Umgang mit inaktiven Benutzern

Autor: Tobias Harmes | 21. November 2018

12 | 39
Internes Kontrollsystem für Ihr SAP

Der Umgang mit inaktiven Benutzern ist in jedem SAP-Umfeld ein verbreitetes Thema. Doch wie geht man damit um und was sind die Vorteile der einzelnen Lösungen? Ich zeige einen vielleicht unbekannten Trick zum Sperren von Benutzern.

Benutzer sperren oder löschen?

Durch das Löschen eines Users werden seine Stammdaten gelöscht. Dadurch sind zum Beispiel Buchungsbelege schwerer nachvollziehbar, weil nur noch der SAP-User aufgeführt wird. Durch die Sperre des Users bleibt der Bezug zum Mitarbeiter in den Änderungsbelegen erhalten. Konflikte in der Nachvollziehbarkeit durch einen zweimal vergebenen Usernamen (z.B. zweimal „AMEYER“) werden so ebenfalls ausgeschlossen. Der User kann auch bei Bedarf reaktiviert werden. Dies erspart administrativen Aufwand. Deshalb ist hier meine Empfehlung die Benutzer lediglich zu sperren.

Benutzer sperren leicht gemacht

Jeden einzelnen Benutzer durchgehen und sperren? Viel zu aufwändig!
SAP bietet standardmäßig den Report RSUSR_LOCK_USERS um bspw. inaktive Benutzer zu finden und zu sperren. Hier bietet es sich an eine Filterung auf 90 Tage zu setzen, sodass Benutzer mit einer Inaktivität von mindestens 3 Monaten erfasst werden. Allerdings ist auch eine Selektierung auf die Benutzerart möglich. Da bei der Sperre bezüglich Inaktivität in den meisten Fällen Dialogbenutzer betrachtet werden, sollte auch nur auf diesen Benutzertypen selektiert werden.
RSUSR_LOCK_USERS_1 - Umgang mit inaktiven Benutzern
RSUSR_LOCK_USERS_2 - Umgang mit inaktiven Benutzern
Später kann dann die Aktion, die auf die selektierten Benutzer angewendet werden soll, ausgewählt werden. Hier können Nutzer sowohl lokal gesperrt als auch lokal entsperrt werden und auch die Gültigkeit des Benutzers gesetzt werden. Demnach also bereits zwei der drei von mir empfohlenen Schritte im Umgang mit inaktiven Benutzern. Es empfiehlt sich das Gültigkeitsdatum „auf Gestern“ zu setzen.
RSUSR_LOCK_USERS_3
Letztlich sollten in der SU01 die Profile und Rollen entzogen werden, damit der Benutzer nicht mehr im System berechtigt ist.

Mögliche Konflikte

Trotz der Sperre eines Benutzers kann es in manchen Fällen immer noch möglich sein, dass sich der Benutzer im System anmelden kann, z.B. durch Single-Sign-On. Um einen User also endgültig vom System ‚auszusperren‘ entfernen Sie bestenfalls alle zugeordneten Rollen, deaktivieren das Passwort und – am wichtigsten – setzen das „Gültig bis“-Datum auf einen Zeitpunkt in der Vergangenheit (siehe auch: SAP Benutzersperren verstehen)

In diesem Webinar “Hysterisch gewachsene Berechtigungen loswerden” erfahren Sie, wie SAP-Systeme bezüglich ihrer Rollen und Benutzer bereinigt werden können, um Altlasten loszuwerden.  

Empfohlene Vorgehensweise im Überblick

Mein Rezept im Umgang mit inaktiven Benutzern sieht wie folgt aus:

  1. Benutzer nach 3-monatiger Inaktivität sperren
  2. Dem Benutzer sämtliche Rollen und Profile entziehen
  3. Das Gültigkeitsdatum setzen

War das Hilfreich? Ich freue mich über Feedback, gerne per Mail oder hier unter diesem Beitrag als Kommentar. Vielen Dank!

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

12 Kommentare zu "Umgang mit inaktiven Benutzern"

Guten Tag,

geht das ganze nicht auch mit dem Report RSUSR_LOCK_USERS? Denn dieser unterstützt doch die Selektion und gleichzeitige Sperrung von inaktiven Benutzern oder sehe ich das falsch?

