- 31. Mai 2013

Die neue SAP Transaktion SU53 – Zu Risiken und Nebenwirkungen…

Die neue SAP Transaktion SU53 hat auch Nebenwirkungen: der angezeigte Trace lädt zum Interpretieren ein – manchmal mit anderen Ergebnissen als bei einem normalen Berechtigungstrace. Bei einem Kunden hat dies zu einer unerwünschten Berechtigungserweiterung geführt.

Die Nutzung der SU53 ist bei vielen SAP Anwendern schon in Fleisch und Blut übergegangen. Ein Glück, denn sie liefert dem Berechtigungsexperten oft den einzigen Anhaltspunkt wann und wo ungefähr eine Transaktion an einer fehlenden Berechtigung gescheitert ist. Die neue SU53 liefert in der neuen Version eine Liste der letzten fehlgeschlagenen Berechtigungsprüfungen, eine Art Mini-Trace.

Der Incident

Der Kunde erhielt einen Berechtigungsfehler beim Aufruf einer Transaktion und hat sich beim ServiceDesk gemeldet. Die Kollegen haben in einer Remote Session den Kunden aufgefordert sich ab- und wieder anzumelden und danach die problematische Transaktion aufzurufen. In der SU53 konnte man danach eine Prüfung auf die Berechtigungsobjekte S_SCR und auf S_TCODE sehen.

Ich habe daraufhin den Trace aus der SU53 analysiert und geprüft. Die eigentlich fehlende Transaktion (aus S_TCODE) war an dieser Stelle unstrittig und wurde von mir ergänzt. Allerdings habe ich auch S_SCR in der Systemrolle ergänzt.

Was ist daran falsch?

Der Kunde setzt sapgui/user_scripting_per_user ein, dieser Profilparameter erlaubt es pro User SAP Gui Scripting zu erlauben. Dieses wird bei jedem Login des Users abgefragt und tauchte somit auch im Mini-Trace des Kunden unmittelbar vor der S_TCODE Prüfung auf. Ich habe die Reihenfolge in der SU53 falsch gelesen (die letzte Prüfung ist ganz oben) und dadurch fälschlicherweise S_SCR ergänzt.

Konsequenzen

Bei der Auswertung der neuen SU53 muss sehr genau auf die Zeitstempel und die eigentliche Reihenfolge geachtet werden. Bei einem richtigen Trace hätte ich mir die positiven Prüfungen zusätzlich angezeigt und sofort gesehen, dass das eine Prüfung beim Login gewesen ist. Da nur fehlgeschlagene Prüfungen angezeigt werden, ist die Abgrenzung bei vielen schnell aufeinanderfolgenden Schritten schwierig und muss daher über die Anzahl der Sekunden zwischen den Prüfungen erfolgen. Im Zweifelsfalle gilt daher wie bisher: den Kunden anrufen und mittracen.

Was haben Sie für Erfahrungen zum Thema Neue SU53 gemacht? Ich freue mich auf Ihr Feedback.

Jetzt das kostenlose eBook zum Thema SAP Berechtigungen downloaden:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:


SHARE



5 Kommentare zu "Die neue SAP Transaktion SU53 – Zu Risiken und Nebenwirkungen…"

Bernd - 11. Dezember 2013 | 18:10

Hallo Herr Harmes,
die neue SU53 ist ja schon gut! Doch es gibt noch ein großes Manko: Die Benutzer schicken SU53 screen shots ohne wenigstens die ersten Zeilen der Su53 zu öffnen. Damit sind die Objektwerte nicht zu erkennen und es kommt zu Nachfragen. Wenn die
Fehlermeldung schon ein wenig her ist, hat man auch
mit der „anderer Benutzer anzeigen“ kein Glück.
Man hätte bei der Entwicklung ja wenigstens den
letzten Fehler „offen legen“ können.

