Umgang mit inaktiven Benutzern

Autor: Tobias Harmes | 21. November 2018

12 | 30
Internes Kontrollsystem für Ihr SAP

Der Umgang mit inaktiven Benutzern ist in jedem SAP-Umfeld ein verbreitetes Thema. Doch wie geht man damit um und was sind die Vorteile der einzelnen Lösungen? Ich zeige einen vielleicht unbekannten Trick zum Sperren von Benutzern.

Benutzer sperren oder löschen?

Durch das Löschen eines Users werden seine Stammdaten gelöscht. Dadurch sind zum Beispiel Buchungsbelege schwerer nachvollziehbar, weil nur noch der SAP-User aufgeführt wird. Durch die Sperre des Users bleibt der Bezug zum Mitarbeiter in den Änderungsbelegen erhalten. Konflikte in der Nachvollziehbarkeit durch einen zweimal vergebenen Usernamen (z.B. zweimal “AMEYER”) werden so ebenfalls ausgeschlossen. Der User kann auch bei Bedarf reaktiviert werden. Dies erspart administrativen Aufwand. Deshalb ist hier meine Empfehlung die Benutzer lediglich zu sperren.

Benutzer sperren leicht gemacht

Jeden einzelnen Benutzer durchgehen und sperren? Viel zu aufwändig!
SAP bietet standardmäßig den Report RSUSR_LOCK_USERS um bspw. inaktive Benutzer zu finden und zu sperren. Hier bietet es sich an eine Filterung auf 90 Tage zu setzen, sodass Benutzer mit einer Inaktivität von mindestens 3 Monaten erfasst werden. Allerdings ist auch eine Selektierung auf die Benutzerart möglich. Da bei der Sperre bezüglich Inaktivität in den meisten Fällen Dialogbenutzer betrachtet werden, sollte auch nur auf diesen Benutzertypen selektiert werden.
RSUSR_LOCK_USERS_1 - Umgang mit inaktiven Benutzern
RSUSR_LOCK_USERS_2 - Umgang mit inaktiven Benutzern
Später kann dann die Aktion, die auf die selektierten Benutzer angewendet werden soll, ausgewählt werden. Hier können Nutzer sowohl lokal gesperrt als auch lokal entsperrt werden und auch die Gültigkeit des Benutzers gesetzt werden. Demnach also bereits zwei der drei von mir empfohlenen Schritte im Umgang mit inaktiven Benutzern. Es empfiehlt sich das Gültigkeitsdatum “auf Gestern” zu setzen.
RSUSR_LOCK_USERS_3
Letztlich sollten in der SU01 die Profile und Rollen entzogen werden, damit der Benutzer nicht mehr im System berechtigt ist.

Mögliche Konflikte

Trotz der Sperre eines Benutzers kann es in manchen Fällen immer noch möglich sein, dass sich der Benutzer im System anmelden kann, z.B. durch Single-Sign-On. Um einen User also endgültig vom System ‚auszusperren‘ entfernen Sie bestenfalls alle zugeordneten Rollen, deaktivieren das Passwort und – am wichtigsten – setzen das „Gültig bis“-Datum auf einen Zeitpunkt in der Vergangenheit (siehe auch: SAP Benutzersperren verstehen)

Webinar: “Hysterisch” gewachsene Berechtigungen loswerden

In diesem Webinar “Hysterisch gewachsene Berechtigungen loswerden” erfahren Sie, wie SAP-Systeme bezüglich ihrer Rollen und Benutzer bereinigt werden können, um Altlasten loszuwerden.  
Jetzt kostenlos anmelden!

Empfohlene Vorgehensweise im Überblick

Mein Rezept im Umgang mit inaktiven Benutzern sieht wie folgt aus:

  1. Benutzer nach 3-monatiger Inaktivität sperren
  2. Dem Benutzer sämtliche Rollen und Profile entziehen
  3. Das Gültigkeitsdatum setzen

War das Hilfreich? Ich freue mich über Feedback, gerne per Mail oder hier unter diesem Beitrag als Kommentar. Vielen Dank!

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

12 Kommentare zu "Umgang mit inaktiven Benutzern"

Maxi
17. Dezember 2018 um 11:29 Antworten

Guten Tag,

geht das ganze nicht auch mit dem Report RSUSR_LOCK_USERS? Denn dieser unterstützt doch die Selektion und gleichzeitige Sperrung von inaktiven Benutzern oder sehe ich das falsch?

Tobias Harmes
21. Dezember 2018 um 11:24 Antworten

Hallo Maxi.
Ganau, diese Vorgehensweise haben wir gewählt, siehe Abschnitt unter “Benutzer sperren leicht gemacht”. Hier ggf. noch folgenden SAP Hinweis beachten:
2698638 – RSUSR_LOCK_USERS does not unlock users with incorrect logon attempts
https://launchpad.support.sap.com/#/notes/2698638
Viele Grüße
Tobias Harmes

Anonymous
15. Juli 2021 um 11:59 Antworten

Hallo,
macht es Sinn den Report RSUSR_LOCK_USERS als Job einzuplanen?
Wenn ich mich nicht irre, kann man nicht gleichzeitig einen Benutzer sperren und sein Gültigkeitsdatum abgrenzen. Man bräuchte dann 2 Job-Läufe:
1. Ende der Gültigkeit auf… setzen
2. Sperren der Benutzer
Ist dies korrekt?

Torsten Schmits
19. Juli 2021 um 13:35 Antworten

Hallo,

ja, es ist auf jeden Fall sinnvoll den Report RSUSR_LOCK_USERS als Job einzuplanen.
Es ist ebenfalls korrekt, dass in dem Fall zwei Läufe eingeplant werden müssen, da man pro Variante nur einen Radio Button auswählen kann.