Hallo Maxi.
Ganau, diese Vorgehensweise haben wir gewählt, siehe Abschnitt unter „Benutzer sperren leicht gemacht“. Hier ggf. noch folgenden SAP Hinweis beachten:
2698638 – RSUSR_LOCK_USERS does not unlock users with incorrect logon attempts
https://launchpad.support.sap.com/#/notes/2698638
Viele Grüße
Tobias Harmes

Hallo,
macht es Sinn den Report RSUSR_LOCK_USERS als Job einzuplanen?
Wenn ich mich nicht irre, kann man nicht gleichzeitig einen Benutzer sperren und sein Gültigkeitsdatum abgrenzen. Man bräuchte dann 2 Job-Läufe:
1. Ende der Gültigkeit auf… setzen
2. Sperren der Benutzer
Ist dies korrekt?

Hallo,

ja, es ist auf jeden Fall sinnvoll den Report RSUSR_LOCK_USERS als Job einzuplanen.
Es ist ebenfalls korrekt, dass in dem Fall zwei Läufe eingeplant werden müssen, da man pro Variante nur einen Radio Button auswählen kann.

Viel Erfolg und viele Grüße!

Hallo zusammen, es gab einmal eine Möglichkeit im SAP HCM, Benutzer, die eine Stunde oder länger/ kürzer einen Stammsatz sperren, haben vom Pflege- auf den Anzeigemodus umzuschalten. Ist diese Möglichkeit bekannt? Vielen Dank und viele Grüße Stefan

Hallo Stefan,
ich kenne nur den idle timeout in den Profilparametern (RDISP/GUI_AUTO_LOGOUT) – dann werden aber die User auch aus dem System geworfen.
Viele Grüße
Tobias

Hallo zusammen,
betreffend der DSGVO möchte hat unsere Firma alle inaktiven User gelöscht.
Nun habe ich schon festgestellt, das die SWI5 nicht mehr bei diesen genutzt werden kann.
Wer weiß noch andere Funktionalitäten, die dann nicht mehr genutzt werden können.
Welche kritischen Prozesse könnten ggf. sogar nicht mehr genutzt werden od. funktionieren nicht mehr. ?
Angeblich ist sogar im Gespräch alle Änderungsprotokolle der inaktiven User ebenfalls zu löschen. Dabei habe ich erheblich bedenken der Nachvollziehbarkeit und vor allem bei Audits geäußert. Wie seht ihr das?

Vielen Dank.
Gruß Mario

Hallo Mario,
bei der DSGVO benötigt es ja immer Grundlagen für die Verarbeitung personenbezogener Daten. Und das sind eben auch die gesetzlichen Anforderungen für die Nachvollziehbarkeit. User löschen ist schon schwierig, aber Änderungsprotokolle (ich verstehe darunter Belegänderungen) innerhalb von 10 Jahren halte ich für kritisch.
Viele Grüße
Tobias

Hallo Tobias,
wie wird eingestellt, dass in der SU01 der Button „Benutzer löschen“ aktiviert ist?
Welches Berechtigungsobjekt steckt dahinter?
Danke und viele Grüße
Yusuf

Hi Yusuf, nicht immer steckt eine Berechtigung dahinter, könnte z.B. auch sein, dass das System teil einer zentralen Benutzerverwaltung (ZBV, CUA) ist. Ansonsten halte mal Ausschau im Berechtigungstrace nach S_USER_GRP mit ACTVT 06 (delete). VG Tobias

Hallo zusammen,
2 Fragen:
1. Gibt es einen ähnlichen Report auch in der ZBV, der dann quasi die Anmeldedaten global vergleicht und dann die Nutzer sperrt, sobald sie sich in allen Systemen x Tage nicht mehr eingeloggt haben, oder gibt es das nur für jedes einzelne Zielsystem lokal (dann könnte man die Selektion und Sperre ja auch einfach via SU10 durchführen…)

2. Gibt es auch einen Report, welcher die Löschung der Rollenzuordnungen (natürlich dann direkt von mehreren Nutzern) übernimmt?

Beste Grüße
Simon

Hallo Simon,
hier die Antwort unseres Experten:

Zu 1: Eine übergreifende Auswertung ist mir im SAP-Standard nicht bekannt. Die SUIM bietet zwar systemübergreifende Auswertungen, jedoch nicht für das letzte Anmeldedatum.
Zu 2: Der Report RSUSR_LOCK_USERS kann nur Benutzer sperren bzw. deren Gültigkeit abgrenzen. Fürs Abgrenzen bzw. Entziehen der zugewiesenen Rollen ist mir im SAP-Standard kein vergleichbarer Report bekannt. Der Report PRGN_COMPRESS_TIMES kann nur abgelaufene Rollenzuweisungen entziehen, jedoch die Gültigkeit nicht begrenzen

Viele Grüße
Die RZ10-Redaktion

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice