PAM: Privilege Access Management
Gecontroleerde toegang tot data in de productieomgeving wordt gerealiseerd met de Privilege Access Management (PAM) module van MARC.
Met de PAM-module kan op gecontroleerde wijze SAP_ALL (of een uitgeklede versie van SAP_ALL) worden uitgegeven voor speciale (beheer-)activiteiten.
Konden technische en functionele beheerders vroeger in SAP met hun SAP_ALL account alles zonder dat er iemand toezicht op had, nu kunnen ze via de PAM-module van het begin tot het eind worden gecontroleerd.
Het proces daarbij:
- Via een workflow ontvangt een SAP-beheerder een speciale PAM-user id, na toestemming van een eigenaar of verantwoordelijke voor het ECC-systeem.
- De uitgifte kent tijdslimieten. Zo kan de uitgifte voor slechts 10 minuten zijn maar ook voor bijvoorbeeld een week. Daarnaast kan uitgifte gepland worden voor gebruik in de toekomst (vooraf toestemming).
- De transacties die de beheerder tijdens zijn PAM user id gebruik uitvoert, worden vastgelegd met details van de wijzigingen (o.b.v. SAP logdata). Risicovolle acties kunnen apart gehighlight worden.
- De rapportage op basis van de SAP logging blijft beschikbaar voor latere controles, door bijvoorbeeld de externe accountant.
- Nadat de toegang is verlopen, krijgt de verantwoordelijke voor het ECC-systeem de rapportage ter beoordeling.
Voordelen van de PAM-module:
- Besparing van een 2e persoon die meekijkt met wat de beheerder doet (vier-ogen principe / rode envelopprocedure).
- U krijgt een overzichtelijke en consistente rapportage. Goede periodieke vergelijking wordt mogelijk en is simpel.
- Maatwerk-rapportage. U kunt bijvoorbeeld belangrijke items highlighten, waardoor cruciale items in één oogopslag te zien zijn.