SAP Access Control

Guide d'administration PUBLIC
2017-07-20
SAP Access Control

Contenu
1 SAP GRC Access Control. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2 Vue d'ensemble SAP GRC Access Control. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
3 Sujets inter-composantes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3.1 Profils et connexions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Connexion utilisateur final. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Connexion d'administrateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Gestion de votre profil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3.2 Intégration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Intégration de données communes (modèle de données). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Intégration à SAP GRC Process Control et Risk Management. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.3 Zones personnalisées. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
3.4 Navigation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
Poste de travail Ma page d'accueil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Poste de travail Configuration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Poste de travail Gestion des accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Etats et analyses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
3.5 Privilèges spéciaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.6 Jobs d'arrière-plan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32
Ordonnanceur de jobs d'arrière-plan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Ordonnancement de jobs d'arrière-plan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4 Gestion de demandes d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

4.1 Création de la demande d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Demandes d'accès simplifiées. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Création de demandes d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Analyse de risques lorsque vous envoyez des demandes d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . 40
Rôles types. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Création de demandes d'accès basées sur des utilisateurs modèles. . . . . . . . . . . . . . . . . . . . . . . . 46
Modification des détails d'utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47
Copie de demandes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Création de demandes d'affectation organisationnelle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
4.2 Approbation de demande d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Vérification et autorisation des demandes d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Corbeille de travail simplifiée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Analyse de risques lorsque vous approuvez des demandes d'accès. . . . . . . . . . . . . . . . . . . . . . . . .52
Atténuation des risques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
SAP Access Control

2 PUBLIC Contenu
Gestion de tâches et autorisations pour approbateurs de demande. . . . . . . . . . . . . . . . . . . . . . . . .55
4.3 Administration des demandes d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Création et gestion de modèles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Recherche de demandes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60
Vue des journaux d'attribution de privilèges d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Débloc. et suppr. cptes utilisateur Self-Service pr mot de passe. . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Délégation de l'approbateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Création de demandes d'accès basées sur des modèles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .64
5 Gestion de risques d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

5.1 Contrôles d'atténuation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Recherche de contrôles d'atténuation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
5.2 Configuration de règle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Règles d'accès d'exception. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Gestion des règles d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Règles d'accès critiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
5.3 Analyse de risque d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Analyse de risque d'accès du niveau utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Simulation du niveau utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Analyse de risque d'accès du niveau de rôle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .105
Simulation du niveau de rôle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Analyse de risque d'accès du niveau de profil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .108
Simulation du niveau de profil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Analyse de risque d'accès des objets HR. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Simulation des objets HR. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
5.4 Accès atténué. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Utilisateurs atténués. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Utilisateur atténué pour des règles d'organisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .117
Rôles atténués. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Profils atténués. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Atténuation des objets HR. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Rôle atténué pour des règles d'organisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
5.5 Analyse de risques lorsque vous approuvez des demandes d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . 122
5.6 Analyse de risques lorsque vous envoyez des demandes d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
5.7 Analyse de risques d'accès pour la gestion des rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
5.8 Atténuation des risques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
5.9 Alertes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Recherche d'alertes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129
Alertes acquittées. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
5.10 Jobs d'arrière-plan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Ordonnanceur de jobs d'arrière-plan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .134
SAP Access Control

Contenu PUBLIC 3
6 Gestion de rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
6.1 Considérations de la gestion des rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
Méthodologie de création de rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
Gestion des rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Approbation de demandes de rôle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
Réattribution de privilèges d'accès de rôles utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Recherche de rôle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
Rôles par défaut. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
6.2 Analyse de rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .160
Utilisation d'action. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Comparaison des rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .161
Réaffirmation de rôle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
6.3 Gestion en masse des rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .163
Importing Multiple Roles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Mise à jour de plusieurs rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Mise à jour de valeurs organisationnelles pour des rôles dérivés multiples. . . . . . . . . . . . . . . . . . . 168
Dérivation de rôles multiples. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Analyse du risque pour des rôles multiples. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Génération de rôles multiples. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
7 Utilisation de la gestion des accès d'urgence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172

7.1 Terminologie GAU. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
7.2 Configuration de l'accès d'urgence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Sélection de l'application d'accès d'urgence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .175
Configuration de Firefighting basé ID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Configuration de Firefighting basé sur rôle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .192
Configuration d'avis de journal de GAU. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
7.3 Demande d'accès d'urgence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
7.4 Vérification et autorisation des demandes d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
7.5 Extension périodes de validité pour affectations firefighting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
7.6 Accès aux systèmes Plug-In, pr effectuer activités firefighting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Utilisation de la barre de lancement Gestion des accès d'urgence. . . . . . . . . . . . . . . . . . . . . . . . . 198
7.7 Révision des activités et des états d'accès d'urgence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
8 Gestion des révisions d'accès périodiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201

8.1 Révisions de certification de conformité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Gestion de coordinateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Réviser les demandes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
Gestion de refus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
8.2 Alertes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Recherche d'alertes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Alertes acquittées. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
SAP Access Control

4 PUBLIC Contenu
9 Etats et analyses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
9.1 Tableaux de bord d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
Tableau de bord d'attribution de privilèges d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .217
Tableau de bord de demandes d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
Tableau de bord de bibliothèque des règles d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Tableau de bord des alertes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Tableau de bord de bibliothèque de contrôles d'atténuation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
Tableau de bord de violations de risque. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
Tableau de bord d'analyse de rôle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Tableau de bord de la bibliothèque de rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
Niveau de service pour tableau de bord de demandes d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Tableau de bord d'analyse pour utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
Tableau de bord de comparaisons de violations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Violation de risque dans tableau de bord de demande d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . 228
9.2 Etats Analyse des risques d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Etat Aperçu de règle d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Etat Détail de la règle d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
Etat Objet atténué. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
Etat Violation de risque de l'objet HR. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
Etat Contrôle d'atténuation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
Etat Violation de risque de profil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .234
Etat Violation de risque de rôle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
Etat Violation de risque utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
9.3 Etats Demande d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
Etat Délégation d'approbateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
Demandes par profils PD/structurels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
Etat Demandes par rôles et approbateurs d'affectation de rôles. . . . . . . . . . . . . . . . . . . . . . . . . . 240
Etat Demandes avec conflits et atténuations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
Niveau de service pour l'état de demandes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
Etat Historique de révision SoD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
Etat Historique de la révision d'accès utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
Etat Statut de la révision utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
9.4 Etats de gestion de rôle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
Etat Comparer l'action dans le menu et l'autorisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246
Etat Comparer les rôles utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
Etat Lister actions dans les rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Etat Relation rôle de base/rôle dérivé. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Etat Historique des modifications PFCG. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Etat Rôle à date de génération. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Etat Relation rôle individuel/rôle composite. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .251
Etat Relation utilisateur/rôle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
SAP Access Control

Contenu PUBLIC 5
Etat Relation entre rôles avec utilisateur/groupe d'utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . 253
9.5 Etats de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Utilisation de l'action par utilisateur, rôle et profil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
Etat Nombre d'autorisations pour utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Etat Nombre d'autorisations dans rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Etat Lister rôles expirés et en cours d'expirat. pr utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . .256
9.6 Etats Audit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Etat Journal des modifications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Etat Appels d'action intégrés dans programmes de systèmes SAP. . . . . . . . . . . . . . . . . . . . . . . . 258
Etat Lister actions dans les rôles mais pas dans les règles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Etat Lister approbations dans les rôles mais pas dans les règles. . . . . . . . . . . . . . . . . . . . . . . . . . 260
9.7 Etats Gestion des accès d'urgence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
Etat de journal consolidé. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
Etat de synthèse journal Firefighter. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
Etat d'accès d'urgence non valide. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .263
Etat de code de motif et d'activité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
Etat de conflit SoD pour IDs Firefighter. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Etat de journal de transaction et détails de session. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
9.8 Etat Journal de Risk Terminator. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
SAP Access Control

6 PUBLIC Contenu
1 SAP GRC Access Control
Information produit
Table 1 :
Produit SAP GRC Access Control
Version 10.1
Basé sur SAP NetWeaver 7.40 SP2
Documentation publiée Juin 2013
Utilisation
SAP Access Control est une application de progiciel de gestion intégré qui permet aux organisations de contrôler
l'accès et d'empêcher la fraude à travers l'entreprise, tout en réduisant le temps et le coût de conformité.
SAP Access Control

SAP GRC Access Control PUBLIC 7
2 Vue d'ensemble SAP GRC Access Control
SAP GRC Access Control est une application de progiciel de gestion intégré qui permet à des organisations de
gérer leurs directives de gouvernance d'accès et d'effectuer un suivi en matière de conformité.
SAP GRC Access Control est un add-on SAP NetWeaver et fonctionne avec des applications SAP et des
applications non SAP, comme SAP Finance, SAP Administration des ventes, Oracle et JDE.
L'application fournit un logiciel intégré pour des fonctions d'autorisation d'application de gestion des données, par
exemple :
Demandes d'accès (ARQ) - Vous pouvez implémenter les directives de votre société pour créer et gérer les
demandes d'accès dans ARQ. Les utilisateurs peuvent créer des demandes d'accès à des systèmes et à des
applications. Les approbateurs peuvent réviser les demandes, effectuez des analyses pour l'accès utilisateur et
les risques de séparation des tâches puis approuver, refuser ou modifier les demandes.
Analyse de risque d'accès (ARA) - Vous pouvez implémenter les directives de votre société pour la SoD et le
risque d'accès utilisateur dans ARA. Les analystes de sécurité et les responsables de processus de gestion
exécutent des états pour déterminer si des violations de SoD ou directives d'accès utilisateur sont survenues. Ils
peuvent identifier la cause profonde des violations et corriger les risques.
Les personnes responsables de la conformité peuvent utiliser cette fonction pour effectuer un suivi des
conformités aux directives de société.
Gestion des rôles utilisateur (BRM) - Dans une infrastructure SAP, les autorisations d'utilisateur pour les
applications sont gérées via l'utilisation de rôles. Les concepteurs de rôle, les propriétaires du rôle et les analystes
de sécurités peuvent utiliser la gestion des rôles utilisateur pour gérer des rôles et les analyser pour des violations
de directives de société.
Gestion des accès d'urgence (GAU) - Vous pouvez implémenter les directives de votre société pour gérer l'accès
d'urgence dans la GAU. Les utilisateurs peuvent créer des demandes de Self-Service pour l'accès d'urgence à des
systèmes et des applications. Les responsables de processus de gestion peuvent réviser les demandes d'accès
d'urgence et accorder des accès. Les personnes responsables de la conformité peuvent effectuer des audits
périodiques d'utilisation et de journaux pour surveiller la conformité aux directives de société.
Révisions périodiques d'accès utilisateur et séparation des tâches - Vous pouvez utiliser l'application pour
exécuter les directives de votre société sur des révisions périodiques en matière de conformité. Les responsables
de la sécurité et des processus de gestion identifient les directives qui nécessitent des révisions périodiques et
définissent des processus de révision. Les réviseurs effectuent les révisions puis les responsables de la sécurité et
des processus de gestion déterminent si les mesures de correction sont requises.
SAP Access Control

8 PUBLIC Vue d'ensemble SAP GRC Access Control
Figure 1 : Workflow selon les utilisateurs SAP GRC Access Control
SAP Access Control

Vue d'ensemble SAP GRC Access Control PUBLIC 9
3 Sujets inter-composantes
SAP GRC Access Control couvre plusieurs fonctions d'autorisation différentes comme les Demandes d'accès
(ARQ), l'Analyse de risque d'accès (analyse de risque d'accès), la Gestion des rôles utilisateur (Gestion des rôles
utilisateur), la Gestion des accès d'urgence (GAU), les Révisions périodiques de l'accès utilisateur et la séparation
des tâches. Cette section de l'aide à l'application inclut les sujets qui s'appliquent à plusieurs domaines
notamment les suivants :
● Profils et connexions [page 10]

● Intégration [page 14]
● Zones personnalisées [page 15]
● Navigation [page 16]
● Privilèges spéciaux [page 30]
●
3.1 Profils et connexions
Utilisation
Les sujets de cette section abordent la gestion des connexions de l’utilisateur final et de l'administrateur ainsi que
la gestion de votre profil utilisateur.
Informations complémentaires
Connexion utilisateur final [page 10]
Connexion d'administrateur [page 12]
Gestion de votre profil [page 13]
3.1.1 Connexion utilisateur final
Utilisation
Vous pouvez utiliser l'écran Connexion utilisateur final pour exécuter des tâches d'attribution de privilèges d'accès
externes au rôle d'administrateur comme la création de demandes d'accès, la gestion de votre mot de passe et
ainsi de suite.
SAP Access Control

10 PUBLIC Sujets inter-composantes
Pour accéder à l'écran de connexion d'utilisateur final, utilisez le lien fourni par votre administrateur. Pour en
savoir plus, voir Gestion de la connexion d'utilisateur final [page 11].
Remarque
Vous n'avez pas besoin d'un compte d'utilisateur dans le système SAP Access Control pour utiliser la
connexion d'utilisateur final.
Conditions requises
Vous avez activé la connexion d'utilisateur final dans l'activité IMG Activer la connexion de l'utilisateur final, sous
Governance, Risk, and Compliance SAP GRC Access Control Attribution de privilèges d'accès utilisateur .
Connexion d'administrateur [page 12]
3.1.1.1 Gestion de la connexion d'utilisateur final
Utilisation
L'application vous autorise à activer et à désactiver les caractéristiques de connexion d'utilisateur final suivantes :
● Connexion d'utilisateur final

● Liens affichés à l'écran Connexion utilisateur final
● Exigence que les utilisateurs saisissent leur mot de passe
Procédure
Pour activer et désactiver la connexion d'utilisateur final et définir les liens affichés à l'écran Connexion
utilisateur final :
1. Connectez-vous au backend de contrôle d'accès, puis lancez la transaction SPRO.

2. Ouvrez l'activité IMG Activer la connexion de l'utilisateur final, sous Governance, Risk, and Compliance
SAP GRC Access Control Attribution de privilèges d'accès .
3. Gérez les options si nécessaire et sauvegardez l'entrée.
Pour activer et désactiver l'exigence de mot de passe :
1. Connectez-vous au backend de contrôle d'accès, puis lancez la transaction SPRO.
SAP Access Control

Sujets inter-composantes PUBLIC 11
2. Ouvrez l'activité IMG Gérer configuration des sources de données, sous Governance, Risk, and Compliance
SAP GRC Access Control .
3. Double-cliquez sur Vérification utilisateur final.
4. Dans la zone Authentification, sélectionnez Oui ou Non le cas échéant puis sauvegardez votre entrée.
3.1.2 Connexion d'administrateur
Utilisation
Vous utilisez la connexion d'administrateur pour exécuter des tâches d'administrateur comme la gestion de
demandes d'accès, la gestion de risques d'accès, la gestion de rôles et l'exécution de tâches Firefighter et d'accès
d'urgence.
L'application fournit deux options pour la connexion d'administrateur :
● NetWeaver Business Client (NWBC)

Pour accéder à la connexion NWBC, utilisez SAP GUI pour vous connecter au système SAP GRC Access
Control et lancez la transaction NWBC.
● Portail
Pour accéder à la connexion de Portail, utilisez le lien fourni par l'administrateur.
Connexion utilisateur final [page 10]
SAP Access Control

3.1.3 Gestion de votre profil
Contexte
Sur l'écran Mon profil, vous pouvez faire ce qui suit :
● Afficher le statut de votre accès

Vous pouvez filtrer la liste par les statuts suivants : Arrivant à expiration, Expiré, Actif, Inactif, Tout.
● Afficher la période de validité pour votre accès
● Afficher le type d'accès dans la colonne Elément ; par exemple, rôle dérivé, rôle individuel, profil ou système
● Afficher le nom du système
● Afficher l'affectation
Si le type d'accès est Rôle, la zone Affectation affiche le nom du rôle. Si le type d'accès est Système, la zone
Affectation affiche le nom du système.
● Afficher vos informations de profil, comme l'identité, la communication, l'organisation et l'emplacement
Remarque
Sur cet écran, les informations sont en lecture seule. Ces informations sont gérées dans le système source
de données utilisateur.
● Créer ou modifier des demandes d'accès pour vous-même ou un autre utilisateur
Procédure
1. Dans Ma page d'accueil, sélectionnez l’alias Mon profil.
Remarque
Si vous utilisez la Connexion utilisateur final, sur l'écran Page d'accueil de l'utilisateur final, sélectionnez
l'alias Mon profil.
2. Pour filtrer la liste selon le statut, sélectionnez la liste déroulante Statut puis sélectionnez le statut pertinent.
3. Pour créer ou modifier la demande d'accès pour une affectation existante, dans la colonne Sélectionner,
sélectionnez la case à cocher pour les postes pertinents puis sélectionnez Demande d'accès.
Pour créer une demande d'accès pour une nouvelle affectation ou une qui ne figure pas sur votre liste,
sélectionnez Demande d'accès sans sélectionner de poste.
SAP Access Control

3.2 Intégration
Utilisation
Informations d'Intégration importantes
Les processus et interfaces utilisateur des produits suivants sont liés car ils ont des fonctionnalités
interconnectées :
● SAP Access Control

● SAP Process Control
● SAP Risk Management
Vous pouvez accéder aux fonctionnalités et à la documentation de ces produits après autorisation et en installant
les produits pertinents.
● SAP Access Control 10.1 June 2013 SAP NetWeaver 7.40 Support Package 02
● SAP Process Control10.1, June 2013 SAP NetWeaver 7.40 Support Package 02
● SAP Risk Management10.1, June 2013 SAP NetWeaver 7.40 Support Package 02
Intégration de données communes (modèle de données) [page 14]
Intégration à SAP GRC Process Control et Risk Management [page 15]
3.2.1 Intégration de données communes (modèle de données)
Utilisation
SAP Access Control, SAP Process Control et SAP Risk Management peuvent partager les données suivantes :
● Les organisations peuvent être communes (facultatif) à SAP Access Control, SAP Process Control et SAP
Risk Management. Certaines données d'organisation peuvent être communes et d'autres peuvent être
spécifiques à une application unique. L'accès à ces données est contrôlé par les autorisations de l'utilisateur.
● Les contrôles peuvent être communs à SAP Access Control et SAP Process Control. Certaines informations
sont spécifiques aux applications pour les applications SAP Access Control et SAP Process Control. L'accès à
ces données est contrôlé par les autorisations de l'utilisateur.
● Vous pouvez configurer les propriétés d'IU des attributs (zones) pour qu'elles soient spécifiques aux
applications.
SAP Access Control

Guide de sécurité pour SAP Access Control 10.1, Process Control 10.1 et Risk Management 10.1 sur http://
help.sap.com/grc-ac
3.2.2 Intégration à SAP GRC Process Control et Risk

Management
Utilisation
Les applications SAP Access Control, SAP Process Control et SAP Risk Management partagent des
fonctionnalités et des domaines de menu liés aux .
Conditions requises
● Vous avez configuré l'application GRC par le biais des activités IMG accessibles via la transaction SPRO.
● Vous avez lancé l'application GRC.
Fonctionnalités
SAP Access Control et SAP Process Control ont un point d'intégration permettant d'initialiser l'analyse des
risques SAP Access Control depuis SAP Process Control.
3.3 Zones personnalisées
Utilisation
Les zones personnalisées sont toutes les zones que vous avez choisi d'ajouter à l'application. Elles sont aussi
appelées zones définies par l'utilisateur. SAP livre un ensemble de zones standard avec l'application. Votre
société peut avoir besoin des zones qui ne font pas partie de l'ensemble livré.
Vous pouvez gérer vos zones définies par l'utilisateur dans l'activité de Customizing Zones définies par
l'utilisateur, sous Governance, Risk and Compliance Options générales .
SAP Access Control

Fonctionnalités
L'application présente le fonctionnalités suivantes afin de gérer les zones définies par l'utilisateur :
● Ajout de zones définies par l'utilisateur HR

● Ajout de zones définies par l'utilisateur non-HR
● Vérification de zones définies par l'utilisateur
● Gestion de zones définies par l'utilisateur dans l'Interface Web
● Inclusion de zones définies par l'utilisateur dans le reporting en ligne
3.4 Navigation
Les caractéristiques principales de l'application sont regroupées dans des postes de travail. Les postes de travail
apparaissent au début des écrans principaux. Ils sont organisés de façon à fournir un accès facile aux activités
d'application et comportent des groupes de menu et des liens vers des activités supplémentaires.
Les principaux postes de travail livrés sont les suivants :
● Ma page d'accueil
● Configuration
● Gestion des accès
● Etats et analyses
Remarque
● SAP GRC Access Control est mis à disposition à la fois comme application autonome et comme partie
intégrée de la solution SAP Governance, Risk and Compliance. Les postes de travail pour l'application
autonome SAP GRC Access Control diffèrent des postes de travail pour la solution SAP Governance, Risk
and Compliance (GRC). La façon dont les écrans sont organisés constitue la seule différence ; les fonctions
dans l'application sont identiques.
● L'application fournit un ensemble de postes de travail standard. Cependant votre administrateur système
peut les personnaliser selon les structures internes de votre organisation. Selon le produit ou les produits
pour lesquels vous disposez d'une licence, les différentes zones des solutions sont affichées (SAP GRC
Access Control, SAP GRC Process Control et SAP GRC Risk Management).
3.4.1 Poste de travail Ma page d'accueil
Utilisation
Le poste de travail Ma page d'accueil est un emplacement central où vous pouvez afficher et agir sur vos tâches
affectées et les objets accessibles.
SAP Access Control

Le poste de travail Ma page d'accueil contient les sections suivantes :
● Corbeille de travail
Ici, vous pouvez afficher toutes les tâches de workflow GRC qui vous sont affectées.
● Ma délégation
Ici, vous pouvez déléguer l'approbation temporaire de vos tâches de workflow à une autre personne.
● Aide à l'application
Ici, vous pouvez accéder à l'aide à l'application pour les applications GRC.
● Mon profil
Ici, vous pouvez créer et effectuer un suivi de vos demandes d'accès, afficher vos affectations d'accès et
gérer vos options de sécurité.
Remarque
Le poste de travail Ma page d'accueil est commun aux produits Access Control, Process Control et Risk
Management dans l'application GRC 10.0. Les groupes de menus et les alias disponibles sur l'écran sont
déterminés par les applications pour lesquelles vous détenez une licence. Le contenu dans cette rubrique
couvre les fonctions spécifiques à SAP GRC Access Control. Si vous détenez une licence pour des produits
supplémentaires, tels que SAP GRC Process Control ou Risk Management, consultez les rubriques pertinentes
ci-dessous pour les fonctions spécifiques aux applications.
● Corbeille de travail [page 17]

● Délégation de vos tâches d'approbation [page 18]
● Mon profil [page 19]
3.4.1.1 Corbeille de travail
Utilisation
La Corbeille de travail affiche les tâches que vous devez traiter à l'aide d'applications GRC.
Activités
Pour traiter une tâche, sélectionnez un hyperlien dans la table. La fenêtre de workflow correspondante apparaît.
Traitez la tâche selon les besoins.
La STANDARDVIEW affiche les colonnes.
Pour modifier les colonnes affichées, sélectionnez Options, gérez les colonnes selon les besoins et sauvegardez la
vue.
SAP Access Control

La nouvelle vue apparaît dans la liste déroulante Vue.
3.4.1.2 Corbeille de travail simplifiée
Utilisation
Vous utilisez la corbeille de travail simplifiée pour afficher les demandes d'accès nécessitant une approbation.
Remarque
Vous pouvez également utiliser la corbeille de travail classique pour traiter des demandes d'accès. Pour de plus
amples informations, reportez-vous à Corbeille de travail [page 17].
Procédure
Utilisez la procédure ci-dessous pour rechercher des demandes spécifiques :
1. A l'aide de la barre de curseur de réglage ou des boîtes d'entrée de date, sélectionnez une date spécifique ou
une plage de dates pour les demandes que vous voulez traiter.
2. Vous pouvez également sélectionner une catégorie comme Nouveau compte d'utilisateur pour limiter votre
recherche.
3. Sélectionnez un nombre de résultats à afficher par page (facultatif).
4. Sélectionnez un critère de tri comme Numéro de demande ou Demandé par (facultatif).
Le système récupère toutes les demandes qui correspondent à vos critères.
5. Cliquez sur un numéro de demande pour effectuer une analyse descendante des détails. Vous pouvez cliquer
sur l'icône d'indicateur pour marquer une demande pour traitement ultérieur (facultatif).
Remarque
Votre administrateur système doit configurer votre système pour vous permettre d'utiliser les processus
simplifiés de demande d'accès. Pour en savoir plus, consultez le Guide d'installation pour SAP Access Control
10.1, SAP Process Control 10.1 et SAP Risk Management 10.1 à l'adresse http://service.sap.com/instguides .
3.4.1.3 Délégation de vos tâches d'approbation
Utilisation
Sur l'écran Délégation de l'approbateur, vous pouvez affecter votre tâche d'approbation d'une demande à un autre
utilisateur.
SAP Access Control

Procédure
1. Sur le poste de travail Ma page d'accueil, sous le groupe de menu Ma délégation, sélectionnez Délégation de
l'approbateur.
L'écran Délégation de l'approbateur s'affiche.
2. Sélectionnez Déléguer pour sélectionner un utilisateur.
L'écran Détails de l'approbateur délégué apparaît.
3. Dans les zones pertinentes, sélectionnez l'ID pour l'approbateur, la période de validité et le statut de
l'approbateur.
4. Sélectionnez Sauvegarder.
Pour plus d'informations sur la capacité d'un administrateur de réaffecter des tâches d'approbation à un autre
utilisateur, voir .
3.4.1.4 Mon profil
Utilisation
Vous pouvez utiliser Mon profil pour créer et suivre vos demandes d'accès, afficher vos affectations d'accès et
gérer vos options de sécurité.
Activités
● Gestion de votre profil

● Vue de votre statut de la demande
● Réinitialisation de mots de passe utilisateur
● Modification de noms d'utilisateur
● Enregistrement de questions de sécurité
● Création de demandes d'accès
3.4.1.4.1 Gestion de votre profil
Contexte
Sur l'écran Mon profil, vous pouvez faire ce qui suit :
● Afficher le statut de votre accès

Vous pouvez filtrer la liste par les statuts suivants : Arrivant à expiration, Expiré, Actif, Inactif, Tout.
SAP Access Control

● Afficher la période de validité pour votre accès
● Afficher le type d'accès dans la colonne Elément ; par exemple, rôle dérivé, rôle individuel, profil ou système
● Afficher le nom du système
● Afficher l'affectation
Si le type d'accès est Rôle, la zone Affectation affiche le nom du rôle. Si le type d'accès est Système, la zone
Affectation affiche le nom du système.
● Afficher vos informations de profil, comme l'identité, la communication, l'organisation et l'emplacement
Remarque
Sur cet écran, les informations sont en lecture seule. Ces informations sont gérées dans le système source
de données utilisateur.
● Créer ou modifier des demandes d'accès pour vous-même ou un autre utilisateur
Procédure
1. Dans Ma page d'accueil, sélectionnez l’alias Mon profil.
Remarque
Si vous utilisez la Connexion utilisateur final, sur l'écran Page d'accueil de l'utilisateur final, sélectionnez
l'alias Mon profil.
2. Pour filtrer la liste selon le statut, sélectionnez la liste déroulante Statut puis sélectionnez le statut pertinent.
3. Pour créer ou modifier la demande d'accès pour une affectation existante, dans la colonne Sélectionner,
sélectionnez la case à cocher pour les postes pertinents puis sélectionnez Demande d'accès.
Pour créer une demande d'accès pour une nouvelle affectation ou une qui ne figure pas sur votre liste,
sélectionnez Demande d'accès sans sélectionner de poste.
3.4.1.4.2 Affichage de votre statut de la demande
Contexte
Vous pouvez utiliser l'alias Statut de la demande pour afficher le statut pour des demandes d'accès que vous avez
créées. Les demandes peuvent être pour vous ou pour une autre personne.
SAP Access Control

Procédure
1. Depuis l'écran Ma page d'accueil, sous le groupe de menu Mon profil, sélectionnez Statut de la demande.
Remarque
Vous pouvez aussi accéder à cette fonction comme suit : Du poste de travail Gestion des accès, sous le
groupe de menu Demande d'accès, sélectionnez Statut de demande.
L'écran Statut de la demande apparaît.

2. Pour trier vos demandes par statut, dans la section de Statut de la demande, choisissez parmi les statuts
disponibles : Approuvé, Refusé, Décision en attente, En suspens.
3. Pour afficher des informations de workflow, sélectionnez une demande, puis sélectionnez Statut d'instance.
L'écran Statut d'instance MSMP apparaît et affiche les informations sur la demande, comme Créé par, Date de
création, Statut chemin d'accès, Approbateurs chemin d'accès sélectionné et Journal d'audit.
Remarque
L'information sur cet écran est en lecture seule et ne peut pas être modifiée.
4. Pour ouvrir une demande d'accès, sélectionnez la demande et ouvrez-la. Selon le statut de la demande, vous
pouvez traiter la demande. Par exemple, vous avez une demande pour Créer une affectation d'atténuation.
Vous pouvez créer un contrôle pour cette demande. Toutefois si la demande est en attente, alors les boutons
sont désactivés.
5. Pour afficher des journaux, sélectionnez la demande puis Aff. journaux attrib. privilèges accès.
3.4.1.4.3 Réinitialisation de mots de passe d'utilisateur
Prérequis
● L'administrateur a géré l'option de self-service pour mot de passe dans l'activité IMG Gérer Self-Service pour
mot de passe,sous Governance, Risk, and Compliance SAP GRC Access Control Attribution de privilèges
d'accès utilisateur .
● Vous avez enregistré vos questions de sécurité. Pour plus d'informations, voir .
Contexte
Sur l'écran Réinitialiser mot de passe, vous pouvez gérer vos mots de passe d'utilisateur pour des systèmes
spécifiques.
SAP Access Control

Procédure
1. Depuis l'écran Ma page d'accueil, sélectionnez l'alias Réinitialiser mot de passe pour ouvrir l'écran Réinitialiser
mot de passe.
Remarque
Si vous utilisez la Connexion d'utilisateur final, sur l'écran Page d'ouverture de l'utilisateur final,
sélectionnez l'alias Self-service pour mot de passe.
2. Répondez aux questions de sécurité, puis sélectionnez Suivant.
Remarque
L'administrateur peut exiger que l'utilisateur réponde à un nombre minimum de questions. Par exemple,
demandez que l'utilisateur réponde à un minimum de trois questions de sécurité pour permettre une
réinitialisation des mots de passe. Pour plus d'informations, voir l'activité IMG Gérer Self-Service pour mot
de passe, sous Governance, Risk, and Compliance SAP GRC Access Control Attribution de privilèges
3. Sélectionnez Ajouter pour sélectionner les systèmes pour lesquels vous voulez modifier votre mot de passe
d'utilisateur.
L'écran affiche tous les systèmes pour lesquels vous avez un compte d'utilisateur valide. Sélectionnez les
systèmes pertinents, puis OK.
4. Sélectionnez Soumettre puis fermez l'écran.
L'application vous envoie le lien pour un nouveau mot de passe temporaire dans un e-mail. L'application
fournit un lien distinct pour chaque système. Vous pouvez utiliser le mot de passe temporaire pour vous
connecter au système et modifier le mot de passe.
Remarque
A des fins de sécurité, le lien pour le mot de passe temporaire ne peut être utilisé qu'une fois. Vous pouvez
indiquer la période (en secondes) pendant laquelle le mot de passe est visible. Vous gérez l'option dans
l'activité IMG Gérer options d'attribution de privilèges d'accès, sous Governance, Risk, and Compliance
SAP GRC Access Control Attribution de privilèges d'accès utilisateur .
3.4.1.4.4 Modification de noms d'utilisateur
Contexte
Sur l'écran Modification de nom, vous pouvez modifier votre nom d'utilisateur pour des systèmes spécifiques.
SAP Access Control

Procédure
1. Sur l'écran Ma page d'accueil, sélectionnez l'alias Modification de nom .
Remarque
Si vous utilisez la Connexion utilisateur final, sélectionnez l'alias Modification de nom sur l'écran Page
d'ouverture de l'utilisateur final.
2. Répondez aux questions de sécurité et sélectionnez Suivant.

3. Dans les zones respectives, saisissez l'ancien ID utilisateur et le nouvel ID utilisateur, puis sélectionnez
Suivant.
4. Sélectionnez Ajouter et sélectionnez les systèmes pour lesquels vous voulez modifier votre nom d'utilisateur.
5. Sous la colonne Mot de passe, saisissez le mot de passe d'utilisateur pour chaque système.
6. Sélectionnez Envoyer.
3.4.1.4.5 Enregistrement de questions de sécurité
Prérequis
L'administrateur a géré l'option de self-service pour mot de passe dans l'activité IMG Gérer Self-Service pour mot
de passe, sous Governance, Risk, and Compliance SAP GRC Access Control Attribution de privilèges d'accès
utilisateur .
Contexte
A l'écran Questions de sécurité, vous pouvez gérer les questions de sécurité utilisées pour confirmer votre identité
lors d'une réinitialisation de vos mots de passe d'utilisateur.
Procédure
1. Depuis l'écran Ma page d'accueil, sélectionnez l'alias Enregistrer questions de sécurité pour ouvrir l'écran
Questions de sécurité.
Remarque
Si vous utilisez la connexion d'utilisateur final, sur l'écran Page d'accueil de l'utilisateur final, sélectionnez
l'alias Enregistrer les questions du Self-service.
SAP Access Control

2. Sélectionnez Ajouter pour créer vos questions de sécurité.
○ Pour ajouter vos propres questions, sélectionnez Questions définies par l'utilisateur.
○ Pour ajouter des questions qui sont fournies par l'administrateur, sélectionnez Questions définies par
l'administrateur.
3. Pour désactiver une question de sécurité et la garder sur votre liste, sélectionnez Statut et sélectionnez
Inactif.
4. Gérez les questions de sécurité si nécessaire puis sélectionnez Sauvegarder et Fermer.
3.4.1.4.6 Création de demandes d'accès
Utilisation
Sur l'écran Demande d'accès, vous pouvez créer des demandes d'accès pour vous-même, pour un autre
utilisateur ou pour des utilisateurs multiples.
Conditions requises
L'administrateur a terminé les activités pour l'activité IMG Gérer options d'attribution de privilèges d'accès,
sous Governance, Risk, and Compliance SAP GRC Access Control Attribution de privilèges d'accès
utilisateur .
Procédure
1. Du poste de travail Gestion des accès, sous le groupe de menu Demande d'accès, sélectionnez Création de
demande d'accès.
Remarque
○ Si vous utilisez la connexion d'utilisateur final, sur l'écran Page d'accueil d'utilisateur final, sélectionnez
Demande d'accès.
SAP Access Control

2. Sous la zone Détails de la demande, saisissez l'information requise dans les zones :
Table 2 :
Zone Description
Type de demande Exemples : Nouveau compte, Modifier compte, Accès superutilisateur et

ainsi de suite.
Vous pouvez gérer la liste de types de demande disponibles dans l'activité
IMG Définir types de demande, sous Governance, Risk, and Compliance
Demande pour Choisissez de créer une demande pour ce qui suit :
○ Auto, pour créer une demande pour vous-même.

La zone Utilisateur est inactive et affiche votre ID utilisateur.
○ Autre, pour créer une demande au nom d'un autre utilisateur.
La zone Utilisateur est active et vous autorise à sélectionner le nom de
l'utilisateur.
○ Multiple, pour créer une demande pour des utilisateurs multiples.
L'application affiche la page à onglet Utilisateurs et vous autorise à sé
lectionner des utilisateurs multiples. Sélectionnez Ajouter pour ajouter
manuellement chaque utilisateur ou sélectionnez Importer pour utiliser
un modèle pour importer des utilisateurs multiples.
Priorité Exemples : Haut, Bas et ainsi de suite.
Vous pouvez gérer la liste de types des priorités disponibles dans l'activité
de Customizing Gérer configurations de priorité, sous Governance,
Risk, and Compliance SAP GRC Access Control Attribution de privilèges
Processus de gestion Exemples : RH et Paie, Finance et ainsi de suite.
Vous pouvez gérer la liste de processus de gestion disponibles dans l'acti

vité IMG Gérer processus de gestion et sous-processus, sous
Governance, Risk and Compliance SAP GRC Access Control .
Domaine fonctionnel Exemples : Ventes, Ressources humaines et ainsi de suite.
Vous pouvez gérer la liste de domaines fonctionnels disponibles dans l'acti
vité IMG Gérer domaines fonctionnels, sous Governance, Risk and
Compliance SAP GRC Access Control Gestion des rôles .
3. Dans la page à onglet Accès utilisateur, choisissez parmi les options suivantes pour sélectionner les rôles
auxquels vous voulez être affectés et les systèmes pour lesquels vous demandez un accès :
○ Sélectionnez Ajouter et sélectionnez les éléments suivants :
○ Rôle
○ Cliquez sur Ajouter puis cliquez sur Rôle pour rechercher les rôles que vous souhaitez. Une fois
que le système présente les résultats de votre recherche, vous pouvez cliquer sur un nom de rôle
SAP Access Control

récupéré pour accéder aux détails supplémentaires relatifs au rôle, par exemple les actions
valides pour un rôle composite.
○ Si vous sélectionnez un Rôle utilisateur, vous pouvez choisir l'environnement pour lequel vous
souhaitez attribuer des privilèges d'accès. Les options d'environnement sont les suivantes : Tous,
Développement, Production et Test. Ce choix est uniquement disponible si vous activez le
paramètre de configuration SAP GRC Access Control 3026 (Activer attribution de privilèges
d'accès de rôle utilisateur en fonction de l'environnement) sur Oui. Non est la valeur par défaut
pour ce paramètre.
Remarque
Pour Recherche de rôle, l'application vous permet (autorisation d'administrateur requise) de
configurer les zones de critères de recherche. Vous pouvez ajouter des zones personnalisées et
configurer leurs attributs. Par exemple, vous pouvez définir les valeurs par défaut et définir si la
zone est obligatoire. Vous pouvez configurer les zones dans le Customizing pour Gérer zones
personnalisées pour personnalisation de recherche de rôle sous Governance, Risk, and
Compliance SAP GRC Access Control Attribution des privilèges .
○ Système
○ ID Firefighter
○ Rôle Firefighter
Remarque
Lorsqu'un ID Firefighter ou un rôle Firefighter est requis, vous pouvez filtrer la recherche à l'aide de
Système et Code d'action. Si vous utilisez Code d'action, vous devez également indiquer le Système.
Pour les demandes d'ID Firefighter et de rôle Firefighter, le détenteur est affiché dans la colonne
Approbateur d'affectation.
○ Sélectionnez Affectations existantes pour sélectionner dans la liste des rôles et des systèmes qui sont
affectés actuellement à l'utilisateur.
Si la zone Demande pour est définie sur Multiple, l'application désactive ce bouton.
Remarque
Pour utiliser des applications dans un système, vous devez avoir accès au système et à un rôle sur le
système. Vous devez donc demander à avoir un utilisateur dans le système puis demander d'affecter un
rôle à l'utilisateur. S'il n'existe encore aucun utilisateur, vous pouvez également indiquer que l'application
en crée un automatiquement dans le système en configurant l'activité IMG Gérer options d'attribution de
privilèges d'accès sous Governance, Risk, and Compliance SAP GRC Access Control Attribution des
privilèges .
4. Dans la colonne Actions d'attribution de privilèges d'accès, sélectionnez l'action appropriée, comme Créer
utilisateur, Affecter (rôle) et ainsi de suite.
Vous pouvez placer les actions d'attribution de privilèges d'accès disponibles dans la liste déroulante dans
l'activité IMG Définir type de demande, sous Governance, Risk, and Compliance SAP GRC Access Control
Attribution de privilèges d'accès utilisateur .
5. Dans la colonne Commentaires, sélectionnez Ajouter commentaire et saisissez les informations sur la
demande.
SAP Access Control

Vous pouvez définir si les commentaires sont obligatoires dans l'activité IMG Gérer options de configuration,
sous Governance, Risk and Compliance SAP GRC Access Control . Pour les colonnes pertinentes,
activez les valeurs suivantes :
○ Groupe de paramètres : Sélection de rôle de demande d'accès
○ ID du paramètre : 2036
○ Valeur du paramètre : Oui ou Non, selon les besoins
6. Dans la page à onglet Détails utilisateur, saisissez toutes les informations requises.
7. Sélectionnez Simulation, si vous voulez exécuter une analyse des risques des rôles demandés et de l'accès au
système avant d'envoyer la demande.
L'application envoie une notification par e-mail à l'approbateur. Vous pouvez configurer l'e-mail dans l'activité
IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous Governance, Risk, and Compliance
SAP GRC Access Control Workflow pour SAP GRC Access Control . Dans la phase Gérer chemins d'accès,
sous la zone Gérer stades, sélectionnez Options de notification.
Les approbateurs peuvent aussi accéder et traiter la demande à partir de leur corbeille de travail.
Les utilisateurs finaux peuvent afficher le statut de la demande à partir de l'alias .
Affichage de votre statut de la demande [page 20]
Modification des détails d'utilisateur [page 47]
Vérification et autorisation des demandes d'accès [page 50]
Analyse de risques lorsque vous envoyez des demandes d'accès [page 40]
3.4.1.4.7 Créer une demande simplifiée
Contexte
Une interface utilisateur plus simple permet de demander des rôles pour l'ajout, la suppression ou l'extension.
Procédure
1. Pour demander un accès pour vous-même ou pour d'autres, saisissez les informations suivantes :
SAP Access Control

Remarque
Un astérisque (*) à l'écran désigne une zone obligatoire.
Table 3 :
Zone Description
Motif de la demande Sélectionnez un motif dans la liste déroulante ou sélection

nez Autres et écrivez votre motif dans la boîte en dessous.
Infos utilisateur Le système remplit vos informations pour votre demande.

Si la demande concerne d'autres utilisateurs, vous pouvez
rechercher des informations d'utilisateur via l'aide à la sai
sie dans la zone d'ID utilisateur.
Sélectionner les rôles pour l'ajout Vous pouvez rechercher des rôles par attributs de rôle
comme le nom, le système, le code de transaction ou le
mot-clé. Les caractères génériques comme * sont valides.
Vous pouvez aussi utiliser la Recherche avancée pour une
recherche plus granuleuse. Vous pouvez utiliser les filtres à
gauche de l'écran pour affiner davantage vos résultats de
recherche.
Vous pouvez afficher la liste de codes de transaction définis

dans le rôle par cliquer sur le nom du rôle. Vous pouvez ef
fectuer une analyse descendante pour obtenir plus d'infor
mations sur le rôle en cliquant sur le bouton Afficher plus à
l'écran pop-up.
Sélectionner les rôles pour la suppression Sélectionnez cette option pour supprimer les affectations
de rôle de cet utilisateur.
Sélectionner les rôles pour l'extension Sélectionnez cette option pour étendre les dates de validité
du rôle.
2. En cas de demande d'accès pour d'autres utilisateurs, vous pouvez à titre facultatif exécuter l'analyse des
risques en cliquant sur l'Analyse des risques dans le panneau latéral.
A titre facultatif, vous pouvez afficher les rôles ajoutés par le système en cliquant sur le panneau latéral Rôles
ajoutés par le système.
3. A titre facultatif, vous pouvez sauvegarder la demande comme version préliminaire à traiter ultérieurement.
4. Lorsque votre demande est terminée, soumettez-la pour approbation.
3.4.2 Poste de travail Configuration
Le poste de travail Configuration fournit un emplacement central pour effectuer des activités de préparation
uniques ou rares comme la création d'ensembles de règles d'accès, la création des règles atténuantes et ainsi de
suite.
SAP Access Control

Le poste de travail Configuration contient les sections suivantes :
● Gestion des règles d'accès [page 80]

● Règles d'accès critiques [page 95]
●
● Utilisation de la gestion des accès d'urgence [page 172]
●
● Règles d'accès d'exception [page 69]
● Règles générées [page 77]
● Contrôles d'atténuation [page 67]
3.4.3 Poste de travail Gestion des accès
Le poste de travail Gestion des accès fournit un emplacement central pour exécuter des tâches comme le suivi, le
test et l'exécution d'accès et les contrôles d'autorisation.
Le poste de travail Gestion des accès contient les sections suivantes :
● Analyse de risque d'accès [page 98]

● Accès atténué [page 115]
● Administration des demandes d'accès [page 59]
● Création de la demande d'accès [page 35]
● Considérations de la gestion des rôles [page 136]
● Révisions de certification de conformité [page 202]
● Analyse de rôles [page 160]
● Gestion en masse des rôles [page 163]
● Alertes [page 128]
● Ordonnancement de jobs d'arrière-plan [page 32]
Remarque
Le poste de travail Gestion des accès est partagé par les produits SAP GRC Access Control, SAP GRC Process
Control et Risk Management dans l'application GRC. Les groupes de menus et les alias disponibles sur l'écran
sont déterminés par les applications pour lesquelles vous détenez une licence.
3.4.4 Etats et analyses
Le poste de travail Etats et analyses fournit un emplacement central pour afficher des états et des tableaux de
bord pour les informations SAP GRC Access Control, comme les alertes, l'analyse d'utilisateur, les rapports
d'audit etc.
Remarque
Le poste de travail Etats et analyses est partagé par les produits SAP GRC Access Control, SAP GRC Process
SAP Access Control

sont déterminés par les applications pour lesquelles vous détenez une licence. Le contenu dans cette rubrique
couvre les fonctions spécifiques à SAP GRC Access Control.
Table 4 :
Catégorie Description
Tableaux de bord d'accès Tableaux de bord pour l'analyse de risque d'accès, la gestion
de rôle utilisateur et la gestion des accès utilisateurs
Etats d'analyse des risques d'accès Etats liés à l'analyse de risque d'accès, y compris des viola
tions de risque d'utilisateur, des violations de risque de rôle,
des violations de risque de profil et des violations de risque
d'objet RH.
Etats de demande d'accès Etats liés aux demandes d'accès, y compris le niveau de ser
vice pour des demandes et des demandes avec conflits et at
ténuation
Etats de la gestion des rôles Etats liés à la gestion de rôle, y compris des relations entre les
rôles et les utilisateurs et des relations entre les rôles de base-
à-dérivés
Etats de sécurité Etats liés à l'utilisateur, au rôle et à la sécurité de profil
Etats de vérification Etats en rapport avec l'audit, y compris des actions dans des
rôles (mais pas dans des règles) et des approbations dans des
rôles (mais pas dans des règles)
Etats de gestion des accès utilisateur d'urgence Etats liés à des activités de superutilisateur, y compris des su
perutilisateurs non valides et des journaux consolidés
3.5 Privilèges spéciaux
Les utilisateurs SAP GRC Access Control auxquels des privilèges spéciaux ont été affectés peuvent être affectés
comme détenteurs. Les utilisateurs auxquels des privilèges spéciaux peuvent être affectés incluent ce qui suit :
Table 5 :
Type Description
Détenteur ID Firefighter Les détenteurs d'ID Firefighter sont responsables de gérer les ID Fire
fighter et leurs affectations aux firefighters. Les détenteurs d'ID Fire
fighter utilisent le rôle par défaut
SAP_GRAC_SUPER_USER_MGMT_OWNER.
SAP Access Control

Type Description
Détenteur du rôle Firefighter Les détenteurs de rôle Firefighter sont responsables de la gestion des
rôles Firefighter et de leurs affectations aux firefighters. Les déten
teurs de rôle Firefighter utilisent le rôle par défaut
SAP_GRAC_SUPER_USER_MGMT_OWNER.
Détenteur du risque Les détenteurs du risque sont affectés aux risques et sont communé
ment responsables d'approuver les modifications apportées aux défi
nitions du risque et aux violations du risque.
Détenteur du rôle (ERM) Les détenteurs du rôle sont responsables d'approuver du contenu ou
de l'affectation de rôle utilisateur ou les deux.
Moniteur d'atténuation Les moniteurs d'atténuation sont affectés aux contrôles pour surveil
ler l'activité et peuvent recevoir des alertes de moniteur de contrôle.
Approbateur d'atténuation Les approbateurs d'atténuation sont affectés aux contrôles et sont
responsables d'approuver les modifications apportées à la définition
de contrôle et aux affectations.
Contrôleur d'ID Firefighter Les contrôleurs d'ID Firefighter sont responsables de réviser le journal
généré pendant l'usage d'ID Firefighter. Les contrôleurs d'ID Firefigh
ter utilisent le rôle par défaut
SAP_GRAC_SUPER_USER_MGMT_CNTLR.
Contrôleur de rôle Firefighter Les contrôleurs de rôle Firefighter sont responsables de réviser le jour
nal généré pendant l'usage de rôle Firefighter. Les contrôleurs de rôle
Firefighter utilisent le rôle par défaut
SAP_GRAC_SUPER_USER_MGMT_CNTLR.
Point de contact Le point de contact est un approbateur pour un domaine fonctionnel

spécifique. Le domaine fonctionnel est un attribut utilisé pour classer
des utilisateurs et des rôles.
Responsable sécurité Le responsable de la sécurité est un groupe ou un individu qui peut

fournir une approbation secondaire pour des demandes d'accès et des
révisions.
Trois types de groupes sont définis pour les détenteurs :
● Détenteur
● Groupe de détenteurs
● Groupe Lightweight Directory Access Protocol (LDAP)
SAP Access Control

3.6 Jobs d'arrière-plan
Utilisation
Dans le poste de travail Gestion d'accès, sous Planification, vous pouvez utiliser les liens pour planifier et afficher
les jobs d'arrière-plan.
Fonctionnalités
● Ordonnanceur de jobs d'arrière-plan [page 32]

3.6.1 Ordonnanceur de jobs d'arrière-plan
Utilisation
Vous pouvez utiliser Ordonnanceur de jobs arrière-plan pour créer et gérer des ordonnancements pour des jobs
d'arrière-plan.
Activités
1. Saisissez le nom de l'ordonnancement.

