Benutzertrace – Was ist die Transaktion STUSERTRACE?
Table of Contents
Einführung
Zum Abschluss meiner Blogserie zu den wichtigsten Traces im SAP-ABAP-Berechtigungskontext möchte ich Ihnen gerne noch den Benutzertrace näherbringen. Im Gegensatz zum Systemtrace (Transaktionen STAUTHTRACE / ST01) oder auch dem Berechtigungstrace (Transaktion STUSOBTRACE) liegt der Fokus bei diesem Trace darin, nicht nur Benutzer zu analysieren, sondern vor allem zu validieren, ob die jeweiligen Jobfunktionen (bspw. FI Sachbearbeiter Buchhaltung) in Ihrem Unternehmen auch komplett durch das bestehende Rollenkonzept abgedeckt sind. Das bedeutet, Sie können mit diesem Langzeittrace per Transaktion STUSERTRACE explizit überprüfen, ob Ihr Rollenkonzept die notwendigen Applikationen und Prozesse für die jeweiligen Aufgaben innerhalb einer Jobfunktion abdeckt. Somit können Sie durch diese Analyse ein funktionierendes Rollenkonzept, mit den für die Aufgaben notwendigen Berechtigungen, ermöglichen.
In erster Linie werde ich auf den zum Benutzertrace dazugehörigen Profilparameter und die Grundlagen sowie technischen Details eingehen. Danach werden wir uns die Analyse von Jobfunktionen in einem Fallbeispiel anschauen.
In Kombination mit der Transaktion STSIMAUTHCHECK können Sie die Daten des Benutzertraces auch dafür verwenden, eine Simulation zwischen der jeweiligen (Jobfunktions-) Rollen und den Tracedaten des Benutzers zu fahren, um den Abdeckungsgrad der Jobfunktionsrolle zu ermitteln.
Notwendige Einstellung der Profilparameter
Damit Sie den Benutzertrace überhaupt einsetzen können, müssen Sie den notwendigen Profilparameter zuerst aktivieren. Dieser lautet auth/auth_user_trace. Hier empfehle ich, wie beim Berechtigungstrace (Transaktion STUSOBTRACE), das Trace mit der Filteroption (F) zu aktivieren, da sonst ggf. die Systemperformance beeinflusst werden könnte (Abbildung 1). Stimmen Sie sich vor der Aktivierung am besten mit der SAP-Basis ab, da solche Profilparameteranpassungen zumeist in deren Aufgabengebiet fällt.
Abbildung 1: Aktivierung des Profilparameters auth/auth_user_trace
Beachten Sie bitte, dass bei aktiviertem Trace mit Filter in der Transaktion STUSERTRACE nur bis zu zwei Applikationstypen (bspw. Transaktionen, RFC Funktionsbausteine, etc.) für bis zu zehn Benutzernamen und zehn Berechtigungsobjekte gefiltert werden kann (Abbildung 2). Per Filteroptionen können Sie hier eine starke Eingrenzung entsprechend Ihrem Anwendungsfall und Ziel vornehmen. Außerdem sollte er aus Performancegründen nicht dauerhaft laufen, sondern nur im Testzeitraum.
Abbildung 2: Filteroptionen in Transaktion STUSERTRACE
Der Benutzertrace im Überblick
Bei diesem Langzeittrace werden die Daten (Trace-Dateien), ähnlich wie beim STUSOBTRACE, in einer Datenbanktabelle (SUAUTHVALTRC) gespeichert. Zudem ist er mandanten- und benutzerspezifisch und enthält keine Zeitstempel der einzelnen Logs. Das Trace sammelt die Daten nur einmal pro Applikation und Endbenutzer, was wiederum ein Vorteil gegenüber bspw. dem Systemtrace als Kurzzeitrace ist. Außerdem können Sie, wie bei den anderen Traces auch, die Daten des Benutzertrace direkt in den jeweiligen Applikationen nutzen, um bspw. das Rollenmenü, Berechtigungsdaten oder Berechtigungsvorschlagswerte zu pflegen.
Schauen Sie sich gerne bspw. die SAP Hinweise 2220030 oder 2421733 für weitere Details zu diesem Trace an.
