Der SAP Usertrace ist eine nützliche Funktion, mit der Sie alle Autorisierungsprüfungen für bestimmte SAP User analysieren können („User trace for authorization checks“). Im Gegensatz zum Systemtrace (Transaktionen STAUTHTRACE / ST01) oder auch dem Berechtigungstrace (Transaktion STUSOBTRACE) liegt der Fokus bei diesem Trace nicht nur darin, Benutzer zu analysieren, sondern vor allem zu validieren, ob die jeweiligen Jobfunktionen (bspw. FI Sachbearbeiter Buchhaltung) in Ihrem Unternehmen auch komplett durch das bestehende Rollenkonzept abgedeckt sind.
In diesem Artikel erfahren Sie zunächst die Grundlagen des Usertrace, inkl. dazugehöriger Profilparameter und technischer Details. Anschließend liefern wir Ihnen ein ausführliches Fallbeispiel in Form einer Analyse von Jobfunktionen.
Der SAP Usertrace ist ein mandanten- und benutzerspezifischer Langzeitrace für SAP-Systeme. Die zugehörige Transaktion zum Usertrace lautet STUSERTRACE.
Der wohl größte Use Case des Usertrace ist die langfristige Ermittlung der tatsächlich genutzten Berechtigungen von Benutzern (typischerweise System‑ und Kommunikations‑Usern), um deren Rollen auf Faktenbasis zu verschlanken oder gezielt um fehlende Berechtigungen zu ergänzen.
Schon gewusst?
In Kombination mit der Transaktion STSIMAUTHCHECK können Sie die Daten des Benutzertraces auch dafür verwenden, eine Simulation zwischen der jeweiligen zugewiesenen (Jobfunktions-)Rolle und den Tracedaten des Benutzers zu fahren, um die Abdeckung der Jobfunktionsrolle zu ermitteln.
Damit Sie den Benutzertrace überhaupt einsetzen können, müssen Sie zuerst den notwendigen Profilparameter aktivieren: Dieser lautet auth/auth_user_trace. Hier empfehlen wir, den Trace mit der Filteroption (F) zu aktivieren (Abbildung 1), da sonst gegebenenfalls die Systemleistung negativ beeinflusst werden kann. Stimmen Sie sich vor der Aktivierung am besten mit der SAP-Basis ab, da solche Profilparameteranpassungen zumeist in deren Aufgabengebiet fallen.
Beachten Sie, dass bei aktiviertem Benutzertrace mit Filter in der Transaktion STUSERTRACE nur bis zu zwei Applikationstypen (bspw. Transaktionen, RFC-Funktionsbausteine, TADIR-Services etc.) für bis zu zehn Benutzernamen und zehn Berechtigungsobjekte gefiltert werden können (Abbildung 2).
Per Filteroptionen können Sie hier eine starke Eingrenzung entsprechend Ihrem Anwendungsfall und Ziel vornehmen. Außerdem sollte der Usertrace aus Performancegründen nicht dauerhaft laufen, sondern nur im Testzeitraum.
Beim SAP Benutzertrace werden die Daten (Trace-Dateien), ähnlich wie beim STUSOBTRACE, in einer Datenbanktabelle (SUAUTHVALTRC) gespeichert. Zudem ist er mandanten- und benutzerspezifisch und enthält keine Zeitstempel der einzelnen Logs. Der Usertrace sammelt die Daten nur einmal pro Applikation und Endbenutzer, was Platz spart und wiederum ein Vorteil gegenüber dem Systemtrace als Kurzzeitrace ist.
Außerdem können Sie die Daten des Benutzertrace direkt in den jeweiligen Applikationen nutzen, um beispielsweise das Rollenmenü, Berechtigungsdaten oder Berechtigungsvorschlagswerte zu pflegen.
Die Darstellung der Informationen des Usertrace ist ähnlich der des Berechtigungstrace. Sie haben auch hier die Möglichkeit,
Äquivalent zum Systemtrace, werden bei diesem Trace auch die Return-Codes mit angegeben. Daran können Sie bemessen, welche technische Art des Berechtigungsfehlers vorliegt.
Wichtiger Hinweis zu Return-Codes!
Mögliche „Return Codes“ beim Benutzertrace sind unter anderem:
Sie wollen alle Ihre Berechtigungsfehler finden, bevor sie den laufenden Betrieb stören? Unsere SAP-zertifizierte Lösung Xiting Authorization Management Suite (XAMS) überwacht Ihre Berechtigungen verlässlich, macht Sie auf Fehler aufmerksam und gibt Ihnen konkrete Verbesserungsvorschläge.
Profitieren Sie mit Xiting von einem sauberen Berechtigungskonzept!
Um die Nutzung und Möglichkeiten des Benutzertrace per Transaktion STUSERTRACE näher darstellen zu können, betrachten wir nun ein praxisnahes Fallbeispiel.
Es kamen vermehrt Anfragen und Fehlermeldungen bei der Berechtigungsabteilung der Firma ACM an, dass Auszubildende der Finanzbuchhaltung mit den ihnen zur Verfügung gestellten Rollen nicht vollumfänglich ihrer Arbeit nachgehen können. Das Problem hier sind fehlende Berechtigungen, die für die vordefinierten FI-Prozesse innerhalb der Jobfunktion „Ausbildung“ benötigt werden.
