Benutzer und Berechtigungen auswerten

Objectives

After completing this lesson, you will be able to:
  • das Benutzerinformationssystem verwenden, um Informationen über Berechtigungen und Benutzer zu erhalten
  • Systemtrace für Berechtigungsprüfungen ausführen, um Berechtigungsprobleme zu finden

Möglichkeiten zum Auffinden von Benutzerinformationen

Um sich einen Überblick über Berechtigungen und Benutzer in einem SAP-System zu verschaffen, können Sie das Benutzerinformationssystem verwenden.

Sie starten das Benutzerinformationssystem mit der Transaktion SUIM. Um ihn aus der Benutzerpflege (Transaktion SU01) zu starten, wählen Sie den Menüpfad InformationInfosystem.

Wie in der Abbildung „Benutzerinformationssystem" dargestellt, bietet Ihnen das Benutzerinformationssystem eine Sammlung verschiedener Berichte, mit denen Sie Informationen zu Benutzern, Rollen, Profilen, Berechtigungen usw. auswerten können.

Es können Listen angezeigt werden, die Antworten auf verschiedene Fragen geben, zum Beispiel:

  • Welcher Benutzer ist im System durch Administratoren oder fehlgeschlagene Anmeldeversuche gesperrt?

  • Wann war ein Benutzer das letzte Mal am System angemeldet?

  • Welche Änderungen wurden im Berechtigungsprofil eines Benutzers vorgenommen?

  • In welchen Rollen ist eine bestimmte Transaktion enthalten?

  • Welchen Benutzern sind Berechtigungen zugeordnet, die als kritisch eingestuft sind?

Hinweis

Wir empfehlen, dass Sie die verschiedenen Listen, die für Sie wichtig sind, regelmäßig prüfen. Definieren Sie ein Überwachungsverfahren und entsprechende Prüflisten, um sicherzustellen, dass Sie Ihren Berechtigungsplan kontinuierlich prüfen.

Wir empfehlen insbesondere, die für Sie kritischen Berechtigungen zu ermitteln und regelmäßig zu prüfen, in welchen Benutzerprofilen diese Berechtigungen vorkommen.

Optional: Benutzerinformationssystem

Unternehmensszenario

Als Benutzeradministrator möchten Sie das Benutzerinformationssystem verwenden, um Informationen zu Benutzern und deren Berechtigungen auszuwerten.

Notiz

Wenn die Werte in dieser Übung ## enthalten, ersetzen Sie die Zeichen durch die Nummer, die Ihnen Ihr Referent zugewiesen hat.

Aufgabe 1: Ausführbare Transaktionen in einer Rolle ermitteln

Sie möchten herausfinden, welche Transaktionen innerhalb der Rolle Z_BC_ENDUSER_## ausführbar sind. Dazu verwenden Sie das Benutzerinformationssystem (Transaktion SUIM).

Schritte

  1. Verwenden Sie in Ihrem zugeordneten SAP-System das Benutzerinformationssystem, um Transaktionen zu ermitteln, die für die Rolle Z_BC_ENDUSER_## ausführbar sind.

    1. Melden Sie sich im Mandanten 100 Ihres SAP-Systems an.

    2. Rufen Sie die Transaktion SUIM AUF.

    3. Expandieren Sie in der Baumstruktur den Knoten Transaktionen.

    4. Wählen Sie Ausführbare Einheit für Rolle.

    5. Markieren Sie den Auswahlknopf Mit Rolle.

    6. Geben Sie im Feld Rolle den Rollennamen Z_BC_ENDUSER_## ein.

    7. Wählen Sie unten rechts Ausführen.

      Ergebnis

      Die Transaktionen SU3 und SU53 sind mit der Rolle Z_BC_ENDUSER_## ausführbar.

Datensätze der Berechtigungsprüfungen

Fehlgeschlagene Berechtigungsprüfungen können in der Transaktion SU53 angezeigt werden. Das System zeigt Berechtigungsobjekte, für die die Berechtigungsprüfung fehlgeschlagen ist, zusammen mit den geprüften Werten an.

In vielen Fällen sind Endbenutzer für SU53 berechtigt, damit sie selbst herausfinden können, welche Berechtigungen ihnen fehlen.

Hinweis

Benutzer können Werte für das geprüfte Objekt nur dann anzeigen, wenn sie Berechtigungen für das Objekt S_USER_AUT besitzen. Sonst wird die Meldung Keine Berechtigung zum Anzeigen von Berechtigungswerten angezeigt.

Der Systemadministrator kann mit der Transaktion SU53 prüfen, welche Berechtigungen andere Benutzer beim Ausführen einer Aktion ebenfalls fehlen. Besitzt er dann zusätzlich noch die Berechtigungen für S_USER_AUT, kann er auch die Werte anzeigen, die der Benutzer für das geprüfte Objekt besitzt.

