuite utilisées pour créer un processus de méthodologie qui vous guide par étapes dans le processus permettant de définir, de générer et de tester un rôle pendant la création de rôle.


Le processus de méthodologie est flexible et peut être configuré. Par exemple, vous pouvez répéter une étape plusieurs fois, comme exiger une étape d'approbation plusieurs fois dans votre processus ou vous pouvez supprimer des étapes dont vous n'avez pas besoin.

Exemple

Figure 3 : Exemple de méthodologie de rôle

Vous pouvez utiliser la méthodologie de création de rôles livrée avec l'application, la modifier ou créer votre propre méthodologie .

Pour personnaliser le processus de gestion des rôles, vous définissez des groupes de conditions. Un groupe de conditions utilise les valeurs de rôle d'attribut, comme le type de rôle ou le nom du rôle, pour définir une règle qui est utilisée pour sélectionner une méthodologie spécifique. Par exemple, les utilisateurs avec le rôle Finance utilisent la méthodologie de finance et les utilisateurs avec des rôles Sécurité utilisent la méthodologie de sécurité.

RemarqueVous pouvez avoir des groupes de condition multiples reliés à un processus de méthodologie ; cependant vous ne pouvez pas avoir des processus multiples reliés à un groupe de conditions.


Gestion de rôles

Processus

Pour créer votre propre méthodologie de création de rôle :

1. Générez des applications BRFplus, des approbateurs et des fonctions de méthodologie à l'aide de l'activité IMG Générer des applications de BRFplus, des approbateurs et des fonctions de méthodologie sous

Governance, Risk and Compliance SAP GRC Access Control Gestion des rôles .2. Dans BRFplus, créez des groupes de conditions et définissez l'ensemble des attributs pertinents, comme le

type de rôle et ainsi de suite.3. Affectez les groupes de conditions à la fonction BRFplus à l'aide de l'activité IMG Affecter groupes de

conditions aux fonctions BRFplus, sous Governance, Risk, and Compliance SAP GRC Access ControlGestion des rôles .

4. Définissez les processus de méthodologie dans l'activité IMG Définir processus et étapes de méthodologie, sous Governance, Risk, and Compliance SAP GRC Access Control Gestion des rôles .

5. Affectez les processus de méthodologie au groupe de conditions à l'aide de l'activité IMG Associer le processus de méthodologie au groupe de conditions, sous Governance, Risk, and Compliance SAP GRC Access Control Gestion des rôles .

6.1.1.1 Appliquer à nouveau méthodologie

Utilisation

Vous utilisez Appliquer à nouveau méthodologie pour mettre à jour la méthodologie d'un rôle existant suite à une modification de la méthodologie du rôle, du contenu du rôle ou des conditions.

Les modifications suivantes sont pertinentes pour la fonction Appliquer à nouveau méthodologie :

● La méthodologie a changé.Par exemple, vous ajoutez une phase d'approbation ou supprimez une phase.

● Une condition qui influe sur la méthodologie a changé.Par exemple, la condition pour utiliser un processus particulier, comme Process_01, est modifiée en Process_02.

● Le contenu du rôle, tel qu'un attribut de rôle, a changé et cela influe sur la méthodologie.Par exemple, l'attribut de sous-processus pour un rôle a été modifié d'Accounts_Payable_01 en Accounts_Receivables_01. Le rôle doit utiliser une méthodologie différente si vous aviez configuré des méthodologies différentes basées sur cet attribut.

L'application applique les modifications et réinitialise la phase en cours à la phase de définition (première phase).

Vous pouvez accéder à la fonction dans l'application comme suit :

● Gestion des rôlesSur tous les écrans de gestion des rôles, sélectionnez le bouton Appliquer à nouveau méthodologie.

● Mise à jour de plusieurs rôles1. Sur l'écran Mise à jour de rôles en masse, sous la section Sélectionner critères, sélectionnez Tous les

attributs et sélectionnez Suivant.2. Cochez la case Appliq.à nouv. MéthodologRôle puis sélectionnez Suivant.


Conditions

La fonction Appliquer à nouveau méthodologie a les conditions suivantes :

● Les rôles se trouvant au stade d'approbation ne sont pas mis à jour. L'approbation doit être terminée avant que les rôles ne soient mis à jour.

● Les rôles se trouvant en mode de traitement ne sont pas mis à jour ; autrement dit, le statut interne du rôle est bloqué.

● Si le rôle contient des rôles dérivés et que la nouvelle méthodologie ne contient pas l'étape de dérivation, vous devez d'abord supprimer tous les rôles dérivés et mettre à jour les rôles distinctement.


6.1.1.2 Dérivation de rôle

Utilisation

La dérivation de rôle autorise les administrateurs à dériver un ou plusieurs rôles d'un rôle maître individuel. Le rôle maître sert de modèle pour les autorisations et les attributs. Les rôles dérivés sont différenciés du rôle maître et les uns des autres par les niveaux organisationnels.

Vous pouvez sélectionner tout rôle du type de rôle Rôle individuel comme rôle maître. L'application crée automatiquement la relation entre le rôle maître et les rôles dérivés.

Les attributs, comme le processus de gestion sont propagés aux rôles dérivés uniquement lorsque les rôles dérivés sont créés. Après la création, ce sont des rôles indépendants et toute modification aux attributs dans le rôle maître n'est pas propagée.

Les données d'autorisation, comme les opérations, les objets, les zones et ainsi de suite, continuent à être propagées mais pas automatiquement. Vous pouvez sélectionner de propager manuellement des modifications de données d'autorisation au rôle maître en allant à l'écran Gérer autorisation et en faisant ce qui suit :

● Pour le rôle maître, sélectionnez le bouton de commande Propager des autorisations pour propager des autorisations aux rôles dérivés.

● Pour les rôles dérivés, sélectionnez le bouton de commande Copier l'autorisation pour copier des autorisations du rôle maître.

RemarqueToutes les données d'autorisation sont propagées, sauf pour les niveaux organisationnels.


Gestion de rôles

ExempleDans cet exemple, il y a quatre rôles identiques, différenciés par société. (Le niveau organisationnel est affecté comme la société BUKRS.)

Figure 4 : Quatre rôles identiques avec société différente


6.1.2 Gestion des rôles

Utilisation

L'application fournit un cadre normalisé et centralisé pour concevoir, tester et gérer des rôles. Le processus de gestion des rôles de base, comme indiqué par la plupart des administrateurs de système et de sécurité, implique les étapes décrites ci-dessous.

RemarqueLe processus décrit ci-dessous est un exemple. Le processus d'une société peut être différent et peut avoir plus ou moins d'étapes. L'application vous permet de personnaliser les étapes si nécessaire. Pour plus d'informations, voir Méthodologie de création de rôle [page 137].

Gestion et modification d'options de rôle

Le processus décrit ci-dessous est un processus de bout en bout pour créer les rôles. Une fois que vous avez créé un rôle, vous pouvez utiliser le bouton Aller à phase pour aller directement à un stade et modifier l'information. Par exemple, pour modifier les autorisations, ouvrez le rôle puis allez à la phase Gérer autorisation.

RemarquePour traiter un rôle, sur l'écran Gestion de rôle utilisateur, vous devez sélectionner le rôle puis sélectionnez le bouton Ouvrir. Pour quelques phases, comme Définir rôle et Gérer autorisations, vous devez aussi sélectionner le bouton Traiter au début de l'écran de phase.

Si vous sélectionnez le rôle en sélectionnant son nom, l'application affiche le rôle dans le mode d'affichage. Tous les boutons sont désactivés et vous pouvez seulement afficher l'information.


Lorsque vous modifiez un rôle utilisateur, par exemple, en ajoutant ou en supprimant un rôle technique, tout utilisateur qui est affecté à ce rôle utilisateur est automatiquement informé de ces modifications par e-mail une fois que vous cliquez sur Mettre à jour l'affectation.

SAP fournit un modèle que vous pouvez utiliser pour les notifications. Vous pouvez aussi créer votre propre modèle personnalisé pour les notifications d'utilisateur dans le Customizing sous Guide de référence SAPGovernance, Risk and Compliance SAP GRC Access Control Workflow pour SAP GRC Access Control Gérer les messages de notification client .

Conditions requises

● En dehors de l'application, vous avez identifié vos besoins de gestion et évalué votre approche pour gérer les rôles.

● Dans l'application, vous avez géré le processus de méthodologie de rôle et les étapes en :○ Terminer les activités dans l'activité IMG Définir processus et étapes de méthodologie, sous

Governance, Risk, and Compliance SAP GRC Access Control Gestion des rôles○ activant la configuration de gestion (BC) définie pour Processus de méthodologie de gestion de rôle et

étapes

Processus

La gestion des rôles est constituée des procédures suivantes :

1. Définition de rôles2. Gestion d'autorisations3. Dérivation de rôles4. Analyse de risques d'accès5. Autorisation de rôles6. Génération de rôles7. Gestion de scénarios de test

6.1.2.1 Définition de rôles

Contexte

Vous utilisez Définir rôle pour créer et gérer des attributs pour divers types de rôles. Les types de rôles sont classés comme des rôles techniques ou des rôles utilisateurs.

Les rôles techniques sont des rôles qui existent physiquement dans le système backend. Vous affectez un rôle technique à un utilisateur pour lui accorder autorisation et accès au système backend qui contient le rôle. Par


Gestion de rôles

exemple, si vous voulez accorder des autorisations RH à un utilisateur pour le système Sys_1. Vous créez un rôle technique HR_USER_SYS_1 avec les autorisations nécessaires et affectez le rôle technique à l'utilisateur dans le backend.

Les rôles utilisateurs sont des rôles logiques qui n'existent que dans l'application SAP GRC Access Control ; ils n'existent pas dans les systèmes backend. Ils vous autorisent à accorder des autorisations à un utilisateur pour des rôles multiples. Les rôles peuvent être de systèmes multiples, plutôt que d'affecter manuellement des rôles distincts pour chaque système.

Procédure

1. Sélectionnez Créer puis sélectionnez un type de rôle à créer.

L'écran Nouveau rôle s'affiche. L'application affiche des pages à onglet différentes, basées sur le rôle que vous créez.

2. Dans la page à onglet Détails, saisissez des informations pour :○ Type d'application○ Infrastructure○ Processus de gestion○ Sous-processus○ Version de projet○ Nom rôle

3. Dans la page à onglet Propriétés, procédez comme suit :1. Dans la zone Délai de certification en jours, saisissez le nombre de jours que vous voulez donner pour

réviser et approuver le rôle.2. Sous la zone Propriétés, saisissez des informations pour Niveau critique, Sensibilité et Identificateur selon

les besoins.3. Sous la zone Réaffirmation du rôle, dans la zone Réaffirmer la période en jours, saisissez le nombre de

jours au bout duquel le rôle doit être réaffirmé. Par exemple, vous pouvez indiquer qu'après 180 jours, le propriétaire ou approbateur du rôle, doit réviser le rôle et réaffirmer qu'il s'applique encore.

4. Sous la zone Attribution de privilèges d'accès utilisateur, sélectionnez les cases à cocher suivantes :○ Commentaires obligatoires, pour demander que l'approbateur ou le détenteur saisisse un

commentaire lorsqu'il approuve ou refuse le rôle○ Activer pour Firefighting, pour mettre le rôle à disposition comme rôle de firefighting.

4. Dans la page à onglet Domaine fonctionnel, sélectionnez les domaines fonctionnels requis.

Vous gérez la liste de domaines fonctionnels dans l'activité IMG Gérer domaines fonctionnels sous Governance, Risk, and Compliance SAP GRC Access Control Gestion des rôles .

5. Dans la page à onglet Société, sélectionnez les sociétés requises.

Vous gérez la liste de sociétés dans l'activité IMG Définir entreprises sous Governance, Risk, and Compliance SAP GRC Access Control Gestion des rôles .

6. Dans la page à onglet Zones personnalisées, gérez toutes les zones personnalisées que vous avez définies.

Vous gérez la liste de sociétés dans l'activité IMG Définir entreprises sous Governance, Risk, and Compliance Options générales Zones personnalisées .


7. Dans la page à onglet Détenteurs/Approbateurs, procédez comme suit :1. Sélectionnez Traiter pour activer les boutons de commande.2. Sélectionnez Ajouter puis sélectionnez un rôle pour être le détenteur ou l'approbateur.3. Sélectionnez les cases à cocher respectives pour indiquer le rôle en tant qu'Approbateur d'affectation,

Détenteur du rôle ou les deux.4. Dans la colonne Autre, sélectionnez un utilisateur pour servir de sauvegarde si le détenteur ou

l'approbateur n'est pas en mesure d'effectuer ses tâches.5. Sélectionnez Approbateurs par défaut pour utiliser les approbateurs par défaut, plutôt qu'indiquer des

détenteurs ou des approbateurs spécifiques.

RemarqueAvant de pouvoir modifier la page à onglet Détenteurs/Approbateurs, vous devez sauvegarder le rôle. Les fonctions pour cette page à onglet sont désactivées dans le mode Créer.

8. Dans la page à onglet Rôles, sélectionnez les rôles pour les associer à ce rôle. Cette option n'est disponible que pour des rôles composites et des rôles utilisateurs.

9. Dans la page à onglet Condition, ajoutez toutes les conditions requises pour que l'utilisateur soit affecté à ce rôle.1. Sélectionnez la case à cocher Vérifier les demandes, pour demander que l'application vérifie que

l'utilisateur ait rempli toutes les conditions avant de permettre l'affectation de rôle.2. Sélectionnez la case à cocher Active, pour activer la condition.

Vous gérez les conditions dans les Activités de Customizing Définir types de condition et Définir des conditions du rôle sous Governance, Risk and Compliance SAP GRC Access Control Gestion des rôles .

10. Dans la page à onglet Mappage de rôle, vous pouvez affecter des rôles en tant que rôles enfants. Cela permet à toute personne à qui ce rôle est affecté d'être affectée aux autorisations et à l'accès pour les rôles enfants également.

Sélectionnez la case à cocher Prendre en compte approbat. rôles parent pour n'utiliser que les approbateurs associés aux rôles supérieurs et ignorer tout approbateur associé aux rôles enfants.

RemarqueSi vous utilisez un rôle utilisateur, vous n'avez pas besoin de cette fonction.

Étapes suivantes

Utilisation de la gestion des accès d'urgence [page 172]


Gestion de rôles

6.1.2.2 Détails supplémentaires

Utilisation

Vous pouvez utiliser la page à onglet Détails supplémentaires pour gérer des informations supplémentaires pour le rôle. La page à onglet est mise à disposition sur tous les écrans de la gestion des rôles, vous pouvez donc gérer l'information pour toutes les phases du processus de gestion des rôles.

Fonctionnalités

● Description détailléeUne zone d'entrée de texte libre que vous pouvez utiliser pour saisir toute information pertinente.

● Attribution de privilèges d'accèsGérer des options d'attribution de privilèges d'accès pour le rôle. Pour plus d'informations, voir Gestion d'options d'attribution de privilèges d'accès de rôle [page 145].

● Rôles de cas d'emploiUne liste des infrastructures système où les rôles sont utilisés. La liste inclut le processus de gestion et le sous-processus.

● Utilisateurs affectésUne liste de tous les utilisateurs affectés au rôle, avec le système pertinent et la période de validité.

● Pièces jointesJoindre tout fichier ou des documents requis pour le rôle.

● Historique des modificationsUn historique des modifications apportées au rôle dans SAP GRC Access Control

● Historique des modifications PFCGUn historique des modifications apportées au rôle dans la transaction PFCG.

6.1.2.3 Gérer options d'attribution de privilèges d'accès

Utilisation

Vous gérez ces options pour contrôler comment l'application met à disposition le rôle.

Procédure

1. Sélectionnez la zone Statut de rôle et sélectionnez un statut. Si vous voulez que le rôle soit pour l'attribution de privilèges d'accès, vous devez sélectionner Production.Vous gérez la liste de statuts de rôle dans l'activité IMG Gérer statut de rôle, sous Governance, Risk, and Compliance SAP GRC Access Control Gestion des rôles .


2. Pour activer la période de validité pour un système, sélectionnez un système puis sélectionnez Définir la période par défaut.

3. Pour autoriser les utilisateurs à rechercher le rôle et à demander que le rôle leur soit affecté, sélectionnez Attribution de privilèges d'accès autorisée puis sélectionnez Oui.

4. Pour permettre à l'application de mettre automatiquement à disposition des rôles aux utilisateurs une fois que leur demande d'accès d'utilisateur a été approuvée, sélectionnez Permettre attribution de privilèges d'accès automatique puis sélectionnez Oui.


RemarqueL'application effectue seulement l'attribution de privilèges d'accès pour des rôles qui sont activés comme productifs et pour lesquels l'attribution de privilèges d'accès est autorisée. C'est-à-dire, si le rôle est activé comme productif, mais que l'attribution de privilèges d'accès autorisée et que Permettre attribution de privilèges d'accès automatique sont définis sur Non, l'application ne met pas à disposition le rôle.

6.1.2.4 Gestion d'autorisations

Utilisation

Vous pouvez utiliser la phase Gérer autorisations pour gérer les données d'autorisation de rôle pour le type de rôle Individuel. Cette phase n'est pas pertinente pour d'autres types de rôle et n'est pas affichée pour eux.

Remarque● Si vous mettez à jour un rôle existant, sélectionnez le bouton Traiter pour activer les boutons sur l'écran.● Dans le mode de Traitement, vous ne pouvez pas naviguer vers d'autres phases. Vous devez sélectionner

Sauvegarder pour activer le bouton Aller à phase.

Conditions requises

● Vous avez l'accès et les autorisations pour le système backend requis.● Vous avez ajouté le système backend à SAP GUI.● Dans votre système Windows, vous avez configuré SAP GUI comme programme par défaut pour ouvrir les

fichiers avec l'extension de fichier SAP.● Vous avez affecté le système backend par défaut dans l'activité IMG Gérer mappage pour actions et groupes

de connecteurs, sous Governance, Risk, and Compliance SAP GRC Access Control .


Gestion de rôles

Procédure

L'application fournit des caractéristiques différentes pour gérer les autorisations de rôle PFCG et les autorisations de rôle non PFCG.

Gestion d'autorisations non PFCG

1. Dans la page à onglet Actions, sélectionnez dans les caractéristiques suivantes :○ Sélectionnez le bouton Ajouter à sélectionner parmi une liste d'actions disponibles.○ Sélectionnez les boutons Télédécharger modèle et Télécharger pour utiliser le fichier livré pour ajouter

des actions.2. Dans la page à onglet Fonctions, sélectionnez ajouter ou supprimer des fonctions.3. Sauvegardez les entrées.

Gestion d'autorisations PFCG

1. Dans la page à onglet Gérer autorisations, sélectionnez dans les caractéristiques suivantes :○ Ajouter/Supprimer fonction pour gérer les fonctions pour le rôle○ Gérer données d'autorisation pour lancer la transaction PFCG sur le système backend○ Synchronisation avec PFCG pour tirer les données d'autorisation de rôle de PFCG et remplacer les

données d'autorisation de rôle dans le contrôle d'accès

RemarqueDans ce mode, l'application désactive les boutons Ajouter/supprimer fonction et Gérer données d'autorisation. Pour annuler la synchronisation et activer les boutons, sélectionnez le bouton Annuler SynchronisationPFCG.

○ Transmettre aux rôles dérivés pour transmettre les modifications de données d'autorisation de rôle à tous les rôles dérivés reliés à ce rôle

○ Pousser données d'autorisation vers système backend pour pousser les données d'autorisation de rôle du contrôle d'accès au système backend et remplacer les données d'autorisation dans PFCG

2. Sauvegardez les entrées.

RemarqueLes pages à onglet suivantes sont des données d'autorisation d'affichage et en lecture seule du système backend pour le rôle :

● Actions● Autorisations● Niveaux organisationnels● Fonctions


6.1.2.5 Dérivation de rôles

Prérequis

● Vous avez créé et sauvegardé le rôle de base dans le système backend PFCG.● Vous avez affecté le système backend par défaut dans l'activité IMG Gérer mappage pour actions et groupes

de connecteurs, sous Governance, Risk, and Compliance SAP GRC Access Control .● Si vous voulez autoriser la dérivation de rôle à l'aide de mappages de valeurs organisationnelles sans

organisation principale, vous avez géré l’Identification de paramètre 3025 dans l'activité IMG : Gérer options de configuration, sous Governance, Risk, and Compliance .

Contexte

La dérivation de rôle autorise les administrateurs à dériver un ou plusieurs rôles d'un rôle maître individuel. Le rôle maître sert de modèle pour les autorisations et les attributs. Les rôles dérivés sont différenciés du rôle maître et les uns des autres par les valeurs organisationnelles. Une Organisation principale que le système utilise pour filtrer les mappages de valeurs organisationnelles pendant la dérivation de rôle, peut ou ne peut pas être requise en fonction de la façon dont votre système est configuré.

RemarqueTel qu'il est fourni, le système nécessite l'utilisation de mappages de valeurs organisationnelles pour la dérivation de rôle, contenant une organisation principale. Si vous voulez autoriser une dérivation de rôle à partir de mappages ne contenant aucune organisation principale, votre administrateur peut gérer l’Identification de paramètre 3025 dans l'activité IMG : Gérer options de configuration, sous Governance, Risk, and Compliance

SAP GRC Access Control .

Vous pouvez utiliser le type de rôle Rôle individuel uniquement pour des rôles de base ; par conséquent, vous pouvez uniquement dériver des rôles de rôles individuels.

Procédure

1. Recherchez le rôle qui a été créé et figurant dans la phase de dérivation.

Le système affiche le rôle dans la grille de résultat de la recherche.2. Sélectionnez la ligne souhaitée et cliquez sur Ouvrir.

Le rôle s'ouvre dans une nouvelle fenêtre avec le processus de méthodologie actif dans l'onglet Dérivation.3. Cliquez sur Dériver.

Le système affiche l'écran Gérer rôle dérivé.


Gestion de rôles

4. Pour dériver un rôle sans valeur organisationnelle principale :1. Sélectionnez la case à cocher Aucun niveau organisationnel principal.

Le système désactive le Niveau organisationnel principal, zones Valeur organisationnelle initiale et Valeur organisationnelle finale.Vous utilisez cette option si vous voulez copier uniquement les données d'autorisation du rôle de base, utilisez ensuite la transaction PFCG pour modifier les valeurs organisationnelles.

RemarqueVous pouvez seulement dériver un rôle à la fois lorsque vous utilisez cette option.

2. En sélectionnant Aucune organisation principale, vous disposez des deux choix suivants :

Table 22 :

Pour dériver le rôle sans utiliser de mappage de valeurs organisationnelles, procédez comme suit :

Pour dériver le rôle à l'aide de mappages de valeurs organisationnelles ne contenant aucune organisation principale, procédez comme suit :

1. Cliquez sur Suivant.2. Allez à l'étape 6. Remarque

Pour utiliser cette option, l'Identification de paramètre 3025 doit être définie surOui dans le Customizing.

1. Cliquez sur Ajouter pour sélectionner un mappage de valeurs organisationnelles.

2. Sélectionnez un ou plusieurs mappages.3. Cliquez sur OK puis sur Suivant.4. Allez à l'étape 6.

5. Pour dériver un rôle à l'aide de mappages de valeurs organisationnelles contenant une organisation principale :1. Sélectionnez le Niveau organisationnel principal.2. Saisissez les valeurs organisationnelles.