2. Sélectionnez une activité pour le job d'arrière-plan.
3. Sélectionnez si le job d'arrière-plan doit être lancé immédiatement.
4. Indiquez la date et l'heure de début.
3.6.2 Ordonnancement de jobs d'arrière-plan
Utilisation
Sur l'écran Ordonnancement, vous pouvez sélectionner de planifier que le job s'exécute en arrière-plan à un
moment donné ou sélectionner d'exécuter le job en avant-plan.
Pour exécuter le job en avant-plan, sélectionnez la case à cocher Avant-plan et sélectionnez Soumettre.
SAP Access Control

Procédure
Pour exécuter le job comme job d'arrière-plan :
1. Sous la section Ordonnancer, sélectionnez Arrière-plan.

2. Pour activer le job pour qu'il revienne plusieurs fois, mettez l'option Plan récurrent sur Oui puis sélectionnez la
date et les heures.
Vous pouvez définir la Fréquence comme : Horaire, Quotidienne, Hebdomadaire ou Mensuelle.
Dans la zone Récurrence, vous pouvez activer le job d'arrière-plan pour qu'il revienne tous les certains
nombres d'heures. Par exemple, revenir toutes les 4 heures.
3. Pour activer le job afin qu'il s'exécute une seule fois, définissez l'option Plan récurrent sur Non. Vous pouvez
choisir de lancer le job immédiatement ou de commencer à une date et heure spécifique.
SAP Access Control

4 Gestion de demandes d'accès
Utilisation
SAP Access Control propose un framework standard et centralisé pour demander un accès utilisateur, réviser et
gérer ces demandes.
Ce processus explique comment surveiller et empêcher des risques à l'aide d'un workflow d'approbation et d'une
analyse des risques pendant l'attribution de privilèges.
Conditions requises
● En dehors de l'application, vous avez identifié vos besoins de gestion et évalué votre approche de l'accès au
système.
● Dans l'application, vous avez géré la révision et les workflows d'approbation.
Vous gérez les workflows dans l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous
Governance, Risk, and Compliance SAP GRC Access Control Workflow pour SAP GRC Access Control
Processus
Le processus d'attribution des privilèges de base, comme l'indiquent la plupart des administrateurs système, est
décrit ci-dessous.
1. Créer et soumettre une demande d'accès utilisateur

L'utilisateur crée une demande d'accès en sélectionnant des applications et des rôles appropriés qui
fournissent un accès au système pour exécuter des tâches de travail. Une fois toutes les zones obligatoires de
la demande d'accès utilisateur renseignées, il ou elle soumet cette demande pour approbation.
2. Réviser la demande
Chaque approbateur révise la demande d'accès approprié.
3. Modifier la demande
Si l'accès n'est pas approprié, chaque approbateur peut modifier la demande.
4. Effectuer l’analyse des risques
L'analyse des risques devrait être effectuée pour assurer que l'approbation de la demande n'introduise pas de
risques d'accès dans l'environnement.
1. Modifier la demande d'accès pour supprimer des conflits le cas échéant.
2. Si l'accès ne peut pas être modifié, le risque devrait être atténué selon les directives de votre société.
5. Attribution de privilèges d'accès utilisateur
Une fois la demande approuvée, l'accès est mis à disposition des utilisateurs.
SAP Access Control

34 PUBLIC Gestion de demandes d'accès
Résultat
L'accès est mis à disposition dans des environnements sans risques ou avec des risques atténués pour garantir
un accès utilisateur conforme.
4.1 Création de la demande d'accès
L'application SAP GRC Access Control permet de créer des demandes d'accès pour obtenir l'accès aux systèmes
et aux autorisations pour exécuter des tâches. Vous pouvez créer des demandes d'accès pour vous-même, pour
un autre utilisateur ou pour des utilisateurs multiples.
Vous pouvez initialiser le processus de création de demandes d'accès sur les écrans suivants :
● Pour la connexion d'utilisateur final, allez à l'écran Page d'ouverture de l'utilisateur final puis sélectionnez
Demande d'accès.
● Pour la connexion de NWBC ou la connexion de Portail, allez au poste de travail Ma page d'accueil ou au poste
de travail Gestion des accès puis sélectionnez Demande d'accès ou Créer demande - Simplifiée.
Le menu Demande d'accès regroupe des fonctions permettant de créer des demandes pour l'accès d'utilisateur,
l'accès au système et les affectations organisationnelles. Ce groupe de menus est mis à disposition du poste de
travail Gestion des accès, où vous pouvez procéder comme suit :
● Utilisez Demande d'accès pour créer des demandes pour vous-même, pour un autre utilisateur ou pour des
utilisateurs multiples.
● Utilisez Utilisateur du modèle pour créer des demandes d'accès basées sur un utilisateur modèle.
● Utilisez la Demande basée sur modèle pour créer des demandes d'accès basées sur un modèle.
● Utilisez la Demande de copie pour utiliser les détails d'une demande existante afin de créer une demande.
● Utilisez la Demande d'affectation organisationnelle pour créer des demandes pour les affectations
organisationnelles.
● Utilisez Créer demande - Simplifiée pour créer des demandes à l'aide d'une interface utilisateur rationalisée.
4.1.1 Demandes d'accès simplifiées
Le traitement de demande d'accès simplifiée permet de traiter des demandes d'accès à l'aide d'écrans
transformés avec une interface utilisateur rationalisée. Vous pouvez utiliser ces écrans à la place des anciens
écrans de traitement de demande d'accès ou vous pouvez continuer à utiliser les anciens écrans. Les écrans
transformés suivants sont mis à disposition
● Créer une demande simplifiée [page 27]
SAP Access Control

Gestion de demandes d'accès PUBLIC 35
4.1.1.1 Créer une demande simplifiée
Contexte
Une interface utilisateur plus simple permet de demander des rôles pour l'ajout, la suppression ou l'extension.
Procédure
1. Pour demander un accès pour vous-même ou pour d'autres, saisissez les informations suivantes :
Remarque
Un astérisque (*) à l'écran désigne une zone obligatoire.
Table 6 :
Zone Description
Motif de la demande Sélectionnez un motif dans la liste déroulante ou sélection

nez Autres et écrivez votre motif dans la boîte en dessous.
Infos utilisateur Le système remplit vos informations pour votre demande.

Si la demande concerne d'autres utilisateurs, vous pouvez
rechercher des informations d'utilisateur via l'aide à la sai
sie dans la zone d'ID utilisateur.
Sélectionner les rôles pour l'ajout Vous pouvez rechercher des rôles par attributs de rôle
comme le nom, le système, le code de transaction ou le
mot-clé. Les caractères génériques comme * sont valides.
Vous pouvez aussi utiliser la Recherche avancée pour une
recherche plus granuleuse. Vous pouvez utiliser les filtres à
gauche de l'écran pour affiner davantage vos résultats de
recherche.
Vous pouvez afficher la liste de codes de transaction définis

dans le rôle par cliquer sur le nom du rôle. Vous pouvez ef
fectuer une analyse descendante pour obtenir plus d'infor
mations sur le rôle en cliquant sur le bouton Afficher plus à
l'écran pop-up.
Sélectionner les rôles pour la suppression Sélectionnez cette option pour supprimer les affectations
de rôle de cet utilisateur.
SAP Access Control

Zone Description
Sélectionner les rôles pour l'extension Sélectionnez cette option pour étendre les dates de validité
du rôle.
2. En cas de demande d'accès pour d'autres utilisateurs, vous pouvez à titre facultatif exécuter l'analyse des
risques en cliquant sur l'Analyse des risques dans le panneau latéral.
A titre facultatif, vous pouvez afficher les rôles ajoutés par le système en cliquant sur le panneau latéral Rôles
ajoutés par le système.
3. A titre facultatif, vous pouvez sauvegarder la demande comme version préliminaire à traiter ultérieurement.
4. Lorsque votre demande est terminée, soumettez-la pour approbation.
4.1.2 Création de demandes d'accès
Utilisation
Sur l'écran Demande d'accès, vous pouvez créer des demandes d'accès pour vous-même, pour un autre
utilisateur ou pour des utilisateurs multiples.
Conditions requises
L'administrateur a terminé les activités pour l'activité IMG Gérer options d'attribution de privilèges d'accès,
sous Governance, Risk, and Compliance SAP GRC Access Control Attribution de privilèges d'accès
utilisateur .
Procédure
1. Du poste de travail Gestion des accès, sous le groupe de menu Demande d'accès, sélectionnez Création de
demande d'accès.
Remarque
○ Si vous utilisez la connexion d'utilisateur final, sur l'écran Page d'accueil d'utilisateur final, sélectionnez
Demande d'accès.
SAP Access Control

2. Sous la zone Détails de la demande, saisissez l'information requise dans les zones :
Table 7 :
Zone Description
Type de demande Exemples : Nouveau compte, Modifier compte, Accès superutilisateur et

ainsi de suite.
Vous pouvez gérer la liste de types de demande disponibles dans l'activité
IMG Définir types de demande, sous Governance, Risk, and Compliance
Demande pour Choisissez de créer une demande pour ce qui suit :
○ Auto, pour créer une demande pour vous-même.

La zone Utilisateur est inactive et affiche votre ID utilisateur.
○ Autre, pour créer une demande au nom d'un autre utilisateur.
La zone Utilisateur est active et vous autorise à sélectionner le nom de
l'utilisateur.
○ Multiple, pour créer une demande pour des utilisateurs multiples.
L'application affiche la page à onglet Utilisateurs et vous autorise à sé
lectionner des utilisateurs multiples. Sélectionnez Ajouter pour ajouter
manuellement chaque utilisateur ou sélectionnez Importer pour utiliser
un modèle pour importer des utilisateurs multiples.
Priorité Exemples : Haut, Bas et ainsi de suite.
Vous pouvez gérer la liste de types des priorités disponibles dans l'activité
de Customizing Gérer configurations de priorité, sous Governance,
Risk, and Compliance SAP GRC Access Control Attribution de privilèges
Processus de gestion Exemples : RH et Paie, Finance et ainsi de suite.
Vous pouvez gérer la liste de processus de gestion disponibles dans l'acti

vité IMG Gérer processus de gestion et sous-processus, sous
Governance, Risk and Compliance SAP GRC Access Control .
Domaine fonctionnel Exemples : Ventes, Ressources humaines et ainsi de suite.
Vous pouvez gérer la liste de domaines fonctionnels disponibles dans l'acti
vité IMG Gérer domaines fonctionnels, sous Governance, Risk and
3. Dans la page à onglet Accès utilisateur, choisissez parmi les options suivantes pour sélectionner les rôles
auxquels vous voulez être affectés et les systèmes pour lesquels vous demandez un accès :
○ Sélectionnez Ajouter et sélectionnez les éléments suivants :
○ Rôle
○ Cliquez sur Ajouter puis cliquez sur Rôle pour rechercher les rôles que vous souhaitez. Une fois
que le système présente les résultats de votre recherche, vous pouvez cliquer sur un nom de rôle
SAP Access Control

récupéré pour accéder aux détails supplémentaires relatifs au rôle, par exemple les actions
valides pour un rôle composite.
○ Si vous sélectionnez un Rôle utilisateur, vous pouvez choisir l'environnement pour lequel vous
souhaitez attribuer des privilèges d'accès. Les options d'environnement sont les suivantes : Tous,
Développement, Production et Test. Ce choix est uniquement disponible si vous activez le
paramètre de configuration SAP GRC Access Control 3026 (Activer attribution de privilèges
d'accès de rôle utilisateur en fonction de l'environnement) sur Oui. Non est la valeur par défaut
pour ce paramètre.
Remarque
Pour Recherche de rôle, l'application vous permet (autorisation d'administrateur requise) de
configurer les zones de critères de recherche. Vous pouvez ajouter des zones personnalisées et
configurer leurs attributs. Par exemple, vous pouvez définir les valeurs par défaut et définir si la
zone est obligatoire. Vous pouvez configurer les zones dans le Customizing pour Gérer zones
personnalisées pour personnalisation de recherche de rôle sous Governance, Risk, and
Compliance SAP GRC Access Control Attribution des privilèges .
○ Système
○ ID Firefighter
Remarque
Système et Code d'action. Si vous utilisez Code d'action, vous devez également indiquer le Système.
Pour les demandes d'ID Firefighter et de rôle Firefighter, le détenteur est affiché dans la colonne
○ Sélectionnez Affectations existantes pour sélectionner dans la liste des rôles et des systèmes qui sont
affectés actuellement à l'utilisateur.
Si la zone Demande pour est définie sur Multiple, l'application désactive ce bouton.
Remarque
Pour utiliser des applications dans un système, vous devez avoir accès au système et à un rôle sur le
système. Vous devez donc demander à avoir un utilisateur dans le système puis demander d'affecter un
rôle à l'utilisateur. S'il n'existe encore aucun utilisateur, vous pouvez également indiquer que l'application
en crée un automatiquement dans le système en configurant l'activité IMG Gérer options d'attribution de
privilèges d'accès sous Governance, Risk, and Compliance SAP GRC Access Control Attribution des
privilèges .
4. Dans la colonne Actions d'attribution de privilèges d'accès, sélectionnez l'action appropriée, comme Créer
utilisateur, Affecter (rôle) et ainsi de suite.
Vous pouvez placer les actions d'attribution de privilèges d'accès disponibles dans la liste déroulante dans
l'activité IMG Définir type de demande, sous Governance, Risk, and Compliance SAP GRC Access Control
Attribution de privilèges d'accès utilisateur .
5. Dans la colonne Commentaires, sélectionnez Ajouter commentaire et saisissez les informations sur la
demande.
SAP Access Control

Vous pouvez définir si les commentaires sont obligatoires dans l'activité IMG Gérer options de configuration,
sous Governance, Risk and Compliance SAP GRC Access Control . Pour les colonnes pertinentes,
activez les valeurs suivantes :
○ Groupe de paramètres : Sélection de rôle de demande d'accès
○ ID du paramètre : 2036
○ Valeur du paramètre : Oui ou Non, selon les besoins
6. Dans la page à onglet Détails utilisateur, saisissez toutes les informations requises.
7. Sélectionnez Simulation, si vous voulez exécuter une analyse des risques des rôles demandés et de l'accès au
système avant d'envoyer la demande.
L'application envoie une notification par e-mail à l'approbateur. Vous pouvez configurer l'e-mail dans l'activité
IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous Governance, Risk, and Compliance
SAP GRC Access Control Workflow pour SAP GRC Access Control . Dans la phase Gérer chemins d'accès,
sous la zone Gérer stades, sélectionnez Options de notification.
Les approbateurs peuvent aussi accéder et traiter la demande à partir de leur corbeille de travail.
Les utilisateurs finaux peuvent afficher le statut de la demande à partir de l'alias .
Affichage de votre statut de la demande [page 20]
Modification des détails d'utilisateur [page 47]
Vérification et autorisation des demandes d'accès [page 50]
Analyse de risques lorsque vous envoyez des demandes d'accès [page 40]
4.1.3 Analyse de risques lorsque vous envoyez des demandes

d'accès
Utilisation
Sur l'écran Demande d'accès, vous pouvez effectuer des analyses de risques et des analyses d'impact sur les
pages à onglet suivantes :
● Violations de risques
Si vous voulez sauvegarder les résultats de l'analyse, utilisez la fonction d'analyse dans l'onglet.
● Accès utilisateur
La caractéristique Simulation vous autorise à effectuer d'abord l'analyse, puis à choisir de sauvegarder ou non
les résultats.
Remarque
● Vous pouvez définir l'application de sorte qu'elle analyse automatiquement les risques lorsqu'une
personne envoie une demande d'accès. Par exemple, si l'auteur de la demande décide d'envoyer une
SAP Access Control

demande sans analyser les risques d'abord, l'application effectue automatiquement une analyse et ajoute
les résultats à la demande d'accès qui apparaît dans la corbeille de travail de l'approbateur.
Vous gérez cette option dans l'activité IMG Gérer options de configuration, sous Governance, Risk, and
Compliance SAP GRC Access Control . Pour le paramètre Activer analyse des risques lors de l'envoi du
formulaire, saisissez les valeurs comme suit :
Table 8 :
Colonne Valeur
Groupe de paramètres Analyse des risques - Demande d'accès
ID du paramètre 1071
Valeur du paramètre Oui ou Non, le cas échéant
● Vous pouvez personnaliser l'application pour inclure des affectations de firefighter automatiquement dans
l'analyse des risques.
Compliance SAP GRC Access Control . Pour le paramètre Prendre en compte les affectations FF dans
l'analyse des risques, saisissez les valeurs comme suit :
Table 9 :
Colonne Valeur
Groupe de paramètres Analyse des risques
Procédure
La procédure suivante est la même quelle que soit la page à onglet que vous sélectionnez pour l'initialiser. La
seule différence est que la fonctionnalité de simulation vous permet de choisir si vous souhaitez sauvegarder les
résultats ou non.
1. Sur l'écran , procédez comme suit :

○ Sélectionnez l'onglet Violations de risques.
○ Dans l'onglet Accès utilisateur, sélectionnez Simulation.
2. Dans la liste déroulante Type d'analyse, sélectionnez le type d'analyse pertinent :
○ Vous utilisez Analyse des risques pour identifier des violations d'autorisation affectées au rôle. Un
exemple, lorsque les autorisations se traduisent par des violations de la séparation des tâches.
○ Vous utilisez Analyse d'impact pour identifier les violations d'autorisation concernant d'autres rôles.
C'est-à-dire, les autorisations pour le rôle sélectionné, avec des autorisations pour un autre rôle, se
traduisent par des violations.
3. Sélectionnez le Système et l'Ensemble de règles des zones respectives.
SAP Access Control

4. Dans la zone Options de résultat, sélectionnez le format, le type et des critères supplémentaires pour les
résultats d'analyse.
Exemple
Table 10 :
Format : Aperçu exécutif
Type : Niveau d'action, Niveau d'autorisation
Critères supplémentaires : Inclure les risques atténués
5. Sélectionnez le bouton de commande Exécuter analyse de risques.

6. Dans la zone Résultat, vous pouvez sélectionner les manières différentes d'afficher les résultats de l'analyse.
7. Si vous exécutez une fonctionnalité de simulation, vous pouvez procéder comme suit :
○ Sélectionnez Annuler si vous ne voulez pas sauvegarder les résultats de l'analyse.
○ Sélectionnez Appliquer si vous voulez sauvegarder les résultats. L'information est sauvegardée dans
l'onglet Violations de risques et vous pouvez l'afficher quand vous ouvrez la demande. Les résultats sont
aussi mis à disposition de l'approbateur de la demande.
4.1.3.1 Atténuation des risques
Prérequis
Vous avez créé des contrôles d'atténuation.
Contexte
Sur l'écran Affecter contrôles d'atténuation, vous pouvez affecter des contrôles d'atténuation aux risques trouvés
pendant l'analyse des risques et l'analyse d'impact.
L'écran vous autorise aussi à atténuer des risques pour des rôles qui ne font pas partie de la demande actuelle.
Par exemple, vous atténuez actuellement des risques pour John_Current_Request. Vous pouvez aussi atténuer
des violations de risque pour John_Other_Request1 et John _Other_Request2. Sélectionnez le bouton de
commande Ajouter pour ajouter et terminer la procédure ci-dessous pour l'étape 4.
Remarque
La caractéristique Atténuer risque est mise à disposition sur plusieurs écrans dans l'application. Dans la
procédure ci-dessous, nous décrivons un point d'accès ; votre point d'accès peut être différent. L'information
s'applique à tous les points d'accès.
SAP Access Control

Procédure
1. Sur l'écran Analyser risque d'accès, sous la section Résultats, sélectionnez une violation de risque ou
plusieurs violations puis sélectionnez le bouton de commande Atténuer risque.
L'écran Affecter des contrôles d'atténuation apparaît. L'application utilise l'information de la violation de
risque, comme l'ID de risque d'accès et affiche le contrôle d'atténuation pertinent.
2. Pour utiliser le contrôle d'atténuation indiqué par l'application :
1. modifiez l'information dans les zones pertinentes selon les besoins, comme la période de validité, l'ID de
contrôle et ainsi de suite.
3. Pour créer un nouveau contrôle :
1. Sélectionnez Créer contrôle et terminez les tâches pour créer un nouveau contrôle.
2. Sélectionnez Ajouter.
L'application ajoute une ligne vide à la liste de contrôles d'atténuation.
3. Saisissez l'information dans les zones pertinentes pour le nouveau contrôle.
4. Pour affecter des contrôles d'atténuation pour d'autres rôles ou demandes :
Étapes suivantes
4.1.4 Rôles types
Utilisation
Vous pouvez utiliser des rôles types pour fournir aux utilisateurs un ensemble d'attributs qu'ils peuvent
sélectionner lors de la création de demandes d'accès.
Exemple
Par exemple, vous indiquez que tous les rôles Finance sont valides pour le rôle type. Lorsqu'un utilisateur
demande un rôle Finance, il peut sélectionner des attributs supplémentaires tels que Région, Unité d'Affaires,
Division et ainsi de suite.
SAP Access Control

Remarque
● Vous devez activer le BAdI GRAC_TEMPLATE_ROLE pour activer la fonction pour les rôles types.
● Dans le BAdI, vous pouvez indiquer les attributs de rôle que l'utilisateur peut sélectionner.
Procédure
1. Sur la page à onglet Ecran de demande d'accès Accès utilisateur , sélectionnez un rôle puis sélectionnez
le bouton Rôle type. Un écran apparaît et affiche les attributs que l'utilisateur peut sélectionner pour le rôle.
Remarque
Le bouton est seulement actif si vous sélectionnez un rôle valide pour le rôle type. Vous indiquez les rôles
valides pour le rôle type.
2. Sélectionnez les attributs pour le rôle et terminez la demande d'accès.
Création de demandes d'accès [page 24]
Configuration de rôles types [page 44]
4.1.4.1 Configuration de rôles types
Pour activer des rôles types pour des demandes d'accès, vous implémentez le BAdI GRAC_TEMPALTE_ROLE.
Méthodes
Les méthodes suivantes sont disponibles pour le BAdI.
Remarque
La méthode IS_TEMPLATE_ROLE constitue la méthode minimale requise pour l'activation de rôles types.
SAP Access Control

Table 11 :
Méthode Description
IS_TEMPLATE_ROLE Vous utilisez cette méthode pour indiquer les rôles utilisateurs
que l'application prend en compte comme rôles types. Par
exemple, vous pouvez indiquer que tout rôle avec le schéma
d'appellation Z_Template_role... est considéré comme
rôle type.
GET_URL Vous utilisez cette méthode pour accéder à l'URL de l'applica

tion personnalisée. Cette méthode est appelée lorsque le rôle
type est ajouté à la demande. L'URL renvoyé par cette mé
thode s'affiche comme nouvelle fenêtre et affiche les détails
du rôle,
VALIDATE_ROLE Vous utilisez cette méthode pour contrôler la cohérence du

rôle type. L'application appelle cette méthode au cours de
l'envoi d'une demande d'accès. Cette méthode contrôle si les
informations supplémentaires fournies dans l'application per
sonnalisée sont cohérentes.
Cette implémentation de méthode doit renvoyer une liste de

messages d'erreur et de confirmation.
GET_PROVISIONING_TYPE Vous utilisez cette méthode pour déterminer si l'attribution de

privilèges d'accès standard ou personnalisée est requise pour
la demande d'accès. L'application appelle cette méthode au
cours de l'attribution de privilèges d'accès.
Le type d'attribution de privilèges d'accès 1 signifie qu'il s'agit

d'une attribution de privilèges d'accès personnalisée.
GET_PROVISIONING_OBJECTS Vous utilisez cette méthode pour renvoyer la liste d'objets

pour lesquels des privilèges d'accès doivent être attribués.
Cette méthode est appelée uniquement lorsque la méthode
GET_PROVISIONING_TYPE renvoie une valeur 1 (attribution
de privilèges d'accès personnalisée).
SET_PROVISIONING_STATUS Vous utilisez cette méthode pour indiquer le statut d'attribu

tion de privilèges d'accès.
SAP Access Control

4.1.5 Création de demandes d'accès basées sur des
utilisateurs modèles
Contexte
Vous pouvez utiliser les fonctions sur l'écran Accès utilisateur modèle pour créer des demandes d'accès pour de
nouveaux utilisateurs en copiant les autorisations d'un utilisateur existant. Cela vous autorise à utiliser les options
d'accès d'un utilisateur existant comme modèle et vous fait gagner du temps dans le processus de création
d'accès.
Par exemple, vous ajoutez de nouveaux salariés à votre équipe et vous voulez qu'ils aient le même accès que
d'autres membres de votre équipe. Au lieu de saisir la même information plusieurs fois, vous sélectionnez l'un de
vos salariés actuels comme utilisateur modèle et l'application copie l'information d'accès de celui-ci dans la
demande d'accès pour les nouveaux salariés.
Procédure
1. Sur le poste de travail Gestion des accès, sous le groupe de menu Création de demande, sélectionnez
Utilisateur modèle.
L'écran Accès utilisateur modèle apparaît.

2. Sur l'écran Sélectionner utilisateur, sélectionnez la zone Demande pour et sélectionnez Auto ou Autre.
3. Dans la page à onglet Détails de l'utilisateur, saisissez l'information pertinente dans les zones obligatoires puis
sélectionnez Suivant.
4. Sous la zone Sélectionner utilisateur modèle, sélectionnez la zone Utilisateur, recherchez et sélectionnez
l'utilisateur.
5. Sous la zone Sélectionner l'accès d'utilisateur, dans la liste Disponible, sélectionnez l'accès et les autorisations
dans l'utilisateur modèle que vous voulez copier vers le nouvel utilisateur.
6. Sous la zone Type de demande, sélectionnez la zone Type de demande, sélectionnez un type de demande puis
7. Saisissez les détails de la demande si besoin est, puis sélectionnez Soumettre.
C'est la procédure standard pour créer une demande d'accès dans l'application. Pour obtenir de plus amples
informations, reportez-vous à .
SAP Access Control

4.1.6 Modification des détails d'utilisateur
Contexte
Vous pouvez utiliser l'écran Demande d'accès pour modifier les détails pour votre utilisateur, comme le nom, le
poste, le gestionnaire, l'organisation, l'emplacement et ainsi de suite.
Procédure
1. Du poste de travail Gestion des accès, sous le groupe de menu Créations de demande d'accès, sélectionnez
Demande d'accès.
Remarque
Si vous utilisez la connexion d'utilisateur final, sur l'écran Page d'accueil d'utilisateur final, sélectionnez
Demande d'accès.
2. Sélectionnez la zone Type de demande et sélectionnez Modifier le compte.

3. Dans la page à onglet Accès d'utilisateur, sélectionnez Ajouter puis sélectionnez Système.
L'écran Sélectionner le système s'affiche.

4. Sélectionnez les systèmes pertinents, puis OK.
Dans la page à onglet Accès d'utilisateur, sous la colonne Attribution de privilèges d'accès de l'action,
l'application remplit automatiquement l'action comme Modifier utilisateur.
5. Sélectionnez la page à onglet Détails de l'utilisateur , modifiez les informations d'utilisateur si nécessaire, puis
sélectionnez Soumettre.
L'application envoie la demande à l'approbateur.
4.1.7 Copie de demandes
Utilisation
Sur l'écran Copier la demande, vous pouvez utiliser les informations des demandes d'accès précédentes pour
créer de nouvelles demandes.
SAP Access Control

Procédure
1. Du poste de travail Gestion des accès, sous le groupe de menu Demande d'accès, sélectionnez Copier la
demande.
L'écran Copier la demande s'affiche.
2. Dans la zone Numéro de demande, sélectionnez la demande à partir de laquelle les attributs sont à copier.
3. Dans la table Attributs, sélectionnez les attributs que vous voulez copier puis sélectionnez Suivant.
4. Dans la zone Demande pour, sélectionnez si la demande est pour Soi-même, Autre ou Multiple.
5. Modifiez l'information pertinente dans les pages à onglet Détails de l'utilisateur et Utilisateurs selon les
besoins puis sélectionnez Suivant.
Remarque
La page à onglet Utilisateurs est mise à disposition seulement si vous sélectionnez Demande pour :
Multiple.
6. Saisissez les détails de la demande pertinents selon les besoins, comme le système ou l'accès de rôle dans la
page à onglet Accès utilisateur et ainsi de suite, puis sélectionnez Suivant.
Remarque
Pour la procédure ci-dessus, les étapes 1 à 3 servent à copier la demande. Les étapes restantes suivent la
procédure standard pour créer une demande. Pour obtenir de plus amples informations, reportez-vous à .
4.1.8 Création de demandes d'affectation organisationnelle
Contexte
A l'écran Demande d'affectation organisationnelle, vous pouvez affecter des rôles aux objets de gestion
d'organisation (gestion de l'organisation), comme les postes, les jobs ou les organisations, au lieu d'utilisateurs.
Procédure
1. Du poste de travail Gestion des accès, sous le groupe de menu Demandes d'accès, sélectionnez Demande
d'affectation organisationnelle.
L'écran Demande d'affectation organisationnelle apparaît.

2. Sous la zone Détails de la demande, sélectionnez ou saisissez les informations dans les zones pertinentes.
3. Dans la zone Type d'objet de gestion de l'organisation, sélectionnez le type d'objet que vous voulez ajouter :
job, poste ou entité organisationnelle.
SAP Access Control

4. Recherchez et sélectionnez les objets de gestion de l'organisation.
1. Dans la page à onglet Accès utilisateur, sélectionnez Ajouter.
L'écran Sél.obj.GestOrg. apparaît.
2. Sélectionnez les systèmes pertinents, puis Rechercher.
3. De la liste Disponible, sélectionnez les objets de gestion de l'organisation pertinents et sélectionnez OK.
5. Recherchez et affectez des rôles aux objets de gestion de l'organisation.
1. Dans la page à onglet Accès d'utilisateur, sélectionnez un ou plusieurs objets de gestion de l'organisation
et sélectionnez Affecter rôle.
L'écran Rechercher rôles s'affiche.
2. Recherchez et sélectionnez les rôles pertinents puis sélectionnez OK.
6. Pour chacune des affectations d'objet de gestion de l'organisation et de rôle, vous pouvez activer ce qui suit :
○ Début de validité
○ Fin de validité
○ Ajouter commentaires
○ Action d'attribution de privilèges d'accès
4.2 Approbation de demande d'accès
Utilisation
L'application SAP GRC Access Control fournit un cadre normalisé et centralisé pour demander l'accès utilisateur
et système et pour réviser et gérer ces demandes. Le processus d'attribution de privilèges d'accès utilisateur
basique, comme indiqué par la plupart des administrateurs de système et de sécurité, implique les étapes
décrites ci-dessous.
Remarque
Le processus décrit est un exemple. Le processus de votre société peut être différent et peut avoir plus ou
moins d'étapes. L'application vous permet de personnaliser les étapes si nécessaire. Pour de plus amples
informations, voir l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous Governance,
Risk, and Compliance SAP GRC Access Control Workflow pour SAP GRC Access Control .
Conditions requises
● En dehors de l'application, vous avez identifié vos besoins de gestion et évalué votre approche pour gérer
l'accès utilisateur et l'accès système.
● Dans l'application, vous avez géré la révision et les workflows d'approbation.
Vous gérez les workflows dans l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous
Governance, Risk, and Compliance SAP GRC Access Control Workflow pour SAP GRC Access Control .
SAP Access Control

Processus
L'attribution de privilèges d'accès utilisateur est constitué des procédures suivantes :
1. Vérification de demandes d'accès

2. Analyse de risques d'accès
3. Gestion de risques
4. Autorisation de demandes
L'application met alors à disposition les demandes d'accès utilisateur.
Vous pouvez configurer des options d'attribution de privilèges d'accès comme la notification par e-mail,
l'attribution de privilèges d'accès automatique et ainsi de suite, à l'aide de l'activité IMG Gérer options
d'attribution de privilèges d'accès, sous Governance, Risk, and Compliance SAP GRC Access Control
AttributPrivilAccès utilisateur .
4.2.1 Vérification et autorisation des demandes d'accès
Utilisation
Sur l'écran Demande d'accès, les approbateurs peuvent réviser, refuser, modifier ou approuver des demandes
d'accès.
Processus
1. Pour réviser une demande d'accès, procédez comme suit :

○ Du poste de travail Ma page d'accueil, sélectionnez Corbeille de travail.
De la liste Work items, sélectionnez une demande d'accès pour l'ouvrir.
○ Du poste de travail Gestion des accès, sous le groupe de menu Administration des demandes d'accès,
sélectionnez Rechercher demandes.
Recherchez une demande puis sélectionnez le bouton de commande Administrateur pour l'ouvrir et la
réviser. Pour plus d'informations, voir .
L'application affiche l'écran Demande d'accès, identique à celui qu'utilisent les demandeurs lorsqu'ils
soumettent la demande. Les approbateurs voient toutes les informations que le demandeur a saisi. En outre,
les approbateurs voient des boutons de commande et des zones supplémentaires qui leur permettent de
réviser, refuser, modifier ou approuver la demande.
Remarque
Vous pouvez configurer les boutons de commande et les zones que les approbateurs peuvent voir. Par
exemple, vous pouvez autoriser les approbateurs à ajouter des rôles à une demande. Pour plus
d'informations, voir .
2. Révisez la demande et exécutez des actions si nécessaire, comme Approuver, Refuser et ainsi de suite.
3. Dans le coin supérieur droit, sélectionnez Stade pour afficher des informations sur le stade actuel du workflow
d'approbation et son statut.
SAP Access Control

4. Dans la page à onglet Violations de risque, vous pouvez afficher les résultats de l'analyse des risques que le
demandeur a effectuée ou vous pouvez effectuer votre propre analyse des risques.
Remarque
Vous pouvez configurer l'application pour exiger des approbateurs qu'ils effectuent une analyse des
risques avant d'approuver toute demande. Pour plus d'informations, voir .
5. Lorsque vous avez terminé la révision de la demande, sélectionnez Soumettre.
4.2.2 Corbeille de travail simplifiée
Utilisation
Vous utilisez la corbeille de travail simplifiée pour afficher les demandes d'accès nécessitant une approbation.
Remarque
Vous pouvez également utiliser la corbeille de travail classique pour traiter des demandes d'accès. Pour de plus
amples informations, reportez-vous à Corbeille de travail [page 17].
Procédure
Utilisez la procédure ci-dessous pour rechercher des demandes spécifiques :
1. A l'aide de la barre de curseur de réglage ou des boîtes d'entrée de date, sélectionnez une date spécifique ou
une plage de dates pour les demandes que vous voulez traiter.
2. Vous pouvez également sélectionner une catégorie comme Nouveau compte d'utilisateur pour limiter votre
recherche.
3. Sélectionnez un nombre de résultats à afficher par page (facultatif).
4. Sélectionnez un critère de tri comme Numéro de demande ou Demandé par (facultatif).
Le système récupère toutes les demandes qui correspondent à vos critères.
5. Cliquez sur un numéro de demande pour effectuer une analyse descendante des détails. Vous pouvez cliquer
sur l'icône d'indicateur pour marquer une demande pour traitement ultérieur (facultatif).
Remarque
Votre administrateur système doit configurer votre système pour vous permettre d'utiliser les processus
simplifiés de demande d'accès. Pour en savoir plus, consultez le Guide d'installation pour SAP Access Control
10.1, SAP Process Control 10.1 et SAP Risk Management 10.1 à l'adresse http://service.sap.com/instguides .
SAP Access Control

4.2.3 Analyse de risques lorsque vous approuvez des
demandes d'accès
Utilisation
A l'écran Demande d'accès, vous pouvez effectuer une analyse des risques et une analyse d'impact avant
d'approuver les demandes. Vous disposez des options suivantes pour effectuer l'analyse :
● Dans l'onglet Violations de risque, vous pouvez effectuer l'analyse et sauvegarder les résultats.
● Dans l'onglet Accès utilisateur, vous pouvez utiliser la caractéristique Simulation pour effectuer d'abord
l'analyse puis sélectionner la sauvegarde ou non des résultats.
Remarque
● Vous pouvez activer l'exigence que les approbateurs doivent analyser des risques avant d'approuver les
demandes d'accès. Vous gérez cette option dans l'activité IMG (transaction SPRO) Gérer workflows
MSMP (Multiple Stage Multiple Pass), sous Governance, Risk, and Compliance SAP GRC Access
Control Workflow pour SAP GRC Access Control . Dans la phase Gérer chemins d'accès, sous la section
Gérer stades, sélectionnez Afficher options des tâches. Sélectionnez la zone Analyse des risques obligatoire
et sélectionnez Oui ou Non le cas échéant.
● Vous pouvez autoriser les approbateurs à approuver des demandes d'accès malgré les risques. Vous gérez
cette option dans l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous
Governance, Risk and Compliance SAP GRC Access Control Workflow pour SAP GRC Access
Control . Dans la phase Gérer chemins d'accès, sous la section Gérer stades, sélectionnez Afficher options
des tâches. Cochez la case pour la zone Approuver malgré risque.
Procédure
seule différence est que la Simulation vous autorise à choisir si vous souhaitez sauvegarder les résultats ou non.
1. Du poste de travail Ma page d'accueil, sélectionnez Corbeille de travail. A l'écran Work items, sélectionnez
Gestion des accès. Sélectionnez une demande d'accès.
2. Exécutez une des options suivantes :
3. Dans la liste déroulante Type d'analyse, sélectionnez le type d'analyse pertinent.
○ Vous utilisez Analyse des risques pour identifier des violations d'autorisation affectées au rôle. Par
Remarque
Vous pouvez personnaliser SAP Access Control pour inclure des affectations de firefighter
automatiquement dans l'analyse des risques.
SAP Access Control

Vous gérez cette option dans l'activité IMG (transaction SPRO) Gérer options de configuration, sous
Governance, Risk, and Compliance SAP GRC Access Control . Pour le paramètre Prendre en
compte les affectations FF dans l'analyse des risques, saisissez les valeurs comme suit :
Table 12 :
Colonne Valeur
4. Sélectionnez Système et Ensemble de règles.

5. Sous la zone Options du résultat, sélectionnez le format, le type et les critères supplémentaires pour le
résultat de l'analyse.
Exemple
Table 13 :
Format : Synthèse exécutive

8. Si vous exécutez une simulation, vous pouvez procéder comme suit :
○ Sélectionnez Appliquer si vous voulez sauvegarder les résultats de l'analyse. L'information est
sauvegardée dans l'onglet Violations de risques et vous pouvez l'afficher quand vous ouvrez la demande.
Les résultats sont aussi mis à disposition de l'approbateur de la demande.
9. Dans l'onglet Violations de risques, vous pouvez choisir d'atténuer tout risque en sélectionnant le risque et
Atténuer le risque.
SAP Access Control

4.2.4 Atténuation des risques
Prérequis
Contexte
Remarque
Procédure
SAP Access Control

Étapes suivantes
4.2.5 Gestion de tâches et autorisations pour approbateurs de

demande
Contexte
Dans l'écran Détails du stade de la Configuration MSMP, vous pouvez sélectionner les tâches qui sont mises à
disposition des approbateurs sur l'écran Demande d'accès pour des approbateurs et indiquer ce qu'ils sont
autorisés à faire. Par exemple, vous pouvez autoriser les approbateurs à refuser une demande ou à envoyer la
demande à un autre approbateur.
Procédure
1. Sélectionnez l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous Governance, Risks,
and Compliance SAP GRC Access Control Workflow pour SAP GRC Access Control .
L'écran Configuration de Workflow MSMP apparaît.

2. Dans la phase Traiter options globales, sélectionnez le processus pour Workflow d'approbation de la demande
d'accès puis sélectionnez la phase Gérer chemins d'accès.
3. Sous la zone Gérer stades, sélectionnez Afficher options des tâches.
L'écran Définition du stade apparaît.

4. Sous la section Options de tâches, sélectionnez les cases à cocher pour les caractéristiques que vous voulez
mettre à disposition des approbateurs sur l'écran de demande d'accès.
SAP Access Control

Table 14 :
Zone Description
Modification configuration durée d'exécution : ok Utilise les modifications de configuration disponibles au

moment de l'exécution.
Rééval.chem. nv rôle Lorsqu'elle est appliquée au workflow de demande d'accès,

cette option autorise les approbateurs à analyser les rôles
dans la demande par rapport aux initiateurs pour détermi
ner si un autre workflow parallèle doit être créé. Vous pou
vez choisir parmi ce qui suit :
○ Tous les rôles du chemin d'évaluation.

Réévaluer tous les rôles.
○ Nouveaux rôles uniquement
Réévaluer seulement les nouveaux rôles.
○ Aucun
Ne pas réévaluer de rôles.
Réacheminer Autorise les approbateurs à réacheminer la demande à un

stade précédent comme alternative au refus de demande.
Remarque
Le workflow d'approbation est composé de stades et de
chemins. Pour un approbateur standard, l'application
n'affiche pas l'option de réacheminer dans le premier
stade, parce qu'il y a pas de stade précédent. Pour un
administrateur, l'option de réacheminement est disponi
ble pour tous les stades car l'administrateur peut en
voyer la demande vers des chemins différents.
Confirmer l'approbation Affiche un écran supplémentaire qui demande aux approba

teurs de confirmer qu'ils approuvent la demande.
Confirmer le refus Affiche un écran supplémentaire qui demande aux approba

teurs de confirmer qu'ils refusent la demande.
Approuver par e-mail Les approbateurs reçoivent des e-mails qui les informent
qu'une demande requiert leur attention. Ces e-mails in
cluent un lien qui ouvre l'écran d'attribution de privilèges
d'accès utilisateur.
Refus par e-mail Les approbateurs reçoivent des e-mails qui les informent
qu'une demande requiert leur attention. Ces e-mails in
cluent un lien qui ouvre l'écran d'attribution de privilèges
d'accès utilisateur.
Approuver malgré le risque Autorise les approbateurs à approuver des demandes mal
gré des violations de risque.
SAP Access Control

Zone Description
Réaffirmer Approuver Demande que les approbateurs confirment leurs identités

avant d'approuver les demandes.
Réaffirmer refus Demande que les approbateurs confirment leurs identités

avant d'approuver les demandes de refus.
Détails de demande de modification Autorise les approbateurs à modifier le contenu des deman
des.
Niveau d'approbation Autorise les approbateurs à approuver des demandes pour

les niveaux suivants :
○ Demande
Les approbateurs ont l'autorité pour approuver tous
les rôles dans une demande. Par exemple, les approba
teurs de sécurité peuvent approuver un rôle pertinent à
une demande.
○ Rôle
Les approbateurs ne peuvent approuver que les rôles
qui leur appartiennent.
○ Système et rôle
Les approbateurs ont l'autorité pour approuver des
systèmes et des rôles.
Niveau de refus Autorise les approbateurs à refuser des demandes pour les
niveaux suivants :
○ Demande
Les approbateurs ont l'autorité pour refuser tous les
rôles dans une demande. Par exemple, les approba
teurs de sécurité peuvent refuser un rôle pertinent à
une demande.
○ Rôle
Les approbateurs ne peuvent refuser que les rôles qui
leur appartiennent.
○ Système et rôle
Les approbateurs ont l'autorité pour refuser des systè
mes et des rôles.
Commentaires requis Demande que les approbateurs saisissent des commentai

res lorsqu'ils approuvent ou refusent une demande.
SAP Access Control

Zone Description
ID de personnalisation utilisateur final La personnalisation de l'utilisateur final (EUP) vous autorise

à définir le comportement des zones et des boutons de
commande sur l'écran Demander l'accès, comme ce qui
suit :
○ Valeurs par défaut pour les zones

○ Si la zone est obligatoire
○ Si la zone est modifiable
○ Si la zone est visible à l'écran
Vous avez renseigné les paramètres dans l'activité IMG Gé

rer la personnalisation d'utilisateur final, sous
Governance, Risk, and Compliance SAP GRC Access
Control Attribution de privilèges d'accès utilisateur .
Dans la zone ID de personnalisation utilisateur final, vous

saisissez l'ID de la personnalisation de l'utilisateur final que
vous voulez utiliser.
Substitution de type d'affectation ○ Directe

Les rôles sont affectés aux utilisateurs.
○ Indirecte
Les rôles sont affectés aux postes ou aux organisa
tions.
○ Attribution de privilèges d'accès combinée
Remarque
Dans la configuration d'attribution de privilèges d'accès,
vous devez aussi définir Attribution de privilèges d'accès
manuelle sur Vrai.
Ajout d'affectation Autorise les approbateurs à ajouter des affectations pour

des rôles ou des systèmes à la demande.
Demande refusée Autorise les approbateurs à refuser des demandes.
Transfert autorisé Autorise les approbateurs à envoyer des demandes à un au

tre approbateur.
Afficher l'écran de révision Autorise les approbateurs à voir l'écran Accéder à la

révision.
Analyse des risques requise Demande que les approbateurs effectuent une analyse des
risques avant d'approuver ou de refuser une demande.
SAP Access Control

Zone Description
Groupe d'e-mail Remarque

L'application n'utilise pas cette zone. Nous la fournis
sons seulement pour la compatibilité arrière.
Permettre l'attribution de privilèges d'accès manuelle Autorise les approbateurs à faire une attribution de privilè
ges d'accès directement depuis l'écran d'approbation de
stade.
4.3 Administration des demandes d'accès
Vous pouvez utiliser l'application SAP GRC Access Control pour gérer et réviser les demandes d'accès, les
affectations, les comptes d'utilisateur et les processus. L'application affiche ces fonctions dans le groupe de menu
Administration des demandes d'accès .
Pour localiser le groupe de menu, procédez comme suit :
1. Depuis la connexion de NWBC ou la connexion de Portail, sélectionnez le poste de travail Gestion des accès.
2. Sous le groupe de menu Administration de demandes d'accès, sélectionnez les activités pertinentes :
○ Création et gestion de modèles [page 59]
○ Recherche de demandes [page 60]
○ Vue des journaux d'attribution de privilèges d'accès [page 62]
○ Déblocage et suppression comptes utilisateur Self-Service pour mot de passe [page 62]
○ Délégation de l'approbateur [page 63]
4.3.1 Création et gestion de modèles
Prérequis
Vous avez créé des ID de personnalisation de l'utilisateur final (ID de personnalisation utilisateur final) dans
l'activité IMG Gérer la personnalisation d'utilisateur final sous Governance, Risk, and Compliance SAP GRC
Access Control Attribution de privilèges d'accès utilisateur .
SAP Access Control

Contexte
Vous pouvez utiliser l'écran Modèle de demande d'accès pour créer, mettre à jour ou supprimer des modèles. Les
modèles vous permettent de faciliter la création de demandes d'accès en définissant les détails que vous utilisez
constamment dans des demandes d'accès. Par exemple, vous savez que les membres de l'équipe de finance ont
toujours besoin de l'accès au système de finance et du rôle Finance_User. Vous pouvez créer un modèle avec ces
détails et utiliser ce modèle pour créer des demandes pour les nouveaux membres de finance. L'application insère
automatiquement les informations du modèle dans la nouvelle demande.
Procédure
1. Sur le poste de travail Gestion des accès, sous le groupe de menu Administration des demandes d'accès,
sélectionnez Gestion des modèles.
L'écran Modèle de demande d'accès s'affiche.