Viel Erfolg und viele Grüße!

Stefan Zimmermann
13. Januar 2022 um 14:59 Antworten

Hallo zusammen, es gab einmal eine Möglichkeit im SAP HCM, Benutzer, die eine Stunde oder länger/ kürzer einen Stammsatz sperren, haben vom Pflege- auf den Anzeigemodus umzuschalten. Ist diese Möglichkeit bekannt? Vielen Dank und viele Grüße Stefan

Tobias Harmes
31. Januar 2022 um 16:50 Antworten

Hallo Stefan,
ich kenne nur den idle timeout in den Profilparametern (RDISP/GUI_AUTO_LOGOUT) – dann werden aber die User auch aus dem System geworfen.
Viele Grüße
Tobias

Filakovic
21. Februar 2022 um 09:07 Antworten

Hallo zusammen,
betreffend der DSGVO möchte hat unsere Firma alle inaktiven User gelöscht.
Nun habe ich schon festgestellt, das die SWI5 nicht mehr bei diesen genutzt werden kann.
Wer weiß noch andere Funktionalitäten, die dann nicht mehr genutzt werden können.
Welche kritischen Prozesse könnten ggf. sogar nicht mehr genutzt werden od. funktionieren nicht mehr. ?
Angeblich ist sogar im Gespräch alle Änderungsprotokolle der inaktiven User ebenfalls zu löschen. Dabei habe ich erheblich bedenken der Nachvollziehbarkeit und vor allem bei Audits geäußert. Wie seht ihr das?

Vielen Dank.
Gruß Mario

Tobias Harmes
1. März 2022 um 08:54 Antworten

Hallo Mario,
bei der DSGVO benötigt es ja immer Grundlagen für die Verarbeitung personenbezogener Daten. Und das sind eben auch die gesetzlichen Anforderungen für die Nachvollziehbarkeit. User löschen ist schon schwierig, aber Änderungsprotokolle (ich verstehe darunter Belegänderungen) innerhalb von 10 Jahren halte ich für kritisch.
Viele Grüße
Tobias

Yusuf
18. Juli 2022 um 07:01 Antworten

Hallo Tobias,
wie wird eingestellt, dass in der SU01 der Button “Benutzer löschen” aktiviert ist?
Welches Berechtigungsobjekt steckt dahinter?
Danke und viele Grüße
Yusuf

Tobias Harmes
22. August 2022 um 13:40 Antworten

Hi Yusuf, nicht immer steckt eine Berechtigung dahinter, könnte z.B. auch sein, dass das System teil einer zentralen Benutzerverwaltung (ZBV, CUA) ist. Ansonsten halte mal Ausschau im Berechtigungstrace nach S_USER_GRP mit ACTVT 06 (delete). VG Tobias

Simon
25. Januar 2023 um 11:37 Antworten

Hallo zusammen,
2 Fragen:
1. Gibt es einen ähnlichen Report auch in der ZBV, der dann quasi die Anmeldedaten global vergleicht und dann die Nutzer sperrt, sobald sie sich in allen Systemen x Tage nicht mehr eingeloggt haben, oder gibt es das nur für jedes einzelne Zielsystem lokal (dann könnte man die Selektion und Sperre ja auch einfach via SU10 durchführen…)

2. Gibt es auch einen Report, welcher die Löschung der Rollenzuordnungen (natürlich dann direkt von mehreren Nutzern) übernimmt?

Beste Grüße
Simon

Claudia Bolten
1. Februar 2023 um 10:17 Antworten

Hallo Simon,
hier die Antwort unseres Experten:

Zu 1: Eine übergreifende Auswertung ist mir im SAP-Standard nicht bekannt. Die SUIM bietet zwar systemübergreifende Auswertungen, jedoch nicht für das letzte Anmeldedatum.
Zu 2: Der Report RSUSR_LOCK_USERS kann nur Benutzer sperren bzw. deren Gültigkeit abgrenzen. Fürs Abgrenzen bzw. Entziehen der zugewiesenen Rollen ist mir im SAP-Standard kein vergleichbarer Report bekannt. Der Report PRGN_COMPRESS_TIMES kann nur abgelaufene Rollenzuweisungen entziehen, jedoch die Gültigkeit nicht begrenzen

Viele Grüße
Die RZ10-Redaktion

Kommentar verfassen


Weitere Beiträge:

SAP Berechtigungen

PFCGMASSVAL: Berechtigung DEBUG/REPLACE aus Rollen entfernen

Wie kann ich kritische SAP Berechtigungen wie S_DEVELOP mit DEBUG/REPLACE mithilfe der Transaktion PFCGMASSVAL massenhaft aus SAP Rollen entfernen.
1 #PFCG, #RedesignBerechtigungen
Artikel lesen
SAP Berechtigungen

SAP_ALL in 5 Minuten nur mit DEBUG/REPLACE Berechtigung

Ich bekomme oft Fragen dazu, wieso die Berechtigung DEBUG/REPLACE denn so schlimm sei. Um das zu veranschaulichen, habe ich ein Video erstellt.
2 #RedesignBerechtigungen, #SAP_ALL
Artikel lesen
SAP Berechtigungen

Redesign der SAP Berechtigungen - was sind die größten Risiken?

Ein Redesign der SAP Berechtigungen ist zum Scheitern verurteilt wenn Risiken nicht betrachtet werden. Eine Übersicht über die häufigsten Stolpersteine.
#leserfrage
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage