20140319 bw berechtigungen sap security group ch · business intelligence &performance...
TRANSCRIPT
business intelligence & performance management
winnovation
BW Berechtigungen
Infotag SAP Security Group CH19.03.2014
Angelo MinutellaCEO / Senior HANA/BI Solution Consultant
© winnovation 2
winnovation Quick Facts
Form Aktiengesellschaft
Gründung 28.3.2006
Aktienkapital 200‘000 CHF (100% im Besitz des Mgt)
Ort Baar (Zug, Schweiz)
Mitarbeiter 14
Management
Angelo Minutella, CEO, Partner Marketing, Offshoring
Martin Effinger, Partner Innovation, Technologie
Michael Hutter, Partner Key Account, Operations
HANA – BW – BO Dienstleistungen
Consulting (Strategie, Realisierung, Support)
Knowhowtransfer (Training, Workshops)
Technologie (HANA, BWA, BW, BOE)
Offshore Entwicklung und Support
(*) Winnovation AG ist ein SAP Services Partner mit validated Expertise in den Kategorien Business Intel ligence, Data Warehousing und SAP HANA In-Memory-Co mputing für die Schweiz.
(*)
© winnovation 3
winnovation Business Intelligence Framework
BI
Self
Serv
ice T
ools B
I Applik
atio
nen
© winnovation 4
Weitere BI Maps – www.winnovation.ch
Das wichtigsteAuf einer A3 Seite!
� BI Framework
� BW on HANA
� BI Planung
� SAP Lumira
� HANA Framework
� BW 7.x Upgrade
� BI Competence Center
� 10-Days-BI-Package
� …
© winnovation 5
Agenda
Praktische Einführung� Einstiegsbeispiel� Technische Daten� Berechtigung für die Query-Ausführung anlegen� Berechtigung auf Bewegungsdaten anlegen� Ausführung und Fehleranalyse� Leitsätze der Analyseberechtigungen
Möglichkeiten der Analyseberechtigungen� Variablen gefüllt aus Berechtigungen� Mehrdimensionale Berechtigungen
� Exkurs: Variante mit Aggregationsberechtigung� Exkurs: Variante mit Customer-Exit-Variable in Query� Exkurs: Variante mit Customer-Exit-Variable in Analyseberechtigung
(Xiting Automatic Role Builder Solution)
� Massengenerierung von Analyseberechtigungen
Berechtigungsmodell� Herausforderungen an das Berechtigungsmodell� Rollenkonzept� Fragenkatalog zu Analyseberechtigungen
© winnovation 6
Einstiegsbeispiel
Ein Benutzer möchte auf einen bestimmten InfoProvider eine bestimmte Query ausführen.
Allgemein muss der Benutzer 3 Typen von Berechtigungen zugeteilt werden:
� Berechtigung für den Zugriff auf die Kombination aus InfoProvider, Aktivität und Gültigkeit der Berechtigungzum Ausführungszeitpunkt
� Berechtigung für die Ausführung der Query: dies wird über die Berechtigungsobjekte S_RS_COMP und S_RS_COMP1 geregelt
� Berechtigung für die Bewegungsdaten (Kennzahlenwerte), die durch die Kombination der Stammdaten selektiert wird
Schlägt eine dieser drei Stufen bei der Prüfung fehl, werden die nachfolgenden Prüfungen nicht mehr ausgeführt.