Die Darstellung der Trace-Informationen ist ähnlich zum Berechtigungstrace. Sie haben auch hier die Möglichkeit, bestimmte Datensätze (Log-Dateien) zeilenbasiert zu löschen, in den Quellcode abzuspringen, Informationen und Dokumentation für bestimmte Berechtigungsobjekte einzusehen, in die CDS-Zugriffskontrolle abzuspringen oder die Daten auch mittels der Download Funktion weiter aufzubereiten oder zu speichern (Abbildung 3).
Abbildung 3: Ergebnisdarstellung des Benutzertraces
Äquivalent zum Systemtrace, werden bei diesem Trace auch die Return-Codes mit angegeben. Daran können Sie bemessen, welche technische Art des Berechtigungsfehlers vorliegt.
Mögliche und vor allem gängige „Return Codes“ beim Benutzertrace können bspw. 0 (Erfolgreiche Berechtigungsprüfung), 4 (Nicht erfolgreiche Berechtigungsprüfung – Fehlender Berechtigungsfeldwert im vorhanden Berechtigungsobjekt) oder 12 (Nicht erfolgreiche Berechtigungsprüfung – Fehlendes Berechtigungsobjekt) sein.
Berechtigungsvergabe gem. Jobfunktion mittels Transaktion STUSERTRACE
Um die Nutzung und Möglichkeiten des Benutzertrace per Transaktion STUSERTRACE näher darstellen zu können, machen wir uns ein praxisnahes Fallbeispiel zu nutzen.
Fallbeispiel: Es kamen vermehrt Anfragen und Fehlermeldungen bei der Berechtigungsabteilung der Firma ACM an, dass die FI Azubis in der Buchhaltung nicht vollumfänglich ihrer Arbeit, mit den ihnen zur Verfügung gestellten Rollen, nachgehen können. Dies sind Indikatoren für fehlende Berechtigungen, die für die vordefinierten FI Prozesse innerhalb der Jobfunktion FI Abzubildende benötigt werden. Somit ist die Aufgabe des System- bzw. Berechtigungsadministratoren, die notwendigen Berechtigungen zu analysieren, mit den Fachbereichen abzustimmen und daraufhin in der jeweiligen Rolle zu pflegen. Dafür nutzt der Administrator den Benutzertrace wie folgt:
Zunächst aktiviert der Administrator auf dem Produktivsystem (PRD) den Profilparameter auth/auth_user_trace mit F, damit der Berechtigungstrace mit Filter eingeschalten wird. Daraufhin setzt er in der Transaktion STUSERTRACE den Filter für den zu testenden FI Azubi (bspw. T-ASAMBILL) und bei Applikation auf Transaktion und Funktionsbausteine, um gesamtheitlich den Prozess zu prüfen (Abbildung 4). Im Kontext von SAP S/4HANA und SAP Fiori sollten Sie auch auf TADIR Service filtern, um hier ggf. die fehlenden OData Service für SAP Fiori abfangen zu können.
Abbildung 4: Personenspezifischer Benutzertrace für Transaktionen
Somit sammelt der Benutzertrace nun nur die relevanten Berechtigungsdaten für Transaktionen und Funktionsbausteine, die vom Benutzer T-ASAMBILL ausgeführt werden.
Der FI Azubi Buchhaltung (T-ASAMBILL) führt daraufhin die fehlerhaften Prozesse aus, bei denen er in der Vergangenheit auf Berechtigungsfehler gestoßen ist. Hierbei sollten die Prozesse 1zu1 durchgeführt werden, ohne davon abzuweichen, weil es sonst das Testresultat verfälscht und ggf. Berechtigungswerte im weiteren Verlauf gepflegt werden, die per se für diese Prozesse gar nicht notwendig sind. Danach beendet er die Testtätigkeit und meldet dies dem Administrator.
Daraufhin startet er wieder die Transaktion STUSERTRACE für die Auswertung des Tests. Dabei sollte in diesem Fall wie folgt eingeschränkt werden (Abbildung 5):
Abbildung 5: Applikationsspezifische Trace-Auswertung
Beachten Sie bitte, dass nach der Auswertung für Transaktionen eine Auswertung für Funktionsbausteine oder andere Anwendungen je nach Test- und Filterumfang erfolgen muss.
