BW Berechtigungen Infotag SAP Security Group CH 19.03.2014 Angelo Minutella CEO / Senior HANA/BI Solution Consultant winnovation business intelligence & performance management
winnovation Quick Facts Form Aktiengesellschaft Gründung 28.3.2006 Aktienkapital 200 000 CHF (100% im Besitz des Mgt) Ort Baar (Zug, Schweiz) Mitarbeiter 14 (*) Management Angelo Minutella, CEO, Partner Martin Effinger, Partner Michael Hutter, Partner Marketing, Offshoring Innovation, Technologie Key Account, Operations HANA BW BO Dienstleistungen Consulting (Strategie, Realisierung, Support) Knowhowtransfer (Training, Workshops) Technologie (HANA, BWA, BW, BOE) Offshore Entwicklung und Support (*) Winnovation AG ist ein SAP Services Partner mit validated Expertise in den Kategorien Business Intelligence, Data Warehousing und SAP HANA In-Memory-Computing für die Schweiz. winnovation 2
winnovation Business Intelligence Framework BI Applikationen BI Self Service Tools winnovation 3
Weitere BI Maps www.winnovation.ch Das wichtigste Auf einer A3 Seite! BI Framework BW on HANA BI Planung SAP Lumira HANA Framework BW 7.x Upgrade BI Competence Center 10-Days-BI-Package winnovation 4
Agenda Praktische Einführung Einstiegsbeispiel Technische Daten Berechtigung für die Query-Ausführung anlegen Berechtigung auf Bewegungsdaten anlegen Ausführung und Fehleranalyse Leitsätze der Analyseberechtigungen Möglichkeiten der Analyseberechtigungen Variablen gefüllt aus Berechtigungen Mehrdimensionale Berechtigungen Exkurs: Variante mit Aggregationsberechtigung Exkurs: Variante mit Customer-Exit-Variable in Query Exkurs: Variante mit Customer-Exit-Variable in Analyseberechtigung (Xiting Automatic Role Builder Solution) Massengenerierung von Analyseberechtigungen Berechtigungsmodell Herausforderungen an das Berechtigungsmodell Rollenkonzept Fragenkatalog zu Analyseberechtigungen winnovation 5
Einstiegsbeispiel Ein Benutzer möchte auf einen bestimmten InfoProvider eine bestimmte Query ausführen. Merkmale Kennzahlen Allgemein muss der Benutzer 3 Typen von Berechtigungen zugeteilt werden: Berechtigung für den Zugriff auf die Kombination aus InfoProvider, Aktivität und Gültigkeit der Berechtigung zum Ausführungszeitpunkt Berechtigung für die Ausführung der Query: dies wird über die Berechtigungsobjekte S_RS_COMP und S_RS_COMP1 geregelt Berechtigung für die Bewegungsdaten (Kennzahlenwerte), die durch die Kombination der Stammdaten selektiert wird Schlägt eine dieser drei Stufen bei der Prüfung fehl, werden die nachfolgenden Prüfungen nicht mehr ausgeführt. + + M.werte Multiprovider Sales Cube winnovation 6
Technische Daten InfoProvider H74 Typ Techn. Name Beschreibung Transaktion Rolle DEMO_ROLLE_AUTH_BASIS Basis-Rolle Analyseberechtigungen PFCG Benutzer BWAUTH01 BWAUTH02 BWAUTH03 BWAUTH04 Berechtigung DEMAUTH01 DEMAUTH02 DEMAUTH03 DEMAUTH04 Query Variable DPKST_M05_Q0001 DPKST_M05_Q0002 DPKST_M05_Q0003 DPKST_M05_Q0004 DPKST_M05_Q0005 DPKST_M05_Q0006 DKST_ACO_S_DMKST_01 DKST_MCO_P_DMKST_01 DKST_ANO_M_DMKOA_01 DKST_XNO_M_DMKOA_01 Demo Benutzer 01, Kennwort: Sommer14 Demo Benutzer 02, Kennwort: Sommer14 Demo Benutzer 03, Kennwort: Sommer14 Demo Benutzer 04, Kennwort: Sommer14 Demo Berechtigung 01 Demo Berechtigung 02 Demo Berechtigung 03 Demo Berechtigung 04 DPKST_M05 mögliche Sichten Demo Berechtigungstest 01 ohne Einschränkung Demo Berechtigungstest 02 mit Einschränkung Demo Berechtigungstest 03 mit Berechtigungsvariable Demo Berechtigungstest 04 Aggregationsberechtigung Demo Berechtigungstest 05 User-Exit Kostenstelle Berechtigung Kostenstelle Einzelwert Kostenart Berechtigung Hierarchieknoten Kostenart Berechtigung Hierarchieknoten Exit SU01 RSECADMIN RSRT Query Designer winnovation 7
