Tobias Harmes
SAP Berechtigungen
 - 31. Mai 2013
  7 Kommentare

Die neue SAP Transaktion SU53 – Zu Risiken und Nebenwirkungen…

Die neue SAP Transaktion SU53 hat auch Nebenwirkungen: der angezeigte Trace lädt zum Interpretieren ein - manchmal mit anderen Ergebnissen als bei einem normalen Berechtigungstrace. Bei einem Kunden hat dies zu einer unerwünschten Berechtigungserweiterung geführt.

Die Nutzung der SU53 ist bei vielen SAP Anwendern schon in Fleisch und Blut übergegangen. Ein Glück, denn sie liefert dem Berechtigungsexperten oft den einzigen Anhaltspunkt wann und wo ungefähr eine Transaktion an einer fehlenden Berechtigung gescheitert ist. Die neue SU53 liefert in der neuen Version eine Liste der letzten fehlgeschlagenen Berechtigungsprüfungen, eine Art Mini-Trace.

Der Incident

SAP Transaktion SU53

Der Kunde erhielt einen Berechtigungsfehler beim Aufruf einer Transaktion und hat sich beim ServiceDesk gemeldet. Die Kollegen haben in einer Remote Session den Kunden aufgefordert sich ab- und wieder anzumelden und danach die problematische Transaktion aufzurufen. In der SU53 konnte man danach eine Prüfung auf die Berechtigungsobjekte S_SCR und auf S_TCODE sehen.

Ich habe daraufhin den Trace aus der SU53 analysiert und geprüft. Die eigentlich fehlende Transaktion (aus S_TCODE) war an dieser Stelle unstrittig und wurde von mir ergänzt. Allerdings habe ich auch S_SCR in der Systemrolle ergänzt.

Was ist daran falsch?

Der Kunde setzt sapgui/user_scripting_per_user ein, dieser Profilparameter erlaubt es pro User SAP Gui Scripting zu erlauben. Dieses wird bei jedem Login des Users abgefragt und tauchte somit auch im Mini-Trace des Kunden unmittelbar vor der S_TCODE Prüfung auf. Ich habe die Reihenfolge in der SU53 falsch gelesen (die letzte Prüfung ist ganz oben) und dadurch fälschlicherweise S_SCR ergänzt.

harmes_180x227
Zu zweit schneller zum Ergebnis 🙂
Expert Session mit dem Autor Tobias Harmes anfragen
Vier Augen sehen mehr als zwei! Wenn Sie die Inhalte aus diesem Artikel schnell umsetzen wollen, kann ich Ihnen gerne dabei helfen.
Autoren Expert Session

Konsequenzen

Bei der Auswertung der neuen SU53 muss sehr genau auf die Zeitstempel und die eigentliche Reihenfolge geachtet werden. Bei einem richtigen Trace hätte ich mir die positiven Prüfungen zusätzlich angezeigt und sofort gesehen, dass das eine Prüfung beim Login gewesen ist. Da nur fehlgeschlagene Prüfungen angezeigt werden, ist die Abgrenzung bei vielen schnell aufeinanderfolgenden Schritten schwierig und muss daher über die Anzahl der Sekunden zwischen den Prüfungen erfolgen. Im Zweifelsfalle gilt daher wie bisher: den Kunden anrufen und mittracen.

Was haben Sie für Erfahrungen zum Thema Transaktion SU53 gemacht? Ich freue mich auf Ihr Feedback.

Sie benötigen Unterstützung bei der Umsetzung? Unser Autor Tobias Harmes ist Berater für dieses Thema. Fragen Sie ihn an über das RZ10.de Partnerprodukt Berater für SAP Berechtigungen und Security

Tobias Harmes

Mein Name ist Tobias Harmes und ich bin SAP Basis & Security Experte, Speaker und Herausgeber von RZ10.de. Ich helfe anderen dabei, Unternehmensdaten und Geschäftsprozesse in SAP wirksam abzusichern.

Sie haben Fragen? Kontaktieren Sie mich!

Kostenloses E-Book zum Thema SAP Berechtigungstools als Download:

Laden Sie sich unser gratis E-Book zum Thema SAP Berechtigungstools herunter!

Kostenloses E-Book zum Thema SAP Berechtigungskonzept als Download:

Laden Sie unser gratis E-Book zum Thema SAP Berechtigungskonzept herunter!