Pour indiquer une seule valeur organisationnelle, saisissez seulement une valeur dans la zone Valeur organisationnelle initiale.

3. Sous la zone Mappage de valeurs organisationnelles, sélectionnez Ajouter pour sélectionner un ou plusieurs mappages de valeurs organisationnelles.

4. Sélectionnez Suivant.6. Dans la zone Nom de rôle dérivé, attribuez un nom au rôle dérivé puis sélectionnez Suivant.

RemarqueVous pouvez configurer des conventions d'appellation pour des noms de rôle dans l'activité IMG Indiquer conventions d'appellation, sous Governance, Risk, and Compliance SAP GRC Access Control Gestion de rôle .

7. Révisez les informations pour le rôle dérivé puis sélectionnez Sauvegarder.

L'application sauvegarde le rôle dérivé. Pour générer le rôle dérivé, allez à la phase Générer rôles.


6.1.2.6 Analyse de risques d'accès pour la gestion des rôles

Utilisation

Vous pouvez utiliser la phase Analyse risques d'accès pour effectuer les types d'analyse suivants :

● Vous utilisez Analyse des risques pour déterminer des violations des autorisations affectées au rôle, par exemple, les autorisations se traduisent par des violations de séparation des tâches.

● Vous utilisez Analyse d'impact pour déterminer des violations d'autorisation concernant d'autres rôles. C'est-à-dire, les autorisations pour ce rôle en combinaison avec des autorisations pour un autre rôle se traduisent par des violations.

Procédure

Pour effectuer l'analyse des risques :


comme le niveau d'action, niveau d'autorisation et ainsi de suite.

RemarqueLa zone Sélectionner options pour analyse d'impact est seulement activée lorsque l'analyse d'impact est sélectionnée.

4. Dans la zone du milieu de l'écran, sélectionnez pour exécuter le job d'analyse en avant-plan ou arrière-plan.5. Dans la zone Afficher résultat pr, sélectionnez Analyse des risques parmi la liste déroulante puis sélectionnez

Lancer.6. Dans la zone Résultat, vous pouvez sélectionner les manières différentes d'afficher les résultats de l'analyse.7. Sélectionnez Atténuer risque, pour atténuer toute violation.

Pour effectuer l'analyse d'impact :


comme le niveau d'action, niveau d'autorisation et ainsi de suite.4. Dans la zone Sélectionner des options pour l'analyse d'impact, choisissez d'effectuer l'analyse d'impact pour

les points suivants : Utilisateurs, Rôles composites ou Rôles utilisateurs.5. Dans la zone du milieu de l'écran, sélectionnez pour exécuter le job d'analyse en avant-plan ou arrière-plan.6. Dans la zone Afficher résultat pr, sélectionnez Analyse d'impact parmi la liste déroulante, sélectionnez l'option

d'analyse d'impact puis sélectionnez Lancer.7. Dans la zone Résultat, vous pouvez sélectionner les manières différentes d'afficher les résultats de l'analyse.8. Sélectionnez Atténuer risque, pour atténuer toute violation.


Gestion de rôles



Atténuation des risques [page 42]

6.1.2.6.1 Atténuation des risques

Prérequis


Contexte




Procédure










Étapes suivantes

6.1.2.7 Génération de rôles

Contexte

Dans la phase Générer rôles, vous pouvez soumettre des rôles pour la génération.

Procédure

1. Sur l'écran Générer rôles, sélectionnez le bouton Générer.

L'écran affiche une synthèse de ce qui suit pour les rôles à générer :

○ Système par défautL'application tire les informations du système par défaut de l'infrastructure du système. Vous gérez les informations du système par défaut dans l'activité IMG Gérer mappage pour actions et groupes de connecteurs, sous Governance, Risk, and Compliance SAP GRC Access Control .

○ Autres systèmesL'application tire les informations du système de l'infrastructure du système. Vous gérez les informations du système par défaut dans l'activité IMG Gérer mappage pour actions et groupes de connecteurs, sous

Governance, Risk, and Compliance SAP GRC Access Control .○ Rôles dérivés

L'application affiche une liste des rôles dérivés de ce rôle de base.


Gestion de rôles

2. Sélectionnez Suivant.3. le job pour générer les rôles et sélectionnez Suivant.4. Analyser des risques

L'application effectue une analyse des risques. Si elle ne détecte aucun risque, elle va immédiatement à la phase Confirmation.

RemarqueVous pouvez configurer si l'application effectue ou non une analyse des risques avant qu'elle ne génère des rôles. Pour ce faire, activez l'ID de paramètre 3011 dans l'activité IMG Gérer options de configuration sous

Governance, Risk, and Compliance SAP GRC Access Control .

5. Sélectionnez Soumettre pour soumettre le job afin de générer les rôles.

RemarqueVous pouvez configurer si l'application génère ou non des rôles même avec des risques. Pour ce faire, activez les ID de paramètre 3014 à 3018 dans l'activité IMG Gérer options de configuration sous

Governance, Risk, and Compliance SAP GRC Access Control .

6.1.2.8 Gestion de scénarios de test

Utilisation

Vous pouvez utiliser la phase Gérer scénarios de test pour documenter des résultats de test pour un test fait pour le rôle. Vous pouvez saisir des cas de test individuel, télécharger des cas de test multiple ou joindre des documents.

Procédure

Pour saisir les cas de test individuel :

1. Sélectionnez Créer pour saisir des cas de test individuel.2. Sur l'écran Résultats de test, saisissez le nom de scénario de test et toutes les zones obligatoires.3. Dans la zone Pièces jointes, sélectionnez Ajouter et ajoutez un fichier ou un lien.4. Sélectionnez Sauvegarder.

Pour saisir des cas de test multiple :

1. sélectionnez Importer depuis le fichier.L'application fournit un modèle que vous pouvez utiliser pour créer des cas de test multiple.

2. Sélectionnez Naviguer pour naviguer jusqu'au fichier, puis sélectionnez OK.


6.1.3 Approbation de demandes de rôle

Utilisation

Le processus d'approbation des demandes de rôle est constitué des procédures pour la personne effectuant la demande et pour la personne approuvant la demande.

Conditions requises

Vous avez sélectionné les détenteurs de rôle et les approbateurs de rôle dans la phase Définir rôle.

Processus

1. Dans la phase Demande d'approbation, le demandeur sélectionne le bouton Initialiser la demande d'approbation pour initialiser le workflow pour approuver le rôle. Le demandeur peut aussi surveiller le statut de la demande et lire les commentaires sur la demande.

2. Dans la Corbeille de travail, l'approbateur reçoit la tâche pour approuver la demande puis choisit parmi les actions suivantes :○ Rejeter○ Faire suivre○ En suspens○ Demande d'informations

Vous pouvez configurer la liste d'actions disponibles et le workflow d'approbation dans l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous Governance, Risk, and Compliance SAP GRC Access Control Workflow pour SAP GRC Access Control .

3. (Facultatif) Dans le Customizing (transaction SPRO), configurez des notifications par e-mail.○ Pour configurer des notifications par e-mail pour informer le demandeur que sa demande a été

approuvée ou refusée, vous gérez l'activité IMG Gérer des messages de notification personnalisés, sous Governance, Risk, and Compliance SAP GRC Access Control Workflow pour SAP GRC Access

Control .Vous pouvez les configurer de sorte que tous les destinataires du même événement de notification reçoivent le même message ou vous pouvez la configurer de sorte que différents destinataires du même événement de notification reçoivent des messages différents. Par exemple, vous pouvez les configurer de sorte que les destinataires du service de Finance reçoivent un message avec une formulation spécifique à la finance.

RemarquePour utiliser les notifications fournies par défaut, aucune configuration n'est requise. L'application utilise automatiquement les notifications fournies.


Gestion de rôles

○ Pour configurer des notifications par e-mail pour la personne approuvant la demande de rôle, vous gérez l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous Governance, Risk, and Compliance SAP GRC Access Control Workflow pour SAP GRC Access Control .


Définition de rôles [page 142]

Détails supplémentaires [page 145]

6.1.4 Réattribution de privilèges d'accès de rôles utilisateur

Utilisation

Vous pouvez utiliser cette caractéristique pour remettre à disposition des rôles utilisateur à des utilisateurs lorsque les rôles techniques affectés aux rôles utilisateur ont été modifiés.

L'application permet d'affecter plusieurs rôles techniques à un rôle logique appelé rôle utilisateur. Vous pouvez ainsi mettre à disposition les autorisations de rôles techniques multiples à un utilisateur en une étape, en mettant à disposition le rôle utilisateur unique. Cette fonctionnalité permet de remettre à disposition les rôles utilisateur à des utilisateurs, si les affectations de rôle technique ont été modifiées une fois que vous avez mis initialement à disposition les rôles.

ExempleLe chiffre suivant indique que le rôle utilisateur, Business_Role_01, a remplacé ses affectations de rôle technique Technical_Role_03 par Technical_Role_05 et Technical_Role_06.


Figure 5 : Modification d'affectations de rôle technique

RemarqueCette caractéristique est mise à disposition seulement pour des rôles utilisateur.

Conditions requises

Vous avez activé la phase d’Attribution de privilèges d'accès pour la méthodologie de rôle.

Vous gérez la phase dans l'activité IMG, Définir méthodologie et étapess, sous Governance, Risk and Compliance SAP GRC Access Control Gestion des rôles .

Processus

1. Sélectionnez Gestion des accès Gestion des rôles Gestion des rôles L'écran Gestion des rôles utilisateur s'affiche.


Gestion de rôles

2. Sélectionnez un rôle utilisateur puis Ouvrir.L'écran Gestion des rôles utilisateur s'affiche.

RemarqueLe graphique de workflow au début de l'écran affiche la phase Attribution de privilèges d'accès uniquement si ces deux conditions sont remplies :

○ Vous gérez un rôle utilisateur.○ Vous avez activé la phase d'Attribution de privilèges d'accès dans le Customizing.

3. Dans la phase Définition, remplacez l'affectation des rôles techniques par le rôle utilisateur le cas échéant puis sélectionnez Sauvegarder et poursuivre.

4. Terminez les phases du workflow si nécessaire, comme Analyse de risques, pour aller à la phase Attribution de privilèges d'accès.La page à onglet Attribution de privilèges d'accès s'affiche seulement si les conditions ci-dessus sont remplies.Les sous-onglets et fonctions suivants s'affichent :

Table 23 :

Onglet Fonctions

Attribution de privilèges d'accès Sélectionnez le bouton Mettre affectation à jour et l'application effectue un job d'arrière-plan pour remettre à disposition le rôle utilisateur aux utilisateurs associés. L'application effectue le job d'arrière-plan immédiatement, mais selon la configuration du système, le processus peut prendre un certain temps.

RemarqueLe bouton Mettre affectation à jour est activé seulement si le rôle utilisateur a été affecté via le processus de demande d'accès.

La table affiche les jobs d'arrière-plan pertinents et leur statut.

Sélectionnez le bouton Rafraîchir pour rafraîchir le statut. Lorsque la colonne Résultat affiche Terminer, l'arrière-plan a fini de remettre à disposition le rôle utilisateur.

Synthèse par utilisateur Cet onglet affiche les résultats du job d'arrière-plan de réattribution de privilèges d'accès par utilisateur. Vous pouvez ainsi connaître les utilisateurs concernés par cette réattribution de privilèges d'accès. La colonne Résultat indique si la réattribution de privilèges d'accès a été Correcte ou a Echoué.


Onglet Fonctions

Détails Cet onglet affiche les détails du job de réattribution de privilèges d'accès. Il affiche les informations suivantes :

○ Identifiant du job○ Utilisateur○ Rôle associé○ Système○ Début de validité○ Fin de validité○ Action

Si le job a ajouté ou supprimé le rôle.○ Résultat○ Motif

Par exemple, la raison pour laquelle la remise à disposition a échoué.○ Mis à disposition le

Heure et date auxquelles l'application a mis à disposition les rôles.○ Initialisé le

Heure et date auxquelles le processus d'arrière-plan a été lancé.○ Initialisé par

La personne qui a initialisé le job d'attribution de privilèges d'accès.

5. Sélectionnez Sauvegarder et poursuivre puis terminez toute phase restante dans le workflow le cas échéant.


Définition de rôles [page 142]

Gestion des rôles [page 141]

6.1.5 Recherche de rôle

Utilisation

Vous pouvez rechercher des rôles basés sur des attributs de rôle comme le type de rôle, le nom du rôle et ainsi de suite. Sélectionnez le bouton plus (+) pour ajouter des critères supplémentaires.

RemarqueL'application vous permet de rechercher des rôles à partir de plusieurs écrans. A l'écran Demande d'accès, l'application vous permet (autorisation d'administrateur requise) de configurer les zones de critères de recherche. Vous pouvez ajouter des zones personnalisées et configurer leurs attributs. Par exemple, vous pouvez définir les valeurs par défaut et définir si la zone est obligatoire. Vous pouvez configurer les zones dans le Customizing pour Gérer attributs de zone personnalisée pour personnalisation de recherche de rôle sous


Gestion de rôles

Governance, Risk, and Compliance SAP GRC Access Control Attribution de privilèges d'accès utilisateur .

RecommandationIl est recommandé de limiter les critères de recherche pour obtenir des résultats plus ciblés.

Activités

Sur l'écran des résultats de la recherche, vous pouvez modifier, copier, supprimer ou exporter les rôles.

● Pour modifier le rôle, sélectionnez Ouvrir. Cela ouvre le rôle dans l'écran de workflow de gestion des rôles.● Pour définir un nouveau nom du rôle basé sur un rôle existant, sélectionnez un rôle puis sélectionnez Copier.

Sur l'écran Copie de rôle, sélectionnez les attributs que vous voulez copier, puis sélectionnez Envoyer.● Pour supprimer un rôle, sélectionnez le rôle ou les rôles que vous souhaitez supprimer, puis sélectionnez

Supprimer.● Pour exporter des rôles et des détails du rôle vers une feuille de calcul Microsoft Excel, sélectionnez les rôles

et sélectionnez Exporter et Exportation de détails de rôle si nécessaire.


Gestion des rôles [page 141]

6.1.6 Rôles par défaut

Utilisation

Vous utilisez Rôles par défaut pour indiquer des rôles que l'application affecte à un utilisateur automatiquement pendant l'attribution de privilèges d'accès.

Processus

Pour créer des rôles par défaut :

1. Sélectionnez Créer.2. Sélectionnez un Attribut et une Valeur d'attribut puis sélectionnez Ajouter.3. Sélectionnez un système et un nom de rôle dans les colonnes respectives.4. Sauvegardez les entrées.


Exemple

Vous avez deux rôles pour des salariés de stock dans votre système : Inventory_Clerk et Inventory_Manager. Vous avez utilisé Rôles par défaut pour indiquer que l'application devrait utiliser le rôle Inventory_Clerk, si une demande d'accès d'utilisateur pour le système Inventory01 contient l'attribut Sous-processus, la valeur d'attribut Check_Inventory et aucun nom de rôle spécifique.

Table 24 :

Attribut Sous-processus

Valeur d'attribut Check_Inventory

Système Inventory 01

Nom du rôle Inventory_Clerk

Deux salariés ont soumis des demandes d'accès avec les résultats suivants :

● Employee_01 a seulement indiqué qu'il a requis une autorisation pour le sous-processus de Check_Inventory. L'application met automatiquement à disposition leur accès avec le rôle par défaut Inventory_Clerk.

● Employee_02 a indiqué qu'il a requis une autorisation pour le sous-processus de Check_Inventory et pour le rôle Inventory_Manager. L'application met à disposition leur accès avec deux rôles : Inventory_Clerk et Inventory_Manager.

6.2 Analyse de rôles

Utilisation

L'analyse de rôles regroupe des caractéristiques qui vous permettent de viser des rôles d'intérêt, d'analyser les rôles puis d'intenter une action. Par exemple, trouvez tous les rôles qui sont à cause d'expiration et affirmez s'ils sont encore pertinents.

Fonctionnalités

● Utilisation d'action [page 161]● Comparaison des rôles [page 161]● Réaffirmation de rôle [page 162]


Gestion de rôles

6.2.1 Utilisation d'action

Utilisation

Vous utilisez Utilisation d'action pour générer un état qui affiche l'utilisation d'action par rôles, utilisateurs et profils. Vous pouvez afficher la dernière date d'exécution de l'action et le nombre d'exécutions de cette dernière sur une période spécifique pour les systèmes SAP.

L'écran de d'état Utilisation d'action affiche l'utilisation pour l'action indiquée pour la plage de dates indiquée et pour le système sélectionné.

L'état affiche les informations d'utilisation de l'action uniquement pour le système dans lequel le rôle était associé à l'action.

Activités

Pour afficher un état d'utilisation d'action, saisissez les informations dans les zones le cas échéant, puis sélectionnez Exécuter dans l'avant-plan ou Exécuter dans l'arrière-plan.

Vous pouvez sauvegarder les critères d'analyse et les utiliser à nouveau pour générer des états en saisissant un nom dans la zone Sauvegarder variante comme et en sélectionnant Sauvegarder.

6.2.2 Comparaison des rôles

Utilisation

Vous utilisez Comparaison de rôle pour comparer deux rôles ou plus dans l'application de contrôle d'accès ou entre l'application et un autre système. Vous pouvez comparer des rôles par Type de comparaison et Niveau de comparaison. S'il y a une différence entre les rôles, vous pouvez synchroniser les rôles en sélectionnant d'écraser les valeurs d'un rôle par un autre. Pour de plus amples informations, voir ci-dessous.

Processus

La comparaison des rôles est constituée des procédures suivantes :

1. Sélection de rôlesA l'écran Sélectionner les rôles, sélectionnez Ajouter, recherchez et sélectionnez des rôles. Vous devez sélectionner au moins deux rôles.

2. Sélection de critères de comparaisonSur l'écran Critères de comparaison, sélectionnez le niveau de comparaison et le type. Si vous sélectionnez de Comparer rôles entre SAP GRC AccessControl et système, vous devez sélectionner un système dans la zone Système.


3. Vérifier des résultats de la comparaisonSur l'écran Résultats de comparaison, les résultats sont affichés dans les pages à onglet Actions et Autorisations.

4. Synchronisation des rôlesSur l'écran Synchronisation, sélectionnez parmi les options suivantes :○ Entre SAP GRC AccessControl et système

Vous choisissez d'écraser l'information de rôle sur le système sélectionné par l'information de rôle de SAP GRC Access Control.

○ Entre système et SAP GRC AccessControlVous choisissez d'écraser l'information de rôle dans SAP GRC AccessControl par l'information de rôle du système sélectionné.

RemarqueLa synchronisation s'applique seulement si vous sélectionnez le Type Comparer rôles entre le contrôle d'accès et le système à l'écran Critères de comparaison.

Pour plus d'informations, voir l'exemple ci-dessous.5. Planification du job pour synchroniser les rôles

Sur l'écran Ordonnancer, saisissez l'information dans les zones obligatoires pour planifier la tâche de synchronisation. Vous pouvez choisir d'exécuter le job dans l'Avant-plan ou l'Arrière-plan.

L'écran Confirmation affiche vos activités.

Exemple

Dans l'exemple suivant, l'application SAP GRC AccessControl est l'interface de gestion de rôle pour les systèmes backend suivants : Financier (FIN) et ressources humaines (RH). Il illustre que le rôle FIN_ROLE_01 dans le système FIN n'a pas les mêmes autorisations que le rôle dans l'application SAP GRC AccessControl. Cela peut survenir si quelqu'un a contourné l'application SAP GRC AccessControl et apporté directement des modifications aux rôles sur le système.

La comparaison de rôle vous permet de synchroniser les rôles en écrasant l'information de rôle entre l'application de contrôle d'accès et le système sélectionné.

Figure 6 : Comparaison des rôles

6.2.3 Réaffirmation de rôle

Vous utilisez Réaffirmation du rôle pour réaffirmer des approbations et des autorisations pour des rôles sélectionnés qui sont proches de l'expiration. Par exemple, pendant une période, les salariés peuvent changer de poste d'activité dans une entreprise ou quitter l'entreprise. C'est une pratique habituelle pour les entreprises que leurs gestionnaires révisent si les autorisations et les rôles affectés à leurs salariés sont encore pertinents ou non.

Sur l'écran Réaffirmation du rôle, vous pouvez rechercher des rôles puis choisir parmi les actions suivantes : Approuver, Supprimer ou Mettre en suspens.


Gestion de rôles

6.3 Gestion en masse des rôles

Utilisation

Vous pouvez utiliser Gestion en masse des rôles pour importer et modifier les autorisations et les attributs pour des rôles multiples.

Processus

Le processus Gestion en masse des rôles est composé des procédures suivantes :

1. Importation de rôles multiples [page 163]2. Mise à jour de plusieurs rôles [page 166]3. Mise à jour de valeurs organisationnelles pour des rôles dérivés multiples [page 168]4. Dérivation de rôles multiples [page 169]5. Analyse du risque pour des rôles multiples [page 170]6. Génération de rôles multiples [page 171]

RemarqueSi vous avez terminé l'importation des rôles ou si les rôles sont déjà dans l'application SAP GRC Access Control, vous pouvez effectuer les procédures dans n'importe quel ordre requis.

6.3.1 Importing Multiple Roles

Utilisation

You can use Role Import to bring multiple roles from other systems in to the access control application.

Processus

The role import process includes the following procedures:

1.Specify the type of role to import, the source system, application type, and landscape.

2.Enter the information for the Role Attribute Source and the Role Authorization Source, such as location of the attribute and authorization files.

3. Reviewing


On the Review screen, choose from the following review options:○ No Preview○ Preview all roles○ Preview subset of roles

You can enter the quantity of roles you want to preview.4.

Schedule the background job for importing the roles or choose to run the job in the foreground.

6.3.1.1 Définition de critères

Utilisation

Sur l'écran Définir critères, vous pouvez indiquer le type de rôle, la source d'importation et d'autres paramètres pour importer les rôles multiples.

Procédure

Pour définir les critères, procédez comme suit :

1. Dans la zone Sélection du rôle, sélectionnez le type de rôle.

RemarqueLorsque vous sélectionnez un type de rôle, l'application désactive les zones qui sont sans objet pour ce type. Par exemple, si vous sélectionnez Rôle utilisateur, l'application désactive les zones Entrée utilisateur et Source de l'autorisation au rôle.

2. Dans la zone Importer source, sélectionnez la Source d'attribut du rôle et la Source de l'autorisation au rôle.

RemarqueVous devez avoir l'autorisation S_CTS_SADM pour utiliser l'option Fichier sur serveur.

Les Attributs de rôle sont des détails pour le rôle et peuvent inclure des informations comme le nom du rôle, le processus, le sous-processus et ainsi de suite. Selon le type de rôle, la source d'attribut de rôle peut être l'une des suivantes : Entrée utilisateur, Fichier sur le serveur ou Fichier sur le bureau.La source de l'autorisation au rôle est l'objet qui fournit les informations d'autorisation pour les rôles. Selon le type de rôle, la source d'autorisation de rôle peut être l'une des suivantes : Système Backend, Fichier sur le serveur ou le Fichier sur le bureau. Les options s'appliquent aux autorisations de rôle PFCG et non PFCG.

RemarquePour des rôles techniques, vous pouvez sélectionner Ignorer pour indiquer que la source d'autorisation de rôle est sans objet.