Berechtigung für die Query-Ausführung anlegen Rolle anlegen Transaktion für Rollenpflege PFCG Technischer Name DEMO_ROLLE_AUTH_BASIS, Button Einzelrolle Beschreibung Basis-Rolle für Analyseberechtigungen Speichern Registerkarte Berechtigungen, Icon für Berechtigungsdaten ändern anklicken Auswahl von Rollen ignorieren, die als Vorlagen dienen können Manuelle Eingabe wählen und folgende Berechtigungsobjekte eintragen S_TCODE für Transaktionsberechtigungen S_RS_COMP (Query-Komponenten) und S_RS_COMP1 (Erweiterung auf nicht selber definierte Queries) für Query- Ausführung winnovation 8
Berechtigung für die Query-Ausführung anlegen Berechtigungen pflegen Wichtige Transaktionen für das Testen von Berechtigungen RSRT SU53 Berechtigungen, um alle Queries auszuführen Aktivität = 16 Ausführen Alle anderen Felder: Gesamtberechtigung Speichern und Profil generieren Beachte: Die Information über die Berechtigung eines Benutzer steht in den Profilen, nicht in der Rolle! winnovation 9
Berechtigung für die Query-Ausführung anlegen Rolle zuweisen und speichern Transaktion SU01 Demo Benutzer BWAUTH01 Registerkarte Rollen, Rolle DEMO_ROLLE_AUTH_BASIS zuweisen winnovation 10
Berechtigung für die Query-Ausführung anlegen Berechtigung für Transaktionen mit SU53 testen Logon als BWAUTH01 ins H74 Transaktion PFCG testen Transaktion SU53 testen: Die fehlgeschlagene Berechtigungsprüfung kann mit SU53 analysiertwerden: es werden die getesteten Berechtigungskombinationen angezeigt. Hier: Berechtigungsobjekt S_TCODE und Berechtigungsfeld PFCG. Achtung: gilt nicht für Analyseberechtigungen! winnovation 11
Berechtigung auf Bewegungsdaten anlegen Mögliche Sichten auf einen InfoProvider Query DPKST_M05 mögliche Sichten, DPKST_M05_Q0001, H74 ausführen Z.B. Selektion nach Kostenstelle und Kostenarten-Hierarchie winnovation 12
Berechtigung auf Bewegungsdaten anlegen Merkmale berechtigungsrelevant machen Transaktion InfoObjekt-Pflege RSD1 Merkmale DMKST Kostenstelle und DMKOA Kostenart in der Registerkarte Business Explorer Berechtigungsrelevant anklicken winnovation 13
Berechtigung auf Bewegungsdaten anlegen Berechtigung in der Berechtigungspflege anlegen Transaktion für Berechtigungspflege RSECADMIN Registerkarte Berechtigungen, Button Einzelpflege Berechtigung DEMAUTH01, Demo Berechtigung 01 winnovation 14
Berechtigung auf Bewegungsdaten anlegen Spezialmerkmale: Gültiger Zugriff mit einer bestimmten Aktivität auf den InfoProvider zum Ausführungszeitpunkt der Query Button Spezialmerkmale einfügen (Werte sind voreingestellt) Gültigkeit: Merkmal 0TCAVALID Gültigkeit x = immer gültig Aktivität: Merkmal 0TCAACTVT Aktivität hat Wert 03 = Lesen winnovation 15
Berechtigung auf Bewegungsdaten anlegen InfoProvider: Merkmal 0TCAIPROV Gesamtberechtigung bei InfoProvider ändern auf DPKST_M05 Beachte: Spezialmerkmale 0TCAIPROV für den InfoProvider, 0TCAACTVT für die Aktivität und 0TCAVALID für die zeitliche Gültigkeit werden IMMER GEPRÜFT (auch wenn sie nicht berechtigungsrelevant eingeschaltet sind!) winnovation 16
Berechtigung auf Bewegungsdaten anlegen Datenberechtigungen für berechtigungsrelevante Merkmale vergeben: Der Benutzer ist für die Kostenstelle Beschaffung berechtigt und darf die Kennzahlenwerte aller Kostenarten ohne Personalkosten (Berechtigung auf Hierarchieknoten) sehen. Button InfoCube-Berechtigungen, InfoProvider = DPKST_M05 Doppelklick auf DMKST und Werteberechtigung auf Merkmalswert Kostenstelle EQ 2300 pflegen winnovation 17
