三崎レイナ
社会人1年目。新卒でITコンサルティングファームに就職。初配属がSAPプロジェクトにアサインされる。SAPがわからないことだらけで悩んでいたところ、会社の先輩にSAPラボの所長を紹介され、毎週末に所長とSAPのお勉強中!
博士
SAPラボの所長。SAP大好き博士!SAP導入プロジェクトを構想策定~運用保守まであらゆるフェーズを数多く経験。
いまは優しきおじいちゃんだが、プロマネバリバリの時代はかなり怖かったらしい。現在は引退し、SAPの後進育成と啓蒙活動に従事中!
【SAP GRC】 Access Controlカスタマイズ方法
記事のポイント
- SAP GRC Access Controlのカスタマイズ方法について解説します。
レイナ以前GRCで紹介したAccess Controlの設定方法を教えてください!
SAPラボ
【SAP GRC】GRCとは? | SAPラボ
記事のポイント SAPの機能「GRC」の概要について理解できるようになります。 最近「GRC」という単語を見かけるのですが、何のことかご存じですか? 知っておるぞい。今回は…
博士よし、わかった。
今回はAccess Controlのカスタマイズについて解説していくのじゃ!
SAP GRCの1つである「Access Control」のカスタマイズ方法について説明します。
この記事のポイント
カスタマイズ
「Access Control」を使用する際の最低限のカスタマイズを解説していきます。
登録: コネクタ
トランザクションコード:SM59
SPRO IMGノード:
Governance, Risk and Compliance> 共通コンポーネント設定>統合フレームワーク>登録: コネクタ
「RFC宛先」を設定します。
このカスタマイジングでは他SAP環境への接続の入り口のようなもの(RFC宛先)を作るために行います。
「ABAP接続」に下記で新規登録します。
| No. | 技術設定 設定項目 | 入力内容 |
|---|---|---|
| ① | RFC宛先 | 任意の値 |
| ② | 接続タイプ | 3 |
| ③ | 対象ホスト | 接続先のホスト名 |
| ④ | Instance No. | APサーバのインスタンス番号 |
| No. | Logonとセキュリティ 設定項目 | 入力内容 |
|---|---|---|
| ⑤ | Client | 接続先のクライアント |
| ⑥ | ユーザ | 接続に使用するユーザID |
| ⑦ | パスワード | 接続に使用するユーザIDのパスワード |
| ⑧ | 保存 | 押下 |
「接続テスト」を押下しテストを実行します。
エラーが出なければ「登録: コネクタ」の設定完了です。
更新: コネクタおよび接続タイプ
SPRO IMGノード:
Governance, Risk and Compliance> 共通コンポーネント設定>統合フレームワーク> 更新: コネクタおよび接続タイプ
「コネクタ定義」を設定します。
このカスタマイジングは他システムへの接続のために行います。
下記を設定します。
| No. | 項目 | 入力内容 |
|---|---|---|
| ① | コネクタ定義 | 対象を選択 |
| ② | 新規エントリ | 押下 |
| ③ | ターゲットコネクタ | 「登録: コネクタ」で作成したコネクタ |
| ④ | 接続タイプ | SAP |
| ⑤ | 論理ポート | 「登録: コネクタ」で作成したコネクタ |
「コネクタグループ定義」を設定します。
「新規エントリ」より下記を設定します。
| No. | 項目 | 入力内容 |
|---|---|---|
| ⑥ | コネクタグループ定義 | ダブルクリックで選択 |
| ⑦ | 新規エントリ | 押下 |
| ⑧ | Conn.Group | 任意の値を設定 |
| ⑨ | コネクタ Group Text | 任意の値を設定 |
| ⑩ | 接続タイプ | SAP |
「コネクタグループへのコネクタ割当」を設定します。
「新規エントリ」より下記を設定します。
| No. | 項目 | 入力内容 |
|---|---|---|
| ⑪ | Conn.Group | チェック |
| ⑫ | コネクタグループへのコネクタ割当 | ダブルクリックで選択 |
| ⑬ | 新規エントリ | 押下 |
| ⑭ | ターゲットコネクタ | 「登録: コネクタ」で作成したコネクタ |
| ⑮ | 接続タイプ | SAP |
「グループタイプへのコネクタグループ割当」を設定します。
下記を設定します。
| No. | 項目 | 入力内容 |
|---|---|---|
| ⑯ | グループタイプへのコネクタグループ割当 | ダブルクリックで選択 |
| ⑰ | 新規エントリ | 押下 |
| ⑱ | コネクタGroup Type | SOD-LOG 論理グループ |
| ⑲ | 保存 | 押下 |
「更新: コネクタおよび接続タイプ」の設定完了です。
更新: 接続設定
SPRO IMGノード:
Governance, Risk and Compliance> 共通コンポーネント設定>統合フレームワーク> 更新: 接続設定
「統合シナリオ」を設定します。
このカスタマイジングはコネクタを統合シナリオに割り当てます。
他のシステムと通信する際にはコネクタを使用します。
そのため使用するシナリオをコネクタに割り当てる必要があります。
①「AUTH」「PROV」「ROLMG」「SUPMG」を選択しそれぞれ設定します。
「サブシナリオ定義」を設定します。
下記を設定します。
| No. | 項目 | 入力内容 |
|---|---|---|
| ② | サブシナリオ | チェック |
| ③ | シナリオ-コネクタリンク | ダブルクリックで選択 |
| ④ | 新規エントリ | 押下 |
| ⑤ | ターゲットコネクタ | 「登録: コネクタ」で作成したコネクタ |
| ⑥ | 保存 | 押下 |
「AUTH」「PROV」「ROLMG」「SUPMG」すべてに実施します。
「更新: 接続設定」の設定完了です。
更新: コネクタ設定
SPRO IMGノード:
Governance, Risk and Compliance> Access Control>更新: コネクタ設定
「更新: コネクタ設定」を設定します。
下記を設定します。
| No. | 項目 | 入力内容 |
|---|---|---|
| ① | 新規エントリ | 押下 |
| ② | ターゲットコネクタ | 「登録: コネクタ」で作成したコネクタ |
| ③ | Appl Type | 001(SAP) |
| ④ | 環境 | 使用環境の状況に合わせて設定 |
| ⑤ | 保存 | 押下 |
「更新: コネクタ設定」の設定完了です。
更新: アクションおよびコネクタグループのマッピング
SPRO IMGノード:
Governance, Risk and Compliance> Access Control> 更新: アクションおよびコネクタグループのマッピング
「コネクタグループステータス更新」を設定します。
下記を設定します。
| No. | 項目 | 入力内容 |
|---|---|---|
| ① | 新規エントリ | 押下 |
| ② | Conn.Group | 「更新: コネクタおよび接続タイプ」で作成したコネクタグループ |
| ③ | 有効 | チェック |
| ④ | Appl Type | 001(SAP) |
「コネクタグループへのデフォルトコネクタ割当」を設定します。
下記を設定します。
| No. | 項目 | 入力内容 |
|---|---|---|
| ⑤ | コネクタグループへのデフォルトコネクタ割当 | ダブルクリックで選択 |
| ⑥ | 新規エントリ | 押下 |
| ⑦ | Conn.Group | 「更新: コネクタおよび接続タイプ」で作成したコネクタグループ |
| ⑧ | アクション | 「更新: 接続設定」で設定した「統合シナリオ」と同じものを設定 |
| ⑨ | ターゲットコネクタ | 「登録: コネクタ」で作成したコネクタ |
| ⑩ | Default | チェック |
| ⑪ | 保存 | 押下 |
「更新: アクションおよびコネクタグループのマッピング」の設定完了です。
権限同期
トランザクションコード:GRAC_AUTH_SYNC
SPRO IMGノード:
Governance, Risk and Compliance> Access Control> 同期ジョブ> 権限同期
「権限同期」を実行します。
この作業はGRC Access Controlで使用する権限マスタデータをバックエンドERPシステムから同期するために行います。
条件に下記を設定します。
| No. | 項目 | 入力内容 |
|---|---|---|
| ① | コネクタ | 「登録: コネクタ」で作成したコネクタ |
| ② | 言語 | 任意の言語を設定 |
| ③ | 実行 | フォアグラウンド又はバックグラウンドで実行 |
「フォアグラウンド実行」も可能ですが、時間がかかることもあるため「バックグラウンド実行」がおすすめです。
トランザクションコード:SM37で結果を確認し、正常に終了していれば「権限同期」による設定完了です。
リポジトリオブジェクト同期
トランザクションコード:GRAC_REP_OBJ_SYNC
SPRO IMGノード:
Governance, Risk and Compliance> Access Control> 同期ジョブ> リポジトリオブジェクト同期
「リポジトリオブジェクト同期」を実行します。
プロファイル、ロール、ユーザのデータをERP バックエンドシステムから同期するために行います。
リスク分析の際に必要となるデータです。
条件に下記を設定し実行します。
| No. | 項目 | 入力内容 |
|---|---|---|
| ① | 同期ジョブ選択 | 「プロファイル」「ロール」「ユーザ」にチェック |
| ② | コネクタ | 「登録: コネクタ」で作成したコネクタ |
| ③ | 言語 | 任意の言語 |
| ④ | 同期モード | 「完全同期」にチェック |
| ⑤ | 実行 | フォアグラウンド又はバックグラウンドで実行 |
「フォアグラウンド実行」も可能ですが、時間がかかることもあるため「バックグラウンド実行」がおすすめです。
トランザクションコード:SM37で結果を確認し、正常に終了していれば「リポジトリオブジェクト同期」による設定完了です。
ダウンロード: 職務分掌ルール
