Der SAP Berechtigungstrace ist ein wertvoller Helfer bei der Analyse von Berechtigungsprüfungen und der Pflege von Berechtigungsvorschlagswerten in der SU24. Im Gegensatz zum eher kurzfristigen Systemtrace mittels der Transaktionen STAUTHTRACE und ST01 ist der Berechtigungstrace ein systemweiter Langzeittrace. Die durch den Trace gewonnenen Daten können hier mithilfe der Transaktion STUSOBTRACE ausgewertet werden.
Erfahren Sie in diesem Artikel alles über den Nutzen des Berechtigungstrace, welche Vorbereitungen Sie vor dem Starten treffen sollten und wie Sie die Ergebnisse des Trace optimal auswerten können.
Der SAP Berechtigungstrace ist ein mandanten- und instanzübergreifender Langzeittrace in SAP. Die Hauptaufgabe dieses Trace ist die Protokollierung und Auswertung von Berechtigungsprüfungen und deren Werten. Mit der zugehörigen Transaktion STUSOBTRACE können Sie die gesammelten Daten strukturiert auswerten.
Berechtigungsvorschläge sind Dreh- und Angelpunkt für einen ordnungsgemäßen Rollenbau. Sie stellen das Fundament für Ihr Berechtigungskonzept dar, egal ob Sie noch SAP ECC oder schon SAP S/4HANA mit bspw. SAP Fiori nutzen.
Info: Umstellung von SAP ECC auf SAP S/4HANA
SAP S/4HANA ist der Nachfolger von SAP ERP 6.0 (auch SAP ECC) und wurde 2015 eingeführt. Mittlerweile hat SAP angekündigt, dass bis Dezember 2027 alle SAP-Unternehmen von SAP ERP 6.0 auf S/4HANA umgestiegen sein müssen (individuelle Deadlines können variieren).
Daher ist die Migration auf SAP S/4HANA unumgänglich, wenn Sie weiterhin SAP für Ihr Unternehmenswachstum nutzen möchten.
Die Analyse per Berechtigungstrace ist für sämtliche Menüobjekte möglich, wie Transaktionen, RFC-Funktionsbausteine, OData-Services etc., und die Nutzung dieser Berechtigungsvorschlagswerte vereinfacht den Aufwand bei der Rollenpflege enorm.
Bevor Sie über den Berechtigungstrace mit der Pflege Ihrer Berechtigungsvorschlagswerte starten können, müssen Sie zunächst den benötigten Profilparameter aktivieren.
In Abbildung 1 sehen Sie dies am Beispiel der Transaktion RZ11 für temporäre Profilparameteränderung des benötigten Parameters auth/authorization_trace. Dieser steht auf „F“, was bedeutet, dass der Trace nun aktiv ist.
Jedoch muss der Trace zunächst mit einem passenden Filter und somit erst per Transaktion STUSOBTRACE auf ein gewisses Szenario (bspw. Ausführung durch User X oder Berechtigungsobjekt) eingeschränkt werden, damit Daten gesammelt werden. Des Weiteren gibt es noch die Optionen „Y“ (Trace aktivieren) und „N“ (Trace deaktivieren).
Beachten Sie, dass bei aktiviertem Berechtigunstrace mittels Filter nur bis zu 5 Benutzer oder Berechtigungsobjekte gefiltert werden können. Wir empfehlen Ihnen, diesen Trace mit Filter zu fahren, um etwaigen Performance-Problemen vorzubeugen. Außerdem sollte er nicht dauerhaft laufen, sondern nur in vordefinierten Testzeiträumen.
Die gesammelten Daten des Langzeittrace werden in der Datenbanktabelle USOB_AUTHVALTRC abgelegt. Da es sich hierbei um eine Datenbanktabelle und keine Systemdatei handelt, werden die Daten auch nicht mittels eines Ring-Puffer-Verfahrens überschrieben.
Wichtig zu erwähnen ist, dass der Trace pro Berechtigungsprüfung jeweils die Daten einer Applikation sammelt. Das bedeutet im Umkehrschluss, dass hierbei keine benutzerspezifische Auswertung erfolgt, sondern die eigentliche Applikation selbst im Vordergrund steht. Das ist hier sinnvoll, da Sie mithilfe dieses Werkzeugs Ihre Berechtigungsvorschlagswerte sowie Prüfkennzeichen pflegen wollen, keine Berechtigungsdaten für Rollen und Endbenutzer (mehr dazu im Artikel SAP Benutzertrace mittels STUSERTRACE).