Berechtigung auf Bewegungsdaten anlegen DMKOA Kostenart pflegen Registerkarte Hierarchieberechtigungen Hierarchie auswählen: DMKOA_HIER Knoten auswählen: alle Knoten ohne Personalkosten Typ der Hierarchie = 1 Teilbaum unterhalb Knoten winnovation 18
Berechtigung auf Bewegungsdaten anlegen Die fertige Datenberechtigung prüfen und aktivieren winnovation 19
Berechtigung auf Bewegungsdaten anlegen Zuordnung zu Benutzer Transaktion RSECADMIN, Registerkarte Benutzer, Button Einzelzuordnung Benutzer = BWAUTH01, Berechtigung = DEMAUTH01 Beachte: In diesem Beispiel wird die einfachere Zuordnung von BW gewählt. Es gibt auch die Möglichkeit, die Analyseberechtigung über eine Rolle mit dem Standardberechtigungsobjekt S_RS_AUTH dem Benutzer zuzuweisen ( rollenbasiert ). Diese wird dann in der Transaktion RSECADMIN auch angezeigt, kann aber nicht bearbeitet werden (siehe 2. Registerkarte). winnovation 20
Berechtigung testen und Fehleranalyse Beispiel-Query mit Kostenstelle und Kostenart im Aufriss (ohne Einschränkung auf diese Merkmale) Query Demo Berechtigungstest 01, DPKST_M05_Q0002, H74 winnovation 21
Berechtigung testen und Fehleranalyse Ausführung und Fehleranalyse Transaktion RSECADMIN, Registerkarte Analyse, Button Ausführen als Benutzer BWAUTH01, Transaktion RSRT Button Transaktion starten Query Demo Berechtigungstest 01, DPKST_M05_Q0002, H74 ausführen Query-Ergebnis: keine ausreichende Berechtigung -> Protokoll der Berechtigungsprüfung winnovation 22
Berechtigung testen und Fehleranalyse Analyse Protokoll der Berechtigungsprüfung InfoProvider Prüfung Relevante Merkmale (ohne Gültigkeit da volle Berechtigung) winnovation 23
Berechtigung testen und Fehleranalyse Hauptprüfung: berechtigungsrelevante Datenselektionen werden gegen vorhandene Berechtigungen geprüft und das Ergebnis geliefert, ob sie ganz, teilweise oder gar nicht berechtigt sind. winnovation 24
Berechtigung testen und Fehleranalyse Ergebnis der Berechtigungsprüfung: Die Query selektiert alle Kostenstellen und Kostenarten, berechtigt sind jedoch nur die Kostenstellen 2300 und die Kostenarten-Knoten Bewirtschaftungs-, Laufende Sach- und Kalk. Kosten Beachte: Analyseberechtigung filtert die berechtigten Daten nicht! winnovation 25
Berechtigung testen und Fehleranalyse Korrektur Beispiel-Query und Analyse Query Demo Berechtigungstest 02, DPKST_M05_Q0003, H74: Einschränkung auf Kostenstelle 2300 und berechtigte Kostenarten-Knoten Ausführen als.. (Transaktion RSUDO) BWAUTH01, Query-Ergebnis nach Korrektur: winnovation 26
Berechtigung testen und Fehleranalyse Protokoll mit erfolgreicher Berechtigungsprüfung winnovation 27
Leitsätze der Analyseberechtigungen Analyseberechtigungen filtern nicht automatisch auf die berechtigten Daten, sondern umgekehrt alle selektierten Daten müssen berechtigt sein. Die Selektion muss vollständig berechtigt sein. Alles, was selektiert wird, muss durch eine oder mehrere Berechtigungen stückweise abgedeckt werden. Ist auch nur eine einzige Kombination nicht berechtigt, wird die gesamte Selektion als nicht berechtigt betrachtet. winnovation 28