M.werte
Kennzahlen
Merkm
ale
SalesCube
Multi-provider
+
+
© winnovation 7
Technische Daten
Typ Techn. Name Beschreibung Transaktion
Rolle DEMO_ROLLE_AUTH_BASIS Basis-Rolle Analyseberechtigungen PFCG
Benutzer BWAUTH01BWAUTH02BWAUTH03BWAUTH04
Demo Benutzer 01, Kennwort: Sommer14Demo Benutzer 02, Kennwort: Sommer14Demo Benutzer 03, Kennwort: Sommer14Demo Benutzer 04, Kennwort: Sommer14
SU01
Berechtigung DEMAUTH01DEMAUTH02DEMAUTH03DEMAUTH04
Demo Berechtigung 01Demo Berechtigung 02Demo Berechtigung 03Demo Berechtigung 04
RSECADMIN
Query DPKST_M05_Q0001DPKST_M05_Q0002DPKST_M05_Q0003DPKST_M05_Q0004DPKST_M05_Q0005DPKST_M05_Q0006
DPKST_M05 mögliche SichtenDemo Berechtigungstest 01 ohne EinschränkungDemo Berechtigungstest 02 mit EinschränkungDemo Berechtigungstest 03 mit BerechtigungsvariableDemo Berechtigungstest 04 AggregationsberechtigungDemo Berechtigungstest 05 User-Exit
RSRT
Variable DKST_ACO_S_DMKST_01DKST_MCO_P_DMKST_01DKST_ANO_M_DMKOA_01DKST_XNO_M_DMKOA_01
Kostenstelle Berechtigung Kostenstelle EinzelwertKostenart Berechtigung HierarchieknotenKostenart Berechtigung Hierarchieknoten Exit
Query Designer
InfoProvider� H74
© winnovation 8
Berechtigung für die Query-Ausführung anlegen
Rolle anlegen� Transaktion für Rollenpflege PFCG� Technischer Name DEMO_ROLLE_AUTH_BASIS, Button Einzelrolle� Beschreibung „Basis-Rolle für Analyseberechtigungen“ � Speichern
� Registerkarte Berechtigungen, Icon für Berechtigungsdaten ändern anklicken� Auswahl von Rollen ignorieren, die als Vorlagen dienen können� Manuelle Eingabe wählen und folgende Berechtigungsobjekte eintragen
• S_TCODE für Transaktionsberechtigungen• S_RS_COMP (Query-Komponenten) und S_RS_COMP1 (Erweiterung auf nicht selber definierte Queries) für Query-
Ausführung
© winnovation 9
Berechtigung für die Query-Ausführung anlegen
Berechtigungen pflegen� Wichtige Transaktionen für das Testen von Berechtigungen
• RSRT• SU53
� Berechtigungen, um alle Queries auszuführen• Aktivität = 16 Ausführen• Alle anderen Felder: Gesamtberechtigung
� Speichern und Profil generieren
Beachte: Die Information über die Berechtigung eines Benutzer steht in den Profilen, nicht in der Rolle!
© winnovation 10
Berechtigung für die Query-Ausführung anlegen
Rolle zuweisen und speichern� Transaktion SU01� Demo Benutzer BWAUTH01� Registerkarte Rollen, Rolle DEMO_ROLLE_AUTH_BASIS zuweisen
© winnovation 11
Berechtigung für die Query-Ausführung anlegen
Berechtigung für Transaktionen mit SU53 testen� Logon als BWAUTH01 ins H74� Transaktion PFCG testen
� Transaktion SU53 testen:
Die fehlgeschlagene Berechtigungsprüfung kann mit SU53 analysiert werden: es werden die getesteten Berechtigungskombinationen angezeigt. Hier: Berechtigungsobjekt S_TCODE und Berechtigungsfeld PFCG.Achtung: gilt nicht für Analyseberechtigungen!
© winnovation 12
Berechtigung auf Bewegungsdaten anlegen
Mögliche Sichten auf einen InfoProvider� Query DPKST_M05 mögliche Sichten, DPKST_M05_Q0001, H74 ausführen� Z.B. Selektion nach Kostenstelle und Kostenarten-Hierarchie
© winnovation 13
Berechtigung auf Bewegungsdaten anlegen
Merkmale berechtigungsrelevant machen� Transaktion InfoObjekt-Pflege RSD1� Merkmale DMKST Kostenstelle und DMKOA Kostenart in der Registerkarte Business Explorer „Berechtigungsrelevant“ anklicken
© winnovation 14
Berechtigung auf Bewegungsdaten anlegen
Berechtigung in der Berechtigungspflege anlegen� Transaktion für Berechtigungspflege RSECADMIN� Registerkarte Berechtigungen, Button Einzelpflege
� Berechtigung DEMAUTH01, Demo Berechtigung 01
© winnovation 15
Berechtigung auf Bewegungsdaten anlegen
Spezialmerkmale: � Gültiger Zugriff mit einer bestimmten Aktivität auf den InfoProvider zum Ausführungszeitpunkt der Query� Button Spezialmerkmale einfügen (Werte sind voreingestellt)
Gültigkeit: Merkmal 0TCAVALID� Gültigkeit x = „immer gültig“
Aktivität: Merkmal 0TCAACTVT� Aktivität hat Wert „03“ = Lesen
© winnovation 16
Berechtigung auf Bewegungsdaten anlegen
InfoProvider: Merkmal 0TCAIPROV� Gesamtberechtigung bei InfoProvider ändern auf „DPKST_M05“
Beachte: Spezialmerkmale 0TCAIPROV für den InfoProvider, 0TCAACTVT für die Aktivität und 0TCAVALID für die zeitliche Gültigkeit werden IMMER GEPRÜFT (auch wenn sie nicht berechtigungsrelevant eingeschaltet sind!)