Systemtrace für Berechtigungsprüfungen

Mit der System-Trace-Funktion Systemtrace für Berechtigungsprüfungen (TRANSAKTION STAUTHTRACE) können Sie Berechtigungsprüfungen in eigenen und anderen Modi aufzeichnen. Alternativ können Sie auch die Berechtigungsprüfungsfunktion im Systemtrace (Transaktion ST01) verwenden.

Achtung

Standardmäßig funktioniert dies aber nur, wenn es sich um die gleiche Instanz (den gleichen Anwendungsserver) handelt.

Hier werden alle geprüften Berechtigungsobjekte inklusive der geprüften Feldwerte aufgezeichnet. Der Systemtrace eignet sich, um mehrere fehlende Berechtigungen zu ermitteln. In diesem Fall wird der Systemtrace für die Berechtigungsprüfung eines speziellen Benutzers aktiviert, der alle notwendigen Berechtigungen für die zu prüfenden Aktionen besitzt. Mit diesem speziellen Benutzer werden die Aktionen dann durchgeführt. Der Trace zeichnet alle Berechtigungsprüfungen auf. Sie können sie dann auswerten.

Wenn Sie Werte aus Traces bei der Pflege von Berechtigungsvorschlägen oder Rollen einfach verwenden möchten, lesen Sie den SAP-Hinweis 1631929Traceauswertung zur Pflege von Menüs und Berechtigungen verwenden.

Optional: Systemtrace für Berechtigungsprüfungen

Unternehmensszenario

Sie möchten Berechtigungsprüfungen und deren Werte für bestimmte Benutzer im System erfassen.

Notiz

Wenn die Werte in dieser Übung ## enthalten, ersetzen Sie die Zeichen durch die Nummer, die Ihnen Ihr Referent zugewiesen hat.

Schritte

  1. Starten Sie den Systemtrace für Berechtigungsprüfungen (Transaktion STAUTHTRACE), und aktivieren Sie den Trace für Ihren Benutzer TRAIN-##.

    1. Melden Sie sich im Mandanten 100 Ihres SAP-Systems an.

    2. Starten Sie die Transaktion STAUTHTRACE.

    3. Geben Sie im Feld Trace nur für Benutzer Ihren Benutzer TRAIN-## ein.

    4. Wählen Sie Trace einschalten.

      Ergebnis

      Der Berechtigungstrace ist eingeschaltet.

  2. Starten Sie in einem neuen GUI-Fenster die Benutzerpflege (Transaktion SU01), und legen Sie den Titel für Ihren eigenen Benutzer fest.

    1. Rufen Sie die Transaktion SU01 in einem neuen GUI-Modus auf (z.B. mit /oSU01).

    2. Geben Sie im Feld Benutzer Ihren Benutzernamen (TRAIN-##) ein.

    3. Markieren Sie das Ankreuzfeld ändern.

    4. Wählen Sie auf der Registerkarte Adresse einen Titel aus.

    5. Wählen Sie unten rechts Sichern.

  3. Deaktivieren Sie den Trace und werten Sie den generierten Systemtrace für Berechtigungsprüfungen aus.

    Welche Berechtigungsobjekte wurden geprüft?

    ___________________________________________

    War die Berechtigungsprüfung von S_USER_GRP erfolgreich?

    ___________________________________________

    1. Kehren Sie zur Sitzung mit Systemtrace für Berechtigungsprüfungen zurück.

    2. Wählen Sie Trace ausschalten.

    3. Filtern Sie die Ergebnisse nur für Ihren Benutzer, indem Sie Ihren Benutzernamen (TRAIN-##) im Abschnitt Einschränkungen für die Auswertung eingeben.

    4. Wählen Sie Auswerten, um die Trace-Ergebnisse zu analysieren.

      Ergebnis

      Die geprüften Berechtigungsobjekte werden in der Spalte Objekte angezeigt. Die Prüfung des Berechtigungsobjekts S_USER_GRP war erfolgreich.

Weiterführende Informationen

Weitere Informationen zur Benutzerverwaltung finden Sie in der Online-Dokumentation zu SAP S/4HANA unter Product AssistanceDeutsch (German)UnternehmenstechnologieABAP-PlattformABAP-Plattform sichernSicherheit und BenutzerverwaltungBenutzerverwaltung und Identity-Management in ABAP-Systemen.

In den folgenden SAP-Hinweisen finden Sie Informationen zu den in dieser Lektion vorgestellten Themen:

  • SAP-Hinweis 2467: Kennwortregeln und Vermeidung von Falschanmeldungen
  • SAP-Hinweis 862989: Neue Kennwortregeln ab SAP NetWeaver 2004s (NW ABAP 7.0)
  • SAP-Hinweis 1631929: Pflege von Menüs und Berechtigungen über Traceauswertung

Learning

SAP FacebookSAP YoutubeSAP LinkedIn