SAP Security & GRC-Podcast – Technische Reihe (E10): Einrichtung und Analyse von STUSERTRACE
Sehen oder hören Sie sich den SAP Security & GRC-Podcast an – er unterstützt Sie auf Ihrem Weg zu einem effektiven Zugriffsrisikomanagement in SAP.
In dieser Folge befasst sich Ross Robertson eingehend mit dem SAP-Benutzerberechtigungs-Trace – STUSERTRACE –, einem der wertvollsten Werkzeuge im Werkzeugkasten eines Berechtigungsberaters, wenn es darum geht, zu verstehen, wie Benutzer das System langfristig tatsächlich nutzen.
InFolge 9 habenwir uns mit STAUTHTRACE befasst, dem Kurzzeit-Trace, der dafür entwickelt wurde, ein enges Zeitfenster von Aktivitäten zu erfassen. STUSERTRACE ist sein Langzeit-Pendant. Anstatt nur wenige Minuten zu laufen, ist es so konzipiert, dass es im Hintergrund läuft und Berechtigungsprüfungen kontinuierlich aufzeichnet – über Monate hinweg oder sogar ein Jahr lang. Der Trick, der dies ermöglicht, besteht darin, dassjede einzelne Berechtigungsprüfung pro Benutzer nur einmal protokolliert wird. Wenn ein Benutzer eine bestimmte Prüfung zum ersten Mal auslöst, wird diese protokolliert; jede Wiederholung genau dieser Prüfung wird ignoriert. Dadurch wird verhindert, dass die zugrunde liegende Tabelle übermäßig anwächst, und die Auswirkungen auf die Performance bleiben im Rahmen.
Ross Robertsongeht zunächst auf die Vorbereitungsarbeiten ein: STUSERTRACE ist vom Profilparameter„auth/authorization_trace“abhängig, der aktiviert werden muss, bevor der Trace ausgeführt werden kann. Er erläutert den Unterschied zwischen demdynamischen Profil(Einstellung über RZ11 / RZ10 – wird sofort wirksam, wird aber beim nächsten Serverneustart zurückgesetzt) und demstatischen Profil(Einstellung über RZ10 – gilt erst nach dem nächsten Neustart, bleibt dann aber bestehen) sowie warum man beide einstellt, damit die Ablaufverfolgung sofort aktiviert wird und Neustarts übersteht. Außerdem geht er auf die Parameterwerte ein –N(ausgeschaltet, Kernel-Standard),Y(aktiv ohne Filter) undF(erst aktiv, wenn ein Filter angewendet wird) – und erläutert, warum Soterion in der Regel F in Verbindung mit gezielten Ausschlüssen empfiehlt.
Diese Ausschlüsse sind wichtig. Da STUSERTRACE enorme Datenmengen aufzeichnen kann, empfiehlt das Team,autorisationsobjekte mit hohem Rauschpegelauszuschließen – typischerweise Objekte mit nicht eindeutigen, sich ständig ändernden Feldern wie Auftragsnummern, die bei praktisch jeder Transaktion einen neuen Datensatz schreiben, ohne einen Mehrwert für die Lizenzierung oder Sicherheit zu bieten – sowie„laute“ Benutzerwie System-, Hintergrundjob- oder „Firefighter“-Konten. Ein gut gewählter Ausschluss ermöglicht es, die restlichen 99 % des Systems sauber zu erfassen.
Von dort aus geht die Folge zur Analyse über. Ross Robertsonzeigt, wie man die Ergebnisse für einen einzelnen Benutzer auswertet (indem man jede von ihm ausgelöste, bestandene und fehlgeschlagene Berechtigungsprüfung abruft und den Benutzerpuffer auf eine fehlgeschlagene Prüfung untersucht – wie beispielsweise eine fehlgeschlagene Aktivität 02 auf S_USER_GRP in SU01), und demonstriert das „Unique-Once“-Verhalten live in SE16N. Anschließend wechselt er zu eineranwendungsorientierten Sichtweise: Er ruft alle Berechtigungsprüfungen ab, die für eine einzelne Transaktion (z. B. SU01) über alle Benutzer hinweg durchgeführt wurden. Dies bildet eine leistungsstarke Grundlage für die Erstellungvon SU24-Berechtigungsvoreinstellungenauf Basis der tatsächlichen Nutzung – und zwar entscheidend selektiv, sodass Sie die von Beratern oder Geschäftsanwendern beigesteuerten Werte einbeziehen können, während Sie diejenigen ausschließen, die von Entwicklern, dem Support oder durch „Feuerwehrmaßnahmen“ generiert wurden und die Ihre „Business-as-usual“-Rollen nicht beeinflussen sollten.
Die wichtigsten Erkenntnisse:
- STUSERTRACE ist ein Langzeit-Berechtigungsprotokoll, das für jeden Benutzer individuelle Berechtigungsprüfungen aufzeichnet – ideal für die Neugestaltung von Rollen und das laufende Berechtigungsmanagement.
- Jede eindeutige Überprüfung wird pro Benutzer nur einmal protokolliert, wodurch das Datenvolumen und die Auswirkungen auf die Leistung unter Kontrolle gehalten werden.
- Für die Aktivierung ist der Profilparameter„auth/authorization_trace“erforderlich, der sowohl im dynamischen (RZ11 / RZ10) als auch im statischen (RZ10) Profil gesetzt werden muss, damit die Aktivierung sofort wirksam wird und auch nach einem Neustart erhalten bleibt.
- Parameterwerte:N (aus), Y (aktiv, ohne Filter), F (aktiv mit Filter). Soterion empfiehlt die Einstellung „F“ mit gezielten Ausschlüssen.
- Schließen SieAutorisierungsobjekte mit hohem Durchsatz und geringem Wert(z. B. solche mit Auftragsnummernfeldern) sowie störende Benutzer (System, Hintergrundjob, Firefighter) aus, um die Leistung zu schützen.
- Die Ergebnisse können nach Benutzer, Anwendungstyp (Transaktion, Web Dynpro, Fiori-OData-Dienst, RFC), Berechtigungsobjekt, Prüfergebnis, CDS-Entität und Datumsbereich ausgewertet werden.
- Die Zeitstempel beziehen sich auf dieerste Ausführungeiner Prüfung, nicht auf die letzte.
- Ein besonders bemerkenswerter Anwendungsfall:Die Erstellung von SU24-Berechtigungsvoreinstellungen auf der Grundlage der tatsächlichen Nutzung, wobei beitragende Benutzer gezielt einbezogen oder ausgeschlossen werden.
Ganz gleich, ob Sie Rollen neu gestalten, die Standardberechtigungen bereinigen oder einfach nur versuchen zu verstehen, wie sich Ihre Benutzer im Laufe der Zeit tatsächlich verhalten – STUSERTRACE ist ein Langzeit-Trace, den jeder SAP-Berechtigungsexperte laufen haben sollte.
Verpassen Sie nicht die Einblicke von:
- Ross Robertson – Leitender SAP-Berechtigungsberater – Soterion