© winnovation 17
Berechtigung auf Bewegungsdaten anlegen
Datenberechtigungen für berechtigungsrelevante Merkmale vergeben: Der Benutzer ist für die Kostenstelle Beschaffung berechtigt und darf die Kennzahlenwerte aller Kostenarten ohne Personalkosten (Berechtigung auf Hierarchieknoten) sehen.
� Button InfoCube-Berechtigungen, InfoProvider = DPKST_M05
� Doppelklick auf DMKST und Werteberechtigung auf Merkmalswert Kostenstelle „EQ 2300“ pflegen
© winnovation 18
Berechtigung auf Bewegungsdaten anlegen
� DMKOA Kostenart pflegen� Registerkarte Hierarchieberechtigungen� Hierarchie auswählen: DMKOA_HIER� Knoten auswählen: alle Knoten ohne Personalkosten� Typ der Hierarchie = 1 Teilbaum unterhalb Knoten
© winnovation 19
Berechtigung auf Bewegungsdaten anlegen
� Die fertige Datenberechtigung prüfen und aktivieren
© winnovation 20
Berechtigung auf Bewegungsdaten anlegen
Zuordnung zu Benutzer � Transaktion RSECADMIN, Registerkarte Benutzer, Button Einzelzuordnung� Benutzer = BWAUTH01, Berechtigung = DEMAUTH01
Beachte: In diesem Beispiel wird die einfachere Zuordnung von BW gewählt. Es gibt auch die Möglichkeit, die Analyseberechtigung über eine Rolle mit dem Standardberechtigungsobjekt S_RS_AUTH dem Benutzer zuzuweisen („rollenbasiert“). Diese wird dann in der Transaktion RSECADMIN auch angezeigt, kann aber nicht bearbeitet werden (siehe 2. Registerkarte).
© winnovation 21
Berechtigung testen und Fehleranalyse
Beispiel-Query mit Kostenstelle und Kostenart im Aufriss (ohne Einschränkung auf diese Merkmale)� Query Demo Berechtigungstest 01, DPKST_M05_Q0002, H74
© winnovation 22
Berechtigung testen und Fehleranalyse
Ausführung und Fehleranalyse� Transaktion RSECADMIN, Registerkarte Analyse, Button Ausführen als…� Benutzer BWAUTH01, Transaktion RSRT
� Button Transaktion starten� Query Demo Berechtigungstest 01, DPKST_M05_Q0002, H74 ausführen
� Query-Ergebnis: „keine ausreichende Berechtigung“-> Protokoll der Berechtigungsprüfung
© winnovation 23
Berechtigung testen und Fehleranalyse
Analyse Protokoll der Berechtigungsprüfung
� InfoProvider Prüfung
� Relevante Merkmale (ohne Gültigkeit da volle Berechtigung)
© winnovation 24
Berechtigung testen und Fehleranalyse
� Hauptprüfung: berechtigungsrelevante Datenselektionen werden gegen vorhandene Berechtigungen geprüft und das Ergebnis geliefert, ob sie ganz, teilweise oder gar nicht berechtigt sind.
© winnovation 25
Berechtigung testen und Fehleranalyse
� Ergebnis der Berechtigungsprüfung: Die Query selektiert alle Kostenstellen und Kostenarten, berechtigt sind jedoch nur die Kostenstellen 2300 und die Kostenarten-Knoten Bewirtschaftungs-, Laufende Sach- und Kalk. Kosten
Beachte: Analyseberechtigung filtert die berechtigten Daten nicht!
© winnovation 26
Berechtigung testen und Fehleranalyse
Korrektur Beispiel-Query und Analyse� Query Demo Berechtigungstest 02, DPKST_M05_Q0003, H74:
Einschränkung auf Kostenstelle 2300 und berechtigte Kostenarten-Knoten
� Ausführen als.. (Transaktion RSUDO) BWAUTH01, Query-Ergebnis nach Korrektur:
© winnovation 27
Berechtigung testen und Fehleranalyse
� Protokoll mit erfolgreicher Berechtigungsprüfung
© winnovation 28
Leitsätze der Analyseberechtigungen
� Analyseberechtigungen filtern nicht automatisch auf die berechtigten Daten, sondern umgekehrt alle selektierten Daten müssen berechtigt sein.
� Die Selektion muss vollständig berechtigt sein. Alles, was selektiert wird, muss durch eine oder mehrere Berechtigungen stückweise abgedeckt werden. Ist auch nur eine einzige Kombination nicht berechtigt, wird die gesamte Selektion als nicht berechtigt betrachtet.