Anschließen gelangt er mittels des Buttons „Auswerten“ in den Ergebnisbildschirm. Das Resultat ist eindeutig (Abbildung 6).
Abbildung 6: Ergebnisliste der Tests von T-ASAMBILL
Hier ist schon einmal zu erkennen, dass der FI Azubi Buchhaltungsrolle anscheinend noch FI relevante Transaktionen (FB01 und FB02) gem. der FI Azubi Aufgaben fehlen. Zudem fehlt dem Testbenutzer noch die Berechtigung für den Buchungskreis COPY, welches mittels Berechtigungsobjekt F_BKPF_BUK über das Org-Feld BUKRS geprüft wird. Dies ist alles an dem Return-Code 4 erkennbar.
Nun muss der Administrator diese Ergebnisse mit dem Fachbereich validieren und bei Genehmigung die fehlenden Transaktionen der FI Azubi Master-Buchhaltungsrolle hinzufügen, ordnungsgemäß ausprägen und das Profil generieren sowie für den Buchungskreis 0001 ableiten. Für den fehlenden Buchungskreis COPY muss eine neue Ableitungsrolle für diesen Buchungskreis auf Basis des Masters erstellt werden, sofern der FI Azubi laut Fachbereich auch auf diesen Buchungskreis zugreifen soll.
Schlussendlich muss nach dem erfolgreichen Transport in das PRD der FI Azubi T-ASAMBILL nochmals diese Prozesse, nun mit den neuen bzw. angepassten Rollen, durchtesten und ggf. eine Erfolgsmeldung an die Administration kommunizieren.
Fazit
Ziel dieses Blogs war es, Ihnen den Benutzertrace und die damit einhergehende Transaktion STUSERTRACE näherzubringen. Mit Hilfe dieses Trace können Sie schnell und unkompliziert die Berechtigungsdaten für bestimmte Jobfunktionen analysieren und pflegen. Dieses sehr hilfreiche Tool im Umfeld der SAP-Berechtigungen kann Ihnen dafür dienlich sein. Gleichzeitig reduzieren Sie den Wartungs- und Pflegeaufwand Ihrer Rollen. Er ermöglicht Ihnen hier gemäß dem „Need-to-Know“-Prinzip (Least-Leverage Prinicple) zu agieren und Ihr Rollenkonzept entsprechend den Anforderungen aufzubauen.
Die XAMS bietet neben den SAP-Standardanalysewerkzeuge noch weitaus mehr Funktionen, um zielgerichtet und übersichtlich solche Trace-Daten auszuwerten. Dafür können Sie unseren Xiting Role Builder in Kombination mit der einzigartigen Xiting Produktiven Testsimulation (PTS) nutzen. Dadurch können Sie die Benutzer direkt auf dem Produktivsystem sicherheits- und auditkonform im Hintergrund analysieren, ohne dass diese etwas davon mitbekommen. Daraufhin ermöglichen Ihnen die unterschiedlichen Funktionen des Xiting Role Builder eine massenhafte und übersichtliche Analyse mit einem umfangreichen Detailgrad. Darüber hinaus bietet die XAMS noch unzählige weitere innovative Features für Ihren Berechtigungsalltag an. Schauen Sie doch gerne Sie bei einem unserer wöchentlichen Webinare vorbei, um unsere Suite näher kennenzulernen. Zudem bieten wir auch eine Vielzahl von verschiedenen Services und Produkte an, um Sie bei der Wartung Ihres Berechtigungswesen zu unterstützen.
- Top Pain Points bei SAP Fiori-Berechtigungen und deren Lösungen – ein Erfahrungsbericht - 20. November 2023
- Das Risikoregelwerk CRAF der Xiting AG – Schluss mit kritischen Berechtigungen und SoD! - 20. November 2023
- Die TOP 20 SAP IT Basis-Tabellen mit besonderem Schutzbedürfnis in SAP S/4HANA - 7. September 2023