トランザクションコード:GRAC_DOWNLOAD_RULES
SPRO IMGノード:
Governance, Risk and Compliance> Access Control>アクセスリスク分析>職務分掌ロール> ダウンロード: 職務分掌ルール
SAP標準の「職務分掌ルール」をダウンロードします。
この作業はSAP標準の職務分掌ルールを取得するために行います。
条件に下記を設定します。
| No. | 項目 | 入力内容 |
|---|---|---|
| ① | システム | S/4の場合は「SAP_S4A_LG」を選択 R3の場合は「SAP_R3_LG」を選択 |
| ② | ビジネスプロセス | 保存先のファイル名とパスを設定 |
| ③ | ファンクション | 保存先のファイル名とパスを設定 |
| ④ | ファンクションビジネスプロセス | 保存先のファイル名とパスを設定 |
| ⑤ | ファンクションアクション | 保存先のファイル名とパスを設定 |
| ⑥ | ファンクション権限 | 保存先のファイル名とパスを設定 |
| ⑦ | ルールセット | 保存先のファイル名とパスを設定 |
| ⑧ | リスク | 保存先のファイル名とパスを設定 |
| ⑨ | リスク詳細 | 保存先のファイル名とパスを設定 |
| ⑩ | リスクルールセット関係 | 保存先のファイル名とパスを設定 |
| ⑪ | 実行 | 押下 |
「実行」し正常に終了していれば完了です。
アップロード: 職務分掌ルール
トランザクションコード:GRAC_UPLOAD_RULES
SPRO IMGノード:
Governance, Risk and Compliance> Access Control>アクセスリスク分析>職務分掌ロール> アップロード: 職務分掌ルール
「職務分掌ルール」をアップロードします。
この作業は職務分掌ルールをアップロードするために行います。
ここでは、「ダウンロード: 職務分掌ルール」で取得した標準ルールをアップロードしています。
既存の職務分掌ルールを変更する際にも使用します。
条件に下記を設定します。
| No. | 項目 | 入力内容 |
|---|---|---|
| ① | システム | 「登録: コネクタ」で作成したコネクタまたは 「更新: コネクタおよび接続タイプ」で作成したコネクタグループを選択 |
| ② | ビジネスプロセス | 「ダウンロード: 職務分掌ルール」でダウンロードしたファイル名とパスを設定 |
| ③ | ファンクション | 「ダウンロード: 職務分掌ルール」でダウンロードしたファイル名とパスを設定 |
| ④ | ファンクションビジネスプロセス | 「ダウンロード: 職務分掌ルール」でダウンロードしたファイル名とパスを設定 |
| ⑤ | ファンクションアクション | 「ダウンロード: 職務分掌ルール」でダウンロードしたファイル名とパスを設定 |
| ⑥ | ファンクション権限 | 「ダウンロード: 職務分掌ルール」でダウンロードしたファイル名とパスを設定とパスを設定 |
| ⑦ | ルールセット | 「ダウンロード: 職務分掌ルール」でダウンロードしたファイル名とパスを設定 |
| ⑧ | リスク | 「ダウンロード: 職務分掌ルール」でダウンロードしたファイル名とパスを設定 |
| ⑨ | リスク詳細 | 「ダウンロード: 職務分掌ルール」でダウンロードしたファイル名とパスを設定 |
| ⑩ | リスクルールセット関係 | 「ダウンロード: 職務分掌ルール」でダウンロードしたファイル名とパスを設定 |
| ⑪ | オプション | 「上書き」を選択 |
| ⑫ | 実行 | 押下 |
「実行」し正常に終了していれば完了です。
生成: 職務分掌ルール
トランザクションコード:GRAC_GENERATE_RULES
SPRO IMGノード:
Governance, Risk and Compliance> Access Control>アクセスリスク分析>職務分掌ロール> 生成: 職務分掌ルール
「アップロード: 職務分掌ルール」でアップロードしたルールから「職務分掌ルール」を生成します。
条件に下記を設定します。
| No. | 項目 | 入力内容 |
|---|---|---|
| ① | リスク | F4ヘルプで出てくる対象全てが対象範囲となるように選択 |
| ② | 実行 | フォアグラウンド又はバックグラウンドで実行 |
「フォアグラウンド実行」も可能ですが、時間がかかることもあるため「バックグラウンド実行」がおすすめです。
正常に終了していれば完了です。
今回のまとめ
博士これでAccess Controlの機能であるリスク分析などが使用可能になるのじゃ!
★★★SAPラボのライター募集★★★
SAPラボでは、SAPの知識を活かして副業をしたい方を募集してるのじゃ!
SAPラボのライターの特徴
・ライティング初心者OK!
・報酬高単価!
・業務委託契約なので副業として最適!
SAP記事執筆者としての活動実績として利用可能なので、転職時や案件探しの際に企業へのアピール材料にもなります。
募集要項
・SAP導入や運用保守プロジェクトへの参画経験1年以上
ご応募/お問合せ先
info@sap-career.com
少しでもご興味ある方、ぜひお気軽にご連絡下さい!
