SAP sisteminde yetkilendirme konusu, çoğu zaman göz ardı edilse de aslında sistem güvenliğinin ve kullanıcı deneyiminin temelini oluşturur. Özellikle SAP rol, profil ve yetki nesnesi kavramlarının doğru anlaşılmaması; gereksiz yetki verilmesi, kullanıcı hataları ve audit bulguları gibi ciddi problemlere yol açabilir. Bu yazıda, SAP yetkilendirme yapısının temel taşları olan Authorization Object, Role ve Profile kavramlarını sade ve anlaşılır örneklerle ele alarak, orta seviye SAP kullanıcıları ve danışmanlar için net bir rehber sunuyor olacağım.
SAP Sisteminde Yetkilendirme Yapısına Genel Bakış
SAP Sistemlerinde ki yetki yönetimi, sistem güvenliğinin temelini oluşturur. Ancak çoğu kullanıcı aşağıda belirtilen şu yetkilendirme kavramlarını genellikle karıştırmaktadır:
- Role (Rol)
- Profile (Profil)
- Authorization Object (Yetki Nesnesi)
Bu kavramların SAP Sistemi için ne ifade ettiğini tam olarak özümseyemez isek, genellikle aşağıdaki sorunlara neden olacaktır;
- SAP Sisteminde Güvenlik Açıklarına
- Audit bulgularına
- Kullanıcıların ekranlar üzerinde hata almalarına ya da ihtiyacı olan bilgilere sahip olamamasına neden olur.
SAP Sistemlerinde Yetki Yapısının Temel Bileşenleri
1. Authorization Object (Yetki Nesnesi)
SAP Sisteminde yer alan Authorization Object (Yetki Nesnesi), SAP’nin en küçük kontrol birimidir.
Örneğin, bir SAP Kullanıcısının bir işlem koduna girdiğinde, SAP Sistemi arka planda kullanıcının yetki nesnelerini kontrol ederek, girmek istediği işlem koduna yetkisinin olup olmadığını kontrol eder. Eğer kullanıcının Authorization Object (Yetki Nesnesi) için yetkisi var ise, ilgili işlem koduna giriş sağlayabilir. Aksi takdirde, ilgili işlem koduna giriş yapamaz.
Bir Authorization Object (Yetki Nesnesi) aşağıdaki alanları içermektedir.
- Field(alan): SAP Ekran Menüsünde kullanıcının veri girişi yaptığı alandır.
- Value(değer): SAP Ekran Menüsünde kullanıcının görüntülediği bilgi alanıdır.
2. Role (Rol)
SAP Sisteminde Role(Rol) bilgisi, kullanıcıya verilen yetkilerin mantıksal paketidir.
Bir Role(Rol) içerisinde aşağıdaki alanlar bulunmaktadır.
- Transaction Code’lar (işlem kodları)
- Autorization Object’ler (yetkilendirme nesneleri)
Örnek vermek gerekir ise, ZMM_USER adlı sap sisteminde yeni rol eklediğinizde, İşlem Kodu alanında ME21N, ME22N gibi işlem kodları ve Authorization Objects(yetki nesnesi) eklenebilmektedir.
3. Profile (Profil)
SAP Sistemlerinde oluşturulan Role(rol) bilgisinin SAP tarafındaki teknik karşılığıdır. SAP Sisteminde yeni bir rol oluşturulduğu zaman, SAP Sistemi otomatik olarak Role(rol) bilgisini Profile(profil) çevirir ve kullanıcıya aslında profile atanır.
Özetle, Role(rol), kullanıcı tarafından yönetilebilir bir yapı iken, Profile(profil), SAP Sisteminin okuduğu bir yapıdır.
SAP Sisteminde Role ->Profile ->User(Kullanıcı) Akışı
SAP Sisteminde yetkilendirme akışı aşağıdaki sırada yapılır.
- PFCG işlem kodu üzerinde Rol oluşturulur.
- Rol Generate edilerek profil bilgisi oluşur.
- Profile kullanıcı atanır.
NOT: Eğer oluşturulan Role bilgisi, generate edilmez ise, kullanıcı role eklense bile, profil oluşmadığı için kullanıcıya yetki verilmez.
SAP Sisteminde Yetkilendirme İşlemlerinde Yapılan Hatalar
- Rol oluşturup generate etmemek,
- Authorization Objectleri kontrol etmeden rol vermek
- Çok geniş yetkiler vermek(örneğin * kullanımı)
- Composite rol karmaşası yaratmak
SAP Sisteminde Yetkilendirme Hataları Yapmamak İçin İpuçları
- Rol tasarlarken “en az yetki” prensibini kullanmak
- SU53 ile kullanıcı hatalarını analiz edin,
- ST01 ile derin trace işlemi gerçekleştirin
- Rol isimlendirmesini standart bir yapı ile yapın
Sonuç olarak SAP Sisteminde Yetkilendirme İşlemleri 3 ana parçadan oluşur.
- Authorization Object → kontrol mekanizması
- Role → yetki grubu
- Profile → teknik çıktı
Genel olarak bu yapıyı doğru kurmak, SAP Sisteminde hem güvenlik hem de performans için katkı sağlayacaktır.
Konu ile ilgili diğer yazılarımız
SAP PFCG Kullanımı Detaylı Anlatım
SAP ile ilgili daha fazla bilgi için lütfen burayı tıklayınız.
Sosyal Medya Hesaplarımız
Bir yanıt bırakın