Gestion de rôles

3. Dans la zone Modèles, vous pouvez télédécharger des modèles pour ce qui suit :○ Fichier d'attributs de rôle○ Fichier d'autorisations de rôle non PFCG

4. Dans la section Critères de définition, vous pouvez sélectionner le type d'application, l'infrastructure et s'il faut écraser le rôle existant ou non.

RemarqueLes types d'application disponibles dans la liste déroulante Type d'application changent selon le type de rôle que vous sélectionnez.

5. Dans la zone Critères de sélection du rôle, vous pouvez affiner les rôles que vous voulez importer en indiquant le système source, la plage des rôles et ainsi de suite.Vous pouvez sélectionner Importer tous les rôles sauf les rôles prédéfinis par SAP. C'est-à-dire, importez seulement les rôles que vous avez créés ou personnalisés ; n'importez pas les rôles standard fournis par SAP.Dans la zone Statut de méthodologie, vous pouvez choisir d'importer seulement les rôles d'un statut spécifique, comme Terminé ou Initial.

6.3.1.2 Sélection de données de rôle

Utilisation

A l'écran Sélectionner données de rôle, vous saisissez les informations pour la Source d'attribut de rôle et la Source d'autorisation de rôle, comme l'emplacement des fichiers d'attribut et d'autorisation.

En fonction des options que vous sélectionnez pour la Source d'attribut de rôle et la Source d'autorisation de rôle, l'application affiche les zones applicables. Par exemple, si vous avez sélectionné Fichier sur serveur pour la source d'attribut de rôle, l'application affiche la zone Source du fichier pour que vous saisissiez l'emplacement du fichier sur le serveur. Cela inclut aussi un lien pour que vous télédéchargiez un modèle pour les attributs de rôle.

Si vous sélectionnez Entrée utilisateur pour la Source d'attribut de rôle, l'application affiche des onglets et des zones supplémentaires.

Procédure

Pour saisir des données de rôle d'entrée utilisateur :

1. Dans la section Sélection d'attribution, sélectionnez parmi les options suivantes :○ Valeurs par défaut

Sélectionnez cette option pour utiliser les attributs fournis dans la section Attributs de rôles.Les valeurs par défaut sont gérées dans l'activité de Customizing Gérer options de configuration, sous

Governance, Risk and Compliance SAP GRC Access Control . Gérez les ID de paramètre 3000 à 3004 inclus.

○ Attributs personnalisésSélectionnez cette option pour saisir vos propres informations dans la section Attributs de rôles, comme Niveau critique, Version de projet, Statut de rôle et ainsi de suite.


2. Dans la page à onglet Domaine fonctionnel, sélectionnez Ajouter pour sélectionner et ajouter un domaine fonctionnel de la liste.

3. Dans la page à onglet Détenteurs/Approbateurs, vous pouvez procéder comme suit :○ Sélectionnez Ajouter pour sélectionner et ajouter des utilisateurs.○ Sélectionnez la case à cocher appropriée pour indiquer que l'utilisateur est un Approbateur d'affectation

ou Détenteur du rôle ou les deux.○ Dans la colonne Autre, sélectionnez un utilisateur qui sera le remplaçant de l'utilisateur principal.

4. Dans la page à onglet Zones personnalisées, vous saisissez les informations pour renseigner toute nouvelle zone que vous avez créée en plus des zones standard fournies par SAP.

6.3.1.3 Ordonnancement de jobs d'arrière-plan

Utilisation

Sur l'écran Ordonnancement, vous pouvez sélectionner de planifier que le job s'exécute en arrière-plan à un moment donné ou sélectionner d'exécuter le job en avant-plan.

Pour exécuter le job en avant-plan, sélectionnez la case à cocher Avant-plan et sélectionnez Soumettre.

Procédure

Pour exécuter le job comme job d'arrière-plan :

1. Sous la section Ordonnancer, sélectionnez Arrière-plan.2. Pour activer le job pour qu'il revienne plusieurs fois, mettez l'option Plan récurrent sur Oui puis sélectionnez la

date et les heures.Vous pouvez définir la Fréquence comme : Horaire, Quotidienne, Hebdomadaire ou Mensuelle.Dans la zone Récurrence, vous pouvez activer le job d'arrière-plan pour qu'il revienne tous les certains nombres d'heures. Par exemple, revenir toutes les 4 heures.

3. Pour activer le job afin qu'il s'exécute une seule fois, définissez l'option Plan récurrent sur Non. Vous pouvez choisir de lancer le job immédiatement ou de commencer à une date et heure spécifique.


6.3.2 Mise à jour de plusieurs rôles

Utilisation

Vous pouvez utiliser Mise à jour de rôles pour modifier les attributs pour plusieurs rôles. Les actions disponibles sont mises à jour, supprimées ou ajoutées.


Gestion de rôles

Processus

Le processus de mise à jour de rôle inclut les procédures suivantes :

1. Sélection de rôles1. Sur l'écran Sélectionner les rôles, sélectionnez Ajouter.2. Recherchez et sélectionnez des rôles basés sur des critères, comme le nom du rôle, niveau critique,

processus de gestion et ainsi de suite.3. Sélectionnez OK puis Suivant.

2. Sélection de critères1. Sur l'écran Sélectionner critères, sélectionnez la liste déroulante Attributs et sélectionnez un attribut à

mettre à jour.2. Sélectionnez la liste déroulante Actions et sélectionnez une action disponible. Vous pouvez choisir de

mettre à jour, supprimer ou ajouter.

RemarqueLes actions affichées dans la liste déroulante dépendent de l'attribut. Les attributs multivaleurs affichent Mettre à jour, Supprimer et Ajouter. Les attributs monovaleurs affichent seulement Mettre à jour. Par exemple, pour l'attribut Processus de gestion, seule l'action Mettre à jour est mise à disposition.

3. Sélectionnez votre option pour Réinitialiser la méthodologie de rôle. Sélectionnez Oui pour réinitialiser les rôles à la première phase de la méthodologie de rôle. Par exemple, un rôle est dans la quatrième phase d'une méthodologie de rôle ; cette fonction réinitialise le rôle à la première phase.

3. Sélection de valeursSur l'écran Sélectionner les valeurs, saisissez l'ancienne valeur que vous voulez modifier et la nouvelle valeur par laquelle vous voulez la remplacer.Si vous avez sélectionné Tous les attributs sur l'écran Sélectionner critères, l'écran Sélectionner les valeurs affiche tous les attributs. Sélectionnez les attributs que vous voulez changer.

4.Planifiez le job d'arrière-plan pour mettre à jour les rôles ou choisissez d'exécuter le job en avant plan.

Réappliquer la méthodologie de rôle

Vous pouvez utiliser la procédure suivante pour réappliquer la méthodologie de rôle aux rôles multiples :

1. Sélectionnez les rôles.2. Sur l'écran Sélectionner critères, sélectionnez la liste déroulante Attributs, sélectionnez Tous les attributs puis

sélectionnez Suivant.3. Sur l'écran Sélectionner les valeurs, sélectionnez la case à cocher Appliquer à nouveau méthodologie puis

sélectionnez Suivant.4. Planifiez le job d'arrière-plan pour mettre à jour les rôles ou choisissez d'exécuter le job en avant plan.

RemarqueCe qui suit est une clarification à propos de la fonction Réinitialiser la méthodologie de rôle et la fonction Appliquer à nouveau méthodologie de rôle :

● La réinitialisation de la méthodologie de rôle réinitialise les rôles à la première phase de la méthodologie de rôle. Par exemple, un rôle est dans la quatrième phase d'une méthodologie de rôle ; cette fonction


réinitialise le rôle à la première phase. Cela ne prend pas en compte si la méthodologie de rôle a changé. Cela signifie que même si la méthodologie a changé, le rôle continue à utiliser l'ancienne méthodologie

● La Réapplication de la méthodologie de rôle applique toutes les mises à jour à la méthodologie et réinitialise la phase en cours à la première phase.


Appliquer à nouveau méthodologie [page 139]

6.3.3 Mise à jour de valeurs organisationnelles pour des rôles dérivés multiples

Contexte

Vous pouvez utiliser Mise à jour des valeurs de l'organisation de rôles dérivés pour pousser des mises à jour des valeurs de zone organisationnelles vers des rôles dérivés multiples.

Pour modifier les données d'autorisation pour des rôles dérivés, vous devez propager les données d'autorisation du rôle de base. Pour modifier les valeurs organisationnelles pour les rôles dérivés, vous devez les ouvrir et les modifier pour chaque rôle. Cette caractéristique vous autorise à utiliser des mappages de valeurs organisationnelles pour mettre à jour des valeurs pour les rôles multiples en une fois.

Procédure

1. Sélectionnez le mappage de valeurs organisationnelles.1. Recherchez, puis sélectionnez le mappage des valeurs.2. Sélectionnez l'un des types de mise à jour suivants :

○ Fusionner valeurs de zone organisationn. : si les valeurs organisationnelles sont différentes pour le mappage de valeurs organisationnelles et les rôles dérivés, l'application ajoute les différences du mappage de valeurs organisationnelles au rôle dérivé.

○ Ecraser des valeurs de zone : si les valeurs organisationnelles sont différentes pour le mappage de valeurs organisationnelles et les rôles dérivés, l'application remplace les valeurs dans les rôles dérivés par les valeurs du mappage de valeurs organisationnelles.

2. Révisez les rôles concernés.

L'écran Rôles affectés affiche tous les rôles dérivés dans l'infrastructure qui sont affectés par les modifications.

3. .


Gestion de rôles

Étapes suivantes

Dérivation de rôle [page 140]

Gestion d'autorisations [page 146]

6.3.4 Dérivation de rôles multiples

Contexte

Vous pouvez utiliser Dérivation du rôle pour dériver des rôles multiples pour des niveaux organisationnels sélectionnés. Une Organisation principale que le système utilise pour filtrer les mappages de valeurs organisationnelles pendant la dérivation, peut ou ne peut pas être requise en fonction de la façon dont votre système est configuré.

ExempleVous voulez créer trois rôles pour vos organisations sur la côte occidentale : Recruteur_RH, Comptable et Gestionnaire. Au lieu de créer manuellement chaque rôle distinctement, vous voulez dériver ces rôles des rôles maître existants qui ont les données d'autorisation requises. Pour faciliter cette tâche, vous regroupez les niveaux organisationnels respectifs et les valeurs dans un mappage de valeurs organisationnelles West_Coast, vous sélectionnez les rôles maître respectifs puis dérivez les nouveaux rôles.

RemarqueTel qu'il est fourni, le système nécessite l'utilisation de mappages de valeurs organisationnelles pour la dérivation de rôle, contenant une organisation principale. Si vous voulez autoriser une dérivation de rôle de mappages ne contenant aucune organisation principale, votre administrateur peut gérer l’Identification de paramètre 3025 dans l'activité IMG Gérer options de configuration, sous Governance, Risk, and ComplianceSAP GRC Access Control .

Procédure

1. A l'écran Dérivation de rôle en masse, sélectionnez le mappage de valeurs organisationnelles.1. Saisissez le nom de mappage ou le niveau organisationnel principal. Le niveau organisationnel principal

est le niveau organisationnel parent dans un mappage de valeurs organisationnelles.2. Si vous voulez seulement rechercher un sous-ensemble des valeurs disponibles dans le mappage

organisationnel, sélectionnez la case à cocher Considérer la plage de valeurs, puis saisissez les valeurs dans les zones Valeur initiale et Valeur finale.

3. Sélectionnez OK puis sélectionnez Suivant.


2. Si Paramètre 3025 est défini sur Oui dans le Customizing, suivez les étapes ci-dessous ; dans le cas contraire, allez à l'étape 3.1. A l'écran Sélectionner rôle de base, vous pouvez saisir des valeurs pour les filtres de recherche suivants :

○ Nom du rôle○ Description de rôle○ Processus de gestion○ Sous-processus○ Infrastructure○ Exclure des rôles de base dérivés pour l'organisation principale sélectionnée○ Exclure des rôles de base qui n'ont pas l'organisation principale sélectionnée

2. Sélectionnez Rechercher pour afficher tous les rôles individuels disponibles.3. Sélectionnez les rôles maître dans la liste des résultats et sélectionnez Suivant.

3. Dérivez les rôles.

L'application dérive un nouveau rôle pour chaque rôle maître.

1. Dans la table Rôles dérivés, sélectionnez la zone Nom et saisissez un nom pour chacun des nouveaux rôles.

2. Dans la zone Planifier, sélectionnez une option de planification.3. Sélectionnez Envoyer.

Étapes suivantes

Ordonnancement de jobs d'arrière-plan [page 32]

Dérivation de rôle [page 140]

6.3.5 Analyse du risque pour des rôles multiples

Contexte

Vous pouvez utiliser Analyse des risques de rôle pour effectuer une analyse des risques sur des rôles multiples.

Procédure

1. Sélectionnez Ajouter.

L'écran de recherche apparaît.2. Recherchez et sélectionnez les rôles pertinents, puis sélectionnez OK.


Gestion de rôles


L'application crée automatiquement un job d'arrière-plan pour l'analyse de risque de rôle.

Étapes suivantes

6.3.6 Génération de rôles multiples

Contexte

Vous pouvez utiliser Génération de rôle pour générer des rôles multiples.

Procédure

1. Sélectionnez parmi les options suivantes pour mettre à jour la méthodologie de rôle :○ Ne pas modifier la méthodologie

L'application ne modifie la méthodologie pour aucun des rôles.○ Garder dans la phase de génération

L'application modifie les phases pour tous les rôles dans la phase de génération.○ Terminer la phase de génération

L'application termine la phase de génération pour tous les rôles.2. Dans la table Sélectionner les rôles, sélectionnez Ajouter pour rechercher et sélectionner les rôles.3. Sélectionnez Envoyer.

L'application crée un job d'arrière-plan pour générer le rôle. Pour plus d'informations sur la vue du statut du job d'arrière-plan, voir .


7 Utilisation de la gestion des accès d'urgence

Utilisation

Vous pouvez implémenter les directives de votre société pour gérer l'accès d'urgence dans la Gestion des accès d'urgence (GAU). Les utilisateurs peuvent créer des demandes de Self-Service pour l'accès d'urgence à des systèmes et des applications. Les responsables de processus de gestion peuvent réviser les demandes d'accès d'urgence et accorder des accès. Les personnes responsables de la conformité peuvent effectuer des audits périodiques d'utilisation et de journaux pour surveiller la conformité aux directives de société. Pour plus d'informations, voir Création de rôles [page 175] et Terminologie GAU [page 174].

Recommandation● Vérifiez avec votre administrateur si votre système est basé sur l'ID ou le rôle. Pour obtenir de plus amples

informations, reportez-vous à .● Suivez et approuvez des demandes d'accès d'urgence via un processus formel, documenté.● Révisez l'utilisation prévue et réelle de l'accès d'urgence dans un processus formel, documenté. Examinez

toute différence entre l'utilisation prévue et réelle.● Implémentez un audit périodique d'utilisation et de journaux d'ID Firefighter. Vérifiez que les activités de

Firefighter sont documentées et révisées et que les exceptions sont examinées selon la directive.

Processus

1. Le Firefighter demande un accès d'urgence.Le Firefighter crée une demande de Self-Service pour l'accès d'urgence.La demande devrait inclure les activités à effectuer à des fins d'audit.Voir Demande d'accès d'urgence [page 194].

2. Le responsable de processus de gestion révise et approuve des demandes d'accès d'urgence.Le responsable de processus de gestion révise la demande d'accès d'urgence et peut l’approuver ou la refuser.Voir Vérification et autorisation des demandes d'accès [page 50].

RemarqueLe responsable de processus de gestion est la personne affectée à ces droits selon le besoin de gestion. Par exemple, un détenteur d'ID Firefighter ou un détenteur de rôle Firefighter peut être affecté pour approuver la demande de Firefighter. Un contrôleur peut être affecté pour réviser les activités de Firefighter.

3. Le Firefighter accède aux systèmes et effectue des activités de firefighting.Une fois l’accès accordé, le Firefighter peut effectuer les activités documentées pendant le processus de demande.


Utilisation de la gestion des accès d'urgence

Voir Accès aux systèmes Plug-In, pr effectuer activités firefighting [page 197].4. Le responsable de processus de gestion révise les activités d'accès d'urgence.

Le responsable de processus de gestion peut réviser des activités de firefighting via les états GAU et les journaux.Voir Révision des activités d'accès d'urgence [page 200].

5. Les personnes responsables de la conformité (comme les administrateurs) effectuent des audits périodiques d'utilisation et de paraphe via les états GAU et les journaux.

Figure 7 : Workflow par responsable fonctionnel

Résultat

Ce processus se traduit par la mise en place d'un processus de demande, d'accord et de suivi de l’accès d'urgence.

SAP Access ControlUtilisation de la gestion des accès d'urgence P U B L I C 173

7.1 Terminologie GAU

Les concepts suivants sont importants pour comprendre la gestion des accès d'urgence :

● Firefighter : utilisateur qui a besoin de l'accès d'urgence● Firefighter ID : ID utilisateur avec des privilèges supérieurs.● Firefighting : action d'utiliser un ID Firefighter pour effectuer des tâches en urgence● Détenteur : utilisateur responsable d'un ID Firefighter et de l'affectation de contrôleurs et Firefighters● Contrôleur : utilisateur qui révise et approuve (si nécessaire) les fichiers journaux générés à partir d'activités

de firefighting● Firefighting centralisé : utilisation du système GRC comme console centralisée par le biais de laquelle les

Firefighters peuvent se connecter à un autre système pour le Firefighting● Firefighting décentralisé : des Firefighters peuvent directement se connecter aux systèmes Plug-In, à l'aide

du système GRC seulement pour gérer les affectations d'accès d'urgence et le reporting

7.2 Configuration de l'accès d'urgence

Utilisation

Le workflow suivant est le workflow de configuration de la partie Gestion des accès d'urgence (GAU) de l'application SAP GRC Access Control

Processus

1. Créer les rôles requis pour la GAU.Voir Création de rôles [page 175].

2. Sélectionner le type d'application d'accès d'urgence.Voir Sélection du type d'application d'accès d'urgence [page 175].

3. Configurer firefighting basé ID ou basé sur le rôle.Voir Configuration du Firefighting basé ID [page 181] ou Configuration du Firefighting basé sur le rôle [page 192], selon votre type d'application.

4. Configurer des notifications pour des connexions d'ID Firefighter.Voir Gestion notifications par e-mail pour connexions accès urgence [page 189].

5. Configurer des notifications pour des journaux de GAU.Voir Configuration de journaux de GAU [page 193].



7.2.1 Sélection de l'application d'accès d'urgence

Vous pouvez sélectionner les types d'applications suivants à utiliser pour firefighting :

● Firefighter basé sur l'ID : vous fournissez des autorisations Firefighter en affectant des ID Firefighter aux utilisateurs. Les Firefighters utilisent la barre de lancement Gestion des accès d'urgence (GAU) pour accéder à leurs ID firefighting et aux systèmes pertinents. Les utilisateurs peuvent accéder à la barre de lancement GAU comme suit :○ Accès centralisé (dans le système GRC)

Connectez-vous au système GRC et utilisez la transaction GRAC_EAM pour accéder à distance à tous les systèmes de Plug-In autorisés. Dans ce scénario, le système GRC et la barre de lancement GAU fournissent un point d'accès centralisé aux systèmes Plug-In pour firefighting.

○ Accès décentralisé (sur les systèmes Plug-In)Connectez-vous aux systèmes Plug-In respectifs et utilisez la transaction /GRCPI/GRIA_EAM pour effectuer les activités firefighting. Dans ce scénario, firefighting étant exécuté localement sur chacun des systèmes Plug-In, vous disposez d'accès firefighting continus lorsque le système GRC n'est pas disponible, cependant vous devez vous assurer que vous disposez de comptes utilisateur sur chacun des systèmes Plug-In.Les fonctions telles que les affectations et le reporting sont toujours gérées dans le système GRC. Pour de plus amples informations, voir Firefighting décentralisé [page 177].

RemarqueLes deux options relatives à l'accès centralisé et décentralisé sont toujours disponibles. Vous ne devez pas activer l'une ou l'autre. Pour de plus amples informations, reportez-vous à .

● Firefighter basé sur rôle : vous créez les rôles Firefighter dans les systèmes Plug-In et les affectez aux utilisateurs dans le système GRC. Le Firefighter se connecte directement au système Plug-In à l'aide de son ID utilisateur et effectue des activités firefighting.

RemarqueVous pouvez utiliser un seul type d'application à la fois.

Pour définir le type d'application comme basé sur ID ou basé sur rôle, configurez le paramètre 4000 dans l'activité IMG Gérer options de configuration, sous Governance, Risks, and Compliance Access Control .

7.2.1.1 Création de rôles

Les utilisateurs de la Gestion des accès d'urgence peuvent être des administrateurs, des détenteurs, des contrôleurs et des Firefighters. Le tableau suivant décrit chaque rôle et les rôles livrés qui contiennent les autorisations recommandées.

RemarqueLes rôles livrés sont des modèles de rôle. Vous devez les copier dans votre propre espace nom si vous voulez les utiliser.


Table 25 : Rôles de gestion des accès d'urgence

Type de rôle Description

Administrateur Les administrateurs ont un accès complet à la capacité de Gestion d'accès d'urgence. Ils affectent des ID Firefighter aux détenteurs et aux firefighters. Des administrateurs exécutent des états, gérent les tables de données et s'assurent que la table de code de motif est actuelle. Les administrateurs peuvent activer des notifications par e-mail pour des contrôleurs via la fonction d'affectation de Firefighter et via le Customizing.

Le rôle fourni pour des administrateurs est : SAP_GRAC_SUPER_USER_MGMT_ADMIN.

RemarquePour des scénarios de firefighting décentralisés, pour permettre à l'administrateur de prolonger la période de validité des affectations firefighting, vous devez créer ce rôle sur les systèmes de Plug-In pertinents. Affectez l'objet d'autorisation /GRCPI/001 et saisissez la valeur de zone ACTVT comme 70 ou * (astérisque).

Détenteur Les détenteurs peuvent affecter des ID Firefighter à des Firefighter et définir des contrôleurs. Les détenteurs peuvent afficher les ID Firefighter que l'administrateur leur a affectés. Ils ne peuvent pas s'affecter des ID Firefighter à eux-mêmes.

Le rôle fourni pour des détenteurs est : SAP_GRAC_SUPER_USER_MGMT_OWNER.

RemarquePour des scénarios de firefighting décentralisés, pour permettre au détenteur de prolonger la période de validité des affectations firefighting, vous devez créer ce rôle sur les systèmes de Plug-In pertinents. Affectez l'objet d'autorisation /GRCPI/001 et saisissez la valeur de zone ACTVT comme blank (vide).

Contrôleur Les contrôleurs surveillent l'utilisation d'ID Firefighter en révisant le journal ou le workflow de journal et en recevant la notification par e-mail d'événements de connexion d'ID Firefighter.

Le rôle fourni pour des contrôleurs est : SAP_GRAC_SUPER_USER_MGMT_CNTLR.

Firefighter Les Firefighters peuvent accéder aux ID Firefighter qui leur sont affectés et exécuter les tâches pour lesquelles ils disposent d'une autorisation. Les Firefighters utilisent les connexions ID Firefighter pour exécuter des transactions lors des situations d'urgence.

Le rôle fourni pour le Firefighter est : SAP_GRAC_SUPER_USER_MGMT_USER.