Möglichkeiten der Analyseberechtigungen Variablen gefüllt aus Berechtigungen Problem: Selektion auf bestimmte Einzelwerte -> nicht praktikabel, wenn eine Query durch viele Benutzer mit unterschiedlichen Berechtigungen ausgeführt wird. Statt fixer Filter werden im Query Designer Variablen verwendet, die den Verarbeitungstyp Verarbeitung durch Berechtigung haben: Wirken als Filter auf berechtigungsrelevante Merkmale und schränken die Query-Selektion auf die berechtigten Werte des Benutzers ein Testen im RSECADMIN mit Query Demo Berechtigungstest 03, DPKST_M05_Q0004, H74 winnovation 29
Möglichkeiten der Analyseberechtigungen Mehrdimensionale Berechtigungen Beispiel: Der Benutzer BWMAUTH02 ist wie folgt berechtigt: Neue Analyseberechtigung DEMAUTH02 für Kostenstelle Kantine und Kostenartengruppe Primär- und Personalkosten: Zuordnung Berechtigung DEMAUTH01 und DEMAUTH02 zu Benutzer BWAUTH02 winnovation 30
Möglichkeiten der Analyseberechtigungen Ausführen als.. (Transaktion RSUDO) BWAUTH02, Query Demo Berechtigungstest 03, DPKST_M05_Q0004, H74 Problem Berechtigungsvariablen werden mit den berechtigten Werten des zugehörigen Merkmals, für das sie definiert sind, gefüllt. Berechtigungsvariable für Kostenstelle wird mit 1200 und 2300 gefüllt, Berechtigungsvariable für Hierarchieknoten Kostenarten: alle Hierarchieknoten. Es werden alle möglichen Kombinationen selektiert, nicht nur die erlaubten: Lösungsvarianten Eingabevariablen nutzen: eine für Kostenstelle und eine für Kostenartengruppe (Voraussetzung: der Benutzer muss wissen, welche Merkmalskombinationen er sehen darf) Customer-Exit-Variable in der Query (siehe Exkurs) Customer-Exit-Variable in Analyseberechtigung (Xiting Automatic Role Builder Solution) winnovation 31
Möglichkeiten der Analyseberechtigungen Exkurs: Variante mit Aggregationsberechtigung Query Demo Berechtigungstest 04, DPKST_M05_Q0005, H74, Beachte: Aggregationsmerkmale sind NICHT IM ZEILENAUFRIESS sondern in den Freien Merkmalen Ausführen als.. (Transaktion RSUDO) BWAUTH03 Aufriss nach Kostenarten: Aufriss nach Kostenstellen mit Filter auf Kostenstelle 1200: winnovation 32
Möglichkeiten der Analyseberechtigungen Exkurs: Variante mit Customer-Exit-Variable in der Query Benutzer gibt eine Kostenstelle ein und die dazu berechtigten Kostenartengruppen werden automatisch im Hintergrund gezogen. Eingabevariable für Kostenstelle, Customer-Exit-Variable für Kostenartengruppe in Query Datenquelle: Z-Tabelle ZDEMO_KOA_AUTH (oder DSO) Code zum Auslesen der Kostenartengruppe: Transaktion SE37, EXIT_SAPLRRS0_001, include ZXRSRU01 ändern Benutzer BWAUTH04, Analyseberechtigung DEMAUTH01 und DEMAUTH02 Ausführen als BWAUTH04, Query Demo Berechtigungstest 05, DPKST_M05_Q0006, H74 winnovation 33
Möglichkeiten der Analyseberechtigungen Exkurs: Variante mit Customer-Exit-Variable in Analyseberechtigung (Xiting Automatic Role Builder Solution) Quelle: Xiting_RoleBuilder_Implementation_Guide_v731 SP8.pdf, Using the Analysis Authorization Generators The Analysis Authorizations are based on the authorizations which are assigned to users in source ERP systems By using a variable of type Customer exit in restricted characteristics, this mode reads the ERP authorization profile data of the user via RFC while executing a query and returns elements to which current user in BW is authorized. winnovation 34
Möglichkeiten der Analyseberechtigungen Massengenerierung von Analyseberechtigungen Basis sind spezielle DataStore-Objekte (DSO), die mit den notwendigen Informationen zur Generierung gefüllt werden, die anschliessend manuell oder als eingeplanter Job zur automatischen Erzeugung herangezogen werden Transaktion RSECADMIN, Registerkarte Berechtigungen, Button Generierung Beispielstruktur für DSO für die Werteberechtigungen winnovation 35
