In diesem Artikel zeige ich Dir mit welcher Transaktion man einfach und schnell den Berechtigungstrace in SAP ERP bzw. SAP S/4HANA ausführt. Das angezeigte Ergebnis liefert eine gute Übersicht über die involvierten Berechtigungen. In diesem Zuge können bestehende Rollen und Profile im Berechtigungsmanagement (Transaktion PFCG) erweitert werden. Zudem hinaus ist der Berechtigungstrace für die Pflege von Berechtigungsvorschlagswerten (Transaktionen SU22 und SU24) nützlich.
Insgesamt gibt es folgende drei Traces zu Berechtigungsprüfungen:
- Berechtigungstrace (Transaktion STUSOBTRACE)
- Systemtrace (Transaktion ST01 oder STAUTHTRACE)
- Benutzertrace (Transaktion STUSERTRACE)
Im Artikel „Die wichtigsten Transaktionen für Berechtigungen in SAP ERP“ findest Du außerdem die wichtigsten Transaktionen für Berechtigungen in SAP ERP bzw. SAP S/4HANA. Die wichtigsten SAP-Basis-Transaktionen findest Du hier.
Berechtigungstrace
Transaktion: STUSOBTRACE
Mit der Transaktion STUSOBTRACE wertet man den Berechtigungstrace im SAP-System aus. Hierbei handelt es sich um einen Trace, der über einen längeren Zeitraum in mehreren Mandanten und benutzerunabhängig die Berechtigungsdaten sammelt und in einer Datenbank (Tabelle USOB_AUTHVALTRC) ablegt.
Der Berechtigungstrace ist aber nicht standardmäßig aktiv, sondern muss explizit über den Profilparameter „auth/authorization_trace“ aktiviert werden. In der Transaktion RZ11 kann man einfach und schnell überprüfen, ob der Parameter bereits gesetzt ist. In der Transaktion RZ10 setzt man den Profilparameter. Generell kann man den Profilparameter „auth/authorization_trace“ mit folgenden drei Werten belegen:
- Y (Berchtigungstrace ist aktiv)
- N (Berchtigungstrace ist inaktiv)
- F (Berechtigungstrace ist aktiv mit Filter – Siehe Hinweis 1854561)
Standardmäßig ist der Profilparameter in SAP-Systemen (Profilparameter transport/systemtype = SAP) aktiv und in Kundensystemen (Profilparameter transport/systemtype = CUSTOMER) inaktiv.
Die ausführliche Erklärung erhält man im SAP-Hinweis „543164 – Bedeutung der Werte von auth/authorization_trace“.
Systemtrace
Transaktion: ST01 oder STAUTHTRACE
Außerdem gibt es für eine Auswertung noch einen Systemtrace. Anders als der Berechtigungstrace ist ein Systemtrace hauptsächlich für kurze Zeiträume ausgelegt.
Meine bevorzuge Variante den Systemtrace aufzurufen ist über die Transaktion STAUTHTRACE. Hier kann man direkt die Auswertung filtern und erhält eine bessere Auswertungsdarstellung. Über die einzelnen Buttons kann man direkt den Trace ein- oder ausschalten und das Ergebnis des Trace anzeigen lassen.
Zum anderen kann man den Systemtrace über die Transaktion ST01 aufrufen. Hierbei gibt es die Möglichkeit, einzelne Filter für die Prüfungen einzustellen. Zudem hinaus kann man über den Button „Trace aus“ oder die F8-Taste den Trade ausschalten und über den dann angezeigten Button „Trace an“ oder die F7-Taste den Trace wieder anschalten. Klickt man auf den Button „Auswertung“ oder die F2-Taste kann man sich die Auswertung anzeigen lassen.
Benutzertrace
Transaktion: STUSERTRACE
Mit der Transaktion STUSERTRACE ruft man den Benutzertrace auf. Im Grunde genommen ist das der Berechtigungstrace (Transaktion STUSOBTRACE), der auf einzelne Benutzer filtert. Man kann also genau den Berechtigungstrace aufrufen und den Filter auf einen Benutzer einstellen.
Analog zum Berechtigungstrace muss der Profilparameter „auth/auth_user_trace“ in der Parameterverwaltung (Transaktion RZ10) entsprechend gesetzt werden.
Bei einem Benutzertrace handelt es sich deshalb ebenfalls um einen Trace über einen längeren Zeitraum. Währung der Trace-Ausführung wird die Berechtigungsprüfung für jeden Benutzer genau einmal aufgezeichnet.
Sofortige Berechtigungsprüfung – SU53
Mit der Transaktion SU53 kann man sofort für einen einzelnen SAP-Benutzer die fehlenden Berechtigungen anzeigen lassen. Das ist dann von Vorteil, wenn einzelne Hintergrundverarbeitungen oder Tätigkeiten nicht korrekt ausgeführt werden und die Vermutung nahe liegt, dass die Ursache an fehlenden Berechtigungen liegt. So kann man die Fehlerursache schneller eingrenzen.
Über den Autor
Mein Name ist Andreas Geiger und ich bin ein erfahrener Senior SAP Berater. Mit mehr als 10 Jahren Berufserfahrung habe ich mehrere SAP-Projekte erfolgreich abgeschlossen und umfangreiche Kenntnisse in verschiedenen Bereichen wie SAP FI, SAP MM und ABAP erworben. Nun möchte ich mein Wissen mit Dir teilen, um Dir einen Mehrwert zu bieten und Dich bei Deiner täglichen Arbeit mit dem SAP-System zu unterstützen.
ERP UP unterstützen
Wenn Du mit ERP UP zufrieden bist, kannst Du mich gerne unterstützen. Dabei gibt es unzählige Möglichkeiten, wie Du mich einfach und schnell unterstützen kannst. Wie Du genau ERP UP unterstützen kannst, erfährst Du hier. Vielen Dank.