RemarquePour les scénarios firefighting décentralisé, pour que le firefighter puisse utiliser la barre de lancement GAU, vous devez créer ce rôle dans les systèmes Plug-In pertinents. Affectez au rôle les autorisations d'utilisation des transactions /GRCPI/GRIA_EAM et SU53.



Type de rôle Description

ID Firefighter Le rôle fourni SAP_GRAC_SPM_FFID, lorsqu'il est affecté à un ID utilisateur transforme l'ID en ID Firefighter. Affectez au rôle l'objet d'autorisation S_RFC pour activer la connexion distante.

RemarqueCe rôle est utilisé seulement pour le firefighting basé ID.

Pour de plus amples informations sur les rôles et les objets d'autorisation, reportez-vous au Guide de sécurité SAP Access Control 10.0 à l'adresse http://help.sap.com/grc-ac .

7.2.1.2 Types d'application d'accès d'urgence

Vous pouvez sélectionner les types d'applications suivants à utiliser pour firefighting :

● Firefighter basé sur l'ID : vous fournissez des autorisations Firefighter en affectant des ID Firefighter aux utilisateurs. Les Firefighters utilisent la barre de lancement Gestion des accès d'urgence (GAU) pour accéder à leurs ID firefighting et aux systèmes pertinents. Les utilisateurs peuvent accéder à la barre de lancement GAU comme suit :○ Accès centralisé (dans le système GRC)

Connectez-vous au système GRC et utilisez la transaction GRAC_SPM pour accéder à distance à tous les systèmes de Plug-In autorisés. Dans ce scénario, le système GRC et la barre de lancement GAU fournissent un point d'accès centralisé aux systèmes Plug-In pour firefighting.

● Firefighter basé sur rôle : vous créez les rôles Firefighter dans les systèmes Plug-In et les affectez aux utilisateurs dans le système GRC. Le Firefighter se connecte directement au système Plug-In à l'aide de son ID utilisateur et effectue des activités firefighting.

RemarqueVous pouvez utiliser un seul type d'application à la fois.

Pour définir le type d'application comme basé sur ID ou basé sur rôle, configurez le paramètre 4000 dans l'activité IMG Gérer options de configuration, sous Governance, Risks, and Compliance Access Control .

7.2.1.3 Firefighting décentralisé

Firefighting décentralisé permet d'utiliser la barre de lancement Gestion des accès d'urgence (GAU) directement dans les systèmes Plug-In, pour effectuer des activités firefighting lorsque le système GRC n'est pas disponible.

Pour utiliser la barre de lancement GAU décentralisée dans le système Plug-In, ouvrez SAP GUI et exécutez la transaction /GRCPI/GRIA_EAM. Cette transaction étant exécutée localement, les utilisateurs doivent également disposer de comptes dans les systèmes Plug-In pertinents afin d'exécuter firefighting.



Le graphique suivant indique que pour le firefighting décentralisé, la majorité des fonctions sont encore gérées dans le système GRC. Les fonctions suivantes sont disponibles dans le système Plug-In :

● Barre de lancement GAU pour Plug-Ins● Extension des périodes de validité pour affectations firefighting● Activation des notifications par e-mail de connexion Firefighter● Personnalisation du texte pour les notifications par e-mail de connexion Firefighter

Figure 8 : Fonctions gérées dans le système GRC par rapport au Plug-In (pour Firefighting décentralisé)

Configuration facultative

Vous pouvez également gérer différents noms de rôle pour les ID Firefighter pour chaque système Plug-In. Par exemple, dans le System01 Plug-In, vous utilisez SAP_GRAC_EAM_FFID01 et dans le System02 Plug-In, vous utilisez SAP_GRAC_EAM_FFID02.

Vous pouvez configurer ces noms de rôles dans l'activité IMG Gérer nom du rôle d'ID Firefighter par connecteur, sous Governance, Risks, and Compliance Access Control Gestion des accès d'urgence .



Activités GAU gérées dans les systèmes Plug-In

Les informations du tableau suivant décrivent les activités gérées dans le système Plug-In.

Table 26 :

Activité Commentaires

Création d'utilisateurs dans des systèmes pour pouvoir utiliser la barre de lancement GAU via SAP GUI.

La barre de lancement GAU étant initialisée localement, l'utilisateur doit disposer d'un compte utilisateur dans les systèmes Plug-In afin d'exécuter firefighting.

Création d'ID Firefighter Vous créez des ID Firefighter dans chaque système Plug-In et vous les synchronisez dans le référentiel GRC.

Pour de plus amples informations, voir Création et gestion d'ID Firefighter [page 184].

Exécution de la barre de lancement Firefighting

Exécutez la transaction /GRCPI/GRIA_EAM.

Extension de la période de validité pour affectations firefighting

Vous pouvez étendre la période de validité pour des affectations firefighting dans le système GRC ou dans le système Plug-In.

Dans le système GRC, ouvrez l'affectation ID Firefighter et étendez la période d'affectation.

Dans le système Plug-In, utilisez les activités IMG (transaction SPRO) pour étendre la période de validité pour des affectations Firefighter dans le système Plug-In.

Pour de plus amples informations, voir Extension des périodes de validité pour affectations firefighting [page 196].

Activation de la notification par e-mail de connexion Firefighter.

Vous pouvez activer chaque système Plug-In afin d'informer le contrôleur firefighting pertinent lorsqu'un Firefighter a ouvert une session firefighting.

Vous pouvez activer chaque système Plug-In afin d'informer le contrôleur firefighting pertinent lorsqu'un Firefighter a ouvert une session firefighting.

Les systèmes Plug-In envoient des notifications aux contrôleurs et aux détenteurs. Les contrôleurs et les détenteurs doivent donc disposer de comptes utilisateur dans les systèmes Plug-In.

Dans les systèmes Plug-In, utilisez les activités IMG (transaction SPRO) pour activer la notification.

Pour de plus amples informations, voir Gestion des notifications par e-mail pour connexions aux accès d'urgence [page 189].

Personnalisation du texte pour la notification par e-mail de connexion Firefighter.

Vous pouvez personnaliser le texte pour les notifications pour chaque système Plug-In.

Vous pouvez adapter le texte pour les notifications pour chaque système Plug-In.

Dans les systèmes Plug-In, utilisez les activités IMG (transaction SPRO) pour activer la notification.



Activités GAU gérées dans le système GRC

Le tableau suivant décrit les activités gérées dans le système GRC.

Table 27 :


Configuration de la Gestion des accès d'urgence et données de base liées

Les informations relatives à la configuration et aux données de base sont gérées dans le système GRC et envoyées dans les systèmes Plug-In.

Vous devez planifier des jobs périodiques pour l'application afin de synchroniser les données de base du système GRC aux systèmes Plug-In correspondants. SAP recommande de planifier la synchronisation quotidiennement.

Vous planifiez les tâches de synchronisation dans la transaction SPRO :

Governance, Risk, and Compliance Access Control Tâches de

synchronisation Synchronisation des données de base GAU .

Création d'ID Firefighter Vous créez des ID Firefighter dans chaque système Plug-In et vous les synchronisez dans le référentiel GRC.

Pour de plus amples informations, voir Création et gestion d'ID Firefighter [page 184].

Gestion des détenteurs et des contrôleurs pour firefighting

Gérée dans le système GRC

Affectation de détenteurs à un ID Firefighter


Affectation d'un ID Firefighter aux contrôleurs


Affectation d'ID Firefighter à des Firefighters


Synchronisation des données utilisateur Gérée dans le système GRC

Gestion des codes de motif Gérée dans le système GRC

Extension de la période de validité pour affectations firefighting

Vous pouvez étendre la période de validité pour des affectations firefighting dans le système GRC ou dans le système Plug-In.

Dans le système GRC, ouvrez l'affectation ID Firefighter et étendez la période d'affectation.

Dans le système Plug-In, utilisez les activités IMG (transaction SPRO) pour étendre la période de validité pour des affectations Firefighter dans le système Plug-In.

Pour de plus amples informations, voir Extension des périodes de validité pour affectations firefighting [page 196].




Affectations compatibles au workflow Gérée dans le système GRC

Gestion et synchronisation de journaux Toutes les activités de gestion de journaux et d'utilisateurs sont gérées dans le système GRC. SAP recommande de planifier le job pour la collecte de journaux toutes les heures.

Le système GRC ne doit pas être arrêté pendant les périodes étendues car cela peut se répercuter sur la collecte des journaux.

Exécution d'états Gérée dans le système GRC

Notification aux contrôleurs pour les journaux, les états et les activités de workflow.


7.2.2 Configuration de Firefighting basé ID

Utilisation

Ce sujet détaille le processus de configuration firefighting basé dans ID.

Conditions requises

Assurez-vous que les utilisateurs peuvent accéder au système GRC et ouvrez SAP GUI.

Processus

Les informations dans cette section sont requises pour configurer tout firefighting basé dans ID.

RemarquePour des étapes supplémentaires requises pour le firefighting décentralisé, voir la section Etapes supplémentaires pour configuration Firefighting décentralisé basé ID ci-dessous.

1. Créer des rôles d'application pertinents pour la Gestion des accès d'urgence.Pour la liste des rôles d'application requis, voir Création de rôles [page 175].

2. Activer le type d'application pour Firefighting basé ID :1. Dans le Customizing (transaction SPRO), ouvrez l'activité Gérer options de configuration, sous

Governance, Risk and Compliancel SAP GRC Access Control.2. Pour le paramètre 4000, activez la valeur 1 pour l'ID basé firefighting.


3. Configurer le Nom du rôle d'ID Firefighter.Vous affectez ce rôle à des comptes utilisateur pour créer des ID Firefighter.

1. Dans le Customizing, ouvrez l'activité Gérer options de configuration, sous Governance, Risks, and Compliance SAP GRC Access Control.

2. Pour le paramètre 4010, saisissez le nom du rôle défini par l'utilisateur, par exemple, SAP_GRAC_EAM_FFID.

4. Synchroniser les utilisateurs et les rôles dans les systèmes de Plug-In avec le système GRC.Dans le système GRC, ouvrez le Customizing (transaction SPRO) et utilisez l'activité IMG, Synchronisation d'objet de référentiel. Il se trouve sous Governance, Risk and Compliance SAP GRC Access ControlTâches de synchronisation .

5. Dans les systèmes de Plug-In, créez les ID Firefighter puis synchronisez-les avec le référentiel GRC.Pour de plus amples informations, voir Création et gestion d'ID Firefighter [page 184].

6. Gérer les détenteurs SAP GRC Access Control suivants :○ Détenteur ID Firefighter

Les détenteurs d'ID Firefighter sont responsables de la gestion des rôles et de leurs affectations aux Firefighters.

○ Contrôleur d'ID FirefighterLes contrôleurs d'ID Firefighter sont responsables de la révision des journaux générés lors de l'utilisation de Firefighter.

Pour de plus amples informations, reportez-vous à Affectation de contrôleurs [page 186].7. Affecter un détenteur à un ID Firefighter.

Pour de plus amples informations, reportez-vous à Affectation de détenteurs [page 185].8. Affecter un contrôleur à un ID Firefighter.

Pour de plus amples informations, reportez-vous à Affectation de contrôleurs [page 186].9. Affecter un ID Firefighter à un utilisateur pour lui permettre de procéder au firefighting.

Pour de plus amples informations, reportez-vous à Affectation de Firefighters [page 188].10. Créer des codes de motif.

Pour plus d'informations, voir Codes de motif [page 190].11. Gérer les options de notifications par e-mail de connexion Firefighter

L'application envoie des notifications au Contrôleur lorsqu'un Firefighter s'est connecté à une session de firefighting.○ Pour que l'application puisse envoyer des notifications par e-mail de connexion de Firefighter, procédez

comme suit :

1. Ouvrez l'activité IMG Gérer options de configuration, sous Governance, Risks, and ComplianceSAP GRC Access Control.

2. Pour parameter 4008, définissez la valeur sur 1.○ Vous pouvez modifier le texte des notifications par e-mail de connexion (facultatif). (Si vous ne modifiez

pas le texte, l'application utilise le texte fourni par défaut.)Pour modifier le texte, gérez les activités IMG suivantes :○ Gérer des messages d'Information personnalisés pour la Gestion des accès d'urgence○ Gérer texte pour des messages d'Information personnalisés


Etapes supplémentaires de configuration de Firefighting décentralisé basé sur ID.

Pour configurer firefighting décentralisé, terminez d'abord les tâches ci-dessus puis les étapes suivantes.



1. Assurez-vous que les utilisateurs disposent de comptes utilisateurs et de rôles dans chacun des systèmes de Plug-In pour leur permettre de se connecter à chaque système. Des Firefighters doivent pouvoir accéder directement à chaque système de Plug-In et utiliser la barre de lancement de GAU localement.

2. Activer firefighting décentralisé.Dans le système GRC, dans le Customizing (transaction SPRO) utilisez l'activité Gérer options de configuration, sous Governance, Risks, and Compliance SAP GRC Access Control .Activer le paramètre 4015 - Définissez Firefighting décentralisé sur Oui.

3. Synchroniser les données de base du système GRC aux systèmes de Plug-In.Dans le Customizing (transaction SPRO SPRO) utilisez l'activité, Synchronisation des données de base GAU, sous Governance, Risk and Compliance SAP GRC Access Control Tâches de synchronisation .

4. Vous pouvez gérer différents noms de rôle d'ID Firefighter pour chaque système de Plug-In (facultatif). Par exemple, dans le System01 Plug-In, vous utilisez SAP_GRAC_EAM_FFID01 et dans le System 02 Plug-In, vous utilisez SAP_GRAC_EAM_FFID02.1. Dans le système GRC, ouvrez le Customizing (transaction SPRO).

2. Ouvrez l'activité IMG Gérer nom du rôle d'ID Firefighter par connecteur, sous Governance, Risks, and Compliance Access Control SAP GRC Access Control .

3. Gérer les noms du rôle d'ID Firefighter le cas échéant.

RemarqueSi vous n'utilisez pas cette option, l'application utilise le nom du rôle d'ID Firefighter par défaut référencé dans parameter 4010 de l'activité IMG Gérer options de configuration pour tous les systèmes.

5. Vous pouvez gérer des options de notifications par e-mail de connexion de Firefighter distinctes pour chacun des systèmes de Plug-In (facultatif).○ Pour permettre à chaque système de Plug-In d'envoyer ses propres notifications par e-mail de connexion,

procédez comme suit :1. Dans le système de Plug-In, ouvrez l'activité IMG, Gérer options de configuration de Plug-In, sous

Governance, Risk and Compliance (Plug-In) SAP GRC Access Control .2. Pour parameter 4008, définissez la valeur sur 1.

○ Pour modifier le texte des notifications par e-mail de connexion pour chacun des systèmes de Plug-In, gérez les activités IMG suivantes :○ Gérer des messages d'information personnalisés pour la Gestion des accès d'urgence (Plug-In)○ Gérer Texte pour des Messages d'information personnalisés (Plug-In)


RemarqueCes étapes de configuration s'ajoutent aux étapes de configuration principales pour firefighting basé sur ID. Vérifiez que les étapes de création et d'affectation de détenteurs, de contrôleurs et de Firefighters sont terminées.


Configuration de Firefighting basé sur rôle [page 192]


7.2.2.1 Création et gestion d'ID Firefighter

Utilisation

Vous créez des ID Firefighter en affectant le Rôle d'ID Firefighter à un compte utilisateur.

Par exemple, User_Account01 + Firefighter_ID_role = Firefighter_ID01.

Vous pouvez utiliser la transaction SU01ou la fonctionnalité de demande d'accès dans le Contrôle d'accès pour créer des ID Firefighter. Ce sujet explique comment créer et gérer des ID Firefighter à l'aide de la fonctionnalité de demande d'accès.

RemarqueVous devez créer des ID Firefighter pour chaque système Plug-In et les synchroniser dans le référentiel GRC.

Conditions requises

● Vous avez créé le rôle d'ID Firefighter.Le rôle fourni est SAP_GRAC_SPM_FFID, mais vous pouvez utiliser votre propre rôle.

● Vous avez configuré le nom du rôle d'ID Firefighter dans l'Activité IMG (transaction SPRO) Gérer options de configuration, paramètre 4010.

Procédure

Création d'ID Firefighter

RemarqueVous pouvez utiliser la transaction SU01 ou la fonctionnalité de demande d'accès dans le Contrôle d'accès pour créer des ID Firefighter. Les étapes ci-dessous expliquent comment créer et gérer des ID Firefighter à l'aide de la fonctionnalité de demande d'accès.

1. Ouvrez l'écran Demande d'accès.2. Dans la liste déroulante Type de demande, sélectionnez Nouveau compte.3. Dans la liste déroulante Demande pour, sélectionnez Autre.4. Dans la zone Utilisateur, saisissez le nom de l'ID Firefighter, par exemple FFID_015. Dans la page à onglet Accès utilisateur, sélectionnez Ajouter puis sélectionnez Rôle.6. Ajoutez le rôle d'ID Firefighter que vous avez configuré, par exemple, SAP_GRAC_SPM_FFID.7. Ajoutez tout rôle supplémentaire requis pour fournir les autorisations nécessaires et l'accès au système pour

exécuter les tâches de firefighting.8. Soumettez la demande d'accès.

Le nouvel ID utilisateur FFID_01 est maintenant un ID Firefighter.



Gestion d'ID Firefighter

Vous pouvez aussi utiliser la fonctionnalité de demande d'accès pour gérer, modifier ou supprimer les ID Firefighter.

1. Ouvrez l'écran Demande d'accès.2. Dans la liste déroulante Type de demande, sélectionnez parmi les tâches disponibles, par exemple, Modifier

compte, Supprimer compte et ainsi de suite.3. Sauvegardez l'entrée.


Création de demandes d'accès [page 24]

7.2.2.2 Affectation de détenteurs

Utilisation

Cette rubrique s'applique au firefighting basé sur un rôle et sur un ID.

Vous devez affecter des détenteurs à des ID Firefighter et à des rôles Firefighter. Les détenteurs affectent ensuite des ID Firefighter à des Firefighters et définissent des contrôleurs.

Conditions requises

Vous avez terminé ce qui suit :

● Pour firefighting orienté rôle, vous avez défini les rôles de firefighter dans le système GRC et sélectionné la case à cocher Activer pour Firefighting à l'écran Définir rôle sous Gestion des accès Gestion des rôlesGestion des rôles .

● Pour firefighting basé sur l'ID, vous avez défini un rôle d'ID Firefighter dans le système ERP et affecté le rôle de l'autorisation de connexion distante S_RFC.

Procédure

Création d'une affectation

1. Sélectionnez Affectation d'accès d'urgence Détenteurs .L'écran Détenteur de Firefighter affiche une table d'affectations existantes.

2. Sélectionnez Affecter.L'écran Affectation du détenteur : nouveau apparaît.


3. Dans la zone ID de détenteur, sélectionnez le détenteur.4. Dans la table ID Firefighter, sélectionnez Ajouter puis ajoutez un ou plusieurs ID ou rôles Firefighter.

5. Sélectionnez Sauvegarder Fermer .

Affichage ou gestion d'une affectation

1. Sélectionnez Affectation d'accès d'urgence Détenteurs .L'écran Détenteur de Firefighter affiche une table d'affectations existantes.

2. Sélectionnez une ligne et sélectionnez Ouvrir.L'écran Affectation de détenteur affiche l'affectation particulière.

3. Pour ajouter une affectation de détenteur, procédez comme suit :1. Sélectionnez Ajouter.

Une nouvelle ligne apparaît dans la table.2. Saisissez les informations pour les zones requises.

A l'écran, les zones requises sont marquées par un astérisque (*).

3. Sélectionnez Sauvegarder Fermer .L'affectation est terminée pour le détenteur sélectionné.

4. Pour supprimer l'affectation du détenteur, sélectionnez Supprimer.L'affectation sélectionnée est supprimée.


7.2.2.3 Affectation de contrôleurs

Utilisation


Vous affectez des contrôleurs aux ID et aux rôles firefighting. Les contrôleurs effectuent un suivi et un audit des ID et rôles Firefighter. Vous pouvez utiliser les fonctions à l'écran Contrôleur pour affecter, ajouter ou supprimer un contrôleur pour des ID et des rôles Firefighter.

RemarqueUne seule personne à la fois peut modifier les affectations du contrôleur pour un ID ou un rôle Firefighter.

Procédure

1. Sélectionnez Gestion des accès d'urgence Contrôleurs .L'écran Contrôleur apparaît et affiche les contrôleurs existants, les ID Firefighter et les systèmes reliés.

2. Sélectionnez Affecter.L'écran Affectation de contrôleur : nouveau apparaît.

3. Dans la zone ID de contrôleur, saisissez l'ID utilisateur pour la personne que vous voulez affecter comme contrôleur.



4. Sélectionnez OK.5. Sélectionnez Ajouter, sélectionnez l'ID Firefighter dans la liste puis sélectionnez OK.

La valeur de zone Système est générée automatiquement une fois que vous avez sélectionné l'ID Firefighter.6. Dans la colonne Notification par, sélectionnez parmi les options suivantes :

○ E-mailPour envoyer un journal à une boîte de réception e-mail externe, comme Microsoft Outlook ou à une corbeille d'arrivée SAP chaque fois que le job d'arrière-plan GRAC_SPM_LOG_SYNC_UPDATE s'exécute.Vous pouvez sélectionner parmi les options suivantes pour la notification par e-mail :○ Pour envoyer des notifications de connexion, activez le paramètre Envoyer notification de connexion

d'ID Firefighter sur OUI. La notification de connexion est envoyée par e-mail seulement, indépendante de l'option Notification par.

○ Pour envoyer la notification immédiatement une fois qu'un ID Firefighter se connecte au système, activez le paramètre Envoyer notification de connexion Firefighter immédiatement sur OUI.

○ Pour envoyer les notifications de journal, activez le paramètre Notification d'exécution de journal sur OUI. La notification de journal dépend de la zone Notification par.

○ Pour recevoir des notifications de journal lorsque les journaux sont mis à jour, activez le paramètre Envoyer la notification d'exécution de journal immédiatement sur OUI.

○ WorkflowPour envoyer les notifications de journal sous la forme d'un work item de workflow SAP.

RemarqueLes utilisateurs doivent disposer d'une autorisation pour le portail pour accéder aux work items de workflow.

○ Afficher journalPour afficher des événements de connexion d'ID Firefighter de l'écran Administrateur de gestion des accès d'urgence. Le contrôleur génère manuellement le journal et affiche l'état à l'écran Administrateur de gestion des accès d'urgence. Le système n'envoie aucune notification par e-mail automatisée.


Affichage ou gestion d'une affectation de contrôleur

1. Sur l'écran Contrôleur, sélectionnez une ligne et sélectionnez Ouvrir.L'écran Affectation de contrôleur apparaît et affiche l'affectation particulière.

2. Pour ajouter une affectation de firefighter, sélectionnez Ajouter.Une nouvelle ligne apparaît dans la table.

3. Saisissez l'information pertinente dans les zones obligatoires et sélectionnez une méthode de notification dans le menu déroulant de la colonne Notification par.

4. Pour supprimer une affectation de firefighter, sélectionnez Supprimer.L'affectation sélectionnée est supprimée.



7.2.2.4 Affectation de Firefighters

Utilisation


Vous autorisez les utilisateurs à effectuer firefighting en leur affectant des ID Firefighter (pour firefighting basé sur ID) ou des rôles Firefighter (pour le firefighting basé sur le rôle). Vous utilisez les fonctions à l'écran ID Firefighter pour gérer les affectations de Firefighter.

