Académique Documents
Professionnel Documents
Culture Documents
2017-07-20
3 Sujets inter-composantes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3.1 Profils et connexions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Connexion utilisateur final. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Connexion d'administrateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Gestion de votre profil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3.2 Intégration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Intégration de données communes (modèle de données). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Intégration à SAP GRC Process Control et Risk Management. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.3 Zones personnalisées. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
3.4 Navigation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
Poste de travail Ma page d'accueil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Poste de travail Configuration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Poste de travail Gestion des accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Etats et analyses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
3.5 Privilèges spéciaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.6 Jobs d'arrière-plan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32
Ordonnanceur de jobs d'arrière-plan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Ordonnancement de jobs d'arrière-plan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Information produit
Table 1 :
Version 10.1
Utilisation
SAP Access Control est une application de progiciel de gestion intégré qui permet aux organisations de contrôler
l'accès et d'empêcher la fraude à travers l'entreprise, tout en réduisant le temps et le coût de conformité.
SAP GRC Access Control est une application de progiciel de gestion intégré qui permet à des organisations de
gérer leurs directives de gouvernance d'accès et d'effectuer un suivi en matière de conformité.
SAP GRC Access Control est un add-on SAP NetWeaver et fonctionne avec des applications SAP et des
applications non SAP, comme SAP Finance, SAP Administration des ventes, Oracle et JDE.
L'application fournit un logiciel intégré pour des fonctions d'autorisation d'application de gestion des données, par
exemple :
Demandes d'accès (ARQ) - Vous pouvez implémenter les directives de votre société pour créer et gérer les
demandes d'accès dans ARQ. Les utilisateurs peuvent créer des demandes d'accès à des systèmes et à des
applications. Les approbateurs peuvent réviser les demandes, effectuez des analyses pour l'accès utilisateur et
les risques de séparation des tâches puis approuver, refuser ou modifier les demandes.
Analyse de risque d'accès (ARA) - Vous pouvez implémenter les directives de votre société pour la SoD et le
risque d'accès utilisateur dans ARA. Les analystes de sécurité et les responsables de processus de gestion
exécutent des états pour déterminer si des violations de SoD ou directives d'accès utilisateur sont survenues. Ils
peuvent identifier la cause profonde des violations et corriger les risques.
Les personnes responsables de la conformité peuvent utiliser cette fonction pour effectuer un suivi des
conformités aux directives de société.
Gestion des rôles utilisateur (BRM) - Dans une infrastructure SAP, les autorisations d'utilisateur pour les
applications sont gérées via l'utilisation de rôles. Les concepteurs de rôle, les propriétaires du rôle et les analystes
de sécurités peuvent utiliser la gestion des rôles utilisateur pour gérer des rôles et les analyser pour des violations
de directives de société.
Gestion des accès d'urgence (GAU) - Vous pouvez implémenter les directives de votre société pour gérer l'accès
d'urgence dans la GAU. Les utilisateurs peuvent créer des demandes de Self-Service pour l'accès d'urgence à des
systèmes et des applications. Les responsables de processus de gestion peuvent réviser les demandes d'accès
d'urgence et accorder des accès. Les personnes responsables de la conformité peuvent effectuer des audits
périodiques d'utilisation et de journaux pour surveiller la conformité aux directives de société.
Révisions périodiques d'accès utilisateur et séparation des tâches - Vous pouvez utiliser l'application pour
exécuter les directives de votre société sur des révisions périodiques en matière de conformité. Les responsables
de la sécurité et des processus de gestion identifient les directives qui nécessitent des révisions périodiques et
définissent des processus de révision. Les réviseurs effectuent les révisions puis les responsables de la sécurité et
des processus de gestion déterminent si les mesures de correction sont requises.
SAP GRC Access Control couvre plusieurs fonctions d'autorisation différentes comme les Demandes d'accès
(ARQ), l'Analyse de risque d'accès (analyse de risque d'accès), la Gestion des rôles utilisateur (Gestion des rôles
utilisateur), la Gestion des accès d'urgence (GAU), les Révisions périodiques de l'accès utilisateur et la séparation
des tâches. Cette section de l'aide à l'application inclut les sujets qui s'appliquent à plusieurs domaines
notamment les suivants :
Utilisation
Les sujets de cette section abordent la gestion des connexions de l’utilisateur final et de l'administrateur ainsi que
la gestion de votre profil utilisateur.
Informations complémentaires
Utilisation
Vous pouvez utiliser l'écran Connexion utilisateur final pour exécuter des tâches d'attribution de privilèges d'accès
externes au rôle d'administrateur comme la création de demandes d'accès, la gestion de votre mot de passe et
ainsi de suite.
Remarque
Vous n'avez pas besoin d'un compte d'utilisateur dans le système SAP Access Control pour utiliser la
connexion d'utilisateur final.
Conditions requises
Vous avez activé la connexion d'utilisateur final dans l'activité IMG Activer la connexion de l'utilisateur final, sous
Governance, Risk, and Compliance SAP GRC Access Control Attribution de privilèges d'accès utilisateur .
Informations complémentaires
Utilisation
L'application vous autorise à activer et à désactiver les caractéristiques de connexion d'utilisateur final suivantes :
Procédure
Pour activer et désactiver la connexion d'utilisateur final et définir les liens affichés à l'écran Connexion
utilisateur final :
Informations complémentaires
Utilisation
Vous utilisez la connexion d'administrateur pour exécuter des tâches d'administrateur comme la gestion de
demandes d'accès, la gestion de risques d'accès, la gestion de rôles et l'exécution de tâches Firefighter et d'accès
d'urgence.
Informations complémentaires
Contexte
Remarque
Sur cet écran, les informations sont en lecture seule. Ces informations sont gérées dans le système source
de données utilisateur.
Procédure
Remarque
Si vous utilisez la Connexion utilisateur final, sur l'écran Page d'accueil de l'utilisateur final, sélectionnez
l'alias Mon profil.
2. Pour filtrer la liste selon le statut, sélectionnez la liste déroulante Statut puis sélectionnez le statut pertinent.
3. Pour créer ou modifier la demande d'accès pour une affectation existante, dans la colonne Sélectionner,
sélectionnez la case à cocher pour les postes pertinents puis sélectionnez Demande d'accès.
Pour créer une demande d'accès pour une nouvelle affectation ou une qui ne figure pas sur votre liste,
sélectionnez Demande d'accès sans sélectionner de poste.
Utilisation
Les processus et interfaces utilisateur des produits suivants sont liés car ils ont des fonctionnalités
interconnectées :
Vous pouvez accéder aux fonctionnalités et à la documentation de ces produits après autorisation et en installant
les produits pertinents.
● SAP Access Control 10.1 June 2013 SAP NetWeaver 7.40 Support Package 02
● SAP Process Control10.1, June 2013 SAP NetWeaver 7.40 Support Package 02
● SAP Risk Management10.1, June 2013 SAP NetWeaver 7.40 Support Package 02
Informations complémentaires
Utilisation
SAP Access Control, SAP Process Control et SAP Risk Management peuvent partager les données suivantes :
● Les organisations peuvent être communes (facultatif) à SAP Access Control, SAP Process Control et SAP
Risk Management. Certaines données d'organisation peuvent être communes et d'autres peuvent être
spécifiques à une application unique. L'accès à ces données est contrôlé par les autorisations de l'utilisateur.
● Les contrôles peuvent être communs à SAP Access Control et SAP Process Control. Certaines informations
sont spécifiques aux applications pour les applications SAP Access Control et SAP Process Control. L'accès à
ces données est contrôlé par les autorisations de l'utilisateur.
● Vous pouvez configurer les propriétés d'IU des attributs (zones) pour qu'elles soient spécifiques aux
applications.
Guide de sécurité pour SAP Access Control 10.1, Process Control 10.1 et Risk Management 10.1 sur http://
help.sap.com/grc-ac
Utilisation
Les applications SAP Access Control, SAP Process Control et SAP Risk Management partagent des
fonctionnalités et des domaines de menu liés aux .
Conditions requises
● Vous avez configuré l'application GRC par le biais des activités IMG accessibles via la transaction SPRO.
● Vous avez lancé l'application GRC.
Fonctionnalités
SAP Access Control et SAP Process Control ont un point d'intégration permettant d'initialiser l'analyse des
risques SAP Access Control depuis SAP Process Control.
Utilisation
Les zones personnalisées sont toutes les zones que vous avez choisi d'ajouter à l'application. Elles sont aussi
appelées zones définies par l'utilisateur. SAP livre un ensemble de zones standard avec l'application. Votre
société peut avoir besoin des zones qui ne font pas partie de l'ensemble livré.
Vous pouvez gérer vos zones définies par l'utilisateur dans l'activité de Customizing Zones définies par
l'utilisateur, sous Governance, Risk and Compliance Options générales .
L'application présente le fonctionnalités suivantes afin de gérer les zones définies par l'utilisateur :
3.4 Navigation
Les caractéristiques principales de l'application sont regroupées dans des postes de travail. Les postes de travail
apparaissent au début des écrans principaux. Ils sont organisés de façon à fournir un accès facile aux activités
d'application et comportent des groupes de menu et des liens vers des activités supplémentaires.
● Ma page d'accueil
● Configuration
● Gestion des accès
● Etats et analyses
Remarque
● SAP GRC Access Control est mis à disposition à la fois comme application autonome et comme partie
intégrée de la solution SAP Governance, Risk and Compliance. Les postes de travail pour l'application
autonome SAP GRC Access Control diffèrent des postes de travail pour la solution SAP Governance, Risk
and Compliance (GRC). La façon dont les écrans sont organisés constitue la seule différence ; les fonctions
dans l'application sont identiques.
● L'application fournit un ensemble de postes de travail standard. Cependant votre administrateur système
peut les personnaliser selon les structures internes de votre organisation. Selon le produit ou les produits
pour lesquels vous disposez d'une licence, les différentes zones des solutions sont affichées (SAP GRC
Access Control, SAP GRC Process Control et SAP GRC Risk Management).
Utilisation
Le poste de travail Ma page d'accueil est un emplacement central où vous pouvez afficher et agir sur vos tâches
affectées et les objets accessibles.
● Corbeille de travail
Ici, vous pouvez afficher toutes les tâches de workflow GRC qui vous sont affectées.
● Ma délégation
Ici, vous pouvez déléguer l'approbation temporaire de vos tâches de workflow à une autre personne.
● Aide à l'application
Ici, vous pouvez accéder à l'aide à l'application pour les applications GRC.
● Mon profil
Ici, vous pouvez créer et effectuer un suivi de vos demandes d'accès, afficher vos affectations d'accès et
gérer vos options de sécurité.
Remarque
Le poste de travail Ma page d'accueil est commun aux produits Access Control, Process Control et Risk
Management dans l'application GRC 10.0. Les groupes de menus et les alias disponibles sur l'écran sont
déterminés par les applications pour lesquelles vous détenez une licence. Le contenu dans cette rubrique
couvre les fonctions spécifiques à SAP GRC Access Control. Si vous détenez une licence pour des produits
supplémentaires, tels que SAP GRC Process Control ou Risk Management, consultez les rubriques pertinentes
ci-dessous pour les fonctions spécifiques aux applications.
Informations complémentaires
Utilisation
La Corbeille de travail affiche les tâches que vous devez traiter à l'aide d'applications GRC.
Activités
Pour traiter une tâche, sélectionnez un hyperlien dans la table. La fenêtre de workflow correspondante apparaît.
Traitez la tâche selon les besoins.
Pour modifier les colonnes affichées, sélectionnez Options, gérez les colonnes selon les besoins et sauvegardez la
vue.
Utilisation
Vous utilisez la corbeille de travail simplifiée pour afficher les demandes d'accès nécessitant une approbation.
Remarque
Vous pouvez également utiliser la corbeille de travail classique pour traiter des demandes d'accès. Pour de plus
amples informations, reportez-vous à Corbeille de travail [page 17].
Procédure
1. A l'aide de la barre de curseur de réglage ou des boîtes d'entrée de date, sélectionnez une date spécifique ou
une plage de dates pour les demandes que vous voulez traiter.
2. Vous pouvez également sélectionner une catégorie comme Nouveau compte d'utilisateur pour limiter votre
recherche.
3. Sélectionnez un nombre de résultats à afficher par page (facultatif).
4. Sélectionnez un critère de tri comme Numéro de demande ou Demandé par (facultatif).
Le système récupère toutes les demandes qui correspondent à vos critères.
5. Cliquez sur un numéro de demande pour effectuer une analyse descendante des détails. Vous pouvez cliquer
sur l'icône d'indicateur pour marquer une demande pour traitement ultérieur (facultatif).
Remarque
Votre administrateur système doit configurer votre système pour vous permettre d'utiliser les processus
simplifiés de demande d'accès. Pour en savoir plus, consultez le Guide d'installation pour SAP Access Control
10.1, SAP Process Control 10.1 et SAP Risk Management 10.1 à l'adresse http://service.sap.com/instguides .
Utilisation
Sur l'écran Délégation de l'approbateur, vous pouvez affecter votre tâche d'approbation d'une demande à un autre
utilisateur.
1. Sur le poste de travail Ma page d'accueil, sous le groupe de menu Ma délégation, sélectionnez Délégation de
l'approbateur.
L'écran Délégation de l'approbateur s'affiche.
2. Sélectionnez Déléguer pour sélectionner un utilisateur.
L'écran Détails de l'approbateur délégué apparaît.
3. Dans les zones pertinentes, sélectionnez l'ID pour l'approbateur, la période de validité et le statut de
l'approbateur.
4. Sélectionnez Sauvegarder.
Pour plus d'informations sur la capacité d'un administrateur de réaffecter des tâches d'approbation à un autre
utilisateur, voir .
Utilisation
Vous pouvez utiliser Mon profil pour créer et suivre vos demandes d'accès, afficher vos affectations d'accès et
gérer vos options de sécurité.
Activités
Contexte
Remarque
Sur cet écran, les informations sont en lecture seule. Ces informations sont gérées dans le système source
de données utilisateur.
Procédure
Remarque
Si vous utilisez la Connexion utilisateur final, sur l'écran Page d'accueil de l'utilisateur final, sélectionnez
l'alias Mon profil.
2. Pour filtrer la liste selon le statut, sélectionnez la liste déroulante Statut puis sélectionnez le statut pertinent.
3. Pour créer ou modifier la demande d'accès pour une affectation existante, dans la colonne Sélectionner,
sélectionnez la case à cocher pour les postes pertinents puis sélectionnez Demande d'accès.
Pour créer une demande d'accès pour une nouvelle affectation ou une qui ne figure pas sur votre liste,
sélectionnez Demande d'accès sans sélectionner de poste.
Contexte
Vous pouvez utiliser l'alias Statut de la demande pour afficher le statut pour des demandes d'accès que vous avez
créées. Les demandes peuvent être pour vous ou pour une autre personne.
1. Depuis l'écran Ma page d'accueil, sous le groupe de menu Mon profil, sélectionnez Statut de la demande.
Remarque
Vous pouvez aussi accéder à cette fonction comme suit : Du poste de travail Gestion des accès, sous le
groupe de menu Demande d'accès, sélectionnez Statut de demande.
L'écran Statut d'instance MSMP apparaît et affiche les informations sur la demande, comme Créé par, Date de
création, Statut chemin d'accès, Approbateurs chemin d'accès sélectionné et Journal d'audit.
Remarque
L'information sur cet écran est en lecture seule et ne peut pas être modifiée.
4. Pour ouvrir une demande d'accès, sélectionnez la demande et ouvrez-la. Selon le statut de la demande, vous
pouvez traiter la demande. Par exemple, vous avez une demande pour Créer une affectation d'atténuation.
Vous pouvez créer un contrôle pour cette demande. Toutefois si la demande est en attente, alors les boutons
sont désactivés.
5. Pour afficher des journaux, sélectionnez la demande puis Aff. journaux attrib. privilèges accès.
Prérequis
● L'administrateur a géré l'option de self-service pour mot de passe dans l'activité IMG Gérer Self-Service pour
mot de passe,sous Governance, Risk, and Compliance SAP GRC Access Control Attribution de privilèges
d'accès utilisateur .
● Vous avez enregistré vos questions de sécurité. Pour plus d'informations, voir .
Contexte
Sur l'écran Réinitialiser mot de passe, vous pouvez gérer vos mots de passe d'utilisateur pour des systèmes
spécifiques.
1. Depuis l'écran Ma page d'accueil, sélectionnez l'alias Réinitialiser mot de passe pour ouvrir l'écran Réinitialiser
mot de passe.
Remarque
Si vous utilisez la Connexion d'utilisateur final, sur l'écran Page d'ouverture de l'utilisateur final,
sélectionnez l'alias Self-service pour mot de passe.
Remarque
L'administrateur peut exiger que l'utilisateur réponde à un nombre minimum de questions. Par exemple,
demandez que l'utilisateur réponde à un minimum de trois questions de sécurité pour permettre une
réinitialisation des mots de passe. Pour plus d'informations, voir l'activité IMG Gérer Self-Service pour mot
de passe, sous Governance, Risk, and Compliance SAP GRC Access Control Attribution de privilèges
d'accès utilisateur .
3. Sélectionnez Ajouter pour sélectionner les systèmes pour lesquels vous voulez modifier votre mot de passe
d'utilisateur.
L'écran affiche tous les systèmes pour lesquels vous avez un compte d'utilisateur valide. Sélectionnez les
systèmes pertinents, puis OK.
4. Sélectionnez Soumettre puis fermez l'écran.
L'application vous envoie le lien pour un nouveau mot de passe temporaire dans un e-mail. L'application
fournit un lien distinct pour chaque système. Vous pouvez utiliser le mot de passe temporaire pour vous
connecter au système et modifier le mot de passe.
Remarque
A des fins de sécurité, le lien pour le mot de passe temporaire ne peut être utilisé qu'une fois. Vous pouvez
indiquer la période (en secondes) pendant laquelle le mot de passe est visible. Vous gérez l'option dans
l'activité IMG Gérer options d'attribution de privilèges d'accès, sous Governance, Risk, and Compliance
SAP GRC Access Control Attribution de privilèges d'accès utilisateur .
Contexte
Sur l'écran Modification de nom, vous pouvez modifier votre nom d'utilisateur pour des systèmes spécifiques.
Remarque
Si vous utilisez la Connexion utilisateur final, sélectionnez l'alias Modification de nom sur l'écran Page
d'ouverture de l'utilisateur final.
Prérequis
L'administrateur a géré l'option de self-service pour mot de passe dans l'activité IMG Gérer Self-Service pour mot
de passe, sous Governance, Risk, and Compliance SAP GRC Access Control Attribution de privilèges d'accès
utilisateur .
Contexte
A l'écran Questions de sécurité, vous pouvez gérer les questions de sécurité utilisées pour confirmer votre identité
lors d'une réinitialisation de vos mots de passe d'utilisateur.
Procédure
1. Depuis l'écran Ma page d'accueil, sélectionnez l'alias Enregistrer questions de sécurité pour ouvrir l'écran
Questions de sécurité.
Remarque
Si vous utilisez la connexion d'utilisateur final, sur l'écran Page d'accueil de l'utilisateur final, sélectionnez
l'alias Enregistrer les questions du Self-service.
Utilisation
Sur l'écran Demande d'accès, vous pouvez créer des demandes d'accès pour vous-même, pour un autre
utilisateur ou pour des utilisateurs multiples.
Conditions requises
L'administrateur a terminé les activités pour l'activité IMG Gérer options d'attribution de privilèges d'accès,
sous Governance, Risk, and Compliance SAP GRC Access Control Attribution de privilèges d'accès
utilisateur .
Procédure
1. Du poste de travail Gestion des accès, sous le groupe de menu Demande d'accès, sélectionnez Création de
demande d'accès.
Remarque
○ Si vous utilisez la connexion d'utilisateur final, sur l'écran Page d'accueil d'utilisateur final, sélectionnez
Demande d'accès.
Table 2 :
Zone Description
Vous pouvez gérer la liste de types des priorités disponibles dans l'activité
d'accès utilisateur .
3. Dans la page à onglet Accès utilisateur, choisissez parmi les options suivantes pour sélectionner les rôles
auxquels vous voulez être affectés et les systèmes pour lesquels vous demandez un accès :
○ Sélectionnez Ajouter et sélectionnez les éléments suivants :
○ Rôle
○ Cliquez sur Ajouter puis cliquez sur Rôle pour rechercher les rôles que vous souhaitez. Une fois
que le système présente les résultats de votre recherche, vous pouvez cliquer sur un nom de rôle
Remarque
Pour Recherche de rôle, l'application vous permet (autorisation d'administrateur requise) de
configurer les zones de critères de recherche. Vous pouvez ajouter des zones personnalisées et
configurer leurs attributs. Par exemple, vous pouvez définir les valeurs par défaut et définir si la
zone est obligatoire. Vous pouvez configurer les zones dans le Customizing pour Gérer zones
personnalisées pour personnalisation de recherche de rôle sous Governance, Risk, and
Compliance SAP GRC Access Control Attribution des privilèges .
○ Système
○ ID Firefighter
○ Rôle Firefighter
Remarque
Lorsqu'un ID Firefighter ou un rôle Firefighter est requis, vous pouvez filtrer la recherche à l'aide de
Système et Code d'action. Si vous utilisez Code d'action, vous devez également indiquer le Système.
Pour les demandes d'ID Firefighter et de rôle Firefighter, le détenteur est affiché dans la colonne
Approbateur d'affectation.
○ Sélectionnez Affectations existantes pour sélectionner dans la liste des rôles et des systèmes qui sont
affectés actuellement à l'utilisateur.
Si la zone Demande pour est définie sur Multiple, l'application désactive ce bouton.
Remarque
Pour utiliser des applications dans un système, vous devez avoir accès au système et à un rôle sur le
système. Vous devez donc demander à avoir un utilisateur dans le système puis demander d'affecter un
rôle à l'utilisateur. S'il n'existe encore aucun utilisateur, vous pouvez également indiquer que l'application
en crée un automatiquement dans le système en configurant l'activité IMG Gérer options d'attribution de
privilèges d'accès sous Governance, Risk, and Compliance SAP GRC Access Control Attribution des
privilèges .
4. Dans la colonne Actions d'attribution de privilèges d'accès, sélectionnez l'action appropriée, comme Créer
utilisateur, Affecter (rôle) et ainsi de suite.
Vous pouvez placer les actions d'attribution de privilèges d'accès disponibles dans la liste déroulante dans
l'activité IMG Définir type de demande, sous Governance, Risk, and Compliance SAP GRC Access Control
Attribution de privilèges d'accès utilisateur .
5. Dans la colonne Commentaires, sélectionnez Ajouter commentaire et saisissez les informations sur la
demande.
Informations complémentaires
Analyse de risques lorsque vous envoyez des demandes d'accès [page 40]
Contexte
Une interface utilisateur plus simple permet de demander des rôles pour l'ajout, la suppression ou l'extension.
Procédure
1. Pour demander un accès pour vous-même ou pour d'autres, saisissez les informations suivantes :
Table 3 :
Zone Description
Sélectionner les rôles pour l'ajout Vous pouvez rechercher des rôles par attributs de rôle
comme le nom, le système, le code de transaction ou le
mot-clé. Les caractères génériques comme * sont valides.
Vous pouvez aussi utiliser la Recherche avancée pour une
recherche plus granuleuse. Vous pouvez utiliser les filtres à
gauche de l'écran pour affiner davantage vos résultats de
recherche.
Sélectionner les rôles pour la suppression Sélectionnez cette option pour supprimer les affectations
de rôle de cet utilisateur.
Sélectionner les rôles pour l'extension Sélectionnez cette option pour étendre les dates de validité
du rôle.
2. En cas de demande d'accès pour d'autres utilisateurs, vous pouvez à titre facultatif exécuter l'analyse des
risques en cliquant sur l'Analyse des risques dans le panneau latéral.
A titre facultatif, vous pouvez afficher les rôles ajoutés par le système en cliquant sur le panneau latéral Rôles
ajoutés par le système.
3. A titre facultatif, vous pouvez sauvegarder la demande comme version préliminaire à traiter ultérieurement.
4. Lorsque votre demande est terminée, soumettez-la pour approbation.
Le poste de travail Configuration fournit un emplacement central pour effectuer des activités de préparation
uniques ou rares comme la création d'ensembles de règles d'accès, la création des règles atténuantes et ainsi de
suite.
Le poste de travail Gestion des accès fournit un emplacement central pour exécuter des tâches comme le suivi, le
test et l'exécution d'accès et les contrôles d'autorisation.
Remarque
Le poste de travail Gestion des accès est partagé par les produits SAP GRC Access Control, SAP GRC Process
Control et Risk Management dans l'application GRC. Les groupes de menus et les alias disponibles sur l'écran
sont déterminés par les applications pour lesquelles vous détenez une licence.
Le poste de travail Etats et analyses fournit un emplacement central pour afficher des états et des tableaux de
bord pour les informations SAP GRC Access Control, comme les alertes, l'analyse d'utilisateur, les rapports
d'audit etc.
Remarque
Le poste de travail Etats et analyses est partagé par les produits SAP GRC Access Control, SAP GRC Process
Control et Risk Management dans l'application GRC. Les groupes de menus et les alias disponibles sur l'écran
Table 4 :
Catégorie Description
Tableaux de bord d'accès Tableaux de bord pour l'analyse de risque d'accès, la gestion
de rôle utilisateur et la gestion des accès utilisateurs
Etats d'analyse des risques d'accès Etats liés à l'analyse de risque d'accès, y compris des viola
tions de risque d'utilisateur, des violations de risque de rôle,
des violations de risque de profil et des violations de risque
d'objet RH.
Etats de demande d'accès Etats liés aux demandes d'accès, y compris le niveau de ser
vice pour des demandes et des demandes avec conflits et at
ténuation
Etats de la gestion des rôles Etats liés à la gestion de rôle, y compris des relations entre les
rôles et les utilisateurs et des relations entre les rôles de base-
à-dérivés
Etats de vérification Etats en rapport avec l'audit, y compris des actions dans des
rôles (mais pas dans des règles) et des approbations dans des
rôles (mais pas dans des règles)
Etats de gestion des accès utilisateur d'urgence Etats liés à des activités de superutilisateur, y compris des su
perutilisateurs non valides et des journaux consolidés
Les utilisateurs SAP GRC Access Control auxquels des privilèges spéciaux ont été affectés peuvent être affectés
comme détenteurs. Les utilisateurs auxquels des privilèges spéciaux peuvent être affectés incluent ce qui suit :
Table 5 :
Type Description
Détenteur ID Firefighter Les détenteurs d'ID Firefighter sont responsables de gérer les ID Fire
fighter et leurs affectations aux firefighters. Les détenteurs d'ID Fire
fighter utilisent le rôle par défaut
SAP_GRAC_SUPER_USER_MGMT_OWNER.
Détenteur du rôle Firefighter Les détenteurs de rôle Firefighter sont responsables de la gestion des
rôles Firefighter et de leurs affectations aux firefighters. Les déten
teurs de rôle Firefighter utilisent le rôle par défaut
SAP_GRAC_SUPER_USER_MGMT_OWNER.
Détenteur du risque Les détenteurs du risque sont affectés aux risques et sont communé
ment responsables d'approuver les modifications apportées aux défi
nitions du risque et aux violations du risque.
Détenteur du rôle (ERM) Les détenteurs du rôle sont responsables d'approuver du contenu ou
de l'affectation de rôle utilisateur ou les deux.
Moniteur d'atténuation Les moniteurs d'atténuation sont affectés aux contrôles pour surveil
ler l'activité et peuvent recevoir des alertes de moniteur de contrôle.
Approbateur d'atténuation Les approbateurs d'atténuation sont affectés aux contrôles et sont
responsables d'approuver les modifications apportées à la définition
de contrôle et aux affectations.
Contrôleur d'ID Firefighter Les contrôleurs d'ID Firefighter sont responsables de réviser le journal
généré pendant l'usage d'ID Firefighter. Les contrôleurs d'ID Firefigh
ter utilisent le rôle par défaut
SAP_GRAC_SUPER_USER_MGMT_CNTLR.
Contrôleur de rôle Firefighter Les contrôleurs de rôle Firefighter sont responsables de réviser le jour
nal généré pendant l'usage de rôle Firefighter. Les contrôleurs de rôle
Firefighter utilisent le rôle par défaut
SAP_GRAC_SUPER_USER_MGMT_CNTLR.
● Détenteur
● Groupe de détenteurs
● Groupe Lightweight Directory Access Protocol (LDAP)
Utilisation
Dans le poste de travail Gestion d'accès, sous Planification, vous pouvez utiliser les liens pour planifier et afficher
les jobs d'arrière-plan.
Fonctionnalités
Utilisation
Vous pouvez utiliser Ordonnanceur de jobs arrière-plan pour créer et gérer des ordonnancements pour des jobs
d'arrière-plan.
Activités
Utilisation
Sur l'écran Ordonnancement, vous pouvez sélectionner de planifier que le job s'exécute en arrière-plan à un
moment donné ou sélectionner d'exécuter le job en avant-plan.
Pour exécuter le job en avant-plan, sélectionnez la case à cocher Avant-plan et sélectionnez Soumettre.
Utilisation
SAP Access Control propose un framework standard et centralisé pour demander un accès utilisateur, réviser et
gérer ces demandes.
Ce processus explique comment surveiller et empêcher des risques à l'aide d'un workflow d'approbation et d'une
analyse des risques pendant l'attribution de privilèges.
Conditions requises
● En dehors de l'application, vous avez identifié vos besoins de gestion et évalué votre approche de l'accès au
système.
● Dans l'application, vous avez géré la révision et les workflows d'approbation.
Vous gérez les workflows dans l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous
Governance, Risk, and Compliance SAP GRC Access Control Workflow pour SAP GRC Access Control
Processus
Le processus d'attribution des privilèges de base, comme l'indiquent la plupart des administrateurs système, est
décrit ci-dessous.
L'accès est mis à disposition dans des environnements sans risques ou avec des risques atténués pour garantir
un accès utilisateur conforme.
L'application SAP GRC Access Control permet de créer des demandes d'accès pour obtenir l'accès aux systèmes
et aux autorisations pour exécuter des tâches. Vous pouvez créer des demandes d'accès pour vous-même, pour
un autre utilisateur ou pour des utilisateurs multiples.
Vous pouvez initialiser le processus de création de demandes d'accès sur les écrans suivants :
● Pour la connexion d'utilisateur final, allez à l'écran Page d'ouverture de l'utilisateur final puis sélectionnez
Demande d'accès.
● Pour la connexion de NWBC ou la connexion de Portail, allez au poste de travail Ma page d'accueil ou au poste
de travail Gestion des accès puis sélectionnez Demande d'accès ou Créer demande - Simplifiée.
Le menu Demande d'accès regroupe des fonctions permettant de créer des demandes pour l'accès d'utilisateur,
l'accès au système et les affectations organisationnelles. Ce groupe de menus est mis à disposition du poste de
travail Gestion des accès, où vous pouvez procéder comme suit :
● Utilisez Demande d'accès pour créer des demandes pour vous-même, pour un autre utilisateur ou pour des
utilisateurs multiples.
● Utilisez Utilisateur du modèle pour créer des demandes d'accès basées sur un utilisateur modèle.
● Utilisez la Demande basée sur modèle pour créer des demandes d'accès basées sur un modèle.
● Utilisez la Demande de copie pour utiliser les détails d'une demande existante afin de créer une demande.
● Utilisez la Demande d'affectation organisationnelle pour créer des demandes pour les affectations
organisationnelles.
● Utilisez Créer demande - Simplifiée pour créer des demandes à l'aide d'une interface utilisateur rationalisée.
Le traitement de demande d'accès simplifiée permet de traiter des demandes d'accès à l'aide d'écrans
transformés avec une interface utilisateur rationalisée. Vous pouvez utiliser ces écrans à la place des anciens
écrans de traitement de demande d'accès ou vous pouvez continuer à utiliser les anciens écrans. Les écrans
transformés suivants sont mis à disposition
Contexte
Une interface utilisateur plus simple permet de demander des rôles pour l'ajout, la suppression ou l'extension.
Procédure
1. Pour demander un accès pour vous-même ou pour d'autres, saisissez les informations suivantes :
Remarque
Un astérisque (*) à l'écran désigne une zone obligatoire.
Table 6 :
Zone Description
Sélectionner les rôles pour l'ajout Vous pouvez rechercher des rôles par attributs de rôle
comme le nom, le système, le code de transaction ou le
mot-clé. Les caractères génériques comme * sont valides.
Vous pouvez aussi utiliser la Recherche avancée pour une
recherche plus granuleuse. Vous pouvez utiliser les filtres à
gauche de l'écran pour affiner davantage vos résultats de
recherche.
Sélectionner les rôles pour la suppression Sélectionnez cette option pour supprimer les affectations
de rôle de cet utilisateur.
Sélectionner les rôles pour l'extension Sélectionnez cette option pour étendre les dates de validité
du rôle.
2. En cas de demande d'accès pour d'autres utilisateurs, vous pouvez à titre facultatif exécuter l'analyse des
risques en cliquant sur l'Analyse des risques dans le panneau latéral.
A titre facultatif, vous pouvez afficher les rôles ajoutés par le système en cliquant sur le panneau latéral Rôles
ajoutés par le système.
3. A titre facultatif, vous pouvez sauvegarder la demande comme version préliminaire à traiter ultérieurement.
4. Lorsque votre demande est terminée, soumettez-la pour approbation.
Utilisation
Sur l'écran Demande d'accès, vous pouvez créer des demandes d'accès pour vous-même, pour un autre
utilisateur ou pour des utilisateurs multiples.
Conditions requises
L'administrateur a terminé les activités pour l'activité IMG Gérer options d'attribution de privilèges d'accès,
sous Governance, Risk, and Compliance SAP GRC Access Control Attribution de privilèges d'accès
utilisateur .
Procédure
1. Du poste de travail Gestion des accès, sous le groupe de menu Demande d'accès, sélectionnez Création de
demande d'accès.
Remarque
○ Si vous utilisez la connexion d'utilisateur final, sur l'écran Page d'accueil d'utilisateur final, sélectionnez
Demande d'accès.
Table 7 :
Zone Description
Vous pouvez gérer la liste de types des priorités disponibles dans l'activité
d'accès utilisateur .
3. Dans la page à onglet Accès utilisateur, choisissez parmi les options suivantes pour sélectionner les rôles
auxquels vous voulez être affectés et les systèmes pour lesquels vous demandez un accès :
○ Sélectionnez Ajouter et sélectionnez les éléments suivants :
○ Rôle
○ Cliquez sur Ajouter puis cliquez sur Rôle pour rechercher les rôles que vous souhaitez. Une fois
que le système présente les résultats de votre recherche, vous pouvez cliquer sur un nom de rôle
Remarque
Pour Recherche de rôle, l'application vous permet (autorisation d'administrateur requise) de
configurer les zones de critères de recherche. Vous pouvez ajouter des zones personnalisées et
configurer leurs attributs. Par exemple, vous pouvez définir les valeurs par défaut et définir si la
zone est obligatoire. Vous pouvez configurer les zones dans le Customizing pour Gérer zones
personnalisées pour personnalisation de recherche de rôle sous Governance, Risk, and
Compliance SAP GRC Access Control Attribution des privilèges .
○ Système
○ ID Firefighter
○ Rôle Firefighter
Remarque
Lorsqu'un ID Firefighter ou un rôle Firefighter est requis, vous pouvez filtrer la recherche à l'aide de
Système et Code d'action. Si vous utilisez Code d'action, vous devez également indiquer le Système.
Pour les demandes d'ID Firefighter et de rôle Firefighter, le détenteur est affiché dans la colonne
Approbateur d'affectation.
○ Sélectionnez Affectations existantes pour sélectionner dans la liste des rôles et des systèmes qui sont
affectés actuellement à l'utilisateur.
Si la zone Demande pour est définie sur Multiple, l'application désactive ce bouton.
Remarque
Pour utiliser des applications dans un système, vous devez avoir accès au système et à un rôle sur le
système. Vous devez donc demander à avoir un utilisateur dans le système puis demander d'affecter un
rôle à l'utilisateur. S'il n'existe encore aucun utilisateur, vous pouvez également indiquer que l'application
en crée un automatiquement dans le système en configurant l'activité IMG Gérer options d'attribution de
privilèges d'accès sous Governance, Risk, and Compliance SAP GRC Access Control Attribution des
privilèges .
4. Dans la colonne Actions d'attribution de privilèges d'accès, sélectionnez l'action appropriée, comme Créer
utilisateur, Affecter (rôle) et ainsi de suite.
Vous pouvez placer les actions d'attribution de privilèges d'accès disponibles dans la liste déroulante dans
l'activité IMG Définir type de demande, sous Governance, Risk, and Compliance SAP GRC Access Control
Attribution de privilèges d'accès utilisateur .
5. Dans la colonne Commentaires, sélectionnez Ajouter commentaire et saisissez les informations sur la
demande.
Informations complémentaires
Analyse de risques lorsque vous envoyez des demandes d'accès [page 40]
Utilisation
Sur l'écran Demande d'accès, vous pouvez effectuer des analyses de risques et des analyses d'impact sur les
pages à onglet suivantes :
● Violations de risques
Si vous voulez sauvegarder les résultats de l'analyse, utilisez la fonction d'analyse dans l'onglet.
● Accès utilisateur
La caractéristique Simulation vous autorise à effectuer d'abord l'analyse, puis à choisir de sauvegarder ou non
les résultats.
Remarque
● Vous pouvez définir l'application de sorte qu'elle analyse automatiquement les risques lorsqu'une
personne envoie une demande d'accès. Par exemple, si l'auteur de la demande décide d'envoyer une
Table 8 :
Colonne Valeur
ID du paramètre 1071
● Vous pouvez personnaliser l'application pour inclure des affectations de firefighter automatiquement dans
l'analyse des risques.
Vous gérez cette option dans l'activité IMG Gérer options de configuration, sous Governance, Risk, and
Compliance SAP GRC Access Control . Pour le paramètre Prendre en compte les affectations FF dans
l'analyse des risques, saisissez les valeurs comme suit :
Table 9 :
Colonne Valeur
ID du paramètre 1038
Procédure
La procédure suivante est la même quelle que soit la page à onglet que vous sélectionnez pour l'initialiser. La
seule différence est que la fonctionnalité de simulation vous permet de choisir si vous souhaitez sauvegarder les
résultats ou non.
Exemple
Table 10 :
Prérequis
Contexte
Sur l'écran Affecter contrôles d'atténuation, vous pouvez affecter des contrôles d'atténuation aux risques trouvés
pendant l'analyse des risques et l'analyse d'impact.
L'écran vous autorise aussi à atténuer des risques pour des rôles qui ne font pas partie de la demande actuelle.
Par exemple, vous atténuez actuellement des risques pour John_Current_Request. Vous pouvez aussi atténuer
des violations de risque pour John_Other_Request1 et John _Other_Request2. Sélectionnez le bouton de
commande Ajouter pour ajouter et terminer la procédure ci-dessous pour l'étape 4.
Remarque
La caractéristique Atténuer risque est mise à disposition sur plusieurs écrans dans l'application. Dans la
procédure ci-dessous, nous décrivons un point d'accès ; votre point d'accès peut être différent. L'information
s'applique à tous les points d'accès.
1. Sur l'écran Analyser risque d'accès, sous la section Résultats, sélectionnez une violation de risque ou
plusieurs violations puis sélectionnez le bouton de commande Atténuer risque.
L'écran Affecter des contrôles d'atténuation apparaît. L'application utilise l'information de la violation de
risque, comme l'ID de risque d'accès et affiche le contrôle d'atténuation pertinent.
2. Pour utiliser le contrôle d'atténuation indiqué par l'application :
1. modifiez l'information dans les zones pertinentes selon les besoins, comme la période de validité, l'ID de
contrôle et ainsi de suite.
2. Sélectionnez Envoyer.
3. Pour créer un nouveau contrôle :
1. Sélectionnez Créer contrôle et terminez les tâches pour créer un nouveau contrôle.
2. Sélectionnez Ajouter.
L'application ajoute une ligne vide à la liste de contrôles d'atténuation.
3. Saisissez l'information dans les zones pertinentes pour le nouveau contrôle.
4. Sélectionnez Envoyer.
4. Pour affecter des contrôles d'atténuation pour d'autres rôles ou demandes :
1. Sélectionnez Ajouter.
L'application ajoute une ligne vide à la liste de contrôles d'atténuation.
2. Saisissez l'information dans les zones pertinentes pour le nouveau contrôle.
3. Sélectionnez Envoyer.
Étapes suivantes
Utilisation
Vous pouvez utiliser des rôles types pour fournir aux utilisateurs un ensemble d'attributs qu'ils peuvent
sélectionner lors de la création de demandes d'accès.
Exemple
Par exemple, vous indiquez que tous les rôles Finance sont valides pour le rôle type. Lorsqu'un utilisateur
demande un rôle Finance, il peut sélectionner des attributs supplémentaires tels que Région, Unité d'Affaires,
Division et ainsi de suite.
Procédure
1. Sur la page à onglet Ecran de demande d'accès Accès utilisateur , sélectionnez un rôle puis sélectionnez
le bouton Rôle type. Un écran apparaît et affiche les attributs que l'utilisateur peut sélectionner pour le rôle.
Remarque
Le bouton est seulement actif si vous sélectionnez un rôle valide pour le rôle type. Vous indiquez les rôles
valides pour le rôle type.
Informations complémentaires
Pour activer des rôles types pour des demandes d'accès, vous implémentez le BAdI GRAC_TEMPALTE_ROLE.
Méthodes
Remarque
La méthode IS_TEMPLATE_ROLE constitue la méthode minimale requise pour l'activation de rôles types.
Méthode Description
IS_TEMPLATE_ROLE Vous utilisez cette méthode pour indiquer les rôles utilisateurs
que l'application prend en compte comme rôles types. Par
exemple, vous pouvez indiquer que tout rôle avec le schéma
d'appellation Z_Template_role... est considéré comme
rôle type.
Contexte
Vous pouvez utiliser les fonctions sur l'écran Accès utilisateur modèle pour créer des demandes d'accès pour de
nouveaux utilisateurs en copiant les autorisations d'un utilisateur existant. Cela vous autorise à utiliser les options
d'accès d'un utilisateur existant comme modèle et vous fait gagner du temps dans le processus de création
d'accès.
Par exemple, vous ajoutez de nouveaux salariés à votre équipe et vous voulez qu'ils aient le même accès que
d'autres membres de votre équipe. Au lieu de saisir la même information plusieurs fois, vous sélectionnez l'un de
vos salariés actuels comme utilisateur modèle et l'application copie l'information d'accès de celui-ci dans la
demande d'accès pour les nouveaux salariés.
Procédure
1. Sur le poste de travail Gestion des accès, sous le groupe de menu Création de demande, sélectionnez
Utilisateur modèle.
C'est la procédure standard pour créer une demande d'accès dans l'application. Pour obtenir de plus amples
informations, reportez-vous à .
Contexte
Vous pouvez utiliser l'écran Demande d'accès pour modifier les détails pour votre utilisateur, comme le nom, le
poste, le gestionnaire, l'organisation, l'emplacement et ainsi de suite.
Procédure
1. Du poste de travail Gestion des accès, sous le groupe de menu Créations de demande d'accès, sélectionnez
Demande d'accès.
Remarque
Si vous utilisez la connexion d'utilisateur final, sur l'écran Page d'accueil d'utilisateur final, sélectionnez
Demande d'accès.
Dans la page à onglet Accès d'utilisateur, sous la colonne Attribution de privilèges d'accès de l'action,
l'application remplit automatiquement l'action comme Modifier utilisateur.
5. Sélectionnez la page à onglet Détails de l'utilisateur , modifiez les informations d'utilisateur si nécessaire, puis
sélectionnez Soumettre.
Utilisation
Sur l'écran Copier la demande, vous pouvez utiliser les informations des demandes d'accès précédentes pour
créer de nouvelles demandes.
1. Du poste de travail Gestion des accès, sous le groupe de menu Demande d'accès, sélectionnez Copier la
demande.
L'écran Copier la demande s'affiche.
2. Dans la zone Numéro de demande, sélectionnez la demande à partir de laquelle les attributs sont à copier.
3. Dans la table Attributs, sélectionnez les attributs que vous voulez copier puis sélectionnez Suivant.
4. Dans la zone Demande pour, sélectionnez si la demande est pour Soi-même, Autre ou Multiple.
5. Modifiez l'information pertinente dans les pages à onglet Détails de l'utilisateur et Utilisateurs selon les
besoins puis sélectionnez Suivant.
Remarque
La page à onglet Utilisateurs est mise à disposition seulement si vous sélectionnez Demande pour :
Multiple.
6. Saisissez les détails de la demande pertinents selon les besoins, comme le système ou l'accès de rôle dans la
page à onglet Accès utilisateur et ainsi de suite, puis sélectionnez Suivant.
7. Sélectionnez Envoyer.
Remarque
Pour la procédure ci-dessus, les étapes 1 à 3 servent à copier la demande. Les étapes restantes suivent la
procédure standard pour créer une demande. Pour obtenir de plus amples informations, reportez-vous à .
Contexte
A l'écran Demande d'affectation organisationnelle, vous pouvez affecter des rôles aux objets de gestion
d'organisation (gestion de l'organisation), comme les postes, les jobs ou les organisations, au lieu d'utilisateurs.
Procédure
1. Du poste de travail Gestion des accès, sous le groupe de menu Demandes d'accès, sélectionnez Demande
d'affectation organisationnelle.
Utilisation
L'application SAP GRC Access Control fournit un cadre normalisé et centralisé pour demander l'accès utilisateur
et système et pour réviser et gérer ces demandes. Le processus d'attribution de privilèges d'accès utilisateur
basique, comme indiqué par la plupart des administrateurs de système et de sécurité, implique les étapes
décrites ci-dessous.
Remarque
Le processus décrit est un exemple. Le processus de votre société peut être différent et peut avoir plus ou
moins d'étapes. L'application vous permet de personnaliser les étapes si nécessaire. Pour de plus amples
informations, voir l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous Governance,
Risk, and Compliance SAP GRC Access Control Workflow pour SAP GRC Access Control .
Conditions requises
● En dehors de l'application, vous avez identifié vos besoins de gestion et évalué votre approche pour gérer
l'accès utilisateur et l'accès système.
● Dans l'application, vous avez géré la révision et les workflows d'approbation.
Vous gérez les workflows dans l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous
Governance, Risk, and Compliance SAP GRC Access Control Workflow pour SAP GRC Access Control .
Utilisation
Sur l'écran Demande d'accès, les approbateurs peuvent réviser, refuser, modifier ou approuver des demandes
d'accès.
Processus
Remarque
Vous pouvez configurer les boutons de commande et les zones que les approbateurs peuvent voir. Par
exemple, vous pouvez autoriser les approbateurs à ajouter des rôles à une demande. Pour plus
d'informations, voir .
2. Révisez la demande et exécutez des actions si nécessaire, comme Approuver, Refuser et ainsi de suite.
3. Dans le coin supérieur droit, sélectionnez Stade pour afficher des informations sur le stade actuel du workflow
d'approbation et son statut.
Remarque
Vous pouvez configurer l'application pour exiger des approbateurs qu'ils effectuent une analyse des
risques avant d'approuver toute demande. Pour plus d'informations, voir .
Utilisation
Vous utilisez la corbeille de travail simplifiée pour afficher les demandes d'accès nécessitant une approbation.
Remarque
Vous pouvez également utiliser la corbeille de travail classique pour traiter des demandes d'accès. Pour de plus
amples informations, reportez-vous à Corbeille de travail [page 17].
Procédure
1. A l'aide de la barre de curseur de réglage ou des boîtes d'entrée de date, sélectionnez une date spécifique ou
une plage de dates pour les demandes que vous voulez traiter.
2. Vous pouvez également sélectionner une catégorie comme Nouveau compte d'utilisateur pour limiter votre
recherche.
3. Sélectionnez un nombre de résultats à afficher par page (facultatif).
4. Sélectionnez un critère de tri comme Numéro de demande ou Demandé par (facultatif).
Le système récupère toutes les demandes qui correspondent à vos critères.
5. Cliquez sur un numéro de demande pour effectuer une analyse descendante des détails. Vous pouvez cliquer
sur l'icône d'indicateur pour marquer une demande pour traitement ultérieur (facultatif).
Remarque
Votre administrateur système doit configurer votre système pour vous permettre d'utiliser les processus
simplifiés de demande d'accès. Pour en savoir plus, consultez le Guide d'installation pour SAP Access Control
10.1, SAP Process Control 10.1 et SAP Risk Management 10.1 à l'adresse http://service.sap.com/instguides .
Utilisation
A l'écran Demande d'accès, vous pouvez effectuer une analyse des risques et une analyse d'impact avant
d'approuver les demandes. Vous disposez des options suivantes pour effectuer l'analyse :
● Dans l'onglet Violations de risque, vous pouvez effectuer l'analyse et sauvegarder les résultats.
● Dans l'onglet Accès utilisateur, vous pouvez utiliser la caractéristique Simulation pour effectuer d'abord
l'analyse puis sélectionner la sauvegarde ou non des résultats.
Remarque
● Vous pouvez activer l'exigence que les approbateurs doivent analyser des risques avant d'approuver les
demandes d'accès. Vous gérez cette option dans l'activité IMG (transaction SPRO) Gérer workflows
MSMP (Multiple Stage Multiple Pass), sous Governance, Risk, and Compliance SAP GRC Access
Control Workflow pour SAP GRC Access Control . Dans la phase Gérer chemins d'accès, sous la section
Gérer stades, sélectionnez Afficher options des tâches. Sélectionnez la zone Analyse des risques obligatoire
et sélectionnez Oui ou Non le cas échéant.
● Vous pouvez autoriser les approbateurs à approuver des demandes d'accès malgré les risques. Vous gérez
cette option dans l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous
Governance, Risk and Compliance SAP GRC Access Control Workflow pour SAP GRC Access
Control . Dans la phase Gérer chemins d'accès, sous la section Gérer stades, sélectionnez Afficher options
des tâches. Cochez la case pour la zone Approuver malgré risque.
Procédure
La procédure suivante est la même quelle que soit la page à onglet que vous sélectionnez pour l'initialiser. La
seule différence est que la Simulation vous autorise à choisir si vous souhaitez sauvegarder les résultats ou non.
1. Du poste de travail Ma page d'accueil, sélectionnez Corbeille de travail. A l'écran Work items, sélectionnez
Gestion des accès. Sélectionnez une demande d'accès.
2. Exécutez une des options suivantes :
○ Sélectionnez l'onglet Violations de risques.
○ Dans l'onglet Accès utilisateur, sélectionnez Simulation.
3. Dans la liste déroulante Type d'analyse, sélectionnez le type d'analyse pertinent.
○ Vous utilisez Analyse des risques pour identifier des violations d'autorisation affectées au rôle. Par
exemple, lorsque les autorisations se traduisent par des violations de la séparation des tâches.
Remarque
Vous pouvez personnaliser SAP Access Control pour inclure des affectations de firefighter
automatiquement dans l'analyse des risques.
Table 12 :
Colonne Valeur
ID du paramètre 1038
○ Vous utilisez Analyse d'impact pour identifier les violations d'autorisation concernant d'autres rôles.
C'est-à-dire, les autorisations pour le rôle sélectionné, avec des autorisations pour un autre rôle, se
traduisent par des violations.
Exemple
Table 13 :
Prérequis
Contexte
Sur l'écran Affecter contrôles d'atténuation, vous pouvez affecter des contrôles d'atténuation aux risques trouvés
pendant l'analyse des risques et l'analyse d'impact.
L'écran vous autorise aussi à atténuer des risques pour des rôles qui ne font pas partie de la demande actuelle.
Par exemple, vous atténuez actuellement des risques pour John_Current_Request. Vous pouvez aussi atténuer
des violations de risque pour John_Other_Request1 et John _Other_Request2. Sélectionnez le bouton de
commande Ajouter pour ajouter et terminer la procédure ci-dessous pour l'étape 4.
Remarque
La caractéristique Atténuer risque est mise à disposition sur plusieurs écrans dans l'application. Dans la
procédure ci-dessous, nous décrivons un point d'accès ; votre point d'accès peut être différent. L'information
s'applique à tous les points d'accès.
Procédure
1. Sur l'écran Analyser risque d'accès, sous la section Résultats, sélectionnez une violation de risque ou
plusieurs violations puis sélectionnez le bouton de commande Atténuer risque.
L'écran Affecter des contrôles d'atténuation apparaît. L'application utilise l'information de la violation de
risque, comme l'ID de risque d'accès et affiche le contrôle d'atténuation pertinent.
2. Pour utiliser le contrôle d'atténuation indiqué par l'application :
1. modifiez l'information dans les zones pertinentes selon les besoins, comme la période de validité, l'ID de
contrôle et ainsi de suite.
2. Sélectionnez Envoyer.
3. Pour créer un nouveau contrôle :
1. Sélectionnez Créer contrôle et terminez les tâches pour créer un nouveau contrôle.
2. Sélectionnez Ajouter.
L'application ajoute une ligne vide à la liste de contrôles d'atténuation.
3. Saisissez l'information dans les zones pertinentes pour le nouveau contrôle.
4. Sélectionnez Envoyer.
4. Pour affecter des contrôles d'atténuation pour d'autres rôles ou demandes :
Étapes suivantes
Contexte
Dans l'écran Détails du stade de la Configuration MSMP, vous pouvez sélectionner les tâches qui sont mises à
disposition des approbateurs sur l'écran Demande d'accès pour des approbateurs et indiquer ce qu'ils sont
autorisés à faire. Par exemple, vous pouvez autoriser les approbateurs à refuser une demande ou à envoyer la
demande à un autre approbateur.
Procédure
1. Sélectionnez l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous Governance, Risks,
and Compliance SAP GRC Access Control Workflow pour SAP GRC Access Control .
Zone Description
Remarque
Le workflow d'approbation est composé de stades et de
chemins. Pour un approbateur standard, l'application
n'affiche pas l'option de réacheminer dans le premier
stade, parce qu'il y a pas de stade précédent. Pour un
administrateur, l'option de réacheminement est disponi
ble pour tous les stades car l'administrateur peut en
voyer la demande vers des chemins différents.
Approuver par e-mail Les approbateurs reçoivent des e-mails qui les informent
qu'une demande requiert leur attention. Ces e-mails in
cluent un lien qui ouvre l'écran d'attribution de privilèges
d'accès utilisateur.
Refus par e-mail Les approbateurs reçoivent des e-mails qui les informent
qu'une demande requiert leur attention. Ces e-mails in
cluent un lien qui ouvre l'écran d'attribution de privilèges
d'accès utilisateur.
Approuver malgré le risque Autorise les approbateurs à approuver des demandes mal
gré des violations de risque.
Détails de demande de modification Autorise les approbateurs à modifier le contenu des deman
des.
○ Demande
Les approbateurs ont l'autorité pour approuver tous
les rôles dans une demande. Par exemple, les approba
teurs de sécurité peuvent approuver un rôle pertinent à
une demande.
○ Rôle
Les approbateurs ne peuvent approuver que les rôles
qui leur appartiennent.
○ Système et rôle
Les approbateurs ont l'autorité pour approuver des
systèmes et des rôles.
Niveau de refus Autorise les approbateurs à refuser des demandes pour les
niveaux suivants :
○ Demande
Les approbateurs ont l'autorité pour refuser tous les
rôles dans une demande. Par exemple, les approba
teurs de sécurité peuvent refuser un rôle pertinent à
une demande.
○ Rôle
Les approbateurs ne peuvent refuser que les rôles qui
leur appartiennent.
○ Système et rôle
Les approbateurs ont l'autorité pour refuser des systè
mes et des rôles.
Remarque
Dans la configuration d'attribution de privilèges d'accès,
vous devez aussi définir Attribution de privilèges d'accès
manuelle sur Vrai.
Analyse des risques requise Demande que les approbateurs effectuent une analyse des
risques avant d'approuver ou de refuser une demande.
Permettre l'attribution de privilèges d'accès manuelle Autorise les approbateurs à faire une attribution de privilè
ges d'accès directement depuis l'écran d'approbation de
stade.
5. Sélectionnez Sauvegarder.
Vous pouvez utiliser l'application SAP GRC Access Control pour gérer et réviser les demandes d'accès, les
affectations, les comptes d'utilisateur et les processus. L'application affiche ces fonctions dans le groupe de menu
Administration des demandes d'accès .
1. Depuis la connexion de NWBC ou la connexion de Portail, sélectionnez le poste de travail Gestion des accès.
2. Sous le groupe de menu Administration de demandes d'accès, sélectionnez les activités pertinentes :
○ Création et gestion de modèles [page 59]
○ Recherche de demandes [page 60]
○ Vue des journaux d'attribution de privilèges d'accès [page 62]
○ Déblocage et suppression comptes utilisateur Self-Service pour mot de passe [page 62]
○ Délégation de l'approbateur [page 63]
Prérequis
Vous avez créé des ID de personnalisation de l'utilisateur final (ID de personnalisation utilisateur final) dans
l'activité IMG Gérer la personnalisation d'utilisateur final sous Governance, Risk, and Compliance SAP GRC
Access Control Attribution de privilèges d'accès utilisateur .
Vous pouvez utiliser l'écran Modèle de demande d'accès pour créer, mettre à jour ou supprimer des modèles. Les
modèles vous permettent de faciliter la création de demandes d'accès en définissant les détails que vous utilisez
constamment dans des demandes d'accès. Par exemple, vous savez que les membres de l'équipe de finance ont
toujours besoin de l'accès au système de finance et du rôle Finance_User. Vous pouvez créer un modèle avec ces
détails et utiliser ce modèle pour créer des demandes pour les nouveaux membres de finance. L'application insère
automatiquement les informations du modèle dans la nouvelle demande.
Procédure
1. Sur le poste de travail Gestion des accès, sous le groupe de menu Administration des demandes d'accès,
sélectionnez Gestion des modèles.
L'ID de personnalisation utilisateur final définit les zones et les valeurs par défaut sur l'écran de Demande
d'accès.
4. Dans la page à onglet Détails d'accès, saisissez des détails pour l'utilisateur, l' accès et ainsi de suite, selon les
besoins.
5. Sélectionnez Sauvegarder.
Contexte
Vous pouvez utiliser les fonctions à l'écran Rechercher demande pour créer un état qui liste des demandes, le type
de demande, la priorité, le statut et la date d'échéance, parmi d'autres informations. Vous pouvez aussi utiliser
Rechercher demande pour ouvrir une demande spécifique, afficher des informations de gestion de demande,
afficher le journal d'audit pour une demande et annuler une instance de demande ou apporter d'autres
modifications, selon la configuration de votre système.
1. Sélectionnez Gestion des accès Administration des demandes d'accès Rechercher demandes .
Vous pouvez choisir de développer ou réduire les entrées de journal d'audit et imprimer le journal.
6. Pour afficher le statut d'instance, sélectionnez une demande dans la table et sélectionnez Statut d'instance.
L'écran Recherche de demande d'accès s'ouvre en affichant les détails d'instance.
7. Pour ouvrir une demande spécifique, sélectionnez la demande dans la table. L'écran Approuver demande
d'accès s'ouvre.
Vous pouvez afficher les détails de la demande suivants en sélectionnant l'onglet correspondant :
○ Accès utilisateur
○ Violations de risques
○ Détails d'utilisateur
○ Journal d'audit
○ Commentaires
○ Pièces jointes
8. Pour afficher des informations de gestion de demande, sélectionnez une demande dans la table et
sélectionnez Administration. L'écran Administration de demande apparaît.
La table en bas de l'écran affiche tous les chemins pour la demande. Sélectionnez un lien de chemin pour
afficher un écran qui vous autorise à approuver la demande correspondante.
9. Pour annuler une instance, sélectionnez la demande dans la table et sélectionnez Annuler instance. Une boîte
de dialogue de confirmation apparaît.
Sélectionnez Oui pour annuler l'instance de workflow ; sélectionnez Non pour écarter le dialogue sans annuler
l'instance.
Vous pouvez aussi choisir d'interrompre l'instance dans la fenêtre de dialogue qui apparaît.
Contexte
Vous pouvez utiliser l'écran Journaux d'attribution de privilèges d'accès, pour réviser des activités d'attribution de
privilèges d'accès et pour confirmer que l'attribution de privilèges d'accès a été terminée.
Remarque
Le journal d'attribution de privilèges d'accès affiche seulement des informations pour des demandes clôturées.
Pour afficher le statut des demandes qui sont en cours de traitement, voir .
Procédure
1. Sur le poste de travail Gestion des accès, sous le groupe de menu Administration des demandes d'accès,
sélectionnez Journaux d'attribution de privilège d'accès.
Dans la table Résultats, l'application affiche les demandes qui remplissent vos critères de recherche.
La table affiche des informations comme le statut, l'action de l'attribution de privilèges d'accès, l'horodatage
et ainsi de suite.
Prérequis
Vous avez terminé les étapes de configuration dans l'activité IMG Gérer Self-Service pour mot de passe, sous
Governance, Risk, and Compliance SAP GRC Access Control Attribution des privilèges .
Sur l'écran Gérer Self-Service pour mot de passe, vous pouvez débloquer ou supprimrer des comptes d'utilisateur
qui ont été bloqués en raison d'un trop grand nombre de tentatives de connexion infructueuses.
Remarque
Pour configurer des options de mot de passe comme l'activation ou la désactivation de self-service pour mot
de passe, le nombre de fois qu'un utilisateur peut tenter de se connecter avant que son compte d'utilisateur
soit bloqué et ainsi de suite, utilisez l'activité IMG Gérer Self-Service pour mot de passe, sous Governance,
Risk, and Compliance SAP GRC Access Control Attribution de privilèges .
Procédure
1. A partir du poste de travail Gestion des accès, sous le groupe de menu Administration des demandes d'accès,
sélectionnez Gérer Self-Service pour mot de passe.
Contexte
Sur l'écran Délégation d'administrateur, vous pouvez réaffecter les tâches d'approbation d'un utilisateur à un
autre. Par exemple, en tant qu'administrateur, vous avez l'autorité de déléguer les tâches d'approbation
Approver_A à Approver_B.
Procédure
1. Sur le poste de travail Gestion des accès, sous le groupe de menu Administration des demandes d'accès,
sélectionnez Délégation d'administration.
Sous la section Détails d'approbateur, saisissez l'information pour la personne qui a actuellement les tâches
d'approbation.
Sous la section Détails d'approbation délégués, saisissez les détails pour la personne à laquelle vous souhaitez
affecter les tâches d'approbation.