© winnovation 29
Möglichkeiten der Analyseberechtigungen
Variablen gefüllt aus Berechtigungen� Problem: Selektion auf bestimmte Einzelwerte -> nicht praktikabel, wenn eine Query durch viele Benutzer mit unterschiedlichen
Berechtigungen ausgeführt wird.� Statt fixer Filter werden im Query Designer Variablen verwendet, die den Verarbeitungstyp „Verarbeitung durch Berechtigung“
haben:
� Wirken als Filter auf berechtigungsrelevante Merkmale und schränken die Query-Selektion auf die berechtigten Werte des Benutzers ein
� Testen im RSECADMIN mit Query Demo Berechtigungstest 03,DPKST_M05_Q0004, H74
© winnovation 30
Möglichkeiten der Analyseberechtigungen
Mehrdimensionale Berechtigungen� Beispiel: Der Benutzer BWMAUTH02 ist wie folgt berechtigt:
� Neue Analyseberechtigung DEMAUTH02 für Kostenstelle Kantine und Kostenartengruppe Primär- und Personalkosten:
� Zuordnung Berechtigung DEMAUTH01 und DEMAUTH02 zu Benutzer BWAUTH02
© winnovation 31
Möglichkeiten der Analyseberechtigungen
� Ausführen als.. (Transaktion RSUDO) BWAUTH02, Query Demo Berechtigungstest 03, DPKST_M05_Q0004, H74
Problem� Berechtigungsvariablen werden mit den berechtigten Werten des zugehörigen Merkmals, für das sie definiert sind, gefüllt.
Berechtigungsvariable für Kostenstelle wird mit „1200“ und „2300“ gefüllt, Berechtigungsvariable für Hierarchieknoten Kostenarten: alle Hierarchieknoten. Es werden alle möglichen Kombinationen selektiert, nicht nur die erlaubten:
Lösungsvarianten� Eingabevariablen nutzen: eine für Kostenstelle und eine für Kostenartengruppe
(Voraussetzung: der Benutzer muss wissen, welche Merkmalskombinationen er sehen darf)� Customer-Exit-Variable in der Query (siehe Exkurs)� Customer-Exit-Variable in Analyseberechtigung (Xiting Automatic Role Builder Solution)
© winnovation 32
Möglichkeiten der Analyseberechtigungen
Exkurs: Variante mit Aggregationsberechtigung
� Query Demo Berechtigungstest 04, DPKST_M05_Q0005, H74, Beachte: Aggregationsmerkmale sind NICHT IM ZEILENAUFRIESSsondern in den Freien Merkmalen
� Ausführen als.. (Transaktion RSUDO) BWAUTH03
� Aufriss nach Kostenarten:
� Aufriss nach Kostenstellen
� mit Filter auf Kostenstelle 1200:
© winnovation 33
Möglichkeiten der Analyseberechtigungen
Exkurs: Variante mit Customer-Exit-Variable in der Query� Benutzer gibt eine Kostenstelle ein und die dazu berechtigten Kostenartengruppen werden automatisch im Hintergrund
gezogen.� Eingabevariable für Kostenstelle, Customer-Exit-Variable für Kostenartengruppe in Query� Datenquelle: Z-Tabelle ZDEMO_KOA_AUTH (oder DSO)� Code zum Auslesen der Kostenartengruppe: Transaktion SE37, EXIT_SAPLRRS0_001, include ZXRSRU01 ändern� Benutzer BWAUTH04, Analyseberechtigung DEMAUTH01 und DEMAUTH02� Ausführen als… BWAUTH04, Query Demo Berechtigungstest 05, DPKST_M05_Q0006, H74
© winnovation 34
Möglichkeiten der Analyseberechtigungen
Exkurs: Variante mit Customer-Exit-Variable in Analyseberechtigung (Xiting Automatic Role Builder Solution)� Quelle: Xiting_RoleBuilder_Implementation_Guide_v731 SP8.pdf, „Using the Analysis Authorization Generators”� The Analysis Authorizations are based on the authorizations which are assigned to users in source ERP systems� By using a variable of type “Customer exit” in restricted characteristics, this mode reads the ERP authorization profile data of the
user via RFC while executing a query and returns elements to which current user in BW is authorized.