RemarqueUne seule personne peut traiter une affectation de Firefighter à la fois.

Conditions requises

Vous avez terminé ce qui suit :

● Pour des scénarios orientés rôle, vous avez défini les rôles de firefighter dans le système GRC et sélectionné la case à cocher Activer pour Firefighting à l'écran Définir rôle sous Gestion des accès Gestion des rôlesGestion des rôles .

● Pour firefighting basé sur l'ID, vous avez défini un rôle d'ID Firefighter dans le système ERP et affecté le rôle de l'autorisation de connexion distante S_RFC.

Procédure

1. Sélectionnez Gestion des accès Affectation d'accès d'urgence ID Firefighter .L'écran ID Firefighter apparaît.

2. Sélectionnez Affecter.L'écran Affectation d'ID Firefighter : nouveau apparaît.

3. Dans la zone ID Firefighter, saisissez l'ID Firefighter ou le rôle Firefighter.L'application renseigne automatiquement la zone Système.

4. Dans la zone Criticité, sélectionnez degré de gravité.5. Dans l'onglet Firefighter, saisissez les informations pertinentes dans les zones obligatoires.

A l'écran, les zones requises sont marquées par un astérisque (*).6. Sélectionnez la page à onglet Contrôleur et ajoutez une affectation de contrôleur.


Vue ou gestion d'une affectation d'ID ou de rôle Firefighter

1. A l'écran ID Firefighter, sélectionnez une ligne et sélectionnez Ouvrir.L'écran Affectation d'ID Firefighter affiche l'affectation particulière.

2. Pour ajouter un ID Firefighter, sélectionnez Ajouter.Une nouvelle ligne apparaît dans la table.



3. Saisissez l'information pertinente dans les zones requises.A l'écran, les zones requises sont marquées par un astérisque (*).

4. Pour supprimer une affectation d'ID de firefighter, sélectionnez Supprimer.L'affectation sélectionnée est supprimée.


7.2.2.5 Gestion notifications par e-mail pour connexions accès urgence

Utilisation

Vous pouvez disposer de l'application d'envoi de notifications par e-mail aux contrôleurs lorsqu'un Firefighter se connecte pour effectuer un firefighting basé ID.

Vous pouvez aussi personnaliser le texte de notification. Si vous ne personnalisez pas le texte, l'application utilise le texte de message par défaut.

Processus

Centralisé

Pour les scénarios de firefighting centralisés, toutes les connexions de firefighting et les notifications par e-mail de connexion de Firefighting sont traitées dans le système GRC.

Pour activer des notifications pour les connexions firefighting

1. Ouvrez les activités IMG (transaction SPRO).

2. Naviguez jusqu'à Governance, Risk and Compliance SAP GRC Access Control Gérer options de Configuration

3. Activez le paramètre 4008 sur Oui.

Pour personnaliser les notifications pour les connexions firefighting

Configurez les activités IMG suivantes sous Governance, Risk and Compliance SAP GRC Access ControlContrôle d'accès de Workflow .

● Gérer des messages d'information personnalisés● Gérer texte pour des messages d'Information personnalisés

Décentralisé

Pour les scénarios de firefighting décentralisés, toutes les connexions de firefighting et les notifications par e-mail de connexion de firefighting sont traitées dans chaque système de Plug-In. Vous devez gérer des comptes utilisateurs pour les contrôleurs et les détenteurs dans les systèmes de Plug-In pour qu'ils reçoivent des notifications. Vous gérez les options suivantes pour chaque système de Plug-In.

Pour activer des notifications pour les connexions firefighting



2. Naviguez jusqu'à Governance, Risk and Compliance (Plug-In) SAP GRC Access Control Gérer options de configuration de Plug-In .


Pour personnaliser les notifications pour les connexions firefighting

Configurez les activités IMG suivantes sous Governance, Risk and Compliance (Plug-In) Contrôle d'accès .

● Gérer des messages d'information personnalisés pour des Connexions d'accès d'urgence (Plug-In)● Gérer Texte pour des Messages d'information personnalisés (Plug-In)

7.2.2.6 Codes de motif

Utilisation

Lorsqu'un Firefighter utilise la barre de lancement de la Gestion des accès d'urgence (GAU) pour se connecter au système dans le but d'effectuer des activités Firefighter, le Firefighter doit fournir un motif pour la connexion en sélectionnant l'un des codes de motif disponibles.

Pour ouvrir l'écran Codes de motif, sélectionnez Gestion des accès Gestion des accès d'urgence Codes de motif .


Création et gestion de codes de motif [page 190]

Affectation de systèmes aux codes de motif [page 191]

7.2.2.6.1 Création et gestion de codes de motif

Procédure

Gestion d'un code de motif existant

1. Sélectionnez un code de motif existant et sélectionnez Ouvrir.L'écran de code de motif spécifique apparaît.

2. Sélectionnez Ajouter pour affecter un système au code de motif ou sélectionnez Supprimer pour supprimer un système du code de motif.

3. Sélectionnez Sauvegarder Fermer .4. Vérifiez que le statut est activé sur Actif lorsque vous voulez commencer à utiliser l'affectation.

Création d'un nouveau code de motif



1. Pour créer un nouveau code de motif, sélectionnez Créer sur l'écran Code de motif - Tout.L'écran Nouveau code de motif apparaît.

2. Dans la zone Code de motif, saisissez un nom pour le nouveau code de motif.3. Dans le menu de zone déroulante Statut, sélectionnez Actif ou Inactif.4. Saisissez une description.5. Dans la zone Système, sélectionnez Ajouter pour ajouter un système ou des systèmes au nouveau code de

motif.

6. Sélectionnez Sauvegarder Fermer .L'écran Code de motif - Tout apparaît avec le nouveau code de motif affiché dans la liste.


Affectation de systèmes aux codes de motifs [page 191]

7.2.2.6.2 Affectation de systèmes aux codes de motif

Contexte

Vous affectez des codes de motifs à un ou plusieurs systèmes. L'application suit l'usage de code de motif à travers chaque système.

Procédure

1. Sélectionnez Gestion des accès Gestion des accès d'urgence Codes de motif .

L'écran Codes de motifs apparaît et affiche une liste des codes de motifs existants et des zones et boutons liés.

2. Sélectionnez Statut pour activer les codes de motifs existants sur actif ou inactif.3. Pour affecter un système à un code de motifs, sélectionnez un code de motif actif existant ou créez un

nouveau code de motif.

Étapes suivantes

Création et gestion de codes de motif [page 190]


7.2.3 Configuration de Firefighting basé sur rôle

Utilisation

Le workflow suivant décrit comment configurer firefighting basé sur le rôle.

Processus

1. Créer des rôles d'application pertinents pour la Gestion des accès d'urgence.Pour la liste des rôles d'application requis, voir Création de rôles [page 175].

2. Activer le type d'application pour Firefighting basé sur rôle :1. Dans le Customizing (transaction SPRO), ouvrez l'activité Gérer options de configuration, sous

Governance, Risk and Compliance SAP GRC Access Control.2. Pour le paramètre 4000, activez la valeur 2 pour firefighting basé sur le rôle.

3. Synchroniser les utilisateurs et les rôles dans les systèmes de Plug-In avec le système GRC.Vous effectuez cette synchronisation via l'activité IMG Synchronisation d'objet de référentiel, sous

Governance, Risk and Compliance SAP GRC AccessControl Tâches de synchronisation .4. Créer des rôles de firefighting dans les systèmes de Plug-In respectifs via PFCG ou la fonctionnalité de gestion

des rôles utilisateur de SAP GRC Access Control.Pour de plus amples informations, reportez-vous à Définition de rôles [page 142].

5. Gérer les détenteurs SAP GRC Access Control suivants dans l'application GRC :○ Détenteur du rôle Firefighter

Les détenteurs de rôle Firefighter sont responsables de la gestion des rôles et de leurs affectations aux Firefighters.

○ Contrôleur de rôle FirefighterLes contrôleurs de rôle Firefighter sont responsables de la révision des journaux générés lors de l'utilisation de Firefighter.

6. Affecter un détenteur à un rôle Firefighter.Pour de plus amples informations, reportez-vous à Affectation de détenteurs [page 185].

7. Affecter un contrôleur à un rôle Firefighter.Pour de plus amples informations, reportez-vous à Affectation de contrôleurs [page 186].

8. Affecter un rôle Firefighter à un utilisateur pour lui permettre de procéder au firefighting.Pour de plus amples informations, reportez-vous à Affectation de Firefighters [page 188].


Configuration de Firefighting basé ID [page 181]



7.2.4 Configuration d'avis de journal de GAU

Utilisation

Vous pouvez choisir de disposer de l'application Envoyer des notifications par e-mail lorsqu'un journal a été créé. Vous pouvez aussi personnaliser le texte de notification. Si vous ne personnalisez pas le texte, l'application utilise le texte de message par défaut.

Procédure

Firefighting centralisé :

Pour les scénarios de firefighting centralisés, toutes les notifications par e-mail sont traitées dans le système GRC.

Pour activer des notifications pour des journaux


2. Naviguez jusqu'à Governance, Risk and Compliance Contrôle d'accès Gérer options de Configuration3. Activez le paramètre 4009 sur Oui.

Pour personnaliser les notifications pour des journaux

Configurez les activités IMG suivantes sous Governance, Risk and Compliance Contrôle d'accès Contrôle d'accès de Workflow .

● Gérer des messages d'information personnalisés● Gérer texte pour des messages d'Information personnalisés

Firefighting décentralisé

Pour les scénarios de firefighting décentralisés, les notifications par e-mail pour des journaux sont traitées dans chaque système de Plug-In. Vous gérez les options de configuration suivantes pour chaque système de Plug-In.

Pour activer des notifications pour des journaux


2. Naviguez jusqu'à Governance, Risk and Compliance (Plug-In) Contrôle d'accès Gérer options de configuration de Plug-In


Pour personnaliser les notifications pour des journaux

Configurez les activités IMG suivantes sous Governance, Risk and Compliance (Plug-In) Contrôle d'accès .

● Gérer des messages d'information personnalisés pour des Connexions d'accès d'urgence (Plug-In)● Gérer Texte pour des Messages d'information personnalisés (Plug-In)


7.3 Demande d'accès d'urgence

Prérequis

Avant que vous demandiez accès d'urgence, votre administrateur doit avoir précédemment configurer la fonctionnalité de Gestion des accès d'urgence. L'administrateur peut aussi vous informer si vous souhaitez utiliser le Firefighting basé sur ID ou rôle. Pour plus d'informations, voir Accès aux systèmes pour effectuer des activités de Firefighting [page 197].

Contexte

Vous pouvez demander un accès d'urgence aux systèmes dans votre infrastructure SAP pour effectuer un firefighting. Pour créer une demande d'accès d'urgence, vous utilisez le processus de création de demandes d'accès principal et indiquez que vous voulez qu'un ID Firefighter ou rôle Firefighter vous soit affecté.

Pour obtenir de plus amples informations, reportez-vous à Création de demandes d'accès [page 24].

Procédure

1. Dans la page à onglet Accès d'utilisateur, sélectionnez Ajouter puis sélectionnez les éléments suivants :○ ID Firefighter○ Rôle Firefighter

RemarqueLorsqu'un ID Firefighter ou un rôle Firefighter est requis, vous pouvez filtrer la recherche à l'aide de Système et Code d'action. Si vous utilisez Code d'action, vous devez également indiquer le Système. Pour les demandes d'ID Firefighter et de rôle Firefighter, le(s) détenteur(s) s'affiche(nt) dans la colonne Approbateur d'affectation.




7.4 Vérification et autorisation des demandes d'accès

Utilisation

Sur l'écran Demande d'accès, les approbateurs peuvent réviser, refuser, modifier ou approuver des demandes d'accès.

Processus

1. Pour réviser une demande d'accès, procédez comme suit :○ Du poste de travail Ma page d'accueil, sélectionnez Corbeille de travail.

De la liste Work items, sélectionnez une demande d'accès pour l'ouvrir.○ Du poste de travail Gestion des accès, sous le groupe de menu Administration des demandes d'accès,

sélectionnez Rechercher demandes.Recherchez une demande puis sélectionnez le bouton de commande Administrateur pour l'ouvrir et la réviser. Pour plus d'informations, voir .

L'application affiche l'écran Demande d'accès, identique à celui qu'utilisent les demandeurs lorsqu'ils soumettent la demande. Les approbateurs voient toutes les informations que le demandeur a saisi. En outre, les approbateurs voient des boutons de commande et des zones supplémentaires qui leur permettent de réviser, refuser, modifier ou approuver la demande.

RemarqueVous pouvez configurer les boutons de commande et les zones que les approbateurs peuvent voir. Par exemple, vous pouvez autoriser les approbateurs à ajouter des rôles à une demande. Pour plus d'informations, voir .

2. Révisez la demande et exécutez des actions si nécessaire, comme Approuver, Refuser et ainsi de suite.3. Dans le coin supérieur droit, sélectionnez Stade pour afficher des informations sur le stade actuel du workflow

d'approbation et son statut.4. Dans la page à onglet Violations de risque, vous pouvez afficher les résultats de l'analyse des risques que le

demandeur a effectuée ou vous pouvez effectuer votre propre analyse des risques.

RemarqueVous pouvez configurer l'application pour exiger des approbateurs qu'ils effectuent une analyse des risques avant d'approuver toute demande. Pour plus d'informations, voir .

5. Lorsque vous avez terminé la révision de la demande, sélectionnez Soumettre.


7.5 Extension périodes de validité pour affectations firefighting

Utilisation

Les personnes autorisées, comme les détenteurs d'ID Firefighter et les administrateurs, peuvent prolonger les périodes de validité des affectations du firefighting.

Vous pouvez également définir la période de validité par défaut (en jours) dans le paramètre 4001. Vous gérez le paramètre dans l'activité IMG, Gérer options de configuration, sous Governance, Risk and Compliance SAP GRC Access Control .

Vous pouvez substituer la période de validité par défaut pour chaque affectation en la mettant à jour manuellement.

Processus

Firefighting centralisé :

Vous pouvez prolonger les périodes de validité à l'aide des écrans Affectation d'ID Firefighter :

1. Sélectionnez Affectation d'accès d'urgence ID Firefighter .L'écran ID Firefighter apparaît.

2. Sélectionnez une ligne puis Ouvrir.L'écran Affectation d'ID Firefighter affiche l'affectation particulière.

3. Sélectionnez une ligne et mettez à jour les informations dans les zones Début de validité et Fin de validité le cas échéant

4. Sauvegardez l'entrée et fermez l'écran.

Firefighting décentralisé

Dans le système de Plug-In, vous utilisez l'activité IMG (transaction SPRO) Gérer dates de validité pour affectations de Firefighter.

1. Dans le système de Plug-In, ouvrez l'activité IMG Gérer dates de validité pour affectations de Firefighter (Plug-In), sous Governance, Risks, and Compliance (Plug-in) SAP GRC Access Control .La table Période de validité apparaît et affiche les affectations expirées que vous êtes autorisé à voir.

2. Sélectionnez un ID Firefighter ou rôle Firefighter puis ajustez les dates de validité le cas échéant.3. Sauvegardez votre entrée.

RemarquePour permettre aux administrateurs et aux détenteurs de prolonger la période de validité des affectations firefighting, vous devez créer les rôles dans les systèmes de Plug-In pertinents et leur affecter l’objet d’autorisation /GRCPI/001. Pour le rôle administrateur, saisissez la valeur de zone ACTVT, 70 ou * (astérisque). Pour le rôle propriétaire, saisissez la valeur de zone ACTVT, blank (vide).




Types d'application d'accès d'urgence [page 177]

Firefighting décentralisé [page 177]

7.6 Accès aux systèmes Plug-In, pr effectuer activités firefighting

Utilisation

Cette rubrique détaille la façon d'accéder au bon système, selon la configuration de votre système, pour effectuer des activités firefighting.

Conditions requises

Un accès d'urgence vous a été accordé par l'administrateur.

Activités

L'application vous permet d'utiliser l'une des méthodes suivantes pour accéder aux systèmes, pour effectuer des activités firefighting :

RemarqueVotre administrateur vous indiquera la méthode à utiliser.

● Si votre société utilise firefighting basé sur ID, vous utilisez la barre de lancement GAU pour vous connecter aux systèmes.○ Si firefighting décentralisé est activé, vous pouvez vous connecter aux systèmes Plug-In pour effectuer

des activités firefighting.○ Si votre société utilise firefighting centralisé, vous devez vous connecter au système GRC pour effectuer

des activités firefighting.Pour de plus amples informations, voir Utilisation de la barre de lancement GAU [page 198].

● Si votre société utilise firefighting basé sur rôle, vous pouvez vous connecter directement aux systèmes.



Types d'application d'accès d'urgence [page 175]

Terminologie GAU [page 174]

Création de rôles [page 175]

7.6.1 Utilisation de la barre de lancement Gestion des accès d'urgence

Contexte

Pour un firefighting basé sur ID, vous pouvez utiliser la barre de lancement Gestion des accès d'urgence (GAU) pour accéder à vos ID Firefighter affectés. La barre de lancement GAU est disponible à la fois pour firefighting centralisé et décentralisé. La fonctionnalité décrite ci-dessous est identique pour firefighting centralisé et décentralisé, à l'exception de ce qui suit :

● Pour firefighting centralisé, vous utilisez cette transaction pour ouvrir la barre de lancement GAU dans le système GRC : GRAC_EAM.

RemarqueLa transaction GRAC_SPM est également disponible pour la compatibilité descendante.

● Pour firefighting décentralisé, vous utilisez cette transaction pour ouvrir la barre de lancement GAU dans les systèmes Plug-In :/GRCPI/GRIA_EAM.

RemarquePour les scénarios firefighting décentralisé, pour que le firefighter puisse utiliser la barre de lancement GAU, vous devez créer le rôle Firefighter dans les systèmes Plug-In pertinents. Affectez au rôle les autorisations d'utilisation des transactions /GRCPI/GRIA_EAM et SU53.

RemarqueLa barre de lancement pour firefighting centralisé affiche tous les systèmes Plug-In auxquels vous avez accès. La barre de lancement pour firefighting décentralisé n'affiche aucun système car elle vous permet d'accéder uniquement au système Plug-In actuel.



L'écran de barre de lancement EAM a les éléments suivants :

Table 28 :

Elément Description

ID Firefighter Il s'agit du nom de l'ID Firefighter que vous êtes autorisé à utiliser. Vous pouvez en avoir un ou plusieurs.

Nom du système Il s'agit du nom du système auquel l'ID Firefighter est autorisé à accéder.

RemarqueCette zone s'affiche uniquement pour firefighting centralisé.

Détenteur ID Firefighter Il s'agit du nom du détenteur de l'ID Firefighter.

Statut Vert indique que vous pouvez utiliser l'ID Firefighter.

Rouge indique que l'ID Firefighter est utilisé par un autre Firefighter. Vous pouvez choisir d'informer le Firefighter à l'aide du bouton de commande Message au Firefighter.

ID Firefighter utilisé par Il s'agit du Firefighter utilisant actuellement l'ID Firefighter.

Description Il s'agit de la description de l'ID Firefighter.

Connexion Utilisez ce bouton de commande pour vous connecter au système.

Message au Firefighter Utilisez ce bouton pour envoyer un message pré-formaté au Firefighter que vous voulez pour utiliser l'ID Firefighter après exécution.

Activité supplémentaire Après avoir sélectionné Connexion, vous devez saisir une description des activités que vous avez l'intention d'effectuer. Vous devez avoir effectué des activités supplémentaires, sélectionnez le bouton Activité Supplémentaire pour ouvrir l'écran Code de motif et saisissez les informations supplémentaires dans la zone Activité supplémentaire.

Débloquer Utilisez ce bouton pour fermer la session de firefighting et permettre à d'autres d'utiliser l'ID Firefighter.

Procédure

1. Dans SAP GUI, saisissez la transaction (GRAC_EAM OU /GRCPI/GRIA_EAM) pour ouvrir la Barre de lancement de GAU.

2. A l'écran Barre de lancement de GAU, recherchez l'ID Firefighter pertinent et sélectionnez le bouton Connexion.

L'écranCodes de motifs'affiche.3. Dans la zone Codes de motif, sélectionnez le code de motif pertinent et saisissez toute information

supplémentaire le cas échéant.


4. Dans la zone disponible, saisissez les actions que vous avez l'intention d'effectuer.5. Sélectionnez le bouton Exécuter pour vous connecter.

7.7 Révision des activités et des états d'accès d'urgence

Contexte

L'administrateur, le responsable de processus de gestion et le contrôleur doivent avoir un processus formalisé de révision des activités d'accès d'urgence effectuées par des Firefighters. Ils peuvent utiliser les états suivants pour analyser les activités.

Procédure

1. Lire l'état de journal consolidé pour identifier des problèmes ou proposer des solutions.○ - C'est l'état le plus communément utilisé. Le contrôleur des ID Firefighter peut le recevoir par e-mail ou

par le biais du workflow. Sur cet état, ils peuvent voir quel ID Firefighter accède à quel système, quelles transactions ont été effectuées et les détails. La fréquence de livraison (quotidienne, hebdomadaire et ainsi de suite) peut être configurée d'après le besoin commercial.

2. Le cas échéant et s'ils disposent d'une autorisation, le responsable de processus de gestion, le contrôleur ou la personne responsable de la conformité peuvent créer ces états supplémentaires pour examiner les détails des activités d'accès d'urgence.○ - Cet état indique les types d'utilisateur pour l'accès d'urgence expirés, supprimés ou bloqués, par

exemple, les ID Firefighter, les contrôleurs ou les détenteurs.○ - Cet état saisit des données altérables du connecteur de système sélectionné pour des ID Firefighter.○ – Cet état affiche des données du connecteur système sélectionné pour chaque ID Firefighter. L'état liste

le motif et l'activité pour chaque événement de connexion.○ - Cet état saisit des données altérables du connecteur de système sélectionné pour des ID Firefighter et

des Firefighters. Il affiche le nombre et le type de transactions auxquels chaque ID Firefighter a accédé pour chaque Firefighter.

○ - Cet état fournit l'historique d'actions effectuées sur des tâches de révision de SoD y compris l'affirmation de l’atténuation.



8 Gestion des révisions d'accès périodiques

Utilisation

Ce processus explique comment les révisions d'accès périodiques sont définies et déployées.

Processus

1. Identifier des directives qui ont un impact sur des révisions d'accès périodiquesDans cette étape, les directives organisationnelles qui ont un impact sur des révisions d'accès périodiques sont identifiées et analysées pour garantir que les exigences en matière de directive sont prises en compte lorsque vous définissez le processus de révision. Cette étape est réalisée pour la révision initiale et pour des modifications de directive ou d’environnement seulement.

2. Définir des processus de révisionLes paramètres de processus de révision sont définis. Les exemples de paramètres incluent la fréquence de révision, les réviseurs et les utilisateurs ou l'accès à réviser. Cette étape est réalisée pour la révision initiale et pour des modifications de directive ou d’environnement seulement.