2. Sélectionnez Créer.
3. Dans la page à onglet Détails de modèle, saisissez les informations dans les zones obligatoires.
L'ID de personnalisation utilisateur final définit les zones et les valeurs par défaut sur l'écran de Demande
d'accès.
4. Dans la page à onglet Détails d'accès, saisissez des détails pour l'utilisateur, l' accès et ainsi de suite, selon les
besoins.
4.3.2 Recherche de demandes
Contexte
Vous pouvez utiliser les fonctions à l'écran Rechercher demande pour créer un état qui liste des demandes, le type
de demande, la priorité, le statut et la date d'échéance, parmi d'autres informations. Vous pouvez aussi utiliser
Rechercher demande pour ouvrir une demande spécifique, afficher des informations de gestion de demande,
afficher le journal d'audit pour une demande et annuler une instance de demande ou apporter d'autres
modifications, selon la configuration de votre système.
SAP Access Control

Procédure
1. Sélectionnez Gestion des accès Administration des demandes d'accès Rechercher demandes .
L'écran Rechercher demandes s'ouvre.

2. Indiquez les critères de recherche.
Procédez comme suit :

1. Sélectionnez le type d'objet à l'aide de la première liste déroulante.
2. Sélectionnez l'opérateur à l'aide de la deuxième liste déroulante, parmi les propositions suivantes :
○ est
○ n'est pas
○ commence par
○ contient
3. Saisissez ou sélectionnez la valeur dans la troisième zone.
4. Vous pouvez ajouter (facultatif) une ligne aux critères de recherche en sélectionnant le bouton de
commande plus (+) et en indiquant les zones appropriées. Sinon, vous pouvez supprimer une ligne des
critères de recherche en sélectionnant le bouton de commande correspondant moins (-).
3. Vous pouvez sauvegarder (facultatif) les critères de recherche en tant que variante en saisissant un nom dans
la zone Sauvegarder variante comme et en sélectionnant Sauvegarder.
4. Sélectionnez Rechercher.
Les résultats de la recherche apparaissent dans la table.

5. Pour afficher le journal d'audit, sélectionnez Journal d'audit. L'écran Journal d'audit s'ouvre.
Vous pouvez choisir de développer ou réduire les entrées de journal d'audit et imprimer le journal.
6. Pour afficher le statut d'instance, sélectionnez une demande dans la table et sélectionnez Statut d'instance.
L'écran Recherche de demande d'accès s'ouvre en affichant les détails d'instance.
7. Pour ouvrir une demande spécifique, sélectionnez la demande dans la table. L'écran Approuver demande
d'accès s'ouvre.
Vous pouvez afficher les détails de la demande suivants en sélectionnant l'onglet correspondant :
○ Accès utilisateur
○ Violations de risques
○ Détails d'utilisateur
○ Journal d'audit
○ Commentaires
○ Pièces jointes
8. Pour afficher des informations de gestion de demande, sélectionnez une demande dans la table et
sélectionnez Administration. L'écran Administration de demande apparaît.
La table en bas de l'écran affiche tous les chemins pour la demande. Sélectionnez un lien de chemin pour
afficher un écran qui vous autorise à approuver la demande correspondante.
9. Pour annuler une instance, sélectionnez la demande dans la table et sélectionnez Annuler instance. Une boîte
de dialogue de confirmation apparaît.
Sélectionnez Oui pour annuler l'instance de workflow ; sélectionnez Non pour écarter le dialogue sans annuler
l'instance.
Vous pouvez aussi choisir d'interrompre l'instance dans la fenêtre de dialogue qui apparaît.
SAP Access Control

4.3.3 Vue des journaux d'attribution de privilèges d'accès
Contexte
Vous pouvez utiliser l'écran Journaux d'attribution de privilèges d'accès, pour réviser des activités d'attribution de
privilèges d'accès et pour confirmer que l'attribution de privilèges d'accès a été terminée.
Remarque
Le journal d'attribution de privilèges d'accès affiche seulement des informations pour des demandes clôturées.
Pour afficher le statut des demandes qui sont en cours de traitement, voir .
Procédure
sélectionnez Journaux d'attribution de privilège d'accès.
L'écran Journaux d'attribution de privilèges d'accès apparaît.

2. Dans les zones de recherche, sélectionnez les critères pertinents, puis sélectionnez Rechercher.
Dans la table Résultats, l'application affiche les demandes qui remplissent vos critères de recherche.
La table affiche des informations comme le statut, l'action de l'attribution de privilèges d'accès, l'horodatage
et ainsi de suite.
4.3.4 Débloc. et suppr. cptes utilisateur Self-Service pr mot de

passe
Prérequis
Vous avez terminé les étapes de configuration dans l'activité IMG Gérer Self-Service pour mot de passe, sous
Governance, Risk, and Compliance SAP GRC Access Control Attribution des privilèges .
SAP Access Control

Contexte
Sur l'écran Gérer Self-Service pour mot de passe, vous pouvez débloquer ou supprimrer des comptes d'utilisateur
qui ont été bloqués en raison d'un trop grand nombre de tentatives de connexion infructueuses.
Remarque
Pour configurer des options de mot de passe comme l'activation ou la désactivation de self-service pour mot
de passe, le nombre de fois qu'un utilisateur peut tenter de se connecter avant que son compte d'utilisateur
soit bloqué et ainsi de suite, utilisez l'activité IMG Gérer Self-Service pour mot de passe, sous Governance,
Risk, and Compliance SAP GRC Access Control Attribution de privilèges .
Procédure
1. A partir du poste de travail Gestion des accès, sous le groupe de menu Administration des demandes d'accès,
sélectionnez Gérer Self-Service pour mot de passe.
L'écran Gérer Self-Service pour mot de passe apparaît.

2. Dans la zone ID utilisateur, saisissez le compte utilisateur.
3. Pour débloquer le compte d'utilisateur, sélectionnez-le puis sélectionnez Débloquer utilisateur.
Cette action réinitialise le nombre de tentatives de connexion infructueuses à zéro.

4. Pour supprimer le compte, sélectionnez-le puis sélectionnez Supprimer.
4.3.5 Délégation de l'approbateur
Contexte
Sur l'écran Délégation d'administrateur, vous pouvez réaffecter les tâches d'approbation d'un utilisateur à un
autre. Par exemple, en tant qu'administrateur, vous avez l'autorité de déléguer les tâches d'approbation
Approver_A à Approver_B.
Procédure
sélectionnez Délégation d'administration.
L'écran Délégation d'administration s'affiche.
SAP Access Control

2. Pour modifier la période de validité ou le statut d'une délégation existante, sélectionnez une délégation dans
la liste puis sélectionnez Ouvrir.
Modifiez la période de validité et le statut le cas échéant et sélectionnez Sauvegarder.

3. Pour créer une nouvelle délégation, sélectionnez Déléguer.
Sous la section Détails d'approbateur, saisissez l'information pour la personne qui a actuellement les tâches
d'approbation.
Sous la section Détails d'approbation délégués, saisissez les détails pour la personne à laquelle vous souhaitez
affecter les tâches d'approbation.
Étapes suivantes
Pour l'information sur la délégation de vos propres tâches d'approbation à un autre utilisateur, voir Délégation de
vos tâches d'approbation [page 18].
4.3.6 Création de demandes d'accès basées sur des modèles
Prérequis
L'administrateur a créé les modèles de demande d'accès. Pour plus d'informations, voir Création et gestion de
modèles [page 59].
Contexte
Vous pouvez utiliser l'écran Créer demande avec modèle pour créer de nouvelles demandes d'accès à l'aide de
modèles. Vous enregistrez des information de demande d'accès fréquemment utilisées dans des modèles, puis
vous utilisez les modèles pour créer de nouvelles demandes d'accès qui requièrent la même information. Les
avantages de cette méthode sont la cohérence et le gain de temps.
Procédure
1. Sur le poste de travail Gestion des accès, sous le groupe de menu Demande d'accès, sélectionnez Demande
basée sur modèle.
L'écran Créer demande avec modèle apparaît.

2. Sélectionnez un modèle et sélectionnez Suivant.
SAP Access Control

La page à onglet Détails de l'utilisateur apparaît. L'application renseigne automatiquement les zones avec les
informations détaillées d'utilisateur du modèle.
3. Saisissez les informations dans les zones obligatoires et apportez toute modification pertinente puis
4. Saisissez les détails de la demande selon les besoins, puis sélectionnez Soumettre.
Ces étapes font partie de la procédure standard pour créer les demandes d'accès.
Étapes suivantes
Pour obtenir de plus amples informations, reportez-vous à Création de demandes d'accès [page 24]
SAP Access Control

5 Gestion de risques d'accès
Utilisation
Le processus de gestion des risques implique la définition des priorités et l'exécution d'actions appropriées pour
adresser les occurrences de risque en fonction des résultats d'analyse des risques. Selon les caractéristiques de
risque, différentes méthodes peuvent être utilisées.
Processus
1. Effectuer l’analyse des risques d'accès

2. Priorité aux violations de risques
Identifier les risques qui doivent être adressés en premier en fonction des critères de risque. Les risques
ayant l'impact potentiel le plus élevé à travers l'organisation doivent avoir la priorité la plus élevée. Le résultat
de définition des priorités devrait être approuvé par les parties intéressées clés.
3. Identifier les causes profondes
Identifiez les autorisations spécifiques qui ont introduit les risques. Pour chaque salarié, déterminez si l'accès
est approprié pour effectuer ses responsabilités.
4. Modifier l’accès
L'approche préférentielle consiste à éliminer des risques le cas échéant. L'élimination d'un risque devrait
commencer au niveau le plus bas possible, en corrigeant la cause profonde.
5. Définir des contrôles pour atténuer le risque (le cas échéant)
Si un risque est inévitable ou jugé acceptable, des contrôles doivent être définis et implémentés pour atténuer
le risque. Une définition de contrôle peut inclure les risques associés, les instructions d'exécution, les
responsables et l'action à mener si le contrôle détecte une violation de directive.
Remarque
Si le contrôle approprié existe déjà, sautez cette étape et passez à l'étape 6.
6. Affecter des contrôles au risque atténué

Vous identifiez un contrôle approprié au risque et affectez un responsable. Ensuite vous activez le contrôle et
l'affectez au risque. En outre, vous affectez une personne à la surveillance des risques atténués.
7. Exécuter des contrôles
Le responsable (moniteur) sera en charge du suivi des étapes documentées dans le contrôle et effectuera ce
suivi périodiquement si nécessaire.
SAP Access Control

66 PUBLIC Gestion de risques d'accès
Figure 2 : Workflow par responsables fonctionnels
Résultat
Les risques détectés sont corrigés en supprimant l'accès et/ou l'atténuation.
5.1 Contrôles d'atténuation
Utilisation
Vous pouvez utiliser Contrôles d'atténuation pour associer des contrôles aux risques et les affecter aux
utilisateurs, rôles, profils ou objets HR. Vous pouvez alors définir des personnes comme moniteurs ou
approbateurs de contrôles et les affecter à des contrôles spécifiques. Vous pouvez aussi créer des organisations
et des processus de gestion pour aider à classer les contrôles d'atténuation.
A l'aide de la section Contrôles d'atténuation, vous pouvez effectuer les tâches suivantes :
● Créer des contrôles d'atténuation (que vous ne pouvez pas supprimer)
SAP Access Control

Gestion de risques d'accès PUBLIC 67
● Affecter les contrôles d'atténuation aux utilisateurs, rôles et profils qui comportent un risque
● Etablir une période pendant laquelle le contrôle est valide
● Indiquer des étapes pour surveiller les actions en conflit associées au risque
● Créer un administrateur, des moniteurs de contrôles, des approbateurs et des détenteurs de risque et leur
affecter des contrôles d'atténuation
Recherche de contrôles d'atténuation [page 68]
5.1.1 Recherche de contrôles d'atténuation
Contexte
Vous pouvez rechercher et afficher des contrôles d'atténuation à l'aide de l'écran de Contrôles d'atténuation.
Procédure
1. Sélectionnez Configuration Contrôles d'atténuation Contrôles d'atténuation
L'écran de Contrôles d'atténuation s'ouvre, affichant tous les Contrôles d'atténuation définis.
2. Sélectionnez Filtre, saisissez les critères dans l'ID de contrôle, Titre, Description et Organisation et appuyez
sur Entrée.
Les contrôles correspondants s'affichent dans le tableau.

3. Sélectionnez une ligne dans le tableau et Ouvrir pour afficher des informations sur un contrôle particulier.
Étapes suivantes
Contrôles d'atténuation [page 67]
SAP Access Control

5.2 Configuration de règle
Le poste de travail Configuration de la règle fournit un emplacement central pour créer et gérer des règles pour
atténuer des risques de demande d'accès.
Remarque
Le poste de travail Configuration de la règle est commun aux produits Access Control, Process Control et Risk
Management dans l'application GRC 10.1. Les groupes de menus et les alias disponibles sur l'écran sont
déterminés par les applications pour lesquelles vous détenez une licence. Le contenu dans cette rubrique
couvre les fonctions spécifiques à SAP GRC Access Control. Si vous détenez une licence pour des produits
supplémentaires (tels que Process Control ou Risk Management), reportez-vous à leurs systèmes d'aide
spécifiques.
Le poste de travail Configuration de la règle contient les sections Access Control suivantes :
● Gestion des règles d'accès [page 80]

● Règles d'accès critiques [page 95]
● Règles d'accès d'exception [page 69]
● Règles générées [page 77]
5.2.1 Règles d'accès d'exception
Utilisation
Les règles d'exception éliminent les faux positifs en se basant sur les restrictions au niveau organisationnel. Cela
active un reporting basé sur l'exception pour des règles organisationnelles et des règles supplémentaires.
Règles d'organisation [page 70]
Création d'une règle d'organisation à l'aide de l'assistant [page 71]
SAP Access Control

5.2.1.1 Règles d'organisation
Utilisation
La fonctionnalité de règles d'organisation fournit un filtre supplémentaire pour vos états de séparation des tâches
(SoD). Les règles d'organisation sont utilisées pour éliminer des risques faux positifs dans vos états d'analyse de
risque d'accès. Utilisez cette fonctionnalité uniquement pour le reporting basé sur les exceptions.
Avant l'implémentation, les entreprises doivent faire une analyse pour s'assurer que leur situation justifie
l'utilisation de règles d'organisation. Vous ne devez pas établir de règles d'organisation jusqu'à la phase de
correction de votre projet. Vous devez créer les règles organisationnelles uniquement après avoir identifié un
scénario de règle organisationnelle possible.
Attention
Si vous créez des règles organisationnelles de façon incorrecte, vous pouvez potentiellement filtrer trop. En en
filtrant trop, vous ne pouvez pas identifier les problèmes de contrôle possibles avec votre accès. Du point de
vue du contrôle, il est conseillé de surdéclarer (génération de faux positifs) plutôt que de sous-déclarer
(génération de faux négatifs).
Recommandation
Utilisez les règles d'organisation exclusivement pour le reporting basé sur l'exception afin de supprimer des
conflits faux positifs qui résultent de la séparation au niveau de l'organisation.
N'utilisez pas de règles d'organisation pour regrouper des utilisateurs dans des états, par niveau
organisationnel, pour répartir les états SoD sur divers niveaux de gestion.
En raison de l'impact potentiellement considérable des règles d'organisation en matière de performance,

utilisez-les uniquement pour les situations où l'entreprise a pris une décision consciente, à savoir effectuer une
séparation via les niveaux organisation.
Exemple
Un client dispose d'un centre de services partagés qui permet à un membre de l'équipe de traiter des factures
fournisseurs et créer des paiements fournisseur. La plupart du temps, cette action peut représenter un conflit
de risque élevé. Cependant, le centre de services partagés a également séparé les membres de son équipe de
telle sorte que le même salarié ne puisse pas traiter la facture et effectuer les paiements dans le même niveau
organisationnel.
Création d'une règle d'organisation [page 71]
Création d'une règle d'organisation à l'aide de l'assistant [page 71]
SAP Access Control

5.2.1.1.1 Création d'une règle d'organisation à l'aide de
l'assistant
Utilisation
L'assistant de règle d'organisation accélère le processus de création d'une règle d'organisation et élimine des
entrées non valides possibles en raison d'une alimentation manuelle.
Procédure
Suivez les étapes ci-dessous :
1. Du poste de travail Configuration, localisez la section Règles d'accès d'exception. Sélectionnez Assistant de
création de règle d'organisation.
2. Vue d'ensemble - Lire les instructions au premier stade et sélectionnez Suivant.
3. Sélectionner système et ensemble de règles - Sélectionnez l'ERP Système dans lequel vous devez travailler.
Sélectionnez les Ensembles de règles requis. Vous pouvez sélectionner plusieurs ensembles de règles en
maintenant enfoncé le bouton de contrôle et en sélectionnant plusieurs ensembles de règles. Sélectionnez
Suivant.
4. Réviser les niveaux d'organisation - Sélectionnez les Niveaux d'organisation des risques existants.
Sélectionnez Suivant.
5. Sélectionner les valeurs organisationnelles - Sélectionnez les Valeurs de niveau d'organisation du système
ERP. Vous pouvez aussi supprimer les valeurs que vous ne voulez pas utiliser. Sélectionnez Suivant.
6. Réviser les règles d'organisation - Réviser les règles. Utilisez la zone Format de règle d'organisation pour
ajouter un indicatif commun à toutes les règles qui seront générées pour simplifier le tri. Sélectionnez Suivant.
7. Générer règles - Sélectionnez Générer règles pour terminer la tâche.
5.2.1.1.2 Création d'une règle d'organisation
Utilisation
Utilisez cette fonctionnalité uniquement pour le reporting basé sur les exceptions.
Conditions requises
Vous pouvez créer des règles d'organisation seulement après avoir identifié un scénario de règle organisationnelle
possible.
SAP Access Control

Procédure
Pour créer une règle d'organisation :
1. Sélectionnez Configuration Règles d'accès d'exception Règles d'organisation .

L'écran Règles d'organisation s'affiche.
3. Saisissez les informations pertinentes dans toutes les zones requises. Les zones obligatoires sont marquées
d'un astérisque (*).
Remarque
○ ID de règle d'organisation : Le code d'identification pour la règle d'organisation. Saisissez un code
alphanumérique à dix caractères, pouvant contenir des traits de soulignement (_). Les espaces ne sont
pas autorisés.
○ ID RèglOrgParente : Si vous créez une règle d'organisation toute nouvelle, cette zone n'est pas requise.
Si vous créez une règle d'organisation basée sur une règle précédemment créée, sélectionnez l'ID de la
règle d'organisation supérieure que vous voulez utiliser.
○ ID de risque : Sélectionnez parmi la liste d'ID de risque disponibles
○ Description : Saisissez une description significative pour cette règle.
4. Sélectionnez Système si vous voulez activer la règle d'organisation pour des systèmes spécifiques seulement.
Remarque
Limiter les règles à certains systèmes peut améliorer les temps de réponse.
5. Sélectionnez Ajouter pour affecter plusieurs niveaux d'organisation et des valeurs correspondantes pour la
durée de la règle d'organisation, sa condition et son statut. Sélectionnez Supprimer pour supprimer un niveau
d'organisation précédemment saisi.
Un message de confirmation signalant que les données ont été sauvegardées s'affiche.
7. Sélectionnez Fermer pour afficher la règle d'organisation que vous avez créée.
Résultat
L'ID de la règle d'organisation est ajouté à la liste des règles d'organisation.
Modification d'une règle d'organisation [page 73]
Suppression d'une règle d'organisation [page 74]
SAP Access Control

5.2.1.1.3 Modification d'une règle d'organisation
Utilisation
Utilisez cette fonctionnalité pour modifier une règle d'organisation existante.
Procédure

2. Sélectionnez l'ID de règle d'organisation pour la règle d'organisation que vous voulez modifier puis
sélectionnez Ouvrir.
L'écran pour l'ID d'organisation que vous avez sélectionné apparaît et vous pouvez y saisir vos modifications.
3. Modifiez les règles d'organisation le cas échéant.
Vous pouvez modifier les données uniquement dans les zones suivantes :
○ ID règle d'organisation parente
○ Description
Dans l'onglet Niveau d'organisation, vous pouvez seulement modifier des données dans les zones suivantes :
○ Valeur initiale
○ Valeur finale
○ Condition
○ Statut
Remarque
Vous ne pouvez pas modifier d'informations dans l'onglet Systèmes pour des ID de règle d'organisation
parente.
Un message de confirmation signalant que les données ont été sauvegardées s'affiche.
5. Sélectionnez Fermer.
Modification du volume important de règles d'organisation
Les administrateurs peuvent utiliser les activités IMG suivantes (de la transaction SPRO), sous Governance, Risk
and Compliance SAP GRC Access Control Analyse de risque d'accès Règles SoD pour créer et modifier un
volume important de règles d'organisation :
● Téléchargement de règles supplémentaires

● Télédéchargement de règles supplémentaires
SAP Access Control

Suppression d'une règle d'organisation [page 74]
5.2.1.1.4 Suppression d'une règle d'organisation
Contexte
Utilisez cette fonctionnalité pour supprimer une règle d'organisation existante.
Attention
La suppression d'une règle d'organisation invalide toute règle générée à partir de cette règle d'organisation.
Procédure

2. Sélectionnez l'ID de règle d'organisation pour la règle d'organisation que vous voulez supprimer et Supprimer.
Un écran de confirmation apparaît.

3. Sélectionnez OK.
Étapes suivantes
Modification d'une règle d'organisation [page 73]
SAP Access Control

5.2.1.2 Création d'une règle supplémentaire
Utilisation
Créez une règle supplémentaire pour garantir des résultats d'analyse corrects pour une violation qui pourrait être
rapportée comme un faux positif.
Procédure
Pour créer une règle supplémentaire :
1. Sélectionnez Configuration Règles supplémentaires .

3. Dans la liste déroulante Système, sélectionnez le système cible dans lequel cette règle supplémentaire se
trouve.
Pour créer la même règle dans plusieurs systèmes cibles, vous devez créer une règle pour chaque système.
4. Saisissez l'ID de fonction qui requiert un contrôle supplémentaire pour déterminer si l'utilisateur peut
exécuter la fonction. Si vous ne connaissez pas l'ID de fonction, cliquez sur Rechercher.
5. Saisissez un ID de risque (facultatif). Si vous ne connaissez pas l'ID de règle, cliquez sur Filtrer.
6. Saisissez une description pour la règle supplémentaire.
7. Saisissez le Nom d'une table de base de données.
Vous pouvez saisir une table personnalisée ou une table fournie par SAP.
8. Saisissez l'ID utilisateur ou le nom du rôle dans la zone Nom de zone de contrôle (BNAME ou UNAME).
9. La liste déroulante Inclure les violations contrôle si l'état des conflits SoD inclut ou exclut les violations pour
les objets (utilisateur, rôle, profil et ainsi de suite) qui répondent aux critères de la règle en se basant sur les
entrées de la table.
Pour indiquer que les violations pour les objets (utilisateur, rôle, profil et ainsi de suite) qui répondent aux
critères de la règle supplémentaire sont inclus dans les états, sélectionnez Oui.
Si vous sélectionnez Non, l'état exclut les violations pour les objets (utilisateur, rôle, profil et ainsi de suite) qui
répondent aux critères du contrôle supplémentaire.
Remarque
Lorsque vous faites correspondre des valeurs de caractères génériques, la valeur du caractère générique
requiert une correspondance exacte de l'entrée dans la règle et de l'entrée à contrôler dans la table SAP.
Résultat
Si vous avez configuré le paramètre Utiliser l'analyse SoD supplémentaire sur Oui, le système prend en compte la
règle supplémentaire lorsqu'il génère l'état.
SAP Access Control

Modification d'une règle supplémentaire [page 76]
Suppression d'une règle supplémentaire [page 76]
5.2.1.2.1 Modification d'une règle supplémentaire
Procédure
1. Sélectionnez Configuration Règles d'accès d'exception Règles supplémentaires .

2. Sélectionnez Filtrer.
Une ligne vide apparaît au début de la liste de règles supplémentaires.

3. Saisissez des critères de recherche pour localiser la règle supplémentaire que vous voulez modifier.
4. Une fois que vous trouvez la règle supplémentaire, modifiez-la puis sélectionnez Sauvegarder.
Un message de confirmation apparaît.
Étapes suivantes
Création d'une règle supplémentaire [page 75]
Suppression d'une règle supplémentaire [page 76]
5.2.1.2.2 Suppression d'une règle supplémentaire
Procédure
1. Sélectionnez Configuration Règles d'accès d'exception Règles supplémentaires .

Une ligne vide apparaît au début de la liste de règles supplémentaires.

3. Saisissez des critères de recherche pour localiser la règle supplémentaire que vous voulez supprimer.
4. Dès que vous avez trouvé la règle supplémentaire, sélectionnez la case à cocher à côté de cette dernière puis
sélectionnez Supprimer.
SAP Access Control

Étapes suivantes
Création d'une règle supplémentaire [page 75]
Modification d'une règle supplémentaire [page 76]
5.2.1.3 Règles générées
Utilisation
L'analyse de risque d'accès traite les risques que vous définissez. Elle génère des règles d'après les actions ou
approbations qu'un risque d'accès comporte.
Utilisez cette fonctionnalité pour afficher les états contenant les résultats de règles générées à l'aide de la
fonctionnalité Risques d'accès.
Quand vous générez les risques d'action de séparation des tâches (SoD), l'analyse de risque d'accès crée une
règle séparée pour chaque combinaison d'actions présentant un risque.
Exemple
Si un risque d'accès inclut deux fonctions, chacune comprenant cinq actions, et que le risque d'accès
s'applique à deux systèmes, l'analyse de risque d'accès génère 20 règles distinctes à partir du risque d'accès.
Exemple
Vous pouvez avoir un risque d'accès (P086) qui inclut les fonctions suivantes :
● MD12 avec 21 actions

● BR08 avec 46 actions
● TS22 avec 34 actions
Si ce risque d'accès s'applique à trois versions différentes de SAP qui s'exécutent toutes dans votre
environnement, P086 est alors converti en 98 532 (21x46x34x3) règles distinctes.
Remarque
Le nombre maximum de règles SoD autorisé par risque est de 1 679 615. Lorsque l'analyse de risque d'accès
essaye de traiter un risque d'accès qui génère plus du nombre maximum de règles, le message d'erreur suivant
apparaît :
ERREUR : Le risque : #### a dépassé le nombre maximum de règles (1 679 615) qui
peuvent être générées pour un risque
SAP Access Control

Aperçu des règles d'accès [page 78]
Détail des règles d'accès [page 79]
Risques d'accès [page 90]
Règles d'accès d'exception [page 69]
5.2.1.3.1 Aperçu des règles d'accès
Contexte
Utilisez l'écran Aperçu des règles d'accès pour afficher un état récapitulatif des règles d'accès.
Procédure
1. Sélectionnez Configuration Règles générées Synthèse de règle d'accès .
L'écran Etat synthèse de règle d'accès s'affiche.

2. Saisissez les critères de sélection pour limiter les résultats pour votre état.
3. Sélectionnez Exécuter en avant-plan ou Exécuter en arrière-plan pour afficher l'état.
Nous vous conseillons d'exécuter l'état en arrière-plan lorsque vous générez un vaste ensemble de résultats.
Si vous sélectionnez Exécuter en arrière-plan, le dialogue Ordonnanceur de jobs d'arrière-plan apparaît.

Saisissez les détails d'ordonnanceur et sélectionnez OK. Le numéro de job apparaît sur l'écran Niveau
utilisateur.
Pour afficher le job, naviguez jusqu'à Gestion des accès Planification Jobs d'arrière-plan .
Si vous sélectionnez Exécuter en avant-plan, confirmez que vous voulez exécuter l'analyse immédiatement en
sélectionnant OK. Les résultats de l'analyse s'affichent dans une nouvelle fenêtre.
Résultats
L'état récapitulatif des règles d'accès affiche les relations entre les fonctions et les risques d'accès.
SAP Access Control

Étapes suivantes
Détail des règles d'accès [page 79]
Règles générées [page 77]
5.2.1.3.2 Détail des règles d'accès
Prérequis
Vous devez générer des règles à l'aide de la fonctionnalité Risques d'accès avant de pouvoir afficher un état
détaillé des règles d'accès.
Contexte
Utilisez l'écran Détail des règles d'accès pour afficher un état détaillé des règles d'accès.
Procédure
1. Sélectionnez Configuration Règles générées Détail des règles d'accès .
L'écran État détaillé des règles d'accès s'affiche.

2. Saisissez les critères de sélection pour limiter les résultats pour votre état.
3. Sélectionnez Exécuter en avant-plan ou Exécuter en arrière-plan.
Nous vous conseillons d'exécuter l'état en arrière-plan lorsque vous générez un vaste ensemble de résultats.

utilisateur.
SAP Access Control

Résultats
L'état des détails des règles d'accès affiche les règles générées pour les actions comme pour les approbations.
Étapes suivantes
Aperçu des règles d'accès [page 78]
Règles générées [page 77]
5.2.2 Gestion des règles d'accès
Utilisation
Vous pouvez utiliser la section de Gestion des règles d'accès pour gérer les entités de règle d'accès suivantes :
● Ensembles de règles - Il s'agit de catégories ou de regroupements de règles utilisés essentiellement pour

déterminer le groupe de risques d'accès à utiliser lors de l'exécution d'une analyse de risque d'accès.
● Fonctions - Il s'agit d'une action ou d'un ensemble actions qu'un salarié doit effectuer pour atteindre un
objectif spécifique.
● Risques d'accès - Il s'agit d'objets qui identifient des problèmes d'accès potentiels que votre entreprise peut
rencontrer.
Fonctionnalités
A l'aide de la section de Gestion des règles d'accès, vous pouvez effectuer les opérations suivantes :
● Rechercher et afficher les ensembles de règles, fonctions et risques d'accès existants

● Créer de nouveaux ensembles de règles, fonctions et risques d'accès
● Modifier des ensembles de règles, fonctions et risques d'accès existants
● Supprimer des ensembles de règles, fonctions et risques d'accès, si nécessaire
Ensembles de règles [page 81]
Fonctions [page 85]
SAP Access Control

5.2.2.1 Ensembles de règles
Utilisation
Les ensembles de règles sont des définitions arbitraires qui s'appliquent seulement aux risques d'accès et aux
règles. Ils définissent des catégories ou des regroupements de règles. Un ensemble de règles est utilisé
principalement pour déterminer le groupe de risques d'accès qui doit être utilisé lorsque vous exécutez une
analyse de risque d'accès.
Lorsque vous sélectionnez le lien Ensemble de règles, l'écran Ensembles de règles apparaît, affichant les
ensembles de règles existants auxquels vous êtes autorisé à accéder.
A l'aide de l'écran Ensemble de règles, vous pouvez effectuer les opérations suivantes :
● Saisir des critères de recherche pour rechercher un ensemble de règles particulier à l'aide du bouton Filtrer
● Définir une nouvelle requête
● Réorganiser les options de colonne pour créer une vue personnalisée de l'écran
Activités
Les tâches associées à la gestion des risques incluent la création, l'affichage, la modification et la suppression des
ensembles de règles.
Création d'un nouvel ensemble de règles [page 81]
Affichage d'un ensemble de règles [page 82]
Modification d'un ensemble de règles [page 83]
Suppression d'un ensemble de règles [page 84]
5.2.2.1.1 Création d'un ensemble de règles
Contexte
Un ensemble de règles inclut un identifiant et une description. Pour créer un ensemble de règles, vous choisissez
un nom et saisissez une description.
SAP Access Control

Procédure
1. Sélectionnez Configuration Gestion des règles d'accès Ensembles de règles .

L'écran Ensemble de Règles : Nouveau apparaît.

3. Saisissez les valeurs appropriées dans les zones :
○ ID de l'ensemble de règles : Saisissez un nom pour l'ensemble de règles. Ce nom doit être clair pour les
autres membres de votre organisation.
○ Description : Saisissez une description de l'ensemble de règles. Cette description doit être claire pour les
autres utilisateurs de votre organisation.
Résultats
L'analyse de risque d'accès sauvegarde le nouvel ensemble de règles.
Étapes suivantes
5.2.2.1.2 Affichage d'un ensemble de règles
Contexte
Pour modifier ou supprimer un ensemble de règles, recherchez d'abord cet ensemble de règles et affichez-le.
Procédure
1. Sélectionnez Configuration Gestion des règles d'accès Ensembles de règles .
L'écran Ensembles de règles s'affiche.
SAP Access Control

Une ligne vide apparaît au début de la liste d'ensembles de règles.

3. Dans les zones ID de l'ensemble de règles et Description, saisissez un texte pour filtrer le nombre de résultats
puis appuyez sur Entrée.
Le filtre retourne tous les ensembles de règles qui répondent aux critères de recherche. Si vous ne filtrez pas
le texte dans ces zones, la recherche retourne tous les ensembles de règles existants. La recherche supporte
les caractères génériques (*).
Résultats
Le nombre d'ensembles de règles retournés dépend de la restriction de vos critères de recherche. Si la recherche
ne retourne pas les ensembles de règles que vous attendiez, exécutez à nouveau la recherche avec des critères de
recherche plus restrictifs.
Étapes suivantes
5.2.2.1.3 Modification d'un ensemble de règles
Contexte
Vous ne pouvez modifier que la description d'un ensemble de règles. Une fois l'ensemble de règles créé, vous ne
pouvez pas modifier son ID.
Procédure
1. Suivez la procédure dans pour rechercher l'ensemble de règles que vous voulez traiter.
2. Sélectionnez l'ensemble de règles puis cliquez sur Ouvrir.
La zone Description de cet ensemble de règles devient blanche pour indiquer que vous pouvez traiter la zone
de texte.
SAP Access Control

3. Modifiez le texte et cliquez sur Sauvegarder.
L'onglet Historique des modifications de l'écran Ensemble de règles affiche toutes les modifications apportées
à l'ensemble de règles sélectionné.
Étapes suivantes
5.2.2.1.4 Suppression d'un ensemble de règles
Prérequis
Avant de pouvoir supprimer un ensemble de règles, vous devez supprimer l'affectation d'ensemble de règles de
tous les risques d'accès en affectant un ensemble de règles différent à chaque risque d'accès.
Contexte
Vous pouvez supprimer un ensemble de règles. Cependant, si l'ensemble de règles est affecté à un autre
ensemble de règles, à un risque d'accès ou à une règle, vous ne pouvez pas le supprimer.
Procédure
1. Suivez la procédure dans pour rechercher l'ensemble de règles que vous voulez supprimer.
2. Sélectionnez l'ensemble de règles que vous voulez supprimer puis sélectionnez Supprimer.
Une boîte de dialogue vous demandant de confirmer que vous voulez supprimer l'ensemble de règles
s'affiche.
Étapes suivantes
Création d'un ensemble de règles [page 81]
SAP Access Control

5.2.2.2 Fonctions et risques
Utilisation
Une fonction est un regroupement comprenant une ou plusieurs actions. Un risque d'accès est un objet qui
associe deux fonctions en conflit ou plus ou une action critique et une approbation critique. Les actions critiques
et les approbations critiques sont aussi appelées des attributs. Les attributs ont un impact sur la façon dont le
risque d'accès se traduit en une règle d'accès.
Lorsque vous définissez un risque d'accès, vous spécifiez une combinaison de fonctions qui représentent un
risque d'accès au niveau d'un salarié.
Remarque
La définition d'un risque comprend d'autres attributs ayant un impact sur la manière dont le risque se convertit
en règles. La condition qui détermine la présence d'un risque est constituée d'une ou plusieurs fonctions qui
créent un conflit quand elles sont combinées.
Les actions affectées à une fonction représentent les tâches qu'un salarié doit pouvoir accomplir pour atteindre
un objectif spécifique.
Cependant, des fonctions combinées peuvent entrer en conflit.
Exemple
Un salarié qui a accès aux enregistrements d'inventaire ne devrait pas avoir l'autorisation de signer les
livraisons. Quand ces deux fonctions sont combinées, elles présentent un risque de séparation des tâches.
Fonctions [page 85]
5.2.2.2.1 Fonctions
Utilisation
Les Fonctions sont les modules de risques d'accès. Elles définissent une tâche ou un ensemble de tâches qu'un
salarié doit effectuer pour atteindre un objectif spécifique.
SAP Access Control

Ces tâches sont appelées Actions.
Fonctionnalités
Les Fonctions ont les attributs suivants :
Table 15 : Attributs de fonction
Attribut Description
ID fonction Le code d'identification de la fonction.
Description Une description synthétique en texte en clair de la fonction qui

identifie sa nature pour les utilisateurs.
Processus de gestion Une valeur qui définit à quel processus de gestion cette fonc
tion appartient. Son utilisation a pour objectif la classification.
Etendue de l'analyse Un paramètre qui détermine si la fonction s'applique unique

ment à un système unique (par exemple, SAP) ou à plusieurs
systèmes.
Activités
Lorsque vous définissez une fonction, vous associez une ou plusieurs actions à cette fonction. Chacune de ces
actions a une approbation associée (objet de sécurité) qui définit l'étendue de l'accès pour l'action.
Création d'une fonction [page 87]
Recherche et affichage d'une fonction [page 88]
Modification d'une fonction [page 89]
Suppression d'une fonction [page 89]
SAP Access Control

5.2.2.2.1.1 Création d'une fonction
Contexte
Vous créez une fonction en lui attribuant un ID et une description et en définissant ses attributs.
Procédure
1. Sélectionnez Configuration Gestion des règles d'accès Fonctions .

La Fonction : nouveau apparaît.

3. Saisissez les attributs de base de la fonction.
1. Dans la zone ID fonction, saisissez le code à 8 caractères pour la fonction.
La plupart des entreprises choisissent une convention d'appellation pour ce code. Le SAP GRC Access
Control affecte aux fonctions par défaut un code à quatre caractères.
2. Dans la zone Description, saisissez une description en texte en clair de la fonction.
Vous utilisez cette description pour identifier la fonction dans l'interface.
3. Dans la liste déroulante Processus de gestion, sélectionnez le processus de gestion auquel appartient
cette fonction.
La zone Processus de gestion est une zone obligatoire. Il est vivement recommandé d'associer chaque
fonction avec son propre processus de gestion à moins que la fonction n'appartienne à plus d'un
processus.
4. Dans la liste déroulante Périmètre d'analyse, sélectionnez soit Système unique soit Système croisé.
○ Choisissez Système unique si la fonction ne s'applique qu'à une seule plate-forme d'entreprise
(système SAP ou externe).
○ Choisissez Système croisé si la fonction s'applique à plusieurs plates-formes d'entreprise (systèmes
SAP et externe(s)).
4. Vous pouvez associer cette fonction avec une action ou une autorisation. Utilisez la liste d'Actions pour
associer une action à une fonction, ajouter une action à la liste ou supprimer une action de la liste.
5. Sélectionnez l'onglet Approbations (facultatif).
L'écran Approbations apparaît, affichant les approbations (objets d'autorisation) pour toutes les actions qui
ont été ajoutées à la fonction.
Attention
Cet écran vous permet de limiter davantage l'accès défini dans l'objet d'approbation. Vous ne pouvez pas
étendre l'accès ou reconfigurer l'objet d'approbation.
Pour modifier les restrictions d'accès :

○ Si vous n'avez pas besoin de modifier d'approbation associée, utilisez le dialogue Définition d'approbation.
SAP Access Control

○ Pour afficher et évaluer les détails d'une approbation avant de la modifier, utilisez l'onglet Approbations
pour développer et afficher chaque approbation.
Étapes suivantes
5.2.2.2.1.2 Recherche et affichage d'une fonction
Contexte
Pour modifier ou supprimer une fonction, vous devez d'abord la rechercher et l'afficher.
Procédure
1. Sélectionnez Configuration Gestion des règles d'accès Fonction .

2. Sélectionnez Filtre.
Une ligne vide apparaît au début de la liste de fonctions.

3. Dans les zones ID de fonction et Description, saisissez un texte pour limiter le nombre de résultats puis
appuyez sur Entrée.
Le filtre retourne toutes les fonctions qui répondent aux critères de recherche.
Limitez votre recherche avec des filtres ou des critères de recherche ou la recherche retourne toutes les
fonctions existantes. La recherche supporte les caractères génériques (*).
Étapes suivantes
SAP Access Control

5.2.2.2.1.3 Modification d'une fonction
Contexte
Vous pouvez modifier tout aspect d'un fonction à l'exception de son ID.
Procédure
1. Suivez la procédure pour trouver la fonction que vous souhaitez traiter.

2. Après avoir trouvé la fonction, sélectionnez la ligne puis le bouton de commande Ouvrir.
3. Modifiez la fonction.
Les modifications que vous pouvez apporter à une fonction sont les mêmes que les attributs que vous
définissez dans .
Étapes suivantes
5.2.2.2.1.4 Suppression d'une fonction
Contexte
Faites attention lorsque vous supprimez une fonction. Vous devez d'abord supprimer tout risque existant de la
fonction avant de la supprimer elle-même.
SAP Access Control

Procédure
1. Sélectionnez Configuration Gestion des règles d'accès Fonctions .

Une ligne vide apparaît au début de la liste de fonctions.

3. Saisissez des critères de recherche pour localiser la fonction que vous voulez supprimer.
Vous pouvez vous référer à pour obtenir des instructions sur la recherche de la fonction que vous voulez
supprimer.
4. Après avoir trouvé la fonction, sélectionnez la ligne puis le bouton de commande Supprimer.

Étapes suivantes
5.2.2.2.2 Risques d'accès
Utilisation
Les risques d'accès identifient des problèmes d'accès potentiels que votre entreprise peut rencontrer.
Utilisez cette fonctionnalité pour créer, afficher, modifier ou supprimer un risque d'accès.
Création de risques d'accès [page 91]
Recherche et affichage de risques d'accès [page 93]
Modification d'un risque d'accès [page 94]
Suppression d'un risque d'accès [page 94]
SAP Access Control

5.2.2.2.2.1 Création de risques d'accès
Contexte
Un risque d'accès requiert un identifiant et des attributs définis.
Procédure
1. Sélectionnez Configuration Gestion des règles d'accès Risques d'accès . L'écran Risque d'accès
s'affiche.
3. Saisissez les attributs de base du risque d'accès :
1. Dans la zone ID de risque, saisissez un code alphanumérique à 4 caractères pour identifier le risque.
Ce code ne doit correspondre qu'à ce risque d'accès.
2. Dans la zone Description, saisissez une description synthétique du risque.
3. Dans la liste déroulante Type de risque, sélectionnez le type de risque.
Les types de risques incluent les éléments suivants :
○ Risque de Séparation des tâches (SoD)
○ Risque d'Action critique
○ Risque d'Approbation critique
4. Dans la liste déroulante Niveau de risque, sélectionnez le niveau de gravité du risque.
Les niveaux de risques sont suivants :
○ Faible
○ Moyen
○ Élevé
○ Critique
5. Dans la liste déroulante Processus de gestion, sélectionnez le processus de gestion pour ce risque.
6. Dans le menu déroulant Statut, sélectionnez soit Activé soit Désactivé pour indiquer s'il faut activer le
risque lors de la sauvegarde.
4. Sélectionnez l'onglet Fonctions pour afficher l'écran Fonction.
Vous utilisez cet écran pour identifier les fonctions de ce risque :

1. Sélectionnez la case à cocher à côté d'une ligne vide et cliquez sur la flèche vers le bas située à droite de
la ligne pour afficher une zone de liste déroulante de toutes les fonctions définies.
2. Sélectionnez la fonction que vous souhaitez ajouter au risque.
Répétez ces étapes jusqu'à ce que toutes les fonctions soient incluses dans le risque :
○ Pour les risques SoD, sélectionnez au moins deux fonctions.
○ Pour les risques Action critique et Approbation critique, sélectionnez au moins une fonction.
5. Sélectionnez l'onglet Description détaillée pour afficher la zone de texte Description détaillée. Saisissez une
description du risque.
SAP Access Control

6. Sélectionnez l'onglet Objectif du contrôle pour afficher la zone de texte Objectif du contrôle. Saisissez une
description de l'objectif du contrôle ciblé par le risque.
Attention
Évitez les caractères de Tabulation du clavier lorsque vous saisissez des données de risque dans les
zones de texte Description détaillée et Objectif du contrôle. Les caractères de Tabulation du clavier
peuvent causer problèmes lorsque vous utilisez les utilitaires Exporter et Importer pour déplacer des règles
d'un système à un autre.
7. Cliquez sur l'onglet Détenteurs du risque pour afficher l'écran ID du détenteur.
Attention
Pour affecter un détenteur du risque à un risque d'accès, vous devez vous assurer que l'utilisateur est
affecté comme détenteur.
Vous utilisez cet écran pour identifier le ou les salarié(s) détenteur(s) de ce risque :
1. Cliquez sur l'icône Plus pour ajouter une zone Détenteur du risque.
2. Cliquez sur la flèche vers le bas située à droite de la ligne pour afficher une liste des salariés définis.
3. Pour affecter un détenteur au risque, sélectionnez-le dans la liste.
Répétez ces étapes pour affecter tous les détenteurs au risque.

8. Cliquez sur l'onglet Ensembles de règles pour afficher l'écran Ensemble de règles.
Cet écran identifie les ensembles de règles à ajouter à ce risque :

1. Cliquez sur l'icône Plus pour ajouter une zone d'ensembles de règles.
2. Cliquez sur la flèche vers le bas située à droite de la ligne pour afficher une zone de liste déroulante de
tous les ensembles de règles définis.
3. Sélectionnez l'ensemble de règles que vous souhaitez ajouter au risque.
Répétez ces étapes jusqu'à l'ajout de tous les ensembles de règles au risque.
Étapes suivantes
SAP Access Control

5.2.2.2.2.2 Recherche et affichage de risques d'accès
Contexte
Cette procédure décrit comment rechercher et afficher un risque d'accès.
Procédure
1. Sélectionnez Configuration Gestion des règles d'accès Risques d'accès .
L'écran Risque d'accès s'affiche.

Une ligne vide apparaît au début de la liste de risques d'accès.

3. Saisissez des critères de recherche pour filtrer vos résultats puis appuyez sur Entrée.
La recherche supporte les caractères génériques (*).
Lorsque vous appuyez sur Entrée, l'application retourne les risques d'accès qui répondent aux critères de
recherche dans l'écran Résultats de la recherche.
Résultats
Si vous n'avez pas filtré la recherche, l'application peut retourner une longue liste de risques d'accès. Vous pouvez
naviguer dans la liste pour trouver le risque d'accès que vous recherchez.
Étapes suivantes
SAP Access Control

5.2.2.2.2.3 Modification d'un risque d'accès
Contexte
Vous pouvez modifier la plupart des critères de sélection des risques d'accès. Cependant, vous ne pouvez pas
modifier l'ID et le Type de risque.
Procédure

2. Suivez la procédure dans pour rechercher le risque d'accès que vous voulez traiter.
3. Après avoir trouvé le risque d'accès, sélectionnez la ligne puis le bouton de commande Ouvrir.

4. Modifiez le risque d'accès selon vos besoins.
Étapes suivantes
5.2.2.2.2.4 Suppression d'un risque d'accès
Contexte
Vous pouvez supprimer n'importe quel risque d'accès. Cependant, la suppression d' un risque d'accès invalide
toute règle générée à partir de ce risque d'accès.
SAP Access Control

Procédure

2. Suivez la procédure dans pour rechercher le risque d'accès que vous voulez traiter.
3. Lorsque vous trouvez le risque d'accès, sélectionnez la ligne puis le bouton de commande Supprimer.

