SAP Security & GRC-Podcast – Technische Reihe (E09): Einrichtung und Analyse von STAUTHTRACE
Sehen Sie sich den SAP Security & GRC-Podcast an oder hören Sie ihn sich an – er unterstützt Sie auf Ihrem Weg zu einem effektiven Zugriffsrisikomanagement in SAP.
In dieser Folge befasst sich Ross Robertson eingehend mit einem der nützlichsten Werkzeuge im Werkzeugkasten jedes SAP-Berechtigungsadministrators – dem Trace zur kurzfristigen Überprüfung von Benutzerberechtigungen, besser bekannt unter seinem Transaktionscode STAUTHTRACE. Wenn Sie bisher auf den klassischen SU53-Bericht zurückgegriffen haben, um einen Berechtigungsfehler aufzuspüren, ist dieser Trace genau das Upgrade, auf das Sie gewartet haben.
Im Gegensatz zu SU53, das Ihnen nur die letzte fehlgeschlagene Prüfung anzeigt, erfasst STAUTHTRACE sowohl erfolgreiche als auch fehlgeschlagene Berechtigungsprüfungen in Echtzeit, während sich Benutzer durch das System bewegen – über Transaktionen, Fiori-OData-Dienste, RFC-Funktionsbausteine und CDS-View-Zugriffsprüfungen hinweg. Es läuft auf einem rollierenden Speicherpuffer, hat daher nur vernachlässigbare Auswirkungen auf die Systemleistung und kann im täglichen Berechtigungsmanagement problemlos langfristig aktiv bleiben.
Ross Robertson führt durch den gesamten Arbeitsablauf: das Aktivieren der Ablaufverfolgung (systemweit oder auf einem bestimmten Anwendungsserver), das Anwenden von Auswertungsbeschränkungen für einen einzelnen Benutzer sowie das Filtern nach Datum und Uhrzeit, Anwendungstyp, Anwendungsname, Berechtigungsobjekt und Prüfergebnis. Anschließend widmet sich die Folge zwei praktischen Beispielen zur Fehlerbehebung – der Diagnose eines fehlgeschlagenen Versuchs zur Benutzeränderung in SU01 (ein Fehler bei Aktivität 02 in S_USER_GRP) und einer blockierten Tabellendarstellung in SE16 (eine fehlgeschlagene Prüfung der Tabelle EKKO) –, bevor gezeigt wird, wie man den Berechtigungspuffer eines Benutzers mit SU56 überprüft.
Die wichtigsten Erkenntnisse:
- STAUTHTRACE erfasst sowohl bestandene als auch fehlgeschlagene Berechtigungsprüfungen in Echtzeit– nicht nur den letzten Fehler wie bei SU53.
- Die Ablaufverfolgung kannsystemweit oder auf einen bestimmten Anwendungsserver beschränkt durchgeführt werden, und die Ergebnisse können für einen einzelnen Benutzer ausgewertet werden.
- Da es einenrollierenden Speicherpufferverwendet (in der Regel etwa eine Stunde Verlaufsdaten), hat es nur minimale Auswirkungen auf das System und kann langfristig aktiv bleiben.
- Die Ergebnisse können nach Benutzer, Datum/Uhrzeit, Anwendungstyp (Transaktion, Fiori-OData-Service, RFC), Anwendungsname, Berechtigungsobjekt und Prüfergebnisgefiltertwerden.
- Die Trace-Oberflächen zeigendie Entitätsprüfungen in der CDS-Ansichtan – dies gewinnt zunehmend an Bedeutung, da immer mehr Zugriffslogik in S/4HANA verlagert wird.
- Über SU56 kannderBenutzerpuffer eingesehen werden, um genau zu überprüfen, welche Berechtigungswerte ein Benutzer für ein bestimmtes Objekt besitzt.
- Die Ergebnisselassen sichzur Dokumentation und Analyseproblemlos in eine Tabellenkalkulation oder ein Word-Dokument exportieren.
Ganz gleich, ob Sie ein aktuelles Benutzerproblem beheben oder sich ein klareres Bild davon verschaffen möchten, wie sich Berechtigungsprüfungen in Ihrer Umgebung tatsächlich verhalten – STAUTHTRACE ist ein grundlegendes Werkzeug, das jeder SAP-Berechtigungsexperte beherrschen sollte.
Verpassen Sie nicht die Einblicke von:
- Ross Robertson – Leitender SAP-Berechtigungsberater – Soterion