3. Identifier des données pour prendre en charge le processus de révisionDes données supplémentaires peuvent être requises pour prendre en charge le processus de révision. Par exemple si le réviseur dans la revue accès utilisateur est un gestionnaire, une source de données à partir de laquelle les informations relatives au gestionnaire sont extraites et collectées, doit être identifiée. Exécutez cette étape pour la révision initiale et pour des modifications de directive ou d’environnement seulement.

4. Préparer des informations de révisionUne fois toutes les données requises et les attributs de la révision définis, les revues accès utilisateur doivent être préparées pour être envoyées pour la révision

5. Effectuer la révisionChaque réviseur effectue la révision comme l'indique la directive.

6. Effectuer une action comme indiquéEn fonction des exigences en matière de directive, approuvez l'accès continu ou la suppression de la demande pour chaque utilisateur.

7. Retenir les résultats de révisionRetenez les résultats des révisions d'accès à des fins d'audit.

Résultat

Un processus de révision d'accès périodique est défini et déployé en fonction de la directive.

SAP Access ControlGestion des révisions d'accès périodiques P U B L I C 201

8.1 Révisions de certification de conformité

Utilisation

Les administrateurs peuvent planifier des révisions périodiques d'accès utilisateur et de risques de séparation des tâches (SoD). Pendant ces révisions, SAP GRC Access Control envoie automatiquement des demandes de révision aux gestionnaires désignés et aux réviseurs dans un workflow prédéfini qui est personnalisé pour l'entreprise. Les révisions de certification de conformité vous permettent de terminer ces révisions périodiques pour garantir que l'accès utilisateur et les risques de SoD sont correctement gérés dans votre organisation.

Dans le contrôle d'accès, les coordinateurs sont responsables de vérifier que tous les réviseurs (gestionnaires ou détenteurs du rôle) effectuent des révisions d'accès d'utilisateur et de risque de SoD. Dans le cadre de vos révisions de certification de conformité, vous pouvez réviser les demandes qui n'ont pas de réviseur ou de coordinateur affecté et affecter les réviseurs et coordinateurs correspondants si nécessaire.

Vous pouvez aussi gérer des mappages coordinateur-à-réviseur dans le cadre de vos révisions de certification de conformité, y compris créer, importer, modifier et supprimer ces mappages, si nécessaire. Finalement, vous pouvez gérer des refus, y compris rechercher des utilisateurs refusés, générer des demandes de révision et annuler des générations de demande de révision (pour des demandes qui n'ont pas été terminées).

Fonctionnalités

Vous pouvez terminer les tâches suivantes lorsque vous effectuez des révisions de certification de conformité :

● Affecter des coordinateurs aux réviseurs● Réviser des demandes● Gérer des refus


Gestion de coordinateurs [page 202]

Gestion de refus [page 207]

8.1.1 Gestion de coordinateurs

Utilisation

Dans le cadre de votre révision de certification de conformité, vous pouvez affecter des coordinateurs aux réviseurs et gérer ces relations pour aider à surveiller les révisions d'accès utilisateur. Access Control utilise les informations relatives aux coordinateurs pour les révisions de séparation des tâches et d'accès utilisateur et pour générer des états que vous pouvez utiliser lors de la gestion du processus de révision.


Gestion des révisions d'accès périodiques

A l'aide de l'écran Gérer coordinateurs, vous pouvez effectuer les tâches suivantes :

● Créer ou importer les mappages coordinateur-à-réviseur● Rechercher et afficher les mappages coordinateur-à-réviseur existants● Modifier des mappages coordinateur-à-réviseur actuels● Supprimer les mappages coordinateur-à-réviseur existants● Exporter les mappages coordinateur-à-réviseur vers une feuille de calcul Microsoft Excel


Création de mappages de coordinateur [page 203]

Modification de coordinateurs [page 204]

Recherche de coordinateurs [page 205]

8.1.1.1 Création de mappages de coordinateur

Utilisation

Vous pouvez manuellement affecter des coordinateurs aux réviseurs ou importer plusieurs mappages coordinateur-à-réviseur, à l'aide des fonctions sur l'écran Gérer coordinateurs.

Procédure

Pour affecter des coordinateurs aux réviseurs :

1. Sélectionnez Gestion des accès Révisions de certification de conformité Gérer coordinateurs . L'écran Gérer coordinateurs apparaît.

2. Cliquez sur le bouton de commande Créer. L'écran Créer mappage s'affiche.3. Saisissez ou sélectionnez l'ID coordinateur.4. Saisissez ou sélectionnez l'ID réviseur.5. Sélectionnez Sauvegarder.6. Sélectionnez Fermer. Le mappage apparaît dans la table sur l'écran Gérer coordinateurs.

Pour importer des mappages coordinateur-à-réviseur :


2. Sélectionnez le bouton de commande Importer. L'écran Importer des coordinateurs apparaît.3. Saisissez ou sélectionnez le fichier à l'aide de la zone Sélectionner fichier.4. Sélectionnez Sauvegarder.5. Sélectionnez Fermer. Les mappages apparaissent dans la table sur l'écran Gérer coordinateurs.



8.1.1.2 Modification de coordinateurs

Contexte

Vous pouvez modifier des mappages coordinateur-à-réviseur ou supprimer un mappage, à l'aide de l'écran Gérer coordinateurs.

Procédure

Pour modifier un mappage coordinateur-à-réviseur :


2. Sélectionnez le mappage que vous voulez modifier et sélectionnez le bouton de commande Ouvrir. L'écran Modifier le mappage s'affiche.

3. Saisissez ou sélectionnez un nouveau ID du coordinateur, si nécessaire.4. Saisissez ou sélectionnez un nouveau ID réviseur, si nécessaire.5. Sélectionnez Sauvegarder.6. Sélectionnez Fermer. Le mappage mis à jour apparaît dans la table sur l'écran Gérer coordinateurs.

Pour supprimer un mappage coordinateur-à-réviseur :


8. Sélectionnez le mappage que vous voulez supprimer, puis le bouton de commande Supprimer. Une boîte de dialogue de confirmation s'affiche.

9. Sélectionnez Oui.

Étapes suivantes



8.1.1.3 Recherche de coordinateurs

Contexte

Vous pouvez rechercher des mappages coordinateur-à-réviseur et exporter les résultats vers une feuille de calcul Microsoft Excel, à l'aide de l'écran Gérer coordinateurs.

Procédure


2. Sélectionnez le lien Filtre. Une ligne vide apparaît au début de la table.3. Saisissez les valeurs appropriées dans les colonnes correspondantes et appuyez sur Entrée. La table affiche

les résultats filtrés basés sur les valeurs que vous avez saisies.

4. Pour exporter les résultats vers une feuille de calcul Microsoft Excel, sélectionnez Exporter Exporter vers Microsoft Excel .

Sélectionnez Sauvegarder, naviguez jusqu'au dossier approprié et sélectionnez Sauvegarder à nouveau.

Étapes suivantes


8.1.2 Réviser les demandes

Prérequis

Vous devez planifier et exécuter les activités suivantes à l'aide de l'Ordonnanceur en arrière-plan avant de réviser les demandes :

● Générer des données pour la révision de RAU de demande d'accès● Générer des données pour la révision de SoD de demande d'accès

Vérifiez que vous avez aussi planifié les activités suivantes à l'aide de l'Ordonnanceur en arrière-plan :

● Mettre à jour workflow pour demande RAU (revue accès utilisateur)● Mettre à jour workflow pour demande SoD

Contexte

3.Vous pouvez réviser des demandes, y compris l'accès d'utilisateur et les risques de séparation des tâches (SoD), à l'aide des fonctions sur l'écran Révision de la demande. A l'aide de cet écran, vous pouvez vérifier que les demandes ont un réviseur ou un coordinateur affecté et modifier les réviseurs ou annuler des demandes.

Remarque

Dans l'activité IMG Gérer options de configuration sous Governance, Risk, and Compliance SAP GRC Access Control , vérifiez que le paramètre Révision revue accès utilisateur (2007) est activé sur OUI. Cela indique qu'un administrateur doit réviser des demandes avant que les demandes n'arrivent aux réviseurs. Si le paramètre est activé sur NON, les demandes sont transmises directement aux réviseurs (gestionnaires ou détenteurs du rôle).

Procédure

1. Sélectionnez Gestion des accès Révisions de certification de conformité Révision de demande .

L'écran Révision de demande s'ouvre.2. Indiquez les critères de recherche.


1. Sélectionnez le Type de processus à l'aide de la liste déroulante, dans ce qui suit :○ Workflow de révision de l'accès utilisateur○ Workflow de révision des risques de séparation des tâches

2. Sélectionnez le Type de demande à l'aide de la liste déroulante.



3. Saisissez ou sélectionnez l'ID utilisateur.4. Saisissez ou sélectionnez l'ID réviseur.5. Saisissez ou sélectionnez l'ID coordinateur.

Pour n'indiquer aucun coordinateur, sélectionnez la case à cocher Aucun coordinateur.6. Saisissez ou sélectionnez la Date début/fin dans les zones correspondantes.7. Saisissez l'ID de job.8. Indiquez le nombre maximum de résultats dans la zone Nombre maximal de recherches.

3. Sélectionnez Rechercher. Les résultats de la recherche apparaissent dans la table Affectations.4. Pour modifier des réviseurs, sélectionnez une affectation et sélectionnez le bouton de commande Modif.

réviseurs. La boîte de dialogue Affecter des réviseurs apparaît.

Sélectionnez des réviseurs et coordinateurs de plus dans la liste Disponible et sélectionnez le bouton de commande de flèche vers la droite pour déplacer l'entrée dans la liste Sélectionnée. Après avoir affecté les réviseurs, sélectionnez OK.

5. Pour annuler une demande, sélectionnez une affectation et sélectionnez le bouton de commande Annuler demande.

Une boîte de dialogue de confirmation s'affiche. Sélectionnez Oui pour marquer les utilisateurs comme refusés pour la génération de demande.

Étapes suivantes

Révisions de certification de conformité [page 202]


Gestion de refus [page 207]

Ordonnanceur en arrière-plan [page 32]

8.1.3 Gestion de refus

Contexte

Vous pouvez gérer des refus, y compris rechercher des utilisateurs refusés, générer des demandes de révision et annuler des générations de demande de révision (pour les demandes qui n'ont pas été terminées), à l'aide des fonctions sur l'écran Gérer les refus.

RemarqueVous planifiez et exécutez l'activité Génère une nouvelle demande pour demande rejetée par revue accès utilisateurr à l'aide du Planificateur de jobs d'arrière-plan après avoir géré les refus.


Procédure

1. Sélectionnez Gestion des accès Révisions de certification de conformité Gérer les refus .

L'écran Gérer les refus s'ouvre.2. Indiquez les critères de recherche.


1. saisissez ou sélectionnez la Date de début et Date de fin, le cas échéant.2. Sélectionnez le Statut à l'aide de la liste déroulante correspondante, dans ce qui suit :

○ Nouvelles -demandes soumises par le réviseur.○ Erreur -Le job d'arrière-plan de génération a rencontré une erreur.○ Générer -L'utilisateur est marqué pour la nouvelle génération, mais le job d'arrière-plan de génération

n'a pas commencé. Vous pouvez cliquer sur Annuler la génération pour annuler la génération de demande.

○ En cours de traitement -L'ordre de génération en arrière-plan a commencé mais n'est pas terminé. Vous ne pouvez pas annuler les demandes avec ce statut parce que le job d'arrière-plan a commencé.

○ Clôturé -Le job d'arrière-plan de génération est terminé. Le numéro de la nouvelle demande est mis à jour.

3. Sélectionnez la Raison dans la liste déroulante correspondante.4. Sélectionnez le type de processus dans la liste déroulante correspondante.

3. Sélectionnez Rechercher. Les résultats de la recherche apparaissent dans la table.4. Pour générer une demande, sélectionnez un refus dans la table et sélectionnez le bouton de commande

Générer demandes.

Avant de générer les demandes pour les utilisateurs refusés, assurez-vous que les utilisateurs aient l'information de réviseur correcte. Cette précaution évite que le cycle de demande ne contienne de nouveau des informations incorrectes. Par exemple, si l'information de réviseur est enregistrée dans une source de données de LDAP et qu'elle est incorrecte, vous devez mettre à jour l'information dans la source de données de LDAP pour que les nouvelles demandes soient générées avec le nom de réviseur correct.

RemarqueSi vous sélectionnez des demandes multiples pour la génération dans lesquelles quelques-unes des demandes sont regroupées par utilisateur et d'autres sont regroupées par détenteur de rôle/du risque, le système ne combine pas les demandes lors de la génération.

ExemplePrenez en compte le cas lorsqu'une demande est regroupée par détenteur de risque/rôle et par gestionnaire :

○ Demande regroupée par détenteur de risque/propriétaire :○ Risk1 User1○ Risk2 User1

○ Demande regroupée par gestionnaire :○ User1 Role1○ User2 Role2



Dans ce cas, si vous sélectionnez les quatre demandes pour la génération (avec regroupement par gestionnaire), vous pouvez vous attendre aux résultats suivants :

○ Demande regroupée par détenteur de risque/propriétaire :○ Risk1 User1 - 5 est le nouveau numéro de demande○ Risk2 User1 - 5 est le nouveau numéro de demande

○ Demande regroupée par gestionnaire :○ User1 Role1 - 6 est le numéro de demande○ User2 Role2 - 7 est le numéro de demande

5. Pour annuler une génération, sélectionnez un refus dans la table et sélectionnez le bouton de commande Annuler génération.

Vous pouvez annuler des générations uniquement pour des refus ayant le statut Générer. Une fois que le statut de la demande est En cours de traitement, le job d'arrière-plan a commencé et la demande ne peut pas être annulée.

6. Pour exporter les résultats vers une feuille de calcul Microsoft Excel, sélectionnez Exporter Exporter vers Microsoft Excel .

Sélectionnez Sauvegarder, naviguez jusqu'au dossier approprié et sélectionnez Sauvegarder à nouveau.

Étapes suivantes

Révisions de certification de conformité [page 202]


Réviser les demandes [page 206]

8.2 Alertes

Utilisation

Quand un utilisateur exécute des actions critiques ou en conflit, le système peut envoyer une alerte d'escalade au personnel approprié. Vous pouvez utiliser la caractéristique Alertes pour surveiller les alertes d'accès en conflit et critiques et de contrôle d'atténuation, le cas échéant.

Vous pouvez plus particulièrement effectuer les tâches suivantes :

● Rechercher et filtrer des alertes à afficher● Acquitter des alertes● Rechercher et filtrer des alertes acquittées







8.2.1 Recherche d'alertes

Contexte

Vous pouvez rechercher les types suivants d'alertes :


Procédure


L'écran Alertes d'accès critiques et en conflit ou Alertes de contrôle d'atténuation s'ouvre.2. Indiquez les critères de recherche.


Pour Alertes contrôle d'atténuation, vous pouvez choisir entre les types d'objet suivants :○ Action○ Système○ ID de contrôle



○ Date/Heure exécutée○ ID utilisateur○ Date/Heure alerte

2. Sélectionnez l'opérateur à l'aide de la deuxième liste déroulante, parmi les propositions suivantes :○ est○ n'est pas○ commence par○ contient○ se situe entre○ Sélections multiples





la zone Sauvegarder variante comme et en sélectionnant Sauvegarder.

Étapes suivantes

Alertes [page 128]




8.2.2 Alertes acquittées

Utilisation

Une fois qu'un message d'alerte a été livré et acquitté ou supprimé, il est conservé en tant qu'enregistrement archivé. Vous pouvez poursuivre le suivi de ces alertes à l'aide de l'onglet Alertes acquittées des écrans Alertes de risque de conflit et de risque critique et Contrôles d'atténuation.


Alertes [page 128]





8.2.2.1 Acquittement d'alertes

Contexte

Vous pouvez acquitter les types suivants d'alertes, le cas échéant :


Procédure


L'écran Alertes d'accès critiques et en conflit ou Alertes de contrôle d'atténuation s'ouvre.2. Indiquez les critères de recherche.3. Sélectionnez Rechercher.

Les résultats de la recherche apparaissent dans la table.4. Sélectionnez l'alerte pour annuler en sélectionnant la boîte à gauche et sélectionnez Acquitter l'alerte.

La fenêtre de dialogue Acquitter l'alerte apparaît.5. Saisissez une raison pour acquitter l'alerte et sélectionnez OK.

L'alerte est acquittée. Vous pouvez afficher des alertes acquittées à l'aide de l'onglet Alertes acquittées. Pour plus d'informations, voir .

Étapes suivantes

Alertes [page 128]






8.2.2.2 Recherche d'alertes acquittées

Contexte

Vous pouvez rechercher les types suivants d'alertes acquittées :


Procédure


L'écran Alertes d'accès critiques et en conflit ou Alertes de contrôle d'atténuation s'ouvre.2. Sélectionnez l'onglet Alertes acquittées.3. Indiquez les critères de recherche.


Pour Alertes contrôle d'atténuation, vous pouvez choisir entre les types d'objet suivants :○ Action○ Système○ ID de contrôle○ Date/Heure exécutée○ ID utilisateur○ Date/Heure alerte

2. Sélectionnez l'opérateur à l'aide de la deuxième liste déroulante, parmi les propositions suivantes :○ est○ n'est pas○ commence par○ contient


○ se situe entre○ Sélections multiples





la zone Sauvegarder variante comme et en sélectionnant Sauvegarder.6. Pour afficher la raison pour laquelle une alerte a été acquittée, sélectionnez le lien Commentaires dans la zone

Raison pour l'alerte correspondante.

Le dialogue Acquitter l'alerte apparaît en affichant la raison. Sélectionnez Annuler pour écarter le dialogue.

Étapes suivantes

Alertes [page 128]






9 Etats et analyses

Le poste de travail Etats et analyses fournit un emplacement central pour afficher des états et des tableaux de bord pour les informations SAP GRC Access Control, comme les alertes, l'analyse d'utilisateur, les rapports d'audit etc.

RemarqueLe poste de travail Etats et analyses est partagé par les produits SAP GRC Access Control, SAP GRC Process Control et Risk Management dans l'application GRC. Les groupes de menus et les alias disponibles sur l'écran sont déterminés par les applications pour lesquelles vous détenez une licence. Le contenu dans cette rubrique couvre les fonctions spécifiques à SAP GRC Access Control.

Table 29 :

Catégorie Description

Tableaux de bord d'accès Tableaux de bord pour l'analyse de risque d'accès, la gestion de rôle utilisateur et la gestion des accès utilisateurs

Etats d'analyse des risques d'accès Etats liés à l'analyse de risque d'accès, y compris des violations de risque d'utilisateur, des violations de risque de rôle, des violations de risque de profil et des violations de risque d'objet RH.

Etats de demande d'accès Etats liés aux demandes d'accès, y compris le niveau de service pour des demandes et des demandes avec conflits et atténuation

Etats de la gestion des rôles Etats liés à la gestion de rôle, y compris des relations entre les rôles et les utilisateurs et des relations entre les rôles de base-à-dérivés

Etats de sécurité Etats liés à l'utilisateur, au rôle et à la sécurité de profil

Etats de vérification Etats en rapport avec l'audit, y compris des actions dans des rôles (mais pas dans des règles) et des approbations dans des rôles (mais pas dans des règles)

Etats de gestion des accès utilisateur d'urgence Etats liés à des activités de superutilisateur, y compris des superutilisateurs non valides et des journaux consolidés

SAP Access ControlEtats et analyses P U B L I C 215

9.1 Tableaux de bord d'accès

SAP GRC Access Control fournit les tableaux de bord suivants :

● Tableau de bord d'attribution de privilèges d'accès [page 217]Ce tableau de bord affiche le nombre de rôles affectés à des demandes individuelles ou supprimés de ces dernières, regroupés par action de rôle en une seule vue. Dans une autre vue, il affiche le nombre total d'utilisateurs traités regroupés par action utilisateur.

● Tableau de bord de demandes d'accès [page 218]Ce tableau de bord affiche des demandes d'accès par statut et par type à l'aide des nombreux critères de filtrage comme la date, le système et la priorité.

●Ce tableau de bord affiche des vues de règles par niveau du risque et processus de gestion. Vous pouvez regrouper les résultats par divers critères, par exemple l'action et l'approbation.

● Tableau de bord des alertes [page 219]Ce tableau de bord affiche des alertes par mois et des alertes de séparation des tâches par processus.

● Tableau de bord de bibliothèque de contrôles d'atténuation [page 220]Ce tableau de bord affiche des contrôles par niveau du risque et des contrôles par processus.

● Tableau de bord de violations de risque [page 221]Le tableau de bord affiche le nombre de violations de risque d'accès par rôle, utilisateur ou profil pour tous les systèmes ou pour un système sélectionné. Il affiche le nombre total d'utilisateurs analysés et le nombre total de violations.

● Tableau de bord d'analyse de rôle [page 223]Ce tableau de bord affiche le nombre de rôles atténués sans et avec violations de risque par niveau de gravité de ces violations. Il affiche également un éclatement des violations SoD au format diagramme, au niveau du rôle et au niveau de l'utilisateur pour le système sélectionné.

● Tableau de bord de Bibliothèque de rôles [page 224]Ce tableau de bord affiche tous les rôles dans votre application. Il affiche le nombre total de rôles et le nombre de rôles avec des violations.

● Niveau de service pour tableau de bord de demandes d'accès [page 225]Ce tableau de bord affiche le nombre de demandes par mois/année et le nombre de violations de niveau de service.

● Tableau de bord d'analyse pour utilisateur [page 226]Ce tableau de bord affiche le nombre d'utilisateurs atténués ou qui ont des violations de risque par degré de gravité. Il affiche également une ventilation du nombre d'utilisateurs avec actions critiques et profils de rôle critiques.

● Tableau de bord de comparaisons de violations [page 227]Ce tableau de bord affiche par trimestre ou par mois les violations de risque ainsi que l'avancement de correction SoD complété pour chaque type d'analyse sous forme de pourcentage graphique à partir d'une certaine date.

● Violation de risque dans tableau de bord de demande d'accès [page 228]Ce tableau de bord affiche des violations de risque d'accès regroupées par violations et atténuation. Il affiche également des détails de violation de risque d'accès.


Etats et analyses

9.1.1 Tableau de bord d'attribution de privilèges d'accès

Utilisation

Le Tableau de bord d'attribution de privilèges d'accès affiche les deux vues suivantes :

● Affectation affectée ou suppriméeCe tableau de bord affiche le nombre de rôles affectés à des demandes individuelles ou supprimées de ces dernières, regroupés par action de rôle.

● Utilisateurs traitésCe tableau de bord affiche le nombre total d'utilisateurs traités regroupés par action utilisateur.

Vous pouvez filtrer les résultats en fonction des critères suivants :

● Date de début● Date de fin● Système

Le tableau de bord affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage.

● Approbateur● Type de salarié● Emplacement● Type de processus

Vous cliquez sur l'histogramme pour effectuer une analyse descendante des informations détaillées. Vous pouvez utiliser Imprimer pour créer un fichier PDF ou Exporter pour télédécharger les résultats détaillés des demandes pour lesquelles des rôles ont été affectés ou supprimés.

Fonction Analyse descendante

A l'écran d'analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute l'entreprise ; tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous êtes autorisé uniquement à afficher l'Amérique du Nord.

RemarquePour afficher les données de demande d'accès dans l'état, vous devez être affecté à un rôle avec une autorisation d'affichage des objets de demande d'accès.