Étapes suivantes
5.2.3 Règles d'accès critiques
Utilisation
Utilisez cette fonctionnalité pour identifier des rôles individuels et des profils qui représentent un risque d'accès
pour votre entreprise. Par exemple, une personne qui a le rôle d'administrateur de la base de données principale
est un risque pour votre entreprise. Vérifiez qu'un salarié affecté à ce rôle satisfait les exigences d'autorisation de
votre entreprise. Assurez-vous d'avoir désigné ce rôle comme rôle critique. Si votre système utilise les profils,
vous pouvez avoir défini les profils présentant un risque d'accès. Assurez-vous d'avoir désigné chaque profil
comme étant critique.
Profils critiques [page 97]
SAP Access Control

5.2.3.1 Règles de rôles critiques et de profil critiques
Concept
Identifiez les rôles individuels et les profils présentant un risque d'accès pour votre société. Par exemple, une
personne qui a le rôle d'administrateur de la base de données principale est un risque pour votre entreprise.
Assurez-vous que tout salarié à qui ce rôle a été affecté est dûment autorisé. Soyez sûr que vous avez désigné ce
rôle comme rôle critique. Si votre système utilise les profils, vous pouvez avoir défini les profils présentant un
risque. Soyez sûr que vous avez désigné chaque profil comme étant critique.
Règles d'accès critiques [page 95]
5.2.3.1.1 Rôles critiques
Utilisation
Utilisez cette fonctionnalité pour identifier des rôles qui font prendre un risque à votre société.
Procédure
Pour créer et gérer des rôles critiques :
1. Sélectionnez Configuration Règles d'accès critiques Rôles critiques .

L'écran Rôles critiques s'affiche.
3. Sélectionnez le Système, l'Ensemble de règles, le Niveau de risque, et le Statut dans les zones de listes
déroulantes.
4. Naviguez jusqu'au nom de Rôle.
5. Sélectionnez le Rôle que vous voulez puis sélectionnez OK.
6. Saisissez une description du risque décrivant pourquoi ce rôle est un rôle critique.
Recherche d'un rôle critique
Utilisez l'option Filtrer pour rechercher et apporter des modifications à un rôle critique.
SAP Access Control

Pour rechercher un rôle critique :
1. Sélectionnez Configuration Règles d'accès critiques Rôles critiques .

L'écran Rôles critiques s'affiche.
Une ligne vide apparaît au début de la liste de rôles critiques.
3. Saisissez des critères de recherche pour rechercher le rôle que vous voulez modifier puis appuyez sur Entrée.
L'application retourne les rôles critiques qui répondant aux critères à l'écran Résultats de la recherche.
5.2.3.1.2 Profils critiques
Utilisation
Utilisez cette fonctionnalité pour identifier des profils qui font prendre un risque à votre société.
Procédure
Pour créer un profil critique :
1. Sélectionnez Configuration Règles d'accès critiques Profils critiques .

L'écran Profils critiques s'affiche.
3. Sélectionnez le Système, Ensemble de règles, Niveau du risque et Statut dans les listes déroulantes.
4. Naviguez jusqu'au nom de Profil.
5. Sélectionnez le Profil que vous voulez puis sélectionnez OK.
6. Saisissez une description du risque décrivant pourquoi ce profil est un profil critique.
Recherche d'un profil critique
Utilisez l'option Filtre pour rechercher et apporter des modifications à un profil critique.
Pour rechercher un profil critique :
1. Sélectionnez Configuration Règles d'accès critiques Profils critiques .

L'écran Profils critiques s'affiche.
Une ligne vide apparaît au début de la liste de profils critiques.
SAP Access Control

3. Saisissez des critères de recherche pour rechercher le profil critique que vous voulez modifier puis appuyez
sur Entrée.
L'application retourne les profils répondant aux critères de recherche à l'écran Résultats de la recherche.
Rôles critiques [page 96]
5.3 Analyse de risque d'accès
Utilisation
Un risque d'accès correspond à une ou plusieurs actions ou autorisations qui, lorsqu'elles sont disponibles pour
un utilisateur unique (ou un rôle, profil ou objet HR unique), créent un potentiel pour des erreurs de fraude ou des
erreurs involontaires.
Parmi les opérations commerciales, vous pouvez définir des risques d'accès qui nécessitent un contrôle
supplémentaire pour s'assurer que votre organisation fonctionne correctement. Vous pouvez alors surveiller et
contrôler ces risques pour empêcher les utilisateurs d'exploiter des vulnérabilités pour commettre des fraudes ou
enregistrer des erreurs involontaires.
SAP GRC Access Control vous permet de spécifier les types de risques d'accès suivants :
● Séparation des tâches - Elle est définie comme un individu ayant la capacité d'effectuer deux ou plusieurs
fonctions en conflit pour contrôler un processus du début à la fin sans la participation d'autres personnes. Par
exemple, une personne peut être capable de configurer un fournisseur de contenus et de traiter des
paiements ou de manipuler des ventes et des factures clients, pour dissimuler des commissions.
● Action critique - Certaines fonctions sont de nature si critiques que toute personne y ayant accès doit être
identifiée et évaluée pour garantir que l'accès est autorisé. Cela est différent des risques de séparation des
tâches où la personne a seulement besoin d'avoir accès à une fonction unique. Par exemple, la capacité de
configurer un système de production est considérée comme une action critique indépendamment de tout
autre accès que la personne peut avoir.
● Approbation critique - De même que pour les actions critiques, certaines approbations (objets d'autorisation)
sont considérées comme critiques par nature. Par exemple, le fait d'obtenir des approbations
d'administration de jobs d'arrière-plan peut être considéré comme critique par certaines organisations.
Après avoir défini les risques, vous pouvez utiliser la section Analyse de risque d'accès pour générer des états
présentant différents types d'informations, y compris des états présentant des risques d'accès, des conflits ou
l'utilisation d'actions critiques par utilisateur, rôle, profil ou objet HR.
Remarque
L'administrateur peut configurer l'application de sorte qu'elle contienne des affectations Firefighter (FF) dans
l'analyse des risques. Si la fonctionnalité est activée, l'écran Analyse des risques affiche la case à cocher Inclure
SAP Access Control

ID Firefighter. Vous pouvez alors décider d'inclure ou non des affectations Firefighter pour votre analyse
spécifique des risques.
L'administrateur configure cette option dans l'activité IMG Gérer options de configuration, sous Governance,
Risk, and Compliance Access Control . Pour le paramètre Prendre en compte les affectations Firefighter
dans l'analyse des risques, saisissez les valeurs comme suit :
Table 16 :
Colonne Valeur
Lorsque vous identifiez un risque d'accès dans un état, vous pouvez le résoudre ou y remédier en le supprimant
ou en appliquant un contrôle d'atténuation. Vous pouvez aussi utiliser des états dans la section Analyse de risque
d'accès pour afficher des risques atténués et des risques qui n'ont pas encore été corrigés.
Analyse de risque d'accès du niveau utilisateur [page 99]
Analyse de risque d'accès du niveau de profil [page 108]
Analyse de risque d'accès des objets HR [page 112]
5.3.1 Analyse de risque d'accès du niveau utilisateur
Contexte
Vous pouvez créer un état affichant l'analyse de risque d'accès du niveau utilisateur pour votre organisation.
Procédure
1. Sélectionnez Gestion des accès Analyse de risque d'accès Niveau utilisateur .
L'écran Analyse des risques : Niveau utilisateur apparaît.
SAP Access Control

2. Indiquez les critères d'analyse.
1. Sélectionnez le type d'objet à l'aide de la première liste déroulante contenant les options suivantes :
○ Système
○ Groupe personnalisé
Remarque
Vous pouvez utiliser des groupes d'utilisateurs personnalisés pour effectuer une analyse des
risques pour le groupe plutôt que séparément pour chaque utilisateur. Par exemple, vous créez
Group_A puis ajouter User_01 via user_10. Vous pouvez ensuite exécuter l'analyse des risques sur
Group_A. Pour plus d'informations, voir Création d'un groupe d'utilisateurs personnalisé. [page
102]
○ Inclure utilisateurs
○ Inclure affectation de rôle
○ Niveau d'organisation
○ Règle d'organisation
○ ID utilisateur
○ Entité organisationnelle
○ Valeur organisationnelle
○ Risque par processus
○ ID de risque d'accès
○ Niveau de risque
○ Ensemble de règles
○ Utilisateur
Remarque
Sur une base ad hoc, vous pouvez exécuter une analyse des risques pour une liste filtrée
d'utilisateurs en fonction de leurs attributs SU01. Pour ce faire, sélectionnez Sélections multiples
dans la colonne du milieu. Ensuite sélectionnez Ajouter sélection. Puis sélectionnez Recherche
SU01 pour identifier les attributs que vous voulez analyser.
○ Groupe d'utilisateurs
○ Type d'utilisateur
○ Date de validité
○ est
○ n'est pas
○ commence par
○ contient
○ se situe entre
○ sélections multiples
3. Dans la zone Valeur, saisissez ou sélectionnez la valeur dans la troisième zone.
4. Vous pouvez ajouter (facultatif) une ligne aux critères d'analyse en sélectionnant le bouton de commande
plus (+) et en indiquant les zones. Ou vous pouvez supprimer une ligne en sélectionnant le bouton de
commande moins (-).
3. Indiquez les options d'état.
SAP Access Control

1. Dans la section Format, sélectionnez le type de format et la vue.
Vous pouvez choisir parmi les types de format suivants :
○ Synthèse
○ Détail
○ Vue de gestion
○ Vue exécutive
Vous pouvez choisir parmi les vues suivantes :
○ Vue de correction
Remarque
Cette vue vous permet de lancer des actions de correction directement de l'état. Pour de plus
amples informations, reportez-vous à Vue de correction [page 222].
○ Vue technique
○ Vue de gestion d'entreprise
4. Dans la section Type, sélectionnez le type d'état :
○ Analyse de risque d'accès - Sélectionnez Niveau d'action, Niveau d'approbation, Action critique,
Approbation critique et Rôle/Profil critique.
○ Évaluation des risques d'accès
○ Analyse d'atténuation - Sélectionnez Contrôles d'atténuation ou Contrôles d'atténuation non valides.
5. Dans la section Critères supplémentaires, sélectionnez tout critère de reporting supplémentaire.
6. Vous pouvez sauvegarder (facultatif) les critères d'analyse en tant que variante en saisissant un nom dans la
zone Sauvegarder la variante en tant que et en sélectionnant Sauvegarder.

utilisateur.
Étapes suivantes
Analyse de risque d'accès [page 98]
Simulation du niveau utilisateur [page 103]
Création d'un groupe d'utilisateurs personnalisé [page 102]
Vue de correction [page 222]
SAP Access Control

5.3.1.1 Création d'un groupe d'utilisateurs personnalisé
Utilisation
Vous pouvez utiliser des groupes d'utilisateurs personnalisés pour effectuer des activités, comme l'analyse des
risques, pour le groupe plutôt que séparément pour chaque utilisateur. Par exemple, vous créez Group_A puis
ajoutez User_01 par le biais d'user_10. Vous pouvez ensuite effectuer l'activité sur Group_A.
Conditions requises
Cette fonctionnalité s'applique à deux scénarios, Analyse de niveau utilisateur et Simulation de niveau utilisateur.
Procédure
Remarque
Il existe deux façons de créer un Groupe d'utilisateurs personnalisé.
● Vous pouvez utiliser l'activité IMG (transaction SPRO). Localisez l'activité et la documentation à
Governance, Risk and Compliance Contrôle d'accès Gérer groupe d'utilisateurs personnalisé .
● Vous pouvez le créer directement de l'application, si vous y êtes autorisé. Les étapes ci-dessous donnent
des instructions sur la façon de créer le groupe par le biais de l'application. Cette méthode vous permet
aussi d'ajouter des utilisateurs au groupe en fonction de leurs attributs de SU01.
1. Sélectionnez Gestion des accès Analyse de risque d'accès Niveau utilisateur

L'écran Analyse des risques : Niveau utilisateur apparaît.
2. Localisez le Groupe personnalisé dans la liste des Critères d'analyse.
3. Acceptez la valeur par défaut est dans la deuxième colonne.
4. Dans la colonne suivante, sélectionnez F4 pour voir l'écran Recherche groupe personnalisé.
5. Saisissez le nouveau Nom d'utilisateur personnalisé.
Remarque
Pour voir les groupes existants, sélectionnez Réinitialiser pour réinitialiser la zone. Puis cliquez sur
Rechercher. La colonne de gauche affiche les Noms de groupe personnalisé. La colonne de droite affiche les
ID utilisateur des membres du Groupe d'utilisateurs personnalisé sélectionné. Si vous devez limiter le
nombre de groupes d'utilisateurs personnalisés affichés, vous pouvez utiliser des caractères génériques
(comme l'astérisque).
6. Cliquez sur Créer. L'écran Groupe personnalisé s'affiche.

7. Saisissez une Description du nouveau groupe.
8. Sélectionnez les Attributs SU01 que vos utilisateurs ont en commun. Système est requis et doit être un
système SAP.
SAP Access Control

10. Sélectionnez les ID utilisateur que vous souhaitez dans la liste.
11. Cliquez sur Utilisateurs sélectionnés pour voir la liste des utilisateurs que vous avez sélectionnés pour votre
groupe d'utilisateurs personnalisé. Vérifiez que ce sont les utilisateurs que vous souhaitez dans votre groupe
d'utilisateurs personnalisé.
12. Sélectionnez Sauvegarder pour sauvegarder votre groupe avec ses membres.
Simulation du niveau utilisateur [page 103]
Création d'un groupe d'utilisateurs personnalisé (par le biais de SPRO) : Governance, Risk and Compliance
Contrôle d'accès Gérer groupe d'utilisateurs personnalisé
5.3.2 Simulation du niveau utilisateur
Contexte
Vous pouvez utiliser les fonctions de l'écran Simulation du niveau utilisateur pour effectuer une simulation du
niveau utilisateur comme partie de l'analyse de risque d'accès pour votre organisation.
Procédure
1. Sélectionnez Gestion des accès Analyse de risque d'accès Simulation du niveau utilisateur .
L'écran Simulation : Niveau utilisateur apparaît et affiche la phase Définir les critères d'analyse.
2. Définissez les critères d'analyse :
○ Utilisez un ensemble existant de critères d'analyse en saisissant son nom dans la zone Variantes
sauvegardées.
○ Utilisez les zones disponibles à l'écran pour indiquer de nouveaux critères d'analyse :
1. Sous la zone Critères d'analyse, utilisez les zones pour indiquer les critères d'analyse, tels que
Système, Utilisateuretc.
SAP Access Control

Remarque
Vous pouvez utiliser les boutons de commande plus (+) et moins (-) pour ajouter ou supprimer des
zones de critères.
2. Sous la zone Options de l'état, sélectionnez parmi les propositions suivantes :

○ Format, tel que Synthèse, Détail, Aperçu de gestion et Aperçu exécutif
○ Vue, telle que Vue technique et Vue de gestion d'entreprise
○ Type, seule l'Analyse de risque d'accès est disponible et est automatiquement sélectionnée. Vous
pouvez sélectionner parmi les options d'analyse de risque d'accès suivantes : Niveau d'action,
Niveau d'approbation, Action critique, Approbation critique, Rôle/Approbation critique
○ Critères supplémentaires, tels que Inclure risques atténués, Afficher tous objets et Tenir cmpte
règle org..
3. Vous pouvez sauvegarder (facultatif) les critères d'analyse pour les utiliser ultérieurement, en
saisissant un nom dans la zone Sauvegarder variante comme et en sélectionnant Sauvegarder.
4. Sélectionnez Suivant.
3. A l'écran Définir critères de simulation, indiquez les critères :
○ Utilisez un ensemble existant de critères de simulation en saisissant le nom dans la zone Variantes
sauvegardées.
○ Utilisez les zones disponibles pour indiquer de nouveaux critères de simulation :
1. Sélectionnez l'onglet Actions pour ajouter ou supprimer des actions, ajouter ou supprimer des
approbations liées aux actions.
2. Sélectionnez l'onglet Rôles pour ajouter ou supprimer des actions, ajouter ou supprimer des
approbations liées aux rôles.
3. Sélectionnez l'onglet Profils pour ajouter ou supprimer des profils, ajouter ou supprimer des
approbations liées aux profils.
4. Dans la section Critères supplémentaires, sélectionnez tout critère de reporting supplémentaire tel
que Exclure des valeurs et Risque provenant uniquement de la simulation.
5. Vous pouvez sauvegarder (facultatif) les critères de simulation en tant que variante en saisissant un
nom dans la zone Sauvegarder variante comme et en sélectionnant Sauvegarder.
6. Sélectionnez Exécuter en avant-plan pour lancer la simulation immédiatement ou sélectionnez
Exécuter en arrière-plan pour planifier une heure et une date pour le lancement de la simulation.
Remarque
Pour afficher le statut des jobs d'arrière-plan, naviguez jusqu'à Gestion des accès Planification
Jobs d'arrière-plan .
7. Si vous sélectionnez Exécuter en avant-plan, confirmez que vous voulez exécuter l'analyse
immédiatement en sélectionnant OK. Les résultats de la simulation apparaissent dans l'écran
Confirmation.
4. Sur l'écran Confirmation, vérifiez les résultats.
Vous pouvez sélectionner (facultatif) Exporter ensembles de résultats pour exporter les résultats vers votre
machine locale.
SAP Access Control

Étapes suivantes
5.3.3 Analyse de risque d'accès du niveau de rôle
Contexte
Vous pouvez créer un état affichant l'analyse de risque d'accès du niveau de rôle pour votre organisation.
Procédure
1. Sélectionnez Gestion des accès Analyse de risque d'accès Niveau de rôle .
L'écran Analyse des risques : Niveau de rôle apparaît.


1. Sélectionnez le type d'objet à l'aide de la première liste déroulante, parmi les propositions suivantes :
○ Système
○ Niveau d'organisation
○ Règle d'organisation
○ Entité organisationnelle
○ Valeur organisationnelle
○ Rôle
○ Type de rôle
○ est
○ n'est pas
○ commence par
○ contient
○ se situe entre
SAP Access Control

plus (+) et en indiquant les zones appropriées. Sinon vous pouvez supprimer une ligne des critères
d'analyse en sélectionnant le bouton de commande correspondant moins (-).

○ Synthèse
○ Détail
○ Vue de gestion
○ Vue exécutive
○ Vue technique
4. Dans la section Type, sélectionnez le type d'état parmi les propositions suivantes :
○ Analyse de risque d'accès - Vous pouvez sélectionner Niveau d'action, Niveau d'approbation, Action
critique, Approbation critique, Rôle/Profil critique et Etat analytique.
○ Analyse d'atténuation - Vous pouvez choisir entre Contrôles d'atténuation ou Contrôles d'atténuation non
valides.

utilisateur.
Étapes suivantes
Simulation du niveau de rôle [page 107]
SAP Access Control

5.3.4 Simulation du niveau de rôle
Contexte
Vous pouvez utiliser les fonctions de l'écran Simulation du niveau de rôle pour effectuer une simulation du niveau
de rôle comme partie de l'analyse de risque d'accès pour votre organisation.
Procédure
1. Sélectionnez Gestion des accès Analyse de risque d'accès Simulation du niveau de rôle .
L'écran Simulation : Niveau de rôle apparaît et affiche la phase Définir critères d'analyse.
2. Définissez les critères d'analyse à l'aide des méthodes suivantes :
sauvegardées.
○ Utilisez les zones disponibles sur l'écran pour indiquer de nouveaux critères d'analyse en procédant
comme suit :
1. Sous la zone Critères d'analyse, utilisez les zones disponibles pour indiquer les critères d'analyse, tels
que Système, Type d'analyse, etc.
Remarque
zones de critères.
2. Sous la zone Options de l'état, sélectionnez et choisissez parmi les propositions suivantes :
○ Critères supplémentaires, tels que Inclure risques atténués et Afficher tous objets
3. Vous pouvez sauvegarder (facultatif) les critères d'analyse en tant que variante en saisissant un nom
dans la zone Sauvegarder variante comme et en sélectionnant Sauvegarder.
3. Sur l'écran Définir critères de simulation, indiquez les critères pour la simulation à l'aide des méthodes
suivantes :
○ Utilisez un ensemble existant de critères de simulation en saisissant son nom dans la zone Variantes
sauvegardées.
○ Utilisez les zones disponibles sur l'écran pour indiquer de nouveaux critères de simulation en procédant
comme suit :
1. Sélectionnez la page à onglet Actions pour ajouter ou supprimer des actions, ajouter ou supprimer
des approbations liées aux actions.
SAP Access Control

2. Sélectionnez la page à onglet Rôles pour ajouter ou supprimer des rôles, ajouter ou supprimer des
3. Sélectionnez la page à onglet Profils pour ajouter ou supprimer des profils, ajouter ou supprimer des
Remarque
Confirmation.
machine locale.
Étapes suivantes
Analyse de risque d'accès du niveau de rôle [page 105]
5.3.5 Analyse de risque d'accès du niveau de profil
Contexte
Vous pouvez créer un état affichant l'analyse de risque d'accès du niveau de profil pour votre organisation.
Procédure
1. Sélectionnez Gestion des accès Analyse de risque d'accès Niveau de profil .
SAP Access Control

L'écran Analyse des risques : Niveau de profil apparaît.

1. Sélectionnez le type d'objet à l'aide de la première liste déroulante, parmi les propositions suivantes :
○ Système
○ Profil
○ est
○ n'est pas
○ commence par
○ contient
○ se situe entre
plus (+) et en indiquant les zones appropriées. Sinon vous pouvez supprimer une ligne des critères
d'analyse en sélectionnant le bouton de commande correspondant moins (-).

○ Synthèse
○ Détail
○ Vue de gestion
○ Vue exécutive
○ Vue technique
4. Dans la section Type, sélectionnez le type d'état parmi les propositions suivantes :
○ Analyse de risque d'accès - Sélectionnez Niveau d'action, Niveau d'approbation, Action critique,
Approbation critique et Rôle critique/Profil.
○ Analyse d'atténuation - Sélectionnez Contrôles d'atténuation ou Contrôles d'atténuation non valides.
SAP Access Control

utilisateur.
Étapes suivantes
Simulation du niveau de profil [page 110]
5.3.6 Simulation du niveau de profil
Contexte
Vous pouvez utiliser les fonctions de l'écran Simulation du niveau de profil pour effectuer une simulation du niveau
de profil comme partie de l'analyse de risque d'accès pour votre organisation.
Procédure
1. Sélectionnez Gestion des accès Analyse de risque d'accès Simulation du niveau de profil .
L'écran Simulation : Niveau de profil apparaît et affiche la phase Définir les critères d'analyse.
sauvegardées.
comme suit :
Remarque
zones de critères.
SAP Access Control

suivantes :
sauvegardées.
comme suit :
Remarque
Confirmation.
machine locale.
Étapes suivantes
Analyse de risque d'accès du niveau de profil [page 108]
SAP Access Control

5.3.7 Analyse de risque d'accès des objets HR
Contexte
Vous pouvez créer un état qui affiche l'analyse de risque d'accès des objets HR pour votre organisation.
Procédure
1. Sélectionnez Gestion des accès Analyse de risque d'accès Objets HR .
L'écran Analyse des risques : Niveau d'objet HR apparaît.

2. Choisissez parmi les méthodes suivantes pour créer un état d'analyse de risque pour les objets HR :
sauvegardées.
comme suit :
Remarque
zones de critères.
3. Dans la zone Type, choisissez parmi les types et options suivants :
○ Analyse de risque d'accès
Vous pouvez sélectionner parmi les options d'analyse de risque d'accès suivantes : Niveau
d'action, Niveau d'approbation, Action critique, Approbation critique, Rôle/Approbation critique
○ Analyse d'atténuation
Vous pouvez choisir parmi les options d'analyse d'atténuation suivantes : Contrôles d'atténuation
ou Contrôles d'atténuation invalides.
3. Sélectionnez Exécuter en avant-plan pour lancer l'analyse immédiatement ou sélectionnez Exécuter en
arrière-plan pour planifier une heure et une date pour le lancement de l'analyse.
SAP Access Control

Remarque
Pour afficher le statut des jobs d'arrière-plan, naviguez jusqu'à Gestion des accès Planification Jobs
d'arrière-plan .
4. Si vous sélectionnez Exécuter en avant-plan, confirmez que vous voulez exécuter l'analyse immédiatement en
sélectionnant OK.
Étapes suivantes
Simulation des objets HR [page 113]
5.3.8 Simulation des objets HR
Contexte
Vous pouvez effectuer une simulation des objets HR comme partie de l'analyse de risque d'accès pour votre
organisation.
Procédure
1. Sélectionnez Gestion des accès Analyse de risque d'accès Simulation des objets HR .
L'écran Simulation : Niveau d'objet HR apparaît et affiche la phase Définir critères d'analyse.
sauvegardées.
comme suit :
Remarque
zones de critères.
SAP Access Control

suivantes :
sauvegardées.
comme suit :
Remarque
Confirmation.
machine locale.
Étapes suivantes
Analyse de risque d'accès des objets HR [page 112]
SAP Access Control

5.4 Accès atténué
Utilisation
L'Accès atténué vous permet de gérer les risques reliés au contrôle d'accès en identifiant des risques, en évaluant
le niveau de ces risques et en affectant des contrôles d'atténuation aux utilisateurs, aux rôles et aux profils pour
atténuer des violations de règle d'accès.
L'analyse des risques identifie un risque, ce dernier ne peut pas être atténué sans que le contrôle n'ait été
préalablement défini.
La première étape pour définir ou créer un contrôle d'atténuation consiste à créer un ID de contrôle d'atténuation.
Cet ID apparaît dans les états d'analyse des risques. Tous les ID risque associés au contrôle doivent être
également atténués avec le contrôle.
Fonctionnalités
● Créer des contrôles d'atténuation que vous ne pouvez pas supprimer

● Affecter les contrôles d'atténuation aux utilisateurs, rôles et profils qui comportent un risque
● Etablir une période pendant laquelle le contrôle est valide
● Indiquer des étapes pour surveiller les actions en conflit associées au risque
● Créer un administrateur, des moniteurs de contrôles, des approbateurs et des détenteurs de risque et leur
affecter des contrôles d'atténuation.
Vous pouvez imprimer tous les résultats de la recherche pour l'atténuation ou les exporter vers un fichier Excel.
En raison des limitations de taille d'écran, les versions imprimées et exportées des résultats de recherche peuvent
contenir davantage de zones de données que l'écran ne peut l'afficher.
Utilisateurs atténués [page 116]
Utilisateur atténué pour des règles d'organisation [page 117]
Rôles atténués [page 118]
Profils atténués [page 119]
Atténuation des objets HR [page 120]
Rôle atténué pour des règles d'organisation [page 121]
SAP Access Control

5.4.1 Utilisateurs atténués
Utilisation
Utilisez la zone Utilisateurs atténués pour créer de nouveaux utilisateurs atténués en les associant à des contrôles
d'atténuation prédéfinis, que ce soit individuellement ou avec une couverture d'atténuation. La couverture
d'atténuation vous permet d'atténuer les risques d'accès pour plusieurs utilisateurs à la fois.
Vous pouvez aussi utiliser cette caractéristique pour rechercher des utilisateurs déjà atténués par l'association
d'un utilisateur et d'un contrôle d'atténuation.
Conditions requises
Vous devez d'abord définir un contrôle d'atténuation avant de pouvoir l'affecter à des utilisateurs pour atténuer un
risque d'accès.
Affectation d'un contrôle d'atténuation à un utilisateur
1. Sélectionnez Gestion des accès Accès atténué Utilisateurs atténués .

L'écran Utilisateurs atténués apparaît, affichant une liste des utilisateurs existants à qui les contrôles
d'atténuation ont été affectés.
2. Cliquez sur le bouton de commande Affecter.
La fenêtre Atténuation utilisateur apparaît.
3. Saisissez les informations dans les zones obligatoires marquées d'un astérisque (*).
○ ID de risque d'accès - Sélectionnez la zone pour saisir l'ID de risque d'accès.
○ ID de contrôle - Sélectionnez la zone pour saisir l'ID de contrôle.
○ Moniteur - Automatiquement rempli avec des données de système après que vous avez sélectionné l'ID
de contrôle.
○ Début de validité - Début de la période de contrôle d'atténuation.
○ Fin de validité - Fin de la période de contrôle d'atténuation.
○ Statut - Sélectionnez Actif ou Inactif dans la liste déroulante.
4. Sélectionnez le bouton de commande Ajouter pour associer un système au contrôle d'atténuation.
5. Sélectionnez le bouton de commande Ajouter pour associer un utilisateur au contrôle d'atténuation.
6. Sélectionnez Envoyer Clôturer .
Le contrôle d'atténuation que vous avez affecté est inclus dans la liste de l'écran Utilisateurs atténués.
Suppression d'un contrôle d'atténuation d'un utilisateur
1. Sélectionnez Gestion des accès Accès atténué Utilisateurs atténués .

L'écran Utilisateurs atténués apparaît, affichant une liste des utilisateurs existants à qui les contrôles
d'atténuation ont été affectés.
2. Sélectionnez l'utilisateur que vous voulez supprimer puis sélectionnez le bouton de commande Supprimer.
Confirmez votre décision de supprimer ce contrôle d'atténuation.
3. Cliquez sur le bouton de commande Oui.
Le contrôle d'atténuation est supprimé de l'écran Utilisateurs atténués.
SAP Access Control

5.4.2 Utilisateur atténué pour des règles d'organisation
Utilisation
Conditions requises
Vous devez d'abord définir un contrôle d'atténuation avant de pouvoir l'affecter à une organisation pour atténuer
un risque d'accès.
Affectation d'un contrôle d'atténuation à une règle d'organisation
1. Sélectionnez Gestion des accès Accès atténué Règle d'organisation pour utilisateur atténué .
L'écran Règle d'organisation pour utilisateur atténué apparaît, affichant une liste des organisations existantes
auxquelles des contrôles d'atténuation ont été affectés.
2. Sélectionnez Affecter.
L'écran Atténuation d'organisation utilisateur apparaît.
3. Saisissez les informations pour les zones requises. Les zones obligatoires sont marquées d'un astérisque (*).
○ ID de règle d'organisation - Sélectionnez la zone pour saisir l'ID de la règle d'organisation.
○ ID de contrôle - Saisissez l'ID de contrôle.
de contrôle.
4. Sélectionnez Ajouter pour associer un système au contrôle d'atténuation.
5. Sélectionnez Ajouter pour associer un utilisateur au contrôle d'atténuation.
Le contrôle d'atténuation que vous avez affecté est inclus dans la liste de l'écran Utilisateurs atténués.
Suppression d'une règle d'organisation pour utilisateur atténué
1. Sélectionnez Gestion des accès Accès atténué Règle d'organisation pour utilisateur atténué .
L'écran Règle d'organisation pour utilisateur atténué apparaît, affichant une liste des organisations existantes
auxquelles des contrôles d'atténuation ont été affectés.
2. Sélectionnez l'utilisateur que vous souhaitez supprimer puis sélectionnez Supprimer.
3. Sélectionnez Oui.
Le contrôle d'atténuation que vous avez supprimé est effacé de l'écran Règle d'organisation pour utilisateur
atténué.
SAP Access Control

5.4.3 Rôles atténués
Utilisation
Utilisez l'écran Rôles atténués pour affecter des contrôles d'atténuation à un rôle.
Conditions requises
Vous devez d'abord définir un contrôle d'atténuation avant de pouvoir l'affecter à un rôle pour atténuer un risque
d'accès.
Affectation de contrôles d'atténuation à des rôles
1. Sélectionnez Gestion des accès Accès atténué Rôles atténués .

L'écran Rôles atténués affiche une liste des rôles existants auxquels les contrôles d'atténuation ont été
affectés.
La boîte de dialogue Atténuation de rôles s'ouvre.
de contrôle.
5. Sélectionnez Ajouter pour associer un rôle au contrôle d'atténuation.
Le contrôle d'atténuation que vous avez affecté est inclus dans la liste de l'écran Rôles atténués.
Suppression de contrôles d'atténuation de rôles
1. Sélectionnez Gestion des accès Accès atténué Rôles atténués .

L'écran Rôles atténués affiche une liste des rôles existants auxquels les contrôles d'atténuation ont été
affectés.
2. Sélectionnez le rôle que vous voulez supprimer puis sélectionnez Supprimer.
Le contrôle d'atténuation est supprimé de l'écran Rôles atténués.
SAP Access Control

5.4.4 Profils atténués
Utilisation
Utilisez l'écran Profils atténués pour affecter des contrôles d'atténuation à un profil.
Conditions requises
Vous devez d'abord définir un contrôle d'atténuation avant de pouvoir l'affecter à un profil pour atténuer un risque
d'accès.
Affectation d'un contrôle d'atténuation à un profil
1. Sélectionnez Gestion des accès Accès atténué Profils atténués .

L'écran Profils atténués affiche une liste des profils existants auxquels des contrôles d'atténuation ont été
affectés.
L'écran Atténuation de profil apparaît.
○ ID de contrôle - Sélectionnez la zone pour saisir l'ID de contrôle que vous voulez ajouter.
○ Moniteur - Cette zone est automatiquement remplie avec des données de système après que vous avez
sélectionné l'ID de contrôle.
○ Début de validité - Il s'agit du début de la période de contrôle d'atténuation.
○ Fin de validité - Il s'agit de la fin de la période de contrôle d'atténuation.
5. Sélectionnez Ajouter pour associer un rôle au contrôle d'atténuation.
Le contrôle d'atténuation que vous avez affecté est inclus dans la liste de l'écran Profils atténués.
Suppression d'un contrôle d'atténuation d'un profil
1. Sélectionnez Gestion des accès Accès atténué Profils atténués .

L'écran Profils atténués affiche une liste des profils existants auxquels des contrôles d'atténuation ont été
affectés.
2. Sélectionnez le profil que vous voulez supprimer puis sélectionnez Supprimer. Confirmez votre décision de
supprimer ce contrôle d'atténuation.
Le contrôle d'atténuation que vous avez supprimé est effacé de l'écran Profils atténués.
SAP Access Control

5.4.5 Atténuation des objets HR
Utilisation
Vous pouvez utiliser les fonctions sur l'écran Atténuation HR pour atténuer les risques d'accès en affectant des
contrôles d'atténuation des objets de ressources humaines (HR).
Conditions requises
Vous avez défini des contrôles d'atténuation.
Pour de plus amples informations, reportez-vous à .
Procédure
Affectation de contrôles d'atténuation aux objets HR
1. Sélectionnez Gestion des accès Accès atténué Atténuation HR .

L'écran Atténuation HR affiche la liste d'objets HR existants auxquels les contrôles d'atténuation ont été
affectés.
L'écran Atténuation d'objet HR s'affiche.
3. Saisissez les informations pour les zones requises.
○ Type d'objet – Sélectionnez la zone pour saisir le type d'objet.
○ ID de risque d'accès – Saisissez l'ID de risque d'accès
de contrôle.
4. Dans la table Systèmes, sélectionnez Ajouter pour associer un système au contrôle d'atténuation.
5. Dans la table Objet HR, sélectionnez Ajouter pour associer un objet HR au contrôle d'atténuation.
6. Sélectionnez Soumettre si les workflows sont activés.
Si les workflows ne sont pas activés, sélectionnez Sauvegarder.
SAP Access Control

Suppression de contrôles d'atténuation des objets HR
1. Sélectionnez Gestion des accès Accès atténué Atténuation HR .

L'écran Atténuation HR affiche la liste d'objets HR existants auxquels les contrôles d'atténuation ont été
affectés.
2. Sélectionnez un objet HR puis sélectionnez Supprimer.
3. Dans la boîte de dialogue Confirmer, sélectionnez Oui.
5.4.6 Rôle atténué pour des règles d'organisation
Utilisation
Utilisez l'écran d'Atténuation d'organisation de rôles pour affecter des contrôles d'atténuation à une règle
d'organisation pour un rôle.
Conditions requises
Vous devez d'abord définir un contrôle d'atténuation avant de pouvoir l'affecter à un rôle d'organisation pour
atténuer un risque d'accès.
Affectation de l'Atténuation d'organisation de rôles
1. Sélectionnez Gestion des accès Accès atténué Atténuation d'organisation de rôles .

L'écran Atténuation d'organisation de rôles affiche une liste des rôles d'organisation existants auxquels les
contrôles d'atténuation ont été affectés.
La fenêtre Atténuation d'organisation de rôles s'ouvre.
○ ID de règle d'organisation - Sélectionnez la zone pour saisir l'ID de la règle d'organisation.
○ ID de contrôle - Sélectionnez la zone pour saisir l'ID de contrôle que vous voulez ajouter.
○ Moniteur - Cette zone est automatiquement remplie avec des données de système après que vous avez
sélectionné l'ID de contrôle.
○ Début de validité - Il s'agit du début de la période de contrôle d'atténuation.
○ Fin de validité - Il s'agit de la fin de la période de contrôle d'atténuation.
○ Statut - Sélectionnez Actif ou Inactif dans le menu déroulant.
5. Sélectionnez Ajouter pour associer un rôle d'organisation au contrôle d'atténuation.
Le contrôle d'atténuation que vous avez affecté est inclus dans la liste de l'écran Atténuation d'organisation de
rôles.
Suppression de contrôles d'atténuation de rôles
1. Sélectionnez Gestion des accès Accès atténué Atténuation d'organisation de rôles .

L'écran Atténuation d'organisation de rôles affiche une liste des rôles d'organisation existants auxquels les
contrôles d'atténuation ont été affectés.
2. Sélectionnez le rôle d'organisation que vous voulez supprimer puis sélectionnez Supprimer.
SAP Access Control

Le contrôle d'atténuation que vous avez supprimé est effacé de l'écran Atténuation d'organisation de rôles.
5.5 Analyse de risques lorsque vous approuvez des

demandes d'accès
Utilisation
A l'écran Demande d'accès, vous pouvez effectuer une analyse des risques et une analyse d'impact avant
d'approuver les demandes. Vous disposez des options suivantes pour effectuer l'analyse :
● Dans l'onglet Violations de risque, vous pouvez effectuer l'analyse et sauvegarder les résultats.
● Dans l'onglet Accès utilisateur, vous pouvez utiliser la caractéristique Simulation pour effectuer d'abord
l'analyse puis sélectionner la sauvegarde ou non des résultats.
Remarque
● Vous pouvez activer l'exigence que les approbateurs doivent analyser des risques avant d'approuver les
demandes d'accès. Vous gérez cette option dans l'activité IMG (transaction SPRO) Gérer workflows
MSMP (Multiple Stage Multiple Pass), sous Governance, Risk, and Compliance SAP GRC Access
Control Workflow pour SAP GRC Access Control . Dans la phase Gérer chemins d'accès, sous la section
Gérer stades, sélectionnez Afficher options des tâches. Sélectionnez la zone Analyse des risques obligatoire
et sélectionnez Oui ou Non le cas échéant.
● Vous pouvez autoriser les approbateurs à approuver des demandes d'accès malgré les risques. Vous gérez
cette option dans l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous
Governance, Risk and Compliance SAP GRC Access Control Workflow pour SAP GRC Access
Control . Dans la phase Gérer chemins d'accès, sous la section Gérer stades, sélectionnez Afficher options
des tâches. Cochez la case pour la zone Approuver malgré risque.
Procédure
seule différence est que la Simulation vous autorise à choisir si vous souhaitez sauvegarder les résultats ou non.
1. Du poste de travail Ma page d'accueil, sélectionnez Corbeille de travail. A l'écran Work items, sélectionnez
Gestion des accès. Sélectionnez une demande d'accès.
SAP Access Control

2. Exécutez une des options suivantes :
3. Dans la liste déroulante Type d'analyse, sélectionnez le type d'analyse pertinent.
○ Vous utilisez Analyse des risques pour identifier des violations d'autorisation affectées au rôle. Par
Remarque
Vous pouvez personnaliser SAP Access Control pour inclure des affectations de firefighter
automatiquement dans l'analyse des risques.
Vous gérez cette option dans l'activité IMG (transaction SPRO) Gérer options de configuration, sous
Governance, Risk, and Compliance SAP GRC Access Control . Pour le paramètre Prendre en
compte les affectations FF dans l'analyse des risques, saisissez les valeurs comme suit :
Table 17 :
Colonne Valeur
4. Sélectionnez Système et Ensemble de règles.

5. Sous la zone Options du résultat, sélectionnez le format, le type et les critères supplémentaires pour le
résultat de l'analyse.
Exemple
Table 18 :
Format : Synthèse exécutive

8. Si vous exécutez une simulation, vous pouvez procéder comme suit :
○ Sélectionnez Appliquer si vous voulez sauvegarder les résultats de l'analyse. L'information est
sauvegardée dans l'onglet Violations de risques et vous pouvez l'afficher quand vous ouvrez la demande.
Les résultats sont aussi mis à disposition de l'approbateur de la demande.
SAP Access Control

9. Dans l'onglet Violations de risques, vous pouvez choisir d'atténuer tout risque en sélectionnant le risque et
Atténuer le risque.
5.6 Analyse de risques lorsque vous envoyez des demandes

d'accès
Utilisation
Sur l'écran Demande d'accès, vous pouvez effectuer des analyses de risques et des analyses d'impact sur les
pages à onglet suivantes :
● Violations de risques
Si vous voulez sauvegarder les résultats de l'analyse, utilisez la fonction d'analyse dans l'onglet.
● Accès utilisateur
La caractéristique Simulation vous autorise à effectuer d'abord l'analyse, puis à choisir de sauvegarder ou non
les résultats.
Remarque
● Vous pouvez définir l'application de sorte qu'elle analyse automatiquement les risques lorsqu'une
personne envoie une demande d'accès. Par exemple, si l'auteur de la demande décide d'envoyer une
demande sans analyser les risques d'abord, l'application effectue automatiquement une analyse et ajoute
les résultats à la demande d'accès qui apparaît dans la corbeille de travail de l'approbateur.
Compliance SAP GRC Access Control . Pour le paramètre Activer analyse des risques lors de l'envoi du
formulaire, saisissez les valeurs comme suit :
Table 19 :
Colonne Valeur
Groupe de paramètres Analyse des risques - Demande d'accès
● Vous pouvez personnaliser l'application pour inclure des affectations de firefighter automatiquement dans
l'analyse des risques.
SAP Access Control

Compliance SAP GRC Access Control . Pour le paramètre Prendre en compte les affectations FF dans
l'analyse des risques, saisissez les valeurs comme suit :
Table 20 :
Colonne Valeur
Procédure
seule différence est que la fonctionnalité de simulation vous permet de choisir si vous souhaitez sauvegarder les
résultats ou non.
1. Sur l'écran , procédez comme suit :

2. Dans la liste déroulante Type d'analyse, sélectionnez le type d'analyse pertinent :
○ Vous utilisez Analyse des risques pour identifier des violations d'autorisation affectées au rôle. Un
4. Dans la zone Options de résultat, sélectionnez le format, le type et des critères supplémentaires pour les
résultats d'analyse.
Exemple
Table 21 :
Format : Aperçu exécutif

SAP Access Control

7. Si vous exécutez une fonctionnalité de simulation, vous pouvez procéder comme suit :
○ Sélectionnez Appliquer si vous voulez sauvegarder les résultats. L'information est sauvegardée dans
l'onglet Violations de risques et vous pouvez l'afficher quand vous ouvrez la demande. Les résultats sont
aussi mis à disposition de l'approbateur de la demande.
5.7 Analyse de risques d'accès pour la gestion des rôles
Utilisation
Vous pouvez utiliser la phase Analyse risques d'accès pour effectuer les types d'analyse suivants :
● Vous utilisez Analyse des risques pour déterminer des violations des autorisations affectées au rôle, par
exemple, les autorisations se traduisent par des violations de séparation des tâches.
● Vous utilisez Analyse d'impact pour déterminer des violations d'autorisation concernant d'autres rôles. C'est-
à-dire, les autorisations pour ce rôle en combinaison avec des autorisations pour un autre rôle se traduisent
par des violations.
Procédure
Pour effectuer l'analyse des risques :
1. Dans la liste déroulante Type d'analyse, sélectionnez Analyse des risques.

3. Sous la zone Options de résultat, sélectionnez le format pour le résultat de l'analyse et l'objet pour l'analyse,
comme le niveau d'action, niveau d'autorisation et ainsi de suite.
Remarque
La zone Sélectionner options pour analyse d'impact est seulement activée lorsque l'analyse d'impact est
sélectionnée.
4. Dans la zone du milieu de l'écran, sélectionnez pour exécuter le job d'analyse en avant-plan ou arrière-plan.
5. Dans la zone Afficher résultat pr, sélectionnez Analyse des risques parmi la liste déroulante puis sélectionnez
Lancer.
7. Sélectionnez Atténuer risque, pour atténuer toute violation.
Pour effectuer l'analyse d'impact :

4. Dans la zone Sélectionner des options pour l'analyse d'impact, choisissez d'effectuer l'analyse d'impact pour
les points suivants : Utilisateurs, Rôles composites ou Rôles utilisateurs.
SAP Access Control

6. Dans la zone Afficher résultat pr, sélectionnez Analyse d'impact parmi la liste déroulante, sélectionnez l'option
d'analyse d'impact puis sélectionnez Lancer.
Atténuation des risques [page 42]
5.8 Atténuation des risques
Prérequis
Contexte
Remarque
SAP Access Control

Procédure
Étapes suivantes
5.9 Alertes
Utilisation
Quand un utilisateur exécute des actions critiques ou en conflit, le système peut envoyer une alerte d'escalade au
personnel approprié. Vous pouvez utiliser la caractéristique Alertes pour surveiller les alertes d'accès en conflit et
critiques et de contrôle d'atténuation, le cas échéant.
Vous pouvez plus particulièrement effectuer les tâches suivantes :
● Rechercher et filtrer des alertes à afficher

● Acquitter des alertes
● Rechercher et filtrer des alertes acquittées
SAP Access Control

Recherche d'alertes [page 129]
Alertes acquittées [page 130]
Acquittement d'alertes [page 131]
Recherche d'alertes acquittées [page 132]
5.9.1 Recherche d'alertes
Contexte
Vous pouvez rechercher les types suivants d'alertes :
● Alertes d'accès critiques et en conflit

● Contrôles d'atténuation
Procédure
1. Sélectionnez Gestion des accès Alertes d'accès Alertes d'accès critiques et en conflit ou Gestion
des accès Alertes d'accès Contrôles d'atténuation .
L'écran Alertes d'accès critiques et en conflit ou Alertes de contrôle d'atténuation s'ouvre.

Pour Alertes d'accès critiques et en conflit, vous pouvez choisir entre les types d'objet suivants :
○ Processus de gestion
○ Système
○ Date/Heure exécutée
○ Détenteur du risque
○ Type de risque
○ ID utilisateur
○ Date/Heure alerte
Pour Alertes contrôle d'atténuation, vous pouvez choisir entre les types d'objet suivants :
○ Action
○ Système
○ ID de contrôle
SAP Access Control

○ ID utilisateur
○ est
○ n'est pas
○ commence par
○ contient
○ se situe entre
○ Sélections multiples
3. Saisissez ou sélectionnez la valeur de recherche dans la troisième zone.
commande plus (+) et en indiquant les zones. Sinon, vous pouvez supprimer une ligne des critères de
recherche en sélectionnant le bouton de commande correspondant moins (-).

Étapes suivantes
Alertes [page 128]
5.9.2 Alertes acquittées
Utilisation
Une fois qu'un message d'alerte a été livré et acquitté ou supprimé, il est conservé en tant qu'enregistrement
archivé. Vous pouvez poursuivre le suivi de ces alertes à l'aide de l'onglet Alertes acquittées des écrans Alertes de
risque de conflit et de risque critique et Contrôles d'atténuation.
Alertes [page 128]
SAP Access Control

5.9.2.1 Acquittement d'alertes
Contexte
Vous pouvez acquitter les types suivants d'alertes, le cas échéant :

Procédure


4. Sélectionnez l'alerte pour annuler en sélectionnant la boîte à gauche et sélectionnez Acquitter l'alerte.
La fenêtre de dialogue Acquitter l'alerte apparaît.

5. Saisissez une raison pour acquitter l'alerte et sélectionnez OK.
L'alerte est acquittée. Vous pouvez afficher des alertes acquittées à l'aide de l'onglet Alertes acquittées. Pour
plus d'informations, voir .
Étapes suivantes
Alertes [page 128]
SAP Access Control

5.9.2.2 Recherche d'alertes acquittées
Contexte
Vous pouvez rechercher les types suivants d'alertes acquittées :

Procédure

2. Sélectionnez l'onglet Alertes acquittées.
○ Système
○ Type de risque
○ ID utilisateur
○ Action
○ Système
○ ID de contrôle
○ ID utilisateur
○ est
○ n'est pas
○ commence par
○ contient
SAP Access Control

○ se situe entre

6. Pour afficher la raison pour laquelle une alerte a été acquittée, sélectionnez le lien Commentaires dans la zone
Raison pour l'alerte correspondante.
Le dialogue Acquitter l'alerte apparaît en affichant la raison. Sélectionnez Annuler pour écarter le dialogue.
Étapes suivantes
Alertes [page 128]
5.10 Jobs d'arrière-plan
Utilisation
Dans le poste de travail Gestion d'accès, sous Planification, vous pouvez utiliser les liens pour planifier et afficher
les jobs d'arrière-plan.
Fonctionnalités
● Ordonnanceur de jobs d'arrière-plan [page 32]

SAP Access Control

5.10.1 Ordonnanceur de jobs d'arrière-plan
Utilisation
Vous pouvez utiliser Ordonnanceur de jobs arrière-plan pour créer et gérer des ordonnancements pour des jobs
d'arrière-plan.
Activités
1. Saisissez le nom de l'ordonnancement.