Die Darstellung der Berechtigungstrace-Ergebnisse ist ähnlich wie beim Systemtrace. Sie haben auch hier die Möglichkeit,
Im Gegensatz zum Systemtrace werden bei diesem Trace jedoch keine Return-Codes mit angegeben. Dies hat den einfachen Grund, dass diese Information nicht benötigt wird, da Sie hier die Daten in der Transaktion SU24 pro Applikation pflegen wollen.
Beachten Sie:
Nicht alle hier aufgelisteten Werte müssen gepflegt werden, da nicht jede Berechtigungsprüfung per se Sinn ergibt bzw. für den erfolgreichen Aufruf einer Transaktion notwendig ist. Dieses sogenannte „Grundrauschen“ müssen Sie nicht zwingend innerhalb der Transaktion SU24 pflegen. Dadurch können Sie wertvolle Zeit sparen.
Um Ihnen die Nutzung und Möglichkeiten des Berechtigungstrace per Transaktion STUSOBTRACE näherbringen zu können, stellen wir Ihnen einen gängigen Use Case vor.
Der interne Sicherheitsbeauftragte der Firma Xiting möchte die Liste verbotener Passwörter für das SAP-System pflegen bzw. aktualisieren. Hierbei soll er aus sicherheitsrelevantem Aspekt über die Transaktionen SE16 oder SM30 keinen kompletten Zugriff auf alle Tabellen des SAP-Systems haben, sondern nur auf die dafür vorgesehene Tabelle USR40 mittels der Aktionen Anzeige und Pflege.
Somit ist die Aufgabe der System- bzw. Berechtigungsadministratoren, eine neue Funktion im Sinne einer geeigneten Parametertransaktion zu erstellen und die notwendigen Berechtigungswerte dann auch in der Transaktion SU24 für diesen neuen Transaktionscode zu pflegen. Dafür nutzt der Administrator den Berechtigungstrace wie folgt:
Zunächst aktiviert der Administrator (XITING) auf dem Zielsystem den Profilparameter auth/authorization_trace mit dem Parameter „F’’, damit der Berechtigungstrace mit Filter eingeschaltet wird. Daraufhin setzt er in der Transaktion STUSOBTRACE den Filter für den Testbenutzer (X_FI) und bei Applikation auf „Transaktion“ (Abbildung 3).
Somit sammelt der Berechtigungstrace nur die relevanten Applikationsdaten für Transaktionen des Benutzers X_FI.
Mit dem Testbenutzer führt er nun die neue Parametertransaktion ZSM30_PASSWORDS aus. Somit startet der User direkt über die Transaktion SM30 in die Tabelle USR40, ohne dabei in irgendeiner Form den initialen Pflegebildschirm der Transaktion SM30 betreten zu können. Jetzt kann er testweise ein paar Daten pflegen, um den Arbeitsalltag so gut wie möglich nachzustellen, und beendet die Testtätigkeit.
Info: SAP Berechtigungstrace auf Produktivsystemen
Ein sinnvoller Ansatz zur Pflege der Berechtigungsvorschlagswerte ist es auch, den Berechtigungstrace auf dem Produktivsystem (PRD) einzuschalten und für bestimmte Applikationen, besonders Eigenentwicklungen, die entsprechenden geschäftsrelevanten Daten sammeln zu lassen. Daraufhin können Sie die Daten auswerten und entsprechend dem Geschäftsalltag für bestimmte Applikationen sinnvoll pflegen.
Daraufhin startet der Administrator wieder die Transaktion STUSOBTRACE für die Auswertung des Tests. Hierbei schränkt er, wie in Abbildung 4 zu erkennen, den Trace auf den Transaktionscode ZSM30_PASSWORDS ein.
Anschließend gelangt er mittels des Buttons „Auswerten“ in den Ergebnisbildschirm. Das Resultat ist eindeutig (Abbildung 5).
Die Transaktion ZSM30_PASSWORDS greift auf eine mandantenunabhängige Tabelle zu, somit wird auch das Berechtigungsobjekt S_TABU_CLI mit dem Feldwert „X“ für das Berechtigungsfeld CLIIDMAINT benötigt. Des Weiteren wird das Berechtigungsobjekt S_TABU_NAM (Tabellenzugriff über generische Standardtools) mit den Berechtigungsfeldwerten 02 (Ändern) bei ACTVT und USR40 bei TABLE benötigt, um die Tabelle überhaupt öffnen bzw. Daten in dieser ändern zu können.
Zudem ist es auch möglich, nicht nur direkt über die Transaktion STUSOBTRACE die fehlenden Berechtigungsvorschläge auszuwerten, sondern diese auch durch die integrierte Trace-Funktion in der Transaktion SU24 zu pflegen. Dort können Sie per Klick die geeigneten Berechtigungen direkt in die Transaktion SU24 für die jeweilige Applikation (bzw. technisch gesehen in die Tabellen USOBT_C und USOBX_C) übernehmen.