9.1.2 Tableau de bord de demandes d'accès

Utilisation

Le tableau de bord de demande d'accès affiche les demandes d'accès par statut et type à l'aide les critères de filtre suivants :

● Dates de début/fin● Système


● Type de processus● Priorité● Domaine fonctionnel● Type de demande● Statut

Le diagramme à secteurs divise les demandes en catégories suivantes :

● Approuvé● Annulé● Décision en attente● Refusé


Vous effectuez une analyse descendante des informations détaillées en cliquant sur un domaine spécifique du diagramme à secteurs. A l'écran d'analyse descendante l'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, à l'écran de tableau de bord principal, les totaux de toute l'entreprise s'affichent ; tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous êtes autorisé uniquement à afficher l'Amérique du Nord.




Etats et analyses

9.1.3 Tableau de bord de bibliothèque des règles d'accès

Utilisation

Le Tableau de bord de bibliothèque des règles d'accès affiche les vues de Règles par Niveau du risque et Processus de gestion. Vous pouvez regrouper les résultats en fonction des critères suivants :

● Action● Approbation● Action critique● Approbation critique● Risque d'accès

Ce tableau de bord affiche également le nombre de risques actifs, le nombre de risques désactivés et le nombre de fonctions.

Vous cliquez sur le camembert ou l'histogramme pour effectuer une analyse descendante des informations détaillées. Vous pouvez utiliser Exporter pour télédécharger les détails.

Fonction d'analyse descendante

Vous effectuez une analyse descendante des informations détaillées en cliquant sur un domaine spécifique du camembert ou de l'histogramme. Sur l'écran Analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, à l'écran de tableau de bord principal, les totaux de toute l'entreprise s'affichent ; tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous êtes autorisé uniquement à afficher l'Amérique du Nord.


9.1.4 Tableau de bord des alertes

Utilisation

Le Tableau de bord des alertes affiche les deux vues suivantes :

● Alertes par moisCe tableau de bord affiche un graphique linéaire représentant le nombre d'alertes générées pendant la période que vous indiquez. Vous pouvez demander à voir les types d'alertes suivants : Tout, Atténuation ou SOD. Vous pouvez effectuer une analyse descendante des cercles pour afficher les détails d'alerte à des points spécifiques de la ligne.

● Alertes SOD par processusCe tableau de bord affiche le nombre total d'alertes SOD confuses par processus de gestion à la fois sous forme de tableau et d'histogramme. Les résultats sont filtrés par période et type d'alerte. Vous pouvez cliquer sur le tableau ou l'histogramme pour afficher les détails de l'état.


Vous pouvez utiliser Imprimer pour créer un fichier PDF des résultats détaillés ou vous pouvez utiliser Exporter pour télédécharger les résultats détaillés dans un calcul avec tableur Microsoft Excel.


Vous effectuez une analyse descendante des informations détaillées en cliquant sur un domaine spécifique du graphique linéaire, du diagramme à secteurs ou du tableau. A l'écran d'analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute l'entreprise ; tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous êtes autorisé uniquement à afficher l'Amérique du Nord.


9.1.5 Tableau de bord de bibliothèque de contrôles d'atténuation

Utilisation

Le Tableau de bord de bibliothèque de contrôles d'atténuation affiche les deux vues suivantes :

● Contrôles par niveau de risqueCe tableau de bord affiche le nombre total de contrôles par niveau de risque Critique, Elevé, Moyen et Faible. Il affiche également le nombre de contrôles actifs et inactifs. Vous pouvez décider d'afficher toutes les organisations ou une organisation spécifique. Vous cliquez sur une tranche du diagramme circulaire pour afficher les détails.

● Contrôles par processusCe tableau de bord affiche le nombre total de contrôles par processus de gestion. Vous cliquez sur un domaine de l'histogramme pour afficher les détails de chaque processus de gestion.



Vous effectuez une analyse descendante des informations détaillées en cliquant sur le diagramme circulaire, l'histogramme ou le tableau. A l'écran d'analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute l'entreprise ; tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous êtes autorisé uniquement à afficher l'Amérique du Nord.



Etats et analyses

9.1.6 Tableau de bord de violations de risque

Utilisation

Le Tableau de bord de violations de risque affiche le nombre de Violations de risque d'accès par rôle, utilisateur ou profil pour tous les systèmes ou pour un système sélectionné. Il affiche le nombre total d'utilisateurs analysés et le nombre total de violations.

Le Tableau de bord de violations de risque affiche les violations de risque d'accès à l'aide des critères de filtre suivants :

● Mois/Année● Système

Seuls les systèmes pour lesquels vous disposez d'une autorisation, s'affichent.● Type d'analyse● Groupe d'utilisateurs● Nombre violations par

La moitié inférieure du Tableau de bord de violations de risque affiche les violations de risque par processus de gestion.

Fonctionnalités

Exécution de l'analyse des risques à partir de l'état

Vous accédez aux informations détaillées en cliquant sur le camembert, la légende ou l'histogramme.

1. Sélectionnez le graphique, la légende ou le diagramme.2. Analysez les informations détaillées.

RemarqueA l'écran d'analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute l'entreprise ; tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent.

3. Le cas échéant, vous pouvez aussi sélectionner le bouton de commande Exécuter analyse de risques. Ce qui produit l'état Analyse descendante de violations de risques.

4. Définissez la façon d'exécuter l'état (Exécuter en avant-plan ou Exécuter en arrière-plan). Si vous sélectionnez Exécuter en arrière-plan, l'écran Ordonnanceur de jobs d'arrière-plan s'affiche et vous pouvez saisir vos choix d'ordonnancement.

Remarque

Pour afficher le statut des jobs d'arrière-plan, naviguez jusqu'à Gestion des accès OrdonnancementJobs d'arrière-plan .

5. Définissez si vous souhaitez exécuter les tâches en Temps réel ou Hors ligne.


6. Dans la vue de correction détaillée résultante, vous pouvez affecter un contrôle d'atténuation dans la colonne ID de risque ou ID de règle ou supprimer un rôle dans la colonne ID de règle.



9.1.6.1 Vue de correction

Prérequis

Vous devez avoir déjà sélectionné vos paramètres et Exécuter analyse des risques de l'état initial pour voir la vue de correction détaillée. Vous pouvez accéder à cette fonctionnalité à partir de :

● Accédez à la Vue de correction de Poste de travail Etats et analyses Accéder aux tableaux de bord Tableau de bord de violations de risque [page 221] et Tableau de bord d'analyse d'utilisateur [page 226].

● Accédez à la vue de correction à partir de Gestion des accès Analyse de risque d'accès Analyse de risque d'accès niveau utilisateur [page 99]

Remarque


Contexte

La vue de correction identifie graphiquement les violations de risque d'accès et permet aux utilisateurs de prendre des décisions informées. Vous pouvez effectuer une action de correction directement des résultats de l'analyse de risque d'accès au niveau de l'utilisateur. Vous pouvez initialiser un workflow pour mettre à jour des affectations d'autorisations d’utilisateur ou de rôle, de dates de validité et atténuer l'accès.

Le type d'état que vous voyez (Correction, Vue de gestion ou technique) du tableau de bord dépend du de la valeur par défaut sélectionnée par votre Administrateur système. Des Activités IMG (transaction SPRO), Guide d'implémentation Customizing SAP Governance, Risk and Compliance Contrôle d'accès Gérer options de configuration . Le paramètre qui doit être activé est 1050, Vue d'état par défaut pour l'analyse des risques. A l'écran Analyse des risques : niveau utilisateur, vous pouvez aussi modifier la vue.


Etats et analyses

Procédure

1. Analysez l'état. Pour plus d'informations, sélectionnez les entrées dans les colonnes Utilisateur, Risque, ID de règle et Accès. Un panneau latéral apparaît avec des informations détaillées pour chacune des entrées.

2. Définissez comment atténuer le risque. De la vue de correction, vous pouvez :○ Affecter un contrôle d'atténuation dans la colonne Risque (appliquer à toutes les règles) ou la colonne ID

de règle (pour une règle). Sélectionner l'icône d'atténuation pour accéder à l'écran Affecter contrôles d'atténuation.

RecommandationPour plus d'informations, voir Atténuation de risques [page 42].

○ Supprimer un rôle dans la colonne Accès. Sélectionnez l'icône d'atténuation pour effectuer cette fonctionnalité.

RecommandationPour de plus amples informations, reportez-vous à Gestion des rôles [page 141].

3. Une fois les actions exécutées, des icônes illustrant le statut existent.○ Le vert indique que l'action est terminée.○ Le jaune indique que l'action est en cours d'exécution.○ Le rouge indique qu'il y a un problème.

9.1.7 Tableau de bord d'analyse de rôle

Utilisation

Le Tableau de bord d'analyse de rôle affiche les deux vues suivantes :

● Séparation des tâchesCe tableau de bord affiche le nombre de rôles atténués sans et avec violations de risque par niveau de gravité de ces violations. Pour les filtres indiqués, il affiche également :○ Le nombre d'utilisateurs analysés○ Les utilisateurs sans violations○ Les utilisateurs avec violations

Vous pouvez filtrer les résultats en fonction des sélections suivantes :○ Mois/Année○ Système

Le système affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation.○ Type d'analyse○ Nombre de violations par risque d'accès ou approbation

Le tableau de bord génère un camembert affichant les violations critiques, élevées, moyennes et Aucune violation ainsi que les rôles atténués.Vous pouvez effectuer une analyse descendante des domaines du camembert pour afficher les détails des rôles analysés.


● Violations de risques d'accès par rôle et utilisateurCe tableau de bord affiche un éclatement des violations SoD au format diagramme, au niveau du rôle et au niveau de l'utilisateur pour le système sélectionné. Vous pouvez effectuer une analyse descendante du graphique pour plus de détails.



Vous effectuez une analyse descendante des informations détaillées en cliquant sur un domaine spécifique du camembert ou de l'histogramme. A l'écran d'analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute l'entreprise ; tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous êtes autorisé uniquement à afficher l'Amérique du Nord.


9.1.8 Tableau de bord de la bibliothèque de rôles

Utilisation

Le Tableau de bord de la bibliothèque de rôles affiche tous les rôles dans votre application. Il affiche le nombre total de rôles et le nombre de rôles avec des violations. Deux vues existent :

● Rôles entreprise regroupés par type de rôle● Rôles regroupés par processus de gestion


● Type de système● Infrastructure système● Détenteur du rôle

Vous cliquez sur le camembert, l'histogramme ou la table pour effectuer une analyse descendante des informations détaillées.

Fonction d'analyse descendante

Vous effectuez une analyse descendante des informations détaillées en cliquant sur un domaine spécifique du camembert ou de l'histogramme. A l'écran d'analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, à l'écran de tableau de bord principal, les totaux de toute l'entreprise s'affichent ; tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous êtes autorisé uniquement à afficher l'Amérique du Nord.


Etats et analyses


9.1.9 Niveau de service pour tableau de bord de demandes d'accès

Utilisation

L'écran Niveau de service pour tableau de bord de demandes d'accès affiche les deux vues suivantes :

● Nombre de demandes par mois/année● Violation du niveau de service

Vous pouvez utiliser les postes suivants pour filtrer vos résultats :

● Date● Système


● Type de demande● Type de processus● Priorité● Domaine fonctionnel● ANS

Les tableaux de bord affichent les résultats sous forme de graphique linéaire. Vous pouvez cliquer sur le début ou la fin de la ligne pour afficher les résultats détaillés par numéro de demande.

RemarqueVous pouvez utiliser Imprimer pour créer un fichier PDF des résultats détaillés ou vous pouvez utiliser Exporter pour télédécharger les résultats détaillés dans un calcul avec tableur Microsoft Excel.


Vous effectuez une analyse descendante des informations détaillées en cliquant à la fin du graphique linéaire. A l'écran d'analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute l'entreprise ; tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous êtes autorisé uniquement à afficher l'Amérique du Nord.




9.1.10 Tableau de bord d'analyse pour utilisateur

Utilisation

Le Tableau de bord d'analyse pour utilisateur affiche les deux vues suivantes :

● Séparation des tâchesCe tableau de bord affiche le nombre d'utilisateurs atténués ou qui ont des violations de risque par degré de gravité.Il affiche également le nombre d'utilisateurs analysés, les utilisateurs sans violations et les utilisateurs avec violations.

● Actions et rôles critiquesCe tableau de bord affiche une ventilation du nombre d'utilisateurs avec action critique et profils de rôle critique.


● Mois/Année● Système


● Groupe d'utilisateurs● Nombre violations par

Vous cliquez sur le camembert, la légende ou l'histogramme pour effectuer une analyse descendante dans la vue de correction. Vous pouvez utiliser Imprimer pour créer un fichier PDF ou Exporter pour télédécharger les résultats détaillés.

Fonctionnalités

Exécution de l'analyse des risques à partir de l'état

Vous accédez aux informations détaillées en cliquant sur le camembert, la légende ou l'histogramme.

1. Sélectionnez le graphique, la légende ou le diagramme.2. Analysez les informations détaillées.

RemarqueA l'écran d'analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute l'entreprise ; tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent.


Etats et analyses

3. Le cas échéant, vous pouvez aussi sélectionner le bouton de commande Exécuter analyse de risques. Ce qui produit l'état Analyse descendante de violations de risques.

4. Définissez la façon d'exécuter l'état (Exécuter en avant-plan ou Exécuter en arrière-plan). Si vous sélectionnez Exécuter en arrière-plan, l'écran Ordonnanceur de jobs d'arrière-plan s'affiche et vous pouvez saisir vos choix d'ordonnancement.

Remarque


5. Définissez si vous souhaitez exécuter les tâches en Temps réel ou Hors ligne.6. Dans la vue de correction détaillée résultante, vous pouvez affecter un contrôle d'atténuation dans la colonne

ID de risque ou ID de règle ou supprimer un rôle dans la colonne ID de règle.



9.1.11 Tableau de bord de comparaisons de violations

Utilisation

Le Tableau de bord de comparaisons de violations affiche les deux vues suivantes :

● Comparaison trimestrielle/mensuelleCe tableau de bord affiche trimestriellement ou mensuellement des violations de risque filtrées par les sélections suivantes :○ Type calendrier○ Dates de début/fin○ Système

Vous voyez uniquement les systèmes pour lesquels vous possédez une autorisation.○ Type d'analyse○ Nombre de violations par risque d'accès ou approbation

Fonction Analyse descendanteVous pouvez effectuer une analyse descendante des points sélectionnés du graphique linéaire pour afficher les détails des violations de risque à un moment donné.Vous effectuez une analyse descendante en cliquant sur un domaine spécifique du graphique linéaire. A l'écran d'analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute l'entreprise ; tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous êtes autorisé uniquement à afficher l'Amérique du Nord.


Vous pouvez utiliser Imprimer pour créer un fichier PDF des résultats détaillés ou vous pouvez utiliser Exporter pour télédécharger les résultats détaillés dans un calcul avec tableur.

● Avancement de la correctionCe tableau de bord affiche l'avancement de correction SoD complété pour chaque type d'analyse sous forme de pourcentage graphique à partir d'une certaine date.


9.1.12 Violation de risque dans tableau de bord de demande d'accès

Utilisation

La Violation de risque dans tableau de bord de demande d'accès affiche les deux vues suivantes :

● Violations de risque d'accès regroupées par violations et atténuation● Détails de violation de risque d'accès

Vous pouvez filtrer les résultats à l'aide des critères suivants :

● Date de début● Date de fin● Système

Seuls les systèmes pour lesquels vous disposez d'une autorisation, s'affichent.● Type de demande● Priorité● Domaine fonctionnel● Type de workflow

La moitié inférieure du tableau de bord affiche les violations de risque par criticité : Critique, Elevé, Moyen et Faible. Cliquez sur le diagramme circulaire, la table ou l'histogramme pour effectuer une analyse descendante des détails.

Vous pouvez utiliser Version d'impression pour créer un fichier PDF des résultats détaillés ou vous pouvez utiliser Exporter pour télédécharger les résultats détaillés dans un calcul avec tableur Microsoft Excel.


A l'écran d'analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute l'entreprise ; tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous êtes autorisé uniquement à afficher l'Amérique du Nord.


Etats et analyses



9.2 Etats Analyse des risques d'accès

SAP GRC Access Control propose les états d'analyse des risques suivants :

● Aperçu des règles d'accès [page 78]● Détail des règles d'accès [page 79]● Etat Contrôle d'atténuation [page 233]● Etat Violation de risque utilisateur [page 237]● Etat Violation de risque de rôle [page 235]● Etat Violation de risque de profil [page 234]● Etat Violation de risque de l'objet HR [page 232]● Etat Objet atténué [page 231]

9.2.1 Etat Aperçu de règle d'accès

Utilisation

Cet état liste les risques et les fonctions en conflit pour tous les types de risque.

Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :

● ID de risque d'accès● Description du risque d'accès● ID processus gestion● Ensemble de règles

RecommandationSi vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.


Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensembles de résultats pour télédécharger les données ou Version d'impression pour créer un fichier PDF.

Détails de l'état

L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à afficher les données d'Amérique du Nord.


9.2.2 Etat Détail de la règle d'accès

Utilisation

Cet état liste les risques, fonctions, codes de transaction et détails d'approbation liés pour tous les types de risque.


● SystèmeL'état affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage.

● ID utilisateur● Groupe d'utilisateurs● Fin de validité



Détails de l'état



Etats et analyses


9.2.3 Etat Objet atténué

Utilisation

Cet état affiche tous les Utilisateurs, Rôles, Profils atténués, toutes les Organisations utilisateurs, Organisations de rôle atténuées et les objets HR avec les contrôles d'atténuation associés.


● ID de contrôle d'atténuation● ID de règle d'accès● Système

L'état affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage.● Approbateur● Groupe d'utilisateurs● ID utilisateur● ID du moniteur● ID d'organisation● ID de risque d'accès● Niveau de risque● Statut● Début de validité du contrôle d'atténuation● Fin de validité du contrôle d'atténuation

En outre, vous pouvez décider d'effectuer l'état en fonction de l'un des éléments suivants :

● Utilisateur● Rôle● Profil● Organisation utilisateur● Organisation de rôles● Objet HR


Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensembles de résultats pour télédécharger les données.


Détails de l'état - L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à afficher les données d'Amérique du Nord.


9.2.4 Etat Violation de risque de l'objet HR

Utilisation

Cet état liste toutes les violations de risque pour des objets HR sélectionnés. Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :


● Type d'analyse● Type d'objet● ID d'objet● Niveau de risque● Ensemble de règles

L'état contient les options suivantes :

Table 30 :

Option Choix

Format ● Synthèse● Détail● Aperçu de gestion● Aperçu exécutif

Vue ● Technique● Gestion

Type Analyse de risque d'accès

● Niveau d'action● Action critique● Rôle/Profil critique● Niveau d'approbation● Autorisation critique


Etats et analyses

Option Choix

Critères supplémentaires ● Inclure les risques atténués● Afficher tous les objets


Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensembles de résultats pour télédécharger les données, Version d'impression pour créer un fichier PDF ou Atténuer le risque pour affecter des contrôles d'atténuation aux objets sélectionnés.

Détails de l'état – L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à afficher les données d'Amérique du Nord.


9.2.5 Etat Contrôle d'atténuation

Utilisation

Cet état liste tous les contrôles d'atténuation avec des détails de contrôle et des descriptions.


● ID de contrôle d'atténuation● Description synthétique● ID de risque d'accès● ID d'organisation






9.2.6 Etat Violation de risque de profil

Utilisation

Cet état liste toutes les violations de risque pour des profils sélectionnés. Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :


● Profil● Risque par processus● ID de risque d'accès● Niveau de risque● Ensemble de règles


Table 31 :

Option Choix




● Niveau d'action● Action critique● Rôle/Profil critique● Niveau approbation● Autorisation critique


Etats et analyses

Option Choix




Détails de l'état – L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à afficher les données d'Amérique du Nord.


9.2.7 Etat Violation de risque de rôle

Utilisation

Cet état liste toutes les violations de risque pour des rôles sélectionnés. Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :


● Profil● Risque par processus● ID de risque d'accès● Niveau de risque● Ensemble de règles



Table 32 :

Option Choix




● Niveau d'action● Action critique● Rôle/Profil critique● Niveau approbation● Autorisation critique




Détails de l'état




Etats et analyses

9.2.8 Etat Violation de risque utilisateur

Utilisation

Cet état liste toutes les violations de risque pour les utilisateurs sélectionnés. Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :


● Utilisateur● Groupe d'utilisateurs● Accéder à l'ID de risque● Groupe personnalisé● Niveau de risque● Ensemble de règles


Table 33 :

Option Choix

Format ● Synthèse● Détail● Synthèse de gestion● Synthèse exécutive

Vue ● Correction

RemarqueCette option permet d'affecter un contrôle d'atténuation, de supprimer ou de délimiter un rôle directement à partir de l'état.

● Technique● Gestion


● Niveau action● Action critique● Rôle/Profil critique● Niveau approbation● Autorisation critique





Détails de l'état

L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats d'état, vous pouvez voir uniquement les données liées à l'Amérique du Nord si ce sont les données pour lesquelles vous disposez d'une autorisation.


9.3 Etats Demande d'accès

SAP GRC Access Control propose les états de demande d'accès suivants :

● Etat Délégation d'approbateur [page 239]Cet état permet de rechercher des délégations spécifiques filtrées par Délégué pour ID utilisateur et Délégué à ID utilisateur parmi d'autres critères.

● Demandes par profils PD/structurels [page 239]Cet état permet de rechercher des demandes en indiquant les profils PD.

● Etat Demandes par rôles et approbateurs d'affectation de rôles [page 240]Cet état liste des demandes par rôles et approbateurs de rôle.

● Etat Demandes avec conflits et atténuations [page 241]Cet état liste les demandes avec conflits atténués et non atténués.

● Niveau de service pour l'état de demandes [page 242]Cet état liste des demandes par niveau de service.

● Etat Historique de révision SoD [page 243]Cet état fournit l'historique des actions effectuées sur les tâches de révision SoD y compris réaffirm. atténuation.Etat Historique de la révision d'accès utilisateur [page 244]Cet état fournit les demandes RAU d'historique et l'action effectuée pour ces demandes.

● Etat Statut de la révision utilisateur [page 245]Cet état liste le statut de demande pour la révision SoD et les demandes de révision d'accès utilisateur.


Etats et analyses

9.3.1 Etat Délégation d'approbateur

Cet état permet de rechercher des délégations configurées.

Pour exécuter l'état, vous pouvez désigner des valeurs pour les critères de filtre suivants :

● Délégué pour ID utilisateur● Délégué à ID utilisateur● Date de début● Date de fin● Statut


Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter pour télédécharger les données.

9.3.2 Demandes par profils PD/structurels

Utilisation

Cet état permet de rechercher des demandes en indiquant les profils PD.

Pour exécuter l'état, vous pouvez désigner des valeurs pour chacun des critères de filtre suivants :

● Type de processus● Date de création● Statut● Système

L'état affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage.● Nom du profil PD● Description



Détails de l'état





9.3.3 Etat Demandes par rôles et approbateurs d'affectation de rôles

Utilisation

Cet état liste des demandes par rôles et approbateurs de rôle.


● Type de processus● Date de création● Nom du rôle● Statut● Approbateur



Détails de l'état



Etats et analyses



9.3.4 Etat Demandes avec conflits et atténuations

Utilisation

Cet état liste les demandes avec conflits atténués et non atténués.