Étapes suivantes
Pour l'information sur la délégation de vos propres tâches d'approbation à un autre utilisateur, voir Délégation de
vos tâches d'approbation [page 18].
Prérequis
L'administrateur a créé les modèles de demande d'accès. Pour plus d'informations, voir Création et gestion de
modèles [page 59].
Contexte
Vous pouvez utiliser l'écran Créer demande avec modèle pour créer de nouvelles demandes d'accès à l'aide de
modèles. Vous enregistrez des information de demande d'accès fréquemment utilisées dans des modèles, puis
vous utilisez les modèles pour créer de nouvelles demandes d'accès qui requièrent la même information. Les
avantages de cette méthode sont la cohérence et le gain de temps.
Procédure
1. Sur le poste de travail Gestion des accès, sous le groupe de menu Demande d'accès, sélectionnez Demande
basée sur modèle.
Ces étapes font partie de la procédure standard pour créer les demandes d'accès.
Étapes suivantes
Pour obtenir de plus amples informations, reportez-vous à Création de demandes d'accès [page 24]
Utilisation
Le processus de gestion des risques implique la définition des priorités et l'exécution d'actions appropriées pour
adresser les occurrences de risque en fonction des résultats d'analyse des risques. Selon les caractéristiques de
risque, différentes méthodes peuvent être utilisées.
Processus
Remarque
Si le contrôle approprié existe déjà, sautez cette étape et passez à l'étape 6.
Résultat
Utilisation
Vous pouvez utiliser Contrôles d'atténuation pour associer des contrôles aux risques et les affecter aux
utilisateurs, rôles, profils ou objets HR. Vous pouvez alors définir des personnes comme moniteurs ou
approbateurs de contrôles et les affecter à des contrôles spécifiques. Vous pouvez aussi créer des organisations
et des processus de gestion pour aider à classer les contrôles d'atténuation.
A l'aide de la section Contrôles d'atténuation, vous pouvez effectuer les tâches suivantes :
Informations complémentaires
Contexte
Vous pouvez rechercher et afficher des contrôles d'atténuation à l'aide de l'écran de Contrôles d'atténuation.
Procédure
L'écran de Contrôles d'atténuation s'ouvre, affichant tous les Contrôles d'atténuation définis.
2. Sélectionnez Filtre, saisissez les critères dans l'ID de contrôle, Titre, Description et Organisation et appuyez
sur Entrée.
Étapes suivantes
Le poste de travail Configuration de la règle fournit un emplacement central pour créer et gérer des règles pour
atténuer des risques de demande d'accès.
Remarque
Le poste de travail Configuration de la règle est commun aux produits Access Control, Process Control et Risk
Management dans l'application GRC 10.1. Les groupes de menus et les alias disponibles sur l'écran sont
déterminés par les applications pour lesquelles vous détenez une licence. Le contenu dans cette rubrique
couvre les fonctions spécifiques à SAP GRC Access Control. Si vous détenez une licence pour des produits
supplémentaires (tels que Process Control ou Risk Management), reportez-vous à leurs systèmes d'aide
spécifiques.
Le poste de travail Configuration de la règle contient les sections Access Control suivantes :
Utilisation
Les règles d'exception éliminent les faux positifs en se basant sur les restrictions au niveau organisationnel. Cela
active un reporting basé sur l'exception pour des règles organisationnelles et des règles supplémentaires.
Informations complémentaires
Utilisation
La fonctionnalité de règles d'organisation fournit un filtre supplémentaire pour vos états de séparation des tâches
(SoD). Les règles d'organisation sont utilisées pour éliminer des risques faux positifs dans vos états d'analyse de
risque d'accès. Utilisez cette fonctionnalité uniquement pour le reporting basé sur les exceptions.
Avant l'implémentation, les entreprises doivent faire une analyse pour s'assurer que leur situation justifie
l'utilisation de règles d'organisation. Vous ne devez pas établir de règles d'organisation jusqu'à la phase de
correction de votre projet. Vous devez créer les règles organisationnelles uniquement après avoir identifié un
scénario de règle organisationnelle possible.
Attention
Si vous créez des règles organisationnelles de façon incorrecte, vous pouvez potentiellement filtrer trop. En en
filtrant trop, vous ne pouvez pas identifier les problèmes de contrôle possibles avec votre accès. Du point de
vue du contrôle, il est conseillé de surdéclarer (génération de faux positifs) plutôt que de sous-déclarer
(génération de faux négatifs).
Recommandation
Utilisez les règles d'organisation exclusivement pour le reporting basé sur l'exception afin de supprimer des
conflits faux positifs qui résultent de la séparation au niveau de l'organisation.
N'utilisez pas de règles d'organisation pour regrouper des utilisateurs dans des états, par niveau
organisationnel, pour répartir les états SoD sur divers niveaux de gestion.
Exemple
Un client dispose d'un centre de services partagés qui permet à un membre de l'équipe de traiter des factures
fournisseurs et créer des paiements fournisseur. La plupart du temps, cette action peut représenter un conflit
de risque élevé. Cependant, le centre de services partagés a également séparé les membres de son équipe de
telle sorte que le même salarié ne puisse pas traiter la facture et effectuer les paiements dans le même niveau
organisationnel.
Informations complémentaires
Utilisation
L'assistant de règle d'organisation accélère le processus de création d'une règle d'organisation et élimine des
entrées non valides possibles en raison d'une alimentation manuelle.
Procédure
1. Du poste de travail Configuration, localisez la section Règles d'accès d'exception. Sélectionnez Assistant de
création de règle d'organisation.
2. Vue d'ensemble - Lire les instructions au premier stade et sélectionnez Suivant.
3. Sélectionner système et ensemble de règles - Sélectionnez l'ERP Système dans lequel vous devez travailler.
Sélectionnez les Ensembles de règles requis. Vous pouvez sélectionner plusieurs ensembles de règles en
maintenant enfoncé le bouton de contrôle et en sélectionnant plusieurs ensembles de règles. Sélectionnez
Suivant.
4. Réviser les niveaux d'organisation - Sélectionnez les Niveaux d'organisation des risques existants.
Sélectionnez Suivant.
5. Sélectionner les valeurs organisationnelles - Sélectionnez les Valeurs de niveau d'organisation du système
ERP. Vous pouvez aussi supprimer les valeurs que vous ne voulez pas utiliser. Sélectionnez Suivant.
6. Réviser les règles d'organisation - Réviser les règles. Utilisez la zone Format de règle d'organisation pour
ajouter un indicatif commun à toutes les règles qui seront générées pour simplifier le tri. Sélectionnez Suivant.
7. Générer règles - Sélectionnez Générer règles pour terminer la tâche.
Utilisation
Utilisez cette fonctionnalité uniquement pour le reporting basé sur les exceptions.
Conditions requises
Vous pouvez créer des règles d'organisation seulement après avoir identifié un scénario de règle organisationnelle
possible.
Remarque
○ ID de règle d'organisation : Le code d'identification pour la règle d'organisation. Saisissez un code
alphanumérique à dix caractères, pouvant contenir des traits de soulignement (_). Les espaces ne sont
pas autorisés.
○ ID RèglOrgParente : Si vous créez une règle d'organisation toute nouvelle, cette zone n'est pas requise.
Si vous créez une règle d'organisation basée sur une règle précédemment créée, sélectionnez l'ID de la
règle d'organisation supérieure que vous voulez utiliser.
○ ID de risque : Sélectionnez parmi la liste d'ID de risque disponibles
○ Description : Saisissez une description significative pour cette règle.
4. Sélectionnez Système si vous voulez activer la règle d'organisation pour des systèmes spécifiques seulement.
Remarque
Limiter les règles à certains systèmes peut améliorer les temps de réponse.
5. Sélectionnez Ajouter pour affecter plusieurs niveaux d'organisation et des valeurs correspondantes pour la
durée de la règle d'organisation, sa condition et son statut. Sélectionnez Supprimer pour supprimer un niveau
d'organisation précédemment saisi.
6. Sélectionnez Sauvegarder.
Un message de confirmation signalant que les données ont été sauvegardées s'affiche.
7. Sélectionnez Fermer pour afficher la règle d'organisation que vous avez créée.
Résultat
Informations complémentaires
Utilisation
Procédure
Remarque
Vous ne pouvez pas modifier d'informations dans l'onglet Systèmes pour des ID de règle d'organisation
parente.
4. Sélectionnez Sauvegarder.
Un message de confirmation signalant que les données ont été sauvegardées s'affiche.
5. Sélectionnez Fermer.
Les administrateurs peuvent utiliser les activités IMG suivantes (de la transaction SPRO), sous Governance, Risk
and Compliance SAP GRC Access Control Analyse de risque d'accès Règles SoD pour créer et modifier un
volume important de règles d'organisation :
Informations complémentaires
Contexte
Attention
La suppression d'une règle d'organisation invalide toute règle générée à partir de cette règle d'organisation.
Procédure
Étapes suivantes
Utilisation
Créez une règle supplémentaire pour garantir des résultats d'analyse corrects pour une violation qui pourrait être
rapportée comme un faux positif.
Procédure
Remarque
Lorsque vous faites correspondre des valeurs de caractères génériques, la valeur du caractère générique
requiert une correspondance exacte de l'entrée dans la règle et de l'entrée à contrôler dans la table SAP.
Résultat
Si vous avez configuré le paramètre Utiliser l'analyse SoD supplémentaire sur Oui, le système prend en compte la
règle supplémentaire lorsqu'il génère l'état.
Procédure
Étapes suivantes
Procédure
Étapes suivantes
Utilisation
L'analyse de risque d'accès traite les risques que vous définissez. Elle génère des règles d'après les actions ou
approbations qu'un risque d'accès comporte.
Utilisez cette fonctionnalité pour afficher les états contenant les résultats de règles générées à l'aide de la
fonctionnalité Risques d'accès.
Quand vous générez les risques d'action de séparation des tâches (SoD), l'analyse de risque d'accès crée une
règle séparée pour chaque combinaison d'actions présentant un risque.
Exemple
Si un risque d'accès inclut deux fonctions, chacune comprenant cinq actions, et que le risque d'accès
s'applique à deux systèmes, l'analyse de risque d'accès génère 20 règles distinctes à partir du risque d'accès.
Exemple
Vous pouvez avoir un risque d'accès (P086) qui inclut les fonctions suivantes :
Si ce risque d'accès s'applique à trois versions différentes de SAP qui s'exécutent toutes dans votre
environnement, P086 est alors converti en 98 532 (21x46x34x3) règles distinctes.
Remarque
Le nombre maximum de règles SoD autorisé par risque est de 1 679 615. Lorsque l'analyse de risque d'accès
essaye de traiter un risque d'accès qui génère plus du nombre maximum de règles, le message d'erreur suivant
apparaît :
ERREUR : Le risque : #### a dépassé le nombre maximum de règles (1 679 615) qui
peuvent être générées pour un risque
Contexte
Utilisez l'écran Aperçu des règles d'accès pour afficher un état récapitulatif des règles d'accès.
Procédure
Nous vous conseillons d'exécuter l'état en arrière-plan lorsque vous générez un vaste ensemble de résultats.
Pour afficher le job, naviguez jusqu'à Gestion des accès Planification Jobs d'arrière-plan .
Si vous sélectionnez Exécuter en avant-plan, confirmez que vous voulez exécuter l'analyse immédiatement en
sélectionnant OK. Les résultats de l'analyse s'affichent dans une nouvelle fenêtre.
Résultats
L'état récapitulatif des règles d'accès affiche les relations entre les fonctions et les risques d'accès.
Prérequis
Vous devez générer des règles à l'aide de la fonctionnalité Risques d'accès avant de pouvoir afficher un état
détaillé des règles d'accès.
Contexte
Utilisez l'écran Détail des règles d'accès pour afficher un état détaillé des règles d'accès.
Procédure
Nous vous conseillons d'exécuter l'état en arrière-plan lorsque vous générez un vaste ensemble de résultats.
Pour afficher le job, naviguez jusqu'à Gestion des accès Planification Jobs d'arrière-plan .
Si vous sélectionnez Exécuter en avant-plan, confirmez que vous voulez exécuter l'analyse immédiatement en
sélectionnant OK. Les résultats de l'analyse s'affichent dans une nouvelle fenêtre.
L'état des détails des règles d'accès affiche les règles générées pour les actions comme pour les approbations.
Étapes suivantes
Utilisation
Vous pouvez utiliser la section de Gestion des règles d'accès pour gérer les entités de règle d'accès suivantes :
Fonctionnalités
A l'aide de la section de Gestion des règles d'accès, vous pouvez effectuer les opérations suivantes :
Informations complémentaires
Utilisation
Les ensembles de règles sont des définitions arbitraires qui s'appliquent seulement aux risques d'accès et aux
règles. Ils définissent des catégories ou des regroupements de règles. Un ensemble de règles est utilisé
principalement pour déterminer le groupe de risques d'accès qui doit être utilisé lorsque vous exécutez une
analyse de risque d'accès.
Lorsque vous sélectionnez le lien Ensemble de règles, l'écran Ensembles de règles apparaît, affichant les
ensembles de règles existants auxquels vous êtes autorisé à accéder.
A l'aide de l'écran Ensemble de règles, vous pouvez effectuer les opérations suivantes :
● Saisir des critères de recherche pour rechercher un ensemble de règles particulier à l'aide du bouton Filtrer
● Définir une nouvelle requête
● Réorganiser les options de colonne pour créer une vue personnalisée de l'écran
Activités
Les tâches associées à la gestion des risques incluent la création, l'affichage, la modification et la suppression des
ensembles de règles.
Informations complémentaires
Contexte
Un ensemble de règles inclut un identifiant et une description. Pour créer un ensemble de règles, vous choisissez
un nom et saisissez une description.
Résultats
Étapes suivantes
Contexte
Pour modifier ou supprimer un ensemble de règles, recherchez d'abord cet ensemble de règles et affichez-le.
Procédure
Le filtre retourne tous les ensembles de règles qui répondent aux critères de recherche. Si vous ne filtrez pas
le texte dans ces zones, la recherche retourne tous les ensembles de règles existants. La recherche supporte
les caractères génériques (*).
Résultats
Le nombre d'ensembles de règles retournés dépend de la restriction de vos critères de recherche. Si la recherche
ne retourne pas les ensembles de règles que vous attendiez, exécutez à nouveau la recherche avec des critères de
recherche plus restrictifs.
Étapes suivantes
Contexte
Vous ne pouvez modifier que la description d'un ensemble de règles. Une fois l'ensemble de règles créé, vous ne
pouvez pas modifier son ID.
Procédure
1. Suivez la procédure dans pour rechercher l'ensemble de règles que vous voulez traiter.
2. Sélectionnez l'ensemble de règles puis cliquez sur Ouvrir.
La zone Description de cet ensemble de règles devient blanche pour indiquer que vous pouvez traiter la zone
de texte.
L'onglet Historique des modifications de l'écran Ensemble de règles affiche toutes les modifications apportées
à l'ensemble de règles sélectionné.
Étapes suivantes
Prérequis
Avant de pouvoir supprimer un ensemble de règles, vous devez supprimer l'affectation d'ensemble de règles de
tous les risques d'accès en affectant un ensemble de règles différent à chaque risque d'accès.
Contexte
Vous pouvez supprimer un ensemble de règles. Cependant, si l'ensemble de règles est affecté à un autre
ensemble de règles, à un risque d'accès ou à une règle, vous ne pouvez pas le supprimer.
Procédure
1. Suivez la procédure dans pour rechercher l'ensemble de règles que vous voulez supprimer.
2. Sélectionnez l'ensemble de règles que vous voulez supprimer puis sélectionnez Supprimer.
Une boîte de dialogue vous demandant de confirmer que vous voulez supprimer l'ensemble de règles
s'affiche.
Étapes suivantes
Utilisation
Une fonction est un regroupement comprenant une ou plusieurs actions. Un risque d'accès est un objet qui
associe deux fonctions en conflit ou plus ou une action critique et une approbation critique. Les actions critiques
et les approbations critiques sont aussi appelées des attributs. Les attributs ont un impact sur la façon dont le
risque d'accès se traduit en une règle d'accès.
Lorsque vous définissez un risque d'accès, vous spécifiez une combinaison de fonctions qui représentent un
risque d'accès au niveau d'un salarié.
Remarque
La définition d'un risque comprend d'autres attributs ayant un impact sur la manière dont le risque se convertit
en règles. La condition qui détermine la présence d'un risque est constituée d'une ou plusieurs fonctions qui
créent un conflit quand elles sont combinées.
Les actions affectées à une fonction représentent les tâches qu'un salarié doit pouvoir accomplir pour atteindre
un objectif spécifique.
Exemple
Un salarié qui a accès aux enregistrements d'inventaire ne devrait pas avoir l'autorisation de signer les
livraisons. Quand ces deux fonctions sont combinées, elles présentent un risque de séparation des tâches.
Informations complémentaires
5.2.2.2.1 Fonctions
Utilisation
Les Fonctions sont les modules de risques d'accès. Elles définissent une tâche ou un ensemble de tâches qu'un
salarié doit effectuer pour atteindre un objectif spécifique.
Fonctionnalités
Attribut Description
Processus de gestion Une valeur qui définit à quel processus de gestion cette fonc
tion appartient. Son utilisation a pour objectif la classification.
Activités
Lorsque vous définissez une fonction, vous associez une ou plusieurs actions à cette fonction. Chacune de ces
actions a une approbation associée (objet de sécurité) qui définit l'étendue de l'accès pour l'action.
Informations complémentaires
Contexte
Vous créez une fonction en lui attribuant un ID et une description et en définissant ses attributs.
Procédure
L'écran Approbations apparaît, affichant les approbations (objets d'autorisation) pour toutes les actions qui
ont été ajoutées à la fonction.
Attention
Cet écran vous permet de limiter davantage l'accès défini dans l'objet d'approbation. Vous ne pouvez pas
étendre l'accès ou reconfigurer l'objet d'approbation.
Étapes suivantes
Contexte
Pour modifier ou supprimer une fonction, vous devez d'abord la rechercher et l'afficher.
Procédure
Le filtre retourne toutes les fonctions qui répondent aux critères de recherche.
Limitez votre recherche avec des filtres ou des critères de recherche ou la recherche retourne toutes les
fonctions existantes. La recherche supporte les caractères génériques (*).
Étapes suivantes
Contexte
Vous pouvez modifier tout aspect d'un fonction à l'exception de son ID.
Procédure
Les modifications que vous pouvez apporter à une fonction sont les mêmes que les attributs que vous
définissez dans .
4. Sélectionnez Sauvegarder.
Étapes suivantes
Contexte
Faites attention lorsque vous supprimez une fonction. Vous devez d'abord supprimer tout risque existant de la
fonction avant de la supprimer elle-même.
Vous pouvez vous référer à pour obtenir des instructions sur la recherche de la fonction que vous voulez
supprimer.
4. Après avoir trouvé la fonction, sélectionnez la ligne puis le bouton de commande Supprimer.
Étapes suivantes
Utilisation
Les risques d'accès identifient des problèmes d'accès potentiels que votre entreprise peut rencontrer.
Utilisez cette fonctionnalité pour créer, afficher, modifier ou supprimer un risque d'accès.
Informations complémentaires
Contexte
Procédure
1. Sélectionnez Configuration Gestion des règles d'accès Risques d'accès . L'écran Risque d'accès
s'affiche.
2. Sélectionnez Créer.
3. Saisissez les attributs de base du risque d'accès :
1. Dans la zone ID de risque, saisissez un code alphanumérique à 4 caractères pour identifier le risque.
Ce code ne doit correspondre qu'à ce risque d'accès.
2. Dans la zone Description, saisissez une description synthétique du risque.
3. Dans la liste déroulante Type de risque, sélectionnez le type de risque.
Les types de risques incluent les éléments suivants :
○ Risque de Séparation des tâches (SoD)
○ Risque d'Action critique
○ Risque d'Approbation critique
4. Dans la liste déroulante Niveau de risque, sélectionnez le niveau de gravité du risque.
Les niveaux de risques sont suivants :
○ Faible
○ Moyen
○ Élevé
○ Critique
5. Dans la liste déroulante Processus de gestion, sélectionnez le processus de gestion pour ce risque.
6. Dans le menu déroulant Statut, sélectionnez soit Activé soit Désactivé pour indiquer s'il faut activer le
risque lors de la sauvegarde.
4. Sélectionnez l'onglet Fonctions pour afficher l'écran Fonction.
Répétez ces étapes jusqu'à ce que toutes les fonctions soient incluses dans le risque :
○ Pour les risques SoD, sélectionnez au moins deux fonctions.
○ Pour les risques Action critique et Approbation critique, sélectionnez au moins une fonction.
5. Sélectionnez l'onglet Description détaillée pour afficher la zone de texte Description détaillée. Saisissez une
description du risque.
Attention
Évitez les caractères de Tabulation du clavier lorsque vous saisissez des données de risque dans les
zones de texte Description détaillée et Objectif du contrôle. Les caractères de Tabulation du clavier
peuvent causer problèmes lorsque vous utilisez les utilitaires Exporter et Importer pour déplacer des règles
d'un système à un autre.
Attention
Pour affecter un détenteur du risque à un risque d'accès, vous devez vous assurer que l'utilisateur est
affecté comme détenteur.
Vous utilisez cet écran pour identifier le ou les salarié(s) détenteur(s) de ce risque :
1. Cliquez sur l'icône Plus pour ajouter une zone Détenteur du risque.
2. Cliquez sur la flèche vers le bas située à droite de la ligne pour afficher une liste des salariés définis.
3. Pour affecter un détenteur au risque, sélectionnez-le dans la liste.
Répétez ces étapes jusqu'à l'ajout de tous les ensembles de règles au risque.
9. Sélectionnez Sauvegarder.
Étapes suivantes
Contexte
Procédure
Lorsque vous appuyez sur Entrée, l'application retourne les risques d'accès qui répondent aux critères de
recherche dans l'écran Résultats de la recherche.
Résultats
Si vous n'avez pas filtré la recherche, l'application peut retourner une longue liste de risques d'accès. Vous pouvez
naviguer dans la liste pour trouver le risque d'accès que vous recherchez.
Étapes suivantes
Contexte
Vous pouvez modifier la plupart des critères de sélection des risques d'accès. Cependant, vous ne pouvez pas
modifier l'ID et le Type de risque.
Procédure
Étapes suivantes
Contexte
Vous pouvez supprimer n'importe quel risque d'accès. Cependant, la suppression d' un risque d'accès invalide
toute règle générée à partir de ce risque d'accès.
Étapes suivantes
Utilisation
Utilisez cette fonctionnalité pour identifier des rôles individuels et des profils qui représentent un risque d'accès
pour votre entreprise. Par exemple, une personne qui a le rôle d'administrateur de la base de données principale
est un risque pour votre entreprise. Vérifiez qu'un salarié affecté à ce rôle satisfait les exigences d'autorisation de
votre entreprise. Assurez-vous d'avoir désigné ce rôle comme rôle critique. Si votre système utilise les profils,
vous pouvez avoir défini les profils présentant un risque d'accès. Assurez-vous d'avoir désigné chaque profil
comme étant critique.
Informations complémentaires
Concept
Identifiez les rôles individuels et les profils présentant un risque d'accès pour votre société. Par exemple, une
personne qui a le rôle d'administrateur de la base de données principale est un risque pour votre entreprise.
Assurez-vous que tout salarié à qui ce rôle a été affecté est dûment autorisé. Soyez sûr que vous avez désigné ce
rôle comme rôle critique. Si votre système utilise les profils, vous pouvez avoir défini les profils présentant un
risque. Soyez sûr que vous avez désigné chaque profil comme étant critique.
Informations complémentaires
Utilisation
Utilisez cette fonctionnalité pour identifier des rôles qui font prendre un risque à votre société.
Procédure
Utilisez l'option Filtrer pour rechercher et apporter des modifications à un rôle critique.
Informations complémentaires
Utilisation
Utilisez cette fonctionnalité pour identifier des profils qui font prendre un risque à votre société.
Procédure
Utilisez l'option Filtre pour rechercher et apporter des modifications à un profil critique.
Informations complémentaires
Utilisation
Un risque d'accès correspond à une ou plusieurs actions ou autorisations qui, lorsqu'elles sont disponibles pour
un utilisateur unique (ou un rôle, profil ou objet HR unique), créent un potentiel pour des erreurs de fraude ou des
erreurs involontaires.
Parmi les opérations commerciales, vous pouvez définir des risques d'accès qui nécessitent un contrôle
supplémentaire pour s'assurer que votre organisation fonctionne correctement. Vous pouvez alors surveiller et
contrôler ces risques pour empêcher les utilisateurs d'exploiter des vulnérabilités pour commettre des fraudes ou
enregistrer des erreurs involontaires.
SAP GRC Access Control vous permet de spécifier les types de risques d'accès suivants :
● Séparation des tâches - Elle est définie comme un individu ayant la capacité d'effectuer deux ou plusieurs
fonctions en conflit pour contrôler un processus du début à la fin sans la participation d'autres personnes. Par
exemple, une personne peut être capable de configurer un fournisseur de contenus et de traiter des
paiements ou de manipuler des ventes et des factures clients, pour dissimuler des commissions.
● Action critique - Certaines fonctions sont de nature si critiques que toute personne y ayant accès doit être
identifiée et évaluée pour garantir que l'accès est autorisé. Cela est différent des risques de séparation des
tâches où la personne a seulement besoin d'avoir accès à une fonction unique. Par exemple, la capacité de
configurer un système de production est considérée comme une action critique indépendamment de tout
autre accès que la personne peut avoir.
● Approbation critique - De même que pour les actions critiques, certaines approbations (objets d'autorisation)
sont considérées comme critiques par nature. Par exemple, le fait d'obtenir des approbations
d'administration de jobs d'arrière-plan peut être considéré comme critique par certaines organisations.
Après avoir défini les risques, vous pouvez utiliser la section Analyse de risque d'accès pour générer des états
présentant différents types d'informations, y compris des états présentant des risques d'accès, des conflits ou
l'utilisation d'actions critiques par utilisateur, rôle, profil ou objet HR.
Remarque
L'administrateur peut configurer l'application de sorte qu'elle contienne des affectations Firefighter (FF) dans
l'analyse des risques. Si la fonctionnalité est activée, l'écran Analyse des risques affiche la case à cocher Inclure
L'administrateur configure cette option dans l'activité IMG Gérer options de configuration, sous Governance,
Risk, and Compliance Access Control . Pour le paramètre Prendre en compte les affectations Firefighter
dans l'analyse des risques, saisissez les valeurs comme suit :
Table 16 :
Colonne Valeur
ID du paramètre 1038
Lorsque vous identifiez un risque d'accès dans un état, vous pouvez le résoudre ou y remédier en le supprimant
ou en appliquant un contrôle d'atténuation. Vous pouvez aussi utiliser des états dans la section Analyse de risque
d'accès pour afficher des risques atténués et des risques qui n'ont pas encore été corrigés.
Informations complémentaires
Contexte
Vous pouvez créer un état affichant l'analyse de risque d'accès du niveau utilisateur pour votre organisation.
Procédure
Remarque
Vous pouvez utiliser des groupes d'utilisateurs personnalisés pour effectuer une analyse des
risques pour le groupe plutôt que séparément pour chaque utilisateur. Par exemple, vous créez
Group_A puis ajouter User_01 via user_10. Vous pouvez ensuite exécuter l'analyse des risques sur
Group_A. Pour plus d'informations, voir Création d'un groupe d'utilisateurs personnalisé. [page
102]
○ Inclure utilisateurs
○ Inclure affectation de rôle
○ Niveau d'organisation
○ Règle d'organisation
○ ID utilisateur
○ Entité organisationnelle
○ Valeur organisationnelle
○ Risque par processus
○ ID de risque d'accès
○ Niveau de risque
○ Ensemble de règles
○ Utilisateur
Remarque
Sur une base ad hoc, vous pouvez exécuter une analyse des risques pour une liste filtrée
d'utilisateurs en fonction de leurs attributs SU01. Pour ce faire, sélectionnez Sélections multiples
dans la colonne du milieu. Ensuite sélectionnez Ajouter sélection. Puis sélectionnez Recherche
SU01 pour identifier les attributs que vous voulez analyser.
○ Groupe d'utilisateurs
○ Type d'utilisateur
○ Date de validité
2. Sélectionnez l'opérateur à l'aide de la deuxième liste déroulante, parmi les propositions suivantes :
○ est
○ n'est pas
○ commence par
○ contient
○ se situe entre
○ sélections multiples
3. Dans la zone Valeur, saisissez ou sélectionnez la valeur dans la troisième zone.
4. Vous pouvez ajouter (facultatif) une ligne aux critères d'analyse en sélectionnant le bouton de commande
plus (+) et en indiquant les zones. Ou vous pouvez supprimer une ligne en sélectionnant le bouton de
commande moins (-).
3. Indiquez les options d'état.
Remarque
Cette vue vous permet de lancer des actions de correction directement de l'état. Pour de plus
amples informations, reportez-vous à Vue de correction [page 222].
○ Vue technique
○ Vue de gestion d'entreprise
4. Dans la section Type, sélectionnez le type d'état :
○ Analyse de risque d'accès - Sélectionnez Niveau d'action, Niveau d'approbation, Action critique,
Approbation critique et Rôle/Profil critique.
○ Évaluation des risques d'accès
○ Analyse d'atténuation - Sélectionnez Contrôles d'atténuation ou Contrôles d'atténuation non valides.
5. Dans la section Critères supplémentaires, sélectionnez tout critère de reporting supplémentaire.
6. Vous pouvez sauvegarder (facultatif) les critères d'analyse en tant que variante en saisissant un nom dans la
zone Sauvegarder la variante en tant que et en sélectionnant Sauvegarder.
7. Sélectionnez Exécuter en avant-plan ou Exécuter en arrière-plan.
Pour afficher le job, naviguez jusqu'à Gestion des accès Planification Jobs d'arrière-plan .
Si vous sélectionnez Exécuter en avant-plan, confirmez que vous voulez exécuter l'analyse immédiatement en
sélectionnant OK. Les résultats de l'analyse s'affichent dans une nouvelle fenêtre.
Étapes suivantes
Utilisation
Vous pouvez utiliser des groupes d'utilisateurs personnalisés pour effectuer des activités, comme l'analyse des
risques, pour le groupe plutôt que séparément pour chaque utilisateur. Par exemple, vous créez Group_A puis
ajoutez User_01 par le biais d'user_10. Vous pouvez ensuite effectuer l'activité sur Group_A.
Conditions requises
Cette fonctionnalité s'applique à deux scénarios, Analyse de niveau utilisateur et Simulation de niveau utilisateur.
Procédure
Remarque
Il existe deux façons de créer un Groupe d'utilisateurs personnalisé.
● Vous pouvez utiliser l'activité IMG (transaction SPRO). Localisez l'activité et la documentation à
Governance, Risk and Compliance Contrôle d'accès Gérer groupe d'utilisateurs personnalisé .
● Vous pouvez le créer directement de l'application, si vous y êtes autorisé. Les étapes ci-dessous donnent
des instructions sur la façon de créer le groupe par le biais de l'application. Cette méthode vous permet
aussi d'ajouter des utilisateurs au groupe en fonction de leurs attributs de SU01.
Remarque
Pour voir les groupes existants, sélectionnez Réinitialiser pour réinitialiser la zone. Puis cliquez sur
Rechercher. La colonne de gauche affiche les Noms de groupe personnalisé. La colonne de droite affiche les
ID utilisateur des membres du Groupe d'utilisateurs personnalisé sélectionné. Si vous devez limiter le
nombre de groupes d'utilisateurs personnalisés affichés, vous pouvez utiliser des caractères génériques
(comme l'astérisque).
Informations complémentaires
Création d'un groupe d'utilisateurs personnalisé (par le biais de SPRO) : Governance, Risk and Compliance
Contrôle d'accès Gérer groupe d'utilisateurs personnalisé
Contexte
Vous pouvez utiliser les fonctions de l'écran Simulation du niveau utilisateur pour effectuer une simulation du
niveau utilisateur comme partie de l'analyse de risque d'accès pour votre organisation.
Procédure
1. Sélectionnez Gestion des accès Analyse de risque d'accès Simulation du niveau utilisateur .
L'écran Simulation : Niveau utilisateur apparaît et affiche la phase Définir les critères d'analyse.
2. Définissez les critères d'analyse :
○ Utilisez un ensemble existant de critères d'analyse en saisissant son nom dans la zone Variantes
sauvegardées.
○ Utilisez les zones disponibles à l'écran pour indiquer de nouveaux critères d'analyse :
1. Sous la zone Critères d'analyse, utilisez les zones pour indiquer les critères d'analyse, tels que
Système, Utilisateuretc.
Remarque
Pour afficher le statut des jobs d'arrière-plan, naviguez jusqu'à Gestion des accès Planification
Jobs d'arrière-plan .
7. Si vous sélectionnez Exécuter en avant-plan, confirmez que vous voulez exécuter l'analyse
immédiatement en sélectionnant OK. Les résultats de la simulation apparaissent dans l'écran
Confirmation.
4. Sur l'écran Confirmation, vérifiez les résultats.
Vous pouvez sélectionner (facultatif) Exporter ensembles de résultats pour exporter les résultats vers votre
machine locale.
Contexte
Vous pouvez créer un état affichant l'analyse de risque d'accès du niveau de rôle pour votre organisation.
Procédure
Pour afficher le job, naviguez jusqu'à Gestion des accès Planification Jobs d'arrière-plan .
Si vous sélectionnez Exécuter en avant-plan, confirmez que vous voulez exécuter l'analyse immédiatement en
sélectionnant OK. Les résultats de l'analyse s'affichent dans une nouvelle fenêtre.
Étapes suivantes
Contexte
Vous pouvez utiliser les fonctions de l'écran Simulation du niveau de rôle pour effectuer une simulation du niveau
de rôle comme partie de l'analyse de risque d'accès pour votre organisation.
Procédure
1. Sélectionnez Gestion des accès Analyse de risque d'accès Simulation du niveau de rôle .
L'écran Simulation : Niveau de rôle apparaît et affiche la phase Définir critères d'analyse.
2. Définissez les critères d'analyse à l'aide des méthodes suivantes :
○ Utilisez un ensemble existant de critères d'analyse en saisissant son nom dans la zone Variantes
sauvegardées.
○ Utilisez les zones disponibles sur l'écran pour indiquer de nouveaux critères d'analyse en procédant
comme suit :
1. Sous la zone Critères d'analyse, utilisez les zones disponibles pour indiquer les critères d'analyse, tels
que Système, Type d'analyse, etc.
Remarque
Vous pouvez utiliser les boutons de commande plus (+) et moins (-) pour ajouter ou supprimer des
zones de critères.
2. Sous la zone Options de l'état, sélectionnez et choisissez parmi les propositions suivantes :
○ Format, tel que Synthèse, Détail, Aperçu de gestion et Aperçu exécutif
○ Vue, telle que Vue technique et Vue de gestion d'entreprise
○ Type, seule l'Analyse de risque d'accès est disponible et est automatiquement sélectionnée. Vous
pouvez sélectionner parmi les options d'analyse de risque d'accès suivantes : Niveau d'action,
Niveau d'approbation, Action critique, Approbation critique, Rôle/Approbation critique
○ Critères supplémentaires, tels que Inclure risques atténués et Afficher tous objets
3. Vous pouvez sauvegarder (facultatif) les critères d'analyse en tant que variante en saisissant un nom
dans la zone Sauvegarder variante comme et en sélectionnant Sauvegarder.
4. Sélectionnez Suivant.
3. Sur l'écran Définir critères de simulation, indiquez les critères pour la simulation à l'aide des méthodes
suivantes :
○ Utilisez un ensemble existant de critères de simulation en saisissant son nom dans la zone Variantes
sauvegardées.
○ Utilisez les zones disponibles sur l'écran pour indiquer de nouveaux critères de simulation en procédant
comme suit :
1. Sélectionnez la page à onglet Actions pour ajouter ou supprimer des actions, ajouter ou supprimer
des approbations liées aux actions.
Remarque
Pour afficher le statut des jobs d'arrière-plan, naviguez jusqu'à Gestion des accès Planification
Jobs d'arrière-plan .
7. Si vous sélectionnez Exécuter en avant-plan, confirmez que vous voulez exécuter l'analyse
immédiatement en sélectionnant OK. Les résultats de la simulation apparaissent dans l'écran
Confirmation.
4. Sur l'écran Confirmation, vérifiez les résultats.
Vous pouvez sélectionner (facultatif) Exporter ensembles de résultats pour exporter les résultats vers votre
machine locale.
Étapes suivantes
Contexte
Vous pouvez créer un état affichant l'analyse de risque d'accès du niveau de profil pour votre organisation.
Procédure
Pour afficher le job, naviguez jusqu'à Gestion des accès Planification Jobs d'arrière-plan .
Si vous sélectionnez Exécuter en avant-plan, confirmez que vous voulez exécuter l'analyse immédiatement en
sélectionnant OK. Les résultats de l'analyse s'affichent dans une nouvelle fenêtre.
Étapes suivantes
Contexte
Vous pouvez utiliser les fonctions de l'écran Simulation du niveau de profil pour effectuer une simulation du niveau
de profil comme partie de l'analyse de risque d'accès pour votre organisation.
Procédure
1. Sélectionnez Gestion des accès Analyse de risque d'accès Simulation du niveau de profil .
L'écran Simulation : Niveau de profil apparaît et affiche la phase Définir les critères d'analyse.
2. Définissez les critères d'analyse à l'aide des méthodes suivantes :
○ Utilisez un ensemble existant de critères d'analyse en saisissant son nom dans la zone Variantes
sauvegardées.
○ Utilisez les zones disponibles sur l'écran pour indiquer de nouveaux critères d'analyse en procédant
comme suit :
1. Sous la zone Critères d'analyse, utilisez les zones disponibles pour indiquer les critères d'analyse, tels
que Système, Type d'analyse, etc.
Remarque
Vous pouvez utiliser les boutons de commande plus (+) et moins (-) pour ajouter ou supprimer des
zones de critères.
Remarque
Pour afficher le statut des jobs d'arrière-plan, naviguez jusqu'à Gestion des accès Planification
Jobs d'arrière-plan .
7. Si vous sélectionnez Exécuter en avant-plan, confirmez que vous voulez exécuter l'analyse
immédiatement en sélectionnant OK. Les résultats de la simulation apparaissent dans l'écran
Confirmation.
4. Sur l'écran Confirmation, vérifiez les résultats.
Vous pouvez sélectionner (facultatif) Exporter ensembles de résultats pour exporter les résultats vers votre
machine locale.
Étapes suivantes
Contexte
Vous pouvez créer un état qui affiche l'analyse de risque d'accès des objets HR pour votre organisation.
Procédure
Remarque
Vous pouvez utiliser les boutons de commande plus (+) et moins (-) pour ajouter ou supprimer des
zones de critères.
2. Sous la zone Options de l'état, sélectionnez et choisissez parmi les propositions suivantes :
○ Format, tel que Synthèse, Détail, Aperçu de gestion et Aperçu exécutif
○ Vue, telle que Vue technique et Vue de gestion d'entreprise
○ Critères supplémentaires, tels que Inclure risques atténués et Afficher tous objets
3. Dans la zone Type, choisissez parmi les types et options suivants :
○ Analyse de risque d'accès
Vous pouvez sélectionner parmi les options d'analyse de risque d'accès suivantes : Niveau
d'action, Niveau d'approbation, Action critique, Approbation critique, Rôle/Approbation critique
○ Évaluation des risques d'accès
○ Analyse d'atténuation
Vous pouvez choisir parmi les options d'analyse d'atténuation suivantes : Contrôles d'atténuation
ou Contrôles d'atténuation invalides.
4. Vous pouvez sauvegarder (facultatif) les critères d'analyse en tant que variante en saisissant un nom
dans la zone Sauvegarder variante comme et en sélectionnant Sauvegarder.
3. Sélectionnez Exécuter en avant-plan pour lancer l'analyse immédiatement ou sélectionnez Exécuter en
arrière-plan pour planifier une heure et une date pour le lancement de l'analyse.
Pour afficher le statut des jobs d'arrière-plan, naviguez jusqu'à Gestion des accès Planification Jobs
d'arrière-plan .
4. Si vous sélectionnez Exécuter en avant-plan, confirmez que vous voulez exécuter l'analyse immédiatement en
sélectionnant OK.
Étapes suivantes
Contexte
Vous pouvez effectuer une simulation des objets HR comme partie de l'analyse de risque d'accès pour votre
organisation.
Procédure
1. Sélectionnez Gestion des accès Analyse de risque d'accès Simulation des objets HR .
L'écran Simulation : Niveau d'objet HR apparaît et affiche la phase Définir critères d'analyse.
2. Définissez les critères d'analyse à l'aide des méthodes suivantes :
○ Utilisez un ensemble existant de critères d'analyse en saisissant son nom dans la zone Variantes
sauvegardées.
○ Utilisez les zones disponibles sur l'écran pour indiquer de nouveaux critères d'analyse en procédant
comme suit :
1. Sous la zone Critères d'analyse, utilisez les zones disponibles pour indiquer les critères d'analyse, tels
que Système, Type d'analyse, etc.
Remarque
Vous pouvez utiliser les boutons de commande plus (+) et moins (-) pour ajouter ou supprimer des
zones de critères.
Remarque
Pour afficher le statut des jobs d'arrière-plan, naviguez jusqu'à Gestion des accès Planification
Jobs d'arrière-plan .
7. Si vous sélectionnez Exécuter en avant-plan, confirmez que vous voulez exécuter l'analyse
immédiatement en sélectionnant OK. Les résultats de la simulation apparaissent dans l'écran
Confirmation.
4. Sur l'écran Confirmation, vérifiez les résultats.
Vous pouvez sélectionner (facultatif) Exporter ensembles de résultats pour exporter les résultats vers votre
machine locale.
Étapes suivantes
Utilisation
L'Accès atténué vous permet de gérer les risques reliés au contrôle d'accès en identifiant des risques, en évaluant
le niveau de ces risques et en affectant des contrôles d'atténuation aux utilisateurs, aux rôles et aux profils pour
atténuer des violations de règle d'accès.
L'analyse des risques identifie un risque, ce dernier ne peut pas être atténué sans que le contrôle n'ait été
préalablement défini.
La première étape pour définir ou créer un contrôle d'atténuation consiste à créer un ID de contrôle d'atténuation.
Cet ID apparaît dans les états d'analyse des risques. Tous les ID risque associés au contrôle doivent être
également atténués avec le contrôle.
Fonctionnalités
Vous pouvez imprimer tous les résultats de la recherche pour l'atténuation ou les exporter vers un fichier Excel.
En raison des limitations de taille d'écran, les versions imprimées et exportées des résultats de recherche peuvent
contenir davantage de zones de données que l'écran ne peut l'afficher.
Informations complémentaires
Utilisation
Utilisez la zone Utilisateurs atténués pour créer de nouveaux utilisateurs atténués en les associant à des contrôles
d'atténuation prédéfinis, que ce soit individuellement ou avec une couverture d'atténuation. La couverture
d'atténuation vous permet d'atténuer les risques d'accès pour plusieurs utilisateurs à la fois.
Vous pouvez aussi utiliser cette caractéristique pour rechercher des utilisateurs déjà atténués par l'association
d'un utilisateur et d'un contrôle d'atténuation.
Conditions requises
Vous devez d'abord définir un contrôle d'atténuation avant de pouvoir l'affecter à des utilisateurs pour atténuer un
risque d'accès.
Utilisation
Conditions requises
Vous devez d'abord définir un contrôle d'atténuation avant de pouvoir l'affecter à une organisation pour atténuer
un risque d'accès.
1. Sélectionnez Gestion des accès Accès atténué Règle d'organisation pour utilisateur atténué .
L'écran Règle d'organisation pour utilisateur atténué apparaît, affichant une liste des organisations existantes
auxquelles des contrôles d'atténuation ont été affectés.
2. Sélectionnez Affecter.
L'écran Atténuation d'organisation utilisateur apparaît.
3. Saisissez les informations pour les zones requises. Les zones obligatoires sont marquées d'un astérisque (*).
○ ID de règle d'organisation - Sélectionnez la zone pour saisir l'ID de la règle d'organisation.
○ ID de risque d'accès - Sélectionnez la zone pour saisir l'ID de risque d'accès.
○ ID de contrôle - Saisissez l'ID de contrôle.
○ Moniteur - Automatiquement rempli avec des données de système après que vous avez sélectionné l'ID
de contrôle.
○ Début de validité - Début de la période de contrôle d'atténuation.
○ Fin de validité - Fin de la période de contrôle d'atténuation.
○ Statut - Sélectionnez Actif ou Inactif dans la liste déroulante.
4. Sélectionnez Ajouter pour associer un système au contrôle d'atténuation.
5. Sélectionnez Ajouter pour associer un utilisateur au contrôle d'atténuation.
6. Sélectionnez Envoyer Clôturer .
Le contrôle d'atténuation que vous avez affecté est inclus dans la liste de l'écran Utilisateurs atténués.
1. Sélectionnez Gestion des accès Accès atténué Règle d'organisation pour utilisateur atténué .
L'écran Règle d'organisation pour utilisateur atténué apparaît, affichant une liste des organisations existantes
auxquelles des contrôles d'atténuation ont été affectés.
2. Sélectionnez l'utilisateur que vous souhaitez supprimer puis sélectionnez Supprimer.
Confirmez votre décision de supprimer ce contrôle d'atténuation.
3. Sélectionnez Oui.
Le contrôle d'atténuation que vous avez supprimé est effacé de l'écran Règle d'organisation pour utilisateur
atténué.
Utilisation
Utilisez l'écran Rôles atténués pour affecter des contrôles d'atténuation à un rôle.
Conditions requises
Vous devez d'abord définir un contrôle d'atténuation avant de pouvoir l'affecter à un rôle pour atténuer un risque
d'accès.
Utilisation
Utilisez l'écran Profils atténués pour affecter des contrôles d'atténuation à un profil.
Conditions requises
Vous devez d'abord définir un contrôle d'atténuation avant de pouvoir l'affecter à un profil pour atténuer un risque
d'accès.
Utilisation
Vous pouvez utiliser les fonctions sur l'écran Atténuation HR pour atténuer les risques d'accès en affectant des
contrôles d'atténuation des objets de ressources humaines (HR).
Conditions requises
Procédure
Utilisation
Utilisez l'écran d'Atténuation d'organisation de rôles pour affecter des contrôles d'atténuation à une règle
d'organisation pour un rôle.
Conditions requises
Vous devez d'abord définir un contrôle d'atténuation avant de pouvoir l'affecter à un rôle d'organisation pour
atténuer un risque d'accès.
Informations complémentaires
Utilisation
A l'écran Demande d'accès, vous pouvez effectuer une analyse des risques et une analyse d'impact avant
d'approuver les demandes. Vous disposez des options suivantes pour effectuer l'analyse :
● Dans l'onglet Violations de risque, vous pouvez effectuer l'analyse et sauvegarder les résultats.
● Dans l'onglet Accès utilisateur, vous pouvez utiliser la caractéristique Simulation pour effectuer d'abord
l'analyse puis sélectionner la sauvegarde ou non des résultats.
Remarque
● Vous pouvez activer l'exigence que les approbateurs doivent analyser des risques avant d'approuver les
demandes d'accès. Vous gérez cette option dans l'activité IMG (transaction SPRO) Gérer workflows
MSMP (Multiple Stage Multiple Pass), sous Governance, Risk, and Compliance SAP GRC Access
Control Workflow pour SAP GRC Access Control . Dans la phase Gérer chemins d'accès, sous la section
Gérer stades, sélectionnez Afficher options des tâches. Sélectionnez la zone Analyse des risques obligatoire
et sélectionnez Oui ou Non le cas échéant.
● Vous pouvez autoriser les approbateurs à approuver des demandes d'accès malgré les risques. Vous gérez
cette option dans l'activité IMG Gérer workflows MSMP (Multiple Stage Multiple Pass), sous
Governance, Risk and Compliance SAP GRC Access Control Workflow pour SAP GRC Access
Control . Dans la phase Gérer chemins d'accès, sous la section Gérer stades, sélectionnez Afficher options
des tâches. Cochez la case pour la zone Approuver malgré risque.
Procédure
La procédure suivante est la même quelle que soit la page à onglet que vous sélectionnez pour l'initialiser. La
seule différence est que la Simulation vous autorise à choisir si vous souhaitez sauvegarder les résultats ou non.
1. Du poste de travail Ma page d'accueil, sélectionnez Corbeille de travail. A l'écran Work items, sélectionnez
Gestion des accès. Sélectionnez une demande d'accès.
Remarque
Vous pouvez personnaliser SAP Access Control pour inclure des affectations de firefighter
automatiquement dans l'analyse des risques.
Vous gérez cette option dans l'activité IMG (transaction SPRO) Gérer options de configuration, sous
Governance, Risk, and Compliance SAP GRC Access Control . Pour le paramètre Prendre en
compte les affectations FF dans l'analyse des risques, saisissez les valeurs comme suit :
Table 17 :
Colonne Valeur
ID du paramètre 1038
○ Vous utilisez Analyse d'impact pour identifier les violations d'autorisation concernant d'autres rôles.
C'est-à-dire, les autorisations pour le rôle sélectionné, avec des autorisations pour un autre rôle, se
traduisent par des violations.
Exemple
Table 18 :
Utilisation
Sur l'écran Demande d'accès, vous pouvez effectuer des analyses de risques et des analyses d'impact sur les
pages à onglet suivantes :
● Violations de risques
Si vous voulez sauvegarder les résultats de l'analyse, utilisez la fonction d'analyse dans l'onglet.
● Accès utilisateur
La caractéristique Simulation vous autorise à effectuer d'abord l'analyse, puis à choisir de sauvegarder ou non
les résultats.
Remarque
● Vous pouvez définir l'application de sorte qu'elle analyse automatiquement les risques lorsqu'une
personne envoie une demande d'accès. Par exemple, si l'auteur de la demande décide d'envoyer une
demande sans analyser les risques d'abord, l'application effectue automatiquement une analyse et ajoute
les résultats à la demande d'accès qui apparaît dans la corbeille de travail de l'approbateur.
Vous gérez cette option dans l'activité IMG Gérer options de configuration, sous Governance, Risk, and
Compliance SAP GRC Access Control . Pour le paramètre Activer analyse des risques lors de l'envoi du
formulaire, saisissez les valeurs comme suit :
Table 19 :
Colonne Valeur
ID du paramètre 1071
● Vous pouvez personnaliser l'application pour inclure des affectations de firefighter automatiquement dans
l'analyse des risques.
Table 20 :
Colonne Valeur
ID du paramètre 1038
Procédure
La procédure suivante est la même quelle que soit la page à onglet que vous sélectionnez pour l'initialiser. La
seule différence est que la fonctionnalité de simulation vous permet de choisir si vous souhaitez sauvegarder les
résultats ou non.
Exemple
Table 21 :
Utilisation
Vous pouvez utiliser la phase Analyse risques d'accès pour effectuer les types d'analyse suivants :
● Vous utilisez Analyse des risques pour déterminer des violations des autorisations affectées au rôle, par
exemple, les autorisations se traduisent par des violations de séparation des tâches.
● Vous utilisez Analyse d'impact pour déterminer des violations d'autorisation concernant d'autres rôles. C'est-
à-dire, les autorisations pour ce rôle en combinaison avec des autorisations pour un autre rôle se traduisent
par des violations.
Procédure
Remarque
La zone Sélectionner options pour analyse d'impact est seulement activée lorsque l'analyse d'impact est
sélectionnée.
4. Dans la zone du milieu de l'écran, sélectionnez pour exécuter le job d'analyse en avant-plan ou arrière-plan.
5. Dans la zone Afficher résultat pr, sélectionnez Analyse des risques parmi la liste déroulante puis sélectionnez
Lancer.
6. Dans la zone Résultat, vous pouvez sélectionner les manières différentes d'afficher les résultats de l'analyse.
7. Sélectionnez Atténuer risque, pour atténuer toute violation.
Informations complémentaires
Prérequis
Contexte
Sur l'écran Affecter contrôles d'atténuation, vous pouvez affecter des contrôles d'atténuation aux risques trouvés
pendant l'analyse des risques et l'analyse d'impact.
L'écran vous autorise aussi à atténuer des risques pour des rôles qui ne font pas partie de la demande actuelle.
Par exemple, vous atténuez actuellement des risques pour John_Current_Request. Vous pouvez aussi atténuer
des violations de risque pour John_Other_Request1 et John _Other_Request2. Sélectionnez le bouton de
commande Ajouter pour ajouter et terminer la procédure ci-dessous pour l'étape 4.
Remarque
La caractéristique Atténuer risque est mise à disposition sur plusieurs écrans dans l'application. Dans la
procédure ci-dessous, nous décrivons un point d'accès ; votre point d'accès peut être différent. L'information
s'applique à tous les points d'accès.
1. Sur l'écran Analyser risque d'accès, sous la section Résultats, sélectionnez une violation de risque ou
plusieurs violations puis sélectionnez le bouton de commande Atténuer risque.
L'écran Affecter des contrôles d'atténuation apparaît. L'application utilise l'information de la violation de
risque, comme l'ID de risque d'accès et affiche le contrôle d'atténuation pertinent.
2. Pour utiliser le contrôle d'atténuation indiqué par l'application :
1. modifiez l'information dans les zones pertinentes selon les besoins, comme la période de validité, l'ID de
contrôle et ainsi de suite.
2. Sélectionnez Envoyer.
3. Pour créer un nouveau contrôle :
1. Sélectionnez Créer contrôle et terminez les tâches pour créer un nouveau contrôle.
2. Sélectionnez Ajouter.
L'application ajoute une ligne vide à la liste de contrôles d'atténuation.
3. Saisissez l'information dans les zones pertinentes pour le nouveau contrôle.
4. Sélectionnez Envoyer.
4. Pour affecter des contrôles d'atténuation pour d'autres rôles ou demandes :
1. Sélectionnez Ajouter.
L'application ajoute une ligne vide à la liste de contrôles d'atténuation.
2. Saisissez l'information dans les zones pertinentes pour le nouveau contrôle.
3. Sélectionnez Envoyer.
Étapes suivantes
5.9 Alertes
Utilisation
Quand un utilisateur exécute des actions critiques ou en conflit, le système peut envoyer une alerte d'escalade au
personnel approprié. Vous pouvez utiliser la caractéristique Alertes pour surveiller les alertes d'accès en conflit et
critiques et de contrôle d'atténuation, le cas échéant.
Contexte
Procédure
1. Sélectionnez Gestion des accès Alertes d'accès Alertes d'accès critiques et en conflit ou Gestion
des accès Alertes d'accès Contrôles d'atténuation .
Étapes suivantes
Utilisation
Une fois qu'un message d'alerte a été livré et acquitté ou supprimé, il est conservé en tant qu'enregistrement
archivé. Vous pouvez poursuivre le suivi de ces alertes à l'aide de l'onglet Alertes acquittées des écrans Alertes de
risque de conflit et de risque critique et Contrôles d'atténuation.
Informations complémentaires
Contexte
Procédure
1. Sélectionnez Gestion des accès Alertes d'accès Alertes d'accès critiques et en conflit ou Gestion
des accès Alertes d'accès Contrôles d'atténuation .
L'alerte est acquittée. Vous pouvez afficher des alertes acquittées à l'aide de l'onglet Alertes acquittées. Pour
plus d'informations, voir .
Étapes suivantes
Contexte
Procédure
1. Sélectionnez Gestion des accès Alertes d'accès Alertes d'accès critiques et en conflit ou Gestion
des accès Alertes d'accès Contrôles d'atténuation .
Le dialogue Acquitter l'alerte apparaît en affichant la raison. Sélectionnez Annuler pour écarter le dialogue.
Étapes suivantes
Utilisation
Dans le poste de travail Gestion d'accès, sous Planification, vous pouvez utiliser les liens pour planifier et afficher
les jobs d'arrière-plan.
Fonctionnalités
Utilisation
Vous pouvez utiliser Ordonnanceur de jobs arrière-plan pour créer et gérer des ordonnancements pour des jobs
d'arrière-plan.
Activités
Utilisation
Ce processus de vue d'ensemble explique comment surveiller et empêcher des risques pendant la création et la
mise à jour de rôle.
Processus
Résultat
Les rôles sont introduits dans des environnements sans risque ou avec des risques atténués pour fournir un accès
utilisateur conforme.
Utilisation
La gestion des rôles vous autorise à gérer des rôles des systèmes multiples avec un référentiel de rôle unifié
unique. Les rôles peuvent être documentés, conçus, analysés pour des violations de contrôle, approuvés puis
générés automatiquement. Cela permet de bénéficier de pratiques normalisées afin d'assurer que les
déterminations des rôles, le développement, le test et la gestion soient cohérents à travers l'entreprise entière.
Implémentation
Fonctionnalités
Un rôle est un ensemble prédéfini d'autorisations d'accès. Dans ce modèle, l'accès n'est pas accordé aux
utilisateurs individuels, mais plutôt aux rôles.
Exemple
Pour autoriser l'accès à une application financière pour un utilisateur, vous devez affecter à cet utilisateur un
rôle ayant accès à cette application. Si l'utilisateur est affecté au rôle requis, il peut automatiquement avoir
accès à l'application.
Plusieurs utilisateurs nécessitant l'accès au même module ou à la même application requièrent toutefois
différents niveaux d'accès. En général, pour une application donnée, il existe plusieurs rôles comprenant une
forme d'accès. Par conséquent, l'affectation de rôle définit l'application à laquelle l'utilisateur a accès et le niveau
de l'accès auquel l'utilisateur a droit dans l'application.
L'identification et l'atténuation des risques constituent l'un des éléments clés de l'attribution de privilèges d'accès.
Exemple
Dans la plupart des organisations, les rôles Réception, Stock et Fournisseurs s'excluent mutuellement. Pour
empêcher le risque de fraude, un responsable du catalogue des livraisons ne peut pas avoir la possibilité de
cataloguer le stock et d'autoriser le paiement pour une livraison.
Recommandation
Pour faciliter la planification de rôle et la gestion des rôles, voir l'ensemble des états dans le poste de travail
Etats et analyses qui inclut des états pour :
Utilisation
La méthodologie de création de rôles permet de personnaliser le processus de gestion de rôle pour correspondre
à vos exigences. Vous pouvez aussi configurer plusieurs méthodologies ; par exemple, créez une méthodologie
pour des rôles de finance et un autre pour des rôles de sécurité.
Une méthodologie de création de rôles est constituée d'actions prédéfinies et d'étapes reliées à ces actions. Les
étapes sont ensuite utilisées pour créer un processus de méthodologie qui vous guide par étapes dans le
processus permettant de définir, de générer et de tester un rôle pendant la création de rôle.
Exemple
Vous pouvez utiliser la méthodologie de création de rôles livrée avec l'application, la modifier ou créer votre
propre méthodologie .
Pour personnaliser le processus de gestion des rôles, vous définissez des groupes de conditions. Un groupe de
conditions utilise les valeurs de rôle d'attribut, comme le type de rôle ou le nom du rôle, pour définir une règle qui
est utilisée pour sélectionner une méthodologie spécifique. Par exemple, les utilisateurs avec le rôle Finance
utilisent la méthodologie de finance et les utilisateurs avec des rôles Sécurité utilisent la méthodologie de
sécurité.
Remarque
Vous pouvez avoir des groupes de condition multiples reliés à un processus de méthodologie ; cependant vous
ne pouvez pas avoir des processus multiples reliés à un groupe de conditions.
1. Générez des applications BRFplus, des approbateurs et des fonctions de méthodologie à l'aide de l'activité
IMG Générer des applications de BRFplus, des approbateurs et des fonctions de méthodologie sous
Governance, Risk and Compliance SAP GRC Access Control Gestion des rôles .
2. Dans BRFplus, créez des groupes de conditions et définissez l'ensemble des attributs pertinents, comme le
type de rôle et ainsi de suite.
3. Affectez les groupes de conditions à la fonction BRFplus à l'aide de l'activité IMG Affecter groupes de
conditions aux fonctions BRFplus, sous Governance, Risk, and Compliance SAP GRC Access Control
Gestion des rôles .
4. Définissez les processus de méthodologie dans l'activité IMG Définir processus et étapes de méthodologie,
sous Governance, Risk, and Compliance SAP GRC Access Control Gestion des rôles .
5. Affectez les processus de méthodologie au groupe de conditions à l'aide de l'activité IMG Associer le
processus de méthodologie au groupe de conditions, sous Governance, Risk, and Compliance SAP GRC
Access Control Gestion des rôles .
Utilisation
Vous utilisez Appliquer à nouveau méthodologie pour mettre à jour la méthodologie d'un rôle existant suite à une
modification de la méthodologie du rôle, du contenu du rôle ou des conditions.
Les modifications suivantes sont pertinentes pour la fonction Appliquer à nouveau méthodologie :
● La méthodologie a changé.
Par exemple, vous ajoutez une phase d'approbation ou supprimez une phase.
● Une condition qui influe sur la méthodologie a changé.
Par exemple, la condition pour utiliser un processus particulier, comme Process_01, est modifiée en
Process_02.
● Le contenu du rôle, tel qu'un attribut de rôle, a changé et cela influe sur la méthodologie.
Par exemple, l'attribut de sous-processus pour un rôle a été modifié d'Accounts_Payable_01 en
Accounts_Receivables_01. Le rôle doit utiliser une méthodologie différente si vous aviez configuré des
méthodologies différentes basées sur cet attribut.
L'application applique les modifications et réinitialise la phase en cours à la phase de définition (première phase).
● Les rôles se trouvant au stade d'approbation ne sont pas mis à jour. L'approbation doit être terminée avant
que les rôles ne soient mis à jour.
● Les rôles se trouvant en mode de traitement ne sont pas mis à jour ; autrement dit, le statut interne du rôle
est bloqué.
● Si le rôle contient des rôles dérivés et que la nouvelle méthodologie ne contient pas l'étape de dérivation, vous
devez d'abord supprimer tous les rôles dérivés et mettre à jour les rôles distinctement.
Informations complémentaires
Utilisation
La dérivation de rôle autorise les administrateurs à dériver un ou plusieurs rôles d'un rôle maître individuel. Le rôle
maître sert de modèle pour les autorisations et les attributs. Les rôles dérivés sont différenciés du rôle maître et
les uns des autres par les niveaux organisationnels.
Vous pouvez sélectionner tout rôle du type de rôle Rôle individuel comme rôle maître. L'application crée
automatiquement la relation entre le rôle maître et les rôles dérivés.
