SAP Benutzersperren verstehen und Best Practice
Autor: Dominik Busse | 13. Juni 2016
In einem SAP-System gibt es verschiedene Arten von SAP Benutzersperren. Wichtig ist, dass nicht alle Benutzersperren auch tatsächlich die Anmeldung verhindern.
Benutzersperren verhindern Anmeldung?
Es gibt verschiedene Sperrgründe für Benutzer und für gewöhnlich gehen Administratoren wie User davon aus, dass sie sich mit einem gesperrten Benutzer nicht mehr anmelden können. Doch erst neulich hatte ich einen Fall, wo ein Benutzer trotz Sperre Zugang zu einem System hatte. Wie kann das sein?
Gründe für Benutzersperren in SAP Systemen
a) Kennwortanmeldung nicht möglich (zu viele Falschmeldungen): Der Maximalwert für Fehlerversuche bei der Passwortanmeldung wurde erreicht. Dieser Maximalwert wird mithilfe des Profilparameters login/fails_to_user_lock gesteuert. Bei jedem fehlerhaften Anmeldeversuch eines Users wird ein individueller Falschanmeldezähler im jeweiligen Benutzerstamm erhöht. Wird der Maximalwert dieses Fehlers erreicht, wird der User für weitere Anmeldungen im System gesperrt.
ÜBRIGENS: Mithilfe des Parameters login/failed_user_auto_unlock können Sie festlegen, ob durch Fehlanmeldungen gesperrte User automatisch wieder entsperrt werden. Das heißt, wenn Sie den Wert des Parameters auf 1 festlegen, werden wegen Falschanmeldungen gesperrte User automatisch am nächsten Tag entsperrt!
b) Kennwortanmeldung nicht möglich (Initialkennwort ist abgelaufen): Einem User (vom Benutzertyp Dialog oder Kommunikation) wurde ein neues Initialkennwort gesetzt. Dieses Initialkennwort wird gesperrt, sofern sich der User nicht innerhalb eines konfigurierten Zeitspanne anmeldet und das Initialkennwort somit seine Gültigkeit verliert. Die Zeitspanne der Gültigkeit von Initialkennwörtern wird mithilfe des Profilparameters login/password_max_idle_initial festgelegt.
c) Benutzer ist gesperrt (“Gültig bis”-Datum überschritten): Jeder Benutzer sollte ein “Gültig von”- und “Gültig bis”-Datum hinterlegt werden. Wenn das “Gültig bis”-Datum überschritten wird, wird der Benutzer automatisch vom System gesperrt und eine Anmeldung ist dann nicht mehr möglich.
d) Benutzer manuell gesperrt (Administratorsperre): Zudem ist es jederzeit möglich, dass ein Benutzer vom Benutzeradministrator manuell gesperrt wird. In diesem Fall wird von der Administratorsperre gesprochen. Eine Anmeldung des Users ist dann nicht mehr möglich.
Anmeldung am System trotz SAP Benutzersperren?
In welchem Fall ist es nun möglich, dass sich ein User – wie eingangs erwähnt – trotz SAP Benutzersperre in einem System anmelden kann? Die Antwort ist einfach: Nur dann, wenn nicht der Benutzer an sich (Fall c & d), sondern nur das Kennwort des Benutzer gesperrt ist (Fall a & b) und keine Anmeldung mittels Passwort erfolgt. Eine reguläre Anmeldung am System ist also nicht möglich.
Allerdings gibt es noch andere Authentifizierungsverfahren, wie bspw. Single Sign-On oder auch interne Abläufe (wie zum Beispiel Hintergrundjobs). Diese Authentifizierungsverfahren sind nicht von der Passwortsperre betroffen, da keine Passwortanmeldung notwendig ist. Eine Ausnahme gibt es jedoch: Bei allen Anmeldeverfahren wird geprüft, ob das Passwort eines Benutzers geändert werden muss. Ist dies aktuell der Fall, wird der Benutzer auch bei anderen Authentifizierungsverfahren aufgefordert, dass aktuelle Passwort zu ändern.
ÜBRIGENS: Diese Aufforderung zum Ändern des Passwortes bei anderen Authentifizierungsverfahren können Sie mithilfe des Profilparameters login/password_change_for_SSO ein- und ausschalten.
Und was ist nun Best Practice in Bezug auf SAP Benutzersperren?
