Skip to Content
Personal Insights

Angepasster Lebenszyklus für SAP S-User IDs (Stand: Juni 2020)

This blog is also available in English.

ZUSAMMENFASSUNG: Ab dem 2. Juni 2020 werden S-User IDs, die zum Aufruf bestimmter SAP-Webseiten benötigt sind, eine Gültigkeitsdauer haben. Diese können Administratoren jedoch komfortabel verlängern. Nicht betroffen sind Super, Cloud und Benutzeradministratoren sowie Partner Security Manager und Technische Kommunikationsbenutzer.
Natürlich steht es dem Benutzeradministrator weiterhin frei, einen S-User jederzeit einfach zu löschen.

 

Um Support-Applikationen im SAP ONE Support Launchpad zu nutzen, Software im SAP Store zu kaufen oder Schulungen zu buchen, brauchen Kunden bekanntlich eine Benutzerkennung, landläufig “S-User” genannt. Für den Neukunden erstellt SAP eine erste solche ID. Anschließend jedoch geht die Pflege von Benutzern komplett an den Kunden über.

Diese S-User waren in der Vergangenheit unbeschränkt lange gültig und wurden nur manuell gelöscht. Im Alltagsgeschäft kann es da schon einmal untergehen, dass ein Kollege die Firma verlässt, den S-User aber mitnimmt. Womit prinzipiell Zugriffe auf firmeninterne Informationen (Meldungen, Lizenzen, Systeme u.v.m.) weiterhin möglich wären.

Um den Benutzeradministratoren unserer Kunden ein wenig unter die Arme zu greifen und solche Risiken zu minimieren, werden S-User IDs ab dem 2. Juni 2020 mit einem „Verfallsdatum“ versehen sein. Greift der Administrator – trotz entsprechender vorzeitiger Benachrichtigungen und ausreichender Vorlaufzeit – nicht ein, wird eine ID erst deaktiviert und anschließend sogar gelöscht werden.

Nicht betroffen sind Super, Cloud und Benutzeradministratoren sowie Partner Security Manager und Technische Kommunikationsbenutzer.

Ganz konkret zeigt sich die Situation wie folgt:

  • Ein nagelneuer S-User wird per Voreinstellung 24 Monate Gültigkeit besitzen.
    Bei der Benutzer-Anforderung kann aber auch eine kürzere Lebensdauer eingestellt werden. Dies kann eine interessante Option sein, wenn z.B. im Rahmen eines Projekts ein Enddatum bekannt ist.
  • Die kürzest mögliche Gültigkeitsdauer ist 1 Tag.
  • In den letzten 90 Tagen werden der Inhaber der ID und die Administratoren regelmäßig darauf hingewiesen werden, dass der S-User verlängert werden muss.

Fall 1 (der Normalfall):

  • Einer der Administratoren verlängert die Gültigkeitsdauer der S-User ID. Diesmal ist die Voreinstellung 5 Jahre, die dem S-User mit einem einzigen Klick zugestanden werden.
    Optional kann auch hier ein früheres Verfallsdatum definiert werden. Und natürlich steht es den Administratoren frei, S-User auch schon vorzeitig zu verlängern, ehe die ersten Benachrichtigungen eintreffen.

Fall 2:

  • Ignorieren die Administratoren diesen Aufruf, so ändert sich der Status des S-Users am Ende des „Lebenszyklus“ in Abgelaufen. Das bedeutet, dass dieser S-User zwar nicht mehr genutzt werden, ein Administrator ihn aber „wiederbeleben“ kann.
  • Erst wenn weitere 90 Tage ohne Eingreifen eines Administrators verstreichen, wird der S-User tatsächlich gelöscht. Danach ist er 12 Monate lang in der Liste aller gelöschten S-User aufgeführt. Er kann nun allerdings nicht mehr reaktiviert werden, nicht einmal von SAP.

Fall 2 wird nur eintreten, wenn die Administratoren ganz bewusst die Benachrichtigungen ignorieren. I.d.R. ist der Grund, dass der S-User tatsächlich nicht mehr benötigt wird. Selbstverständlich kann die Benachrichtigung auch als Aufruf gesehen werden, den S-User sofort und manuell zu löschen, statt auf das automatische Löschen zu warten.

Alle oben genannten Aktionen werden in der Support Benutzer Management-Applikation des SAP ONE Support Launchpad durchgeführt.

Benachrichtigungen

An jedem Ersten eines Monats erhalten Administratoren eine Benachrichtigung darüber, welche S-User IDs innerhalb der folgenden 90 Tage ablaufen werden. Die betroffenen S-User selbst werden 30, 14 und 2 Tage vor Ablaufdatum informiert.

Gültigkeitsdauer für existierende S-User

Wie erwähnt bekommen neue S-User standardmäßig 24 Monate Gültigkeit zugestanden. Was geschieht aber mit S-User-Kennungen, die am Stichtag der Umstellung auf den angepassten Prozess schon existieren?

Auch deren Gültigkeit ist initial auf 24 Monate begrenzt. Der Stichtag, an dem diese Zählung beginnt, ist das Datum der letzten Anmeldung an einer SAP-Webseite. (Für S-User, die sich noch nie angemeldet haben, ist dieser Stichtag das Anlagedatum.)

Es könnte nun passieren, dass sehr lange inaktive S-User am Tag der Umstellung, dem 2. Juni 2020, direkt in den Status Abgelaufen versetzt oder gar gelöscht werden. Um dies zu verhindern, hat SAP das frühestmögliche Ablaufdatum auf den 20. Oktober 2020 gesetzt. Eine kleine Rechnung, 24 Monate in der Benutzerhistorie zurückgehen, zeigt, dass dies S-User betrifft, die sich zuletzt vor dem 20. Oktober 2018 angemeldet hatten (oder vor diesem Stichtag generiert worden waren, sich aber nie angemeldet hatten). Sie werden ab dem 20. September 2020 Benachrichtigungen erhalten. Ihre Administratoren werden schon vorher informiert werden: am 1. August, 1. September und 1. Oktober 2020.

(Klicken zum Vergrößern)

/
1 Comment
You must be Logged on to comment or reply to a post.