Überflüssige Berechtigungen schnell und einfach herausfinden
Autor: Torsten Schmits | 23. September 2021
Wie kann ich mit wenig Aufwand herausfinden, ob sich überflüssige Berechtigungen im SAP angesammelt haben? In diesem Beitrag zeigen wir Ihnen zwei Möglichkeiten, wie Sie diese Berechtigungen auf Ebene der Transaktionen identifizieren können.
Regelmäßig Überblick verschaffen
Es gibt viele Gründe, weshalb ich regelmäßig prüfen sollte, ob meine Anwender überflüssige Berechtigungen haben. Sei es ein anstehendes Security Audit, eine historisch gewachsene Berechtigungslandschaft oder einfach die Ungewissheit, welche Berechtigungen meine Anwender im System haben und welche sie davon überhaupt aktiv nutzen. In jedem der Fälle ist es sehr sinnvoll, die vergebenen Berechtigungen regelmäßig mit den tatsächlich genutzten abzugleichen. Dadurch können Sie Überberechtigungen konsequent vermeiden. Im Folgenden zeige ich Ihnen zunächst, wie Sie das im SAP Standard machen können.
ST03N – Transaktions-Nutzungsdaten
Zunächst müssen wir einmal rausfinden, welche Berechtigungen ein Anwender tatsächlich genutzt hat. Diese Informationen können wir aus der ST03N (Systemlastmonitor) auslesen. Der Systemlastmonitor hat nur leider den Nachteil, dass er recht unhandlich ist. Der aus unserer Erfahrung beste Weg die gewünschten Daten auszulesen, läuft über einen Funktionsbaustein. Über diesen können wir eine Liste mit den relevanten Usern und deren aufgerufenen Transaktionen erhalten. Wie genau das technisch funktioniert, erklären wir im Beitrag Genutzte Transaktionen aus dem SAP Workload Monitor ST03N exportieren.
Vergebene Berechtigungen
Nachdem wir die gewünschten Transaktions-Nutzungsdaten unserer User haben, sollten wir die vergebenen Berechtigungen dagegen halten. Im SAP Standard verhält es sich hier ähnlich wie bei den Transaktions-Nutzungsdaten. Wir können sie auslesen, aber nur mit etwas Aufwand. Prinzipiell gibt es hierfür auch mehrere Möglichkeiten. Eine Möglichkeit ist es, über einen QuickView die Tabellen AGR_USERS und AGR_1251 zu verbinden und dann für die relevanten User die vergebenen S_TCODE Objekte auszulesen. Damit haben wir dann eine Liste aller vergebenen S_TCODE Objekte, die wir zum Beispiel per Excel gegen unsere Transaktions-Nutzungsdaten halten können, um so die überflüssigen Berechtigungen herauszufinden.
Schnell und einfach?
Die bisher erklärte Variante ist zugegebenermaßen alles andere als schnell und einfach. Der SAP Standard gibt hier leider nicht mehr her. Deshalb haben wir ein Tool entwickelt, dass uns die Arbeit an dieser Stelle etwas abnimmt. Hier können wir einfach eine Liste der User angeben und einen Zeitraum definieren:
Und auf Knopfdruck direkt eine Auswertung erhalten:
Ersparen Sie sich Aufwand und nutzen Sie unser Tool, um auf Knopfdruck für Ihre User die überflüssigen Berechtigungen herauszufinden.
Wenn Sie Fragen bezüglich des Einsatzes unserer Lösung haben oder weitere Unterstützung benötigen, schreiben sie uns gerne eine Mail an info@rz10.de.