Ich empfehle Ihnen ausdrücklich, den Zugang von Benutzer zum System via Gültigkeiten oder manueller Administratorsperre zu steuern. In diesem Fall ist der Benutzer wirklich gesperrt und kann sich über kein Authentifizierungsverfahren am SAP System anmelden. Denn nur Sperren und Gültigkeiten des Benutzerkontos betreffen auch andere Anmeldeverfahren, wie bspw. SSO. Um einen User also endgültig vom System ‘auszusperren’ entfernen Sie bestenfalls alle zugeordneten Rollen, deaktivieren das Passwort und – am wichtigsten – setzen das “Gültig bis”-Datum auf einen Zeitpunkt in der Vergangenheit.
Ich hoffe, dass ich Ihnen mit meinem Blogbeitrag die SAP Benutzersperren in SAP Systemen verständlich machen konnte. Welche Erfahrungen haben Sie mit den verschiedenen Benutzersperren auf Ihren SAP Systemen gemacht? Ich freue mich schon auf Ihre Kommentare, Anregungen und Fragen direkt unterhalb dieses Blogbeitrags.
8 Kommentare zu "SAP Benutzersperren verstehen und Best Practice"
Hallo Herr Busse,
tolle Zusammenfassung, vielen Dank dafür!
Wir haben die Erfahrung mit SSO-Anmeldemöglichkeit trotz Kennwortsperre auch machen müssen.
Deshalb haben wir ein kleines Programm als Job laufen, welches eine “richtige” Sperre setzt, wenn der Anmelder zu viele Falschanmeldungen durchgeführt hat.
Das Programm läuft aktuell als Job. Ich hatte derzeit keine Möglichkeit gefunden, ein Programm zur bei Bedarf laufen zu lassen. Scheinbar stellt SAP an dieser Ecke im ECC6 EHP 0 keinen User-Exit/Event etc zur Verfügung.
Viele Grüße
Jens Hillmann
Hallo Herr Hillmann,
Vielen Dank für das Teilen Ihrer Erfahrung! Natürlich wäre es schöner, wenn das Programm nur bei Bedarf (z.B. als event-triggered Job) läuft. Allerdings empfinde ich Ihre Lösung mit dem periodisch laufenden Job ebenfalls als sehr gut, da zielführend und vergleichsweise einfach umgesetzt. Ganz im Sinne von: Gefahr erkannt, Gefahr gebannt! 😉
Besten Gruß
Dominik Busse
Guten Tag Herr Busse
Vielen Dank für die Zusammenfassung. Es kommt immer wieder die Frage auf, ob nicht mehr aktive User nach einer gewissen Zeit aus dem System gelöscht werden sollten. Gibt es dazu eine Best Practice? Soll man User überhaupt aus dem System löschen? Was passiert mit all den Belegen, in welchen ein User hinterlegt ist. Macht das Sinn oder halst man sich dadurch Probleme mit einer Revision auf?
Vielen Dank für Ihr Feedback.
Freundliche Grüsse
Nicole Baumgartner
Hallo Frau Baumgartner,
vielen Dank für Ihre Frage. Sie haben schon genau den richtigen Gedanken erfasst: User löschen aus dem System ist aus unserer Sicht keine gute Idee, da dadurch alle Belege verloren gehen, bzw. nur noch der Username in den Belegen vorhanden ist.
Unsere Empfehlung ist es deshalb den User zu sperren, einen Gültigkeitszeitraum festzulegen, die Berechtigungen zu entziehen und am besten noch zu einer Benutzergruppe “ABGANG” hinzuzufügen.
Hiernach kann dann später bequem über die SUIM / Benutzerinformationssystem gefiltert werden.
Beste Grüße,
Luca Cremer
Hallo RZ10 Team
Gibt es einen Parameter der den Zähler für die Falschanmeldungen automatisch wieder auf 0 setzt? Sollte sich, beispielsweise ein SSO User mal on premise an seinem lokalen SAP GUI anders und falsch angemeldet haben, dann erhält man immer in der http-basierten Umgebung eine Meldung:
Anzahl gescheitererter Kennwortanmeldeversuche: X
(siehe Langtext)
Oder gibt es da eine andere Lösung?
Danke und Gruss
Thomas
Hallo,
leider kennen wir auch keine Lösung im Standard. Das Feld in der USR02 heißt LOCNT. Der Funktionsbaustein BAPI_USER_CHANGE scheint dieses Feld aber nicht zu exponieren.
Hallo,
Sie haben den Parameter login/password_max_idle_productive nicht genannt. Damit werden User auch gesperrt, ab einer bestimmten Anzahl Tage der Inaktivität. Allerdings leider nicht über die Tabelle USR02 sichtbar, sondern nur im Benutzerstamm.
Bitte sehen Sie den Punkt als Ergänzung zu Ihrer Aufstellung.
MfG
Werner Zapletal
Hallo Herr Zapletal,
vielen Dank für Ihre Ergänzung!
Viele Grüße