Jetzt das kostenlose E-Book zum Thema SAP Berechtigungen downloaden:

Ausgewählte Fachartikel zum Thema SAP Berechtigungen als PDF (ca. 480 Seiten)

RZ10.de Podcast für SAP Basis & Security

Das könnte Sie auch interessieren

Berechtigungskonzept

Rollen aus einem SAP Berechtigungstrace erstellen

Seit einiger Zeit ist es auch im Standard möglich, Werte aus einem SAP Berechtigungstrace direkt in eine Systemrolle zu übernehmen. Das erlaubt einen deutlich effizienteren Rollenbau. Diese Funktionalität wird auch im Hinweis 1718059 – Neue Funktionen in der Traceauswertung beschrieben. Beitrag als PDF herunterladen × Beitrag als PDF-Dokument herunterladenLaden Sie sich hier den Blogbeitrag kostenlos […]

weiterlesen

Tagesworkshop 08.03.2018 – EU-Datenschutzgrundverordnung und Berechtigungen in 2018

Das Thema des Tagesworkshops in Berlin, die EU- Datenschutzgrundverordnung. Der Stichtag lautet: 25.05.2018. Ab diesem Datum muss sich jedes Unternehmen mit SAP im Einsatz an die EU-Datenschutzgrundverordnung (EU-DSGVO) halten. Die Umsetzung der Verordnung ist somit gesetzliche Vorschrift und daher ein Thema mit dem Sie sich jetzt beschäftigen sollten. Damit Sie wissen, was auf Sie zukommt und […]

weiterlesen
Transaktionsnutzung im SAP ermitteln

Welcher User hat diese Transaktion genutzt? – SAP Transaktionsnutzung ermitteln

Gelegentlich möchte ich in Projekten herausfinden, ob und von welchem Benutzer eine Transaktion im SAP zuletzt genutzt worden ist. Ein recht einfacher Weg zu dieser Transaktionsnutzung ist der SAP Workload Monitor (Systemlastmonitor). Die passende Transaktion dazu heißt ST03N oder in aktuellen Systemen einfach ST03. Beitrag als PDF herunterladen × Beitrag als PDF-Dokument herunterladenLaden Sie sich […]

weiterlesen

7 Kommentare zu "Die neue SAP Transaktion SU53 – Zu Risiken und Nebenwirkungen…"

Bernd - 11. Dezember 2013 | 18:10

Hallo Herr Harmes,
die neue SU53 ist ja schon gut! Doch es gibt noch ein großes Manko: Die Benutzer schicken SU53 screen shots ohne wenigstens die ersten Zeilen der Su53 zu öffnen. Damit sind die Objektwerte nicht zu erkennen und es kommt zu Nachfragen. Wenn die
Fehlermeldung schon ein wenig her ist, hat man auch
mit der “anderer Benutzer anzeigen” kein Glück.
Man hätte bei der Entwicklung ja wenigstens den
letzten Fehler “offen legen” können.

Hoffen wir mal, dass das auch jemand in der SAP
auffällt!
Gruß
Bernd

Antworten
Tobias Harmes - 10. Februar 2014 | 10:27

Gerade gemeldet von Herrn Klüppelberg:

1850534 – SU53: Berechtigungsprüfungen sind nicht aufgeklappt

Damit werden die ersten fünf Einträge in der SU53 aufgeklappt. Ist auch in den neuesten SAP_BASIS Support-Packages enthalten.

Antworten
Martin Henke - 23. Juni 2014 | 11:12

Die neue SU53 ist in der Tat wesentlich besser: Sie enthält endlich einen Zeitstempel und die benutzte Transaktion. Verwirrend ist jedoch zunächst, dass bis zu 100 Fehlerrecords gespeichert werden. Ich habe zur besseren Analyse ein ABAP-Programm erstellt, mit dem die User auf sehr einfache Weise die SU53 per BTCI im Hintergrund aufrufen. Danach werden mit dem Programm alle Records des Users in der Tabelle USR07 gelesen und die darin auftretenden Berechtigungs-Objekte in zugeordneten Profilen (auch Einzelprofile) gesucht und via MS Outlook als Anhang in CSV-Form an das Auth.-Team versandt. Die eigentliche Analyse erfolgt in MS EXCEL mit einem Macro. Dabei werden zutreffende Inhalte grün, nicht zutreffende rot markiert. Die Lösung wird von den Anwendern sofort akzeptiert. Das Versenden von Hardcopies ist überflüssig.
Bei Interesse kann ich weitere Informationen liefern.

