Neue Funktionen in der SAP SU53 und im SAP Berechtigungs-Trace

Autor: Tobias Harmes | 8. März 2013

4 | 2 | #AUTHORITY-CHECK, #SU53

Wer als Berechtigungsadministrator mehr oder weniger täglich mit wenig aussagekräftige Screenshots der SAP SU53 (Transaktion Berechtigungsdaten von Benutzer xy anzeigen) arbeiten muss, kann sich auf eine deutliche Verbesserung freuen.

Neue Funktionen zu SAP SU53

Die SAP beschreibt im Hinweis 1671117 – SU53: erweiterte Funktionalität und WebDynpro-Eignung die neuen Funktionen der SU53. Ab einem im Hinweis genannten Support Package Stand der SAP_BASIS Komponente inklusive einem aktuellen Kernel kann die SU53 nicht mehr nur die letzte Berechtigungsprüfung, sondern sogar bis zu 100 Berechtigungsprüfungen pro Benutzer in chronologischer Reihenfolge aufführen. Das dürfte den Berechtigungs-Trace zur genauen Ursachenanalyse in Zukunft deutlich seltener erforderlich machen.

Tipp: Über den Profilparameter auth/su53_buffer_entries kann man die Anzahl der Einträge sogar noch erhöhen.

SAP SU53 Transaktion mit erweiterter Funktionalität

In diesem Zusammenhang lohnt sich auch noch mal ein genauer Blick auf den Hinweis 1718059 – Neue Funktionen in der Traceauswertung – denn das von mir gern genutzte Programm ZSHOWAUTHTRACE von Frank Buchholz hat mit SAP_BASIS 7.03 als Standardtransaktion STAUTHTRACE Einzug gehalten. Und dieses Programm ist ein deutlich besser zu bedienener und verwendbarer Trace als die Auswertung über die Standardtransaktion ST01 (Systemtrace). Ganz zu schweigen von Schmankerln wie “Pflege der SU24 auf Grundlage eines Traces”.

harmes_180x227
„Ich helfe Ihnen bei der Optimierung der SAP Sicherheit und Reduzierung der täglichen Betriebsaufwände.“
Senior Architekt Tobias Harmes
In unserem Strategieworkshop SAP Berechtigungen entwickeln unsere Senior-Architekten für Sie eine Strategie zur Optimierung der SAP Sicherheit und Reduzierung der täglichen Betriebsaufwände – gerade auch in Hinblick auf S/4HANA sowie dem Betrieb von SAP Cloud Anwendungen.
Strategieworkshop SAP Berechtigungen

 

Ein Tipp noch am Schluss: wer den Umgang mit der SAP SU53 vereinfachen will, der sollte seine Benutzer auffordern, die SU53 grundsätzlich in einen Spoolauftrag zu drucken und die Spool-Nummer zu melden. Der Spoolauftrag kann von dem Administrator eingesehen werden und enthält alle, auch die im Screenshot nur als zugeklappte Komponenten zu sehenden Elemente. Und das in einer Variante die Copy&Paste zulässt. Soll doch ein Screenshot gemacht werden, hilft dieser Hinweis: 1850534 – SU53: Berechtigungsprüfungen sind nicht aufgeklappt – dann sind zumindest die ersten fünf Einträge aufgeklappt.

Was halten Sie von den Neuerungen der SAP SU53? Haben Sie noch Tipps im Umgang mit der Analyse von fehlgeschlagenen Berechtigungsprüfungen? Ich freue mich auf Ihr Feedback.

SAP Berater für Security

SAP Berater für Basis

Sie benötigen Unterstützung im Bereich SAP Basis? Unsere SAP Berater für SAP Basis unterstützen Sie gerne mit dem nötigen Wissen - vor Ort und remote.

mehr erfahren


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

4 Kommentare zu "Neue Funktionen in der SAP SU53 und im SAP Berechtigungs-Trace"

Hallo Herr Harmes,
tolle Neuigkeit! Haben Sie die neue SU53 schon mal gesehen?
Was mich bei der alten aufregt, ist das Datum, das da angegeben wird. Es ist nicht wie man annehmen könnte das Datum des Fehlers, sondern das heutige Datum. Man hatte wohl keine 10 Bytes übrig!

Wird bei der neuen SU53 wenigstens jetzt das Datum des Fehlers augegeben?

Viele Grüße aus Mannheim
Bernd

Hallo Bernd.

Im Screenshot ist die neue SU53 zu sehen, die Zeitstempel der Berechtigungsprüfungen sind dabei gelb markiert und das Datum wird auch angezeigt. Die Zeiten entsprechen dem Zeitpunkt der Berechtigungsprüfung ähnlich wie beim Trace. Es werden allerdings nur fehlgeschlagene Prüfungen angezeigt – das kann manchmal zu wenig sein. Vor allem wenn nicht klar hervorgeht aus welcher Transaktion die Fehlermeldung heraus erzeugt worden ist. Dann muss man doch auf den Trace zurückgreifen, damit man auch die erfolgreichen Prüfungen sieht. In meinem aktuellen Projekt ersetzt die neue SU53 aber bestimmt schon die Hälfte der Traces im Funktions- und Akzeptanztest! Schön ist auch, dass man via Sichern-Button einen Snapshot machen kann. Dann kann man sich sogar den Druck-Auftrag sparen, weil der Admin dann die gespeicherte SU53 über den Button “Gespeicherte Prüfungen” hervorholen kann.

Viele Grüße aus Bielefeld,
Tobias Harmes

Zusatzfrage:
wie lange bleiben diese Einträge erhalten?
Habe gerade eben eine SU53 von einem Benutzer gemacht, der seit 2 Tagen nicht im System war. SU53 hat immer noch den alten Eintrag.
Deshalb sagen wir jetzt unseren Benutzern, vor Ausführen der Transaktion eine SU53 machen, dann die fehlerbehaftete Ta durchführen und nochmals eine SU53 machen. Beides wird dann geschickt und man schaut nicht nach gefallenem Obst!

Gruß
Bernd

Der Hinweis sagt nur etwas über die Anzahl der Einträge – im Standard 100. Im System kann ich sehen, dass nur die letzten drei Stunden angezeigt werden. Das heißt, die SU53 muss innerhalb von drei Stunden abgerufen werden, sonst gehen die ältesten Einträge über Bord. Über Speichern oder Drucken in einen Spool-Auftrag kann der Anwender die SU53 aber konservieren. Das eine veraltete SU53 anzeigt wird, ist mir bisher nicht aufgefallen. Könnte ich mir aber zum Beispiel bei mehreren Applikationsservern vorstellen.

Viele Grüße,
Tobias Harmes

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support