Herausforderungen an das Berechtigungsmodell Konzeption und Realisierung des Berechtigungsmodell sind Teil des BW-Projekts Berechtigungsmodell richtet sich nach dem Datenmodell und dem Benutzerkreis Vorgaben für Berechtigungen kommen meist aus der Fachabteilung Nicht zu komplex (Datenmodell!) Wartungsfreundlich Umsetzung multidimensionaler Berechtigungen Performance Flexibel für etwaige Erweiterungen (organisatorisch, rechtlich) Beachte: Je komplexer das Datenmodell und Benutzergruppen, desto umfangreicher das Berechtigungsmodell. winnovation 36
Rollenkonzept Sammel Rolle Basis Rolle Funktion Rolle Daten Rolle Menü Rolle S_TCODE Standard Transaktionen (RRMX, RSRT, SU53 etc.) Allgemeingültige Analyseberechtigung (Gültigkeit) S_RS_COMP S_RS_COMP1 InfoArea InfoProvider Query Query View Eingeschränkte KZ berechnete KZ Struktur Variable Parameter S_RS_AUTH Analyseberechtigungen (RSECADMIN) Hierarchieknoten Einzelwerte Diese Rolle wird nicht benötigt, wenn die Benutzerzuordnung direkt in der Berechtigungspflege (RSECADMIN) gemacht wird Keine Berechtigungen, nur Menü Ordner Query Web Template winnovation 37
Fragenkatalog für Analyseberechtigungen Berechtigungsrelevante Merkmale Wie viele Benutzer werden die Applikation nutzen und sind deren Berechtigungen sehr unterschiedlich? Enthält das Merkmal viele Stammdaten und wie stark ändern sich diese oder werden sich verändern? Hat das Merkmal Hierarchien? Unterliegen auch diese Änderungen? Wie verhält es sich mit Zeitabhängigkeiten? Wird das Merkmal in anderen Datenmodellen verwendet? Gib es Alternative z.b. Navigationsattribut. Ziel: Merkmale finden, die sich nicht häufig ändern und kein hohes Mass an Komplexität bei den Ausprägungen haben Analyseberechtigung den Benutzern zuordnen Direkte Zuordnung über die Transaktion RSECADMIN oder Generierung Vergabe der Berechtigungen erfolgt am Ort der Erstellung Massengenerierung möglich Zentrale Anzeige der Analyseberechtigungen Weniger Anzahl Rollen Zuweisung mit dem Standardberechtigungsobjekt S_RS_AUTH über das SAP-Basis-Rollenwerk Bereits bestehende Rollenkonzepte mit Daten- und Standardberechtigungen können weiterverwendet werden Zentrale Pflege aller Berechtigungen (Daten und Standard) winnovation 38
winnovation 39
Einladung BI Event - 8. April 2014, GDI in Rüschlikon 09:00 SAP Analytics Solutions - Strategie & Ausblick BI mit SAP BusinessObjects & SAP HANA: Agil, Intuitiv und Predictive 09:30 Business Analytics Framework - WHAT really RUNS! Die komplette SAP Business Analytics Übersicht SAP HANA - BW - BO 10:30 Reporting und Analyse in Echtzeit Neue Funktionen und Möglichkeiten mit BW 7.4 on HANA 11:15 Business Planning in Action Das BW 7.4 / BPC HANA Planungsframework 13:15 What's next: Self Service Business Analytics SAP Lumira: Desktop und Cloud Lösungen 13:45 Business Analytics für die Hosentasche BW Queries auf dem iphone und ipad 14:45 The right mix: Onsite, Nearshore & Offshore Kundenvortrag: F.Hoffmann-La Roche AG, Diagnostics Division, Frank Geier, Head of Operations & Backoffice BI, Global & North America 15:15 Management Information System im Spitalbereich Kundenvortrag: Inselspital Bern, Martin Pfund, Leiter SCAA 15:45 Global SAP BW-BO Implementation Customer presentation (english): Rieter Management AG, Michael Griggs, Head of Corporate Reporting Systems Anmeldung bis am 25.3.14 : www.winnovation.ch Kundenvorträge winnovation 40
Vielen Dank! Angelo Minutella CEO / Senior HANA/BI Solution Consultant winnovation business intelligence & performance management