Les attributs, comme le processus de gestion sont propagés aux rôles dérivés uniquement lorsque les rôles
dérivés sont créés. Après la création, ce sont des rôles indépendants et toute modification aux attributs dans le
rôle maître n'est pas propagée.
Les données d'autorisation, comme les opérations, les objets, les zones et ainsi de suite, continuent à être
propagées mais pas automatiquement. Vous pouvez sélectionner de propager manuellement des modifications
de données d'autorisation au rôle maître en allant à l'écran Gérer autorisation et en faisant ce qui suit :
● Pour le rôle maître, sélectionnez le bouton de commande Propager des autorisations pour propager des
autorisations aux rôles dérivés.
● Pour les rôles dérivés, sélectionnez le bouton de commande Copier l'autorisation pour copier des
autorisations du rôle maître.
Remarque
Toutes les données d'autorisation sont propagées, sauf pour les niveaux organisationnels.
Informations complémentaires
Utilisation
L'application fournit un cadre normalisé et centralisé pour concevoir, tester et gérer des rôles. Le processus de
gestion des rôles de base, comme indiqué par la plupart des administrateurs de système et de sécurité, implique
les étapes décrites ci-dessous.
Remarque
Le processus décrit ci-dessous est un exemple. Le processus d'une société peut être différent et peut avoir
plus ou moins d'étapes. L'application vous permet de personnaliser les étapes si nécessaire. Pour plus
d'informations, voir Méthodologie de création de rôle [page 137].
Le processus décrit ci-dessous est un processus de bout en bout pour créer les rôles. Une fois que vous avez créé
un rôle, vous pouvez utiliser le bouton Aller à phase pour aller directement à un stade et modifier l'information. Par
exemple, pour modifier les autorisations, ouvrez le rôle puis allez à la phase Gérer autorisation.
Remarque
Pour traiter un rôle, sur l'écran Gestion de rôle utilisateur, vous devez sélectionner le rôle puis sélectionnez le
bouton Ouvrir. Pour quelques phases, comme Définir rôle et Gérer autorisations, vous devez aussi
sélectionner le bouton Traiter au début de l'écran de phase.
Si vous sélectionnez le rôle en sélectionnant son nom, l'application affiche le rôle dans le mode d'affichage.
Tous les boutons sont désactivés et vous pouvez seulement afficher l'information.
SAP fournit un modèle que vous pouvez utiliser pour les notifications. Vous pouvez aussi créer votre propre
modèle personnalisé pour les notifications d'utilisateur dans le Customizing sous Guide de référence SAP
Governance, Risk and Compliance SAP GRC Access Control Workflow pour SAP GRC Access Control Gérer
les messages de notification client .
Conditions requises
● En dehors de l'application, vous avez identifié vos besoins de gestion et évalué votre approche pour gérer les
rôles.
● Dans l'application, vous avez géré le processus de méthodologie de rôle et les étapes en :
○ Terminer les activités dans l'activité IMG Définir processus et étapes de méthodologie, sous
Governance, Risk, and Compliance SAP GRC Access Control Gestion des rôles
○ activant la configuration de gestion (BC) définie pour Processus de méthodologie de gestion de rôle et
étapes
Processus
1. Définition de rôles
2. Gestion d'autorisations
3. Dérivation de rôles
4. Analyse de risques d'accès
5. Autorisation de rôles
6. Génération de rôles
7. Gestion de scénarios de test
Contexte
Vous utilisez Définir rôle pour créer et gérer des attributs pour divers types de rôles. Les types de rôles sont
classés comme des rôles techniques ou des rôles utilisateurs.
Les rôles techniques sont des rôles qui existent physiquement dans le système backend. Vous affectez un rôle
technique à un utilisateur pour lui accorder autorisation et accès au système backend qui contient le rôle. Par
Les rôles utilisateurs sont des rôles logiques qui n'existent que dans l'application SAP GRC Access Control ; ils
n'existent pas dans les systèmes backend. Ils vous autorisent à accorder des autorisations à un utilisateur pour
des rôles multiples. Les rôles peuvent être de systèmes multiples, plutôt que d'affecter manuellement des rôles
distincts pour chaque système.
Procédure
L'écran Nouveau rôle s'affiche. L'application affiche des pages à onglet différentes, basées sur le rôle que vous
créez.
2. Dans la page à onglet Détails, saisissez des informations pour :
○ Type d'application
○ Infrastructure
○ Processus de gestion
○ Sous-processus
○ Version de projet
○ Nom rôle
3. Dans la page à onglet Propriétés, procédez comme suit :
1. Dans la zone Délai de certification en jours, saisissez le nombre de jours que vous voulez donner pour
réviser et approuver le rôle.
2. Sous la zone Propriétés, saisissez des informations pour Niveau critique, Sensibilité et Identificateur selon
les besoins.
3. Sous la zone Réaffirmation du rôle, dans la zone Réaffirmer la période en jours, saisissez le nombre de
jours au bout duquel le rôle doit être réaffirmé. Par exemple, vous pouvez indiquer qu'après 180 jours, le
propriétaire ou approbateur du rôle, doit réviser le rôle et réaffirmer qu'il s'applique encore.
4. Sous la zone Attribution de privilèges d'accès utilisateur, sélectionnez les cases à cocher suivantes :
○ Commentaires obligatoires, pour demander que l'approbateur ou le détenteur saisisse un
commentaire lorsqu'il approuve ou refuse le rôle
○ Activer pour Firefighting, pour mettre le rôle à disposition comme rôle de firefighting.
4. Dans la page à onglet Domaine fonctionnel, sélectionnez les domaines fonctionnels requis.
Vous gérez la liste de domaines fonctionnels dans l'activité IMG Gérer domaines fonctionnels sous
Governance, Risk, and Compliance SAP GRC Access Control Gestion des rôles .
5. Dans la page à onglet Société, sélectionnez les sociétés requises.
Vous gérez la liste de sociétés dans l'activité IMG Définir entreprises sous Governance, Risk, and
Compliance SAP GRC Access Control Gestion des rôles .
6. Dans la page à onglet Zones personnalisées, gérez toutes les zones personnalisées que vous avez définies.
Vous gérez la liste de sociétés dans l'activité IMG Définir entreprises sous Governance, Risk, and
Compliance Options générales Zones personnalisées .
Remarque
Avant de pouvoir modifier la page à onglet Détenteurs/Approbateurs, vous devez sauvegarder le rôle. Les
fonctions pour cette page à onglet sont désactivées dans le mode Créer.
8. Dans la page à onglet Rôles, sélectionnez les rôles pour les associer à ce rôle. Cette option n'est disponible
que pour des rôles composites et des rôles utilisateurs.
9. Dans la page à onglet Condition, ajoutez toutes les conditions requises pour que l'utilisateur soit affecté à ce
rôle.
1. Sélectionnez la case à cocher Vérifier les demandes, pour demander que l'application vérifie que
l'utilisateur ait rempli toutes les conditions avant de permettre l'affectation de rôle.
2. Sélectionnez la case à cocher Active, pour activer la condition.
Vous gérez les conditions dans les Activités de Customizing Définir types de condition et Définir des conditions
du rôle sous Governance, Risk and Compliance SAP GRC Access Control Gestion des rôles .
10. Dans la page à onglet Mappage de rôle, vous pouvez affecter des rôles en tant que rôles enfants. Cela permet
à toute personne à qui ce rôle est affecté d'être affectée aux autorisations et à l'accès pour les rôles enfants
également.
Sélectionnez la case à cocher Prendre en compte approbat. rôles parent pour n'utiliser que les approbateurs
associés aux rôles supérieurs et ignorer tout approbateur associé aux rôles enfants.
Remarque
Si vous utilisez un rôle utilisateur, vous n'avez pas besoin de cette fonction.
Étapes suivantes
Utilisation
Vous pouvez utiliser la page à onglet Détails supplémentaires pour gérer des informations supplémentaires pour
le rôle. La page à onglet est mise à disposition sur tous les écrans de la gestion des rôles, vous pouvez donc gérer
l'information pour toutes les phases du processus de gestion des rôles.
Fonctionnalités
● Description détaillée
Une zone d'entrée de texte libre que vous pouvez utiliser pour saisir toute information pertinente.
● Attribution de privilèges d'accès
Gérer des options d'attribution de privilèges d'accès pour le rôle. Pour plus d'informations, voir Gestion
d'options d'attribution de privilèges d'accès de rôle [page 145].
● Rôles de cas d'emploi
Une liste des infrastructures système où les rôles sont utilisés. La liste inclut le processus de gestion et le
sous-processus.
● Utilisateurs affectés
Une liste de tous les utilisateurs affectés au rôle, avec le système pertinent et la période de validité.
● Pièces jointes
Joindre tout fichier ou des documents requis pour le rôle.
● Historique des modifications
Un historique des modifications apportées au rôle dans SAP GRC Access Control
● Historique des modifications PFCG
Un historique des modifications apportées au rôle dans la transaction PFCG.
Utilisation
Vous gérez ces options pour contrôler comment l'application met à disposition le rôle.
Procédure
1. Sélectionnez la zone Statut de rôle et sélectionnez un statut. Si vous voulez que le rôle soit pour l'attribution
de privilèges d'accès, vous devez sélectionner Production.
Vous gérez la liste de statuts de rôle dans l'activité IMG Gérer statut de rôle, sous Governance, Risk, and
Compliance SAP GRC Access Control Gestion des rôles .
Remarque
L'application effectue seulement l'attribution de privilèges d'accès pour des rôles qui sont activés comme
productifs et pour lesquels l'attribution de privilèges d'accès est autorisée. C'est-à-dire, si le rôle est activé
comme productif, mais que l'attribution de privilèges d'accès autorisée et que Permettre attribution de
privilèges d'accès automatique sont définis sur Non, l'application ne met pas à disposition le rôle.
Utilisation
Vous pouvez utiliser la phase Gérer autorisations pour gérer les données d'autorisation de rôle pour le type de rôle
Individuel. Cette phase n'est pas pertinente pour d'autres types de rôle et n'est pas affichée pour eux.
Remarque
● Si vous mettez à jour un rôle existant, sélectionnez le bouton Traiter pour activer les boutons sur l'écran.
● Dans le mode de Traitement, vous ne pouvez pas naviguer vers d'autres phases. Vous devez sélectionner
Sauvegarder pour activer le bouton Aller à phase.
Conditions requises
L'application fournit des caractéristiques différentes pour gérer les autorisations de rôle PFCG et les autorisations
de rôle non PFCG.
1. Dans la page à onglet Gérer autorisations, sélectionnez dans les caractéristiques suivantes :
○ Ajouter/Supprimer fonction pour gérer les fonctions pour le rôle
○ Gérer données d'autorisation pour lancer la transaction PFCG sur le système backend
○ Synchronisation avec PFCG pour tirer les données d'autorisation de rôle de PFCG et remplacer les
données d'autorisation de rôle dans le contrôle d'accès
Remarque
Dans ce mode, l'application désactive les boutons Ajouter/supprimer fonction et Gérer données
d'autorisation. Pour annuler la synchronisation et activer les boutons, sélectionnez le bouton Annuler
SynchronisationPFCG.
○ Transmettre aux rôles dérivés pour transmettre les modifications de données d'autorisation de rôle à tous
les rôles dérivés reliés à ce rôle
○ Pousser données d'autorisation vers système backend pour pousser les données d'autorisation de rôle du
contrôle d'accès au système backend et remplacer les données d'autorisation dans PFCG
2. Sauvegardez les entrées.
Remarque
Les pages à onglet suivantes sont des données d'autorisation d'affichage et en lecture seule du système
backend pour le rôle :
● Actions
● Autorisations
● Niveaux organisationnels
● Fonctions
Prérequis
● Vous avez créé et sauvegardé le rôle de base dans le système backend PFCG.
● Vous avez affecté le système backend par défaut dans l'activité IMG Gérer mappage pour actions et groupes
de connecteurs, sous Governance, Risk, and Compliance SAP GRC Access Control .
● Si vous voulez autoriser la dérivation de rôle à l'aide de mappages de valeurs organisationnelles sans
organisation principale, vous avez géré l’Identification de paramètre 3025 dans l'activité IMG : Gérer options
de configuration, sous Governance, Risk, and Compliance .
Contexte
La dérivation de rôle autorise les administrateurs à dériver un ou plusieurs rôles d'un rôle maître individuel. Le rôle
maître sert de modèle pour les autorisations et les attributs. Les rôles dérivés sont différenciés du rôle maître et
les uns des autres par les valeurs organisationnelles. Une Organisation principale que le système utilise pour filtrer
les mappages de valeurs organisationnelles pendant la dérivation de rôle, peut ou ne peut pas être requise en
fonction de la façon dont votre système est configuré.
Remarque
Tel qu'il est fourni, le système nécessite l'utilisation de mappages de valeurs organisationnelles pour la
dérivation de rôle, contenant une organisation principale. Si vous voulez autoriser une dérivation de rôle à partir
de mappages ne contenant aucune organisation principale, votre administrateur peut gérer l’Identification de
paramètre 3025 dans l'activité IMG : Gérer options de configuration, sous Governance, Risk, and Compliance
SAP GRC Access Control .
Vous pouvez utiliser le type de rôle Rôle individuel uniquement pour des rôles de base ; par conséquent, vous
pouvez uniquement dériver des rôles de rôles individuels.
Procédure
Le rôle s'ouvre dans une nouvelle fenêtre avec le processus de méthodologie actif dans l'onglet Dérivation.
3. Cliquez sur Dériver.
Remarque
Vous pouvez seulement dériver un rôle à la fois lorsque vous utilisez cette option.
2. En sélectionnant Aucune organisation principale, vous disposez des deux choix suivants :
Table 22 :
Pour dériver le rôle sans utiliser de mappage de va Pour dériver le rôle à l'aide de mappages de valeurs or
leurs organisationnelles, procédez comme suit : ganisationnelles ne contenant aucune organisation
principale, procédez comme suit :
5. Pour dériver un rôle à l'aide de mappages de valeurs organisationnelles contenant une organisation
principale :
1. Sélectionnez le Niveau organisationnel principal.
2. Saisissez les valeurs organisationnelles.
Pour indiquer une seule valeur organisationnelle, saisissez seulement une valeur dans la zone Valeur
organisationnelle initiale.
3. Sous la zone Mappage de valeurs organisationnelles, sélectionnez Ajouter pour sélectionner un ou
plusieurs mappages de valeurs organisationnelles.
4. Sélectionnez Suivant.
6. Dans la zone Nom de rôle dérivé, attribuez un nom au rôle dérivé puis sélectionnez Suivant.
Remarque
Vous pouvez configurer des conventions d'appellation pour des noms de rôle dans l'activité IMG Indiquer
conventions d'appellation, sous Governance, Risk, and Compliance SAP GRC Access Control Gestion
de rôle .
L'application sauvegarde le rôle dérivé. Pour générer le rôle dérivé, allez à la phase Générer rôles.
Utilisation
Vous pouvez utiliser la phase Analyse risques d'accès pour effectuer les types d'analyse suivants :
● Vous utilisez Analyse des risques pour déterminer des violations des autorisations affectées au rôle, par
exemple, les autorisations se traduisent par des violations de séparation des tâches.
● Vous utilisez Analyse d'impact pour déterminer des violations d'autorisation concernant d'autres rôles. C'est-
à-dire, les autorisations pour ce rôle en combinaison avec des autorisations pour un autre rôle se traduisent
par des violations.
Procédure
Remarque
La zone Sélectionner options pour analyse d'impact est seulement activée lorsque l'analyse d'impact est
sélectionnée.
4. Dans la zone du milieu de l'écran, sélectionnez pour exécuter le job d'analyse en avant-plan ou arrière-plan.
5. Dans la zone Afficher résultat pr, sélectionnez Analyse des risques parmi la liste déroulante puis sélectionnez
Lancer.
6. Dans la zone Résultat, vous pouvez sélectionner les manières différentes d'afficher les résultats de l'analyse.
7. Sélectionnez Atténuer risque, pour atténuer toute violation.
Prérequis
Contexte
Sur l'écran Affecter contrôles d'atténuation, vous pouvez affecter des contrôles d'atténuation aux risques trouvés
pendant l'analyse des risques et l'analyse d'impact.
L'écran vous autorise aussi à atténuer des risques pour des rôles qui ne font pas partie de la demande actuelle.
Par exemple, vous atténuez actuellement des risques pour John_Current_Request. Vous pouvez aussi atténuer
des violations de risque pour John_Other_Request1 et John _Other_Request2. Sélectionnez le bouton de
commande Ajouter pour ajouter et terminer la procédure ci-dessous pour l'étape 4.
Remarque
La caractéristique Atténuer risque est mise à disposition sur plusieurs écrans dans l'application. Dans la
procédure ci-dessous, nous décrivons un point d'accès ; votre point d'accès peut être différent. L'information
s'applique à tous les points d'accès.
Procédure
1. Sur l'écran Analyser risque d'accès, sous la section Résultats, sélectionnez une violation de risque ou
plusieurs violations puis sélectionnez le bouton de commande Atténuer risque.
L'écran Affecter des contrôles d'atténuation apparaît. L'application utilise l'information de la violation de
risque, comme l'ID de risque d'accès et affiche le contrôle d'atténuation pertinent.
2. Pour utiliser le contrôle d'atténuation indiqué par l'application :
1. modifiez l'information dans les zones pertinentes selon les besoins, comme la période de validité, l'ID de
contrôle et ainsi de suite.
2. Sélectionnez Envoyer.
Étapes suivantes
Contexte
Dans la phase Générer rôles, vous pouvez soumettre des rôles pour la génération.
Procédure
L'écran affiche une synthèse de ce qui suit pour les rôles à générer :
○ Système par défaut
L'application tire les informations du système par défaut de l'infrastructure du système. Vous gérez les
informations du système par défaut dans l'activité IMG Gérer mappage pour actions et groupes de
connecteurs, sous Governance, Risk, and Compliance SAP GRC Access Control .
○ Autres systèmes
L'application tire les informations du système de l'infrastructure du système. Vous gérez les informations
du système par défaut dans l'activité IMG Gérer mappage pour actions et groupes de connecteurs, sous
Governance, Risk, and Compliance SAP GRC Access Control .
○ Rôles dérivés
L'application affiche une liste des rôles dérivés de ce rôle de base.
L'application effectue une analyse des risques. Si elle ne détecte aucun risque, elle va immédiatement à la
phase Confirmation.
Remarque
Vous pouvez configurer si l'application effectue ou non une analyse des risques avant qu'elle ne génère des
rôles. Pour ce faire, activez l'ID de paramètre 3011 dans l'activité IMG Gérer options de configuration sous
Governance, Risk, and Compliance SAP GRC Access Control .
Remarque
Vous pouvez configurer si l'application génère ou non des rôles même avec des risques. Pour ce faire,
activez les ID de paramètre 3014 à 3018 dans l'activité IMG Gérer options de configuration sous
Governance, Risk, and Compliance SAP GRC Access Control .
Utilisation
Vous pouvez utiliser la phase Gérer scénarios de test pour documenter des résultats de test pour un test fait pour
le rôle. Vous pouvez saisir des cas de test individuel, télécharger des cas de test multiple ou joindre des
documents.
Procédure
Utilisation
Le processus d'approbation des demandes de rôle est constitué des procédures pour la personne effectuant la
demande et pour la personne approuvant la demande.
Conditions requises
Vous avez sélectionné les détenteurs de rôle et les approbateurs de rôle dans la phase Définir rôle.
Processus
Remarque
Pour utiliser les notifications fournies par défaut, aucune configuration n'est requise. L'application
utilise automatiquement les notifications fournies.
Informations complémentaires
Utilisation
Vous pouvez utiliser cette caractéristique pour remettre à disposition des rôles utilisateur à des utilisateurs
lorsque les rôles techniques affectés aux rôles utilisateur ont été modifiés.
L'application permet d'affecter plusieurs rôles techniques à un rôle logique appelé rôle utilisateur. Vous pouvez
ainsi mettre à disposition les autorisations de rôles techniques multiples à un utilisateur en une étape, en mettant
à disposition le rôle utilisateur unique. Cette fonctionnalité permet de remettre à disposition les rôles utilisateur à
des utilisateurs, si les affectations de rôle technique ont été modifiées une fois que vous avez mis initialement à
disposition les rôles.
Exemple
Le chiffre suivant indique que le rôle utilisateur, Business_Role_01, a remplacé ses affectations de rôle
technique Technical_Role_03 par Technical_Role_05 et Technical_Role_06.
Remarque
Cette caractéristique est mise à disposition seulement pour des rôles utilisateur.
Conditions requises
Vous avez activé la phase d’Attribution de privilèges d'accès pour la méthodologie de rôle.
Vous gérez la phase dans l'activité IMG, Définir méthodologie et étapess, sous Governance, Risk and
Compliance SAP GRC Access Control Gestion des rôles .
Processus
1. Sélectionnez Gestion des accès Gestion des rôles Gestion des rôles L'écran Gestion des rôles
utilisateur s'affiche.
Remarque
Le graphique de workflow au début de l'écran affiche la phase Attribution de privilèges d'accès uniquement
si ces deux conditions sont remplies :
○ Vous gérez un rôle utilisateur.
○ Vous avez activé la phase d'Attribution de privilèges d'accès dans le Customizing.
3. Dans la phase Définition, remplacez l'affectation des rôles techniques par le rôle utilisateur le cas échéant puis
sélectionnez Sauvegarder et poursuivre.
4. Terminez les phases du workflow si nécessaire, comme Analyse de risques, pour aller à la phase Attribution de
privilèges d'accès.
La page à onglet Attribution de privilèges d'accès s'affiche seulement si les conditions ci-dessus sont remplies.
Les sous-onglets et fonctions suivants s'affichent :
Table 23 :
Onglet Fonctions
Attribution de privilèges d'accès Sélectionnez le bouton Mettre affectation à jour et l'application effectue un job d'ar
rière-plan pour remettre à disposition le rôle utilisateur aux utilisateurs associés.
L'application effectue le job d'arrière-plan immédiatement, mais selon la configura
tion du système, le processus peut prendre un certain temps.
Remarque
Le bouton Mettre affectation à jour est activé seulement si le rôle utilisateur a été
affecté via le processus de demande d'accès.
Synthèse par utilisateur Cet onglet affiche les résultats du job d'arrière-plan de réattribution de privilèges
d'accès par utilisateur. Vous pouvez ainsi connaître les utilisateurs concernés par
cette réattribution de privilèges d'accès. La colonne Résultat indique si la réattribu
tion de privilèges d'accès a été Correcte ou a Echoué.
Détails Cet onglet affiche les détails du job de réattribution de privilèges d'accès. Il affiche les
informations suivantes :
○ Identifiant du job
○ Utilisateur
○ Rôle associé
○ Système
○ Début de validité
○ Fin de validité
○ Action
Si le job a ajouté ou supprimé le rôle.
○ Résultat
○ Motif
Par exemple, la raison pour laquelle la remise à disposition a échoué.
○ Mis à disposition le
Heure et date auxquelles l'application a mis à disposition les rôles.
○ Initialisé le
Heure et date auxquelles le processus d'arrière-plan a été lancé.
○ Initialisé par
La personne qui a initialisé le job d'attribution de privilèges d'accès.
5. Sélectionnez Sauvegarder et poursuivre puis terminez toute phase restante dans le workflow le cas échéant.
Informations complémentaires
Utilisation
Vous pouvez rechercher des rôles basés sur des attributs de rôle comme le type de rôle, le nom du rôle et ainsi de
suite. Sélectionnez le bouton plus (+) pour ajouter des critères supplémentaires.
Remarque
L'application vous permet de rechercher des rôles à partir de plusieurs écrans. A l'écran Demande d'accès,
l'application vous permet (autorisation d'administrateur requise) de configurer les zones de critères de
recherche. Vous pouvez ajouter des zones personnalisées et configurer leurs attributs. Par exemple, vous
pouvez définir les valeurs par défaut et définir si la zone est obligatoire. Vous pouvez configurer les zones dans
le Customizing pour Gérer attributs de zone personnalisée pour personnalisation de recherche de rôle sous
Recommandation
Il est recommandé de limiter les critères de recherche pour obtenir des résultats plus ciblés.
Activités
Sur l'écran des résultats de la recherche, vous pouvez modifier, copier, supprimer ou exporter les rôles.
● Pour modifier le rôle, sélectionnez Ouvrir. Cela ouvre le rôle dans l'écran de workflow de gestion des rôles.
● Pour définir un nouveau nom du rôle basé sur un rôle existant, sélectionnez un rôle puis sélectionnez Copier.
Sur l'écran Copie de rôle, sélectionnez les attributs que vous voulez copier, puis sélectionnez Envoyer.
● Pour supprimer un rôle, sélectionnez le rôle ou les rôles que vous souhaitez supprimer, puis sélectionnez
Supprimer.
● Pour exporter des rôles et des détails du rôle vers une feuille de calcul Microsoft Excel, sélectionnez les rôles
et sélectionnez Exporter et Exportation de détails de rôle si nécessaire.
Informations complémentaires
Utilisation
Vous utilisez Rôles par défaut pour indiquer des rôles que l'application affecte à un utilisateur automatiquement
pendant l'attribution de privilèges d'accès.
Processus
1. Sélectionnez Créer.
2. Sélectionnez un Attribut et une Valeur d'attribut puis sélectionnez Ajouter.
3. Sélectionnez un système et un nom de rôle dans les colonnes respectives.
4. Sauvegardez les entrées.
Vous avez deux rôles pour des salariés de stock dans votre système : Inventory_Clerk et Inventory_Manager.
Vous avez utilisé Rôles par défaut pour indiquer que l'application devrait utiliser le rôle Inventory_Clerk, si une
demande d'accès d'utilisateur pour le système Inventory01 contient l'attribut Sous-processus, la valeur
d'attribut Check_Inventory et aucun nom de rôle spécifique.
Table 24 :
Attribut Sous-processus
Système Inventory 01
Deux salariés ont soumis des demandes d'accès avec les résultats suivants :
● Employee_01 a seulement indiqué qu'il a requis une autorisation pour le sous-processus de Check_Inventory.
L'application met automatiquement à disposition leur accès avec le rôle par défaut Inventory_Clerk.
● Employee_02 a indiqué qu'il a requis une autorisation pour le sous-processus de Check_Inventory et pour le
rôle Inventory_Manager. L'application met à disposition leur accès avec deux rôles : Inventory_Clerk et
Inventory_Manager.
Utilisation
L'analyse de rôles regroupe des caractéristiques qui vous permettent de viser des rôles d'intérêt, d'analyser les
rôles puis d'intenter une action. Par exemple, trouvez tous les rôles qui sont à cause d'expiration et affirmez s'ils
sont encore pertinents.
Fonctionnalités
Utilisation
Vous utilisez Utilisation d'action pour générer un état qui affiche l'utilisation d'action par rôles, utilisateurs et
profils. Vous pouvez afficher la dernière date d'exécution de l'action et le nombre d'exécutions de cette dernière
sur une période spécifique pour les systèmes SAP.
L'écran de d'état Utilisation d'action affiche l'utilisation pour l'action indiquée pour la plage de dates indiquée et
pour le système sélectionné.
L'état affiche les informations d'utilisation de l'action uniquement pour le système dans lequel le rôle était associé
à l'action.
Activités
Pour afficher un état d'utilisation d'action, saisissez les informations dans les zones le cas échéant, puis
sélectionnez Exécuter dans l'avant-plan ou Exécuter dans l'arrière-plan.
Vous pouvez sauvegarder les critères d'analyse et les utiliser à nouveau pour générer des états en saisissant un
nom dans la zone Sauvegarder variante comme et en sélectionnant Sauvegarder.
Utilisation
Vous utilisez Comparaison de rôle pour comparer deux rôles ou plus dans l'application de contrôle d'accès ou
entre l'application et un autre système. Vous pouvez comparer des rôles par Type de comparaison et Niveau de
comparaison. S'il y a une différence entre les rôles, vous pouvez synchroniser les rôles en sélectionnant d'écraser
les valeurs d'un rôle par un autre. Pour de plus amples informations, voir ci-dessous.
Processus
1. Sélection de rôles
A l'écran Sélectionner les rôles, sélectionnez Ajouter, recherchez et sélectionnez des rôles. Vous devez
sélectionner au moins deux rôles.
2. Sélection de critères de comparaison
Sur l'écran Critères de comparaison, sélectionnez le niveau de comparaison et le type. Si vous sélectionnez de
Comparer rôles entre SAP GRC AccessControl et système, vous devez sélectionner un système dans la zone
Système.
Remarque
La synchronisation s'applique seulement si vous sélectionnez le Type Comparer rôles entre le contrôle
d'accès et le système à l'écran Critères de comparaison.
Exemple
Dans l'exemple suivant, l'application SAP GRC AccessControl est l'interface de gestion de rôle pour les systèmes
backend suivants : Financier (FIN) et ressources humaines (RH). Il illustre que le rôle FIN_ROLE_01 dans le
système FIN n'a pas les mêmes autorisations que le rôle dans l'application SAP GRC AccessControl. Cela peut
survenir si quelqu'un a contourné l'application SAP GRC AccessControl et apporté directement des modifications
aux rôles sur le système.
La comparaison de rôle vous permet de synchroniser les rôles en écrasant l'information de rôle entre l'application
de contrôle d'accès et le système sélectionné.
Vous utilisez Réaffirmation du rôle pour réaffirmer des approbations et des autorisations pour des rôles
sélectionnés qui sont proches de l'expiration. Par exemple, pendant une période, les salariés peuvent changer de
poste d'activité dans une entreprise ou quitter l'entreprise. C'est une pratique habituelle pour les entreprises que
leurs gestionnaires révisent si les autorisations et les rôles affectés à leurs salariés sont encore pertinents ou non.
Sur l'écran Réaffirmation du rôle, vous pouvez rechercher des rôles puis choisir parmi les actions suivantes :
Approuver, Supprimer ou Mettre en suspens.
Utilisation
Vous pouvez utiliser Gestion en masse des rôles pour importer et modifier les autorisations et les attributs pour
des rôles multiples.
Processus
Le processus Gestion en masse des rôles est composé des procédures suivantes :
Remarque
Si vous avez terminé l'importation des rôles ou si les rôles sont déjà dans l'application SAP GRC Access
Control, vous pouvez effectuer les procédures dans n'importe quel ordre requis.
Utilisation
You can use Role Import to bring multiple roles from other systems in to the access control application.
Processus
1.
Specify the type of role to import, the source system, application type, and landscape.
2.
Enter the information for the Role Attribute Source and the Role Authorization Source, such as location of the
attribute and authorization files.
3. Reviewing
Utilisation
Sur l'écran Définir critères, vous pouvez indiquer le type de rôle, la source d'importation et d'autres paramètres
pour importer les rôles multiples.
Procédure
Remarque
Lorsque vous sélectionnez un type de rôle, l'application désactive les zones qui sont sans objet pour ce
type. Par exemple, si vous sélectionnez Rôle utilisateur, l'application désactive les zones Entrée utilisateur
et Source de l'autorisation au rôle.
2. Dans la zone Importer source, sélectionnez la Source d'attribut du rôle et la Source de l'autorisation au rôle.
Remarque
Vous devez avoir l'autorisation S_CTS_SADM pour utiliser l'option Fichier sur serveur.
Les Attributs de rôle sont des détails pour le rôle et peuvent inclure des informations comme le nom du rôle,
le processus, le sous-processus et ainsi de suite. Selon le type de rôle, la source d'attribut de rôle peut être
l'une des suivantes : Entrée utilisateur, Fichier sur le serveur ou Fichier sur le bureau.