Somit ist es nun die Aufgabe der System- bzw. Berechtigungsadministration, die notwendigen Berechtigungen zu analysieren, mit den Fachbereichen abzustimmen und daraufhin in der entsprechenden Rolle zu pflegen. Dafür kann der Benutzertrace wie folgt genutzt werden:
Zunächst wird der dynamische Profilparameter auth/auth_user_trace mit dem Wert „F“ (mit Filter) auf dem Produktivsystem aktiviert, um den Berechtigungstrace einzuschalten. Daraufhin wird in der Transaktion STUSERTRACE der Filter auf den zu testenden User (z. B. X_FI) und bei Typ der Anwendung auf Transaktion und TADIR-Service gesetzt. (Abbildung 4).
Somit sammelt der Usertrace nun ausschließlich die relevanten Berechtigungsdaten für Transaktionen und Funktionsbausteine, die vom Benutzer X_FI ausgeführt werden. Mit diesen Informationen kann die Berechtigungsadministration jetzt die fehlenden Berechtigungen ergänzen.
Hinweis zu Filtern beim Benutzertrace!
Im Kontext von SAP S/4HANA und SAP Fiori sollten Sie auch auf TADIR-Services filtern, um hier ggf. die fehlenden OData-Services für SAP Fiori abfangen zu können.
Der FI-User (X_FI) führt daraufhin die Prozesse aus, bei denen er in der Vergangenheit auf Berechtigungsfehler gestoßen ist. Hierbei sollten die Prozesse 1 zu 1 so durchgeführt werden, wie es zuvor geschehen ist. Sonst wird das Testresultat verfälscht und ggf. werden im weiteren Verlauf Berechtigungswerte gepflegt, die per se für diese Prozesse gar nicht notwendig sind. Danach beendet er die Testtätigkeit und meldet dies der Administration.
Daraufhin startet der Admin wieder die Transaktion STUSERTRACE für die Auswertung des Tests. Dabei sollte in diesem Fall wie folgt eingeschränkt werden (Abbildung 5):
Anschließend kann mittels des Buttons „Auswerten“ der Ergebnisbildschirm betrachtet werden (Abbildung 6).
Die Auflistung zeigt uns, dass der Buchhaltungsrolle für die Ausbildenden anscheinend noch FI-relevante Transaktionen (hier FB01 und F110) fehlen, um alle Tätigkeiten der Rolle ausüben zu können. Dies ist an dem Return-Code 4 erkennbar.
Nun muss die Berechtigungsadministration die Ergebnisse mit dem Fachbereich validieren und kann nach Genehmigung die fehlenden Transaktionen oder Berechtigungen der Vorlagenrolle für die FI-Ausbildung hinzufügen, ordnungsgemäß ausprägen, das neue Profil generieren und für den Buchungskreis 0001 ableiten.
Schlussendlich simuliert der FI-User nach dem erfolgreichen Transport in das Produktivsystem erneut seine Prozesse, um die erfolgreiche Anpassung der Berechtigungen zu bestätigen. Sollten immer noch Probleme auftreten, muss der Vorgang ab Punkt 3 wiederholt werden – so lange, bis der Auszubildende mit den angepassten Berechtigungen alle Aufgaben reibungslos erledigen kann.
Mithilfe des Usertrace können Sie schnell und unkompliziert die Berechtigungsdaten für bestimmte Jobfunktionen in Ihrem SAP-System analysieren und pflegen. So reduzieren Sie den Wartungs- und Pflegeaufwand Ihrer Rollen erheblich, denn der Usertrace ermöglicht Ihnen hier, gemäß dem „Need-to-Know“-Prinzip (Least-Leverage-Prinzip) zu agieren und Ihr Rollen- und Berechtigungskonzept entsprechend Ihren individuellen Anforderungen aufzubauen.
Die XAMS bietet zusätzlich zu den SAP-Standardanalysewerkzeugen noch weitaus mehr Funktionen, um Trace-Daten (wie die des Usertrace) zielgerichtet und übersichtlich auszuwerten. Sie können etwa unseren Xiting Role Builder in Kombination mit der einzigartigen Xiting Produktiven Testsimulation (PTS) nutzen. Dadurch analysieren Sie die User direkt auf dem Produktivsystem sicherheits- und auditkonform im Hintergrund, ohne dass diese eingeschränkt werden.
Zudem ermöglichen Ihnen die unterschiedlichen Funktionen des Xiting Role Builder eine massenhafte und übersichtliche Analyse des Rollenprofils mit einem umfangreichen Detailgrad, wie z. B. den in Abbildung 7 dargestellten Coverage Analyzer.
Melden Sie sich also noch heute kostenlos und unverbindlich bei uns, damit Sie erfahren, wie wir mit unseren Softwarelösungen Ihren SAP-Alltag so unkompliziert wie möglich gestalten können.
Ja, STUSERTRACE kann die Performance Ihres SAP-Systems negativ beeinflussen, z. B. wenn er ohne Filter aktiviert (auth/auth_user_trace = Y) ist. So können Sie trotz Usertrace Ihre Systemleistung wahren:
Der Benutzertrace (STUSERTRACE) ist ab SAP_BASIS 7.40 SP16 verfügbar und in allen SAP S/4HANA-Versionen ab 1511 sowie SAP ECC 6.0 EHP 6+ vollständig integriert.
Für ältere Versionen (vor 7.40 SP16/SAP ECC vor EHP 6) müssen Sie stattdessen Workarounds über die Transaktionen STUSOBTRACE (Berechtigungstrace) oder STAUTHTRACE/ST01 (Systemtrace) nutzen.
