Falsche Anzahl ablaufender S-User, Inaktive SAP User finden, RFC-Sicherheit | RZ10 live vom 05.08.2020

Autor: Tobias Harmes | 5. August 2020

3 | 15 | #podcast, #story

Die SAP Basis & Security Themen der Woche vom 05.08.2020: Falsche Anzahl ablaufender S-User, Inaktive SAP User finden, RFC-Sicherheit, Lesetipps und natürlich eure Fragen an RZ10 :)

Livestream auf YouTube

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

Oder als Podcast:

Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast

Feedback? harmes@rz10.de

Themen der Woche

Falsche Anzahl ablaufender S-User

Letze Woche habe ich eine Nachricht von SAP erhalten. Dabei ging es um abgelaufene S-User-IDs, die in den nächsten 90 Tagen ablaufen würden. S-User sind die User, die für den Support verwendet werden, aber z.B. auch im Cloud Umfeld genutzt werden, und dann wirklich wichtig sind.
Diese S-User haben eine Gültigkeit von zwei Jahren, damit ungenutzte User auch irgendwann entfernt werden. In meiner Nachricht stand jedoch, dass die Liste der User, die ablaufen, genau 0 User umfasst. Ich habe mir das daraufhin angeschaut und festgestellt, dass tatsächlich 31 User ablaufen.

Über das Launchpad https://launchpad.support.sap.com/#/user/management könnt ihr über den Punkt „Expiry Date“ rausfinden, wie viele User tatsächlich betroffen sind. Dort filtert ihr nach 3 Monaten (also etwa 90 Tage) und erhaltet die korrekte Zahl der User, die in 90 Tagen ablaufen.
Die automatische Alarmierung von SAP scheint im Moment nicht korrekt zu funktionieren. SAP ist über das Problem bereits informiert und arbeitet an einer Lösung.

Mehr Informationen zur S-User ID Lifetime gibt es im Hinweis 2928052.

Inaktive SAP User finden

Ein kleiner Nachtrag zu letzter Woche. Dort sind wir bei der Frage nach der USR20 auf die SUIM-Reports gekommen und da kam auch die Frage nach inaktiven Usern. Bei der Recherche für diese Woche bin ich auf den Report RSSOLAZY gestoßen. Mit der Transaktion SOY4, die den Report verwendet, können auch inaktive Benutzer (im SAP Office) aufgespürt werden.

Es handelt sich um inaktive User im SAP Office -> bedeutet, die gehen nicht auf die letzte Anmeldeaktivität, sondern die letzte Aktivität im SAP Office. :/
–> Danke an Jens für den Hinweis!

Fragen an RZ10

“Darf der Vorstand auch buchen?”

Die Frage: “Dürfen Geschäftsführer und Vorstandsmitglieder buchende/schreibende Rechte im SAP erhalten,  abgesehen von Ausnahmen wie Freigabeprozesse?”

Die Antwort: Das kommt (wie so oft) ganz drauf an. Ob das ok ist, muss intern geklärt werden. Solange es eindeutig nachvollziehbar ist, habe ich damit keinen Stress. Die Ordnungsmäßigkeit und Nachvollziehbarkeit muss immer gewährleistet sein, also auch ein Vorstand/Geschäftsführer darf keine gesetzeskritischen Berechtigungen bekommen. Wenn die Compliance eingehalten werden kann, gibt es keine Probleme. Wichtig ist jedoch, dass so etwas immer individuell geprüft wird.

“Wie kann man neue Orgebenen anlegen und pflegen?”

Die Frage: “Die Anzahl der Orgelemente in SAP (Tabelle USOBT) ist auf ca. 50 begrenzt. Wie kann man neue kundeneigene oder auch SAP-Standardberechtigungsfelder (z.B.: VLC-Action) als Orgelemete pflegen und für abgeleitete Rollen nutzen ohne das bisherige Rollenkonzept zu stören?”

Die Antwort: Das Limit 50 kenne ich nicht, war damit “es sind nur 50 vorhanden” gemeint? Mein Kollege Dominik Busse hat vor einiger Zeit einen schönen Beitrag mit der aktuellen Lösung “SUPO” geschrieben: SAP Berechtigungsfeld zur Orgebene erheben

Lesetipps auf RZ10.de

Bereinigung von RFC-Schnittstellen

Unser Gastautor Axel Giese hat einen Beitrag zur Bereinigung von RFC-Schnittstellen geschrieben. RFC-Schnittstellen werden bei Audits immer wieder als potenzielles Sicherheitsrisiko entlarvt. Angreifer könnten über die Schnittstellen an sensible Daten im SAP-System kommen. Unternehmen sollten daher regelmäßig die RFC-Schnittstellen bereinigen und optimieren. Welche Wege und Tools sich dafür eigenen, erfahrt ihr in dem Beitrag.

5 Best Practices für die SAP Cyber Security

Mein Kollege Yannick Rech hat außerdem 5 Best Practices für die SAP Cyber Security in einem Beitrag zusammengefasst. Denn der Begriff der Cyber Security oder IT-Sicherheit ist omnipräsent. Oftmals wird er fälschlicherweise mit Hackern, buntem Coding und Kapuzenpullovern gleichgesetzt. Doch auch für Unternehmen und SAP-Systeme ist die Sicherheit der Daten die Grundlage jeglicher Wirtschaftlichkeit.

Ihr habt auch eine Frage? Gerne in die Kommentare, via RZ10 Fragen oder live im Chat bei YouTube.

Alle Videos und alle Streams auch auf unserem YouTube-Kanal.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

3 Kommentare zu "Falsche Anzahl ablaufender S-User, Inaktive SAP User finden, RFC-Sicherheit | RZ10 live vom 05.08.2020"

Hallo,
ein Hinweis zum RSSOLAZY. Das “SO” bezieht sich meiner Einschätzung nach auf “S”AP “O”ffice, und das Programm zeigt nur die User an, die sich längere Zeit nicht im SAP Office bzw. SAP Business Workplace (SBWP) bewegt haben.
Inaktiv sind die deshalb aber noch nicht. Mit der USR02 hat das nichts zu tun…
Wer auf Basis dieser Auswertung also User löschen möchte, sei gewarnt.
Viele Grüße
Jens Hötger

Hallo Jens,
danke für den Hinweis! Habe ich oben im Text korrigiert.
Viele Grüße
Tobias

Vielen dank für das Aufgreifen der Frage zum Thema “Last Logon” und USR* Tabellen. Was die Lebenszeit eines S User anbelangt durfte ich nun auch bei meinen ersten S-User merken, dass dieser dann doch automatisch abgelaufen war. Er war noch im System obgleich ein Wechsel der Einrichtung erfolgte und nun ist der neue von S0003 auf S001 hochgezählt worden ?.

Die erwähnte Transaktion RSUSR200 aus der SUIM “Liste nach Anmeldedatum und Kennwortänderung” hatte ich nicht mehr auf den Schirm und zeigt mal wieder, dass die SUIM doch ein guter Ausgangspunkt für viele Berechtigungsfragen ist.

Bei Eigenentwicklungen kann es ebenfalls interessant sein auf das Lesen der USR* Tabellen zu verzichten, auch wenn es natürlich wesentlich bequemer ist die Kontaktdaten zum Erfasser eines Beleges direkt aus Benutzerstamm zu erhalten für Rückfragen als sich über den Belegkopf und Doppelklick auf Erfasser zu bewegen.

Ansonsten war das Video sehenswert und vielen Dank, dass ihr hier die RZ10 Fragen aufgreift.

Viele Grüße
Andreas Unkelbach

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice