Die neue SAP Transaktion SU53 – Zu Risiken und Nebenwirkungen…
Autor: Tobias Harmes | 31. Mai 2013
Die neue SAP Transaktion SU53 hat auch Nebenwirkungen: der angezeigte Trace lädt zum Interpretieren ein - manchmal mit anderen Ergebnissen als bei einem normalen Berechtigungstrace. Bei einem Kunden hat dies zu einer unerwünschten Berechtigungserweiterung geführt.
Die Nutzung der SU53 ist bei vielen SAP Anwendern schon in Fleisch und Blut übergegangen. Ein Glück, denn sie liefert dem Berechtigungsexperten oft den einzigen Anhaltspunkt wann und wo ungefähr eine Transaktion an einer fehlenden Berechtigung gescheitert ist. Die neue SU53 liefert in der neuen Version eine Liste der letzten fehlgeschlagenen Berechtigungsprüfungen, eine Art Mini-Trace.
Der Incident
Der Kunde erhielt einen Berechtigungsfehler beim Aufruf einer Transaktion und hat sich beim ServiceDesk gemeldet. Die Kollegen haben in einer Remote Session den Kunden aufgefordert sich ab- und wieder anzumelden und danach die problematische Transaktion aufzurufen. In der SU53 konnte man danach eine Prüfung auf die Berechtigungsobjekte S_SCR und auf S_TCODE sehen.
Ich habe daraufhin den Trace aus der SU53 analysiert und geprüft. Die eigentlich fehlende Transaktion (aus S_TCODE) war an dieser Stelle unstrittig und wurde von mir ergänzt. Allerdings habe ich auch S_SCR in der Systemrolle ergänzt.
Was ist daran falsch?
Der Kunde setzt sapgui/user_scripting_per_user ein, dieser Profilparameter erlaubt es pro User SAP Gui Scripting zu erlauben. Dieses wird bei jedem Login des Users abgefragt und tauchte somit auch im Mini-Trace des Kunden unmittelbar vor der S_TCODE Prüfung auf. Ich habe die Reihenfolge in der SU53 falsch gelesen (die letzte Prüfung ist ganz oben) und dadurch fälschlicherweise S_SCR ergänzt.
Lösung: Strategieworkshop SAP Berechtigungen
In dem Strategieworkshop SAP Berechtigungen entwickeln wir für Sie eine Strategie zur Optimierung der SAP Sicherheit und Reduzierung der Betriebsaufwände.
Konsequenzen
Bei der Auswertung der neuen SU53 muss sehr genau auf die Zeitstempel und die eigentliche Reihenfolge geachtet werden. Bei einem richtigen Trace hätte ich mir die positiven Prüfungen zusätzlich angezeigt und sofort gesehen, dass das eine Prüfung beim Login gewesen ist. Da nur fehlgeschlagene Prüfungen angezeigt werden, ist die Abgrenzung bei vielen schnell aufeinanderfolgenden Schritten schwierig und muss daher über die Anzahl der Sekunden zwischen den Prüfungen erfolgen. Im Zweifelsfalle gilt daher wie bisher: den Kunden anrufen und mittracen.
Was haben Sie für Erfahrungen zum Thema Transaktion SU53 gemacht? Ich freue mich auf Ihr Feedback.
7 Kommentare zu "Die neue SAP Transaktion SU53 – Zu Risiken und Nebenwirkungen…"
Hallo Herr Harmes,
die neue SU53 ist ja schon gut! Doch es gibt noch ein großes Manko: Die Benutzer schicken SU53 screen shots ohne wenigstens die ersten Zeilen der Su53 zu öffnen. Damit sind die Objektwerte nicht zu erkennen und es kommt zu Nachfragen. Wenn die
Fehlermeldung schon ein wenig her ist, hat man auch
mit der “anderer Benutzer anzeigen” kein Glück.
Man hätte bei der Entwicklung ja wenigstens den
letzten Fehler “offen legen” können.
Hoffen wir mal, dass das auch jemand in der SAP
auffällt!
Gruß
Bernd
Gerade gemeldet von Herrn Klüppelberg:
1850534 – SU53: Berechtigungsprüfungen sind nicht aufgeklappt
Damit werden die ersten fünf Einträge in der SU53 aufgeklappt. Ist auch in den neuesten SAP_BASIS Support-Packages enthalten.
Die neue SU53 ist in der Tat wesentlich besser: Sie enthält endlich einen Zeitstempel und die benutzte Transaktion. Verwirrend ist jedoch zunächst, dass bis zu 100 Fehlerrecords gespeichert werden. Ich habe zur besseren Analyse ein ABAP-Programm erstellt, mit dem die User auf sehr einfache Weise die SU53 per BTCI im Hintergrund aufrufen. Danach werden mit dem Programm alle Records des Users in der Tabelle USR07 gelesen und die darin auftretenden Berechtigungs-Objekte in zugeordneten Profilen (auch Einzelprofile) gesucht und via MS Outlook als Anhang in CSV-Form an das Auth.-Team versandt. Die eigentliche Analyse erfolgt in MS EXCEL mit einem Macro. Dabei werden zutreffende Inhalte grün, nicht zutreffende rot markiert. Die Lösung wird von den Anwendern sofort akzeptiert. Das Versenden von Hardcopies ist überflüssig.