2. Sélectionnez une activité pour le job d'arrière-plan.
3. Sélectionnez si le job d'arrière-plan doit être lancé immédiatement.
4. Indiquez la date et l'heure de début.
SAP Access Control

6 Gestion de rôles
Utilisation
Ce processus de vue d'ensemble explique comment surveiller et empêcher des risques pendant la création et la
mise à jour de rôle.
Processus
1. Gérer et/ou affiner la définition de rôle

Si le rôle applicable n'existe pas déjà, la première étape est de définir et de documenter les exigences
commerciales et les principaux attributs pour le nouveau rôle.
1. Pour quels motifs de gestion le rôle est-il requis ?
2. De quelle partie de l'organisation fait-il partie, par exemple, processus de gestion, sous-processus,
domaine fonctionnel etc.
3. Qui est responsable du contenu de rôle ? Qui approuvera l'accès utilisateur au rôle ?
2. Gérer les détails techniques de rôle
Une fois la détermination des rôles créée ou mise à jour, l'étape suivante consiste à identifier les détails
techniques pour exécuter les tâches de processus de travail définies dans la détermination des rôles.
1. Affiner des détails techniques de rôle pour supprimer des conflits le cas échéant.
2. Si les détails techniques ne peuvent pas être affinés, le risque devrait être atténué avec les contrôles
appropriés.
4. Gérer des données d'autorisation
Une fois les détails techniques définis, l'étape suivante consiste à identifier les données d'autorisation pour
limiter les tâches de processus de travail basées sur la responsabilité de job et l'affectation d'organisation.
Une fois les données d'autorisation définies ou mises à jour, l'analyse des risques est effectuée pour contrôler
si le rôle contient des violations de risque d'accès.
1. Affiner des données d'autorisation de rôle pour supprimer un conflit le cas échéant.
2. Si les données d'autorisation ne peuvent pas être affinées, le risque devrait être atténué avec les
contrôles appropriés.
6. Approbation de propriétaire du rôle
Le rôle est prêt à être soumis pour approbation de propriétaire du rôle s'il ne contient pas de violations de
risque d'accès ou s'ils sont atténués. Si le rôle est refusé par le propriétaire du rôle, il pourrait être redéfini,
mis à jour ou supprimé.
7. Créer et mettre à jour les rôles
Une fois le rôle approuvé par le propriétaire du rôle, il est créé ou mis à jour dans le système.
8. Tester et documenter les résultats
Les tests sont effectués pour garantir que le rôle dispose de l'accès correct. Les résultats de test sont
documentés.
SAP Access Control

Gestion de rôles PUBLIC 135
9. Attribution de privilèges
Les rôles approuvés et testés sont prêts à être mis à disposition des utilisateurs pour leur fournir l'accès au
système.
Résultat
Les rôles sont introduits dans des environnements sans risque ou avec des risques atténués pour fournir un accès
utilisateur conforme.
6.1 Considérations de la gestion des rôles
Utilisation
La gestion des rôles vous autorise à gérer des rôles des systèmes multiples avec un référentiel de rôle unifié
unique. Les rôles peuvent être documentés, conçus, analysés pour des violations de contrôle, approuvés puis
générés automatiquement. Cela permet de bénéficier de pratiques normalisées afin d'assurer que les
déterminations des rôles, le développement, le test et la gestion soient cohérents à travers l'entreprise entière.
Implémentation
● Conception d'une convention d'appellation de rôle logique

● La création d'une intégration de gestion des rôles bien pensée dans les processus actuels de gestion de
développement, de test et de modification des rôles.
● Identification d'utilisateurs lorsque vous définissez des rôles, comme les détenteurs du rôle, les
administrateurs de sécurité et les administrateurs des utilisateurs
● La définition d'objectifs, tels que l'optimisation ou la consolidation de rôles, l'optimisation de l'accès utilisateur
ainsi que la réduction des risques et des demandes de modification.
● L'identification des états personnalisés.
Fonctionnalités
L'application permet aux détenteurs du rôle et aux administrateurs de sécurité de :
● Suivre l'avancement durant l'implémentation des rôles.

● Suivre la qualité globale de l'implémentation.
● Réaliser une analyse des risques lors de la conception des rôles.
● Mettre en place un workflow pour l'approbation des rôles.
● Fournir une piste de vérification pour toutes les modifications de rôles.
SAP Access Control

136 PUBLIC Gestion de rôles
● Gérer des rôles après leur génération afin d'avoir des informations de rôle à jour.
Rôles et affectation des rôles
Un rôle est un ensemble prédéfini d'autorisations d'accès. Dans ce modèle, l'accès n'est pas accordé aux
utilisateurs individuels, mais plutôt aux rôles.
Exemple
Pour autoriser l'accès à une application financière pour un utilisateur, vous devez affecter à cet utilisateur un
rôle ayant accès à cette application. Si l'utilisateur est affecté au rôle requis, il peut automatiquement avoir
accès à l'application.
Plusieurs utilisateurs nécessitant l'accès au même module ou à la même application requièrent toutefois
différents niveaux d'accès. En général, pour une application donnée, il existe plusieurs rôles comprenant une
forme d'accès. Par conséquent, l'affectation de rôle définit l'application à laquelle l'utilisateur a accès et le niveau
de l'accès auquel l'utilisateur a droit dans l'application.
Analyse et atténuation des risques
L'identification et l'atténuation des risques constituent l'un des éléments clés de l'attribution de privilèges d'accès.
Exemple
Dans la plupart des organisations, les rôles Réception, Stock et Fournisseurs s'excluent mutuellement. Pour
empêcher le risque de fraude, un responsable du catalogue des livraisons ne peut pas avoir la possibilité de
cataloguer le stock et d'autoriser le paiement pour une livraison.
Recommandation
Pour faciliter la planification de rôle et la gestion des rôles, voir l'ensemble des états dans le poste de travail
Etats et analyses qui inclut des états pour :
● Faciliter la gestion de la qualité de rôle globale

● Fournir des informations précieuses pour créer les déterminations des rôles précises
● Minimiser la gestion des rôles continue
6.1.1 Méthodologie de création de rôles
Utilisation
La méthodologie de création de rôles permet de personnaliser le processus de gestion de rôle pour correspondre
à vos exigences. Vous pouvez aussi configurer plusieurs méthodologies ; par exemple, créez une méthodologie
pour des rôles de finance et un autre pour des rôles de sécurité.
Une méthodologie de création de rôles est constituée d'actions prédéfinies et d'étapes reliées à ces actions. Les
étapes sont ensuite utilisées pour créer un processus de méthodologie qui vous guide par étapes dans le
processus permettant de définir, de générer et de tester un rôle pendant la création de rôle.
SAP Access Control

Le processus de méthodologie est flexible et peut être configuré. Par exemple, vous pouvez répéter une étape
plusieurs fois, comme exiger une étape d'approbation plusieurs fois dans votre processus ou vous pouvez
supprimer des étapes dont vous n'avez pas besoin.
Exemple
Figure 3 : Exemple de méthodologie de rôle
Vous pouvez utiliser la méthodologie de création de rôles livrée avec l'application, la modifier ou créer votre
propre méthodologie .
Pour personnaliser le processus de gestion des rôles, vous définissez des groupes de conditions. Un groupe de
conditions utilise les valeurs de rôle d'attribut, comme le type de rôle ou le nom du rôle, pour définir une règle qui
est utilisée pour sélectionner une méthodologie spécifique. Par exemple, les utilisateurs avec le rôle Finance
utilisent la méthodologie de finance et les utilisateurs avec des rôles Sécurité utilisent la méthodologie de
sécurité.
Remarque
Vous pouvez avoir des groupes de condition multiples reliés à un processus de méthodologie ; cependant vous
ne pouvez pas avoir des processus multiples reliés à un groupe de conditions.
SAP Access Control

Processus
Pour créer votre propre méthodologie de création de rôle :
1. Générez des applications BRFplus, des approbateurs et des fonctions de méthodologie à l'aide de l'activité
IMG Générer des applications de BRFplus, des approbateurs et des fonctions de méthodologie sous
Governance, Risk and Compliance SAP GRC Access Control Gestion des rôles .
2. Dans BRFplus, créez des groupes de conditions et définissez l'ensemble des attributs pertinents, comme le
type de rôle et ainsi de suite.
3. Affectez les groupes de conditions à la fonction BRFplus à l'aide de l'activité IMG Affecter groupes de
conditions aux fonctions BRFplus, sous Governance, Risk, and Compliance SAP GRC Access Control
Gestion des rôles .
4. Définissez les processus de méthodologie dans l'activité IMG Définir processus et étapes de méthodologie,
sous Governance, Risk, and Compliance SAP GRC Access Control Gestion des rôles .
5. Affectez les processus de méthodologie au groupe de conditions à l'aide de l'activité IMG Associer le
processus de méthodologie au groupe de conditions, sous Governance, Risk, and Compliance SAP GRC
Access Control Gestion des rôles .
6.1.1.1 Appliquer à nouveau méthodologie
Utilisation
Vous utilisez Appliquer à nouveau méthodologie pour mettre à jour la méthodologie d'un rôle existant suite à une
modification de la méthodologie du rôle, du contenu du rôle ou des conditions.
Les modifications suivantes sont pertinentes pour la fonction Appliquer à nouveau méthodologie :
● La méthodologie a changé.
Par exemple, vous ajoutez une phase d'approbation ou supprimez une phase.
● Une condition qui influe sur la méthodologie a changé.
Par exemple, la condition pour utiliser un processus particulier, comme Process_01, est modifiée en
Process_02.
● Le contenu du rôle, tel qu'un attribut de rôle, a changé et cela influe sur la méthodologie.
Par exemple, l'attribut de sous-processus pour un rôle a été modifié d'Accounts_Payable_01 en
Accounts_Receivables_01. Le rôle doit utiliser une méthodologie différente si vous aviez configuré des
méthodologies différentes basées sur cet attribut.
L'application applique les modifications et réinitialise la phase en cours à la phase de définition (première phase).
Vous pouvez accéder à la fonction dans l'application comme suit :
● Gestion des rôles

Sur tous les écrans de gestion des rôles, sélectionnez le bouton Appliquer à nouveau méthodologie.
● Mise à jour de plusieurs rôles
1. Sur l'écran Mise à jour de rôles en masse, sous la section Sélectionner critères, sélectionnez Tous les
attributs et sélectionnez Suivant.
2. Cochez la case Appliq.à nouv. MéthodologRôle puis sélectionnez Suivant.
SAP Access Control

Conditions
La fonction Appliquer à nouveau méthodologie a les conditions suivantes :
● Les rôles se trouvant au stade d'approbation ne sont pas mis à jour. L'approbation doit être terminée avant
que les rôles ne soient mis à jour.
● Les rôles se trouvant en mode de traitement ne sont pas mis à jour ; autrement dit, le statut interne du rôle
est bloqué.
● Si le rôle contient des rôles dérivés et que la nouvelle méthodologie ne contient pas l'étape de dérivation, vous
devez d'abord supprimer tous les rôles dérivés et mettre à jour les rôles distinctement.
6.1.1.2 Dérivation de rôle
Utilisation
La dérivation de rôle autorise les administrateurs à dériver un ou plusieurs rôles d'un rôle maître individuel. Le rôle
maître sert de modèle pour les autorisations et les attributs. Les rôles dérivés sont différenciés du rôle maître et
les uns des autres par les niveaux organisationnels.
Vous pouvez sélectionner tout rôle du type de rôle Rôle individuel comme rôle maître. L'application crée
automatiquement la relation entre le rôle maître et les rôles dérivés.
Les attributs, comme le processus de gestion sont propagés aux rôles dérivés uniquement lorsque les rôles
dérivés sont créés. Après la création, ce sont des rôles indépendants et toute modification aux attributs dans le
rôle maître n'est pas propagée.
Les données d'autorisation, comme les opérations, les objets, les zones et ainsi de suite, continuent à être
propagées mais pas automatiquement. Vous pouvez sélectionner de propager manuellement des modifications
de données d'autorisation au rôle maître en allant à l'écran Gérer autorisation et en faisant ce qui suit :
● Pour le rôle maître, sélectionnez le bouton de commande Propager des autorisations pour propager des
autorisations aux rôles dérivés.
● Pour les rôles dérivés, sélectionnez le bouton de commande Copier l'autorisation pour copier des
autorisations du rôle maître.
Remarque
Toutes les données d'autorisation sont propagées, sauf pour les niveaux organisationnels.
SAP Access Control

Exemple
Dans cet exemple, il y a quatre rôles identiques, différenciés par société. (Le niveau organisationnel est affecté
comme la société BUKRS.)
Figure 4 : Quatre rôles identiques avec société différente
6.1.2 Gestion des rôles
Utilisation
L'application fournit un cadre normalisé et centralisé pour concevoir, tester et gérer des rôles. Le processus de
gestion des rôles de base, comme indiqué par la plupart des administrateurs de système et de sécurité, implique
les étapes décrites ci-dessous.
Remarque
Le processus décrit ci-dessous est un exemple. Le processus d'une société peut être différent et peut avoir
plus ou moins d'étapes. L'application vous permet de personnaliser les étapes si nécessaire. Pour plus
d'informations, voir Méthodologie de création de rôle [page 137].
Gestion et modification d'options de rôle
Le processus décrit ci-dessous est un processus de bout en bout pour créer les rôles. Une fois que vous avez créé
un rôle, vous pouvez utiliser le bouton Aller à phase pour aller directement à un stade et modifier l'information. Par
exemple, pour modifier les autorisations, ouvrez le rôle puis allez à la phase Gérer autorisation.
Remarque
Pour traiter un rôle, sur l'écran Gestion de rôle utilisateur, vous devez sélectionner le rôle puis sélectionnez le
bouton Ouvrir. Pour quelques phases, comme Définir rôle et Gérer autorisations, vous devez aussi
sélectionner le bouton Traiter au début de l'écran de phase.
Si vous sélectionnez le rôle en sélectionnant son nom, l'application affiche le rôle dans le mode d'affichage.
Tous les boutons sont désactivés et vous pouvez seulement afficher l'information.
SAP Access Control

Lorsque vous modifiez un rôle utilisateur, par exemple, en ajoutant ou en supprimant un rôle technique, tout
utilisateur qui est affecté à ce rôle utilisateur est automatiquement informé de ces modifications par e-mail une
fois que vous cliquez sur Mettre à jour l'affectation.
SAP fournit un modèle que vous pouvez utiliser pour les notifications. Vous pouvez aussi créer votre propre
modèle personnalisé pour les notifications d'utilisateur dans le Customizing sous Guide de référence SAP
Governance, Risk and Compliance SAP GRC Access Control Workflow pour SAP GRC Access Control Gérer
les messages de notification client .
Conditions requises
● En dehors de l'application, vous avez identifié vos besoins de gestion et évalué votre approche pour gérer les
rôles.
● Dans l'application, vous avez géré le processus de méthodologie de rôle et les étapes en :
○ Terminer les activités dans l'activité IMG Définir processus et étapes de méthodologie, sous
Governance, Risk, and Compliance SAP GRC Access Control Gestion des rôles
○ activant la configuration de gestion (BC) définie pour Processus de méthodologie de gestion de rôle et
étapes
Processus
La gestion des rôles est constituée des procédures suivantes :
1. Définition de rôles
2. Gestion d'autorisations
3. Dérivation de rôles
4. Analyse de risques d'accès
5. Autorisation de rôles
6. Génération de rôles
7. Gestion de scénarios de test
6.1.2.1 Définition de rôles
Contexte
Vous utilisez Définir rôle pour créer et gérer des attributs pour divers types de rôles. Les types de rôles sont
classés comme des rôles techniques ou des rôles utilisateurs.
Les rôles techniques sont des rôles qui existent physiquement dans le système backend. Vous affectez un rôle
technique à un utilisateur pour lui accorder autorisation et accès au système backend qui contient le rôle. Par
SAP Access Control

exemple, si vous voulez accorder des autorisations RH à un utilisateur pour le système Sys_1. Vous créez un rôle
technique HR_USER_SYS_1 avec les autorisations nécessaires et affectez le rôle technique à l'utilisateur dans le
backend.
Les rôles utilisateurs sont des rôles logiques qui n'existent que dans l'application SAP GRC Access Control ; ils
n'existent pas dans les systèmes backend. Ils vous autorisent à accorder des autorisations à un utilisateur pour
des rôles multiples. Les rôles peuvent être de systèmes multiples, plutôt que d'affecter manuellement des rôles
distincts pour chaque système.
Procédure
1. Sélectionnez Créer puis sélectionnez un type de rôle à créer.
L'écran Nouveau rôle s'affiche. L'application affiche des pages à onglet différentes, basées sur le rôle que vous
créez.
2. Dans la page à onglet Détails, saisissez des informations pour :
○ Type d'application
○ Infrastructure
○ Sous-processus
○ Version de projet
○ Nom rôle
3. Dans la page à onglet Propriétés, procédez comme suit :
1. Dans la zone Délai de certification en jours, saisissez le nombre de jours que vous voulez donner pour
réviser et approuver le rôle.
2. Sous la zone Propriétés, saisissez des informations pour Niveau critique, Sensibilité et Identificateur selon
les besoins.
3. Sous la zone Réaffirmation du rôle, dans la zone Réaffirmer la période en jours, saisissez le nombre de
jours au bout duquel le rôle doit être réaffirmé. Par exemple, vous pouvez indiquer qu'après 180 jours, le
propriétaire ou approbateur du rôle, doit réviser le rôle et réaffirmer qu'il s'applique encore.
4. Sous la zone Attribution de privilèges d'accès utilisateur, sélectionnez les cases à cocher suivantes :
○ Commentaires obligatoires, pour demander que l'approbateur ou le détenteur saisisse un
commentaire lorsqu'il approuve ou refuse le rôle
○ Activer pour Firefighting, pour mettre le rôle à disposition comme rôle de firefighting.
4. Dans la page à onglet Domaine fonctionnel, sélectionnez les domaines fonctionnels requis.
Vous gérez la liste de domaines fonctionnels dans l'activité IMG Gérer domaines fonctionnels sous
Governance, Risk, and Compliance SAP GRC Access Control Gestion des rôles .
5. Dans la page à onglet Société, sélectionnez les sociétés requises.
Vous gérez la liste de sociétés dans l'activité IMG Définir entreprises sous Governance, Risk, and
6. Dans la page à onglet Zones personnalisées, gérez toutes les zones personnalisées que vous avez définies.
Vous gérez la liste de sociétés dans l'activité IMG Définir entreprises sous Governance, Risk, and
Compliance Options générales Zones personnalisées .
SAP Access Control

7. Dans la page à onglet Détenteurs/Approbateurs, procédez comme suit :
1. Sélectionnez Traiter pour activer les boutons de commande.
2. Sélectionnez Ajouter puis sélectionnez un rôle pour être le détenteur ou l'approbateur.
3. Sélectionnez les cases à cocher respectives pour indiquer le rôle en tant qu'Approbateur d'affectation,
Détenteur du rôle ou les deux.
4. Dans la colonne Autre, sélectionnez un utilisateur pour servir de sauvegarde si le détenteur ou
l'approbateur n'est pas en mesure d'effectuer ses tâches.
5. Sélectionnez Approbateurs par défaut pour utiliser les approbateurs par défaut, plutôt qu'indiquer des
détenteurs ou des approbateurs spécifiques.
Remarque
Avant de pouvoir modifier la page à onglet Détenteurs/Approbateurs, vous devez sauvegarder le rôle. Les
fonctions pour cette page à onglet sont désactivées dans le mode Créer.
8. Dans la page à onglet Rôles, sélectionnez les rôles pour les associer à ce rôle. Cette option n'est disponible
que pour des rôles composites et des rôles utilisateurs.
9. Dans la page à onglet Condition, ajoutez toutes les conditions requises pour que l'utilisateur soit affecté à ce
rôle.
1. Sélectionnez la case à cocher Vérifier les demandes, pour demander que l'application vérifie que
l'utilisateur ait rempli toutes les conditions avant de permettre l'affectation de rôle.
2. Sélectionnez la case à cocher Active, pour activer la condition.
Vous gérez les conditions dans les Activités de Customizing Définir types de condition et Définir des conditions
du rôle sous Governance, Risk and Compliance SAP GRC Access Control Gestion des rôles .
10. Dans la page à onglet Mappage de rôle, vous pouvez affecter des rôles en tant que rôles enfants. Cela permet
à toute personne à qui ce rôle est affecté d'être affectée aux autorisations et à l'accès pour les rôles enfants
également.
Sélectionnez la case à cocher Prendre en compte approbat. rôles parent pour n'utiliser que les approbateurs
associés aux rôles supérieurs et ignorer tout approbateur associé aux rôles enfants.
Remarque
Si vous utilisez un rôle utilisateur, vous n'avez pas besoin de cette fonction.
Étapes suivantes
Utilisation de la gestion des accès d'urgence [page 172]
SAP Access Control

6.1.2.2 Détails supplémentaires
Utilisation
Vous pouvez utiliser la page à onglet Détails supplémentaires pour gérer des informations supplémentaires pour
le rôle. La page à onglet est mise à disposition sur tous les écrans de la gestion des rôles, vous pouvez donc gérer
l'information pour toutes les phases du processus de gestion des rôles.
Fonctionnalités
● Description détaillée
Une zone d'entrée de texte libre que vous pouvez utiliser pour saisir toute information pertinente.
● Attribution de privilèges d'accès
Gérer des options d'attribution de privilèges d'accès pour le rôle. Pour plus d'informations, voir Gestion
d'options d'attribution de privilèges d'accès de rôle [page 145].
● Rôles de cas d'emploi
Une liste des infrastructures système où les rôles sont utilisés. La liste inclut le processus de gestion et le
sous-processus.
● Utilisateurs affectés
Une liste de tous les utilisateurs affectés au rôle, avec le système pertinent et la période de validité.
● Pièces jointes
Joindre tout fichier ou des documents requis pour le rôle.
● Historique des modifications
Un historique des modifications apportées au rôle dans SAP GRC Access Control
● Historique des modifications PFCG
Un historique des modifications apportées au rôle dans la transaction PFCG.
6.1.2.3 Gérer options d'attribution de privilèges d'accès
Utilisation
Vous gérez ces options pour contrôler comment l'application met à disposition le rôle.
Procédure
1. Sélectionnez la zone Statut de rôle et sélectionnez un statut. Si vous voulez que le rôle soit pour l'attribution
de privilèges d'accès, vous devez sélectionner Production.
Vous gérez la liste de statuts de rôle dans l'activité IMG Gérer statut de rôle, sous Governance, Risk, and
SAP Access Control

2. Pour activer la période de validité pour un système, sélectionnez un système puis sélectionnez Définir la
période par défaut.
3. Pour autoriser les utilisateurs à rechercher le rôle et à demander que le rôle leur soit affecté, sélectionnez
Attribution de privilèges d'accès autorisée puis sélectionnez Oui.
4. Pour permettre à l'application de mettre automatiquement à disposition des rôles aux utilisateurs une fois
que leur demande d'accès d'utilisateur a été approuvée, sélectionnez Permettre attribution de privilèges
d'accès automatique puis sélectionnez Oui.
Remarque
L'application effectue seulement l'attribution de privilèges d'accès pour des rôles qui sont activés comme
productifs et pour lesquels l'attribution de privilèges d'accès est autorisée. C'est-à-dire, si le rôle est activé
comme productif, mais que l'attribution de privilèges d'accès autorisée et que Permettre attribution de
privilèges d'accès automatique sont définis sur Non, l'application ne met pas à disposition le rôle.
6.1.2.4 Gestion d'autorisations
Utilisation
Vous pouvez utiliser la phase Gérer autorisations pour gérer les données d'autorisation de rôle pour le type de rôle
Individuel. Cette phase n'est pas pertinente pour d'autres types de rôle et n'est pas affichée pour eux.
Remarque
● Si vous mettez à jour un rôle existant, sélectionnez le bouton Traiter pour activer les boutons sur l'écran.
● Dans le mode de Traitement, vous ne pouvez pas naviguer vers d'autres phases. Vous devez sélectionner
Sauvegarder pour activer le bouton Aller à phase.
Conditions requises
● Vous avez l'accès et les autorisations pour le système backend requis.

● Vous avez ajouté le système backend à SAP GUI.
● Dans votre système Windows, vous avez configuré SAP GUI comme programme par défaut pour ouvrir les
fichiers avec l'extension de fichier SAP.
● Vous avez affecté le système backend par défaut dans l'activité IMG Gérer mappage pour actions et groupes
de connecteurs, sous Governance, Risk, and Compliance SAP GRC Access Control .
SAP Access Control

Procédure
L'application fournit des caractéristiques différentes pour gérer les autorisations de rôle PFCG et les autorisations
de rôle non PFCG.
Gestion d'autorisations non PFCG
1. Dans la page à onglet Actions, sélectionnez dans les caractéristiques suivantes :

○ Sélectionnez le bouton Ajouter à sélectionner parmi une liste d'actions disponibles.
○ Sélectionnez les boutons Télédécharger modèle et Télécharger pour utiliser le fichier livré pour ajouter
des actions.
2. Dans la page à onglet Fonctions, sélectionnez ajouter ou supprimer des fonctions.
3. Sauvegardez les entrées.
Gestion d'autorisations PFCG
1. Dans la page à onglet Gérer autorisations, sélectionnez dans les caractéristiques suivantes :
○ Ajouter/Supprimer fonction pour gérer les fonctions pour le rôle
○ Gérer données d'autorisation pour lancer la transaction PFCG sur le système backend
○ Synchronisation avec PFCG pour tirer les données d'autorisation de rôle de PFCG et remplacer les
données d'autorisation de rôle dans le contrôle d'accès
Remarque
Dans ce mode, l'application désactive les boutons Ajouter/supprimer fonction et Gérer données
d'autorisation. Pour annuler la synchronisation et activer les boutons, sélectionnez le bouton Annuler
SynchronisationPFCG.
○ Transmettre aux rôles dérivés pour transmettre les modifications de données d'autorisation de rôle à tous
les rôles dérivés reliés à ce rôle
○ Pousser données d'autorisation vers système backend pour pousser les données d'autorisation de rôle du
contrôle d'accès au système backend et remplacer les données d'autorisation dans PFCG
Remarque
Les pages à onglet suivantes sont des données d'autorisation d'affichage et en lecture seule du système
backend pour le rôle :
● Actions
● Autorisations
● Niveaux organisationnels
● Fonctions
SAP Access Control

6.1.2.5 Dérivation de rôles
Prérequis
● Vous avez créé et sauvegardé le rôle de base dans le système backend PFCG.
● Vous avez affecté le système backend par défaut dans l'activité IMG Gérer mappage pour actions et groupes
de connecteurs, sous Governance, Risk, and Compliance SAP GRC Access Control .
● Si vous voulez autoriser la dérivation de rôle à l'aide de mappages de valeurs organisationnelles sans
organisation principale, vous avez géré l’Identification de paramètre 3025 dans l'activité IMG : Gérer options
de configuration, sous Governance, Risk, and Compliance .
Contexte
La dérivation de rôle autorise les administrateurs à dériver un ou plusieurs rôles d'un rôle maître individuel. Le rôle
maître sert de modèle pour les autorisations et les attributs. Les rôles dérivés sont différenciés du rôle maître et
les uns des autres par les valeurs organisationnelles. Une Organisation principale que le système utilise pour filtrer
les mappages de valeurs organisationnelles pendant la dérivation de rôle, peut ou ne peut pas être requise en
fonction de la façon dont votre système est configuré.
Remarque
Tel qu'il est fourni, le système nécessite l'utilisation de mappages de valeurs organisationnelles pour la
dérivation de rôle, contenant une organisation principale. Si vous voulez autoriser une dérivation de rôle à partir
de mappages ne contenant aucune organisation principale, votre administrateur peut gérer l’Identification de
paramètre 3025 dans l'activité IMG : Gérer options de configuration, sous Governance, Risk, and Compliance
Vous pouvez utiliser le type de rôle Rôle individuel uniquement pour des rôles de base ; par conséquent, vous
pouvez uniquement dériver des rôles de rôles individuels.
Procédure
1. Recherchez le rôle qui a été créé et figurant dans la phase de dérivation.
Le système affiche le rôle dans la grille de résultat de la recherche.

2. Sélectionnez la ligne souhaitée et cliquez sur Ouvrir.
Le rôle s'ouvre dans une nouvelle fenêtre avec le processus de méthodologie actif dans l'onglet Dérivation.
3. Cliquez sur Dériver.
Le système affiche l'écran Gérer rôle dérivé.
SAP Access Control

4. Pour dériver un rôle sans valeur organisationnelle principale :
1. Sélectionnez la case à cocher Aucun niveau organisationnel principal.
Le système désactive le Niveau organisationnel principal, zones Valeur organisationnelle initiale et Valeur
organisationnelle finale.
Vous utilisez cette option si vous voulez copier uniquement les données d'autorisation du rôle de base,
utilisez ensuite la transaction PFCG pour modifier les valeurs organisationnelles.
Remarque
Vous pouvez seulement dériver un rôle à la fois lorsque vous utilisez cette option.
2. En sélectionnant Aucune organisation principale, vous disposez des deux choix suivants :
Table 22 :
Pour dériver le rôle sans utiliser de mappage de va Pour dériver le rôle à l'aide de mappages de valeurs or
leurs organisationnelles, procédez comme suit : ganisationnelles ne contenant aucune organisation
principale, procédez comme suit :
1. Cliquez sur Suivant.

2. Allez à l'étape 6.
Remarque
Pour utiliser cette option, l'Identification de paramètre
3025 doit être définie surOui dans le Customizing.
1. Cliquez sur Ajouter pour sélectionner un mappage

de valeurs organisationnelles.
2. Sélectionnez un ou plusieurs mappages.
3. Cliquez sur OK puis sur Suivant.
4. Allez à l'étape 6.
5. Pour dériver un rôle à l'aide de mappages de valeurs organisationnelles contenant une organisation
principale :
1. Sélectionnez le Niveau organisationnel principal.
2. Saisissez les valeurs organisationnelles.
Pour indiquer une seule valeur organisationnelle, saisissez seulement une valeur dans la zone Valeur
organisationnelle initiale.
3. Sous la zone Mappage de valeurs organisationnelles, sélectionnez Ajouter pour sélectionner un ou
plusieurs mappages de valeurs organisationnelles.
6. Dans la zone Nom de rôle dérivé, attribuez un nom au rôle dérivé puis sélectionnez Suivant.
Remarque
Vous pouvez configurer des conventions d'appellation pour des noms de rôle dans l'activité IMG Indiquer
conventions d'appellation, sous Governance, Risk, and Compliance SAP GRC Access Control Gestion
de rôle .
7. Révisez les informations pour le rôle dérivé puis sélectionnez Sauvegarder.
L'application sauvegarde le rôle dérivé. Pour générer le rôle dérivé, allez à la phase Générer rôles.
SAP Access Control

6.1.2.6 Analyse de risques d'accès pour la gestion des rôles
Utilisation
Vous pouvez utiliser la phase Analyse risques d'accès pour effectuer les types d'analyse suivants :
● Vous utilisez Analyse des risques pour déterminer des violations des autorisations affectées au rôle, par
exemple, les autorisations se traduisent par des violations de séparation des tâches.
● Vous utilisez Analyse d'impact pour déterminer des violations d'autorisation concernant d'autres rôles. C'est-
à-dire, les autorisations pour ce rôle en combinaison avec des autorisations pour un autre rôle se traduisent
par des violations.
Procédure
Pour effectuer l'analyse des risques :

Remarque
La zone Sélectionner options pour analyse d'impact est seulement activée lorsque l'analyse d'impact est
sélectionnée.
5. Dans la zone Afficher résultat pr, sélectionnez Analyse des risques parmi la liste déroulante puis sélectionnez
Lancer.
Pour effectuer l'analyse d'impact :

4. Dans la zone Sélectionner des options pour l'analyse d'impact, choisissez d'effectuer l'analyse d'impact pour
les points suivants : Utilisateurs, Rôles composites ou Rôles utilisateurs.
6. Dans la zone Afficher résultat pr, sélectionnez Analyse d'impact parmi la liste déroulante, sélectionnez l'option
d'analyse d'impact puis sélectionnez Lancer.
SAP Access Control

Atténuation des risques [page 42]
6.1.2.6.1 Atténuation des risques
Prérequis
Contexte
Remarque
Procédure
SAP Access Control

Étapes suivantes
6.1.2.7 Génération de rôles
Contexte
Dans la phase Générer rôles, vous pouvez soumettre des rôles pour la génération.
Procédure
1. Sur l'écran Générer rôles, sélectionnez le bouton Générer.
L'écran affiche une synthèse de ce qui suit pour les rôles à générer :
○ Système par défaut
L'application tire les informations du système par défaut de l'infrastructure du système. Vous gérez les
informations du système par défaut dans l'activité IMG Gérer mappage pour actions et groupes de
connecteurs, sous Governance, Risk, and Compliance SAP GRC Access Control .
○ Autres systèmes
L'application tire les informations du système de l'infrastructure du système. Vous gérez les informations
du système par défaut dans l'activité IMG Gérer mappage pour actions et groupes de connecteurs, sous
Governance, Risk, and Compliance SAP GRC Access Control .
○ Rôles dérivés
L'application affiche une liste des rôles dérivés de ce rôle de base.
SAP Access Control

3. le job pour générer les rôles et sélectionnez Suivant.
4. Analyser des risques
L'application effectue une analyse des risques. Si elle ne détecte aucun risque, elle va immédiatement à la
phase Confirmation.
Remarque
Vous pouvez configurer si l'application effectue ou non une analyse des risques avant qu'elle ne génère des
rôles. Pour ce faire, activez l'ID de paramètre 3011 dans l'activité IMG Gérer options de configuration sous
5. Sélectionnez Soumettre pour soumettre le job afin de générer les rôles.
Remarque
Vous pouvez configurer si l'application génère ou non des rôles même avec des risques. Pour ce faire,
activez les ID de paramètre 3014 à 3018 dans l'activité IMG Gérer options de configuration sous
6.1.2.8 Gestion de scénarios de test
Utilisation
Vous pouvez utiliser la phase Gérer scénarios de test pour documenter des résultats de test pour un test fait pour
le rôle. Vous pouvez saisir des cas de test individuel, télécharger des cas de test multiple ou joindre des
documents.
Procédure
Pour saisir les cas de test individuel :
1. Sélectionnez Créer pour saisir des cas de test individuel.

2. Sur l'écran Résultats de test, saisissez le nom de scénario de test et toutes les zones obligatoires.
3. Dans la zone Pièces jointes, sélectionnez Ajouter et ajoutez un fichier ou un lien.
Pour saisir des cas de test multiple :
1. sélectionnez Importer depuis le fichier.

L'application fournit un modèle que vous pouvez utiliser pour créer des cas de test multiple.
2. Sélectionnez Naviguer pour naviguer jusqu'au fichier, puis sélectionnez OK.
SAP Access Control

6.1.3 Approbation de demandes de rôle
Utilisation
Le processus d'approbation des demandes de rôle est constitué des procédures pour la personne effectuant la
demande et pour la personne approuvant la demande.
Conditions requises
Vous avez sélectionné les détenteurs de rôle et les approbateurs de rôle dans la phase Définir rôle.
Processus
1. Dans la phase Demande d'approbation, le demandeur sélectionne le bouton Initialiser la demande

d'approbation pour initialiser le workflow pour approuver le rôle. Le demandeur peut aussi surveiller le statut
de la demande et lire les commentaires sur la demande.
2. Dans la Corbeille de travail, l'approbateur reçoit la tâche pour approuver la demande puis choisit parmi les
actions suivantes :
○ Rejeter
○ Faire suivre
○ En suspens
○ Demande d'informations
Vous pouvez configurer la liste d'actions disponibles et le workflow d'approbation dans l'activité IMG Gérer
workflows MSMP (Multiple Stage Multiple Pass), sous Governance, Risk, and Compliance SAP GRC
Access Control Workflow pour SAP GRC Access Control .
3. (Facultatif) Dans le Customizing (transaction SPRO), configurez des notifications par e-mail.
○ Pour configurer des notifications par e-mail pour informer le demandeur que sa demande a été
approuvée ou refusée, vous gérez l'activité IMG Gérer des messages de notification personnalisés, sous
Governance, Risk, and Compliance SAP GRC Access Control Workflow pour SAP GRC Access
Control .
Vous pouvez les configurer de sorte que tous les destinataires du même événement de notification
reçoivent le même message ou vous pouvez la configurer de sorte que différents destinataires du même
événement de notification reçoivent des messages différents. Par exemple, vous pouvez les configurer de
sorte que les destinataires du service de Finance reçoivent un message avec une formulation spécifique à
la finance.
Remarque
Pour utiliser les notifications fournies par défaut, aucune configuration n'est requise. L'application
utilise automatiquement les notifications fournies.
SAP Access Control

○ Pour configurer des notifications par e-mail pour la personne approuvant la demande de rôle, vous gérez
l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous Governance, Risk, and
Compliance SAP GRC Access Control Workflow pour SAP GRC Access Control .
Définition de rôles [page 142]
Détails supplémentaires [page 145]
6.1.4 Réattribution de privilèges d'accès de rôles utilisateur
Utilisation
Vous pouvez utiliser cette caractéristique pour remettre à disposition des rôles utilisateur à des utilisateurs
lorsque les rôles techniques affectés aux rôles utilisateur ont été modifiés.
L'application permet d'affecter plusieurs rôles techniques à un rôle logique appelé rôle utilisateur. Vous pouvez
ainsi mettre à disposition les autorisations de rôles techniques multiples à un utilisateur en une étape, en mettant
à disposition le rôle utilisateur unique. Cette fonctionnalité permet de remettre à disposition les rôles utilisateur à
des utilisateurs, si les affectations de rôle technique ont été modifiées une fois que vous avez mis initialement à
disposition les rôles.
Exemple
Le chiffre suivant indique que le rôle utilisateur, Business_Role_01, a remplacé ses affectations de rôle
technique Technical_Role_03 par Technical_Role_05 et Technical_Role_06.
SAP Access Control

Figure 5 : Modification d'affectations de rôle technique
Remarque
Cette caractéristique est mise à disposition seulement pour des rôles utilisateur.
Conditions requises
Vous avez activé la phase d’Attribution de privilèges d'accès pour la méthodologie de rôle.
Vous gérez la phase dans l'activité IMG, Définir méthodologie et étapess, sous Governance, Risk and
Processus
1. Sélectionnez Gestion des accès Gestion des rôles Gestion des rôles L'écran Gestion des rôles
utilisateur s'affiche.
SAP Access Control

2. Sélectionnez un rôle utilisateur puis Ouvrir.
L'écran Gestion des rôles utilisateur s'affiche.
Remarque
Le graphique de workflow au début de l'écran affiche la phase Attribution de privilèges d'accès uniquement
si ces deux conditions sont remplies :
○ Vous gérez un rôle utilisateur.
○ Vous avez activé la phase d'Attribution de privilèges d'accès dans le Customizing.
3. Dans la phase Définition, remplacez l'affectation des rôles techniques par le rôle utilisateur le cas échéant puis
sélectionnez Sauvegarder et poursuivre.
4. Terminez les phases du workflow si nécessaire, comme Analyse de risques, pour aller à la phase Attribution de
privilèges d'accès.
La page à onglet Attribution de privilèges d'accès s'affiche seulement si les conditions ci-dessus sont remplies.
Les sous-onglets et fonctions suivants s'affichent :
Table 23 :
Onglet Fonctions
Attribution de privilèges d'accès Sélectionnez le bouton Mettre affectation à jour et l'application effectue un job d'ar
rière-plan pour remettre à disposition le rôle utilisateur aux utilisateurs associés.
L'application effectue le job d'arrière-plan immédiatement, mais selon la configura
tion du système, le processus peut prendre un certain temps.
Remarque
Le bouton Mettre affectation à jour est activé seulement si le rôle utilisateur a été
affecté via le processus de demande d'accès.
La table affiche les jobs d'arrière-plan pertinents et leur statut.
Sélectionnez le bouton Rafraîchir pour rafraîchir le statut. Lorsque la colonne

Résultat affiche Terminer, l'arrière-plan a fini de remettre à disposition le rôle utilisa
teur.
Synthèse par utilisateur Cet onglet affiche les résultats du job d'arrière-plan de réattribution de privilèges
d'accès par utilisateur. Vous pouvez ainsi connaître les utilisateurs concernés par
cette réattribution de privilèges d'accès. La colonne Résultat indique si la réattribu
tion de privilèges d'accès a été Correcte ou a Echoué.
SAP Access Control

Onglet Fonctions
Détails Cet onglet affiche les détails du job de réattribution de privilèges d'accès. Il affiche les
informations suivantes :
○ Identifiant du job
○ Utilisateur
○ Rôle associé
○ Système
○ Début de validité
○ Fin de validité
○ Action
Si le job a ajouté ou supprimé le rôle.
○ Résultat
○ Motif
Par exemple, la raison pour laquelle la remise à disposition a échoué.
○ Mis à disposition le
Heure et date auxquelles l'application a mis à disposition les rôles.
○ Initialisé le
Heure et date auxquelles le processus d'arrière-plan a été lancé.
○ Initialisé par
La personne qui a initialisé le job d'attribution de privilèges d'accès.
5. Sélectionnez Sauvegarder et poursuivre puis terminez toute phase restante dans le workflow le cas échéant.
Définition de rôles [page 142]
Gestion des rôles [page 141]
6.1.5 Recherche de rôle
Utilisation
Vous pouvez rechercher des rôles basés sur des attributs de rôle comme le type de rôle, le nom du rôle et ainsi de
suite. Sélectionnez le bouton plus (+) pour ajouter des critères supplémentaires.
Remarque
L'application vous permet de rechercher des rôles à partir de plusieurs écrans. A l'écran Demande d'accès,
l'application vous permet (autorisation d'administrateur requise) de configurer les zones de critères de
recherche. Vous pouvez ajouter des zones personnalisées et configurer leurs attributs. Par exemple, vous
pouvez définir les valeurs par défaut et définir si la zone est obligatoire. Vous pouvez configurer les zones dans
le Customizing pour Gérer attributs de zone personnalisée pour personnalisation de recherche de rôle sous
SAP Access Control

Governance, Risk, and Compliance SAP GRC Access Control Attribution de privilèges d'accès
utilisateur .
Recommandation
Il est recommandé de limiter les critères de recherche pour obtenir des résultats plus ciblés.
Activités
Sur l'écran des résultats de la recherche, vous pouvez modifier, copier, supprimer ou exporter les rôles.
● Pour modifier le rôle, sélectionnez Ouvrir. Cela ouvre le rôle dans l'écran de workflow de gestion des rôles.
● Pour définir un nouveau nom du rôle basé sur un rôle existant, sélectionnez un rôle puis sélectionnez Copier.
Sur l'écran Copie de rôle, sélectionnez les attributs que vous voulez copier, puis sélectionnez Envoyer.
● Pour supprimer un rôle, sélectionnez le rôle ou les rôles que vous souhaitez supprimer, puis sélectionnez
Supprimer.
● Pour exporter des rôles et des détails du rôle vers une feuille de calcul Microsoft Excel, sélectionnez les rôles
et sélectionnez Exporter et Exportation de détails de rôle si nécessaire.
Gestion des rôles [page 141]
6.1.6 Rôles par défaut
Utilisation
Vous utilisez Rôles par défaut pour indiquer des rôles que l'application affecte à un utilisateur automatiquement
pendant l'attribution de privilèges d'accès.
Processus
Pour créer des rôles par défaut :
2. Sélectionnez un Attribut et une Valeur d'attribut puis sélectionnez Ajouter.
3. Sélectionnez un système et un nom de rôle dans les colonnes respectives.
SAP Access Control

Exemple
Vous avez deux rôles pour des salariés de stock dans votre système : Inventory_Clerk et Inventory_Manager.
Vous avez utilisé Rôles par défaut pour indiquer que l'application devrait utiliser le rôle Inventory_Clerk, si une
demande d'accès d'utilisateur pour le système Inventory01 contient l'attribut Sous-processus, la valeur
d'attribut Check_Inventory et aucun nom de rôle spécifique.
Table 24 :
Attribut Sous-processus
Valeur d'attribut Check_Inventory
Système Inventory 01
Nom du rôle Inventory_Clerk
Deux salariés ont soumis des demandes d'accès avec les résultats suivants :
● Employee_01 a seulement indiqué qu'il a requis une autorisation pour le sous-processus de Check_Inventory.
L'application met automatiquement à disposition leur accès avec le rôle par défaut Inventory_Clerk.
● Employee_02 a indiqué qu'il a requis une autorisation pour le sous-processus de Check_Inventory et pour le
rôle Inventory_Manager. L'application met à disposition leur accès avec deux rôles : Inventory_Clerk et
Inventory_Manager.
6.2 Analyse de rôles
Utilisation
L'analyse de rôles regroupe des caractéristiques qui vous permettent de viser des rôles d'intérêt, d'analyser les
rôles puis d'intenter une action. Par exemple, trouvez tous les rôles qui sont à cause d'expiration et affirmez s'ils
sont encore pertinents.
Fonctionnalités
● Utilisation d'action [page 161]

● Comparaison des rôles [page 161]
● Réaffirmation de rôle [page 162]
SAP Access Control

6.2.1 Utilisation d'action
Utilisation
Vous utilisez Utilisation d'action pour générer un état qui affiche l'utilisation d'action par rôles, utilisateurs et
profils. Vous pouvez afficher la dernière date d'exécution de l'action et le nombre d'exécutions de cette dernière
sur une période spécifique pour les systèmes SAP.
L'écran de d'état Utilisation d'action affiche l'utilisation pour l'action indiquée pour la plage de dates indiquée et
pour le système sélectionné.
L'état affiche les informations d'utilisation de l'action uniquement pour le système dans lequel le rôle était associé
à l'action.
Activités
Pour afficher un état d'utilisation d'action, saisissez les informations dans les zones le cas échéant, puis
sélectionnez Exécuter dans l'avant-plan ou Exécuter dans l'arrière-plan.
Vous pouvez sauvegarder les critères d'analyse et les utiliser à nouveau pour générer des états en saisissant un
6.2.2 Comparaison des rôles
Utilisation
Vous utilisez Comparaison de rôle pour comparer deux rôles ou plus dans l'application de contrôle d'accès ou
entre l'application et un autre système. Vous pouvez comparer des rôles par Type de comparaison et Niveau de
comparaison. S'il y a une différence entre les rôles, vous pouvez synchroniser les rôles en sélectionnant d'écraser
les valeurs d'un rôle par un autre. Pour de plus amples informations, voir ci-dessous.
Processus
La comparaison des rôles est constituée des procédures suivantes :
1. Sélection de rôles
A l'écran Sélectionner les rôles, sélectionnez Ajouter, recherchez et sélectionnez des rôles. Vous devez
sélectionner au moins deux rôles.
2. Sélection de critères de comparaison
Sur l'écran Critères de comparaison, sélectionnez le niveau de comparaison et le type. Si vous sélectionnez de
Comparer rôles entre SAP GRC AccessControl et système, vous devez sélectionner un système dans la zone
Système.
SAP Access Control

3. Vérifier des résultats de la comparaison
Sur l'écran Résultats de comparaison, les résultats sont affichés dans les pages à onglet Actions et
Autorisations.
4. Synchronisation des rôles
Sur l'écran Synchronisation, sélectionnez parmi les options suivantes :
○ Entre SAP GRC AccessControl et système
Vous choisissez d'écraser l'information de rôle sur le système sélectionné par l'information de rôle de
SAP GRC Access Control.
○ Entre système et SAP GRC AccessControl
Vous choisissez d'écraser l'information de rôle dans SAP GRC AccessControl par l'information de rôle du
système sélectionné.
Remarque
La synchronisation s'applique seulement si vous sélectionnez le Type Comparer rôles entre le contrôle
d'accès et le système à l'écran Critères de comparaison.
Pour plus d'informations, voir l'exemple ci-dessous.