La source de l'autorisation au rôle est l'objet qui fournit les informations d'autorisation pour les rôles. Selon
le type de rôle, la source d'autorisation de rôle peut être l'une des suivantes : Système Backend, Fichier sur le
serveur ou le Fichier sur le bureau. Les options s'appliquent aux autorisations de rôle PFCG et non PFCG.
Remarque
Pour des rôles techniques, vous pouvez sélectionner Ignorer pour indiquer que la source d'autorisation de
rôle est sans objet.
Remarque
Les types d'application disponibles dans la liste déroulante Type d'application changent selon le type de
rôle que vous sélectionnez.
5. Dans la zone Critères de sélection du rôle, vous pouvez affiner les rôles que vous voulez importer en indiquant
le système source, la plage des rôles et ainsi de suite.
Vous pouvez sélectionner Importer tous les rôles sauf les rôles prédéfinis par SAP. C'est-à-dire, importez
seulement les rôles que vous avez créés ou personnalisés ; n'importez pas les rôles standard fournis par SAP.
Dans la zone Statut de méthodologie, vous pouvez choisir d'importer seulement les rôles d'un statut
spécifique, comme Terminé ou Initial.
Utilisation
A l'écran Sélectionner données de rôle, vous saisissez les informations pour la Source d'attribut de rôle et la
Source d'autorisation de rôle, comme l'emplacement des fichiers d'attribut et d'autorisation.
En fonction des options que vous sélectionnez pour la Source d'attribut de rôle et la Source d'autorisation de rôle,
l'application affiche les zones applicables. Par exemple, si vous avez sélectionné Fichier sur serveur pour la source
d'attribut de rôle, l'application affiche la zone Source du fichier pour que vous saisissiez l'emplacement du fichier
sur le serveur. Cela inclut aussi un lien pour que vous télédéchargiez un modèle pour les attributs de rôle.
Si vous sélectionnez Entrée utilisateur pour la Source d'attribut de rôle, l'application affiche des onglets et des
zones supplémentaires.
Procédure
Utilisation
Sur l'écran Ordonnancement, vous pouvez sélectionner de planifier que le job s'exécute en arrière-plan à un
moment donné ou sélectionner d'exécuter le job en avant-plan.
Pour exécuter le job en avant-plan, sélectionnez la case à cocher Avant-plan et sélectionnez Soumettre.
Procédure
Utilisation
Vous pouvez utiliser Mise à jour de rôles pour modifier les attributs pour plusieurs rôles. Les actions disponibles
sont mises à jour, supprimées ou ajoutées.
1. Sélection de rôles
1. Sur l'écran Sélectionner les rôles, sélectionnez Ajouter.
2. Recherchez et sélectionnez des rôles basés sur des critères, comme le nom du rôle, niveau critique,
processus de gestion et ainsi de suite.
3. Sélectionnez OK puis Suivant.
2. Sélection de critères
1. Sur l'écran Sélectionner critères, sélectionnez la liste déroulante Attributs et sélectionnez un attribut à
mettre à jour.
2. Sélectionnez la liste déroulante Actions et sélectionnez une action disponible. Vous pouvez choisir de
mettre à jour, supprimer ou ajouter.
Remarque
Les actions affichées dans la liste déroulante dépendent de l'attribut. Les attributs multivaleurs
affichent Mettre à jour, Supprimer et Ajouter. Les attributs monovaleurs affichent seulement Mettre à
jour. Par exemple, pour l'attribut Processus de gestion, seule l'action Mettre à jour est mise à
disposition.
3. Sélectionnez votre option pour Réinitialiser la méthodologie de rôle. Sélectionnez Oui pour réinitialiser les
rôles à la première phase de la méthodologie de rôle. Par exemple, un rôle est dans la quatrième phase
d'une méthodologie de rôle ; cette fonction réinitialise le rôle à la première phase.
3. Sélection de valeurs
Sur l'écran Sélectionner les valeurs, saisissez l'ancienne valeur que vous voulez modifier et la nouvelle valeur
par laquelle vous voulez la remplacer.
Si vous avez sélectionné Tous les attributs sur l'écran Sélectionner critères, l'écran Sélectionner les valeurs
affiche tous les attributs. Sélectionnez les attributs que vous voulez changer.
4.
Planifiez le job d'arrière-plan pour mettre à jour les rôles ou choisissez d'exécuter le job en avant plan.
Vous pouvez utiliser la procédure suivante pour réappliquer la méthodologie de rôle aux rôles multiples :
Remarque
Ce qui suit est une clarification à propos de la fonction Réinitialiser la méthodologie de rôle et la fonction
Appliquer à nouveau méthodologie de rôle :
Informations complémentaires
Contexte
Vous pouvez utiliser Mise à jour des valeurs de l'organisation de rôles dérivés pour pousser des mises à jour des
valeurs de zone organisationnelles vers des rôles dérivés multiples.
Pour modifier les données d'autorisation pour des rôles dérivés, vous devez propager les données d'autorisation
du rôle de base. Pour modifier les valeurs organisationnelles pour les rôles dérivés, vous devez les ouvrir et les
modifier pour chaque rôle. Cette caractéristique vous autorise à utiliser des mappages de valeurs
organisationnelles pour mettre à jour des valeurs pour les rôles multiples en une fois.
Procédure
L'écran Rôles affectés affiche tous les rôles dérivés dans l'infrastructure qui sont affectés par les
modifications.
3. .
Contexte
Vous pouvez utiliser Dérivation du rôle pour dériver des rôles multiples pour des niveaux organisationnels
sélectionnés. Une Organisation principale que le système utilise pour filtrer les mappages de valeurs
organisationnelles pendant la dérivation, peut ou ne peut pas être requise en fonction de la façon dont votre
système est configuré.
Exemple
Vous voulez créer trois rôles pour vos organisations sur la côte occidentale : Recruteur_RH, Comptable et
Gestionnaire. Au lieu de créer manuellement chaque rôle distinctement, vous voulez dériver ces rôles des rôles
maître existants qui ont les données d'autorisation requises. Pour faciliter cette tâche, vous regroupez les
niveaux organisationnels respectifs et les valeurs dans un mappage de valeurs organisationnelles West_Coast,
vous sélectionnez les rôles maître respectifs puis dérivez les nouveaux rôles.
Remarque
Tel qu'il est fourni, le système nécessite l'utilisation de mappages de valeurs organisationnelles pour la
dérivation de rôle, contenant une organisation principale. Si vous voulez autoriser une dérivation de rôle de
mappages ne contenant aucune organisation principale, votre administrateur peut gérer l’Identification de
paramètre 3025 dans l'activité IMG Gérer options de configuration, sous Governance, Risk, and Compliance
SAP GRC Access Control .
Procédure
Étapes suivantes
Contexte
Vous pouvez utiliser Analyse des risques de rôle pour effectuer une analyse des risques sur des rôles multiples.
Procédure
1. Sélectionnez Ajouter.
Étapes suivantes
Contexte
Vous pouvez utiliser Génération de rôle pour générer des rôles multiples.
Procédure
1. Sélectionnez parmi les options suivantes pour mettre à jour la méthodologie de rôle :
○ Ne pas modifier la méthodologie
L'application ne modifie la méthodologie pour aucun des rôles.
○ Garder dans la phase de génération
L'application modifie les phases pour tous les rôles dans la phase de génération.
○ Terminer la phase de génération
L'application termine la phase de génération pour tous les rôles.
2. Dans la table Sélectionner les rôles, sélectionnez Ajouter pour rechercher et sélectionner les rôles.
3. Sélectionnez Envoyer.
L'application crée un job d'arrière-plan pour générer le rôle. Pour plus d'informations sur la vue du statut du
job d'arrière-plan, voir .
Utilisation
Vous pouvez implémenter les directives de votre société pour gérer l'accès d'urgence dans la Gestion des accès
d'urgence (GAU). Les utilisateurs peuvent créer des demandes de Self-Service pour l'accès d'urgence à des
systèmes et des applications. Les responsables de processus de gestion peuvent réviser les demandes d'accès
d'urgence et accorder des accès. Les personnes responsables de la conformité peuvent effectuer des audits
périodiques d'utilisation et de journaux pour surveiller la conformité aux directives de société. Pour plus
d'informations, voir Création de rôles [page 175] et Terminologie GAU [page 174].
Recommandation
● Vérifiez avec votre administrateur si votre système est basé sur l'ID ou le rôle. Pour obtenir de plus amples
informations, reportez-vous à .
● Suivez et approuvez des demandes d'accès d'urgence via un processus formel, documenté.
● Révisez l'utilisation prévue et réelle de l'accès d'urgence dans un processus formel, documenté. Examinez
toute différence entre l'utilisation prévue et réelle.
● Implémentez un audit périodique d'utilisation et de journaux d'ID Firefighter. Vérifiez que les activités de
Firefighter sont documentées et révisées et que les exceptions sont examinées selon la directive.
Processus
Remarque
Le responsable de processus de gestion est la personne affectée à ces droits selon le besoin de gestion.
Par exemple, un détenteur d'ID Firefighter ou un détenteur de rôle Firefighter peut être affecté pour
approuver la demande de Firefighter. Un contrôleur peut être affecté pour réviser les activités de
Firefighter.
Résultat
Ce processus se traduit par la mise en place d'un processus de demande, d'accord et de suivi de l’accès
d'urgence.
Les concepts suivants sont importants pour comprendre la gestion des accès d'urgence :
Utilisation
Le workflow suivant est le workflow de configuration de la partie Gestion des accès d'urgence (GAU) de
l'application SAP GRC Access Control
Processus
Vous pouvez sélectionner les types d'applications suivants à utiliser pour firefighting :
● Firefighter basé sur l'ID : vous fournissez des autorisations Firefighter en affectant des ID Firefighter aux
utilisateurs. Les Firefighters utilisent la barre de lancement Gestion des accès d'urgence (GAU) pour accéder
à leurs ID firefighting et aux systèmes pertinents. Les utilisateurs peuvent accéder à la barre de lancement
GAU comme suit :
○ Accès centralisé (dans le système GRC)
Connectez-vous au système GRC et utilisez la transaction GRAC_EAM pour accéder à distance à tous les
systèmes de Plug-In autorisés. Dans ce scénario, le système GRC et la barre de lancement GAU
fournissent un point d'accès centralisé aux systèmes Plug-In pour firefighting.
○ Accès décentralisé (sur les systèmes Plug-In)
Connectez-vous aux systèmes Plug-In respectifs et utilisez la transaction /GRCPI/GRIA_EAM pour
effectuer les activités firefighting. Dans ce scénario, firefighting étant exécuté localement sur chacun des
systèmes Plug-In, vous disposez d'accès firefighting continus lorsque le système GRC n'est pas
disponible, cependant vous devez vous assurer que vous disposez de comptes utilisateur sur chacun des
systèmes Plug-In.
Les fonctions telles que les affectations et le reporting sont toujours gérées dans le système GRC. Pour
de plus amples informations, voir Firefighting décentralisé [page 177].
Remarque
Les deux options relatives à l'accès centralisé et décentralisé sont toujours disponibles. Vous ne devez pas
activer l'une ou l'autre. Pour de plus amples informations, reportez-vous à .
● Firefighter basé sur rôle : vous créez les rôles Firefighter dans les systèmes Plug-In et les affectez aux
utilisateurs dans le système GRC. Le Firefighter se connecte directement au système Plug-In à l'aide de son ID
utilisateur et effectue des activités firefighting.
Remarque
Vous pouvez utiliser un seul type d'application à la fois.
Pour définir le type d'application comme basé sur ID ou basé sur rôle, configurez le paramètre 4000 dans
l'activité IMG Gérer options de configuration, sous Governance, Risks, and Compliance Access Control .
Les utilisateurs de la Gestion des accès d'urgence peuvent être des administrateurs, des détenteurs, des
contrôleurs et des Firefighters. Le tableau suivant décrit chaque rôle et les rôles livrés qui contiennent les
autorisations recommandées.
Remarque
Les rôles livrés sont des modèles de rôle. Vous devez les copier dans votre propre espace nom si vous voulez
les utiliser.
Administrateur Les administrateurs ont un accès complet à la capacité de Gestion d'accès d'urgence. Ils affectent des ID
Firefighter aux détenteurs et aux firefighters. Des administrateurs exécutent des états, gérent les tables
de données et s'assurent que la table de code de motif est actuelle. Les administrateurs peuvent activer
des notifications par e-mail pour des contrôleurs via la fonction d'affectation de Firefighter et via le Cus
tomizing.
Remarque
Pour des scénarios de firefighting décentralisés, pour permettre à l'administrateur de prolonger la pé
riode de validité des affectations firefighting, vous devez créer ce rôle sur les systèmes de Plug-In
pertinents. Affectez l'objet d'autorisation /GRCPI/001 et saisissez la valeur de zone ACTVT comme
70 ou * (astérisque).
Détenteur Les détenteurs peuvent affecter des ID Firefighter à des Firefighter et définir des contrôleurs. Les déten
teurs peuvent afficher les ID Firefighter que l'administrateur leur a affectés. Ils ne peuvent pas s'affecter
des ID Firefighter à eux-mêmes.
Remarque
Pour des scénarios de firefighting décentralisés, pour permettre au détenteur de prolonger la période
de validité des affectations firefighting, vous devez créer ce rôle sur les systèmes de Plug-In perti
nents. Affectez l'objet d'autorisation /GRCPI/001 et saisissez la valeur de zone ACTVT comme
blank (vide).
Contrôleur Les contrôleurs surveillent l'utilisation d'ID Firefighter en révisant le journal ou le workflow de journal et
en recevant la notification par e-mail d'événements de connexion d'ID Firefighter.
Firefighter Les Firefighters peuvent accéder aux ID Firefighter qui leur sont affectés et exécuter les tâches pour les
quelles ils disposent d'une autorisation. Les Firefighters utilisent les connexions ID Firefighter pour exé
cuter des transactions lors des situations d'urgence.
Remarque
Pour les scénarios firefighting décentralisé, pour que le firefighter puisse utiliser la barre de lance
ment GAU, vous devez créer ce rôle dans les systèmes Plug-In pertinents. Affectez au rôle les autori
sations d'utilisation des transactions /GRCPI/GRIA_EAM et SU53.
ID Firefighter Le rôle fourni SAP_GRAC_SPM_FFID, lorsqu'il est affecté à un ID utilisateur transforme l'ID en ID Fire
fighter. Affectez au rôle l'objet d'autorisation S_RFC pour activer la connexion distante.
Remarque
Ce rôle est utilisé seulement pour le firefighting basé ID.
Pour de plus amples informations sur les rôles et les objets d'autorisation, reportez-vous au Guide de sécurité SAP
Access Control 10.0 à l'adresse http://help.sap.com/grc-ac .
Vous pouvez sélectionner les types d'applications suivants à utiliser pour firefighting :
● Firefighter basé sur l'ID : vous fournissez des autorisations Firefighter en affectant des ID Firefighter aux
utilisateurs. Les Firefighters utilisent la barre de lancement Gestion des accès d'urgence (GAU) pour accéder
à leurs ID firefighting et aux systèmes pertinents. Les utilisateurs peuvent accéder à la barre de lancement
GAU comme suit :
○ Accès centralisé (dans le système GRC)
Connectez-vous au système GRC et utilisez la transaction GRAC_SPM pour accéder à distance à tous les
systèmes de Plug-In autorisés. Dans ce scénario, le système GRC et la barre de lancement GAU
fournissent un point d'accès centralisé aux systèmes Plug-In pour firefighting.
● Firefighter basé sur rôle : vous créez les rôles Firefighter dans les systèmes Plug-In et les affectez aux
utilisateurs dans le système GRC. Le Firefighter se connecte directement au système Plug-In à l'aide de son ID
utilisateur et effectue des activités firefighting.
Remarque
Vous pouvez utiliser un seul type d'application à la fois.
Pour définir le type d'application comme basé sur ID ou basé sur rôle, configurez le paramètre 4000 dans
l'activité IMG Gérer options de configuration, sous Governance, Risks, and Compliance Access Control .
Firefighting décentralisé permet d'utiliser la barre de lancement Gestion des accès d'urgence (GAU) directement
dans les systèmes Plug-In, pour effectuer des activités firefighting lorsque le système GRC n'est pas disponible.
Pour utiliser la barre de lancement GAU décentralisée dans le système Plug-In, ouvrez SAP GUI et exécutez la
transaction /GRCPI/GRIA_EAM. Cette transaction étant exécutée localement, les utilisateurs doivent également
disposer de comptes dans les systèmes Plug-In pertinents afin d'exécuter firefighting.
Figure 8 : Fonctions gérées dans le système GRC par rapport au Plug-In (pour Firefighting décentralisé)
Configuration facultative
Vous pouvez également gérer différents noms de rôle pour les ID Firefighter pour chaque système Plug-In. Par
exemple, dans le System01 Plug-In, vous utilisez SAP_GRAC_EAM_FFID01 et dans le System02 Plug-In, vous
utilisez SAP_GRAC_EAM_FFID02.
Vous pouvez configurer ces noms de rôles dans l'activité IMG Gérer nom du rôle d'ID Firefighter par connecteur,
sous Governance, Risks, and Compliance Access Control Gestion des accès d'urgence .
Les informations du tableau suivant décrivent les activités gérées dans le système Plug-In.
Table 26 :
Activité Commentaires
Création d'utilisateurs dans des systè La barre de lancement GAU étant initialisée localement, l'utilisateur doit disposer
mes pour pouvoir utiliser la barre de lan d'un compte utilisateur dans les systèmes Plug-In afin d'exécuter firefighting.
cement GAU via SAP GUI.
Création d'ID Firefighter Vous créez des ID Firefighter dans chaque système Plug-In et vous les synchronisez
dans le référentiel GRC.
Pour de plus amples informations, voir Création et gestion d'ID Firefighter [page
184].
Extension de la période de validité pour Vous pouvez étendre la période de validité pour des affectations firefighting dans le
affectations firefighting système GRC ou dans le système Plug-In.
Dans le système Plug-In, utilisez les activités IMG (transaction SPRO) pour étendre
la période de validité pour des affectations Firefighter dans le système Plug-In.
Pour de plus amples informations, voir Extension des périodes de validité pour af
fectations firefighting [page 196].
Activation de la notification par e-mail Vous pouvez activer chaque système Plug-In afin d'informer le contrôleur firefight
de connexion Firefighter. ing pertinent lorsqu'un Firefighter a ouvert une session firefighting.
Vous pouvez activer chaque système Les systèmes Plug-In envoient des notifications aux contrôleurs et aux détenteurs.
Plug-In afin d'informer le contrôleur fire Les contrôleurs et les détenteurs doivent donc disposer de comptes utilisateur dans
fighting pertinent lorsqu'un Firefighter a les systèmes Plug-In.
ouvert une session firefighting.
Dans les systèmes Plug-In, utilisez les activités IMG (transaction SPRO) pour activer
la notification.
Pour de plus amples informations, voir Gestion des notifications par e-mail pour
connexions aux accès d'urgence [page 189].
Personnalisation du texte pour la notifi Vous pouvez adapter le texte pour les notifications pour chaque système Plug-In.
cation par e-mail de connexion Fire
Dans les systèmes Plug-In, utilisez les activités IMG (transaction SPRO) pour activer
fighter.
la notification.
Vous pouvez personnaliser le texte pour
Pour de plus amples informations, voir Gestion des notifications par e-mail pour
les notifications pour chaque système
connexions aux accès d'urgence [page 189].
Plug-In.
Table 27 :
Activité Commentaires
Configuration de la Gestion des accès d'ur Les informations relatives à la configuration et aux données de base sont gérées
gence et données de base liées dans le système GRC et envoyées dans les systèmes Plug-In.
Vous devez planifier des jobs périodiques pour l'application afin de synchroniser
les données de base du système GRC aux systèmes Plug-In correspondants. SAP
recommande de planifier la synchronisation quotidiennement.
Création d'ID Firefighter Vous créez des ID Firefighter dans chaque système Plug-In et vous les synchroni
sez dans le référentiel GRC.
Pour de plus amples informations, voir Création et gestion d'ID Firefighter [page
184].
Extension de la période de validité pour af Vous pouvez étendre la période de validité pour des affectations firefighting dans
fectations firefighting le système GRC ou dans le système Plug-In.
Dans le système Plug-In, utilisez les activités IMG (transaction SPRO) pour éten
dre la période de validité pour des affectations Firefighter dans le système Plug-
In.
Pour de plus amples informations, voir Extension des périodes de validité pour af
fectations firefighting [page 196].
Gestion et synchronisation de journaux Toutes les activités de gestion de journaux et d'utilisateurs sont gérées dans le
système GRC. SAP recommande de planifier le job pour la collecte de journaux
toutes les heures.
Le système GRC ne doit pas être arrêté pendant les périodes étendues car cela
peut se répercuter sur la collecte des journaux.
Notification aux contrôleurs pour les jour Gérée dans le système GRC
naux, les états et les activités de workflow.
Utilisation
Conditions requises
Assurez-vous que les utilisateurs peuvent accéder au système GRC et ouvrez SAP GUI.
Processus
Les informations dans cette section sont requises pour configurer tout firefighting basé dans ID.
Remarque
Pour des étapes supplémentaires requises pour le firefighting décentralisé, voir la section Etapes
supplémentaires pour configuration Firefighting décentralisé basé ID ci-dessous.
1. Créer des rôles d'application pertinents pour la Gestion des accès d'urgence.
Pour la liste des rôles d'application requis, voir Création de rôles [page 175].
2. Activer le type d'application pour Firefighting basé ID :
1. Dans le Customizing (transaction SPRO), ouvrez l'activité Gérer options de configuration, sous
Governance, Risk and Compliancel SAP GRC Access Control.
2. Pour le paramètre 4000, activez la valeur 1 pour l'ID basé firefighting.
Pour configurer firefighting décentralisé, terminez d'abord les tâches ci-dessus puis les étapes suivantes.
Remarque
Si vous n'utilisez pas cette option, l'application utilise le nom du rôle d'ID Firefighter par défaut référencé
dans parameter 4010 de l'activité IMG Gérer options de configuration pour tous les systèmes.
5. Vous pouvez gérer des options de notifications par e-mail de connexion de Firefighter distinctes pour chacun
des systèmes de Plug-In (facultatif).
○ Pour permettre à chaque système de Plug-In d'envoyer ses propres notifications par e-mail de connexion,
procédez comme suit :
1. Dans le système de Plug-In, ouvrez l'activité IMG, Gérer options de configuration de Plug-In, sous
Governance, Risk and Compliance (Plug-In) SAP GRC Access Control .
2. Pour parameter 4008, définissez la valeur sur 1.
○ Pour modifier le texte des notifications par e-mail de connexion pour chacun des systèmes de Plug-In,
gérez les activités IMG suivantes :
○ Gérer des messages d'information personnalisés pour la Gestion des accès d'urgence (Plug-In)
○ Gérer Texte pour des Messages d'information personnalisés (Plug-In)
Pour de plus amples informations, voir Gestion des notifications par e-mail pour connexions aux accès
d'urgence [page 189].
Remarque
Ces étapes de configuration s'ajoutent aux étapes de configuration principales pour firefighting basé sur ID.
Vérifiez que les étapes de création et d'affectation de détenteurs, de contrôleurs et de Firefighters sont
terminées.
Informations complémentaires
Utilisation
Vous créez des ID Firefighter en affectant le Rôle d'ID Firefighter à un compte utilisateur.
Vous pouvez utiliser la transaction SU01ou la fonctionnalité de demande d'accès dans le Contrôle d'accès pour
créer des ID Firefighter. Ce sujet explique comment créer et gérer des ID Firefighter à l'aide de la fonctionnalité de
demande d'accès.
Remarque
Vous devez créer des ID Firefighter pour chaque système Plug-In et les synchroniser dans le référentiel GRC.
Conditions requises
Procédure
Remarque
Vous pouvez utiliser la transaction SU01 ou la fonctionnalité de demande d'accès dans le Contrôle d'accès pour
créer des ID Firefighter. Les étapes ci-dessous expliquent comment créer et gérer des ID Firefighter à l'aide de
la fonctionnalité de demande d'accès.
Vous pouvez aussi utiliser la fonctionnalité de demande d'accès pour gérer, modifier ou supprimer les ID
Firefighter.
Informations complémentaires
Utilisation
Vous devez affecter des détenteurs à des ID Firefighter et à des rôles Firefighter. Les détenteurs affectent ensuite
des ID Firefighter à des Firefighters et définissent des contrôleurs.
Conditions requises
● Pour firefighting orienté rôle, vous avez défini les rôles de firefighter dans le système GRC et sélectionné la
case à cocher Activer pour Firefighting à l'écran Définir rôle sous Gestion des accès Gestion des rôles
Gestion des rôles .
● Pour firefighting basé sur l'ID, vous avez défini un rôle d'ID Firefighter dans le système ERP et affecté le rôle de
l'autorisation de connexion distante S_RFC.
Procédure
Utilisation
Vous affectez des contrôleurs aux ID et aux rôles firefighting. Les contrôleurs effectuent un suivi et un audit des ID
et rôles Firefighter. Vous pouvez utiliser les fonctions à l'écran Contrôleur pour affecter, ajouter ou supprimer un
contrôleur pour des ID et des rôles Firefighter.
Remarque
Une seule personne à la fois peut modifier les affectations du contrôleur pour un ID ou un rôle Firefighter.
Procédure
Remarque
Les utilisateurs doivent disposer d'une autorisation pour le portail pour accéder aux work items de
workflow.
○ Afficher journal
Pour afficher des événements de connexion d'ID Firefighter de l'écran Administrateur de gestion des
accès d'urgence. Le contrôleur génère manuellement le journal et affiche l'état à l'écran Administrateur de
gestion des accès d'urgence. Le système n'envoie aucune notification par e-mail automatisée.
7. Sélectionnez Sauvegarder Fermer .
Utilisation
Vous autorisez les utilisateurs à effectuer firefighting en leur affectant des ID Firefighter (pour firefighting basé sur
ID) ou des rôles Firefighter (pour le firefighting basé sur le rôle). Vous utilisez les fonctions à l'écran ID Firefighter
pour gérer les affectations de Firefighter.
Remarque
Une seule personne peut traiter une affectation de Firefighter à la fois.
Conditions requises
● Pour des scénarios orientés rôle, vous avez défini les rôles de firefighter dans le système GRC et sélectionné
la case à cocher Activer pour Firefighting à l'écran Définir rôle sous Gestion des accès Gestion des rôles
Gestion des rôles .
● Pour firefighting basé sur l'ID, vous avez défini un rôle d'ID Firefighter dans le système ERP et affecté le rôle de
l'autorisation de connexion distante S_RFC.
Procédure
Utilisation
Vous pouvez disposer de l'application d'envoi de notifications par e-mail aux contrôleurs lorsqu'un Firefighter se
connecte pour effectuer un firefighting basé ID.
Vous pouvez aussi personnaliser le texte de notification. Si vous ne personnalisez pas le texte, l'application utilise
le texte de message par défaut.
Processus
Centralisé
Pour les scénarios de firefighting centralisés, toutes les connexions de firefighting et les notifications par e-mail de
connexion de Firefighting sont traitées dans le système GRC.
Configurez les activités IMG suivantes sous Governance, Risk and Compliance SAP GRC Access Control
Contrôle d'accès de Workflow .
Décentralisé
Pour les scénarios de firefighting décentralisés, toutes les connexions de firefighting et les notifications par e-mail
de connexion de firefighting sont traitées dans chaque système de Plug-In. Vous devez gérer des comptes
utilisateurs pour les contrôleurs et les détenteurs dans les systèmes de Plug-In pour qu'ils reçoivent des
notifications. Vous gérez les options suivantes pour chaque système de Plug-In.
Configurez les activités IMG suivantes sous Governance, Risk and Compliance (Plug-In) Contrôle d'accès .
● Gérer des messages d'information personnalisés pour des Connexions d'accès d'urgence (Plug-In)
● Gérer Texte pour des Messages d'information personnalisés (Plug-In)
Utilisation
Lorsqu'un Firefighter utilise la barre de lancement de la Gestion des accès d'urgence (GAU) pour se connecter au
système dans le but d'effectuer des activités Firefighter, le Firefighter doit fournir un motif pour la connexion en
sélectionnant l'un des codes de motif disponibles.
Pour ouvrir l'écran Codes de motif, sélectionnez Gestion des accès Gestion des accès d'urgence Codes de
motif .
Informations complémentaires
Procédure
Informations complémentaires
Contexte
Vous affectez des codes de motifs à un ou plusieurs systèmes. L'application suit l'usage de code de motif à
travers chaque système.
Procédure
1. Sélectionnez Gestion des accès Gestion des accès d'urgence Codes de motif .
L'écran Codes de motifs apparaît et affiche une liste des codes de motifs existants et des zones et boutons
liés.
2. Sélectionnez Statut pour activer les codes de motifs existants sur actif ou inactif.
3. Pour affecter un système à un code de motifs, sélectionnez un code de motif actif existant ou créez un
nouveau code de motif.
Étapes suivantes
Utilisation
Processus
1. Créer des rôles d'application pertinents pour la Gestion des accès d'urgence.
Pour la liste des rôles d'application requis, voir Création de rôles [page 175].
2. Activer le type d'application pour Firefighting basé sur rôle :
1. Dans le Customizing (transaction SPRO), ouvrez l'activité Gérer options de configuration, sous
Governance, Risk and Compliance SAP GRC Access Control.
2. Pour le paramètre 4000, activez la valeur 2 pour firefighting basé sur le rôle.
3. Synchroniser les utilisateurs et les rôles dans les systèmes de Plug-In avec le système GRC.
Vous effectuez cette synchronisation via l'activité IMG Synchronisation d'objet de référentiel, sous
Governance, Risk and Compliance SAP GRC AccessControl Tâches de synchronisation .
4. Créer des rôles de firefighting dans les systèmes de Plug-In respectifs via PFCG ou la fonctionnalité de gestion
des rôles utilisateur de SAP GRC Access Control.
Pour de plus amples informations, reportez-vous à Définition de rôles [page 142].
5. Gérer les détenteurs SAP GRC Access Control suivants dans l'application GRC :
○ Détenteur du rôle Firefighter
Les détenteurs de rôle Firefighter sont responsables de la gestion des rôles et de leurs affectations aux
Firefighters.
○ Contrôleur de rôle Firefighter
Les contrôleurs de rôle Firefighter sont responsables de la révision des journaux générés lors de
l'utilisation de Firefighter.
6. Affecter un détenteur à un rôle Firefighter.
Pour de plus amples informations, reportez-vous à Affectation de détenteurs [page 185].
7. Affecter un contrôleur à un rôle Firefighter.
Pour de plus amples informations, reportez-vous à Affectation de contrôleurs [page 186].
8. Affecter un rôle Firefighter à un utilisateur pour lui permettre de procéder au firefighting.
Pour de plus amples informations, reportez-vous à Affectation de Firefighters [page 188].
Informations complémentaires
Utilisation
Vous pouvez choisir de disposer de l'application Envoyer des notifications par e-mail lorsqu'un journal a été créé.
Vous pouvez aussi personnaliser le texte de notification. Si vous ne personnalisez pas le texte, l'application utilise
le texte de message par défaut.