● Nom de l'état● Système

Vous voyez uniquement les systèmes pour lesquels vous possédez une autorisation.● Type de processus● Numéro de demande● Date de création● Demandeur● Statut● ID de risque● Approbateur● Atténuer contrôles


Vous pouvez exécuter l'état en avant-plan ou en arrière-plan.

Vous pouvez sélectionner Exporter pour télédécharger les données.

Détails de l'état





9.3.5 Niveau de service pour l'état de demandes

Utilisation

Cet état liste des demandes par niveau de service.


● Type de processus● Afficher uniquement les demandes qui dépassent le niveau de service● Accord sur le niveau de service● Numéro de demande● Date de création● Demandeur● Statut● Approbateur


Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensemble de résultats pour télédécharger les données.

Détails de l'état



Etats et analyses



9.3.6 Etat Historique de révision SoD

Utilisation

Cet état fournit l'historique des actions effectuées sur les tâches de révision SoD y compris réaffirm. atténuation.


● Numéro de demande● Date de création● Escaladé● ID utilisateur● Statut● ID de risque● Système

Vous voyez uniquement les systèmes pour lesquels vous possédez une autorisation.● ID réviseur● ID coordinateur● Action



Détails de l'état





9.3.7 Etat Historique de la révision d'accès utilisateur

Utilisation

Cet état fournit les demandes RAU d'historique et l'action effectuée pour ces demandes.


● Numéro de demande● Date de création● Escaladé● ID utilisateur● Statut● Système

L'état affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage.● ID réviseur● ID coordinateur● ID de job d'arrière-plan● Action



Détails de l'état



Etats et analyses



9.3.8 Etat Statut de la révision utilisateur

Utilisation

Cet état liste le statut de demande pour la révision SoD et l'accès utilisateur.


● Type de processus● Numéro de demande● Date de création● Escaladé● ID utilisateur● Statut● ID réviseur● ID coordinateur



Détails de l'état





9.4 Etats de gestion de rôle

SAP GRC Access Control propose les états de gestion de rôle suivants :

● Etat Comparer l'action dans le menu et l'autorisation [page 246]Cet état compare les actions dans le menu de rôle aux autorisations, pour identifier toute divergence.

● Etat Comparaison de rôles utilisateurs [page 247]Cet état compare des rôles affectés à deux ID utilisateur ou matricules pour des systèmes SAP.

● Etat Lister actions dans les rôles [page 248]Cet état liste toutes les actions figurant dans certains rôles.

● Etat Relation rôle principal/rôle dérivé [page 249]Cet état liste la relation entre des rôles maîtres et des rôles dérivés y compris le niveau d'organisation sur lequel la dérivation est effectuée.

● Etat Historique des modifications PFCG [page 249]Cet état affiche les documents de modification pour l'administration des rôles pour un système indiqué.

● Etat Rôle à date de génération [page 251]Cet état liste les rôles par date de génération.

● Etat Relation entre les rôles individuels et composites [page 251]Cet état liste la relation entre les rôles individuels et les rôles composites

● Etat Relation entre les rôles et les utilisateurs [page 252]Cet état liste les utilisateurs et les rôles qui leur sont affectés.

● Etat Relation entre rôles avec utilisateur/groupe d'utilisateurs [page 253]Cet état liste les rôles affectés à des utilisateurs et à des groupes d'utilisateurs.

9.4.1 Etat Comparer l'action dans le menu et l'autorisation

Utilisation

Cet état compare les actions dans le menu de rôle aux autorisations, pour identifier toute divergence.


Etats et analyses


● Type d'application● Infrastructure● Nom du rôle● Type de rôle



Détails de l'état



9.4.2 Etat Comparer les rôles utilisateur

Utilisation

Cet état compare des rôles affectés à deux ID utilisateur ou matricules pour des systèmes SAP.

Pour exécuter l'état, vous devez désigner des valeurs pour chacun des critères de filtre suivants :


● Type de source de données● Valeur source● Type cible● Valeur cible




Détails de l'état



9.4.3 Etat Lister actions dans les rôles

Utilisation

Cet état liste toutes les Actions présentes dans les rôles.


● Type d'application● Infrastructure● Nom du rôle● Type de rôle



Détails de l'état




Etats et analyses

9.4.4 Etat Relation rôle de base/rôle dérivé

Utilisation

Cet état liste la relation entre des rôles de base et des rôles dérivés y compris le niveau d'organisation sur lequel la dérivation est effectuée. L'état est utile lorsque vous vérifiez des rôles dérivés et des rôles de base.

RemarqueL'affichage se base sur l'autorisation Rôle de base et non pas sur l'autorisation Rôle dérivé.

Pour exécuter l'état, désignez des valeurs pour chacun des critères de filtre suivants :


● Nom du rôle



Détails de l'état

Vous pouvez sélectionner Exporter ensembles de résultats pour télédécharger les données ou Version d'impression pour créer un fichier PDF.


9.4.5 Etat Historique des modifications PFCG

Utilisation

Cet état affiche les documents de modification pour l'administration des rôles pour un système indiqué.

Pour exécuter l'état, désignez un ou plusieurs systèmes pour lesquels vous disposez d'une autorisation.


RemarqueL'état affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage. Si vous ne disposez d'aucune autorisation pour aucun des systèmes, le bouton de commande Historique des modifications PFCG est désactivé.


Activités

1. Sélectionnez Afficher historique PFCG pour lancer l'état.2. Cliquez sur Ouvrir pour lancer SAP GUI.3. Saisissez le Nom d'utilisateur et le Mot de passe pour le système SAP pertinent.4. Cliquez sur Connexion pour lancer l'écran d'exécution d'état Historique des modifications PFCG dans le

système Plug-In.5. Vous pouvez indiquer les paramètres suivants pour exécuter l'état :

○ Nom de rôle○ Modifié par○ Date de début/fin○ Heure de début/fin○ Numéro de document de modification

6. Vous pouvez choisir parmi les options suivantes pour afficher différents types de documents de modification :○ Vue d'ensemble○ Créer/Supprimer rôles○ Description de rôle○ Rôles individuels dans rôles composites○ Transaction dans menu de rôles○ Autres objets dans menu de rôles○ Données d'autorisation○ Niveau organisationnel○ Profil d'autorisation○ Attributs○ MiniApps○ Page d'accueil de rôle composite○ Affectation d'utilisateurs○ Tous les documents de modification (vue technique)

7. Cliquez sur Exécuter pour exécuter l'état.


Etats et analyses

RemarqueCet état est basé sur les données de systèmes backend. L'autorisation système est le seul paramètre de sécurité disponible.

9.4.6 Etat Rôle à date de génération

Utilisation

Cet état liste les rôles par date de génération.


● Généré par● Date de génération● Type d'application● Système

L'état affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage.



Détails de l'état



9.4.7 Etat Relation rôle individuel/rôle composite

Utilisation

Cet état liste la relation entre des rôles individuels et des rôles composites.


RemarqueL'affichage se base sur l'autorisation Rôle composite et non pas sur l'autorisation Rôle individuel.



● Nom du rôle



Détails de l'état



9.4.8 Etat Relation utilisateur/rôle

Utilisation

Cet état liste les utilisateurs et les rôles qui leur sont affectés.



● Inclure rôles expirés● Nom de profil● Nom du rôle



Etats et analyses



9.4.9 Etat Relation entre rôles avec utilisateur/groupe d'utilisateurs

Cet état liste les rôles affectés à des utilisateurs et à des groupes d'utilisateurs.



● Type d'utilisateur



RemarqueCet état est basé sur les données de systèmes backend. L'autorisation système est le seul paramètre de sécurité disponible.

9.5 Etats de sécurité

SAP GRC Access Control propose les états de sécurité suivants :

● Utilisation de l'action par utilisateur, rôle et profil [page 254]Cet état liste les actions par utilisateur, rôle et profil.

● Etat Nombre d'autorisations pour utilisateurs [page 255]Cet état compte les autorisations utilisateur et met en surbrillance celles qui sont en dehors des limites de système.

● Etat Nombre d'autorisations dans rôles [page 255]Cet état liste le nombre d'autorisations pour les rôles par nom de rôle.


● Etat Lister rôles expirés et en cours d'expiration pour les utilisateurs [page 256]Cet état liste les rôles qui ont expiré ou sont sur le point d'expirer en fonction des dates indiquées.

9.5.1 Utilisation de l'action par utilisateur, rôle et profil

Utilisation

Cet état liste les actions par utilisateur, rôle et profil.


● Système● Date d'utilisation de l'action● Action● Description d'action● Etat par (utilisateur, rôle ou profil)● ID utilisateur● Groupe d'utilisateurs● Affiche uniquement les actions non utilisées● Type d'état (actions définies dans Risques ou Tout)● ID de risque d'accès● Accéder à la description d'ID de risque



Détails de l'état




Etats et analyses

9.5.2 Etat Nombre d'autorisations pour utilisateurs

Utilisation

Cet état compte les autorisations utilisateur et met en surbrillance celles se trouvant en dehors des limites du système.


● Système● Utilisateur● Groupe d'utilisateurs



Détails de l'état



9.5.3 Etat Nombre d'autorisations dans rôles

Utilisation

Cet état indique le nombre d'autorisations pour les rôles par nom de rôle.


● Type d'application● Système● Nom du rôle● Type de rôle




Détails de l'état



9.5.4 Etat Lister rôles expirés et en cours d'expirat. pr utilisateurs

Cet état liste les rôles qui ont expiré ou sont sur le point d'expirer en fonction des dates indiquées.


● SystèmeVous voyez uniquement les systèmes pour lesquels vous possédez une autorisation.

● ID utilisateur● Groupe d'utilisateurs● Fin de validité● Rôles expirés



Vous pouvez sélectionner Exporter ensemble de résultats pour télédécharger les données ou Version d'impression pour créer un fichier PDF.


Etats et analyses

9.6 Etats Audit

SAP GRC Access Control propose les états d'audit suivants :

● Etat Journal des modifications [page 257]Cet état donne des informations de modification sur les objets de contrôle d'accès, par exemple, Rôle, Risque et Profil. Les informations comprennent l'auteur de la modification de l'objet, l'horodatage, les nouvelles et les anciennes valeurs, le nom et le type d'entité, les attributs et le type de modification.

● Etat Appels d'action intégrés dans programmes de systèmes SAP [page 258]Cet état identifie des appels de transaction intégrés dans des programmes personnalisés.

● Etat Lister actions dans les rôles mais non dans les règles [page 259]Cet état liste toutes les actions présentes dans les rôles mais qui ne font pas partie de la bibliothèque de la règle.

● Etat Lister approbations dans les rôles mais non dans les règles [page 260]Cet état liste toutes les approbations présentes dans les rôles mais qui ne font pas partie de la bibliothèque de la règle.

9.6.1 Etat Journal des modifications

Utilisation

Cet état donne des informations de modification sur les objets de contrôle d'accès, par exemple, Rôle, Risque et Profil. Les informations comprennent l'auteur de la modification de l'objet, l'horodatage, les nouvelles et les anciennes valeurs, le nom et le type d'entité, les attributs et le type de modification.


● Modifié le● Profil critique● Rôle critique● Détenteur● Contrôleur● Rôle Firefighter● Détenteur Firefighter● Code de motif● Firefighter● Fonction● Règle d'organisation● Risque● Rôle● Ensemble de règles● Règle supplémentaire● ID utilisateur

Cliquez sur Rechercher pour exécuter l'état en avant-plan. Cliquez sur Réinitialiser pour réinitailiser la zone de valeur de recherche.


Vous pouvez sélectionner Exporter pour télédécharger les données ou Version d'impression pour créer un fichier PDF.

RemarquePour sauvegarder les résultats de votre recherche pour une récupération de données ultérieure, saisissez un nom à côté de Sauvegarder recherche sous puis cliquez sur Sauvegarder Utilisez le bouton de commande Charger pour récupérer la recherche sauvegardée puis sur le bouton de commande Supprimer pour supprimer la recherche sauvegardée.

AttentionCet état prend uniquement en charge la sécurité au niveau de l'état. En d'autres termes, si vous êtes autorisé à afficher cet état, vous pouvez afficher toutes les zones possibles sans restriction.


9.6.2 Etat Appels d'action intégrés dans programmes de systèmes SAP

Utilisation

Cet état identifie des appels de transaction intégrés dans des programmes personnalisés.

Pour exécuter l'état, désignez des valeurs pour chacun des critères de filtre suivants :

● Action● Système● Programme



Détails de l'état


Détails de l'état


Etats et analyses



9.6.3 Etat Lister actions dans les rôles mais pas dans les règles

Utilisation

Cet état liste toutes les actions présentes dans les rôles mais qui ne font pas partie de la bibliothèque des règles.


● Système● Profil● Rôle



Vous pouvez sélectionner Exporter ensembles de résultats pour télédécharger l'ensemble de données dans son l'intégralité, Exporter pour télédécharger les résultats à l'écran ou Version d'impression pour créer un fichier PDF. Vous pouvez également marquer des éléments individuels comme ayant été analysés.

Détails de l'état




9.6.4 Etat Lister approbations dans les rôles mais pas dans les règles

Utilisation

Cet état liste toutes les approbations présentes dans les rôles mais qui ne font pas partie de la bibliothèque des règles.


● Système● Profil● Rôle



Vous pouvez sélectionner Exporter ensembles de résultats pour télédécharger l'ensemble de données dans son l'intégralité, Exporter pour télédécharger les résultats à l'écran ou Version d'impression pour créer un fichier PDF. Vous pouvez également marquer des éléments individuels comme ayant été analysés.

Détails de l'état



9.7 Etats Gestion des accès d'urgence

SAP GRC Access Control propose les états suivants pour la gestion des accès d'urgence :

● Etat Journal consolidé [page 261] - Cet état saisit les données du connecteur de système sélectionné pour Firefighters. L'état donne des informations en fonction des journaux suivants, à partir des systèmes distants : Journal de transaction, Journal de modification, Journal système, Journal d'audit de sécurité, Journal de commande de SE. C'est l'état le plus communément utilisé. Vous pouvez configurer votre système pour recevoir cet état par e-mail ou par workflow.


Etats et analyses

Vous devez être autorisé à afficher les états suivants par un administrateur. Si, en consultant l'état Journal consolidé, vous devez effectuer des investigations supplémentaires, accédez à ces états :

● Etat Accès d'urgence non valide [page 263] - Cet état permet d'indiquer les types d'utilisateur pour l'accès d'urgence, expirés, supprimés ou bloqués, par exemple, les ID Firefighter, les contrôleurs ou les détenteurs.

● Etat Synthèse journal Firefighter [page 262] - Cet état saisit des données altérables du connecteur de système sélectionné pour des ID Firefighter.

● Etat de code de motif et d'activité [page 264] – Cet état affiche des données du connecteur système sélectionné pour chaque ID Firefighter. L'état liste le motif et l'activité pour chaque événement de connexion.

● Etat de journal de transaction et détails de session [page 266] - Cet état saisit des données altérables du connecteur de système sélectionné pour des ID Firefighter et des Firefighters. Il affiche le nombre et le type de transactions auxquels chaque ID Firefighter a accédé et chaque Firefighter.

● Etat de conflit SoD pour ID Firefighter [page 265] - Cet état fournit l'historique d'actions effectuées sur des tâches de révision de SoD y compris l'affirmation de l’atténuation.

9.7.1 Etat de journal consolidé

Utilisation

Cet état capture des données à partir du connecteur système sélectionné pour des ID Firefighter. L'état donne des informations en fonction des journaux suivants, à partir des systèmes distants :

Table 34 :

Journal Description

Journal de transaction Capture les exécutions de transaction à partir de la transaction STAD.

Journal des modifications des objets du document Capture le journal des modifications des objets du document de modification à partir des tables CDPOS et CDHDR.

Journal des modifications des données de table Capture les journaux des modifications lorsque des modifications de table sont exécutées à l'aide des transactions SE16/SE16N/SE17/SM30/SM31 et ainsi de suite.

Journal système Capture des informations de débogage et de remplacement à partir de la transaction SM21.

Journal d'audit de sécurité Capture le journal d'audit de sécurité à partir de la transaction SM20.

Journal de commandes SE Capture les modifications apportées aux commandes SE à partir de la transaction SM49.


● Nom de l'état● Système


Vous voyez uniquement les systèmes pour lesquels vous possédez une autorisation.● Firefighter● Détenteur● Rôle Firefighter● Transaction● Date




Détails de l'état

L'application affiche les objets que vous êtes autorisé à afficher. Par exemple, si vous êtes autorisé à afficher uniquement les données d'Amérique du Nord, seules les données liées à l'Amérique du Nord s'afficheront dans l'état.


9.7.2 Etat de synthèse journal Firefighter

Utilisation

Cet état capture des données à partir du connecteur système sélectionné pour des ID Firefighter.



● Firefighter● Détenteur● ID Firefighter● Date● Taille de l'ensemble de résultats


Etats et analyses




Détails de l'état



9.7.3 Etat d'accès d'urgence non valide

Utilisation

Cet état permet d'indiquer les types d'utilisateurs (ID Firefighter, contrôleurs ou détenteurs) expirés, supprimés ou bloqués.



● Firefighter● Détenteur● ID Firefighter● Contrôleur● Taille de l'ensemble de résultats


Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter pour télédécharger les données ou Version d'impression pour créer un fichier PDF.




9.7.4 Etat de code de motif et d'activité

Utilisation

Cet état affiche des données du connecteur système sélectionné pour chaque ID Firefighter. L'état liste le motif et l'activité pour chaque événement de connexion.



● Firefighter● Détenteur● ID Firefighter● Date● Taille de l'ensemble de résultats


Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter pour télédécharger les données ou Version d'impression pour créer un fichier PDF.




Etats et analyses

9.7.5 Etat de conflit SoD pour IDs Firefighter

Utilisation

Cet état fournit l'historique des actions effectuées sur les tâches de révision SoD y compris réaffirm. atténuation.


● Système● ID Firefighter● Détenteur● Firefighter● Action

Options de l'état – Les options suivantes sont disponibles pour cet état :

● Format○ Synthèse○ Détail○ Aperçu de gestion○ Aperçu exécutif○ Vue technique/de gestion

● Type d'analyse de risque d'accès○ Niveau action/approbation○ Action/Approbation critique○ Rôle/Profil critique

● Critères supplémentaires○ Afficher tous les objets○ Transactions exécutées uniquement


Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensemble de résultats pour télédécharger les données ou Version d'impression pour créer un fichier PDF.




9.7.6 Etat de journal de transaction et détails de session

Utilisation

Cet état capture des données de transaction à partir du connecteur système sélectionné pour des ID Firefighter et des Firefighters. Il affiche le nombre et le type de transactions auxquels chaque ID Firefighter a accédé pour chaque Firefighter.



● Firefighter● ID Firefighter● Transaction● Code de motif● Date● Taille de l'ensemble de résultats




Détails de l'état



Etats et analyses [page 29]

9.8 Etat Journal de Risk Terminator

Cet état fournit des informations sur les modifications de rôle directement mises à jour dans des systèmes backend.


Etats et analyses


● Système● Rôle/Utilisateur● Généré par● Date de génération● Heure de génération● Motif





Clauses de non-responsabilité importantes et informations juridiques

Exemples de code sourceLe code et les lignes ou chaînes de code ("Code") inclus dans la présente documentation ne sont que des exemples et ne doivent en aucun cas être utilisés dans un environnement productif. Le Code est utilisé uniquement pour mieux expliquer et visualiser les règles de syntaxe de certains codages. SAP ne sera pas tenu responsable des erreurs ou dommages causés par l'utilisation de ce Code, sauf si de tels dommages étaient causés par SAP intentionnellement ou par négligence grave.

AccessibilitéLes informations contenues dans la documentation SAP représentent la vision actuelle de SAP concernant les critères d'accessibilité, à la date de publication de ladite documentation, et ne peuvent en aucun cas être considérées comme juridiquement contraignantes pour garantir l'accessibilité aux produits logiciels. SAP décline toute responsabilité pour le présent document. Cette clause de non-responsabilité ne s'applique toutefois pas à des cas de faute intentionnelle ou lourde de la part de SAP. En outre, ce document n'entraîne pas des obligations contractuelles directes ou indirectes pour SAP.

Langage non discriminatoireDans la mesure du possible, la documentation SAP est non discriminatoire au titre du genre féminin ou masculin. Selon le contexte, le texte s'adresse au lecteur en utilisant le pronom "vous" ou un substantif neutre (tel que "commercial" ou "jour ouvrable"). Lorsque le texte se réfère à des hommes et des femmes, que la troisième personne du singulier ne peut pas être évitée ou qu'un substantif neutre n'existe pas, SAP se réserve le droit d'utiliser la forme masculine du nom ou du pronom. Ceci permet d'assurer la bonne compréhension de la documentation.

Hyperliens InternetLa documentation SAP peut contenir des hyperliens vers Internet. Lesdits hyperliens sont utilisés pour indiquer où trouver l'information. SAP ne garantit pas la disponibilité et l'exactitude des informations ou leur capacité à répondre à un but précis. SAP ne saurait être tenu responsable des dommages causés par l'utilisation desdites informations sauf si de tels dommages étaient causés par une négligence grave ou une faute intentionnelle de SAP. Tous les liens sont catégorisés pour transparence (voir : http://help.sap.com/disclaimer).


Clauses de non-responsabilité importantes et informations juridiques

http://help.sap.com/disclaimer/

SAP Access ControlClauses de non-responsabilité importantes et informations juridiques P U B L I C 269

go.sap.com/registration/contact.html

© 2017 SAP SE ou société affiliée SAP. Tous droits réservés.Toute reproduction ou communication de la présente publication, même partielle, par quelque procédé et à quelque fin que ce soit, est interdite sans l'autorisation expresse et préalable de SAP SE ou d'une société affiliée SAP. Les informations du présent document sont susceptibles d’être modifiées sans préavis.Certains logiciels commercialisés par SAP SE et ses distributeurs contiennent des composants logiciels qui sont la propriété d'éditeurs tiers. Les spécifications des produits peuvent varier d’un pays à l’autre.Les informations du présent document sont fournies par SAP SE ou par une société affiliée SAP uniquement à titre informatif, sans engagement ni garantie d'aucune sorte. SAP SE ou ses sociétés affiliées ne pourront en aucun cas être tenues responsables des erreurs ou omissions relatives à ces informations. Les seules garanties fournies pour les produits et les services de SAP SE ou d'une société affiliée SAP sont celles énoncées expressément à titre de garantie accompagnant, le cas échéant, lesdits produits et services. Aucune des informations contenues dans le présent document ne saurait constituer une garantie supplémentaire.SAP et tous les autres produits et services SAP mentionnés dans ce document, ainsi que leurs logos respectifs, sont des marques commerciales ou des marques déposées de SAP SE (ou d'une société affiliée SAP) en Allemagne ainsi que dans d'autres pays. Tous les autres noms de produit et service mentionnés sont des marques commerciales de leurs sociétés respectives.Veuillez consulter http://www.sap.com/corporate-en/legal/copyright/index.epx pour plus d'informations sur les marques déposées.

https://go.sap.com/registration/contact.html

https://go.sap.com/registration/contact.html

http://www.sap.com/corporate-en/legal/copyright/index.epx

http://www.sap.com/corporate-en/legal/copyright/index.epx

sap access control - sap help portal · 1 sap grc access control information produit table 1 :...

Documents