© winnovation 35
Möglichkeiten der Analyseberechtigungen
Massengenerierung von Analyseberechtigungen� Basis sind spezielle DataStore-Objekte (DSO), die mit den notwendigen Informationen zur Generierung gefüllt werden, die
anschliessend manuell oder als eingeplanter Job zur automatischen Erzeugung herangezogen werden� Transaktion RSECADMIN, Registerkarte Berechtigungen, Button Generierung
� Beispielstruktur für DSO für die Werteberechtigungen
© winnovation 36
Herausforderungen an das Berechtigungsmodell
� Konzeption und Realisierung des Berechtigungsmodell sind Teil des BW-Projekts� Berechtigungsmodell richtet sich nach dem Datenmodell und dem Benutzerkreis� Vorgaben für Berechtigungen kommen meist aus der Fachabteilung� Nicht zu komplex (Datenmodell!)� Wartungsfreundlich� Umsetzung multidimensionaler Berechtigungen� Performance� Flexibel für etwaige Erweiterungen (organisatorisch, rechtlich)
Beachte: Je komplexer das Datenmodell und Benutzergruppen, desto umfangreicher das Berechtigungsmodell.
© winnovation 37
Rollenkonzept
S_RS_COMPS_RS_COMP1• InfoArea• InfoProvider• Query• Query View• Eingeschränkte KZ• berechnete KZ• Struktur• Variable• Parameter
Diese Rolle wird nicht benötigt, wenn die Benutzerzuordnungdirekt in der Berechtigungspflege(RSECADMIN) gemacht wird
S_RS_AUTH� Analyseberechtigungen
(RSECADMIN) � Hierarchieknoten
Einzelwerte
FunktionRolle
DatenRolle
MenüRolle
BasisRolle
Keine Berechtigungen, nur Menü� Ordner � Query� Web Template
S_TCODE� Standard Transaktionen
(RRMX, RSRT, SU53 etc.)� Allgemeingültige
Analyseberechtigung (Gültigkeit)
SammelRolle
© winnovation 38
Fragenkatalog für Analyseberechtigungen
Berechtigungsrelevante Merkmale� Wie viele Benutzer werden die Applikation nutzen und sind deren Berechtigungen sehr unterschiedlich?� Enthält das Merkmal viele Stammdaten und wie stark ändern sich diese oder werden sich verändern?� Hat das Merkmal Hierarchien? Unterliegen auch diese Änderungen? Wie verhält es sich mit Zeitabhängigkeiten?� Wird das Merkmal in anderen Datenmodellen verwendet?� Gib es Alternative z.B. Navigationsattribut.Ziel: Merkmale finden, die sich nicht häufig ändern und kein hohes Mass an Komplexität bei den Ausprägungen haben
Analyseberechtigung den Benutzern zuordnen� Direkte Zuordnung über die Transaktion RSECADMIN oder Generierung
• Vergabe der Berechtigungen erfolgt am Ort der Erstellung• Massengenerierung möglich• Zentrale Anzeige der Analyseberechtigungen• Weniger Anzahl Rollen
� Zuweisung mit dem Standardberechtigungsobjekt S_RS_AUTH über das SAP-Basis-Rollenwerk• Bereits bestehende Rollenkonzepte mit Daten- und Standardberechtigungen können weiterverwendet werden• Zentrale Pflege aller Berechtigungen (Daten und Standard)
© winnovation 39
© winnovation 40
Einladung BI Event - 8. April 2014, GDI in Rüschlikon
09:00 SAP Analytics Solutions - Strategie & AusblickBI mit SAP BusinessObjects & SAP HANA: Agil, Intuitiv und Predictive
09:30 Business Analytics Framework - WHAT really RUNS!Die komplette SAP Business Analytics ÜbersichtSAP HANA - BW - BO
10:30 Reporting und Analyse in EchtzeitNeue Funktionen und Möglichkeiten mit BW 7.4 on HANA
11:15 Business Planning in ActionDas BW 7.4 / BPC HANA Planungsframework
13:15 What's next: Self Service Business AnalyticsSAP Lumira: Desktop und Cloud Lösungen
13:45 Business Analytics für die HosentascheBW Queries auf dem iPhone und iPad
14:45 The right mix: Onsite, Nearshore & OffshoreKundenvortrag: F.Hoffmann-La Roche AG, Diagnostics Division, Frank Geier,Head of Operations & Backoffice BI, Global & North America
15:15 Management Information System im SpitalbereichKundenvortrag: Inselspital Bern, Martin Pfund, Leiter SCAA
15:45 Global SAP BW-BO ImplementationCustomer presentation (english): Rieter Management AG,Michael Griggs, Head of Corporate Reporting Systems
KundenvorträgeAnmeldung bis am 25.3.14 : www.winnovation.ch
business intelligence & performance management
winnovation
Vielen Dank !
Angelo MinutellaCEO / Senior HANA/BI Solution Consultant