Skip to Content
Personal Insights

Angepasster Lebenszyklus für SAP Support User (S-User) IDs

This blog is also available in English.

ZUSAMMENFASSUNG: Etwa ab Mitte des Jahres werden S-User IDs, die zum Aufruf bestimmter SAP-Webseiten benötigt sind, eine Gültigkeitsdauer haben. Diese können Administratoren jedoch komfortabel verlängern.

Um Support-Applikationen im SAP ONE Support Launchpad zu nutzen, Software im SAP Store zu kaufen oder Schulungen zu buchen, brauchen Kunden bekanntlich eine Benutzerkennung, landläufig “S-User” genannt. Für den Neukunden erstellt SAP eine erste solche ID. Anschließend jedoch geht die Pflege von Benutzern komplett an den Kunden über.

Diese S-User waren in der Vergangenheit unbeschränkt lange gültig und wurden nur manuell gelöscht. Im Alltagsgeschäft kann es da schon einmal untergehen, dass ein Kollege die Firma verlässt, den S-User aber mitnimmt. Womit prinzipiell Zugriffe auf firmeninterne Informationen (Meldungen, Lizenzen, Systeme u.v.m.) weiterhin möglich wären.

Um den Benutzeradministratoren unserer Kunden ein wenig unter die Arme zu greifen und solche Risiken zu minimieren, arbeitet SAP derzeit an einem angepassten Prozess: S-User IDs werden künftig mit einem „Verfallsdatum“ versehen sein. Greift der Administrator – trotz entsprechender vorzeitiger Benachrichtigungen und ausreichender Vorlaufzeit – nicht ein, wird eine ID erst deaktiviert und anschließend sogar gelöscht werden.

Ganz konkret zeigt sich die Situation wie folgt:

  • Ein nagelneuer S-User wird per Voreinstellung 24 Monate Gültigkeit besitzen.
    Bei der Benutzer-Anforderung kann aber auch eine kürzere Lebensdauer eingestellt werden. Dies kann eine interessante Option sein, wenn z.B. im Rahmen eines Projekts ein Enddatum bekannt ist.
  • In den letzten 3 Monaten werden der Inhaber der ID und die Administratoren regelmäßig darauf hingewiesen werden, dass der S-User verlängert werden muss.

Fall 1 (der Normalfall):

  • Einer der Administratoren verlängert die Gültigkeitsdauer der S-User ID. Diesmal ist die Voreinstellung 60 Monate, 5 Jahre, die dem S-User mit einem einzigen Klick zugestanden werden.
    Optional kann auch hier ein früheres Verfallsdatum definiert werden. Und natürlich steht es den Administratoren frei, S-User auch schon vorzeitig zu verlängern, ehe die ersten Benachrichtigungen eintreffen.

Fall 2:

  • Ignorieren die Administratoren diesen Aufruf, so ändert sich der Status des S-Users am Ende des „Lebenszyklus“ in Abgelaufen. Das bedeutet, dass dieser S-User zwar nicht mehr genutzt werden, ein Administrator ihn aber „wiederbeleben“ kann.
  • Erst wenn weitere 3 Monate ohne Eingreifen eines Administrators verstreichen, wird der S-User tatsächlich gelöscht. Mit den üblichen Konsequenzen: dass er z.B. 12 Monate lang in der Liste aller gelöschten S-User aufgeführt wird und nur von SAP (per Meldung) reaktiviert werden kann.

Fall 2 wird nur eintreten, wenn die Administratoren ganz bewusst die Benachrichtigungen ignorieren. I.d.R. ist der Grund, dass der S-User tatsächlich nicht mehr benötigt wird. Selbstverständlich kann die Benachrichtigung auch als Aufruf gesehen werden, den S-User sofort und manuell zu löschen, statt auf das automatische Löschen zu warten.

Alle oben genannten Aktionen werden in der Support Benutzer Management-Applikation des SAP ONE Support Launchpad durchgeführt.

Gültigkeitsdauer für existierende S-User

Wie erwähnt bekommen neue S-User standardmäßig 24 Monate Gültigkeit zugestanden. Was geschieht aber mit S-User-Kennungen, die am Stichtag der Umstellung auf den angepassten Prozess schon existieren?

Auch deren Gültigkeit ist initial auf 24 Monate begrenzt. Der Stichtag, an dem diese Zählung beginnt, ist das Datum der letzten Anmeldung an einer SAP-Webseite. (Für S-User, die sich noch nie angemeldet haben, ist dieser Stichtag das Anlagedatum.)

In Ausnahmefällen, nämlich dann, wenn der S-User sehr, sehr lange inaktiv war (21 Monate oder länger), könnte es passieren, dass er direkt am Tag der Umstellung in den Status Abgelaufen versetzt oder gar gelöscht würde. Um dies zu verhindern, werden solchen S-Users 3 zusätzliche Monate eingeräumt, ehe sie ablaufen. Die Administratoren solcher S-User erhalten also direkt vom Tage der Umstellung an Benachrichtigungen über die anstehende Deaktivierung. Danach werden sie 3 Monate lang im Status Abgelaufen gelistet, und erst dann tatsächlich gelöscht.

Be the first to leave a comment
You must be Logged on to comment or reply to a post.