Procédure
Firefighting centralisé :
Pour les scénarios de firefighting centralisés, toutes les notifications par e-mail sont traitées dans le système
GRC.
Configurez les activités IMG suivantes sous Governance, Risk and Compliance Contrôle d'accès Contrôle
d'accès de Workflow .
Firefighting décentralisé
Pour les scénarios de firefighting décentralisés, les notifications par e-mail pour des journaux sont traitées dans
chaque système de Plug-In. Vous gérez les options de configuration suivantes pour chaque système de Plug-In.
Configurez les activités IMG suivantes sous Governance, Risk and Compliance (Plug-In) Contrôle d'accès .
● Gérer des messages d'information personnalisés pour des Connexions d'accès d'urgence (Plug-In)
● Gérer Texte pour des Messages d'information personnalisés (Plug-In)
Prérequis
Avant que vous demandiez accès d'urgence, votre administrateur doit avoir précédemment configurer la
fonctionnalité de Gestion des accès d'urgence. L'administrateur peut aussi vous informer si vous souhaitez
utiliser le Firefighting basé sur ID ou rôle. Pour plus d'informations, voir Accès aux systèmes pour effectuer des
activités de Firefighting [page 197].
Contexte
Vous pouvez demander un accès d'urgence aux systèmes dans votre infrastructure SAP pour effectuer un
firefighting. Pour créer une demande d'accès d'urgence, vous utilisez le processus de création de demandes
d'accès principal et indiquez que vous voulez qu'un ID Firefighter ou rôle Firefighter vous soit affecté.
Pour obtenir de plus amples informations, reportez-vous à Création de demandes d'accès [page 24].
Procédure
1. Dans la page à onglet Accès d'utilisateur, sélectionnez Ajouter puis sélectionnez les éléments suivants :
○ ID Firefighter
○ Rôle Firefighter
Remarque
Lorsqu'un ID Firefighter ou un rôle Firefighter est requis, vous pouvez filtrer la recherche à l'aide de
Système et Code d'action. Si vous utilisez Code d'action, vous devez également indiquer le Système. Pour
les demandes d'ID Firefighter et de rôle Firefighter, le(s) détenteur(s) s'affiche(nt) dans la colonne
Approbateur d'affectation.
2. Sélectionnez Envoyer.
Utilisation
Sur l'écran Demande d'accès, les approbateurs peuvent réviser, refuser, modifier ou approuver des demandes
d'accès.
Processus
Remarque
Vous pouvez configurer les boutons de commande et les zones que les approbateurs peuvent voir. Par
exemple, vous pouvez autoriser les approbateurs à ajouter des rôles à une demande. Pour plus
d'informations, voir .
2. Révisez la demande et exécutez des actions si nécessaire, comme Approuver, Refuser et ainsi de suite.
3. Dans le coin supérieur droit, sélectionnez Stade pour afficher des informations sur le stade actuel du workflow
d'approbation et son statut.
4. Dans la page à onglet Violations de risque, vous pouvez afficher les résultats de l'analyse des risques que le
demandeur a effectuée ou vous pouvez effectuer votre propre analyse des risques.
Remarque
Vous pouvez configurer l'application pour exiger des approbateurs qu'ils effectuent une analyse des
risques avant d'approuver toute demande. Pour plus d'informations, voir .
Utilisation
Les personnes autorisées, comme les détenteurs d'ID Firefighter et les administrateurs, peuvent prolonger les
périodes de validité des affectations du firefighting.
Vous pouvez également définir la période de validité par défaut (en jours) dans le paramètre 4001. Vous gérez le
paramètre dans l'activité IMG, Gérer options de configuration, sous Governance, Risk and Compliance SAP
GRC Access Control .
Vous pouvez substituer la période de validité par défaut pour chaque affectation en la mettant à jour
manuellement.
Processus
Firefighting centralisé :
Vous pouvez prolonger les périodes de validité à l'aide des écrans Affectation d'ID Firefighter :
Firefighting décentralisé
Dans le système de Plug-In, vous utilisez l'activité IMG (transaction SPRO) Gérer dates de validité pour
affectations de Firefighter.
1. Dans le système de Plug-In, ouvrez l'activité IMG Gérer dates de validité pour affectations de Firefighter (Plug-
In), sous Governance, Risks, and Compliance (Plug-in) SAP GRC Access Control .
La table Période de validité apparaît et affiche les affectations expirées que vous êtes autorisé à voir.
2. Sélectionnez un ID Firefighter ou rôle Firefighter puis ajustez les dates de validité le cas échéant.
3. Sauvegardez votre entrée.
Remarque
Pour permettre aux administrateurs et aux détenteurs de prolonger la période de validité des affectations
firefighting, vous devez créer les rôles dans les systèmes de Plug-In pertinents et leur affecter l’objet
d’autorisation /GRCPI/001. Pour le rôle administrateur, saisissez la valeur de zone ACTVT, 70 ou *
(astérisque). Pour le rôle propriétaire, saisissez la valeur de zone ACTVT, blank (vide).
Utilisation
Cette rubrique détaille la façon d'accéder au bon système, selon la configuration de votre système, pour effectuer
des activités firefighting.
Conditions requises
Activités
L'application vous permet d'utiliser l'une des méthodes suivantes pour accéder aux systèmes, pour effectuer des
activités firefighting :
Remarque
Votre administrateur vous indiquera la méthode à utiliser.
● Si votre société utilise firefighting basé sur ID, vous utilisez la barre de lancement GAU pour vous connecter
aux systèmes.
○ Si firefighting décentralisé est activé, vous pouvez vous connecter aux systèmes Plug-In pour effectuer
des activités firefighting.
○ Si votre société utilise firefighting centralisé, vous devez vous connecter au système GRC pour effectuer
des activités firefighting.
Pour de plus amples informations, voir Utilisation de la barre de lancement GAU [page 198].
● Si votre société utilise firefighting basé sur rôle, vous pouvez vous connecter directement aux systèmes.
Contexte
Pour un firefighting basé sur ID, vous pouvez utiliser la barre de lancement Gestion des accès d'urgence (GAU)
pour accéder à vos ID Firefighter affectés. La barre de lancement GAU est disponible à la fois pour firefighting
centralisé et décentralisé. La fonctionnalité décrite ci-dessous est identique pour firefighting centralisé et
décentralisé, à l'exception de ce qui suit :
● Pour firefighting centralisé, vous utilisez cette transaction pour ouvrir la barre de lancement GAU dans le
système GRC : GRAC_EAM.
Remarque
La transaction GRAC_SPM est également disponible pour la compatibilité descendante.
● Pour firefighting décentralisé, vous utilisez cette transaction pour ouvrir la barre de lancement GAU dans les
systèmes Plug-In :/GRCPI/GRIA_EAM.
Remarque
Pour les scénarios firefighting décentralisé, pour que le firefighter puisse utiliser la barre de lancement
GAU, vous devez créer le rôle Firefighter dans les systèmes Plug-In pertinents. Affectez au rôle les
autorisations d'utilisation des transactions /GRCPI/GRIA_EAM et SU53.
Remarque
La barre de lancement pour firefighting centralisé affiche tous les systèmes Plug-In auxquels vous avez accès.
La barre de lancement pour firefighting décentralisé n'affiche aucun système car elle vous permet d'accéder
uniquement au système Plug-In actuel.
Table 28 :
Elément Description
ID Firefighter Il s'agit du nom de l'ID Firefighter que vous êtes autorisé à utiliser. Vous pouvez en
avoir un ou plusieurs.
Nom du système Il s'agit du nom du système auquel l'ID Firefighter est autorisé à accéder.
Remarque
Cette zone s'affiche uniquement pour firefighting centralisé.
Rouge indique que l'ID Firefighter est utilisé par un autre Firefighter. Vous pouvez
choisir d'informer le Firefighter à l'aide du bouton de commande Message au
Firefighter.
Message au Firefighter Utilisez ce bouton pour envoyer un message pré-formaté au Firefighter que vous
voulez pour utiliser l'ID Firefighter après exécution.
Activité supplémentaire Après avoir sélectionné Connexion, vous devez saisir une description des activités
que vous avez l'intention d'effectuer. Vous devez avoir effectué des activités supplé
mentaires, sélectionnez le bouton Activité Supplémentaire pour ouvrir l'écran Code
de motif et saisissez les informations supplémentaires dans la zone Activité
supplémentaire.
Débloquer Utilisez ce bouton pour fermer la session de firefighting et permettre à d'autres d'uti
liser l'ID Firefighter.
Procédure
1. Dans SAP GUI, saisissez la transaction (GRAC_EAM OU /GRCPI/GRIA_EAM) pour ouvrir la Barre de lancement
de GAU.
2. A l'écran Barre de lancement de GAU, recherchez l'ID Firefighter pertinent et sélectionnez le bouton
Connexion.
L'écranCodes de motifs'affiche.
3. Dans la zone Codes de motif, sélectionnez le code de motif pertinent et saisissez toute information
supplémentaire le cas échéant.
Contexte
Procédure
1. Lire l'état de journal consolidé pour identifier des problèmes ou proposer des solutions.
○ - C'est l'état le plus communément utilisé. Le contrôleur des ID Firefighter peut le recevoir par e-mail ou
par le biais du workflow. Sur cet état, ils peuvent voir quel ID Firefighter accède à quel système, quelles
transactions ont été effectuées et les détails. La fréquence de livraison (quotidienne, hebdomadaire et
ainsi de suite) peut être configurée d'après le besoin commercial.
2. Le cas échéant et s'ils disposent d'une autorisation, le responsable de processus de gestion, le contrôleur ou
la personne responsable de la conformité peuvent créer ces états supplémentaires pour examiner les détails
des activités d'accès d'urgence.
○ - Cet état indique les types d'utilisateur pour l'accès d'urgence expirés, supprimés ou bloqués, par
exemple, les ID Firefighter, les contrôleurs ou les détenteurs.
○ - Cet état saisit des données altérables du connecteur de système sélectionné pour des ID Firefighter.
○ – Cet état affiche des données du connecteur système sélectionné pour chaque ID Firefighter. L'état liste
le motif et l'activité pour chaque événement de connexion.
○ - Cet état saisit des données altérables du connecteur de système sélectionné pour des ID Firefighter et
des Firefighters. Il affiche le nombre et le type de transactions auxquels chaque ID Firefighter a accédé
pour chaque Firefighter.
○ - Cet état fournit l'historique d'actions effectuées sur des tâches de révision de SoD y compris
l'affirmation de l’atténuation.
Utilisation
Ce processus explique comment les révisions d'accès périodiques sont définies et déployées.
Processus
1. Identifier des directives qui ont un impact sur des révisions d'accès périodiques
Dans cette étape, les directives organisationnelles qui ont un impact sur des révisions d'accès périodiques
sont identifiées et analysées pour garantir que les exigences en matière de directive sont prises en compte
lorsque vous définissez le processus de révision. Cette étape est réalisée pour la révision initiale et pour des
modifications de directive ou d’environnement seulement.
2. Définir des processus de révision
Les paramètres de processus de révision sont définis. Les exemples de paramètres incluent la fréquence de
révision, les réviseurs et les utilisateurs ou l'accès à réviser. Cette étape est réalisée pour la révision initiale et
pour des modifications de directive ou d’environnement seulement.
3. Identifier des données pour prendre en charge le processus de révision
Des données supplémentaires peuvent être requises pour prendre en charge le processus de révision. Par
exemple si le réviseur dans la revue accès utilisateur est un gestionnaire, une source de données à partir de
laquelle les informations relatives au gestionnaire sont extraites et collectées, doit être identifiée. Exécutez
cette étape pour la révision initiale et pour des modifications de directive ou d’environnement seulement.
4. Préparer des informations de révision
Une fois toutes les données requises et les attributs de la révision définis, les revues accès utilisateur doivent
être préparées pour être envoyées pour la révision
5. Effectuer la révision
Chaque réviseur effectue la révision comme l'indique la directive.
6. Effectuer une action comme indiqué
En fonction des exigences en matière de directive, approuvez l'accès continu ou la suppression de la
demande pour chaque utilisateur.
7. Retenir les résultats de révision
Retenez les résultats des révisions d'accès à des fins d'audit.
Résultat
Utilisation
Les administrateurs peuvent planifier des révisions périodiques d'accès utilisateur et de risques de séparation des
tâches (SoD). Pendant ces révisions, SAP GRC Access Control envoie automatiquement des demandes de
révision aux gestionnaires désignés et aux réviseurs dans un workflow prédéfini qui est personnalisé pour
l'entreprise. Les révisions de certification de conformité vous permettent de terminer ces révisions périodiques
pour garantir que l'accès utilisateur et les risques de SoD sont correctement gérés dans votre organisation.
Dans le contrôle d'accès, les coordinateurs sont responsables de vérifier que tous les réviseurs (gestionnaires ou
détenteurs du rôle) effectuent des révisions d'accès d'utilisateur et de risque de SoD. Dans le cadre de vos
révisions de certification de conformité, vous pouvez réviser les demandes qui n'ont pas de réviseur ou de
coordinateur affecté et affecter les réviseurs et coordinateurs correspondants si nécessaire.
Vous pouvez aussi gérer des mappages coordinateur-à-réviseur dans le cadre de vos révisions de certification de
conformité, y compris créer, importer, modifier et supprimer ces mappages, si nécessaire. Finalement, vous
pouvez gérer des refus, y compris rechercher des utilisateurs refusés, générer des demandes de révision et
annuler des générations de demande de révision (pour des demandes qui n'ont pas été terminées).
Fonctionnalités
Vous pouvez terminer les tâches suivantes lorsque vous effectuez des révisions de certification de conformité :
Informations complémentaires
Utilisation
Dans le cadre de votre révision de certification de conformité, vous pouvez affecter des coordinateurs aux
réviseurs et gérer ces relations pour aider à surveiller les révisions d'accès utilisateur. Access Control utilise les
informations relatives aux coordinateurs pour les révisions de séparation des tâches et d'accès utilisateur et pour
générer des états que vous pouvez utiliser lors de la gestion du processus de révision.
Informations complémentaires
Utilisation
Vous pouvez manuellement affecter des coordinateurs aux réviseurs ou importer plusieurs mappages
coordinateur-à-réviseur, à l'aide des fonctions sur l'écran Gérer coordinateurs.
Procédure
1. Sélectionnez Gestion des accès Révisions de certification de conformité Gérer coordinateurs . L'écran
Gérer coordinateurs apparaît.
2. Cliquez sur le bouton de commande Créer. L'écran Créer mappage s'affiche.
3. Saisissez ou sélectionnez l'ID coordinateur.
4. Saisissez ou sélectionnez l'ID réviseur.
5. Sélectionnez Sauvegarder.
6. Sélectionnez Fermer. Le mappage apparaît dans la table sur l'écran Gérer coordinateurs.
1. Sélectionnez Gestion des accès Révisions de certification de conformité Gérer coordinateurs . L'écran
Gérer coordinateurs apparaît.
2. Sélectionnez le bouton de commande Importer. L'écran Importer des coordinateurs apparaît.
3. Saisissez ou sélectionnez le fichier à l'aide de la zone Sélectionner fichier.
4. Sélectionnez Sauvegarder.
5. Sélectionnez Fermer. Les mappages apparaissent dans la table sur l'écran Gérer coordinateurs.
Contexte
Vous pouvez modifier des mappages coordinateur-à-réviseur ou supprimer un mappage, à l'aide de l'écran Gérer
coordinateurs.
Procédure
1. Sélectionnez Gestion des accès Révisions de certification de conformité Gérer coordinateurs . L'écran
Gérer coordinateurs apparaît.
2. Sélectionnez le mappage que vous voulez modifier et sélectionnez le bouton de commande Ouvrir. L'écran
Modifier le mappage s'affiche.
3. Saisissez ou sélectionnez un nouveau ID du coordinateur, si nécessaire.
4. Saisissez ou sélectionnez un nouveau ID réviseur, si nécessaire.
5. Sélectionnez Sauvegarder.
6. Sélectionnez Fermer. Le mappage mis à jour apparaît dans la table sur l'écran Gérer coordinateurs.
Pour supprimer un mappage coordinateur-à-réviseur :
7. Sélectionnez Gestion des accès Révisions de certification de conformité Gérer coordinateurs . L'écran
Gérer coordinateurs apparaît.
8. Sélectionnez le mappage que vous voulez supprimer, puis le bouton de commande Supprimer. Une boîte de
dialogue de confirmation s'affiche.
9. Sélectionnez Oui.
Étapes suivantes
Contexte
Vous pouvez rechercher des mappages coordinateur-à-réviseur et exporter les résultats vers une feuille de calcul
Microsoft Excel, à l'aide de l'écran Gérer coordinateurs.
Procédure
1. Sélectionnez Gestion des accès Révisions de certification de conformité Gérer coordinateurs . L'écran
Gérer coordinateurs apparaît.
2. Sélectionnez le lien Filtre. Une ligne vide apparaît au début de la table.
3. Saisissez les valeurs appropriées dans les colonnes correspondantes et appuyez sur Entrée. La table affiche
les résultats filtrés basés sur les valeurs que vous avez saisies.
4. Pour exporter les résultats vers une feuille de calcul Microsoft Excel, sélectionnez Exporter Exporter vers
Microsoft Excel .
Étapes suivantes
Prérequis
Vous devez planifier et exécuter les activités suivantes à l'aide de l'Ordonnanceur en arrière-plan avant de réviser
les demandes :
Vérifiez que vous avez aussi planifié les activités suivantes à l'aide de l'Ordonnanceur en arrière-plan :
Contexte
3.Vous pouvez réviser des demandes, y compris l'accès d'utilisateur et les risques de séparation des tâches
(SoD), à l'aide des fonctions sur l'écran Révision de la demande. A l'aide de cet écran, vous pouvez vérifier que les
demandes ont un réviseur ou un coordinateur affecté et modifier les réviseurs ou annuler des demandes.
Remarque
Dans l'activité IMG Gérer options de configuration sous Governance, Risk, and Compliance SAP GRC
Access Control , vérifiez que le paramètre Révision revue accès utilisateur (2007) est activé sur OUI. Cela
indique qu'un administrateur doit réviser des demandes avant que les demandes n'arrivent aux réviseurs. Si le
paramètre est activé sur NON, les demandes sont transmises directement aux réviseurs (gestionnaires ou
détenteurs du rôle).
Procédure
Sélectionnez des réviseurs et coordinateurs de plus dans la liste Disponible et sélectionnez le bouton de
commande de flèche vers la droite pour déplacer l'entrée dans la liste Sélectionnée. Après avoir affecté les
réviseurs, sélectionnez OK.
5. Pour annuler une demande, sélectionnez une affectation et sélectionnez le bouton de commande Annuler
demande.
Une boîte de dialogue de confirmation s'affiche. Sélectionnez Oui pour marquer les utilisateurs comme
refusés pour la génération de demande.
Étapes suivantes
Contexte
Vous pouvez gérer des refus, y compris rechercher des utilisateurs refusés, générer des demandes de révision et
annuler des générations de demande de révision (pour les demandes qui n'ont pas été terminées), à l'aide des
fonctions sur l'écran Gérer les refus.
Remarque
Vous planifiez et exécutez l'activité Génère une nouvelle demande pour demande rejetée par revue accès
utilisateurr à l'aide du Planificateur de jobs d'arrière-plan après avoir géré les refus.
1. Sélectionnez Gestion des accès Révisions de certification de conformité Gérer les refus .
Avant de générer les demandes pour les utilisateurs refusés, assurez-vous que les utilisateurs aient
l'information de réviseur correcte. Cette précaution évite que le cycle de demande ne contienne de nouveau
des informations incorrectes. Par exemple, si l'information de réviseur est enregistrée dans une source de
données de LDAP et qu'elle est incorrecte, vous devez mettre à jour l'information dans la source de données
de LDAP pour que les nouvelles demandes soient générées avec le nom de réviseur correct.
Remarque
Si vous sélectionnez des demandes multiples pour la génération dans lesquelles quelques-unes des
demandes sont regroupées par utilisateur et d'autres sont regroupées par détenteur de rôle/du risque, le
système ne combine pas les demandes lors de la génération.
Exemple
Prenez en compte le cas lorsqu'une demande est regroupée par détenteur de risque/rôle et par
gestionnaire :
5. Pour annuler une génération, sélectionnez un refus dans la table et sélectionnez le bouton de commande
Annuler génération.
Vous pouvez annuler des générations uniquement pour des refus ayant le statut Générer. Une fois que le
statut de la demande est En cours de traitement, le job d'arrière-plan a commencé et la demande ne peut pas
être annulée.
6. Pour exporter les résultats vers une feuille de calcul Microsoft Excel, sélectionnez Exporter Exporter vers
Microsoft Excel .
Étapes suivantes
8.2 Alertes
Utilisation
Quand un utilisateur exécute des actions critiques ou en conflit, le système peut envoyer une alerte d'escalade au
personnel approprié. Vous pouvez utiliser la caractéristique Alertes pour surveiller les alertes d'accès en conflit et
critiques et de contrôle d'atténuation, le cas échéant.
Contexte
Procédure
1. Sélectionnez Gestion des accès Alertes d'accès Alertes d'accès critiques et en conflit ou Gestion
des accès Alertes d'accès Contrôles d'atténuation .
Étapes suivantes
Utilisation
Une fois qu'un message d'alerte a été livré et acquitté ou supprimé, il est conservé en tant qu'enregistrement
archivé. Vous pouvez poursuivre le suivi de ces alertes à l'aide de l'onglet Alertes acquittées des écrans Alertes de
risque de conflit et de risque critique et Contrôles d'atténuation.
Informations complémentaires
Contexte
Procédure
1. Sélectionnez Gestion des accès Alertes d'accès Alertes d'accès critiques et en conflit ou Gestion
des accès Alertes d'accès Contrôles d'atténuation .
L'alerte est acquittée. Vous pouvez afficher des alertes acquittées à l'aide de l'onglet Alertes acquittées. Pour
plus d'informations, voir .
Étapes suivantes
Contexte
Procédure
1. Sélectionnez Gestion des accès Alertes d'accès Alertes d'accès critiques et en conflit ou Gestion
des accès Alertes d'accès Contrôles d'atténuation .
Le dialogue Acquitter l'alerte apparaît en affichant la raison. Sélectionnez Annuler pour écarter le dialogue.
Étapes suivantes
Le poste de travail Etats et analyses fournit un emplacement central pour afficher des états et des tableaux de
bord pour les informations SAP GRC Access Control, comme les alertes, l'analyse d'utilisateur, les rapports
d'audit etc.
Remarque
Le poste de travail Etats et analyses est partagé par les produits SAP GRC Access Control, SAP GRC Process
Control et Risk Management dans l'application GRC. Les groupes de menus et les alias disponibles sur l'écran
sont déterminés par les applications pour lesquelles vous détenez une licence. Le contenu dans cette rubrique
couvre les fonctions spécifiques à SAP GRC Access Control.
Table 29 :
Catégorie Description
Tableaux de bord d'accès Tableaux de bord pour l'analyse de risque d'accès, la gestion
de rôle utilisateur et la gestion des accès utilisateurs
Etats d'analyse des risques d'accès Etats liés à l'analyse de risque d'accès, y compris des viola
tions de risque d'utilisateur, des violations de risque de rôle,
des violations de risque de profil et des violations de risque
d'objet RH.
Etats de demande d'accès Etats liés aux demandes d'accès, y compris le niveau de ser
vice pour des demandes et des demandes avec conflits et at
ténuation
Etats de la gestion des rôles Etats liés à la gestion de rôle, y compris des relations entre les
rôles et les utilisateurs et des relations entre les rôles de base-
à-dérivés
Etats de vérification Etats en rapport avec l'audit, y compris des actions dans des
rôles (mais pas dans des règles) et des approbations dans des
rôles (mais pas dans des règles)
Etats de gestion des accès utilisateur d'urgence Etats liés à des activités de superutilisateur, y compris des su
perutilisateurs non valides et des journaux consolidés
Utilisation
Le Tableau de bord d'attribution de privilèges d'accès affiche les deux vues suivantes :
● Date de début
● Date de fin
● Système
Le tableau de bord affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation
d'affichage.
● Approbateur
● Type de salarié
● Emplacement
● Type de processus
Vous cliquez sur l'histogramme pour effectuer une analyse descendante des informations détaillées. Vous pouvez
utiliser Imprimer pour créer un fichier PDF ou Exporter pour télédécharger les résultats détaillés des demandes
pour lesquelles des rôles ont été affectés ou supprimés.
A l'écran d'analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à afficher. Par
exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute l'entreprise ; tandis qu'à l'écran
d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous êtes autorisé uniquement à
afficher l'Amérique du Nord.
Remarque
Pour afficher les données de demande d'accès dans l'état, vous devez être affecté à un rôle avec une
autorisation d'affichage des objets de demande d'accès.
Informations complémentaires
Utilisation
Le tableau de bord de demande d'accès affiche les demandes d'accès par statut et type à l'aide les critères de
filtre suivants :
● Dates de début/fin
● Système
Le tableau de bord affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation
d'affichage.
● Type de processus
● Priorité
● Domaine fonctionnel
● Type de demande
● Statut
● Approuvé
● Annulé
● Décision en attente
● Refusé
Vous effectuez une analyse descendante des informations détaillées en cliquant sur un domaine spécifique du
diagramme à secteurs. A l'écran d'analyse descendante l'application affiche uniquement les objets que vous êtes
autorisé à afficher. Par exemple, à l'écran de tableau de bord principal, les totaux de toute l'entreprise s'affichent ;
tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous êtes autorisé
uniquement à afficher l'Amérique du Nord.
Remarque
Pour afficher les données de demande d'accès dans l'état, vous devez être affecté à un rôle avec une
autorisation d'affichage des objets de demande d'accès.
Informations complémentaires
Utilisation
Le Tableau de bord de bibliothèque des règles d'accès affiche les vues de Règles par Niveau du risque et Processus
de gestion. Vous pouvez regrouper les résultats en fonction des critères suivants :
● Action
● Approbation
● Action critique
● Approbation critique
● Risque d'accès
Ce tableau de bord affiche également le nombre de risques actifs, le nombre de risques désactivés et le nombre
de fonctions.
Vous cliquez sur le camembert ou l'histogramme pour effectuer une analyse descendante des informations
détaillées. Vous pouvez utiliser Exporter pour télédécharger les détails.
Vous effectuez une analyse descendante des informations détaillées en cliquant sur un domaine spécifique du
camembert ou de l'histogramme. Sur l'écran Analyse descendante, l'application affiche uniquement les objets que
vous êtes autorisé à afficher. Par exemple, à l'écran de tableau de bord principal, les totaux de toute l'entreprise
s'affichent ; tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous
êtes autorisé uniquement à afficher l'Amérique du Nord.
Informations complémentaires
Utilisation
Vous effectuez une analyse descendante des informations détaillées en cliquant sur un domaine spécifique du
graphique linéaire, du diagramme à secteurs ou du tableau. A l'écran d'analyse descendante, l'application affiche
uniquement les objets que vous êtes autorisé à afficher. Par exemple, à l'écran de tableau de bord principal,
s'affichent les totaux de toute l'entreprise ; tandis qu'à l'écran d'analyse descendante, seuls les totaux de
l'Amérique du Nord s'affichent, si vous êtes autorisé uniquement à afficher l'Amérique du Nord.
Informations complémentaires
Utilisation
Le Tableau de bord de bibliothèque de contrôles d'atténuation affiche les deux vues suivantes :
Vous pouvez utiliser Imprimer pour créer un fichier PDF des résultats détaillés ou vous pouvez utiliser Exporter
pour télédécharger les résultats détaillés dans un calcul avec tableur Microsoft Excel.
Vous effectuez une analyse descendante des informations détaillées en cliquant sur le diagramme circulaire,
l'histogramme ou le tableau. A l'écran d'analyse descendante, l'application affiche uniquement les objets que vous
êtes autorisé à afficher. Par exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute
l'entreprise ; tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous
êtes autorisé uniquement à afficher l'Amérique du Nord.
Informations complémentaires
Utilisation
Le Tableau de bord de violations de risque affiche le nombre de Violations de risque d'accès par rôle, utilisateur ou
profil pour tous les systèmes ou pour un système sélectionné. Il affiche le nombre total d'utilisateurs analysés et
le nombre total de violations.
Le Tableau de bord de violations de risque affiche les violations de risque d'accès à l'aide des critères de filtre
suivants :
● Mois/Année
● Système
Seuls les systèmes pour lesquels vous disposez d'une autorisation, s'affichent.
● Type d'analyse
● Groupe d'utilisateurs
● Nombre violations par
La moitié inférieure du Tableau de bord de violations de risque affiche les violations de risque par processus de
gestion.
Fonctionnalités
Vous accédez aux informations détaillées en cliquant sur le camembert, la légende ou l'histogramme.
Remarque
A l'écran d'analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à
afficher. Par exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute l'entreprise ;
tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent.
3. Le cas échéant, vous pouvez aussi sélectionner le bouton de commande Exécuter analyse de risques. Ce qui
produit l'état Analyse descendante de violations de risques.
4. Définissez la façon d'exécuter l'état (Exécuter en avant-plan ou Exécuter en arrière-plan). Si vous sélectionnez
Exécuter en arrière-plan, l'écran Ordonnanceur de jobs d'arrière-plan s'affiche et vous pouvez saisir vos choix
d'ordonnancement.
Remarque
Pour afficher le statut des jobs d'arrière-plan, naviguez jusqu'à Gestion des accès Ordonnancement
Jobs d'arrière-plan .
5. Définissez si vous souhaitez exécuter les tâches en Temps réel ou Hors ligne.
Informations complémentaires
Prérequis
Vous devez avoir déjà sélectionné vos paramètres et Exécuter analyse des risques de l'état initial pour voir la vue
de correction détaillée. Vous pouvez accéder à cette fonctionnalité à partir de :
● Accédez à la Vue de correction de Poste de travail Etats et analyses Accéder aux tableaux de bord
Tableau de bord de violations de risque [page 221] et Tableau de bord d'analyse d'utilisateur [page 226].
● Accédez à la vue de correction à partir de Gestion des accès Analyse de risque d'accès Analyse de
risque d'accès niveau utilisateur [page 99]
Remarque
Pour afficher le statut des jobs d'arrière-plan, naviguez jusqu'à Gestion des accès Planification Jobs
d'arrière-plan .
Contexte
La vue de correction identifie graphiquement les violations de risque d'accès et permet aux utilisateurs de prendre
des décisions informées. Vous pouvez effectuer une action de correction directement des résultats de l'analyse
de risque d'accès au niveau de l'utilisateur. Vous pouvez initialiser un workflow pour mettre à jour des affectations
d'autorisations d’utilisateur ou de rôle, de dates de validité et atténuer l'accès.
Le type d'état que vous voyez (Correction, Vue de gestion ou technique) du tableau de bord dépend du de la
valeur par défaut sélectionnée par votre Administrateur système. Des Activités IMG (transaction SPRO), Guide
d'implémentation Customizing SAP Governance, Risk and Compliance Contrôle d'accès Gérer options de
configuration . Le paramètre qui doit être activé est 1050, Vue d'état par défaut pour l'analyse des risques. A
l'écran Analyse des risques : niveau utilisateur, vous pouvez aussi modifier la vue.
1. Analysez l'état. Pour plus d'informations, sélectionnez les entrées dans les colonnes Utilisateur, Risque, ID de
règle et Accès. Un panneau latéral apparaît avec des informations détaillées pour chacune des entrées.