Hoffen wir mal, dass das auch jemand in der SAP
auffällt!
Gruß
Bernd

Antworten
Tobias Harmes - 10. Februar 2014 | 10:27

Gerade gemeldet von Herrn Klüppelberg:

1850534 – SU53: Berechtigungsprüfungen sind nicht aufgeklappt

Damit werden die ersten fünf Einträge in der SU53 aufgeklappt. Ist auch in den neuesten SAP_BASIS Support-Packages enthalten.

Antworten
Martin Henke - 23. Juni 2014 | 11:12

Die neue SU53 ist in der Tat wesentlich besser: Sie enthält endlich einen Zeitstempel und die benutzte Transaktion. Verwirrend ist jedoch zunächst, dass bis zu 100 Fehlerrecords gespeichert werden. Ich habe zur besseren Analyse ein ABAP-Programm erstellt, mit dem die User auf sehr einfache Weise die SU53 per BTCI im Hintergrund aufrufen. Danach werden mit dem Programm alle Records des Users in der Tabelle USR07 gelesen und die darin auftretenden Berechtigungs-Objekte in zugeordneten Profilen (auch Einzelprofile) gesucht und via MS Outlook als Anhang in CSV-Form an das Auth.-Team versandt. Die eigentliche Analyse erfolgt in MS EXCEL mit einem Macro. Dabei werden zutreffende Inhalte grün, nicht zutreffende rot markiert. Die Lösung wird von den Anwendern sofort akzeptiert. Das Versenden von Hardcopies ist überflüssig.
Bei Interesse kann ich weitere Informationen liefern.

Antworten
Distelrath, Ralf - 23. März 2016 | 11:46

Hallo,
ich denke das Thema su53 ist noch aktuell?

Ich habe einen user der bekommt trotz Hinterlegung der Rolle eine SAP Fehlermeldung das er keine Berechtigung hat, Liste unvollständig bei me2m, Einkaufsbelege.
Jetzt habe ich aber in der su53 keine Objekte die betroffen sind. Diese Objekte haben wir durch trace und debugging in der Anwendung ermittelt.
M_BEST_WRK
M_RAHM_WRK
M_ANFR_WRK
In der SUIM kann ich prüfen welche Objkete zu welcher Rolle gehören und da fängt es schon wieder an. Eine Mehrfachauswahl zeigt falsche Rollen an. Wenn ich die Rolle einzeln untersuche sehe ich das das Objekt, z.B.
M_RAHM_WRK
M_ANFR_WRK hier nicht vorhanden ist, sondern nur M_BEST_WRK.
Wer kann helfen, ich muss das Problem dem Kunden erklären
mfG
Ralf

Antworten
Tobias Harmes - 23. März 2016 | 22:10

Hallo Ralf.

Manchmal sind die fehlenden Berechtigungen leider nicht über einen Trace zu ermitteln – die Berechtigungen werden programmtechnisch abgefragt ohne AUTHORITY-CHECK und damit für den Trace und die SU53 unsichtbar.

Meine Reihenfolge für solche Fälle:
1. Prüfen was hat der User in der SU56 – nur um sicherzustellen dass nicht evtl. ein fehlender Benutzerabgleich hier das Problem ist. Wenn du die genannten Berechtigungsobjekte im Benutzerpuffer des Users suchst, kannst du prüfen ob die erwarteten Werte aus den erwarteten Rollen dem Benutzer zugeordnet werden.
2. Wenn das in Ordnung ist, aber trotzdem noch Werte fehlen: eine Variante der Rolle bauen, in der mindestens die relevanten Organisations-Ebenen (hier EKORG und WERKS) mit „*“ versehen sind. Das ist natürlich nur eine temporäre Berechtigung evtl. für das Q-System. Ich habe schon mehrfach erlebt, dass fehlerhafte Stammdaten mit Zuordnungen zu längst vergessenen Werken plötzlich nicht mehr sichtbar waren. Der Grund war die Einschränkung auf bestimmte Werke. Wenn es mit der Rolle dann klappt, Schrittweise die Berechtigungen bzgl. Orgebenen wieder verschärfen – bis die richtige Abgrenzung gefunden ist – oder die Stammdaten korrigiert sind.

Viel Erfolg,
Tobias

Antworten

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.