Bei Interesse kann ich weitere Informationen liefern.
Hallo,
ich denke das Thema su53 ist noch aktuell?
Ich habe einen user der bekommt trotz Hinterlegung der Rolle eine SAP Fehlermeldung das er keine Berechtigung hat, Liste unvollständig bei me2m, Einkaufsbelege.
Jetzt habe ich aber in der su53 keine Objekte die betroffen sind. Diese Objekte haben wir durch trace und debugging in der Anwendung ermittelt.
M_BEST_WRK
M_RAHM_WRK
M_ANFR_WRK
In der SUIM kann ich prüfen welche Objkete zu welcher Rolle gehören und da fängt es schon wieder an. Eine Mehrfachauswahl zeigt falsche Rollen an. Wenn ich die Rolle einzeln untersuche sehe ich das das Objekt, z.B.
M_RAHM_WRK
M_ANFR_WRK hier nicht vorhanden ist, sondern nur M_BEST_WRK.
Wer kann helfen, ich muss das Problem dem Kunden erklären
mfG
Ralf
Hallo Ralf.
Manchmal sind die fehlenden Berechtigungen leider nicht über einen Trace zu ermitteln – die Berechtigungen werden programmtechnisch abgefragt ohne AUTHORITY-CHECK und damit für den Trace und die SU53 unsichtbar.
Meine Reihenfolge für solche Fälle:
1. Prüfen was hat der User in der SU56 – nur um sicherzustellen dass nicht evtl. ein fehlender Benutzerabgleich hier das Problem ist. Wenn du die genannten Berechtigungsobjekte im Benutzerpuffer des Users suchst, kannst du prüfen ob die erwarteten Werte aus den erwarteten Rollen dem Benutzer zugeordnet werden.
2. Wenn das in Ordnung ist, aber trotzdem noch Werte fehlen: eine Variante der Rolle bauen, in der mindestens die relevanten Organisations-Ebenen (hier EKORG und WERKS) mit “*” versehen sind. Das ist natürlich nur eine temporäre Berechtigung evtl. für das Q-System. Ich habe schon mehrfach erlebt, dass fehlerhafte Stammdaten mit Zuordnungen zu längst vergessenen Werken plötzlich nicht mehr sichtbar waren. Der Grund war die Einschränkung auf bestimmte Werke. Wenn es mit der Rolle dann klappt, Schrittweise die Berechtigungen bzgl. Orgebenen wieder verschärfen – bis die richtige Abgrenzung gefunden ist – oder die Stammdaten korrigiert sind.
Viel Erfolg,
Tobias
Für alle, die sich ebenfalls mit der Meldung “Wegen fehlender Berechtigungen ist die Liste unvollständig” in der Transaktion ME2M herumschlagen:
In der Tat liefern die SU53-Analyse oder Traces keine Lösung, da die Berechtigungsprüfungen ohne AUTHORITY-CHECK im Programmcode hinterlegt sind (der Report RM06EM00 hinter dem TCode ME2M stammt aus der ersten SAP R/3-Version). Ich habe im System eine einzige Z-Berechtigungsrolle gefunden, mit der die ME2M ohne die o.a. Meldung ausgeführt werden kann und die Berechtigungsobjekte dieser Berechtigungsrolle mit denen in den anderen Berechtigungsrollen verglichen, da das Erteilen von Gesamtberechtigungen in den Orgebenen (für Testzwecke im Q-System) nicht zum Erfolg geführt hat.
Nach (gefühlt ewigem) Vergleich relevanter, einzelner Berechtigungsobjekte habe ich nun die Kombination ermittelt, die für das fehlerfreie Funktionieren der ME2M benötigt wird:
M_ANFR_WRK
M_BEST_EKO (Prüfung bei Transaktionsstart!)
M_BEST_WRK
M_RAHM_WRK
Diese Berechtigungsobjekte müssen mindestens mit der Aktivität (ACTVT) 03 (= Anzeige) ausgeprägt sein. Das Berechtigungsobjekt M_ANFR_WRK ist nicht in den SU24-Daten für die ME2M hinterlegt; ich habe das gerade erledigt (Prüfkennzeichen = Prüfen und Vorschlag = Ja), damit bei zukünftigen Berechtigungsrollenentwicklungen mit der Transaktion ME2M nicht wieder dieser Aufwand betrieben werden muss.
Hallo Christian,
vielen Dank für deine Hinweise – die ME2M funktioniert nun bei mir!
Viele Grüße
Manuel