2. Définissez comment atténuer le risque. De la vue de correction, vous pouvez :
○ Affecter un contrôle d'atténuation dans la colonne Risque (appliquer à toutes les règles) ou la colonne ID
de règle (pour une règle). Sélectionner l'icône d'atténuation pour accéder à l'écran Affecter contrôles
d'atténuation.
Recommandation
Pour plus d'informations, voir Atténuation de risques [page 42].
○ Supprimer un rôle dans la colonne Accès. Sélectionnez l'icône d'atténuation pour effectuer cette
fonctionnalité.
Recommandation
Pour de plus amples informations, reportez-vous à Gestion des rôles [page 141].
3. Une fois les actions exécutées, des icônes illustrant le statut existent.
○ Le vert indique que l'action est terminée.
○ Le jaune indique que l'action est en cours d'exécution.
○ Le rouge indique qu'il y a un problème.
Utilisation
Vous pouvez utiliser Imprimer pour créer un fichier PDF des résultats détaillés ou vous pouvez utiliser Exporter
pour télédécharger les résultats détaillés dans un calcul avec tableur Microsoft Excel.
Vous effectuez une analyse descendante des informations détaillées en cliquant sur un domaine spécifique du
camembert ou de l'histogramme. A l'écran d'analyse descendante, l'application affiche uniquement les objets que
vous êtes autorisé à afficher. Par exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute
l'entreprise ; tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous
êtes autorisé uniquement à afficher l'Amérique du Nord.
Informations complémentaires
Utilisation
Le Tableau de bord de la bibliothèque de rôles affiche tous les rôles dans votre application. Il affiche le nombre
total de rôles et le nombre de rôles avec des violations. Deux vues existent :
● Type de système
● Infrastructure système
● Détenteur du rôle
Vous cliquez sur le camembert, l'histogramme ou la table pour effectuer une analyse descendante des
informations détaillées.
Vous effectuez une analyse descendante des informations détaillées en cliquant sur un domaine spécifique du
camembert ou de l'histogramme. A l'écran d'analyse descendante, l'application affiche uniquement les objets que
vous êtes autorisé à afficher. Par exemple, à l'écran de tableau de bord principal, les totaux de toute l'entreprise
s'affichent ; tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous
êtes autorisé uniquement à afficher l'Amérique du Nord.
Utilisation
L'écran Niveau de service pour tableau de bord de demandes d'accès affiche les deux vues suivantes :
Vous pouvez utiliser les postes suivants pour filtrer vos résultats :
● Date
● Système
Le tableau de bord affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation
d'affichage.
● Type de demande
● Type de processus
● Priorité
● Domaine fonctionnel
● ANS
Les tableaux de bord affichent les résultats sous forme de graphique linéaire. Vous pouvez cliquer sur le début ou
la fin de la ligne pour afficher les résultats détaillés par numéro de demande.
Remarque
Vous pouvez utiliser Imprimer pour créer un fichier PDF des résultats détaillés ou vous pouvez utiliser Exporter
pour télédécharger les résultats détaillés dans un calcul avec tableur Microsoft Excel.
Vous effectuez une analyse descendante des informations détaillées en cliquant à la fin du graphique linéaire. A
l'écran d'analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à afficher. Par
exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute l'entreprise ; tandis qu'à l'écran
d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous êtes autorisé uniquement à
afficher l'Amérique du Nord.
Remarque
Pour afficher les données de demande d'accès dans l'état, vous devez être affecté à un rôle avec une
autorisation d'affichage des objets de demande d'accès.
Utilisation
Le Tableau de bord d'analyse pour utilisateur affiche les deux vues suivantes :
● Mois/Année
● Système
Le tableau de bord affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation
d'affichage.
● Groupe d'utilisateurs
● Nombre violations par
Vous cliquez sur le camembert, la légende ou l'histogramme pour effectuer une analyse descendante dans la vue
de correction. Vous pouvez utiliser Imprimer pour créer un fichier PDF ou Exporter pour télédécharger les
résultats détaillés.
Fonctionnalités
Vous accédez aux informations détaillées en cliquant sur le camembert, la légende ou l'histogramme.
Remarque
A l'écran d'analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à
afficher. Par exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute l'entreprise ;
tandis qu'à l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent.
Remarque
Pour afficher le statut des jobs d'arrière-plan, naviguez jusqu'à Gestion des accès Planification Jobs
d'arrière-plan .
5. Définissez si vous souhaitez exécuter les tâches en Temps réel ou Hors ligne.
6. Dans la vue de correction détaillée résultante, vous pouvez affecter un contrôle d'atténuation dans la colonne
ID de risque ou ID de règle ou supprimer un rôle dans la colonne ID de règle.
Informations complémentaires
Utilisation
● Comparaison trimestrielle/mensuelle
Ce tableau de bord affiche trimestriellement ou mensuellement des violations de risque filtrées par les
sélections suivantes :
○ Type calendrier
○ Dates de début/fin
○ Système
Vous voyez uniquement les systèmes pour lesquels vous possédez une autorisation.
○ Type d'analyse
○ Nombre de violations par risque d'accès ou approbation
Fonction Analyse descendante
Vous pouvez effectuer une analyse descendante des points sélectionnés du graphique linéaire pour afficher
les détails des violations de risque à un moment donné.
Vous effectuez une analyse descendante en cliquant sur un domaine spécifique du graphique linéaire. A
l'écran d'analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à afficher.
Par exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute l'entreprise ; tandis qu'à
l'écran d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous êtes autorisé
uniquement à afficher l'Amérique du Nord.
Informations complémentaires
Utilisation
La Violation de risque dans tableau de bord de demande d'accès affiche les deux vues suivantes :
● Date de début
● Date de fin
● Système
Seuls les systèmes pour lesquels vous disposez d'une autorisation, s'affichent.
● Type de demande
● Priorité
● Domaine fonctionnel
● Type de workflow
La moitié inférieure du tableau de bord affiche les violations de risque par criticité : Critique, Elevé, Moyen et
Faible. Cliquez sur le diagramme circulaire, la table ou l'histogramme pour effectuer une analyse descendante des
détails.
Vous pouvez utiliser Version d'impression pour créer un fichier PDF des résultats détaillés ou vous pouvez utiliser
Exporter pour télédécharger les résultats détaillés dans un calcul avec tableur Microsoft Excel.
A l'écran d'analyse descendante, l'application affiche uniquement les objets que vous êtes autorisé à afficher. Par
exemple, à l'écran de tableau de bord principal, s'affichent les totaux de toute l'entreprise ; tandis qu'à l'écran
d'analyse descendante, seuls les totaux de l'Amérique du Nord s'affichent, si vous êtes autorisé uniquement à
afficher l'Amérique du Nord.
Informations complémentaires
SAP GRC Access Control propose les états d'analyse des risques suivants :
Utilisation
Cet état liste les risques et les fonctions en conflit pour tous les types de risque.
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● ID de risque d'accès
● Description du risque d'accès
● ID processus gestion
● Ensemble de règles
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Détails de l'état
L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats
d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à
afficher les données d'Amérique du Nord.
Informations complémentaires
Utilisation
Cet état liste les risques, fonctions, codes de transaction et détails d'approbation liés pour tous les types de
risque.
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● Système
L'état affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage.
● ID utilisateur
● Groupe d'utilisateurs
● Fin de validité
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensembles de
résultats pour télédécharger les données ou Version d'impression pour créer un fichier PDF.
Détails de l'état
L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats
d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à
afficher les données d'Amérique du Nord.
Utilisation
Cet état affiche tous les Utilisateurs, Rôles, Profils atténués, toutes les Organisations utilisateurs, Organisations de
rôle atténuées et les objets HR avec les contrôles d'atténuation associés.
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● ID de contrôle d'atténuation
● ID de règle d'accès
● Système
L'état affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage.
● Approbateur
● Groupe d'utilisateurs
● ID utilisateur
● ID du moniteur
● ID d'organisation
● ID de risque d'accès
● Niveau de risque
● Statut
● Début de validité du contrôle d'atténuation
● Fin de validité du contrôle d'atténuation
En outre, vous pouvez décider d'effectuer l'état en fonction de l'un des éléments suivants :
● Utilisateur
● Rôle
● Profil
● Organisation utilisateur
● Organisation de rôles
● Objet HR
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensembles de
résultats pour télédécharger les données.
Informations complémentaires
Utilisation
Cet état liste toutes les violations de risque pour des objets HR sélectionnés. Pour exécuter l'état, désignez des
valeurs pour les critères de filtre suivants :
● Système
L'état affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage.
● Type d'analyse
● Type d'objet
● ID d'objet
● Niveau de risque
● Ensemble de règles
Table 30 :
Option Choix
Format ● Synthèse
● Détail
● Aperçu de gestion
● Aperçu exécutif
Vue ● Technique
● Gestion
● Niveau d'action
● Action critique
● Rôle/Profil critique
● Niveau d'approbation
● Autorisation critique
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensembles de
résultats pour télédécharger les données, Version d'impression pour créer un fichier PDF ou Atténuer le risque
pour affecter des contrôles d'atténuation aux objets sélectionnés.
Détails de l'état – L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple,
dans les résultats d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes
uniquement autorisé à afficher les données d'Amérique du Nord.
Informations complémentaires
Utilisation
Cet état liste tous les contrôles d'atténuation avec des détails de contrôle et des descriptions.
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● ID de contrôle d'atténuation
● Description synthétique
● ID de risque d'accès
● ID d'organisation
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensembles de
résultats pour télédécharger les données ou Version d'impression pour créer un fichier PDF.
Informations complémentaires
Utilisation
Cet état liste toutes les violations de risque pour des profils sélectionnés. Pour exécuter l'état, désignez des
valeurs pour les critères de filtre suivants :
● Système
L'état affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage.
● Profil
● Risque par processus
● ID de risque d'accès
● Niveau de risque
● Ensemble de règles
Table 31 :
Option Choix
Format ● Synthèse
● Détail
● Aperçu de gestion
● Aperçu exécutif
Vue ● Technique
● Gestion
● Niveau d'action
● Action critique
● Rôle/Profil critique
● Niveau approbation
● Autorisation critique
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensembles de
résultats pour télédécharger les données, Version d'impression pour créer un fichier PDF ou Atténuer le risque
pour affecter des contrôles d'atténuation aux objets sélectionnés.
Détails de l'état – L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple,
dans les résultats d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes
uniquement autorisé à afficher les données d'Amérique du Nord.
Informations complémentaires
Utilisation
Cet état liste toutes les violations de risque pour des rôles sélectionnés. Pour exécuter l'état, désignez des valeurs
pour les critères de filtre suivants :
● Système
L'état affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage.
● Profil
● Risque par processus
● ID de risque d'accès
● Niveau de risque
● Ensemble de règles
Table 32 :
Option Choix
Format ● Synthèse
● Détail
● Aperçu de gestion
● Aperçu exécutif
Vue ● Technique
● Gestion
● Niveau d'action
● Action critique
● Rôle/Profil critique
● Niveau approbation
● Autorisation critique
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensembles de
résultats pour télédécharger les données, Version d'impression pour créer un fichier PDF ou Atténuer le risque
pour affecter des contrôles d'atténuation aux objets sélectionnés.
Détails de l'état
L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats
d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à
afficher les données d'Amérique du Nord.
Informations complémentaires
Utilisation
Cet état liste toutes les violations de risque pour les utilisateurs sélectionnés. Pour exécuter l'état, désignez des
valeurs pour les critères de filtre suivants :
● Système
L'état affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage.
● Utilisateur
● Groupe d'utilisateurs
● Accéder à l'ID de risque
● Groupe personnalisé
● Niveau de risque
● Ensemble de règles
Table 33 :
Option Choix
Format ● Synthèse
● Détail
● Synthèse de gestion
● Synthèse exécutive
Vue ● Correction
Remarque
Cette option permet d'affecter un contrôle d'atténua
tion, de supprimer ou de délimiter un rôle directement
à partir de l'état.
● Technique
● Gestion
● Niveau action
● Action critique
● Rôle/Profil critique
● Niveau approbation
● Autorisation critique
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensembles de
résultats pour télédécharger les données, Version d'impression pour créer un fichier PDF ou Atténuer le risque
pour affecter des contrôles d'atténuation aux objets sélectionnés.
Détails de l'état
L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats
d'état, vous pouvez voir uniquement les données liées à l'Amérique du Nord si ce sont les données pour lesquelles
vous disposez d'une autorisation.
Informations complémentaires
SAP GRC Access Control propose les états de demande d'accès suivants :
Pour exécuter l'état, vous pouvez désigner des valeurs pour les critères de filtre suivants :
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter pour
télédécharger les données.
Utilisation
Cet état permet de rechercher des demandes en indiquant les profils PD.
Pour exécuter l'état, vous pouvez désigner des valeurs pour chacun des critères de filtre suivants :
● Type de processus
● Date de création
● Statut
● Système
L'état affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage.
● Nom du profil PD
● Description
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter pour
télédécharger les données.
Détails de l'état
Remarque
Pour afficher les données de demande d'accès dans l'état, vous devez être affecté à un rôle avec une
autorisation d'affichage des objets de demande d'accès.
Informations complémentaires
Utilisation
Pour exécuter l'état, vous pouvez désigner des valeurs pour les critères de filtre suivants :
● Type de processus
● Date de création
● Nom du rôle
● Statut
● Approbateur
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter pour
télédécharger les données.
Détails de l'état
L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats
d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à
afficher les données d'Amérique du Nord.
Informations complémentaires
Utilisation
Cet état liste les demandes avec conflits atténués et non atténués.
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● Nom de l'état
● Système
Vous voyez uniquement les systèmes pour lesquels vous possédez une autorisation.
● Type de processus
● Numéro de demande
● Date de création
● Demandeur
● Statut
● ID de risque
● Approbateur
● Atténuer contrôles
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Détails de l'état
L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats
d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à
afficher les données d'Amérique du Nord.
Informations complémentaires
Utilisation
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● Type de processus
● Afficher uniquement les demandes qui dépassent le niveau de service
● Accord sur le niveau de service
● Numéro de demande
● Date de création
● Demandeur
● Statut
● Approbateur
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensemble de
résultats pour télédécharger les données.
Détails de l'état
L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats
d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à
afficher les données d'Amérique du Nord.
Informations complémentaires
Utilisation
Cet état fournit l'historique des actions effectuées sur les tâches de révision SoD y compris réaffirm. atténuation.
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● Numéro de demande
● Date de création
● Escaladé
● ID utilisateur
● Statut
● ID de risque
● Système
Vous voyez uniquement les systèmes pour lesquels vous possédez une autorisation.
● ID réviseur
● ID coordinateur
● Action
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter pour
télédécharger les données.
Détails de l'état
L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats
d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à
afficher les données d'Amérique du Nord.
Informations complémentaires
Utilisation
Cet état fournit les demandes RAU d'historique et l'action effectuée pour ces demandes.
Pour exécuter l'état, vous pouvez désigner des valeurs pour les critères de filtre suivants :
● Numéro de demande
● Date de création
● Escaladé
● ID utilisateur
● Statut
● Système
L'état affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage.
● ID réviseur
● ID coordinateur
● ID de job d'arrière-plan
● Action
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter pour
télédécharger les données.
Détails de l'état
L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats
d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à
afficher les données d'Amérique du Nord.
Informations complémentaires
Utilisation
Cet état liste le statut de demande pour la révision SoD et l'accès utilisateur.
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● Type de processus
● Numéro de demande
● Date de création
● Escaladé
● ID utilisateur
● Statut
● ID réviseur
● ID coordinateur
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensembles de
résultats pour télédécharger les données.
Détails de l'état
L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats
d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à
afficher les données d'Amérique du Nord.
Informations complémentaires
SAP GRC Access Control propose les états de gestion de rôle suivants :
Utilisation
Cet état compare les actions dans le menu de rôle aux autorisations, pour identifier toute divergence.
● Type d'application
● Infrastructure
● Nom du rôle
● Type de rôle
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensembles de
résultats pour télédécharger les données.
Détails de l'état
L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats
d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à
afficher les données d'Amérique du Nord.
Informations complémentaires
Utilisation
Cet état compare des rôles affectés à deux ID utilisateur ou matricules pour des systèmes SAP.
Pour exécuter l'état, vous devez désigner des valeurs pour chacun des critères de filtre suivants :
● Système
L'état affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage.
● Type de source de données
● Valeur source
● Type cible
● Valeur cible
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Détails de l'état
L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats
d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à
afficher les données d'Amérique du Nord.
Informations complémentaires
Utilisation
Cet état liste toutes les Actions présentes dans les rôles.
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● Type d'application
● Infrastructure
● Nom du rôle
● Type de rôle
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Détails de l'état
L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats
d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à
afficher les données d'Amérique du Nord.
Informations complémentaires
Utilisation
Cet état liste la relation entre des rôles de base et des rôles dérivés y compris le niveau d'organisation sur lequel la
dérivation est effectuée. L'état est utile lorsque vous vérifiez des rôles dérivés et des rôles de base.
Remarque
L'affichage se base sur l'autorisation Rôle de base et non pas sur l'autorisation Rôle dérivé.
Pour exécuter l'état, désignez des valeurs pour chacun des critères de filtre suivants :
● Système
L'état affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage.
● Nom du rôle
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Détails de l'état
Vous pouvez sélectionner Exporter ensembles de résultats pour télédécharger les données ou Version
d'impression pour créer un fichier PDF.
Informations complémentaires
Utilisation
Cet état affiche les documents de modification pour l'administration des rôles pour un système indiqué.
Pour exécuter l'état, désignez un ou plusieurs systèmes pour lesquels vous disposez d'une autorisation.
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Activités
Utilisation
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● Généré par
● Date de génération
● Type d'application
● Système
L'état affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage.
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensembles de
résultats pour télédécharger les données.
Détails de l'état
L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats
d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à
afficher les données d'Amérique du Nord.
Informations complémentaires
Utilisation
Cet état liste la relation entre des rôles individuels et des rôles composites.
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● Système
L'état affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage.
● Nom du rôle
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Détails de l'état
Vous pouvez sélectionner Exporter ensembles de résultats pour télédécharger les données ou Version
d'impression pour créer un fichier PDF.
Informations complémentaires
Utilisation
Cet état liste les utilisateurs et les rôles qui leur sont affectés.
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● Système
L'état affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage.
● Inclure rôles expirés
● Nom de profil
● Nom du rôle
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Informations complémentaires
Cet état liste les rôles affectés à des utilisateurs et à des groupes d'utilisateurs.
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● Système
L'état affiche uniquement les systèmes pour lesquels vous disposez d'une autorisation d'affichage.
● Type d'utilisateur
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensembles de
résultats pour télédécharger les données ou Version d'impression pour créer un fichier PDF.
Remarque
Cet état est basé sur les données de systèmes backend. L'autorisation système est le seul paramètre de
sécurité disponible.
Utilisation
Pour exécuter l'état, vous pouvez désigner des valeurs pour les critères de filtre suivants :
● Système
● Date d'utilisation de l'action
● Action
● Description d'action
● Etat par (utilisateur, rôle ou profil)
● ID utilisateur
● Groupe d'utilisateurs
● Affiche uniquement les actions non utilisées
● Type d'état (actions définies dans Risques ou Tout)
● ID de risque d'accès
● Accéder à la description d'ID de risque
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter pour
télédécharger les données.
Détails de l'état
L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats
d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à
afficher les données d'Amérique du Nord.
Informations complémentaires
Utilisation
Cet état compte les autorisations utilisateur et met en surbrillance celles se trouvant en dehors des limites du
système.
Pour exécuter l'état, vous devez désigner des valeurs pour chacun des critères de filtre suivants :
● Système
● Utilisateur
● Groupe d'utilisateurs
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensembles de
résultats pour télédécharger les données ou Version d'impression pour créer un fichier PDF.
Détails de l'état
L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats
d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à
afficher les données d'Amérique du Nord.
Informations complémentaires
Utilisation
Cet état indique le nombre d'autorisations pour les rôles par nom de rôle.
Pour exécuter l'état, vous devez désigner des valeurs pour chacun des critères de filtre suivants :
● Type d'application
● Système
● Nom du rôle
● Type de rôle
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensembles de
résultats pour télédécharger les données ou Version d'impression pour créer un fichier PDF.
Détails de l'état
L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats
d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à
afficher les données d'Amérique du Nord.
Informations complémentaires
Cet état liste les rôles qui ont expiré ou sont sur le point d'expirer en fonction des dates indiquées.
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● Système
Vous voyez uniquement les systèmes pour lesquels vous possédez une autorisation.
● ID utilisateur
● Groupe d'utilisateurs
● Fin de validité
● Rôles expirés
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez sélectionner Exporter ensemble de résultats pour télédécharger les données ou Version d'impression
pour créer un fichier PDF.
Utilisation
Cet état donne des informations de modification sur les objets de contrôle d'accès, par exemple, Rôle, Risque et
Profil. Les informations comprennent l'auteur de la modification de l'objet, l'horodatage, les nouvelles et les
anciennes valeurs, le nom et le type d'entité, les attributs et le type de modification.
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● Modifié le
● Profil critique
● Rôle critique
● Détenteur
● Contrôleur
● Rôle Firefighter
● Détenteur Firefighter
● Code de motif
● Firefighter
● Fonction
● Règle d'organisation
● Risque
● Rôle
● Ensemble de règles
● Règle supplémentaire
● ID utilisateur
Cliquez sur Rechercher pour exécuter l'état en avant-plan. Cliquez sur Réinitialiser pour réinitailiser la zone de
valeur de recherche.
Remarque
Pour sauvegarder les résultats de votre recherche pour une récupération de données ultérieure, saisissez un
nom à côté de Sauvegarder recherche sous puis cliquez sur Sauvegarder Utilisez le bouton de commande
Charger pour récupérer la recherche sauvegardée puis sur le bouton de commande Supprimer pour supprimer
la recherche sauvegardée.
Attention
Cet état prend uniquement en charge la sécurité au niveau de l'état. En d'autres termes, si vous êtes autorisé à
afficher cet état, vous pouvez afficher toutes les zones possibles sans restriction.
Informations complémentaires
Utilisation
Cet état identifie des appels de transaction intégrés dans des programmes personnalisés.
Pour exécuter l'état, désignez des valeurs pour chacun des critères de filtre suivants :
● Action
● Système
● Programme
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Détails de l'état
Vous pouvez sélectionner Exporter ensembles de résultats pour télédécharger les données ou Version
d'impression pour créer un fichier PDF.
Détails de l'état
Informations complémentaires
9.6.3 Etat Lister actions dans les rôles mais pas dans les
règles
Utilisation
Cet état liste toutes les actions présentes dans les rôles mais qui ne font pas partie de la bibliothèque des règles.
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● Système
● Profil
● Rôle
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez sélectionner Exporter ensembles de résultats pour télédécharger l'ensemble de données dans son
l'intégralité, Exporter pour télédécharger les résultats à l'écran ou Version d'impression pour créer un fichier PDF.
Vous pouvez également marquer des éléments individuels comme ayant été analysés.
Détails de l'état
L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats
d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à
afficher les données d'Amérique du Nord.
Informations complémentaires
Utilisation
Cet état liste toutes les approbations présentes dans les rôles mais qui ne font pas partie de la bibliothèque des
règles.
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● Système
● Profil
● Rôle
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez sélectionner Exporter ensembles de résultats pour télédécharger l'ensemble de données dans son
l'intégralité, Exporter pour télédécharger les résultats à l'écran ou Version d'impression pour créer un fichier PDF.
Vous pouvez également marquer des éléments individuels comme ayant été analysés.
Détails de l'état
L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats
d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à
afficher les données d'Amérique du Nord.
Informations complémentaires
SAP GRC Access Control propose les états suivants pour la gestion des accès d'urgence :
● Etat Journal consolidé [page 261] - Cet état saisit les données du connecteur de système sélectionné pour
Firefighters. L'état donne des informations en fonction des journaux suivants, à partir des systèmes distants :
Journal de transaction, Journal de modification, Journal système, Journal d'audit de sécurité, Journal de
commande de SE. C'est l'état le plus communément utilisé. Vous pouvez configurer votre système pour
recevoir cet état par e-mail ou par workflow.
● Etat Accès d'urgence non valide [page 263] - Cet état permet d'indiquer les types d'utilisateur pour l'accès
d'urgence, expirés, supprimés ou bloqués, par exemple, les ID Firefighter, les contrôleurs ou les détenteurs.
● Etat Synthèse journal Firefighter [page 262] - Cet état saisit des données altérables du connecteur de
système sélectionné pour des ID Firefighter.
● Etat de code de motif et d'activité [page 264] – Cet état affiche des données du connecteur système
sélectionné pour chaque ID Firefighter. L'état liste le motif et l'activité pour chaque événement de connexion.
● Etat de journal de transaction et détails de session [page 266] - Cet état saisit des données altérables du
connecteur de système sélectionné pour des ID Firefighter et des Firefighters. Il affiche le nombre et le type
de transactions auxquels chaque ID Firefighter a accédé et chaque Firefighter.
● Etat de conflit SoD pour ID Firefighter [page 265] - Cet état fournit l'historique d'actions effectuées sur des
tâches de révision de SoD y compris l'affirmation de l’atténuation.
Utilisation
Cet état capture des données à partir du connecteur système sélectionné pour des ID Firefighter. L'état donne
des informations en fonction des journaux suivants, à partir des systèmes distants :
Table 34 :
Journal Description
Journal des modifications des objets du document Capture le journal des modifications des objets du document
de modification à partir des tables CDPOS et CDHDR.
Journal des modifications des données de table Capture les journaux des modifications lorsque des modifica
tions de table sont exécutées à l'aide des transactions SE16/
SE16N/SE17/SM30/SM31 et ainsi de suite.
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● Nom de l'état
● Système
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez sélectionner Exporter pour télédécharger les données ou Version d'impression pour créer un fichier
PDF.
Détails de l'état
L'application affiche les objets que vous êtes autorisé à afficher. Par exemple, si vous êtes autorisé à afficher
uniquement les données d'Amérique du Nord, seules les données liées à l'Amérique du Nord s'afficheront dans
l'état.
Informations complémentaires
Utilisation
Cet état capture des données à partir du connecteur système sélectionné pour des ID Firefighter.
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● Système
Vous voyez uniquement les systèmes pour lesquels vous possédez une autorisation.
● Firefighter
● Détenteur
● ID Firefighter
● Date
● Taille de l'ensemble de résultats
Vous pouvez sélectionner Exporter pour télédécharger les données ou Version d'impression pour créer un fichier
PDF.
Détails de l'état
L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats
d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à
afficher les données d'Amérique du Nord.
Informations complémentaires
Utilisation
Cet état permet d'indiquer les types d'utilisateurs (ID Firefighter, contrôleurs ou détenteurs) expirés, supprimés
ou bloqués.
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● Système
Vous voyez uniquement les systèmes pour lesquels vous possédez une autorisation.
● Firefighter
● Détenteur
● ID Firefighter
● Contrôleur
● Taille de l'ensemble de résultats
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter pour
télédécharger les données ou Version d'impression pour créer un fichier PDF.
Informations complémentaires
Utilisation
Cet état affiche des données du connecteur système sélectionné pour chaque ID Firefighter. L'état liste le motif et
l'activité pour chaque événement de connexion.
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● Système
Vous voyez uniquement les systèmes pour lesquels vous possédez une autorisation.
● Firefighter
● Détenteur
● ID Firefighter
● Date
● Taille de l'ensemble de résultats
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter pour
télédécharger les données ou Version d'impression pour créer un fichier PDF.
Détails de l'état - L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans
les résultats d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes
uniquement autorisé à afficher les données d'Amérique du Nord.
Informations complémentaires
Utilisation
Cet état fournit l'historique des actions effectuées sur les tâches de révision SoD y compris réaffirm. atténuation.
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● Système
● ID Firefighter
● Détenteur
● Firefighter
● Action
Options de l'état – Les options suivantes sont disponibles pour cet état :
● Format
○ Synthèse
○ Détail
○ Aperçu de gestion
○ Aperçu exécutif
○ Vue technique/de gestion
● Type d'analyse de risque d'accès
○ Niveau action/approbation
○ Action/Approbation critique
○ Rôle/Profil critique
● Critères supplémentaires
○ Afficher tous les objets
○ Transactions exécutées uniquement
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez exécuter l'état en avant-plan ou en arrière-plan. Vous pouvez sélectionner Exporter ensemble de
résultats pour télédécharger les données ou Version d'impression pour créer un fichier PDF.
Détails de l'état - L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans
les résultats d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes
uniquement autorisé à afficher les données d'Amérique du Nord.
Informations complémentaires
Utilisation
Cet état capture des données de transaction à partir du connecteur système sélectionné pour des ID Firefighter et
des Firefighters. Il affiche le nombre et le type de transactions auxquels chaque ID Firefighter a accédé pour
chaque Firefighter.
Pour exécuter l'état, désignez des valeurs pour les critères de filtre suivants :
● Système
Vous voyez uniquement les systèmes pour lesquels vous possédez une autorisation.
● Firefighter
● ID Firefighter
● Transaction
● Code de motif
● Date
● Taille de l'ensemble de résultats
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez sélectionner Exporter pour télédécharger les données ou Version d'impression pour créer un fichier
PDF.
Détails de l'état
L'application affiche uniquement les objets que vous êtes autorisé à afficher. Par exemple, dans les résultats
d'état, seules les données liées à l'Amérique du Nord s'afficheront dans l'état, si vous êtes uniquement autorisé à
afficher les données d'Amérique du Nord.
Informations complémentaires
Cet état fournit des informations sur les modifications de rôle directement mises à jour dans des systèmes
backend.
● Système
● Rôle/Utilisateur
● Généré par
● Date de génération
● Heure de génération
● Motif
Recommandation
Si vous exécutez fréquemment le même état à l'aide des mêmes valeurs de filtre, définissez une variante et
sauvegardez-la. La prochaine fois que vous souhaitez exécuter cet ensemble de valeurs, récupérez la variante à
partir des Variantes sauvegardées et le système insère automatiquement vos valeurs.
Vous pouvez sélectionner Exporter pour télédécharger les données ou Version d'impression pour créer un fichier
PDF.
Accessibilité
Les informations contenues dans la documentation SAP représentent la vision actuelle de SAP concernant les critères d'accessibilité, à la date de publication de ladite
documentation, et ne peuvent en aucun cas être considérées comme juridiquement contraignantes pour garantir l'accessibilité aux produits logiciels. SAP décline toute
responsabilité pour le présent document. Cette clause de non-responsabilité ne s'applique toutefois pas à des cas de faute intentionnelle ou lourde de la part de SAP. En
outre, ce document n'entraîne pas des obligations contractuelles directes ou indirectes pour SAP.
Hyperliens Internet
La documentation SAP peut contenir des hyperliens vers Internet. Lesdits hyperliens sont utilisés pour indiquer où trouver l'information. SAP ne garantit pas la
disponibilité et l'exactitude des informations ou leur capacité à répondre à un but précis. SAP ne saurait être tenu responsable des dommages causés par l'utilisation
desdites informations sauf si de tels dommages étaient causés par une négligence grave ou une faute intentionnelle de SAP. Tous les liens sont catégorisés pour
transparence (voir : http://help.sap.com/disclaimer).