5. Planification du job pour synchroniser les rôles
Sur l'écran Ordonnancer, saisissez l'information dans les zones obligatoires pour planifier la tâche de
synchronisation. Vous pouvez choisir d'exécuter le job dans l'Avant-plan ou l'Arrière-plan.
L'écran Confirmation affiche vos activités.
Exemple
Dans l'exemple suivant, l'application SAP GRC AccessControl est l'interface de gestion de rôle pour les systèmes
backend suivants : Financier (FIN) et ressources humaines (RH). Il illustre que le rôle FIN_ROLE_01 dans le
système FIN n'a pas les mêmes autorisations que le rôle dans l'application SAP GRC AccessControl. Cela peut
survenir si quelqu'un a contourné l'application SAP GRC AccessControl et apporté directement des modifications
aux rôles sur le système.
La comparaison de rôle vous permet de synchroniser les rôles en écrasant l'information de rôle entre l'application
de contrôle d'accès et le système sélectionné.
Figure 6 : Comparaison des rôles
6.2.3 Réaffirmation de rôle
Vous utilisez Réaffirmation du rôle pour réaffirmer des approbations et des autorisations pour des rôles
sélectionnés qui sont proches de l'expiration. Par exemple, pendant une période, les salariés peuvent changer de
poste d'activité dans une entreprise ou quitter l'entreprise. C'est une pratique habituelle pour les entreprises que
leurs gestionnaires révisent si les autorisations et les rôles affectés à leurs salariés sont encore pertinents ou non.
Sur l'écran Réaffirmation du rôle, vous pouvez rechercher des rôles puis choisir parmi les actions suivantes :
Approuver, Supprimer ou Mettre en suspens.
SAP Access Control

6.3 Gestion en masse des rôles
Utilisation
Vous pouvez utiliser Gestion en masse des rôles pour importer et modifier les autorisations et les attributs pour
des rôles multiples.
Processus
Le processus Gestion en masse des rôles est composé des procédures suivantes :
1. Importation de rôles multiples [page 163]

2. Mise à jour de plusieurs rôles [page 166]
3. Mise à jour de valeurs organisationnelles pour des rôles dérivés multiples [page 168]
4. Dérivation de rôles multiples [page 169]
5. Analyse du risque pour des rôles multiples [page 170]
6. Génération de rôles multiples [page 171]
Remarque
Si vous avez terminé l'importation des rôles ou si les rôles sont déjà dans l'application SAP GRC Access
Control, vous pouvez effectuer les procédures dans n'importe quel ordre requis.
6.3.1 Importing Multiple Roles
Utilisation
You can use Role Import to bring multiple roles from other systems in to the access control application.
Processus
The role import process includes the following procedures:
1.
Specify the type of role to import, the source system, application type, and landscape.
2.
Enter the information for the Role Attribute Source and the Role Authorization Source, such as location of the
attribute and authorization files.
3. Reviewing
SAP Access Control

On the Review screen, choose from the following review options:
○ No Preview
○ Preview all roles
○ Preview subset of roles
You can enter the quantity of roles you want to preview.
4.
Schedule the background job for importing the roles or choose to run the job in the foreground.
6.3.1.1 Définition de critères
Utilisation
Sur l'écran Définir critères, vous pouvez indiquer le type de rôle, la source d'importation et d'autres paramètres
pour importer les rôles multiples.
Procédure
Pour définir les critères, procédez comme suit :
1. Dans la zone Sélection du rôle, sélectionnez le type de rôle.
Remarque
Lorsque vous sélectionnez un type de rôle, l'application désactive les zones qui sont sans objet pour ce
type. Par exemple, si vous sélectionnez Rôle utilisateur, l'application désactive les zones Entrée utilisateur
et Source de l'autorisation au rôle.
2. Dans la zone Importer source, sélectionnez la Source d'attribut du rôle et la Source de l'autorisation au rôle.
Remarque
Vous devez avoir l'autorisation S_CTS_SADM pour utiliser l'option Fichier sur serveur.
Les Attributs de rôle sont des détails pour le rôle et peuvent inclure des informations comme le nom du rôle,
le processus, le sous-processus et ainsi de suite. Selon le type de rôle, la source d'attribut de rôle peut être
l'une des suivantes : Entrée utilisateur, Fichier sur le serveur ou Fichier sur le bureau.
La source de l'autorisation au rôle est l'objet qui fournit les informations d'autorisation pour les rôles. Selon
le type de rôle, la source d'autorisation de rôle peut être l'une des suivantes : Système Backend, Fichier sur le
serveur ou le Fichier sur le bureau. Les options s'appliquent aux autorisations de rôle PFCG et non PFCG.
Remarque
Pour des rôles techniques, vous pouvez sélectionner Ignorer pour indiquer que la source d'autorisation de
rôle est sans objet.
SAP Access Control

3. Dans la zone Modèles, vous pouvez télédécharger des modèles pour ce qui suit :
○ Fichier d'attributs de rôle
○ Fichier d'autorisations de rôle non PFCG
4. Dans la section Critères de définition, vous pouvez sélectionner le type d'application, l'infrastructure et s'il faut
écraser le rôle existant ou non.
Remarque
Les types d'application disponibles dans la liste déroulante Type d'application changent selon le type de
rôle que vous sélectionnez.
5. Dans la zone Critères de sélection du rôle, vous pouvez affiner les rôles que vous voulez importer en indiquant
le système source, la plage des rôles et ainsi de suite.
Vous pouvez sélectionner Importer tous les rôles sauf les rôles prédéfinis par SAP. C'est-à-dire, importez
seulement les rôles que vous avez créés ou personnalisés ; n'importez pas les rôles standard fournis par SAP.
Dans la zone Statut de méthodologie, vous pouvez choisir d'importer seulement les rôles d'un statut
spécifique, comme Terminé ou Initial.
6.3.1.2 Sélection de données de rôle
Utilisation
A l'écran Sélectionner données de rôle, vous saisissez les informations pour la Source d'attribut de rôle et la
Source d'autorisation de rôle, comme l'emplacement des fichiers d'attribut et d'autorisation.
En fonction des options que vous sélectionnez pour la Source d'attribut de rôle et la Source d'autorisation de rôle,
l'application affiche les zones applicables. Par exemple, si vous avez sélectionné Fichier sur serveur pour la source
d'attribut de rôle, l'application affiche la zone Source du fichier pour que vous saisissiez l'emplacement du fichier
sur le serveur. Cela inclut aussi un lien pour que vous télédéchargiez un modèle pour les attributs de rôle.
Si vous sélectionnez Entrée utilisateur pour la Source d'attribut de rôle, l'application affiche des onglets et des
zones supplémentaires.
Procédure
Pour saisir des données de rôle d'entrée utilisateur :
1. Dans la section Sélection d'attribution, sélectionnez parmi les options suivantes :

○ Valeurs par défaut
Sélectionnez cette option pour utiliser les attributs fournis dans la section Attributs de rôles.
Les valeurs par défaut sont gérées dans l'activité de Customizing Gérer options de configuration, sous
Governance, Risk and Compliance SAP GRC Access Control . Gérez les ID de paramètre 3000 à
3004 inclus.
○ Attributs personnalisés
Sélectionnez cette option pour saisir vos propres informations dans la section Attributs de rôles, comme
Niveau critique, Version de projet, Statut de rôle et ainsi de suite.
SAP Access Control

2. Dans la page à onglet Domaine fonctionnel, sélectionnez Ajouter pour sélectionner et ajouter un domaine
fonctionnel de la liste.
3. Dans la page à onglet Détenteurs/Approbateurs, vous pouvez procéder comme suit :
○ Sélectionnez Ajouter pour sélectionner et ajouter des utilisateurs.
○ Sélectionnez la case à cocher appropriée pour indiquer que l'utilisateur est un Approbateur d'affectation
ou Détenteur du rôle ou les deux.
○ Dans la colonne Autre, sélectionnez un utilisateur qui sera le remplaçant de l'utilisateur principal.
4. Dans la page à onglet Zones personnalisées, vous saisissez les informations pour renseigner toute nouvelle
zone que vous avez créée en plus des zones standard fournies par SAP.
6.3.1.3 Ordonnancement de jobs d'arrière-plan
Utilisation
Sur l'écran Ordonnancement, vous pouvez sélectionner de planifier que le job s'exécute en arrière-plan à un
moment donné ou sélectionner d'exécuter le job en avant-plan.
Pour exécuter le job en avant-plan, sélectionnez la case à cocher Avant-plan et sélectionnez Soumettre.
Procédure
Pour exécuter le job comme job d'arrière-plan :
1. Sous la section Ordonnancer, sélectionnez Arrière-plan.

2. Pour activer le job pour qu'il revienne plusieurs fois, mettez l'option Plan récurrent sur Oui puis sélectionnez la
date et les heures.
Vous pouvez définir la Fréquence comme : Horaire, Quotidienne, Hebdomadaire ou Mensuelle.
Dans la zone Récurrence, vous pouvez activer le job d'arrière-plan pour qu'il revienne tous les certains
nombres d'heures. Par exemple, revenir toutes les 4 heures.
3. Pour activer le job afin qu'il s'exécute une seule fois, définissez l'option Plan récurrent sur Non. Vous pouvez
choisir de lancer le job immédiatement ou de commencer à une date et heure spécifique.
6.3.2 Mise à jour de plusieurs rôles
Utilisation
Vous pouvez utiliser Mise à jour de rôles pour modifier les attributs pour plusieurs rôles. Les actions disponibles
sont mises à jour, supprimées ou ajoutées.
SAP Access Control

Processus
Le processus de mise à jour de rôle inclut les procédures suivantes :
1. Sélection de rôles
1. Sur l'écran Sélectionner les rôles, sélectionnez Ajouter.
2. Recherchez et sélectionnez des rôles basés sur des critères, comme le nom du rôle, niveau critique,
processus de gestion et ainsi de suite.
3. Sélectionnez OK puis Suivant.
2. Sélection de critères
1. Sur l'écran Sélectionner critères, sélectionnez la liste déroulante Attributs et sélectionnez un attribut à
mettre à jour.
2. Sélectionnez la liste déroulante Actions et sélectionnez une action disponible. Vous pouvez choisir de
mettre à jour, supprimer ou ajouter.
Remarque
Les actions affichées dans la liste déroulante dépendent de l'attribut. Les attributs multivaleurs
affichent Mettre à jour, Supprimer et Ajouter. Les attributs monovaleurs affichent seulement Mettre à
jour. Par exemple, pour l'attribut Processus de gestion, seule l'action Mettre à jour est mise à
disposition.
3. Sélectionnez votre option pour Réinitialiser la méthodologie de rôle. Sélectionnez Oui pour réinitialiser les
rôles à la première phase de la méthodologie de rôle. Par exemple, un rôle est dans la quatrième phase
d'une méthodologie de rôle ; cette fonction réinitialise le rôle à la première phase.
3. Sélection de valeurs
Sur l'écran Sélectionner les valeurs, saisissez l'ancienne valeur que vous voulez modifier et la nouvelle valeur
par laquelle vous voulez la remplacer.
Si vous avez sélectionné Tous les attributs sur l'écran Sélectionner critères, l'écran Sélectionner les valeurs
affiche tous les attributs. Sélectionnez les attributs que vous voulez changer.
4.
Planifiez le job d'arrière-plan pour mettre à jour les rôles ou choisissez d'exécuter le job en avant plan.
Réappliquer la méthodologie de rôle
Vous pouvez utiliser la procédure suivante pour réappliquer la méthodologie de rôle aux rôles multiples :
1. Sélectionnez les rôles.

2. Sur l'écran Sélectionner critères, sélectionnez la liste déroulante Attributs, sélectionnez Tous les attributs puis
3. Sur l'écran Sélectionner les valeurs, sélectionnez la case à cocher Appliquer à nouveau méthodologie puis
4. Planifiez le job d'arrière-plan pour mettre à jour les rôles ou choisissez d'exécuter le job en avant plan.
Remarque
Ce qui suit est une clarification à propos de la fonction Réinitialiser la méthodologie de rôle et la fonction
Appliquer à nouveau méthodologie de rôle :
● La réinitialisation de la méthodologie de rôle réinitialise les rôles à la première phase de la méthodologie de

rôle. Par exemple, un rôle est dans la quatrième phase d'une méthodologie de rôle ; cette fonction
SAP Access Control

réinitialise le rôle à la première phase. Cela ne prend pas en compte si la méthodologie de rôle a changé.
Cela signifie que même si la méthodologie a changé, le rôle continue à utiliser l'ancienne méthodologie
● La Réapplication de la méthodologie de rôle applique toutes les mises à jour à la méthodologie et
réinitialise la phase en cours à la première phase.
Appliquer à nouveau méthodologie [page 139]
6.3.3 Mise à jour de valeurs organisationnelles pour des rôles

dérivés multiples
Contexte
Vous pouvez utiliser Mise à jour des valeurs de l'organisation de rôles dérivés pour pousser des mises à jour des
valeurs de zone organisationnelles vers des rôles dérivés multiples.
Pour modifier les données d'autorisation pour des rôles dérivés, vous devez propager les données d'autorisation
du rôle de base. Pour modifier les valeurs organisationnelles pour les rôles dérivés, vous devez les ouvrir et les
modifier pour chaque rôle. Cette caractéristique vous autorise à utiliser des mappages de valeurs
organisationnelles pour mettre à jour des valeurs pour les rôles multiples en une fois.
Procédure
1. Sélectionnez le mappage de valeurs organisationnelles.

1. Recherchez, puis sélectionnez le mappage des valeurs.
2. Sélectionnez l'un des types de mise à jour suivants :
○ Fusionner valeurs de zone organisationn. : si les valeurs organisationnelles sont différentes pour le
mappage de valeurs organisationnelles et les rôles dérivés, l'application ajoute les différences du
mappage de valeurs organisationnelles au rôle dérivé.
○ Ecraser des valeurs de zone : si les valeurs organisationnelles sont différentes pour le mappage de
valeurs organisationnelles et les rôles dérivés, l'application remplace les valeurs dans les rôles dérivés
par les valeurs du mappage de valeurs organisationnelles.
2. Révisez les rôles concernés.
L'écran Rôles affectés affiche tous les rôles dérivés dans l'infrastructure qui sont affectés par les
modifications.
3. .
SAP Access Control

Étapes suivantes
Dérivation de rôle [page 140]
Gestion d'autorisations [page 146]
6.3.4 Dérivation de rôles multiples
Contexte
Vous pouvez utiliser Dérivation du rôle pour dériver des rôles multiples pour des niveaux organisationnels
sélectionnés. Une Organisation principale que le système utilise pour filtrer les mappages de valeurs
organisationnelles pendant la dérivation, peut ou ne peut pas être requise en fonction de la façon dont votre
système est configuré.
Exemple
Vous voulez créer trois rôles pour vos organisations sur la côte occidentale : Recruteur_RH, Comptable et
Gestionnaire. Au lieu de créer manuellement chaque rôle distinctement, vous voulez dériver ces rôles des rôles
maître existants qui ont les données d'autorisation requises. Pour faciliter cette tâche, vous regroupez les
niveaux organisationnels respectifs et les valeurs dans un mappage de valeurs organisationnelles West_Coast,
vous sélectionnez les rôles maître respectifs puis dérivez les nouveaux rôles.
Remarque
Tel qu'il est fourni, le système nécessite l'utilisation de mappages de valeurs organisationnelles pour la
dérivation de rôle, contenant une organisation principale. Si vous voulez autoriser une dérivation de rôle de
mappages ne contenant aucune organisation principale, votre administrateur peut gérer l’Identification de
paramètre 3025 dans l'activité IMG Gérer options de configuration, sous Governance, Risk, and Compliance
Procédure
1. A l'écran Dérivation de rôle en masse, sélectionnez le mappage de valeurs organisationnelles.

1. Saisissez le nom de mappage ou le niveau organisationnel principal. Le niveau organisationnel principal
est le niveau organisationnel parent dans un mappage de valeurs organisationnelles.
2. Si vous voulez seulement rechercher un sous-ensemble des valeurs disponibles dans le mappage
organisationnel, sélectionnez la case à cocher Considérer la plage de valeurs, puis saisissez les valeurs
dans les zones Valeur initiale et Valeur finale.
3. Sélectionnez OK puis sélectionnez Suivant.
SAP Access Control

2. Si Paramètre 3025 est défini sur Oui dans le Customizing, suivez les étapes ci-dessous ; dans le cas contraire,
allez à l'étape 3.
1. A l'écran Sélectionner rôle de base, vous pouvez saisir des valeurs pour les filtres de recherche suivants :
○ Nom du rôle
○ Description de rôle
○ Sous-processus
○ Infrastructure
○ Exclure des rôles de base dérivés pour l'organisation principale sélectionnée
○ Exclure des rôles de base qui n'ont pas l'organisation principale sélectionnée
2. Sélectionnez Rechercher pour afficher tous les rôles individuels disponibles.
3. Sélectionnez les rôles maître dans la liste des résultats et sélectionnez Suivant.
3. Dérivez les rôles.
L'application dérive un nouveau rôle pour chaque rôle maître.

1. Dans la table Rôles dérivés, sélectionnez la zone Nom et saisissez un nom pour chacun des nouveaux
rôles.
2. Dans la zone Planifier, sélectionnez une option de planification.
Étapes suivantes
Ordonnancement de jobs d'arrière-plan [page 32]
Dérivation de rôle [page 140]
6.3.5 Analyse du risque pour des rôles multiples
Contexte
Vous pouvez utiliser Analyse des risques de rôle pour effectuer une analyse des risques sur des rôles multiples.
Procédure
L'écran de recherche apparaît.

2. Recherchez et sélectionnez les rôles pertinents, puis sélectionnez OK.
SAP Access Control

L'application crée automatiquement un job d'arrière-plan pour l'analyse de risque de rôle.
Étapes suivantes
6.3.6 Génération de rôles multiples
Contexte
Vous pouvez utiliser Génération de rôle pour générer des rôles multiples.
Procédure
1. Sélectionnez parmi les options suivantes pour mettre à jour la méthodologie de rôle :
○ Ne pas modifier la méthodologie
L'application ne modifie la méthodologie pour aucun des rôles.
○ Garder dans la phase de génération
L'application modifie les phases pour tous les rôles dans la phase de génération.
○ Terminer la phase de génération
L'application termine la phase de génération pour tous les rôles.
2. Dans la table Sélectionner les rôles, sélectionnez Ajouter pour rechercher et sélectionner les rôles.
L'application crée un job d'arrière-plan pour générer le rôle. Pour plus d'informations sur la vue du statut du
job d'arrière-plan, voir .
SAP Access Control

7 Utilisation de la gestion des accès
d'urgence
Utilisation
Vous pouvez implémenter les directives de votre société pour gérer l'accès d'urgence dans la Gestion des accès
d'urgence (GAU). Les utilisateurs peuvent créer des demandes de Self-Service pour l'accès d'urgence à des
systèmes et des applications. Les responsables de processus de gestion peuvent réviser les demandes d'accès
d'urgence et accorder des accès. Les personnes responsables de la conformité peuvent effectuer des audits
périodiques d'utilisation et de journaux pour surveiller la conformité aux directives de société. Pour plus
d'informations, voir Création de rôles [page 175] et Terminologie GAU [page 174].
Recommandation
● Vérifiez avec votre administrateur si votre système est basé sur l'ID ou le rôle. Pour obtenir de plus amples
informations, reportez-vous à .
● Suivez et approuvez des demandes d'accès d'urgence via un processus formel, documenté.
● Révisez l'utilisation prévue et réelle de l'accès d'urgence dans un processus formel, documenté. Examinez
toute différence entre l'utilisation prévue et réelle.
● Implémentez un audit périodique d'utilisation et de journaux d'ID Firefighter. Vérifiez que les activités de
Firefighter sont documentées et révisées et que les exceptions sont examinées selon la directive.
Processus
1. Le Firefighter demande un accès d'urgence.

Le Firefighter crée une demande de Self-Service pour l'accès d'urgence.
La demande devrait inclure les activités à effectuer à des fins d'audit.
Voir Demande d'accès d'urgence [page 194].
2. Le responsable de processus de gestion révise et approuve des demandes d'accès d'urgence.
Le responsable de processus de gestion révise la demande d'accès d'urgence et peut l’approuver ou la
refuser.
Voir Vérification et autorisation des demandes d'accès [page 50].
Remarque
Le responsable de processus de gestion est la personne affectée à ces droits selon le besoin de gestion.
Par exemple, un détenteur d'ID Firefighter ou un détenteur de rôle Firefighter peut être affecté pour
approuver la demande de Firefighter. Un contrôleur peut être affecté pour réviser les activités de
Firefighter.
3. Le Firefighter accède aux systèmes et effectue des activités de firefighting.

Une fois l’accès accordé, le Firefighter peut effectuer les activités documentées pendant le processus de
demande.
SAP Access Control

172 PUBLIC Utilisation de la gestion des accès d'urgence
Voir Accès aux systèmes Plug-In, pr effectuer activités firefighting [page 197].
4. Le responsable de processus de gestion révise les activités d'accès d'urgence.
Le responsable de processus de gestion peut réviser des activités de firefighting via les états GAU et les
journaux.
Voir Révision des activités d'accès d'urgence [page 200].
5. Les personnes responsables de la conformité (comme les administrateurs) effectuent des audits périodiques
d'utilisation et de paraphe via les états GAU et les journaux.
Figure 7 : Workflow par responsable fonctionnel
Résultat
Ce processus se traduit par la mise en place d'un processus de demande, d'accord et de suivi de l’accès
d'urgence.
SAP Access Control

Utilisation de la gestion des accès d'urgence PUBLIC 173
7.1 Terminologie GAU
Les concepts suivants sont importants pour comprendre la gestion des accès d'urgence :
● Firefighter : utilisateur qui a besoin de l'accès d'urgence

● Firefighter ID : ID utilisateur avec des privilèges supérieurs.
● Firefighting : action d'utiliser un ID Firefighter pour effectuer des tâches en urgence
● Détenteur : utilisateur responsable d'un ID Firefighter et de l'affectation de contrôleurs et Firefighters
● Contrôleur : utilisateur qui révise et approuve (si nécessaire) les fichiers journaux générés à partir d'activités
de firefighting
● Firefighting centralisé : utilisation du système GRC comme console centralisée par le biais de laquelle les
Firefighters peuvent se connecter à un autre système pour le Firefighting
● Firefighting décentralisé : des Firefighters peuvent directement se connecter aux systèmes Plug-In, à l'aide
du système GRC seulement pour gérer les affectations d'accès d'urgence et le reporting
7.2 Configuration de l'accès d'urgence
Utilisation
Le workflow suivant est le workflow de configuration de la partie Gestion des accès d'urgence (GAU) de
l'application SAP GRC Access Control
Processus
1. Créer les rôles requis pour la GAU.

Voir Création de rôles [page 175].
2. Sélectionner le type d'application d'accès d'urgence.
Voir Sélection du type d'application d'accès d'urgence [page 175].
3. Configurer firefighting basé ID ou basé sur le rôle.
Voir Configuration du Firefighting basé ID [page 181] ou Configuration du Firefighting basé sur le rôle [page
192], selon votre type d'application.
4. Configurer des notifications pour des connexions d'ID Firefighter.
Voir Gestion notifications par e-mail pour connexions accès urgence [page 189].
5. Configurer des notifications pour des journaux de GAU.
Voir Configuration de journaux de GAU [page 193].
SAP Access Control

7.2.1 Sélection de l'application d'accès d'urgence
Vous pouvez sélectionner les types d'applications suivants à utiliser pour firefighting :
● Firefighter basé sur l'ID : vous fournissez des autorisations Firefighter en affectant des ID Firefighter aux
utilisateurs. Les Firefighters utilisent la barre de lancement Gestion des accès d'urgence (GAU) pour accéder
à leurs ID firefighting et aux systèmes pertinents. Les utilisateurs peuvent accéder à la barre de lancement
GAU comme suit :
○ Accès centralisé (dans le système GRC)
Connectez-vous au système GRC et utilisez la transaction GRAC_EAM pour accéder à distance à tous les
systèmes de Plug-In autorisés. Dans ce scénario, le système GRC et la barre de lancement GAU
fournissent un point d'accès centralisé aux systèmes Plug-In pour firefighting.
○ Accès décentralisé (sur les systèmes Plug-In)
Connectez-vous aux systèmes Plug-In respectifs et utilisez la transaction /GRCPI/GRIA_EAM pour
effectuer les activités firefighting. Dans ce scénario, firefighting étant exécuté localement sur chacun des
systèmes Plug-In, vous disposez d'accès firefighting continus lorsque le système GRC n'est pas
disponible, cependant vous devez vous assurer que vous disposez de comptes utilisateur sur chacun des
systèmes Plug-In.
Les fonctions telles que les affectations et le reporting sont toujours gérées dans le système GRC. Pour
de plus amples informations, voir Firefighting décentralisé [page 177].
Remarque
Les deux options relatives à l'accès centralisé et décentralisé sont toujours disponibles. Vous ne devez pas
activer l'une ou l'autre. Pour de plus amples informations, reportez-vous à .
● Firefighter basé sur rôle : vous créez les rôles Firefighter dans les systèmes Plug-In et les affectez aux
utilisateurs dans le système GRC. Le Firefighter se connecte directement au système Plug-In à l'aide de son ID
utilisateur et effectue des activités firefighting.
Remarque
Vous pouvez utiliser un seul type d'application à la fois.
Pour définir le type d'application comme basé sur ID ou basé sur rôle, configurez le paramètre 4000 dans
l'activité IMG Gérer options de configuration, sous Governance, Risks, and Compliance Access Control .
7.2.1.1 Création de rôles
Les utilisateurs de la Gestion des accès d'urgence peuvent être des administrateurs, des détenteurs, des
contrôleurs et des Firefighters. Le tableau suivant décrit chaque rôle et les rôles livrés qui contiennent les
autorisations recommandées.
Remarque
Les rôles livrés sont des modèles de rôle. Vous devez les copier dans votre propre espace nom si vous voulez
les utiliser.
SAP Access Control

Table 25 : Rôles de gestion des accès d'urgence
Type de rôle Description
Administrateur Les administrateurs ont un accès complet à la capacité de Gestion d'accès d'urgence. Ils affectent des ID
Firefighter aux détenteurs et aux firefighters. Des administrateurs exécutent des états, gérent les tables
de données et s'assurent que la table de code de motif est actuelle. Les administrateurs peuvent activer
des notifications par e-mail pour des contrôleurs via la fonction d'affectation de Firefighter et via le Cus
tomizing.
Le rôle fourni pour des administrateurs est : SAP_GRAC_SUPER_USER_MGMT_ADMIN.
Remarque
Pour des scénarios de firefighting décentralisés, pour permettre à l'administrateur de prolonger la pé
riode de validité des affectations firefighting, vous devez créer ce rôle sur les systèmes de Plug-In
pertinents. Affectez l'objet d'autorisation /GRCPI/001 et saisissez la valeur de zone ACTVT comme
70 ou * (astérisque).
Détenteur Les détenteurs peuvent affecter des ID Firefighter à des Firefighter et définir des contrôleurs. Les déten
teurs peuvent afficher les ID Firefighter que l'administrateur leur a affectés. Ils ne peuvent pas s'affecter
des ID Firefighter à eux-mêmes.
Le rôle fourni pour des détenteurs est : SAP_GRAC_SUPER_USER_MGMT_OWNER.
Remarque
Pour des scénarios de firefighting décentralisés, pour permettre au détenteur de prolonger la période
de validité des affectations firefighting, vous devez créer ce rôle sur les systèmes de Plug-In perti
nents. Affectez l'objet d'autorisation /GRCPI/001 et saisissez la valeur de zone ACTVT comme
blank (vide).
Contrôleur Les contrôleurs surveillent l'utilisation d'ID Firefighter en révisant le journal ou le workflow de journal et
en recevant la notification par e-mail d'événements de connexion d'ID Firefighter.
Le rôle fourni pour des contrôleurs est : SAP_GRAC_SUPER_USER_MGMT_CNTLR.
Firefighter Les Firefighters peuvent accéder aux ID Firefighter qui leur sont affectés et exécuter les tâches pour les
quelles ils disposent d'une autorisation. Les Firefighters utilisent les connexions ID Firefighter pour exé
cuter des transactions lors des situations d'urgence.
Le rôle fourni pour le Firefighter est : SAP_GRAC_SUPER_USER_MGMT_USER.
Remarque
Pour les scénarios firefighting décentralisé, pour que le firefighter puisse utiliser la barre de lance
ment GAU, vous devez créer ce rôle dans les systèmes Plug-In pertinents. Affectez au rôle les autori
sations d'utilisation des transactions /GRCPI/GRIA_EAM et SU53.
SAP Access Control

Type de rôle Description
ID Firefighter Le rôle fourni SAP_GRAC_SPM_FFID, lorsqu'il est affecté à un ID utilisateur transforme l'ID en ID Fire
fighter. Affectez au rôle l'objet d'autorisation S_RFC pour activer la connexion distante.
Remarque
Ce rôle est utilisé seulement pour le firefighting basé ID.
Pour de plus amples informations sur les rôles et les objets d'autorisation, reportez-vous au Guide de sécurité SAP
Access Control 10.0 à l'adresse http://help.sap.com/grc-ac .
7.2.1.2 Types d'application d'accès d'urgence
Vous pouvez sélectionner les types d'applications suivants à utiliser pour firefighting :
● Firefighter basé sur l'ID : vous fournissez des autorisations Firefighter en affectant des ID Firefighter aux
utilisateurs. Les Firefighters utilisent la barre de lancement Gestion des accès d'urgence (GAU) pour accéder
à leurs ID firefighting et aux systèmes pertinents. Les utilisateurs peuvent accéder à la barre de lancement
GAU comme suit :
○ Accès centralisé (dans le système GRC)
Connectez-vous au système GRC et utilisez la transaction GRAC_SPM pour accéder à distance à tous les
systèmes de Plug-In autorisés. Dans ce scénario, le système GRC et la barre de lancement GAU
fournissent un point d'accès centralisé aux systèmes Plug-In pour firefighting.
● Firefighter basé sur rôle : vous créez les rôles Firefighter dans les systèmes Plug-In et les affectez aux
utilisateurs dans le système GRC. Le Firefighter se connecte directement au système Plug-In à l'aide de son ID
utilisateur et effectue des activités firefighting.
Remarque
Vous pouvez utiliser un seul type d'application à la fois.
Pour définir le type d'application comme basé sur ID ou basé sur rôle, configurez le paramètre 4000 dans
l'activité IMG Gérer options de configuration, sous Governance, Risks, and Compliance Access Control .
7.2.1.3 Firefighting décentralisé
Firefighting décentralisé permet d'utiliser la barre de lancement Gestion des accès d'urgence (GAU) directement
dans les systèmes Plug-In, pour effectuer des activités firefighting lorsque le système GRC n'est pas disponible.
Pour utiliser la barre de lancement GAU décentralisée dans le système Plug-In, ouvrez SAP GUI et exécutez la
transaction /GRCPI/GRIA_EAM. Cette transaction étant exécutée localement, les utilisateurs doivent également
disposer de comptes dans les systèmes Plug-In pertinents afin d'exécuter firefighting.
SAP Access Control

Le graphique suivant indique que pour le firefighting décentralisé, la majorité des fonctions sont encore gérées
dans le système GRC. Les fonctions suivantes sont disponibles dans le système Plug-In :
● Barre de lancement GAU pour Plug-Ins

● Extension des périodes de validité pour affectations firefighting
● Activation des notifications par e-mail de connexion Firefighter
● Personnalisation du texte pour les notifications par e-mail de connexion Firefighter
Figure 8 : Fonctions gérées dans le système GRC par rapport au Plug-In (pour Firefighting décentralisé)
Configuration facultative
Vous pouvez également gérer différents noms de rôle pour les ID Firefighter pour chaque système Plug-In. Par
exemple, dans le System01 Plug-In, vous utilisez SAP_GRAC_EAM_FFID01 et dans le System02 Plug-In, vous
utilisez SAP_GRAC_EAM_FFID02.
Vous pouvez configurer ces noms de rôles dans l'activité IMG Gérer nom du rôle d'ID Firefighter par connecteur,
sous Governance, Risks, and Compliance Access Control Gestion des accès d'urgence .
SAP Access Control

Activités GAU gérées dans les systèmes Plug-In
Les informations du tableau suivant décrivent les activités gérées dans le système Plug-In.
Table 26 :
Activité Commentaires
Création d'utilisateurs dans des systè La barre de lancement GAU étant initialisée localement, l'utilisateur doit disposer
mes pour pouvoir utiliser la barre de lan d'un compte utilisateur dans les systèmes Plug-In afin d'exécuter firefighting.
cement GAU via SAP GUI.
Création d'ID Firefighter Vous créez des ID Firefighter dans chaque système Plug-In et vous les synchronisez
dans le référentiel GRC.
Pour de plus amples informations, voir Création et gestion d'ID Firefighter [page
184].
Exécution de la barre de lancement Fire Exécutez la transaction /GRCPI/GRIA_EAM.

fighting
Extension de la période de validité pour Vous pouvez étendre la période de validité pour des affectations firefighting dans le
affectations firefighting système GRC ou dans le système Plug-In.
Dans le système GRC, ouvrez l'affectation ID Firefighter et étendez la période d'af

fectation.
Dans le système Plug-In, utilisez les activités IMG (transaction SPRO) pour étendre
la période de validité pour des affectations Firefighter dans le système Plug-In.
Pour de plus amples informations, voir Extension des périodes de validité pour af
fectations firefighting [page 196].
Activation de la notification par e-mail Vous pouvez activer chaque système Plug-In afin d'informer le contrôleur firefight
de connexion Firefighter. ing pertinent lorsqu'un Firefighter a ouvert une session firefighting.
Vous pouvez activer chaque système Les systèmes Plug-In envoient des notifications aux contrôleurs et aux détenteurs.
Plug-In afin d'informer le contrôleur fire Les contrôleurs et les détenteurs doivent donc disposer de comptes utilisateur dans
fighting pertinent lorsqu'un Firefighter a les systèmes Plug-In.
ouvert une session firefighting.
Dans les systèmes Plug-In, utilisez les activités IMG (transaction SPRO) pour activer
la notification.
Pour de plus amples informations, voir Gestion des notifications par e-mail pour
connexions aux accès d'urgence [page 189].
Personnalisation du texte pour la notifi Vous pouvez adapter le texte pour les notifications pour chaque système Plug-In.
cation par e-mail de connexion Fire
Dans les systèmes Plug-In, utilisez les activités IMG (transaction SPRO) pour activer
fighter.
la notification.
Vous pouvez personnaliser le texte pour
Pour de plus amples informations, voir Gestion des notifications par e-mail pour
les notifications pour chaque système
connexions aux accès d'urgence [page 189].
Plug-In.
SAP Access Control

Activités GAU gérées dans le système GRC
Le tableau suivant décrit les activités gérées dans le système GRC.
Table 27 :
Configuration de la Gestion des accès d'ur Les informations relatives à la configuration et aux données de base sont gérées
gence et données de base liées dans le système GRC et envoyées dans les systèmes Plug-In.
Vous devez planifier des jobs périodiques pour l'application afin de synchroniser
les données de base du système GRC aux systèmes Plug-In correspondants. SAP
recommande de planifier la synchronisation quotidiennement.
Vous planifiez les tâches de synchronisation dans la transaction SPRO :
Governance, Risk, and Compliance Access Control Tâches de
synchronisation Synchronisation des données de base GAU .
Création d'ID Firefighter Vous créez des ID Firefighter dans chaque système Plug-In et vous les synchroni
sez dans le référentiel GRC.
Pour de plus amples informations, voir Création et gestion d'ID Firefighter [page
184].
Gestion des détenteurs et des contrôleurs Gérée dans le système GRC

pour firefighting
Affectation de détenteurs à un ID Firefigh Gérée dans le système GRC

ter
Affectation d'un ID Firefighter aux contrô Gérée dans le système GRC

leurs
Affectation d'ID Firefighter à des Firefigh Gérée dans le système GRC

ters
Synchronisation des données utilisateur Gérée dans le système GRC
Gestion des codes de motif Gérée dans le système GRC
Extension de la période de validité pour af Vous pouvez étendre la période de validité pour des affectations firefighting dans
fectations firefighting le système GRC ou dans le système Plug-In.
Dans le système GRC, ouvrez l'affectation ID Firefighter et étendez la période

d'affectation.
Dans le système Plug-In, utilisez les activités IMG (transaction SPRO) pour éten
dre la période de validité pour des affectations Firefighter dans le système Plug-
In.
Pour de plus amples informations, voir Extension des périodes de validité pour af
fectations firefighting [page 196].
SAP Access Control

Affectations compatibles au workflow Gérée dans le système GRC
Gestion et synchronisation de journaux Toutes les activités de gestion de journaux et d'utilisateurs sont gérées dans le
système GRC. SAP recommande de planifier le job pour la collecte de journaux
toutes les heures.
Le système GRC ne doit pas être arrêté pendant les périodes étendues car cela
peut se répercuter sur la collecte des journaux.
Exécution d'états Gérée dans le système GRC
Notification aux contrôleurs pour les jour Gérée dans le système GRC
naux, les états et les activités de workflow.
7.2.2 Configuration de Firefighting basé ID
Utilisation
Ce sujet détaille le processus de configuration firefighting basé dans ID.
Conditions requises
Assurez-vous que les utilisateurs peuvent accéder au système GRC et ouvrez SAP GUI.
Processus
Les informations dans cette section sont requises pour configurer tout firefighting basé dans ID.
Remarque
Pour des étapes supplémentaires requises pour le firefighting décentralisé, voir la section Etapes
supplémentaires pour configuration Firefighting décentralisé basé ID ci-dessous.
1. Créer des rôles d'application pertinents pour la Gestion des accès d'urgence.
Pour la liste des rôles d'application requis, voir Création de rôles [page 175].
2. Activer le type d'application pour Firefighting basé ID :
1. Dans le Customizing (transaction SPRO), ouvrez l'activité Gérer options de configuration, sous
Governance, Risk and Compliancel SAP GRC Access Control.
2. Pour le paramètre 4000, activez la valeur 1 pour l'ID basé firefighting.
SAP Access Control

3. Configurer le Nom du rôle d'ID Firefighter.
Vous affectez ce rôle à des comptes utilisateur pour créer des ID Firefighter.
1. Dans le Customizing, ouvrez l'activité Gérer options de configuration, sous Governance, Risks, and
Compliance SAP GRC Access Control.
2. Pour le paramètre 4010, saisissez le nom du rôle défini par l'utilisateur, par exemple,
SAP_GRAC_EAM_FFID.
4. Synchroniser les utilisateurs et les rôles dans les systèmes de Plug-In avec le système GRC.
Dans le système GRC, ouvrez le Customizing (transaction SPRO) et utilisez l'activité IMG, Synchronisation
d'objet de référentiel. Il se trouve sous Governance, Risk and Compliance SAP GRC Access Control
Tâches de synchronisation .
5. Dans les systèmes de Plug-In, créez les ID Firefighter puis synchronisez-les avec le référentiel GRC.
Pour de plus amples informations, voir Création et gestion d'ID Firefighter [page 184].
6. Gérer les détenteurs SAP GRC Access Control suivants :
○ Détenteur ID Firefighter
Les détenteurs d'ID Firefighter sont responsables de la gestion des rôles et de leurs affectations aux
Firefighters.
○ Contrôleur d'ID Firefighter
Les contrôleurs d'ID Firefighter sont responsables de la révision des journaux générés lors de l'utilisation
de Firefighter.
Pour de plus amples informations, reportez-vous à Affectation de contrôleurs [page 186].
7. Affecter un détenteur à un ID Firefighter.
Pour de plus amples informations, reportez-vous à Affectation de détenteurs [page 185].
8. Affecter un contrôleur à un ID Firefighter.
9. Affecter un ID Firefighter à un utilisateur pour lui permettre de procéder au firefighting.
Pour de plus amples informations, reportez-vous à Affectation de Firefighters [page 188].
10. Créer des codes de motif.
Pour plus d'informations, voir Codes de motif [page 190].
11. Gérer les options de notifications par e-mail de connexion Firefighter
L'application envoie des notifications au Contrôleur lorsqu'un Firefighter s'est connecté à une session de
firefighting.
○ Pour que l'application puisse envoyer des notifications par e-mail de connexion de Firefighter, procédez
comme suit :
1. Ouvrez l'activité IMG Gérer options de configuration, sous Governance, Risks, and Compliance
SAP GRC Access Control.
2. Pour parameter 4008, définissez la valeur sur 1.
○ Vous pouvez modifier le texte des notifications par e-mail de connexion (facultatif). (Si vous ne modifiez
pas le texte, l'application utilise le texte fourni par défaut.)
Pour modifier le texte, gérez les activités IMG suivantes :
○ Gérer des messages d'Information personnalisés pour la Gestion des accès d'urgence
○ Gérer texte pour des messages d'Information personnalisés
Pour de plus amples informations, voir Gestion des notifications par e-mail pour connexions aux accès
d'urgence [page 189].
Etapes supplémentaires de configuration de Firefighting décentralisé basé sur ID.
Pour configurer firefighting décentralisé, terminez d'abord les tâches ci-dessus puis les étapes suivantes.
SAP Access Control

1. Assurez-vous que les utilisateurs disposent de comptes utilisateurs et de rôles dans chacun des systèmes de
Plug-In pour leur permettre de se connecter à chaque système. Des Firefighters doivent pouvoir accéder
directement à chaque système de Plug-In et utiliser la barre de lancement de GAU localement.
2. Activer firefighting décentralisé.
Dans le système GRC, dans le Customizing (transaction SPRO) utilisez l'activité Gérer options de
configuration, sous Governance, Risks, and Compliance SAP GRC Access Control .
Activer le paramètre 4015 - Définissez Firefighting décentralisé sur Oui.
3. Synchroniser les données de base du système GRC aux systèmes de Plug-In.
Dans le Customizing (transaction SPRO SPRO) utilisez l'activité, Synchronisation des données de base GAU,
sous Governance, Risk and Compliance SAP GRC Access Control Tâches de synchronisation .
4. Vous pouvez gérer différents noms de rôle d'ID Firefighter pour chaque système de Plug-In (facultatif). Par
exemple, dans le System01 Plug-In, vous utilisez SAP_GRAC_EAM_FFID01 et dans le System 02 Plug-In, vous
utilisez SAP_GRAC_EAM_FFID02.
1. Dans le système GRC, ouvrez le Customizing (transaction SPRO).
2. Ouvrez l'activité IMG Gérer nom du rôle d'ID Firefighter par connecteur, sous Governance, Risks, and
Compliance Access Control SAP GRC Access Control .
3. Gérer les noms du rôle d'ID Firefighter le cas échéant.
Remarque
Si vous n'utilisez pas cette option, l'application utilise le nom du rôle d'ID Firefighter par défaut référencé
dans parameter 4010 de l'activité IMG Gérer options de configuration pour tous les systèmes.
5. Vous pouvez gérer des options de notifications par e-mail de connexion de Firefighter distinctes pour chacun
des systèmes de Plug-In (facultatif).
○ Pour permettre à chaque système de Plug-In d'envoyer ses propres notifications par e-mail de connexion,
procédez comme suit :
1. Dans le système de Plug-In, ouvrez l'activité IMG, Gérer options de configuration de Plug-In, sous
Governance, Risk and Compliance (Plug-In) SAP GRC Access Control .
2. Pour parameter 4008, définissez la valeur sur 1.
○ Pour modifier le texte des notifications par e-mail de connexion pour chacun des systèmes de Plug-In,
gérez les activités IMG suivantes :
○ Gérer des messages d'information personnalisés pour la Gestion des accès d'urgence (Plug-In)
○ Gérer Texte pour des Messages d'information personnalisés (Plug-In)
Pour de plus amples informations, voir Gestion des notifications par e-mail pour connexions aux accès
d'urgence [page 189].
Remarque
Ces étapes de configuration s'ajoutent aux étapes de configuration principales pour firefighting basé sur ID.
Vérifiez que les étapes de création et d'affectation de détenteurs, de contrôleurs et de Firefighters sont
terminées.
Configuration de Firefighting basé sur rôle [page 192]
SAP Access Control

7.2.2.1 Création et gestion d'ID Firefighter
Utilisation
Vous créez des ID Firefighter en affectant le Rôle d'ID Firefighter à un compte utilisateur.
Par exemple, User_Account01 + Firefighter_ID_role = Firefighter_ID01.
Vous pouvez utiliser la transaction SU01ou la fonctionnalité de demande d'accès dans le Contrôle d'accès pour
créer des ID Firefighter. Ce sujet explique comment créer et gérer des ID Firefighter à l'aide de la fonctionnalité de
demande d'accès.
Remarque
Vous devez créer des ID Firefighter pour chaque système Plug-In et les synchroniser dans le référentiel GRC.
Conditions requises
● Vous avez créé le rôle d'ID Firefighter.

Le rôle fourni est SAP_GRAC_SPM_FFID, mais vous pouvez utiliser votre propre rôle.
● Vous avez configuré le nom du rôle d'ID Firefighter dans l'Activité IMG (transaction SPRO) Gérer options de
configuration, paramètre 4010.
Procédure
Création d'ID Firefighter
Remarque
Vous pouvez utiliser la transaction SU01 ou la fonctionnalité de demande d'accès dans le Contrôle d'accès pour
créer des ID Firefighter. Les étapes ci-dessous expliquent comment créer et gérer des ID Firefighter à l'aide de
la fonctionnalité de demande d'accès.
1. Ouvrez l'écran Demande d'accès.

2. Dans la liste déroulante Type de demande, sélectionnez Nouveau compte.
3. Dans la liste déroulante Demande pour, sélectionnez Autre.
4. Dans la zone Utilisateur, saisissez le nom de l'ID Firefighter, par exemple FFID_01
5. Dans la page à onglet Accès utilisateur, sélectionnez Ajouter puis sélectionnez Rôle.
6. Ajoutez le rôle d'ID Firefighter que vous avez configuré, par exemple, SAP_GRAC_SPM_FFID.
7. Ajoutez tout rôle supplémentaire requis pour fournir les autorisations nécessaires et l'accès au système pour
exécuter les tâches de firefighting.
8. Soumettez la demande d'accès.
Le nouvel ID utilisateur FFID_01 est maintenant un ID Firefighter.
SAP Access Control

Gestion d'ID Firefighter
Vous pouvez aussi utiliser la fonctionnalité de demande d'accès pour gérer, modifier ou supprimer les ID
Firefighter.
1. Ouvrez l'écran Demande d'accès.

2. Dans la liste déroulante Type de demande, sélectionnez parmi les tâches disponibles, par exemple, Modifier
compte, Supprimer compte et ainsi de suite.
3. Sauvegardez l'entrée.
Création de demandes d'accès [page 24]
7.2.2.2 Affectation de détenteurs
Utilisation
Cette rubrique s'applique au firefighting basé sur un rôle et sur un ID.
Vous devez affecter des détenteurs à des ID Firefighter et à des rôles Firefighter. Les détenteurs affectent ensuite
des ID Firefighter à des Firefighters et définissent des contrôleurs.
Conditions requises
Vous avez terminé ce qui suit :
● Pour firefighting orienté rôle, vous avez défini les rôles de firefighter dans le système GRC et sélectionné la
case à cocher Activer pour Firefighting à l'écran Définir rôle sous Gestion des accès Gestion des rôles
● Pour firefighting basé sur l'ID, vous avez défini un rôle d'ID Firefighter dans le système ERP et affecté le rôle de
l'autorisation de connexion distante S_RFC.
Procédure
Création d'une affectation
1. Sélectionnez Affectation d'accès d'urgence Détenteurs .

L'écran Détenteur de Firefighter affiche une table d'affectations existantes.
L'écran Affectation du détenteur : nouveau apparaît.
SAP Access Control

3. Dans la zone ID de détenteur, sélectionnez le détenteur.
4. Dans la table ID Firefighter, sélectionnez Ajouter puis ajoutez un ou plusieurs ID ou rôles Firefighter.
5. Sélectionnez Sauvegarder Fermer .
Affichage ou gestion d'une affectation
1. Sélectionnez Affectation d'accès d'urgence Détenteurs .

L'écran Détenteur de Firefighter affiche une table d'affectations existantes.
2. Sélectionnez une ligne et sélectionnez Ouvrir.
L'écran Affectation de détenteur affiche l'affectation particulière.
3. Pour ajouter une affectation de détenteur, procédez comme suit :
Une nouvelle ligne apparaît dans la table.
2. Saisissez les informations pour les zones requises.
A l'écran, les zones requises sont marquées par un astérisque (*).
L'affectation est terminée pour le détenteur sélectionné.
4. Pour supprimer l'affectation du détenteur, sélectionnez Supprimer.
L'affectation sélectionnée est supprimée.
7.2.2.3 Affectation de contrôleurs
Utilisation
Vous affectez des contrôleurs aux ID et aux rôles firefighting. Les contrôleurs effectuent un suivi et un audit des ID
et rôles Firefighter. Vous pouvez utiliser les fonctions à l'écran Contrôleur pour affecter, ajouter ou supprimer un
contrôleur pour des ID et des rôles Firefighter.
Remarque
Une seule personne à la fois peut modifier les affectations du contrôleur pour un ID ou un rôle Firefighter.
Procédure
1. Sélectionnez Gestion des accès d'urgence Contrôleurs .

L'écran Contrôleur apparaît et affiche les contrôleurs existants, les ID Firefighter et les systèmes reliés.
L'écran Affectation de contrôleur : nouveau apparaît.
3. Dans la zone ID de contrôleur, saisissez l'ID utilisateur pour la personne que vous voulez affecter comme
contrôleur.
SAP Access Control

5. Sélectionnez Ajouter, sélectionnez l'ID Firefighter dans la liste puis sélectionnez OK.
La valeur de zone Système est générée automatiquement une fois que vous avez sélectionné l'ID Firefighter.
6. Dans la colonne Notification par, sélectionnez parmi les options suivantes :
○ E-mail
Pour envoyer un journal à une boîte de réception e-mail externe, comme Microsoft Outlook ou à une
corbeille d'arrivée SAP chaque fois que le job d'arrière-plan GRAC_SPM_LOG_SYNC_UPDATE s'exécute.
Vous pouvez sélectionner parmi les options suivantes pour la notification par e-mail :
○ Pour envoyer des notifications de connexion, activez le paramètre Envoyer notification de connexion
d'ID Firefighter sur OUI. La notification de connexion est envoyée par e-mail seulement, indépendante
de l'option Notification par.
○ Pour envoyer la notification immédiatement une fois qu'un ID Firefighter se connecte au système,
activez le paramètre Envoyer notification de connexion Firefighter immédiatement sur OUI.
○ Pour envoyer les notifications de journal, activez le paramètre Notification d'exécution de journal sur
OUI. La notification de journal dépend de la zone Notification par.
○ Pour recevoir des notifications de journal lorsque les journaux sont mis à jour, activez le paramètre
Envoyer la notification d'exécution de journal immédiatement sur OUI.
○ Workflow
Pour envoyer les notifications de journal sous la forme d'un work item de workflow SAP.
Remarque
Les utilisateurs doivent disposer d'une autorisation pour le portail pour accéder aux work items de
workflow.
○ Afficher journal
Pour afficher des événements de connexion d'ID Firefighter de l'écran Administrateur de gestion des
accès d'urgence. Le contrôleur génère manuellement le journal et affiche l'état à l'écran Administrateur de
gestion des accès d'urgence. Le système n'envoie aucune notification par e-mail automatisée.
Affichage ou gestion d'une affectation de contrôleur
1. Sur l'écran Contrôleur, sélectionnez une ligne et sélectionnez Ouvrir.

L'écran Affectation de contrôleur apparaît et affiche l'affectation particulière.
2. Pour ajouter une affectation de firefighter, sélectionnez Ajouter.
3. Saisissez l'information pertinente dans les zones obligatoires et sélectionnez une méthode de notification
dans le menu déroulant de la colonne Notification par.
4. Pour supprimer une affectation de firefighter, sélectionnez Supprimer.
SAP Access Control

7.2.2.4 Affectation de Firefighters
Utilisation
Vous autorisez les utilisateurs à effectuer firefighting en leur affectant des ID Firefighter (pour firefighting basé sur
ID) ou des rôles Firefighter (pour le firefighting basé sur le rôle). Vous utilisez les fonctions à l'écran ID Firefighter
pour gérer les affectations de Firefighter.
Remarque
Une seule personne peut traiter une affectation de Firefighter à la fois.
Conditions requises
Vous avez terminé ce qui suit :
● Pour des scénarios orientés rôle, vous avez défini les rôles de firefighter dans le système GRC et sélectionné
la case à cocher Activer pour Firefighting à l'écran Définir rôle sous Gestion des accès Gestion des rôles
● Pour firefighting basé sur l'ID, vous avez défini un rôle d'ID Firefighter dans le système ERP et affecté le rôle de
l'autorisation de connexion distante S_RFC.
Procédure
1. Sélectionnez Gestion des accès Affectation d'accès d'urgence ID Firefighter .

L'écran ID Firefighter apparaît.
L'écran Affectation d'ID Firefighter : nouveau apparaît.
3. Dans la zone ID Firefighter, saisissez l'ID Firefighter ou le rôle Firefighter.
L'application renseigne automatiquement la zone Système.
4. Dans la zone Criticité, sélectionnez degré de gravité.
5. Dans l'onglet Firefighter, saisissez les informations pertinentes dans les zones obligatoires.
6. Sélectionnez la page à onglet Contrôleur et ajoutez une affectation de contrôleur.
Vue ou gestion d'une affectation d'ID ou de rôle Firefighter
1. A l'écran ID Firefighter, sélectionnez une ligne et sélectionnez Ouvrir.

L'écran Affectation d'ID Firefighter affiche l'affectation particulière.
2. Pour ajouter un ID Firefighter, sélectionnez Ajouter.
SAP Access Control

3. Saisissez l'information pertinente dans les zones requises.
4. Pour supprimer une affectation d'ID de firefighter, sélectionnez Supprimer.
7.2.2.5 Gestion notifications par e-mail pour connexions

accès urgence
Utilisation
Vous pouvez disposer de l'application d'envoi de notifications par e-mail aux contrôleurs lorsqu'un Firefighter se
connecte pour effectuer un firefighting basé ID.
Vous pouvez aussi personnaliser le texte de notification. Si vous ne personnalisez pas le texte, l'application utilise
le texte de message par défaut.
Processus
Centralisé
Pour les scénarios de firefighting centralisés, toutes les connexions de firefighting et les notifications par e-mail de
connexion de Firefighting sont traitées dans le système GRC.
Pour activer des notifications pour les connexions firefighting
1. Ouvrez les activités IMG (transaction SPRO).

2. Naviguez jusqu'à Governance, Risk and Compliance SAP GRC Access Control Gérer options de
Configuration
3. Activez le paramètre 4008 sur Oui.
Pour personnaliser les notifications pour les connexions firefighting
Configurez les activités IMG suivantes sous Governance, Risk and Compliance SAP GRC Access Control
Contrôle d'accès de Workflow .
● Gérer des messages d'information personnalisés

● Gérer texte pour des messages d'Information personnalisés
Décentralisé
Pour les scénarios de firefighting décentralisés, toutes les connexions de firefighting et les notifications par e-mail
de connexion de firefighting sont traitées dans chaque système de Plug-In. Vous devez gérer des comptes
utilisateurs pour les contrôleurs et les détenteurs dans les systèmes de Plug-In pour qu'ils reçoivent des
notifications. Vous gérez les options suivantes pour chaque système de Plug-In.
Pour activer des notifications pour les connexions firefighting
SAP Access Control

2. Naviguez jusqu'à Governance, Risk and Compliance (Plug-In) SAP GRC Access Control Gérer options de
configuration de Plug-In .
Pour personnaliser les notifications pour les connexions firefighting
Configurez les activités IMG suivantes sous Governance, Risk and Compliance (Plug-In) Contrôle d'accès .
● Gérer des messages d'information personnalisés pour des Connexions d'accès d'urgence (Plug-In)
● Gérer Texte pour des Messages d'information personnalisés (Plug-In)
7.2.2.6 Codes de motif
Utilisation
Lorsqu'un Firefighter utilise la barre de lancement de la Gestion des accès d'urgence (GAU) pour se connecter au
système dans le but d'effectuer des activités Firefighter, le Firefighter doit fournir un motif pour la connexion en
sélectionnant l'un des codes de motif disponibles.
Pour ouvrir l'écran Codes de motif, sélectionnez Gestion des accès Gestion des accès d'urgence Codes de
motif .
Création et gestion de codes de motif [page 190]
Affectation de systèmes aux codes de motif [page 191]
7.2.2.6.1 Création et gestion de codes de motif
Procédure
Gestion d'un code de motif existant
1. Sélectionnez un code de motif existant et sélectionnez Ouvrir.

L'écran de code de motif spécifique apparaît.
2. Sélectionnez Ajouter pour affecter un système au code de motif ou sélectionnez Supprimer pour supprimer
un système du code de motif.
4. Vérifiez que le statut est activé sur Actif lorsque vous voulez commencer à utiliser l'affectation.
Création d'un nouveau code de motif
SAP Access Control

1. Pour créer un nouveau code de motif, sélectionnez Créer sur l'écran Code de motif - Tout.
L'écran Nouveau code de motif apparaît.
2. Dans la zone Code de motif, saisissez un nom pour le nouveau code de motif.
3. Dans le menu de zone déroulante Statut, sélectionnez Actif ou Inactif.
4. Saisissez une description.
5. Dans la zone Système, sélectionnez Ajouter pour ajouter un système ou des systèmes au nouveau code de
motif.
L'écran Code de motif - Tout apparaît avec le nouveau code de motif affiché dans la liste.
Affectation de systèmes aux codes de motifs [page 191]
7.2.2.6.2 Affectation de systèmes aux codes de motif
Contexte
Vous affectez des codes de motifs à un ou plusieurs systèmes. L'application suit l'usage de code de motif à
travers chaque système.
Procédure
1. Sélectionnez Gestion des accès Gestion des accès d'urgence Codes de motif .
L'écran Codes de motifs apparaît et affiche une liste des codes de motifs existants et des zones et boutons
liés.
2. Sélectionnez Statut pour activer les codes de motifs existants sur actif ou inactif.
3. Pour affecter un système à un code de motifs, sélectionnez un code de motif actif existant ou créez un
nouveau code de motif.
Étapes suivantes
Création et gestion de codes de motif [page 190]
SAP Access Control

7.2.3 Configuration de Firefighting basé sur rôle
Utilisation
Le workflow suivant décrit comment configurer firefighting basé sur le rôle.
Processus
1. Créer des rôles d'application pertinents pour la Gestion des accès d'urgence.
Pour la liste des rôles d'application requis, voir Création de rôles [page 175].
2. Activer le type d'application pour Firefighting basé sur rôle :
1. Dans le Customizing (transaction SPRO), ouvrez l'activité Gérer options de configuration, sous
Governance, Risk and Compliance SAP GRC Access Control.
2. Pour le paramètre 4000, activez la valeur 2 pour firefighting basé sur le rôle.
3. Synchroniser les utilisateurs et les rôles dans les systèmes de Plug-In avec le système GRC.
Vous effectuez cette synchronisation via l'activité IMG Synchronisation d'objet de référentiel, sous
Governance, Risk and Compliance SAP GRC AccessControl Tâches de synchronisation .
4. Créer des rôles de firefighting dans les systèmes de Plug-In respectifs via PFCG ou la fonctionnalité de gestion
des rôles utilisateur de SAP GRC Access Control.
Pour de plus amples informations, reportez-vous à Définition de rôles [page 142].
5. Gérer les détenteurs SAP GRC Access Control suivants dans l'application GRC :
○ Détenteur du rôle Firefighter
Les détenteurs de rôle Firefighter sont responsables de la gestion des rôles et de leurs affectations aux
Firefighters.
○ Contrôleur de rôle Firefighter
Les contrôleurs de rôle Firefighter sont responsables de la révision des journaux générés lors de
l'utilisation de Firefighter.
6. Affecter un détenteur à un rôle Firefighter.
Pour de plus amples informations, reportez-vous à Affectation de détenteurs [page 185].
7. Affecter un contrôleur à un rôle Firefighter.
8. Affecter un rôle Firefighter à un utilisateur pour lui permettre de procéder au firefighting.
Pour de plus amples informations, reportez-vous à Affectation de Firefighters [page 188].
Configuration de Firefighting basé ID [page 181]
SAP Access Control

7.2.4 Configuration d'avis de journal de GAU
Utilisation
Vous pouvez choisir de disposer de l'application Envoyer des notifications par e-mail lorsqu'un journal a été créé.
Vous pouvez aussi personnaliser le texte de notification. Si vous ne personnalisez pas le texte, l'application utilise
le texte de message par défaut.
Procédure
Firefighting centralisé :
Pour les scénarios de firefighting centralisés, toutes les notifications par e-mail sont traitées dans le système
GRC.
Pour activer des notifications pour des journaux

2. Naviguez jusqu'à Governance, Risk and Compliance Contrôle d'accès Gérer options de Configuration
Pour personnaliser les notifications pour des journaux
Configurez les activités IMG suivantes sous Governance, Risk and Compliance Contrôle d'accès Contrôle
d'accès de Workflow .
● Gérer des messages d'information personnalisés

● Gérer texte pour des messages d'Information personnalisés
Firefighting décentralisé
Pour les scénarios de firefighting décentralisés, les notifications par e-mail pour des journaux sont traitées dans
chaque système de Plug-In. Vous gérez les options de configuration suivantes pour chaque système de Plug-In.
Pour activer des notifications pour des journaux

2. Naviguez jusqu'à Governance, Risk and Compliance (Plug-In) Contrôle d'accès Gérer options de
configuration de Plug-In
Pour personnaliser les notifications pour des journaux
Configurez les activités IMG suivantes sous Governance, Risk and Compliance (Plug-In) Contrôle d'accès .
● Gérer des messages d'information personnalisés pour des Connexions d'accès d'urgence (Plug-In)
● Gérer Texte pour des Messages d'information personnalisés (Plug-In)
SAP Access Control

7.3 Demande d'accès d'urgence
Prérequis
Avant que vous demandiez accès d'urgence, votre administrateur doit avoir précédemment configurer la
fonctionnalité de Gestion des accès d'urgence. L'administrateur peut aussi vous informer si vous souhaitez
utiliser le Firefighting basé sur ID ou rôle. Pour plus d'informations, voir Accès aux systèmes pour effectuer des
activités de Firefighting [page 197].
Contexte
Vous pouvez demander un accès d'urgence aux systèmes dans votre infrastructure SAP pour effectuer un
firefighting. Pour créer une demande d'accès d'urgence, vous utilisez le processus de création de demandes
d'accès principal et indiquez que vous voulez qu'un ID Firefighter ou rôle Firefighter vous soit affecté.
Pour obtenir de plus amples informations, reportez-vous à Création de demandes d'accès [page 24].
Procédure
1. Dans la page à onglet Accès d'utilisateur, sélectionnez Ajouter puis sélectionnez les éléments suivants :
○ ID Firefighter
Remarque
Système et Code d'action. Si vous utilisez Code d'action, vous devez également indiquer le Système. Pour
les demandes d'ID Firefighter et de rôle Firefighter, le(s) détenteur(s) s'affiche(nt) dans la colonne
SAP Access Control

7.4 Vérification et autorisation des demandes d'accès
Utilisation
Sur l'écran Demande d'accès, les approbateurs peuvent réviser, refuser, modifier ou approuver des demandes
d'accès.
Processus
1. Pour réviser une demande d'accès, procédez comme suit :

○ Du poste de travail Ma page d'accueil, sélectionnez Corbeille de travail.
De la liste Work items, sélectionnez une demande d'accès pour l'ouvrir.
○ Du poste de travail Gestion des accès, sous le groupe de menu Administration des demandes d'accès,
sélectionnez Rechercher demandes.
Recherchez une demande puis sélectionnez le bouton de commande Administrateur pour l'ouvrir et la
réviser. Pour plus d'informations, voir .
L'application affiche l'écran Demande d'accès, identique à celui qu'utilisent les demandeurs lorsqu'ils
soumettent la demande. Les approbateurs voient toutes les informations que le demandeur a saisi. En outre,
les approbateurs voient des boutons de commande et des zones supplémentaires qui leur permettent de
réviser, refuser, modifier ou approuver la demande.
Remarque
Vous pouvez configurer les boutons de commande et les zones que les approbateurs peuvent voir. Par
exemple, vous pouvez autoriser les approbateurs à ajouter des rôles à une demande. Pour plus
d'informations, voir .
2. Révisez la demande et exécutez des actions si nécessaire, comme Approuver, Refuser et ainsi de suite.
3. Dans le coin supérieur droit, sélectionnez Stade pour afficher des informations sur le stade actuel du workflow
d'approbation et son statut.
4. Dans la page à onglet Violations de risque, vous pouvez afficher les résultats de l'analyse des risques que le
demandeur a effectuée ou vous pouvez effectuer votre propre analyse des risques.
Remarque
Vous pouvez configurer l'application pour exiger des approbateurs qu'ils effectuent une analyse des
risques avant d'approuver toute demande. Pour plus d'informations, voir .
5. Lorsque vous avez terminé la révision de la demande, sélectionnez Soumettre.
SAP Access Control

7.5 Extension périodes de validité pour affectations
firefighting
Utilisation
Les personnes autorisées, comme les détenteurs d'ID Firefighter et les administrateurs, peuvent prolonger les
périodes de validité des affectations du firefighting.
Vous pouvez également définir la période de validité par défaut (en jours) dans le paramètre 4001. Vous gérez le
paramètre dans l'activité IMG, Gérer options de configuration, sous Governance, Risk and Compliance SAP
GRC Access Control .
Vous pouvez substituer la période de validité par défaut pour chaque affectation en la mettant à jour
manuellement.
Processus
Firefighting centralisé :
Vous pouvez prolonger les périodes de validité à l'aide des écrans Affectation d'ID Firefighter :
1. Sélectionnez Affectation d'accès d'urgence ID Firefighter .

L'écran ID Firefighter apparaît.
2. Sélectionnez une ligne puis Ouvrir.
L'écran Affectation d'ID Firefighter affiche l'affectation particulière.
3. Sélectionnez une ligne et mettez à jour les informations dans les zones Début de validité et Fin de validité le
cas échéant
4. Sauvegardez l'entrée et fermez l'écran.
Firefighting décentralisé
Dans le système de Plug-In, vous utilisez l'activité IMG (transaction SPRO) Gérer dates de validité pour
affectations de Firefighter.
1. Dans le système de Plug-In, ouvrez l'activité IMG Gérer dates de validité pour affectations de Firefighter (Plug-
In), sous Governance, Risks, and Compliance (Plug-in) SAP GRC Access Control .
La table Période de validité apparaît et affiche les affectations expirées que vous êtes autorisé à voir.
2. Sélectionnez un ID Firefighter ou rôle Firefighter puis ajustez les dates de validité le cas échéant.
3. Sauvegardez votre entrée.
Remarque
Pour permettre aux administrateurs et aux détenteurs de prolonger la période de validité des affectations
firefighting, vous devez créer les rôles dans les systèmes de Plug-In pertinents et leur affecter l’objet
d’autorisation /GRCPI/001. Pour le rôle administrateur, saisissez la valeur de zone ACTVT, 70 ou *
(astérisque). Pour le rôle propriétaire, saisissez la valeur de zone ACTVT, blank (vide).
SAP Access Control

Types d'application d'accès d'urgence [page 177]
Firefighting décentralisé [page 177]
7.6 Accès aux systèmes Plug-In, pr effectuer activités

firefighting
Utilisation
Cette rubrique détaille la façon d'accéder au bon système, selon la configuration de votre système, pour effectuer
des activités firefighting.
Conditions requises
Un accès d'urgence vous a été accordé par l'administrateur.
Activités
L'application vous permet d'utiliser l'une des méthodes suivantes pour accéder aux systèmes, pour effectuer des
activités firefighting :
Remarque
Votre administrateur vous indiquera la méthode à utiliser.
● Si votre société utilise firefighting basé sur ID, vous utilisez la barre de lancement GAU pour vous connecter
aux systèmes.
○ Si firefighting décentralisé est activé, vous pouvez vous connecter aux systèmes Plug-In pour effectuer
○ Si votre société utilise firefighting centralisé, vous devez vous connecter au système GRC pour effectuer
Pour de plus amples informations, voir Utilisation de la barre de lancement GAU [page 198].
● Si votre société utilise firefighting basé sur rôle, vous pouvez vous connecter directement aux systèmes.
SAP Access Control

Types d'application d'accès d'urgence [page 175]
Terminologie GAU [page 174]
Création de rôles [page 175]
7.6.1 Utilisation de la barre de lancement Gestion des accès

d'urgence
Contexte
Pour un firefighting basé sur ID, vous pouvez utiliser la barre de lancement Gestion des accès d'urgence (GAU)
pour accéder à vos ID Firefighter affectés. La barre de lancement GAU est disponible à la fois pour firefighting
centralisé et décentralisé. La fonctionnalité décrite ci-dessous est identique pour firefighting centralisé et
décentralisé, à l'exception de ce qui suit :
● Pour firefighting centralisé, vous utilisez cette transaction pour ouvrir la barre de lancement GAU dans le
système GRC : GRAC_EAM.
Remarque
La transaction GRAC_SPM est également disponible pour la compatibilité descendante.
● Pour firefighting décentralisé, vous utilisez cette transaction pour ouvrir la barre de lancement GAU dans les
systèmes Plug-In :/GRCPI/GRIA_EAM.
Remarque
Pour les scénarios firefighting décentralisé, pour que le firefighter puisse utiliser la barre de lancement
GAU, vous devez créer le rôle Firefighter dans les systèmes Plug-In pertinents. Affectez au rôle les
autorisations d'utilisation des transactions /GRCPI/GRIA_EAM et SU53.
Remarque
La barre de lancement pour firefighting centralisé affiche tous les systèmes Plug-In auxquels vous avez accès.
La barre de lancement pour firefighting décentralisé n'affiche aucun système car elle vous permet d'accéder
uniquement au système Plug-In actuel.
SAP Access Control

L'écran de barre de lancement EAM a les éléments suivants :
Table 28 :
Elément Description
ID Firefighter Il s'agit du nom de l'ID Firefighter que vous êtes autorisé à utiliser. Vous pouvez en
avoir un ou plusieurs.
Nom du système Il s'agit du nom du système auquel l'ID Firefighter est autorisé à accéder.
Remarque
Cette zone s'affiche uniquement pour firefighting centralisé.
Détenteur ID Firefighter Il s'agit du nom du détenteur de l'ID Firefighter.
Statut Vert indique que vous pouvez utiliser l'ID Firefighter.
Rouge indique que l'ID Firefighter est utilisé par un autre Firefighter. Vous pouvez
choisir d'informer le Firefighter à l'aide du bouton de commande Message au
Firefighter.
ID Firefighter utilisé par Il s'agit du Firefighter utilisant actuellement l'ID Firefighter.
Description Il s'agit de la description de l'ID Firefighter.
Connexion Utilisez ce bouton de commande pour vous connecter au système.
Message au Firefighter Utilisez ce bouton pour envoyer un message pré-formaté au Firefighter que vous
voulez pour utiliser l'ID Firefighter après exécution.
Activité supplémentaire Après avoir sélectionné Connexion, vous devez saisir une description des activités
que vous avez l'intention d'effectuer. Vous devez avoir effectué des activités supplé
mentaires, sélectionnez le bouton Activité Supplémentaire pour ouvrir l'écran Code
de motif et saisissez les informations supplémentaires dans la zone Activité
supplémentaire.
Débloquer Utilisez ce bouton pour fermer la session de firefighting et permettre à d'autres d'uti
liser l'ID Firefighter.
Procédure
1. Dans SAP GUI, saisissez la transaction (GRAC_EAM OU /GRCPI/GRIA_EAM) pour ouvrir la Barre de lancement
de GAU.
2. A l'écran Barre de lancement de GAU, recherchez l'ID Firefighter pertinent et sélectionnez le bouton
Connexion.
L'écranCodes de motifs'affiche.
3. Dans la zone Codes de motif, sélectionnez le code de motif pertinent et saisissez toute information
supplémentaire le cas échéant.
SAP Access Control

4. Dans la zone disponible, saisissez les actions que vous avez l'intention d'effectuer.
5. Sélectionnez le bouton Exécuter pour vous connecter.
7.7 Révision des activités et des états d'accès d'urgence
Contexte
L'administrateur, le responsable de processus de gestion et le contrôleur doivent avoir un processus formalisé de

révision des activités d'accès d'urgence effectuées par des Firefighters. Ils peuvent utiliser les états suivants pour
analyser les activités.
Procédure
1. Lire l'état de journal consolidé pour identifier des problèmes ou proposer des solutions.
○ - C'est l'état le plus communément utilisé. Le contrôleur des ID Firefighter peut le recevoir par e-mail ou
par le biais du workflow. Sur cet état, ils peuvent voir quel ID Firefighter accède à quel système, quelles
transactions ont été effectuées et les détails. La fréquence de livraison (quotidienne, hebdomadaire et
ainsi de suite) peut être configurée d'après le besoin commercial.
2. Le cas échéant et s'ils disposent d'une autorisation, le responsable de processus de gestion, le contrôleur ou
la personne responsable de la conformité peuvent créer ces états supplémentaires pour examiner les détails
des activités d'accès d'urgence.
○ - Cet état indique les types d'utilisateur pour l'accès d'urgence expirés, supprimés ou bloqués, par
exemple, les ID Firefighter, les contrôleurs ou les détenteurs.
○ - Cet état saisit des données altérables du connecteur de système sélectionné pour des ID Firefighter.
○ – Cet état affiche des données du connecteur système sélectionné pour chaque ID Firefighter. L'état liste
le motif et l'activité pour chaque événement de connexion.
○ - Cet état saisit des données altérables du connecteur de système sélectionné pour des ID Firefighter et
des Firefighters. Il affiche le nombre et le type de transactions auxquels chaque ID Firefighter a accédé
pour chaque Firefighter.
○ - Cet état fournit l'historique d'actions effectuées sur des tâches de révision de SoD y compris
l'affirmation de l’atténuation.
SAP Access Control

8 Gestion des révisions d'accès périodiques
Utilisation
Ce processus explique comment les révisions d'accès périodiques sont définies et déployées.
Processus
1. Identifier des directives qui ont un impact sur des révisions d'accès périodiques
Dans cette étape, les directives organisationnelles qui ont un impact sur des révisions d'accès périodiques
sont identifiées et analysées pour garantir que les exigences en matière de directive sont prises en compte
lorsque vous définissez le processus de révision. Cette étape est réalisée pour la révision initiale et pour des
modifications de directive ou d’environnement seulement.
2. Définir des processus de révision
Les paramètres de processus de révision sont définis. Les exemples de paramètres incluent la fréquence de
révision, les réviseurs et les utilisateurs ou l'accès à réviser. Cette étape est réalisée pour la révision initiale et
pour des modifications de directive ou d’environnement seulement.
3. Identifier des données pour prendre en charge le processus de révision
Des données supplémentaires peuvent être requises pour prendre en charge le processus de révision. Par
exemple si le réviseur dans la revue accès utilisateur est un gestionnaire, une source de données à partir de
laquelle les informations relatives au gestionnaire sont extraites et collectées, doit être identifiée. Exécutez
cette étape pour la révision initiale et pour des modifications de directive ou d’environnement seulement.
4. Préparer des informations de révision
Une fois toutes les données requises et les attributs de la révision définis, les revues accès utilisateur doivent
être préparées pour être envoyées pour la révision
5. Effectuer la révision
Chaque réviseur effectue la révision comme l'indique la directive.
6. Effectuer une action comme indiqué
En fonction des exigences en matière de directive, approuvez l'accès continu ou la suppression de la
demande pour chaque utilisateur.
7. Retenir les résultats de révision
Retenez les résultats des révisions d'accès à des fins d'audit.
Résultat
Un processus de révision d'accès périodique est défini et déployé en fonction de la directive.
SAP Access Control

Gestion des révisions d'accès périodiques PUBLIC 201
8.1 Révisions de certification de conformité
Utilisation
Les administrateurs peuvent planifier des révisions périodiques d'accès utilisateur et de risques de séparation des
tâches (SoD). Pendant ces révisions, SAP GRC Access Control envoie automatiquement des demandes de
révision aux gestionnaires désignés et aux réviseurs dans un workflow prédéfini qui est personnalisé pour
l'entreprise. Les révisions de certification de conformité vous permettent de terminer ces révisions périodiques
pour garantir que l'accès utilisateur et les risques de SoD sont correctement gérés dans votre organisation.
Dans le contrôle d'accès, les coordinateurs sont responsables de vérifier que tous les réviseurs (gestionnaires ou
détenteurs du rôle) effectuent des révisions d'accès d'utilisateur et de risque de SoD. Dans le cadre de vos
révisions de certification de conformité, vous pouvez réviser les demandes qui n'ont pas de réviseur ou de
coordinateur affecté et affecter les réviseurs et coordinateurs correspondants si nécessaire.
Vous pouvez aussi gérer des mappages coordinateur-à-réviseur dans le cadre de vos révisions de certification de
conformité, y compris créer, importer, modifier et supprimer ces mappages, si nécessaire. Finalement, vous
pouvez gérer des refus, y compris rechercher des utilisateurs refusés, générer des demandes de révision et
annuler des générations de demande de révision (pour des demandes qui n'ont pas été terminées).
Fonctionnalités
Vous pouvez terminer les tâches suivantes lorsque vous effectuez des révisions de certification de conformité :
● Affecter des coordinateurs aux réviseurs

● Réviser des demandes
● Gérer des refus
Gestion de coordinateurs [page 202]
Gestion de refus [page 207]
8.1.1 Gestion de coordinateurs
Utilisation
Dans le cadre de votre révision de certification de conformité, vous pouvez affecter des coordinateurs aux
réviseurs et gérer ces relations pour aider à surveiller les révisions d'accès utilisateur. Access Control utilise les
informations relatives aux coordinateurs pour les révisions de séparation des tâches et d'accès utilisateur et pour
générer des états que vous pouvez utiliser lors de la gestion du processus de révision.
SAP Access Control

202 PUBLIC Gestion des révisions d'accès périodiques
A l'aide de l'écran Gérer coordinateurs, vous pouvez effectuer les tâches suivantes :
● Créer ou importer les mappages coordinateur-à-réviseur

● Rechercher et afficher les mappages coordinateur-à-réviseur existants
● Modifier des mappages coordinateur-à-réviseur actuels
● Supprimer les mappages coordinateur-à-réviseur existants
● Exporter les mappages coordinateur-à-réviseur vers une feuille de calcul Microsoft Excel
Création de mappages de coordinateur [page 203]
Modification de coordinateurs [page 204]
Recherche de coordinateurs [page 205]
8.1.1.1 Création de mappages de coordinateur
Utilisation
Vous pouvez manuellement affecter des coordinateurs aux réviseurs ou importer plusieurs mappages
coordinateur-à-réviseur, à l'aide des fonctions sur l'écran Gérer coordinateurs.
Procédure
Pour affecter des coordinateurs aux réviseurs :
1. Sélectionnez Gestion des accès Révisions de certification de conformité Gérer coordinateurs . L'écran
Gérer coordinateurs apparaît.
2. Cliquez sur le bouton de commande Créer. L'écran Créer mappage s'affiche.
3. Saisissez ou sélectionnez l'ID coordinateur.
4. Saisissez ou sélectionnez l'ID réviseur.
6. Sélectionnez Fermer. Le mappage apparaît dans la table sur l'écran Gérer coordinateurs.
Pour importer des mappages coordinateur-à-réviseur :
2. Sélectionnez le bouton de commande Importer. L'écran Importer des coordinateurs apparaît.
3. Saisissez ou sélectionnez le fichier à l'aide de la zone Sélectionner fichier.
5. Sélectionnez Fermer. Les mappages apparaissent dans la table sur l'écran Gérer coordinateurs.
SAP Access Control

8.1.1.2 Modification de coordinateurs
Contexte
Vous pouvez modifier des mappages coordinateur-à-réviseur ou supprimer un mappage, à l'aide de l'écran Gérer
coordinateurs.
Procédure
Pour modifier un mappage coordinateur-à-réviseur :
2. Sélectionnez le mappage que vous voulez modifier et sélectionnez le bouton de commande Ouvrir. L'écran
Modifier le mappage s'affiche.
3. Saisissez ou sélectionnez un nouveau ID du coordinateur, si nécessaire.
4. Saisissez ou sélectionnez un nouveau ID réviseur, si nécessaire.
6. Sélectionnez Fermer. Le mappage mis à jour apparaît dans la table sur l'écran Gérer coordinateurs.
Pour supprimer un mappage coordinateur-à-réviseur :
8. Sélectionnez le mappage que vous voulez supprimer, puis le bouton de commande Supprimer. Une boîte de
dialogue de confirmation s'affiche.
Étapes suivantes
SAP Access Control

8.1.1.3 Recherche de coordinateurs
Contexte
Vous pouvez rechercher des mappages coordinateur-à-réviseur et exporter les résultats vers une feuille de calcul
Microsoft Excel, à l'aide de l'écran Gérer coordinateurs.
Procédure
2. Sélectionnez le lien Filtre. Une ligne vide apparaît au début de la table.
3. Saisissez les valeurs appropriées dans les colonnes correspondantes et appuyez sur Entrée. La table affiche
les résultats filtrés basés sur les valeurs que vous avez saisies.
4. Pour exporter les résultats vers une feuille de calcul Microsoft Excel, sélectionnez Exporter Exporter vers
Microsoft Excel .
Sélectionnez Sauvegarder, naviguez jusqu'au dossier approprié et sélectionnez Sauvegarder à nouveau.
Étapes suivantes
SAP Access Control

8.1.2 Réviser les demandes
Prérequis
Vous devez planifier et exécuter les activités suivantes à l'aide de l'Ordonnanceur en arrière-plan avant de réviser
les demandes :
● Générer des données pour la révision de RAU de demande d'accès

● Générer des données pour la révision de SoD de demande d'accès
Vérifiez que vous avez aussi planifié les activités suivantes à l'aide de l'Ordonnanceur en arrière-plan :
● Mettre à jour workflow pour demande RAU (revue accès utilisateur)

● Mettre à jour workflow pour demande SoD
Contexte
3.Vous pouvez réviser des demandes, y compris l'accès d'utilisateur et les risques de séparation des tâches
(SoD), à l'aide des fonctions sur l'écran Révision de la demande. A l'aide de cet écran, vous pouvez vérifier que les
demandes ont un réviseur ou un coordinateur affecté et modifier les réviseurs ou annuler des demandes.
Remarque
Dans l'activité IMG Gérer options de configuration sous Governance, Risk, and Compliance SAP GRC
Access Control , vérifiez que le paramètre Révision revue accès utilisateur (2007) est activé sur OUI. Cela
indique qu'un administrateur doit réviser des demandes avant que les demandes n'arrivent aux réviseurs. Si le
paramètre est activé sur NON, les demandes sont transmises directement aux réviseurs (gestionnaires ou
détenteurs du rôle).
Procédure
1. Sélectionnez Gestion des accès Révisions de certification de conformité Révision de demande .
L'écran Révision de demande s'ouvre.


1. Sélectionnez le Type de processus à l'aide de la liste déroulante, dans ce qui suit :
○ Workflow de révision de l'accès utilisateur
○ Workflow de révision des risques de séparation des tâches
2. Sélectionnez le Type de demande à l'aide de la liste déroulante.
SAP Access Control

3. Saisissez ou sélectionnez l'ID utilisateur.
4. Saisissez ou sélectionnez l'ID réviseur.
5. Saisissez ou sélectionnez l'ID coordinateur.
Pour n'indiquer aucun coordinateur, sélectionnez la case à cocher Aucun coordinateur.
6. Saisissez ou sélectionnez la Date début/fin dans les zones correspondantes.
7. Saisissez l'ID de job.
8. Indiquez le nombre maximum de résultats dans la zone Nombre maximal de recherches.
3. Sélectionnez Rechercher. Les résultats de la recherche apparaissent dans la table Affectations.
4. Pour modifier des réviseurs, sélectionnez une affectation et sélectionnez le bouton de commande Modif.
réviseurs. La boîte de dialogue Affecter des réviseurs apparaît.
Sélectionnez des réviseurs et coordinateurs de plus dans la liste Disponible et sélectionnez le bouton de
commande de flèche vers la droite pour déplacer l'entrée dans la liste Sélectionnée. Après avoir affecté les
réviseurs, sélectionnez OK.
5. Pour annuler une demande, sélectionnez une affectation et sélectionnez le bouton de commande Annuler
demande.
Une boîte de dialogue de confirmation s'affiche. Sélectionnez Oui pour marquer les utilisateurs comme
refusés pour la génération de demande.
Étapes suivantes
Révisions de certification de conformité [page 202]
Gestion de refus [page 207]
Ordonnanceur en arrière-plan [page 32]
8.1.3 Gestion de refus
Contexte
Vous pouvez gérer des refus, y compris rechercher des utilisateurs refusés, générer des demandes de révision et
annuler des générations de demande de révision (pour les demandes qui n'ont pas été terminées), à l'aide des
fonctions sur l'écran Gérer les refus.
Remarque
Vous planifiez et exécutez l'activité Génère une nouvelle demande pour demande rejetée par revue accès
utilisateurr à l'aide du Planificateur de jobs d'arrière-plan après avoir géré les refus.
SAP Access Control

Procédure
1. Sélectionnez Gestion des accès Révisions de certification de conformité Gérer les refus .
L'écran Gérer les refus s'ouvre.

1. saisissez ou sélectionnez la Date de début et Date de fin, le cas échéant.

2. Sélectionnez le Statut à l'aide de la liste déroulante correspondante, dans ce qui suit :
○ Nouvelles -demandes soumises par le réviseur.
○ Erreur -Le job d'arrière-plan de génération a rencontré une erreur.
○ Générer -L'utilisateur est marqué pour la nouvelle génération, mais le job d'arrière-plan de génération
n'a pas commencé. Vous pouvez cliquer sur Annuler la génération pour annuler la génération de
demande.
○ En cours de traitement -L'ordre de génération en arrière-plan a commencé mais n'est pas terminé.
Vous ne pouvez pas annuler les demandes avec ce statut parce que le job d'arrière-plan a commencé.
○ Clôturé -Le job d'arrière-plan de génération est terminé. Le numéro de la nouvelle demande est mis à
jour.
3. Sélectionnez la Raison dans la liste déroulante correspondante.
4. Sélectionnez le type de processus dans la liste déroulante correspondante.
3. Sélectionnez Rechercher. Les résultats de la recherche apparaissent dans la table.
4. Pour générer une demande, sélectionnez un refus dans la table et sélectionnez le bouton de commande
Générer demandes.
Avant de générer les demandes pour les utilisateurs refusés, assurez-vous que les utilisateurs aient
l'information de réviseur correcte. Cette précaution évite que le cycle de demande ne contienne de nouveau
des informations incorrectes. Par exemple, si l'information de réviseur est enregistrée dans une source de
données de LDAP et qu'elle est incorrecte, vous devez mettre à jour l'information dans la source de données
de LDAP pour que les nouvelles demandes soient générées avec le nom de réviseur correct.
Remarque
Si vous sélectionnez des demandes multiples pour la génération dans lesquelles quelques-unes des
demandes sont regroupées par utilisateur et d'autres sont regroupées par détenteur de rôle/du risque, le
système ne combine pas les demandes lors de la génération.
Exemple
Prenez en compte le cas lorsqu'une demande est regroupée par détenteur de risque/rôle et par
gestionnaire :
○ Demande regroupée par détenteur de risque/propriétaire :

○ Risk1 User1
○ Risk2 User1
○ Demande regroupée par gestionnaire :
○ User1 Role1
○ User2 Role2
SAP Access Control

Dans ce cas, si vous sélectionnez les quatre demandes pour la génération (avec regroupement par
gestionnaire), vous pouvez vous attendre aux résultats suivants :
○ Demande regroupée par détenteur de risque/propriétaire :

○ Risk1 User1 - 5 est le nouveau numéro de demande
○ Risk2 User1 - 5 est le nouveau numéro de demande
○ Demande regroupée par gestionnaire :
○ User1 Role1 - 6 est le numéro de demande
○ User2 Role2 - 7 est le numéro de demande
5. Pour annuler une génération, sélectionnez un refus dans la table et sélectionnez le bouton de commande
Annuler génération.
Vous pouvez annuler des générations uniquement pour des refus ayant le statut Générer. Une fois que le
statut de la demande est En cours de traitement, le job d'arrière-plan a commencé et la demande ne peut pas
être annulée.
6. Pour exporter les résultats vers une feuille de calcul Microsoft Excel, sélectionnez Exporter Exporter vers
Microsoft Excel .
Sélectionnez Sauvegarder, naviguez jusqu'au dossier approprié et sélectionnez Sauvegarder à nouveau.
Étapes suivantes
Révisions de certification de conformité [page 202]
Réviser les demandes [page 206]
8.2 Alertes
Utilisation
Quand un utilisateur exécute des actions critiques ou en conflit, le système peut envoyer une alerte d'escalade au
personnel approprié. Vous pouvez utiliser la caractéristique Alertes pour surveiller les alertes d'accès en conflit et
critiques et de contrôle d'atténuation, le cas échéant.
Vous pouvez plus particulièrement effectuer les tâches suivantes :
● Rechercher et filtrer des alertes à afficher

● Acquitter des alertes
● Rechercher et filtrer des alertes acquittées
SAP Access Control

8.2.1 Recherche d'alertes
Contexte
Vous pouvez rechercher les types suivants d'alertes :

Procédure

○ Système
○ Type de risque
○ ID utilisateur
○ Action
○ Système
○ ID de contrôle
SAP Access Control

○ ID utilisateur
○ est
○ n'est pas
○ commence par
○ contient
○ se situe entre

Étapes suivantes
Alertes [page 128]
8.2.2 Alertes acquittées
Utilisation
Une fois qu'un message d'alerte a été livré et acquitté ou supprimé, il est conservé en tant qu'enregistrement
archivé. Vous pouvez poursuivre le suivi de ces alertes à l'aide de l'onglet Alertes acquittées des écrans Alertes de
risque de conflit et de risque critique et Contrôles d'atténuation.
Alertes [page 128]
SAP Access Control

8.2.2.1 Acquittement d'alertes
Contexte
Vous pouvez acquitter les types suivants d'alertes, le cas échéant :

Procédure


4. Sélectionnez l'alerte pour annuler en sélectionnant la boîte à gauche et sélectionnez Acquitter l'alerte.
La fenêtre de dialogue Acquitter l'alerte apparaît.