Hierbei müssen Sie jedoch beachten, dass Sie zunächst die benötigten Berechtigungsobjekte hinterlegen (Abbildung 6).
Ist dies getan, können Sie anschließend die Berechtigungsfeldwerte mittels der zweiten integrierten Trace-Funktion „Button Trace“ pflegen (Abbildung 7).
Wichtig!
Beachten Sie hierbei unbedingt, dass Sie sich durch die jeweiligen Berechtigungsobjekte in der oberen Auswahl von Abbildung 7 klicken und dort die benötigten Berechtigungswerte pro Objekt für die entsprechende Applikation übernehmen. Die Auswahl des Vorschlagsstatus „Y“ (Vorschlag mit Feldwerten) sollte dabei in den meisten Fällen ausgewählt sein.
Die Pflege des Berechtigungsobjekts S_TCODE ist dabei nicht notwendig, da dieses Objekt vom SAP-System automatisch in das Berechtigungsprofil der Rolle übertragen wird, solange Sie ordnungsgemäß die Rollen über das Rollenmenü aufbauen.
Haben Sie die benötigten Berechtigungsvorschläge gepflegt, können Sie diese durch den Einbau der Transaktion im Rollenmenü (durch den Profilgenerator) nutzen. Dafür müssen Sie etwaige offene Berechtigungsfelder im Berechtigungsprofil der Rolle gepflegt und das neue Profil generiert haben.
Die Xiting Authorizations Management Suite (XAMS) bietet neben den SAP-Standardanalysewerkzeugen noch weitaus mehr Funktionen, um zielgerichtet und übersichtlich Daten aus dem Berechtigungstrace auszuwerten. Sie können etwa unseren ‘Xiting SU24 Checkman’ benutzen, der Ihnen massenhaft und übersichtlich die verschiedensten Berechtigungsvorschlagswerte aufzeigt und per Klick etwaige fehlende Daten aus der Ergebnisliste pflegen lässt.
Die eben aufgezeigten Funktionen in der SU24 können mithilfe des SU24-Checkmans bequem und effizienter durchgeführt werden:
Über einen Doppelklick auf den blauen Update-Pfeil werden die Berechtigungsvorschlagswerte aus dem STUSOBTRACE automatisch in der SU24 hinterlegt:
Unsere XAMS bietet Ihnen darüber hinaus eine integrierte White-/Blacklist an, welche die Validierung von Grundrauschen und kritischen Berechtigungen kenntlich macht und Sie dadurch verlässlich auf mögliche Risiken hinweist.
Mit der Transaktion STUSOBTRACE können Sie die Berechtigungsdaten Ihrer Eigenentwicklungen schnell und unkompliziert aktualisieren, vorausgesetzt, sie beinhalten die sicherheitskonformen AUTHORITY-CHECK-Angaben im Quellcode.
Der Berechtigungstrace mit der Transaktion STUSOBTRACE reduziert den Wartungs- und Pflegeaufwand Ihrer Rollen erheblich. Selbst die SAP nutzt den Berechtigungstrace, um die notwendigen Berechtigungsdaten für Applikationen in der Transaktion SU24 zu pflegen.
Abschließend ist noch einmal wichtig zu erwähnen, dass dieses Tool dennoch mit Vorsicht zu handhaben ist, da oft kritische Berechtigungsobjekte geprüft werden, die Sie teilweise nicht benötigen, und somit nicht einfach alles aus dem Trace übernommen werden darf.
Die von Xiting entwickelte Softwarelösung XAMS bietet Ihnen noch unzählige weitere, innovative Features für Ihren Berechtigungsalltag. Zudem haben wir ein breites Portfolio an verschiedenen Services und Produkten, um Sie bei der Wartung Ihres Berechtigungswesens zu unterstützen.
Melden Sie sich noch heute für ein kostenloses und unverbindliches Erstgespräch mit unseren SAP-Security-Experten und erfahren Sie, wie angenehm wir Ihre SAP-Landschaft gestalten können.
Der STUSOBTRACE ist benutzerunabhängig und sammelt Berechtigungsdaten im Anwendungskontext, primär zur Pflege von Vorschlagswerten (SU24). Der STUSERTRACE ist ein spezifischer Benutzertrace, der gezielt die Aktivitäten einzelner User aufzeichnet, um deren Berechtigungen zu validieren. Er ist im Grunde ein auf konkrete Benutzer gefilterter STUSOBTRACE. Beide Transaktionen sind Langzeit-Traces.
