- 13. Juni 2016

SAP Benutzersperren verstehen und Best Practice

Benutzersperren_01

In einem SAP-System gibt es verschiedene Arten von SAP Benutzersperren. Wichtig ist, dass nicht alle Benutzersperren auch tatsächlich die Anmeldung verhindern.

Benutzersperren verhindern Anmeldung?

Es gibt verschiedene Sperrgründe für Benutzer und für gewöhnlich gehen Administratoren wie User davon aus, dass sie sich mit einem gesperrten Benutzer nicht mehr anmelden können. Doch erst neulich hatte ich einen Fall, wo ein Benutzer trotz Sperre Zugang zu einem System hatte. Wie kann das sein?

Wir helfen Ihnen die SAP Sicherheit zu verbessern
Fachbereichsleiter Tobias Harmes
Für Rat und Hilfe bei der Konfiguration Ihrer SAP Systemlandschaft bieten wir Ihnen unsere kompetenten Berater an: SAP Basis und SAP Security Berater von RZ10 buchen. Unsere Referenzen finden Sie hier. Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de. In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

Gründe für Benutzersperren in SAP Systemen

Benutzersperren_02

a) Kennwortanmeldung nicht möglich (zu viele Falschmeldungen) Der Maximalwert für Fehlerversuche bei der Passwortanmeldung wurde erreicht. Dieser Maximalwert wird mithilfe des Profilparameters login/fails_to_user_lock gesteuert. Bei jedem fehlerhaften Anmeldeversuch eines Users wird ein individueller Falschanmeldezähler im jeweiligen Benutzerstamm erhöht. Wird der Maximalwert dieses Fehlers erreicht, wird der User für weitere Anmeldungen im System gesperrt.

ÜBRIGENS: Mithilfe des Parameters login/failed_user_auto_unlock können Sie festlegen, ob durch Fehlanmeldungen gesperrte User automatisch wieder entsperrt werden. Das heißt, wenn Sie den Wert des Parameters auf 1 festlegen, werden wegen Falschanmeldungen gesperrte User automatisch am nächsten Tag entsperrt!   

b) Kennwortanmeldung nicht möglich (Initialkennwort ist abgelaufen) Einem User (vom Benutzertyp Dialog oder Kommunikation) wurde ein neues Initialkennwort gesetzt. Dieses Initialkennwort wird gesperrt, sofern sich der User nicht innerhalb eines konfigurierten Zeitspanne anmeldet und das Initialkennwort somit seine Gültigkeit verliert. Die Zeitspanne der Gültigkeit von Initialkennwörtern wird mithilfe des Profilparameters login/password_max_idle_initial festgelegt.

SAP Benutzersperren

c) Benutzer ist gesperrt („Gültig bis“-Datum überschritten) Jeder Benutzer sollte ein „Gültig von“- und „Gültig bis“-Datum hinterlegt werden. Wenn das „Gültig bis“-Datum überschritten wird, wird der Benutzer automatisch vom System gesperrt und eine Anmeldung ist dann nicht mehr möglich.

d) Benutzer manuell gesperrt (Administratorsperre) Zudem ist es jederzeit möglich, dass ein Benutzer vom Benutzeradministrator manuell gesperrt wird. In diesem Fall wird von der Administratorsperre gesprochen. Eine Anmeldung des Users ist dann nicht mehr möglich.

 Anmeldung am System trotz SAP Benutzersperren?

In welchem Fall ist es nun möglich, dass sich ein User – wie eingangs erwähnt – trotz SAP Benutzersperre in einem System anmelden kann? Die Antwort ist einfach: Nur dann, wenn nicht der Benutzer an sich (Fall c & d), sondern nur das Kennwort des Benutzer gesperrt ist (Fall a & b) und keine Anmeldung mittels Passwort erfolgt. Eine reguläre Anmeldung am System ist also nicht möglich. Allerdings gibt es noch andere Authentifizierungsverfahren, wie bspw. Single Sign-On oder auch interne Abläufe (wie zum Beispiel Hintergrundjobs). Diese Authentifizierungsverfahren sind nicht von der Passwortsperre betroffen, da keine Passwortanmeldung notwendig ist. Eine Ausnahme gibt es jedoch: Bei allen Anmeldeverfahren wird geprüft, ob das Passwort eines Benutzers geändert werden muss. Ist dies aktuell der Fall, wird der Benutzer auch bei anderen Authentifizierungsverfahren aufgefordert, dass aktuelle Passwort zu ändern.

ÜBRIGENS: Diese Aufforderung zum Ändern des Passwortes bei anderen Authentifizierungsverfahren können Sie mithilfe des Profilparameters login/password_change_for_SSO ein- und ausschalten.

 Und was ist nun Best Practice in Bezug auf SAP Benutzersperren?

Ich empfehle Ihnen ausdrücklich, den Zugang von Benutzer zum System via Gültigkeiten oder manueller Administratorsperre zu steuern. In diesem Fall ist der Benutzer wirklich gesperrt und kann sich über kein Authentifizierungsverfahren am SAP System anmelden. Denn nur Sperren und Gültigkeiten des Benutzerkontos betreffen auch andere Anmeldeverfahren, wie bspw. SSO. Um einen User also endgültig vom System ‚auszusperren‘ entfernen Sie bestenfalls alle zugeordneten Rollen, deaktivieren das Passwort und – am wichtigsten – setzen das „Gültig bis“-Datum auf einen Zeitpunkt in der Vergangenheit.

Ich hoffe, dass ich Ihnen mit meinem Blogbeitrag die SAP Benutzersperren in SAP Systemen verständlich machen konnte. Welche Erfahrungen haben Sie mit den verschiedenen Benutzersperren auf Ihren SAP Systemen gemacht? Ich freue mich schon auf Ihre Kommentare, Anregungen und Fragen direkt unterhalb dieses Blogbeitrags.

Jetzt das kostenlose E-Book zum Thema SAP Basis herunterladen:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:




Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.