5. Saisissez une raison pour acquitter l'alerte et sélectionnez OK.
L'alerte est acquittée. Vous pouvez afficher des alertes acquittées à l'aide de l'onglet Alertes acquittées. Pour
plus d'informations, voir .
Étapes suivantes
Alertes [page 128]
SAP Access Control

8.2.2.2 Recherche d'alertes acquittées
Contexte
Vous pouvez rechercher les types suivants d'alertes acquittées :

Procédure

2. Sélectionnez l'onglet Alertes acquittées.
○ Système
○ Type de risque
○ ID utilisateur
○ Action
○ Système
○ ID de contrôle
○ ID utilisateur
○ est
○ n'est pas
○ commence par
○ contient
SAP Access Control

○ se situe entre

6. Pour afficher la raison pour laquelle une alerte a été acquittée, sélectionnez le lien Commentaires dans la zone
Raison pour l'alerte correspondante.
Le dialogue Acquitter l'alerte apparaît en affichant la raison. Sélectionnez Annuler pour écarter le dialogue.
Étapes suivantes
Alertes [page 128]
SAP Access Control

9 Etats et analyses
Le poste de travail Etats et analyses fournit un emplacement central pour afficher des états et des tableaux de
bord pour les informations SAP GRC Access Control, comme les alertes, l'analyse d'utilisateur, les rapports
d'audit etc.
Remarque
Le poste de travail Etats et analyses est partagé par les produits SAP GRC Access Control, SAP GRC Process
sont déterminés par les applications pour lesquelles vous détenez une licence. Le contenu dans cette rubrique
couvre les fonctions spécifiques à SAP GRC Access Control.
Table 29 :
Catégorie Description
Tableaux de bord d'accès Tableaux de bord pour l'analyse de risque d'accès, la gestion
de rôle utilisateur et la gestion des accès utilisateurs
Etats d'analyse des risques d'accès Etats liés à l'analyse de risque d'accès, y compris des viola
tions de risque d'utilisateur, des violations de risque de rôle,
des violations de risque de profil et des violations de risque
d'objet RH.
Etats de demande d'accès Etats liés aux demandes d'accès, y compris le niveau de ser
vice pour des demandes et des demandes avec conflits et at
ténuation
Etats de la gestion des rôles Etats liés à la gestion de rôle, y compris des relations entre les
rôles et les utilisateurs et des relations entre les rôles de base-
à-dérivés
Etats de sécurité Etats liés à l'utilisateur, au rôle et à la sécurité de profil
Etats de vérification Etats en rapport avec l'audit, y compris des actions dans des
rôles (mais pas dans des règles) et des approbations dans des
rôles (mais pas dans des règles)
Etats de gestion des accès utilisateur d'urgence Etats liés à des activités de superutilisateur, y compris des su
perutilisateurs non valides et des journaux consolidés
SAP Access Control

Etats et analyses PUBLIC 215
9.1 Tableaux de bord d'accès
SAP GRC Access Control fournit les tableaux de bord suivants :
● Tableau de bord d'attribution de privilèges d'accès [page 217]

Ce tableau de bord affiche le nombre de rôles affectés à des demandes individuelles ou supprimés de ces
dernières, regroupés par action de rôle en une seule vue. Dans une autre vue, il affiche le nombre total
d'utilisateurs traités regroupés par action utilisateur.
● Tableau de bord de demandes d'accès [page 218]
Ce tableau de bord affiche des demandes d'accès par statut et par type à l'aide des nombreux critères de
filtrage comme la date, le système et la priorité.
●
Ce tableau de bord affiche des vues de règles par niveau du risque et processus de gestion. Vous pouvez
regrouper les résultats par divers critères, par exemple l'action et l'approbation.
● Tableau de bord des alertes [page 219]
Ce tableau de bord affiche des alertes par mois et des alertes de séparation des tâches par processus.
● Tableau de bord de bibliothèque de contrôles d'atténuation [page 220]
Ce tableau de bord affiche des contrôles par niveau du risque et des contrôles par processus.
● Tableau de bord de violations de risque [page 221]
Le tableau de bord affiche le nombre de violations de risque d'accès par rôle, utilisateur ou profil pour tous les
systèmes ou pour un système sélectionné. Il affiche le nombre total d'utilisateurs analysés et le nombre total
de violations.
● Tableau de bord d'analyse de rôle [page 223]
Ce tableau de bord affiche le nombre de rôles atténués sans et avec violations de risque par niveau de gravité
de ces violations. Il affiche également un éclatement des violations SoD au format diagramme, au niveau du
rôle et au niveau de l'utilisateur pour le système sélectionné.
● Tableau de bord de Bibliothèque de rôles [page 224]
Ce tableau de bord affiche tous les rôles dans votre application. Il affiche le nombre total de rôles et le nombre
de rôles avec des violations.
● Niveau de service pour tableau de bord de demandes d'accès [page 225]
Ce tableau de bord affiche le nombre de demandes par mois/année et le nombre de violations de niveau de
service.
● Tableau de bord d'analyse pour utilisateur [page 226]
Ce tableau de bord affiche le nombre d'utilisateurs atténués ou qui ont des violations de risque par degré de
gravité. Il affiche également une ventilation du nombre d'utilisateurs avec actions critiques et profils de rôle
critiques.
● Tableau de bord de comparaisons de violations [page 227]
Ce tableau de bord affiche par trimestre ou par mois les violations de risque ainsi que l'avancement de
correction SoD complété pour chaque type d'analyse sous forme de pourcentage graphique à partir d'une
certaine date.
● Violation de risque dans tableau de bord de demande d'accès [page 228]
Ce tableau de bord affiche des violations de risque d'accès regroupées par violations et atténuation. Il affiche
également des détails de violation de risque d'accès.
SAP Access Control

216 PUBLIC Etats et analyses
9.1.1 Tableau de bord d'attribution de privilèges d'accès
Utilisation
Le Tableau de bord d'attribution de privilèges d'accès affiche les deux vues suivantes :
● Affectation affectée ou supprimée

Ce tableau de bord affiche le nombre de rôles affectés à des demandes individuelles ou supprimées de ces
dernières, regroupés par action de rôle.
● Utilisateurs traités
Ce tableau de bord affiche le nombre total d'utilisateurs traités regroupés par action utilisateur.
Vous pouvez filtrer les résultats en fonction des critères suivants :
● Date de début
● Date de fin
● Système
Le tableau de bord affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation
d'affichage.
● Approbateur
● Type de salarié
● Emplacement
● Type de processus
Vous cliquez sur l'histogramme pour effectuer une analyse descendante des informations détaillées. Vous pouvez
utiliser Imprimer pour créer un fichier PDF ou Exporter pour télédécharger les résultats détaillés des demandes
pour lesquelles des rôles ont été affectés ou supprimés.
Fonction Analyse descendante
A l'écran d'analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à afficher. Par
exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute l'entreprise ; tandis qu'à l'écran
d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous êtes autorisé uniquement à
afficher l'Amérique du Nord.
Remarque
Pour afficher les données de demande d'accès dans l'état, vous devez être affecté à un rôle avec une
autorisation d'affichage des objets de demande d'accès.
SAP Access Control

9.1.2 Tableau de bord de demandes d'accès
Utilisation
Le tableau de bord de demande d'accès affiche les demandes d'accès par statut et type à l'aide les critères de
filtre suivants :
● Dates de début/fin
● Système
d'affichage.
● Priorité
● Domaine fonctionnel
● Type de demande
● Statut
Le diagramme à secteurs divise les demandes en catégories suivantes :
● Approuvé
● Annulé
● Décision en attente
● Refusé
Vous effectuez une analyse descendante des informations détaillées en cliquant sur un domaine spécifique du
diagramme à secteurs. A l'écran d'analyse descendante l'application affiche uniquement les objets que vous êtes
autorisé à afficher. Par exemple, à l'écran de tableau de bord principal, les totaux de toute l'entreprise s'affichent ;
tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous êtes autorisé
uniquement à afficher l'Amérique du Nord.
Remarque
SAP Access Control

9.1.3 Tableau de bord de bibliothèque des règles d'accès
Utilisation
Le Tableau de bord de bibliothèque des règles d'accès affiche les vues de Règles par Niveau du risque et Processus
de gestion. Vous pouvez regrouper les résultats en fonction des critères suivants :
● Action
● Approbation
● Action critique
● Approbation critique
● Risque d'accès
Ce tableau de bord affiche également le nombre de risques actifs, le nombre de risques désactivés et le nombre
de fonctions.
Vous cliquez sur le camembert ou l'histogramme pour effectuer une analyse descendante des informations
détaillées. Vous pouvez utiliser Exporter pour télédécharger les détails.
Fonction d'analyse descendante
camembert ou de l'histogramme. Sur l'écran Analyse descendante, l'application affiche uniquement les objets que
vous êtes autorisé à afficher. Par exemple, à l'écran de tableau de bord principal, les totaux de toute l'entreprise
s'affichent ; tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous
êtes autorisé uniquement à afficher l'Amérique du Nord.
9.1.4 Tableau de bord des alertes
Utilisation
Le Tableau de bord des alertes affiche les deux vues suivantes :
● Alertes par mois

Ce tableau de bord affiche un graphique linéaire représentant le nombre d'alertes générées pendant la
période que vous indiquez. Vous pouvez demander à voir les types d'alertes suivants : Tout, Atténuation ou
SOD. Vous pouvez effectuer une analyse descendante des cercles pour afficher les détails d'alerte à des
points spécifiques de la ligne.
● Alertes SOD par processus
Ce tableau de bord affiche le nombre total d'alertes SOD confuses par processus de gestion à la fois sous
forme de tableau et d'histogramme. Les résultats sont filtrés par période et type d'alerte. Vous pouvez cliquer
sur le tableau ou l'histogramme pour afficher les détails de l'état.
SAP Access Control

Vous pouvez utiliser Imprimer pour créer un fichier PDF des résultats détaillés ou vous pouvez utiliser Exporter
pour télédécharger les résultats détaillés dans un calcul avec tableur Microsoft Excel.
graphique linéaire, du diagramme à secteurs ou du tableau. A l'écran d'analyse descendante, l'application affiche
uniquement les objets que vous êtes autorisé à afficher. Par exemple, à l'écran de tableau de bord principal,
s'affichent les totaux de toute l'entreprise ; tandis qu'à l'écran d'analyse descendante, seuls les totaux de
l'Amérique du Nord s'affichent, si vous êtes autorisé uniquement à afficher l'Amérique du Nord.
9.1.5 Tableau de bord de bibliothèque de contrôles

d'atténuation
Utilisation
Le Tableau de bord de bibliothèque de contrôles d'atténuation affiche les deux vues suivantes :
● Contrôles par niveau de risque

Ce tableau de bord affiche le nombre total de contrôles par niveau de risque Critique, Elevé, Moyen et Faible. Il
affiche également le nombre de contrôles actifs et inactifs. Vous pouvez décider d'afficher toutes les
organisations ou une organisation spécifique. Vous cliquez sur une tranche du diagramme circulaire pour
afficher les détails.
● Contrôles par processus
Ce tableau de bord affiche le nombre total de contrôles par processus de gestion. Vous cliquez sur un
domaine de l'histogramme pour afficher les détails de chaque processus de gestion.
Vous effectuez une analyse descendante des informations détaillées en cliquant sur le diagramme circulaire,
l'histogramme ou le tableau. A l'écran d'analyse descendante, l'application affiche uniquement les objets que vous
êtes autorisé à afficher. Par exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute
l'entreprise ; tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous
SAP Access Control

9.1.6 Tableau de bord de violations de risque
Utilisation
Le Tableau de bord de violations de risque affiche le nombre de Violations de risque d'accès par rôle, utilisateur ou
profil pour tous les systèmes ou pour un système sélectionné. Il affiche le nombre total d'utilisateurs analysés et
le nombre total de violations.
Le Tableau de bord de violations de risque affiche les violations de risque d'accès à l'aide des critères de filtre
suivants :
● Mois/Année
● Système
Seuls les systèmes pour lesquels vous disposez d'une autorisation, s'affichent.
● Type d'analyse
● Groupe d'utilisateurs
● Nombre violations par
La moitié inférieure du Tableau de bord de violations de risque affiche les violations de risque par processus de
gestion.
Fonctionnalités
Exécution de l'analyse des risques à partir de l'état
Vous accédez aux informations détaillées en cliquant sur le camembert, la légende ou l'histogramme.
1. Sélectionnez le graphique, la légende ou le diagramme.

2. Analysez les informations détaillées.
Remarque
A l'écran d'analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à
afficher. Par exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute l'entreprise ;
tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent.
3. Le cas échéant, vous pouvez aussi sélectionner le bouton de commande Exécuter analyse de risques. Ce qui
produit l'état Analyse descendante de violations de risques.
4. Définissez la façon d'exécuter l'état (Exécuter en avant-plan ou Exécuter en arrière-plan). Si vous sélectionnez
Exécuter en arrière-plan, l'écran Ordonnanceur de jobs d'arrière-plan s'affiche et vous pouvez saisir vos choix
d'ordonnancement.
Remarque
Pour afficher le statut des jobs d'arrière-plan, naviguez jusqu'à Gestion des accès Ordonnancement
5. Définissez si vous souhaitez exécuter les tâches en Temps réel ou Hors ligne.
SAP Access Control

6. Dans la vue de correction détaillée résultante, vous pouvez affecter un contrôle d'atténuation dans la colonne
ID de risque ou ID de règle ou supprimer un rôle dans la colonne ID de règle.
9.1.6.1 Vue de correction
Prérequis
Vous devez avoir déjà sélectionné vos paramètres et Exécuter analyse des risques de l'état initial pour voir la vue
de correction détaillée. Vous pouvez accéder à cette fonctionnalité à partir de :
● Accédez à la Vue de correction de Poste de travail Etats et analyses Accéder aux tableaux de bord
Tableau de bord de violations de risque [page 221] et Tableau de bord d'analyse d'utilisateur [page 226].
● Accédez à la vue de correction à partir de Gestion des accès Analyse de risque d'accès Analyse de
risque d'accès niveau utilisateur [page 99]
Remarque
d'arrière-plan .
Contexte
La vue de correction identifie graphiquement les violations de risque d'accès et permet aux utilisateurs de prendre
des décisions informées. Vous pouvez effectuer une action de correction directement des résultats de l'analyse
de risque d'accès au niveau de l'utilisateur. Vous pouvez initialiser un workflow pour mettre à jour des affectations
d'autorisations d’utilisateur ou de rôle, de dates de validité et atténuer l'accès.
Le type d'état que vous voyez (Correction, Vue de gestion ou technique) du tableau de bord dépend du de la
valeur par défaut sélectionnée par votre Administrateur système. Des Activités IMG (transaction SPRO), Guide
d'implémentation Customizing SAP Governance, Risk and Compliance Contrôle d'accès Gérer options de
configuration . Le paramètre qui doit être activé est 1050, Vue d'état par défaut pour l'analyse des risques. A
l'écran Analyse des risques : niveau utilisateur, vous pouvez aussi modifier la vue.
SAP Access Control

Procédure
1. Analysez l'état. Pour plus d'informations, sélectionnez les entrées dans les colonnes Utilisateur, Risque, ID de
règle et Accès. Un panneau latéral apparaît avec des informations détaillées pour chacune des entrées.
2. Définissez comment atténuer le risque. De la vue de correction, vous pouvez :
○ Affecter un contrôle d'atténuation dans la colonne Risque (appliquer à toutes les règles) ou la colonne ID
de règle (pour une règle). Sélectionner l'icône d'atténuation pour accéder à l'écran Affecter contrôles
d'atténuation.
Recommandation
Pour plus d'informations, voir Atténuation de risques [page 42].
○ Supprimer un rôle dans la colonne Accès. Sélectionnez l'icône d'atténuation pour effectuer cette
fonctionnalité.
Recommandation
Pour de plus amples informations, reportez-vous à Gestion des rôles [page 141].
3. Une fois les actions exécutées, des icônes illustrant le statut existent.
○ Le vert indique que l'action est terminée.
○ Le jaune indique que l'action est en cours d'exécution.
○ Le rouge indique qu'il y a un problème.
9.1.7 Tableau de bord d'analyse de rôle
Utilisation
Le Tableau de bord d'analyse de rôle affiche les deux vues suivantes :
● Séparation des tâches

Ce tableau de bord affiche le nombre de rôles atténués sans et avec violations de risque par niveau de gravité
de ces violations. Pour les filtres indiqués, il affiche également :
○ Le nombre d'utilisateurs analysés
○ Les utilisateurs sans violations
○ Les utilisateurs avec violations
Vous pouvez filtrer les résultats en fonction des sélections suivantes :
○ Mois/Année
○ Système
Le système affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation.
○ Type d'analyse
○ Nombre de violations par risque d'accès ou approbation
Le tableau de bord génère un camembert affichant les violations critiques, élevées, moyennes et Aucune
violation ainsi que les rôles atténués.
Vous pouvez effectuer une analyse descendante des domaines du camembert pour afficher les détails des
rôles analysés.
SAP Access Control

● Violations de risques d'accès par rôle et utilisateur
Ce tableau de bord affiche un éclatement des violations SoD au format diagramme, au niveau du rôle et au
niveau de l'utilisateur pour le système sélectionné. Vous pouvez effectuer une analyse descendante du
graphique pour plus de détails.
camembert ou de l'histogramme. A l'écran d'analyse descendante, l'application affiche uniquement les objets que
vous êtes autorisé à afficher. Par exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute
l'entreprise ; tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous
9.1.8 Tableau de bord de la bibliothèque de rôles
Utilisation
Le Tableau de bord de la bibliothèque de rôles affiche tous les rôles dans votre application. Il affiche le nombre
total de rôles et le nombre de rôles avec des violations. Deux vues existent :
● Rôles entreprise regroupés par type de rôle

● Rôles regroupés par processus de gestion
● Type de système
● Infrastructure système
● Détenteur du rôle
Vous cliquez sur le camembert, l'histogramme ou la table pour effectuer une analyse descendante des
informations détaillées.
Fonction d'analyse descendante
camembert ou de l'histogramme. A l'écran d'analyse descendante, l'application affiche uniquement les objets que
vous êtes autorisé à afficher. Par exemple, à l'écran de tableau de bord principal, les totaux de toute l'entreprise
s'affichent ; tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous
SAP Access Control

9.1.9 Niveau de service pour tableau de bord de demandes

d'accès
Utilisation
L'écran Niveau de service pour tableau de bord de demandes d'accès affiche les deux vues suivantes :
● Nombre de demandes par mois/année

● Violation du niveau de service
Vous pouvez utiliser les postes suivants pour filtrer vos résultats :
● Date
● Système
d'affichage.
● Type de demande
● Priorité
● ANS
Les tableaux de bord affichent les résultats sous forme de graphique linéaire. Vous pouvez cliquer sur le début ou
la fin de la ligne pour afficher les résultats détaillés par numéro de demande.
Remarque
Vous effectuez une analyse descendante des informations détaillées en cliquant à la fin du graphique linéaire. A
l'écran d'analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à afficher. Par
Remarque
SAP Access Control

9.1.10 Tableau de bord d'analyse pour utilisateur
Utilisation
Le Tableau de bord d'analyse pour utilisateur affiche les deux vues suivantes :
● Séparation des tâches

Ce tableau de bord affiche le nombre d'utilisateurs atténués ou qui ont des violations de risque par degré de
gravité.
Il affiche également le nombre d'utilisateurs analysés, les utilisateurs sans violations et les utilisateurs avec
violations.
● Actions et rôles critiques
Ce tableau de bord affiche une ventilation du nombre d'utilisateurs avec action critique et profils de rôle
critique.
● Mois/Année
● Système
d'affichage.
● Nombre violations par
Vous cliquez sur le camembert, la légende ou l'histogramme pour effectuer une analyse descendante dans la vue
de correction. Vous pouvez utiliser Imprimer pour créer un fichier PDF ou Exporter pour télédécharger les
résultats détaillés.
Fonctionnalités
Exécution de l'analyse des risques à partir de l'état
Vous accédez aux informations détaillées en cliquant sur le camembert, la légende ou l'histogramme.
1. Sélectionnez le graphique, la légende ou le diagramme.

2. Analysez les informations détaillées.
Remarque
A l'écran d'analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à
afficher. Par exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute l'entreprise ;
tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent.
SAP Access Control

3. Le cas échéant, vous pouvez aussi sélectionner le bouton de commande Exécuter analyse de risques. Ce qui
produit l'état Analyse descendante de violations de risques.
4. Définissez la façon d'exécuter l'état (Exécuter en avant-plan ou Exécuter en arrière-plan). Si vous sélectionnez
Exécuter en arrière-plan, l'écran Ordonnanceur de jobs d'arrière-plan s'affiche et vous pouvez saisir vos choix
d'ordonnancement.
Remarque
d'arrière-plan .
5. Définissez si vous souhaitez exécuter les tâches en Temps réel ou Hors ligne.
6. Dans la vue de correction détaillée résultante, vous pouvez affecter un contrôle d'atténuation dans la colonne
ID de risque ou ID de règle ou supprimer un rôle dans la colonne ID de règle.
9.1.11 Tableau de bord de comparaisons de violations
Utilisation
Le Tableau de bord de comparaisons de violations affiche les deux vues suivantes :
● Comparaison trimestrielle/mensuelle
Ce tableau de bord affiche trimestriellement ou mensuellement des violations de risque filtrées par les
sélections suivantes :
○ Type calendrier
○ Dates de début/fin
○ Système
Vous voyez uniquement les systèmes pour lesquels vous possédez une autorisation.
○ Type d'analyse
○ Nombre de violations par risque d'accès ou approbation
Vous pouvez effectuer une analyse descendante des points sélectionnés du graphique linéaire pour afficher
les détails des violations de risque à un moment donné.
Vous effectuez une analyse descendante en cliquant sur un domaine spécifique du graphique linéaire. A
l'écran d'analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à afficher.
Par exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute l'entreprise ; tandis qu'à
l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous êtes autorisé
uniquement à afficher l'Amérique du Nord.
SAP Access Control

Vous pouvez utiliser Imprimer pour créer un fichier PDF des résultats détaillés ou vous pouvez utiliser
Exporter pour télédécharger les résultats détaillés dans un calcul avec tableur.
● Avancement de la correction
Ce tableau de bord affiche l'avancement de correction SoD complété pour chaque type d'analyse sous forme
de pourcentage graphique à partir d'une certaine date.
9.1.12 Violation de risque dans tableau de bord de demande

d'accès
Utilisation
La Violation de risque dans tableau de bord de demande d'accès affiche les deux vues suivantes :
● Violations de risque d'accès regroupées par violations et atténuation

● Détails de violation de risque d'accès
Vous pouvez filtrer les résultats à l'aide des critères suivants :
● Date de début
● Date de fin
● Système
Seuls les systèmes pour lesquels vous disposez d'une autorisation, s'affichent.
● Type de demande
● Priorité
● Type de workflow
La moitié inférieure du tableau de bord affiche les violations de risque par criticité : Critique, Elevé, Moyen et
Faible. Cliquez sur le diagramme circulaire, la table ou l'histogramme pour effectuer une analyse descendante des
détails.
Vous pouvez utiliser Version d'impression pour créer un fichier PDF des résultats détaillés ou vous pouvez utiliser
Exporter pour télédécharger les résultats détaillés dans un calcul avec tableur Microsoft Excel.
A l'écran d'analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à afficher. Par
SAP Access Control

Remarque
9.2 Etats Analyse des risques d'accès
SAP GRC Access Control propose les états d'analyse des risques suivants :
● Aperçu des règles d'accès [page 78]

● Détail des règles d'accès [page 79]
● Etat Contrôle d'atténuation [page 233]
● Etat Violation de risque utilisateur [page 237]
● Etat Violation de risque de rôle [page 235]
● Etat Violation de risque de profil [page 234]
● Etat Violation de risque de l'objet HR [page 232]
● Etat Objet atténué [page 231]
9.2.1 Etat Aperçu de règle d'accès
Utilisation
Cet état liste les risques et les fonctions en conflit pour tous les types de risque.
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● ID de risque d'accès
● Description du risque d'accès
● ID processus gestion
● Ensemble de règles
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
SAP Access Control

Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensembles de
résultats pour télédécharger les données ou Version d'impression pour créer un fichier PDF.
Détails de l'état
L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats
d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à
afficher les données d'Amérique du Nord.
9.2.2 Etat Détail de la règle d'accès
Utilisation
Cet état liste les risques, fonctions, codes de transaction et détails d'approbation liés pour tous les types de
risque.
● Système
L'état affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage.
● ID utilisateur
● Fin de validité
Recommandation
Détails de l'état
SAP Access Control

9.2.3 Etat Objet atténué
Utilisation
Cet état affiche tous les Utilisateurs, Rôles, Profils atténués, toutes les Organisations utilisateurs, Organisations de
rôle atténuées et les objets HR avec les contrôles d'atténuation associés.
● ID de contrôle d'atténuation
● ID de règle d'accès
● Système
● Approbateur
● ID utilisateur
● ID du moniteur
● ID d'organisation
● Niveau de risque
● Statut
● Début de validité du contrôle d'atténuation
● Fin de validité du contrôle d'atténuation
En outre, vous pouvez décider d'effectuer l'état en fonction de l'un des éléments suivants :
● Utilisateur
● Rôle
● Profil
● Organisation utilisateur
● Organisation de rôles
● Objet HR
Recommandation
résultats pour télédécharger les données.
SAP Access Control

Détails de l'état - L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans
les résultats d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes
uniquement autorisé à afficher les données d'Amérique du Nord.
9.2.4 Etat Violation de risque de l'objet HR
Utilisation
Cet état liste toutes les violations de risque pour des objets HR sélectionnés. Pour exécuter l'état, désignez des
valeurs pour les critères de filtre suivants :
● Système
● Type d'analyse
● Type d'objet
● ID d'objet
L'état contient les options suivantes :
Table 30 :
Option Choix
Format ● Synthèse
● Détail
● Aperçu de gestion
● Aperçu exécutif
Vue ● Technique
● Gestion
Type Analyse de risque d'accès
● Niveau d'action
● Action critique
● Rôle/Profil critique
● Niveau d'approbation
● Autorisation critique
SAP Access Control

Option Choix
Critères supplémentaires ● Inclure les risques atténués

● Afficher tous les objets
Recommandation
résultats pour télédécharger les données, Version d'impression pour créer un fichier PDF ou Atténuer le risque
pour affecter des contrôles d'atténuation aux objets sélectionnés.
Détails de l'état – L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple,
dans les résultats d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes
9.2.5 Etat Contrôle d'atténuation
Utilisation
Cet état liste tous les contrôles d'atténuation avec des détails de contrôle et des descriptions.
● ID de contrôle d'atténuation
● Description synthétique
● ID d'organisation
Recommandation
SAP Access Control

9.2.6 Etat Violation de risque de profil
Utilisation
Cet état liste toutes les violations de risque pour des profils sélectionnés. Pour exécuter l'état, désignez des
● Système
● Profil
● Risque par processus
Table 31 :
Option Choix
● Détail
Vue ● Technique
● Gestion
● Niveau d'action
● Action critique
● Niveau approbation
SAP Access Control

Option Choix

Recommandation
Détails de l'état – L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple,
dans les résultats d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes
9.2.7 Etat Violation de risque de rôle
Utilisation
Cet état liste toutes les violations de risque pour des rôles sélectionnés. Pour exécuter l'état, désignez des valeurs
pour les critères de filtre suivants :
● Système
● Profil
● Risque par processus
SAP Access Control

Table 32 :
Option Choix
● Détail
Vue ● Technique
● Gestion
● Niveau d'action
● Action critique

Recommandation
Détails de l'état
SAP Access Control

9.2.8 Etat Violation de risque utilisateur
Utilisation
Cet état liste toutes les violations de risque pour les utilisateurs sélectionnés. Pour exécuter l'état, désignez des
● Système
● Utilisateur
● Accéder à l'ID de risque
● Groupe personnalisé
Table 33 :
Option Choix
● Détail
● Synthèse de gestion
● Synthèse exécutive
Vue ● Correction
Remarque
Cette option permet d'affecter un contrôle d'atténua
tion, de supprimer ou de délimiter un rôle directement
à partir de l'état.
● Technique
● Gestion
● Niveau action
● Action critique

SAP Access Control

Recommandation
Détails de l'état
d'état, vous pouvez voir uniquement les données liées à l'Amérique du Nord si ce sont les données pour lesquelles
vous disposez d'une autorisation.
9.3 Etats Demande d'accès
SAP GRC Access Control propose les états de demande d'accès suivants :
● Etat Délégation d'approbateur [page 239]

Cet état permet de rechercher des délégations spécifiques filtrées par Délégué pour ID utilisateur et Délégué à
ID utilisateur parmi d'autres critères.
● Demandes par profils PD/structurels [page 239]
Cet état permet de rechercher des demandes en indiquant les profils PD.
● Etat Demandes par rôles et approbateurs d'affectation de rôles [page 240]
Cet état liste des demandes par rôles et approbateurs de rôle.
● Etat Demandes avec conflits et atténuations [page 241]
Cet état liste les demandes avec conflits atténués et non atténués.
● Niveau de service pour l'état de demandes [page 242]
Cet état liste des demandes par niveau de service.
● Etat Historique de révision SoD [page 243]
Cet état fournit l'historique des actions effectuées sur les tâches de révision SoD y compris réaffirm.
atténuation.
Etat Historique de la révision d'accès utilisateur [page 244]
Cet état fournit les demandes RAU d'historique et l'action effectuée pour ces demandes.
● Etat Statut de la révision utilisateur [page 245]
Cet état liste le statut de demande pour la révision SoD et les demandes de révision d'accès utilisateur.
SAP Access Control

9.3.1 Etat Délégation d'approbateur
Cet état permet de rechercher des délégations configurées.
Pour exécuter l'état, vous pouvez désigner des valeurs pour les critères de filtre suivants :
● Délégué pour ID utilisateur

● Délégué à ID utilisateur
● Date de début
● Date de fin
● Statut
Recommandation
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter pour
télédécharger les données.
9.3.2 Demandes par profils PD/structurels
Utilisation
Cet état permet de rechercher des demandes en indiquant les profils PD.
Pour exécuter l'état, vous pouvez désigner des valeurs pour chacun des critères de filtre suivants :
● Date de création
● Statut
● Système
● Nom du profil PD
● Description
Recommandation
Détails de l'état
SAP Access Control

Remarque
9.3.3 Etat Demandes par rôles et approbateurs d'affectation

de rôles
Utilisation
Cet état liste des demandes par rôles et approbateurs de rôle.
● Nom du rôle
● Statut
● Approbateur
Recommandation
Détails de l'état
SAP Access Control

Remarque
9.3.4 Etat Demandes avec conflits et atténuations
Utilisation
Cet état liste les demandes avec conflits atténués et non atténués.
● Nom de l'état
● Système
● Numéro de demande
● Demandeur
● Statut
● ID de risque
● Approbateur
● Atténuer contrôles
Recommandation
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan.
Vous pouvez sélectionner Exporter pour télédécharger les données.
Détails de l'état
SAP Access Control

Remarque
9.3.5 Niveau de service pour l'état de demandes
Utilisation
Cet état liste des demandes par niveau de service.
● Afficher uniquement les demandes qui dépassent le niveau de service
● Accord sur le niveau de service
● Demandeur
● Statut
● Approbateur
Recommandation
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensemble de
Détails de l'état
SAP Access Control

Remarque
9.3.6 Etat Historique de révision SoD
Utilisation
Cet état fournit l'historique des actions effectuées sur les tâches de révision SoD y compris réaffirm. atténuation.
● Escaladé
● ID utilisateur
● Statut
● ID de risque
● Système
● ID réviseur
● ID coordinateur
● Action
Recommandation
Détails de l'état
SAP Access Control

Remarque
9.3.7 Etat Historique de la révision d'accès utilisateur
Utilisation
Cet état fournit les demandes RAU d'historique et l'action effectuée pour ces demandes.
● Escaladé
● ID utilisateur
● Statut
● Système
● ID réviseur
● ID coordinateur
● ID de job d'arrière-plan
● Action
Recommandation
Détails de l'état
SAP Access Control

Remarque
9.3.8 Etat Statut de la révision utilisateur
Utilisation
Cet état liste le statut de demande pour la révision SoD et l'accès utilisateur.
● Escaladé
● ID utilisateur
● Statut
● ID réviseur
● ID coordinateur
Recommandation
Détails de l'état
SAP Access Control

Remarque
9.4 Etats de gestion de rôle
SAP GRC Access Control propose les états de gestion de rôle suivants :
● Etat Comparer l'action dans le menu et l'autorisation [page 246]

Cet état compare les actions dans le menu de rôle aux autorisations, pour identifier toute divergence.
● Etat Comparaison de rôles utilisateurs [page 247]
Cet état compare des rôles affectés à deux ID utilisateur ou matricules pour des systèmes SAP.
● Etat Lister actions dans les rôles [page 248]
Cet état liste toutes les actions figurant dans certains rôles.
● Etat Relation rôle principal/rôle dérivé [page 249]
Cet état liste la relation entre des rôles maîtres et des rôles dérivés y compris le niveau d'organisation sur
lequel la dérivation est effectuée.
● Etat Historique des modifications PFCG [page 249]
Cet état affiche les documents de modification pour l'administration des rôles pour un système indiqué.
● Etat Rôle à date de génération [page 251]
Cet état liste les rôles par date de génération.
● Etat Relation entre les rôles individuels et composites [page 251]
Cet état liste la relation entre les rôles individuels et les rôles composites
● Etat Relation entre les rôles et les utilisateurs [page 252]
Cet état liste les utilisateurs et les rôles qui leur sont affectés.
● Etat Relation entre rôles avec utilisateur/groupe d'utilisateurs [page 253]
Cet état liste les rôles affectés à des utilisateurs et à des groupes d'utilisateurs.
9.4.1 Etat Comparer l'action dans le menu et l'autorisation
Utilisation
Cet état compare les actions dans le menu de rôle aux autorisations, pour identifier toute divergence.
SAP Access Control

● Type d'application
● Infrastructure
● Nom du rôle
● Type de rôle
Recommandation
Détails de l'état
9.4.2 Etat Comparer les rôles utilisateur
Utilisation
Cet état compare des rôles affectés à deux ID utilisateur ou matricules pour des systèmes SAP.
Pour exécuter l'état, vous devez désigner des valeurs pour chacun des critères de filtre suivants :
● Système
● Type de source de données
● Valeur source
● Type cible
● Valeur cible
Recommandation
SAP Access Control

Détails de l'état
9.4.3 Etat Lister actions dans les rôles
Utilisation
Cet état liste toutes les Actions présentes dans les rôles.
● Infrastructure
● Nom du rôle
● Type de rôle
Recommandation
Détails de l'état
SAP Access Control

9.4.4 Etat Relation rôle de base/rôle dérivé
Utilisation
Cet état liste la relation entre des rôles de base et des rôles dérivés y compris le niveau d'organisation sur lequel la
dérivation est effectuée. L'état est utile lorsque vous vérifiez des rôles dérivés et des rôles de base.
Remarque
L'affichage se base sur l'autorisation Rôle de base et non pas sur l'autorisation Rôle dérivé.
Pour exécuter l'état, désignez des valeurs pour chacun des critères de filtre suivants :
● Système
● Nom du rôle
Recommandation
Détails de l'état
Vous pouvez sélectionner Exporter ensembles de résultats pour télédécharger les données ou Version
d'impression pour créer un fichier PDF.
9.4.5 Etat Historique des modifications PFCG
Utilisation
Cet état affiche les documents de modification pour l'administration des rôles pour un système indiqué.
Pour exécuter l'état, désignez un ou plusieurs systèmes pour lesquels vous disposez d'une autorisation.
SAP Access Control

Remarque
L'état affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage. Si vous ne
disposez d'aucune autorisation pour aucun des systèmes, le bouton de commande Historique des
modifications PFCG est désactivé.
Recommandation
Activités
1. Sélectionnez Afficher historique PFCG pour lancer l'état.

2. Cliquez sur Ouvrir pour lancer SAP GUI.
3. Saisissez le Nom d'utilisateur et le Mot de passe pour le système SAP pertinent.
4. Cliquez sur Connexion pour lancer l'écran d'exécution d'état Historique des modifications PFCG dans le
système Plug-In.
5. Vous pouvez indiquer les paramètres suivants pour exécuter l'état :
○ Nom de rôle
○ Modifié par
○ Date de début/fin
○ Heure de début/fin
○ Numéro de document de modification
6. Vous pouvez choisir parmi les options suivantes pour afficher différents types de documents de modification :
○ Vue d'ensemble
○ Créer/Supprimer rôles
○ Description de rôle
○ Rôles individuels dans rôles composites
○ Transaction dans menu de rôles
○ Autres objets dans menu de rôles
○ Données d'autorisation
○ Niveau organisationnel
○ Profil d'autorisation
○ Attributs
○ MiniApps
○ Page d'accueil de rôle composite
○ Affectation d'utilisateurs
○ Tous les documents de modification (vue technique)
7. Cliquez sur Exécuter pour exécuter l'état.
SAP Access Control

Remarque
Cet état est basé sur les données de systèmes backend. L'autorisation système est le seul paramètre de
sécurité disponible.
9.4.6 Etat Rôle à date de génération
Utilisation
Cet état liste les rôles par date de génération.
● Généré par
● Date de génération
● Système
Recommandation
Détails de l'état
9.4.7 Etat Relation rôle individuel/rôle composite
Utilisation
Cet état liste la relation entre des rôles individuels et des rôles composites.
SAP Access Control

Remarque
L'affichage se base sur l'autorisation Rôle composite et non pas sur l'autorisation Rôle individuel.
● Système
● Nom du rôle
Recommandation
Détails de l'état
9.4.8 Etat Relation utilisateur/rôle
Utilisation
Cet état liste les utilisateurs et les rôles qui leur sont affectés.
● Système
● Inclure rôles expirés
● Nom de profil
● Nom du rôle
Recommandation
SAP Access Control

9.4.9 Etat Relation entre rôles avec utilisateur/groupe

d'utilisateurs
Cet état liste les rôles affectés à des utilisateurs et à des groupes d'utilisateurs.
● Système
● Type d'utilisateur
Recommandation
Remarque
Cet état est basé sur les données de systèmes backend. L'autorisation système est le seul paramètre de
sécurité disponible.
9.5 Etats de sécurité
SAP GRC Access Control propose les états de sécurité suivants :
● Utilisation de l'action par utilisateur, rôle et profil [page 254]

Cet état liste les actions par utilisateur, rôle et profil.
● Etat Nombre d'autorisations pour utilisateurs [page 255]
Cet état compte les autorisations utilisateur et met en surbrillance celles qui sont en dehors des limites de
système.
● Etat Nombre d'autorisations dans rôles [page 255]
Cet état liste le nombre d'autorisations pour les rôles par nom de rôle.
SAP Access Control

● Etat Lister rôles expirés et en cours d'expiration pour les utilisateurs [page 256]
Cet état liste les rôles qui ont expiré ou sont sur le point d'expirer en fonction des dates indiquées.
9.5.1 Utilisation de l'action par utilisateur, rôle et profil
Utilisation
Cet état liste les actions par utilisateur, rôle et profil.
● Système
● Date d'utilisation de l'action
● Action
● Description d'action
● Etat par (utilisateur, rôle ou profil)
● ID utilisateur
● Affiche uniquement les actions non utilisées
● Type d'état (actions définies dans Risques ou Tout)
● Accéder à la description d'ID de risque
Recommandation
Détails de l'état
SAP Access Control

9.5.2 Etat Nombre d'autorisations pour utilisateurs
Utilisation
Cet état compte les autorisations utilisateur et met en surbrillance celles se trouvant en dehors des limites du
système.
● Système
● Utilisateur
Recommandation
Détails de l'état
9.5.3 Etat Nombre d'autorisations dans rôles
Utilisation
Cet état indique le nombre d'autorisations pour les rôles par nom de rôle.
● Système
● Nom du rôle
● Type de rôle
SAP Access Control

Recommandation
Détails de l'état
9.5.4 Etat Lister rôles expirés et en cours d'expirat. pr

utilisateurs
Cet état liste les rôles qui ont expiré ou sont sur le point d'expirer en fonction des dates indiquées.
● Système
● ID utilisateur
● Fin de validité
● Rôles expirés
Recommandation
Vous pouvez sélectionner Exporter ensemble de résultats pour télédécharger les données ou Version d'impression
pour créer un fichier PDF.
SAP Access Control

9.6 Etats Audit
SAP GRC Access Control propose les états d'audit suivants :
● Etat Journal des modifications [page 257]

Cet état donne des informations de modification sur les objets de contrôle d'accès, par exemple, Rôle, Risque
et Profil. Les informations comprennent l'auteur de la modification de l'objet, l'horodatage, les nouvelles et les
anciennes valeurs, le nom et le type d'entité, les attributs et le type de modification.
● Etat Appels d'action intégrés dans programmes de systèmes SAP [page 258]
Cet état identifie des appels de transaction intégrés dans des programmes personnalisés.
● Etat Lister actions dans les rôles mais non dans les règles [page 259]
Cet état liste toutes les actions présentes dans les rôles mais qui ne font pas partie de la bibliothèque de la
règle.
● Etat Lister approbations dans les rôles mais non dans les règles [page 260]
Cet état liste toutes les approbations présentes dans les rôles mais qui ne font pas partie de la bibliothèque de
la règle.
9.6.1 Etat Journal des modifications
Utilisation
Cet état donne des informations de modification sur les objets de contrôle d'accès, par exemple, Rôle, Risque et
Profil. Les informations comprennent l'auteur de la modification de l'objet, l'horodatage, les nouvelles et les
anciennes valeurs, le nom et le type d'entité, les attributs et le type de modification.
● Modifié le
● Profil critique
● Rôle critique
● Détenteur
● Contrôleur
● Rôle Firefighter
● Détenteur Firefighter
● Code de motif
● Firefighter
● Fonction
● Règle d'organisation
● Risque
● Rôle
● Règle supplémentaire
● ID utilisateur
Cliquez sur Rechercher pour exécuter l'état en avant-plan. Cliquez sur Réinitialiser pour réinitailiser la zone de
valeur de recherche.
SAP Access Control

Vous pouvez sélectionner Exporter pour télédécharger les données ou Version d'impression pour créer un fichier
PDF.
Remarque
Pour sauvegarder les résultats de votre recherche pour une récupération de données ultérieure, saisissez un
nom à côté de Sauvegarder recherche sous puis cliquez sur Sauvegarder Utilisez le bouton de commande
Charger pour récupérer la recherche sauvegardée puis sur le bouton de commande Supprimer pour supprimer
la recherche sauvegardée.
Attention
Cet état prend uniquement en charge la sécurité au niveau de l'état. En d'autres termes, si vous êtes autorisé à
afficher cet état, vous pouvez afficher toutes les zones possibles sans restriction.
9.6.2 Etat Appels d'action intégrés dans programmes de

systèmes SAP
Utilisation
Cet état identifie des appels de transaction intégrés dans des programmes personnalisés.
Pour exécuter l'état, désignez des valeurs pour chacun des critères de filtre suivants :
● Action
● Système
● Programme
Recommandation
Détails de l'état
Détails de l'état
SAP Access Control

9.6.3 Etat Lister actions dans les rôles mais pas dans les
règles
Utilisation
Cet état liste toutes les actions présentes dans les rôles mais qui ne font pas partie de la bibliothèque des règles.
● Système
● Profil
● Rôle
Recommandation
Vous pouvez sélectionner Exporter ensembles de résultats pour télédécharger l'ensemble de données dans son
l'intégralité, Exporter pour télédécharger les résultats à l'écran ou Version d'impression pour créer un fichier PDF.
Vous pouvez également marquer des éléments individuels comme ayant été analysés.
Détails de l'état
SAP Access Control

9.6.4 Etat Lister approbations dans les rôles mais pas dans les
règles
Utilisation
Cet état liste toutes les approbations présentes dans les rôles mais qui ne font pas partie de la bibliothèque des
règles.
● Système
● Profil
● Rôle
Recommandation
Vous pouvez sélectionner Exporter ensembles de résultats pour télédécharger l'ensemble de données dans son
l'intégralité, Exporter pour télédécharger les résultats à l'écran ou Version d'impression pour créer un fichier PDF.
Vous pouvez également marquer des éléments individuels comme ayant été analysés.
Détails de l'état
9.7 Etats Gestion des accès d'urgence
SAP GRC Access Control propose les états suivants pour la gestion des accès d'urgence :
● Etat Journal consolidé [page 261] - Cet état saisit les données du connecteur de système sélectionné pour
Firefighters. L'état donne des informations en fonction des journaux suivants, à partir des systèmes distants :
Journal de transaction, Journal de modification, Journal système, Journal d'audit de sécurité, Journal de
commande de SE. C'est l'état le plus communément utilisé. Vous pouvez configurer votre système pour
recevoir cet état par e-mail ou par workflow.
SAP Access Control

Vous devez être autorisé à afficher les états suivants par un administrateur. Si, en consultant l'état Journal
consolidé, vous devez effectuer des investigations supplémentaires, accédez à ces états :
● Etat Accès d'urgence non valide [page 263] - Cet état permet d'indiquer les types d'utilisateur pour l'accès
d'urgence, expirés, supprimés ou bloqués, par exemple, les ID Firefighter, les contrôleurs ou les détenteurs.
● Etat Synthèse journal Firefighter [page 262] - Cet état saisit des données altérables du connecteur de
système sélectionné pour des ID Firefighter.
● Etat de code de motif et d'activité [page 264] – Cet état affiche des données du connecteur système
sélectionné pour chaque ID Firefighter. L'état liste le motif et l'activité pour chaque événement de connexion.
● Etat de journal de transaction et détails de session [page 266] - Cet état saisit des données altérables du
connecteur de système sélectionné pour des ID Firefighter et des Firefighters. Il affiche le nombre et le type
de transactions auxquels chaque ID Firefighter a accédé et chaque Firefighter.
● Etat de conflit SoD pour ID Firefighter [page 265] - Cet état fournit l'historique d'actions effectuées sur des
tâches de révision de SoD y compris l'affirmation de l’atténuation.
9.7.1 Etat de journal consolidé
Utilisation
Cet état capture des données à partir du connecteur système sélectionné pour des ID Firefighter. L'état donne
des informations en fonction des journaux suivants, à partir des systèmes distants :
Table 34 :
Journal Description
Journal de transaction Capture les exécutions de transaction à partir de la transac

tion STAD.
Journal des modifications des objets du document Capture le journal des modifications des objets du document
de modification à partir des tables CDPOS et CDHDR.
Journal des modifications des données de table Capture les journaux des modifications lorsque des modifica
tions de table sont exécutées à l'aide des transactions SE16/
SE16N/SE17/SM30/SM31 et ainsi de suite.
Journal système Capture des informations de débogage et de remplacement

à partir de la transaction SM21.
Journal d'audit de sécurité Capture le journal d'audit de sécurité à partir de la transac

tion SM20.
Journal de commandes SE Capture les modifications apportées aux commandes SE à

partir de la transaction SM49.
● Nom de l'état
● Système
SAP Access Control

● Firefighter
● Détenteur
● Rôle Firefighter
● Transaction
● Date
Recommandation
PDF.
Détails de l'état
L'application affiche les objets que vous êtes autorisé à afficher. Par exemple, si vous êtes autorisé à afficher
uniquement les données d'Amérique du Nord, seules les données liées à l'Amérique du Nord s'afficheront dans
l'état.
9.7.2 Etat de synthèse journal Firefighter
Utilisation
Cet état capture des données à partir du connecteur système sélectionné pour des ID Firefighter.
● Système
● Firefighter
● Détenteur
● ID Firefighter
● Date
● Taille de l'ensemble de résultats
SAP Access Control

Recommandation
PDF.
Détails de l'état
9.7.3 Etat d'accès d'urgence non valide
Utilisation
Cet état permet d'indiquer les types d'utilisateurs (ID Firefighter, contrôleurs ou détenteurs) expirés, supprimés
ou bloqués.
● Système
● Firefighter
● Détenteur
● ID Firefighter
● Contrôleur
Recommandation
télédécharger les données ou Version d'impression pour créer un fichier PDF.
SAP Access Control

9.7.4 Etat de code de motif et d'activité
Utilisation
Cet état affiche des données du connecteur système sélectionné pour chaque ID Firefighter. L'état liste le motif et
l'activité pour chaque événement de connexion.
● Système
● Firefighter
● Détenteur
● ID Firefighter
● Date
Recommandation
télédécharger les données ou Version d'impression pour créer un fichier PDF.
SAP Access Control

9.7.5 Etat de conflit SoD pour IDs Firefighter
Utilisation
Cet état fournit l'historique des actions effectuées sur les tâches de révision SoD y compris réaffirm. atténuation.
● Système
● ID Firefighter
● Détenteur
● Firefighter
● Action
Options de l'état – Les options suivantes sont disponibles pour cet état :
● Format
○ Synthèse
○ Détail
○ Aperçu de gestion
○ Aperçu exécutif
○ Vue technique/de gestion
● Type d'analyse de risque d'accès
○ Niveau action/approbation
○ Action/Approbation critique
○ Rôle/Profil critique
● Critères supplémentaires
○ Afficher tous les objets
○ Transactions exécutées uniquement
Recommandation
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensemble de
SAP Access Control

9.7.6 Etat de journal de transaction et détails de session
Utilisation
Cet état capture des données de transaction à partir du connecteur système sélectionné pour des ID Firefighter et
des Firefighters. Il affiche le nombre et le type de transactions auxquels chaque ID Firefighter a accédé pour
chaque Firefighter.
● Système
● Firefighter
● ID Firefighter
● Transaction
● Code de motif
● Date
Recommandation
PDF.
Détails de l'état
Etats et analyses [page 29]
9.8 Etat Journal de Risk Terminator
Cet état fournit des informations sur les modifications de rôle directement mises à jour dans des systèmes
backend.
SAP Access Control

● Système
● Rôle/Utilisateur
● Généré par
● Date de génération
● Heure de génération
● Motif
Recommandation
PDF.
SAP Access Control

Clauses de non-responsabilité importantes et
informations juridiques
Exemples de code source

Le code et les lignes ou chaînes de code ("Code") inclus dans la présente documentation ne sont que des exemples et ne doivent en aucun cas être utilisés dans un
environnement productif. Le Code est utilisé uniquement pour mieux expliquer et visualiser les règles de syntaxe de certains codages. SAP ne sera pas tenu responsable
des erreurs ou dommages causés par l'utilisation de ce Code, sauf si de tels dommages étaient causés par SAP intentionnellement ou par négligence grave.
Accessibilité
Les informations contenues dans la documentation SAP représentent la vision actuelle de SAP concernant les critères d'accessibilité, à la date de publication de ladite
documentation, et ne peuvent en aucun cas être considérées comme juridiquement contraignantes pour garantir l'accessibilité aux produits logiciels. SAP décline toute
responsabilité pour le présent document. Cette clause de non-responsabilité ne s'applique toutefois pas à des cas de faute intentionnelle ou lourde de la part de SAP. En
outre, ce document n'entraîne pas des obligations contractuelles directes ou indirectes pour SAP.
Langage non discriminatoire

Dans la mesure du possible, la documentation SAP est non discriminatoire au titre du genre féminin ou masculin. Selon le contexte, le texte s'adresse au lecteur en utilisant
le pronom "vous" ou un substantif neutre (tel que "commercial" ou "jour ouvrable"). Lorsque le texte se réfère à des hommes et des femmes, que la troisième personne du
singulier ne peut pas être évitée ou qu'un substantif neutre n'existe pas, SAP se réserve le droit d'utiliser la forme masculine du nom ou du pronom. Ceci permet d'assurer
la bonne compréhension de la documentation.
Hyperliens Internet
La documentation SAP peut contenir des hyperliens vers Internet. Lesdits hyperliens sont utilisés pour indiquer où trouver l'information. SAP ne garantit pas la
disponibilité et l'exactitude des informations ou leur capacité à répondre à un but précis. SAP ne saurait être tenu responsable des dommages causés par l'utilisation
desdites informations sauf si de tels dommages étaient causés par une négligence grave ou une faute intentionnelle de SAP. Tous les liens sont catégorisés pour
transparence (voir : http://help.sap.com/disclaimer).
SAP Access Control

268 PUBLIC Clauses de non-responsabilité importantes et informations juridiques
SAP Access Control
Clauses de non-responsabilité importantes et informations juridiques PUBLIC 269
go.sap.com/registration/
contact.html
© 2017 SAP SE ou société affiliée SAP. Tous droits réservés.

Toute reproduction ou communication de la présente publication,
même partielle, par quelque procédé et à quelque fin que ce soit, est
interdite sans l'autorisation expresse et préalable de SAP SE ou
d'une société affiliée SAP. Les informations du présent document
sont susceptibles d’être modifiées sans préavis.
Certains logiciels commercialisés par SAP SE et ses distributeurs
contiennent des composants logiciels qui sont la propriété
d'éditeurs tiers. Les spécifications des produits peuvent varier d’un
pays à l’autre.
Les informations du présent document sont fournies par SAP SE ou
par une société affiliée SAP uniquement à titre informatif, sans
engagement ni garantie d'aucune sorte. SAP SE ou ses sociétés
affiliées ne pourront en aucun cas être tenues responsables des
erreurs ou omissions relatives à ces informations. Les seules
garanties fournies pour les produits et les services de SAP SE ou
d'une société affiliée SAP sont celles énoncées expressément à titre
de garantie accompagnant, le cas échéant, lesdits produits et
services. Aucune des informations contenues dans le présent
document ne saurait constituer une garantie supplémentaire.
SAP et tous les autres produits et services SAP mentionnés dans ce
document, ainsi que leurs logos respectifs, sont des marques
commerciales ou des marques déposées de SAP SE (ou d'une
société affiliée SAP) en Allemagne ainsi que dans d'autres pays.
Tous les autres noms de produit et service mentionnés sont des
marques commerciales de leurs sociétés respectives.
Veuillez consulter http://www.sap.com/corporate-en/legal/
copyright/index.epx pour plus d'informations sur les marques
déposées.

SAP Access Control

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

SAP Access Control

Transféré par

Droits d'auteur :

Formats disponibles

Guide d'administration PUBLIC