Antworten
Distelrath, Ralf - 23. März 2016 | 11:46

Hallo,
ich denke das Thema su53 ist noch aktuell?

Ich habe einen user der bekommt trotz Hinterlegung der Rolle eine SAP Fehlermeldung das er keine Berechtigung hat, Liste unvollständig bei me2m, Einkaufsbelege.
Jetzt habe ich aber in der su53 keine Objekte die betroffen sind. Diese Objekte haben wir durch trace und debugging in der Anwendung ermittelt.
M_BEST_WRK
M_RAHM_WRK
M_ANFR_WRK
In der SUIM kann ich prüfen welche Objkete zu welcher Rolle gehören und da fängt es schon wieder an. Eine Mehrfachauswahl zeigt falsche Rollen an. Wenn ich die Rolle einzeln untersuche sehe ich das das Objekt, z.B.
M_RAHM_WRK
M_ANFR_WRK hier nicht vorhanden ist, sondern nur M_BEST_WRK.
Wer kann helfen, ich muss das Problem dem Kunden erklären
mfG
Ralf

Antworten
Tobias Harmes - 23. März 2016 | 22:10

Hallo Ralf.

Manchmal sind die fehlenden Berechtigungen leider nicht über einen Trace zu ermitteln – die Berechtigungen werden programmtechnisch abgefragt ohne AUTHORITY-CHECK und damit für den Trace und die SU53 unsichtbar.

Meine Reihenfolge für solche Fälle:
1. Prüfen was hat der User in der SU56 – nur um sicherzustellen dass nicht evtl. ein fehlender Benutzerabgleich hier das Problem ist. Wenn du die genannten Berechtigungsobjekte im Benutzerpuffer des Users suchst, kannst du prüfen ob die erwarteten Werte aus den erwarteten Rollen dem Benutzer zugeordnet werden.
2. Wenn das in Ordnung ist, aber trotzdem noch Werte fehlen: eine Variante der Rolle bauen, in der mindestens die relevanten Organisations-Ebenen (hier EKORG und WERKS) mit “*” versehen sind. Das ist natürlich nur eine temporäre Berechtigung evtl. für das Q-System. Ich habe schon mehrfach erlebt, dass fehlerhafte Stammdaten mit Zuordnungen zu längst vergessenen Werken plötzlich nicht mehr sichtbar waren. Der Grund war die Einschränkung auf bestimmte Werke. Wenn es mit der Rolle dann klappt, Schrittweise die Berechtigungen bzgl. Orgebenen wieder verschärfen – bis die richtige Abgrenzung gefunden ist – oder die Stammdaten korrigiert sind.

Viel Erfolg,
Tobias

Antworten
Christian Nagel - 15. März 2017 | 11:34

Für alle, die sich ebenfalls mit der Meldung “Wegen fehlender Berechtigungen ist die Liste unvollständig” in der Transaktion ME2M herumschlagen:

In der Tat liefern die SU53-Analyse oder Traces keine Lösung, da die Berechtigungsprüfungen ohne AUTHORITY-CHECK im Programmcode hinterlegt sind (der Report RM06EM00 hinter dem TCode ME2M stammt aus der ersten SAP R/3-Version). Ich habe im System eine einzige Z-Berechtigungsrolle gefunden, mit der die ME2M ohne die o.a. Meldung ausgeführt werden kann und die Berechtigungsobjekte dieser Berechtigungsrolle mit denen in den anderen Berechtigungsrollen verglichen, da das Erteilen von Gesamtberechtigungen in den Orgebenen (für Testzwecke im Q-System) nicht zum Erfolg geführt hat.

Nach (gefühlt ewigem) Vergleich relevanter, einzelner Berechtigungsobjekte habe ich nun die Kombination ermittelt, die für das fehlerfreie Funktionieren der ME2M benötigt wird:

M_ANFR_WRK
M_BEST_EKO (Prüfung bei Transaktionsstart!)
M_BEST_WRK
M_RAHM_WRK

Diese Berechtigungsobjekte müssen mindestens mit der Aktivität (ACTVT) 03 (= Anzeige) ausgeprägt sein. Das Berechtigungsobjekt M_ANFR_WRK ist nicht in den SU24-Daten für die ME2M hinterlegt; ich habe das gerade erledigt (Prüfkennzeichen = Prüfen und Vorschlag = Ja), damit bei zukünftigen Berechtigungsrollenentwicklungen mit der Transaktion ME2M nicht wieder dieser Aufwand betrieben werden muss.

Antworten

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support