SAP Benutzertypen richtig verwenden

Die SAP Benutzertypen werden in der Praxis oft nicht korrekt verwendet. In diesem Artikel kläre ich die häufigsten Missverständnisse auf.

von Frank Wagner am 18.06.2019

Immer wieder begegnen mir beim Kunden einige Missverständnisse zu den Benutzertypen in SAP (klassische ABAP Benutzerverwaltung - su01).

Häufig trifft man folgendes Verständnis der Benutzertypen an:

  • Dialog: für Anwender
  • Batch / System: Für Hintergrundbenutzer
  • Service: für Internetbenutzer
  • Kommunikation: für RFC Benutzer
  • Referenz: als Kopiervorlage für neue Benutzer

Leider ist das so falsch. bzw. veraltet, denn bereits zu Release 4.6C hat SAP die Bedeutung der Benutzertypen verändert (s. Hinweis 327917).

Die Benutzertypen unterscheiden sich heute hauptsächlich hinsichtlich Ihres Verhaltens bei der Kennwortänderung und der Anmeldung am GUI:

 

Benutzertyp Anmeldung an Kennwortablauf Kennwortänderung SSO Tickets
Dialog GUI/RFC Ja Ja Ja
System RFC Nein Nein Nein
Service GUI/RFC Nein Nein Nein
Kommunikation RFC Ja Ja Ja
Referenz Keine n/a n/a n/a

 

RFC Kommunikation

Insbesondere die Benutzertypen System und Kommunikation werden häufig falsch verwendet.

Der Typ Kommunikation sollte nur verwendet werden wenn auch ein Endanwender - mit Möglichkeit zur Kennwortänderung - per RFC verbunden wird. Z. B. bei Tools wie dem BEx Analyser oder dem DVS Easy Doc. Management. Das setzt aber voraus, dass das RFC Tool auch in der Lage ist Kennwortänderungen durchzuführen. In der Regel trifft dies nur auf wenige RFC Werkzeuge zu.

Muss der Endanwender mindestens nur gelegentlich auch mit dem GUI arbeiten, ist es wiederum ein Dialogbenutzer.

Der Typ System muss hingegen bei allen anderen RFC Verbindungen verwendet werden - z. B. für den per RFC angebundenen Fax Server. Interessanterweise hat sich das auch bei der SAP noch nicht vollständig rumgesprochen: als ich vor einigen Jahren das erste Mal einen Solution Manager 7.0 aufgesetzt habe hat die SMSY noch alle Benutzer mit Kommunikation generiert - mittlerweile ist dieser Fehler korrigiert.

Sie merken diesen Fehler übrigens immer dann, wenn Sie die Kennwortregeln so ändern, dass diese ablaufen: plötzlich funktionieren die RFC Verbindungen nicht mehr, da die Kennwörter der Kommunikationsbenutzer ablaufen. Daher sollten Sie vor der Aktivierung des Kennwortablaufes die Benutzertypen auf korrekte Zuweisung überprüfen.

Service

Wie Sie der Liste entnehmen können, sind Service Benutzer in der Lage im GUI zu arbeiten und unterliegen nicht dem Kennwortablauf. D.h. sie eignen sich auch für die Verwendung als Notfall oder Admin Benutzer - wenn Sie Ihren Notfallbenutzer auf Service setzen, verhindern Sie, dass man in der Hektik eines Notfallzugriffs vergisst das abgelaufene Notfallbenutzerkennwort wieder in die Kennwortliste einzutragen.

Leider findet sich noch in vielen Leitfäden zur Systemsicherheit, das Service Benutzer für die Internet Kommunikation benötigt werden - in Systemaudits werden Servicebenutzer daher häufig bemängelt.

Eine weitere Falle bei den Service Benutzern sind SSO Anmeldetickets. Diese werden bei der passwortlosen Anmeldung zwischen SAP Systemen verwendet. Für Service Benutzer werden keine SSO Tickets generiert. Verwenden Sie also die Servicebenutzer nicht für alle Ihre Administratoren, da diese sonst auf ungewöhnliche Anmeldeprobleme stoßen können.

Referenz

Interessant ist die Nutzung eines Referenzbenutzers. In der Registerkarte "Rollen" im Benutzerprofil kann man diesen Eintragen. Dadurch "erbt" der Benutzer alle Berechtigungen des Referenzbenutzers.

Man sollte aber damit vorsichtig sein, da es schwerer wird die Berechtigungen eines Benutzers nachzuvollziehen. Hat man aber bereits die maximale Anzahl Profile für einen Benutzer erreicht kann man mit diesem "Trick" einen Teil der Rollenzuordnungen auf den Referenzbenutzer übertragen.

  • Autor:   Frank Wagner