business intelligence & performance management

winnovation

BW Berechtigungen

Infotag SAP Security Group CH19.03.2014

Angelo MinutellaCEO / Senior HANA/BI Solution Consultant

© winnovation 2

winnovation Quick Facts

Form Aktiengesellschaft

Gründung 28.3.2006

Aktienkapital 200‘000 CHF (100% im Besitz des Mgt)

Ort Baar (Zug, Schweiz)

Mitarbeiter 14

Management

Angelo Minutella, CEO, Partner Marketing, Offshoring

Martin Effinger, Partner Innovation, Technologie

Michael Hutter, Partner Key Account, Operations

HANA – BW – BO Dienstleistungen

Consulting (Strategie, Realisierung, Support)

Knowhowtransfer (Training, Workshops)

Technologie (HANA, BWA, BW, BOE)

Offshore Entwicklung und Support

(*) Winnovation AG ist ein SAP Services Partner mit validated Expertise in den Kategorien Business Intel ligence, Data Warehousing und SAP HANA In-Memory-Co mputing für die Schweiz.

(*)

© winnovation 3

winnovation Business Intelligence Framework

BI

Self

Serv

ice T

ools B

I Applik

atio

nen

© winnovation 4

Weitere BI Maps – www.winnovation.ch

Das wichtigsteAuf einer A3 Seite!

� BI Framework

� BW on HANA

� BI Planung

� SAP Lumira

� HANA Framework

� BW 7.x Upgrade

� BI Competence Center

� 10-Days-BI-Package

� …

© winnovation 5

Agenda

Praktische Einführung� Einstiegsbeispiel� Technische Daten� Berechtigung für die Query-Ausführung anlegen� Berechtigung auf Bewegungsdaten anlegen� Ausführung und Fehleranalyse� Leitsätze der Analyseberechtigungen

Möglichkeiten der Analyseberechtigungen� Variablen gefüllt aus Berechtigungen� Mehrdimensionale Berechtigungen

� Exkurs: Variante mit Aggregationsberechtigung� Exkurs: Variante mit Customer-Exit-Variable in Query� Exkurs: Variante mit Customer-Exit-Variable in Analyseberechtigung

(Xiting Automatic Role Builder Solution)

� Massengenerierung von Analyseberechtigungen

Berechtigungsmodell� Herausforderungen an das Berechtigungsmodell� Rollenkonzept� Fragenkatalog zu Analyseberechtigungen

© winnovation 6

Einstiegsbeispiel

Ein Benutzer möchte auf einen bestimmten InfoProvider eine bestimmte Query ausführen.

Allgemein muss der Benutzer 3 Typen von Berechtigungen zugeteilt werden:

� Berechtigung für den Zugriff auf die Kombination aus InfoProvider, Aktivität und Gültigkeit der Berechtigungzum Ausführungszeitpunkt

� Berechtigung für die Ausführung der Query: dies wird über die Berechtigungsobjekte S_RS_COMP und S_RS_COMP1 geregelt

� Berechtigung für die Bewegungsdaten (Kennzahlenwerte), die durch die Kombination der Stammdaten selektiert wird

Schlägt eine dieser drei Stufen bei der Prüfung fehl, werden die nachfolgenden Prüfungen nicht mehr ausgeführt.

M.werte

Kennzahlen

Merkm

ale

SalesCube

Multi-provider

+

+

© winnovation 7

Technische Daten

Typ Techn. Name Beschreibung Transaktion

Rolle DEMO_ROLLE_AUTH_BASIS Basis-Rolle Analyseberechtigungen PFCG

Benutzer BWAUTH01BWAUTH02BWAUTH03BWAUTH04

Demo Benutzer 01, Kennwort: Sommer14Demo Benutzer 02, Kennwort: Sommer14Demo Benutzer 03, Kennwort: Sommer14Demo Benutzer 04, Kennwort: Sommer14

SU01

Berechtigung DEMAUTH01DEMAUTH02DEMAUTH03DEMAUTH04

Demo Berechtigung 01Demo Berechtigung 02Demo Berechtigung 03Demo Berechtigung 04

RSECADMIN

Query DPKST_M05_Q0001DPKST_M05_Q0002DPKST_M05_Q0003DPKST_M05_Q0004DPKST_M05_Q0005DPKST_M05_Q0006

DPKST_M05 mögliche SichtenDemo Berechtigungstest 01 ohne EinschränkungDemo Berechtigungstest 02 mit EinschränkungDemo Berechtigungstest 03 mit BerechtigungsvariableDemo Berechtigungstest 04 AggregationsberechtigungDemo Berechtigungstest 05 User-Exit

RSRT

Variable DKST_ACO_S_DMKST_01DKST_MCO_P_DMKST_01DKST_ANO_M_DMKOA_01DKST_XNO_M_DMKOA_01

Kostenstelle Berechtigung Kostenstelle EinzelwertKostenart Berechtigung HierarchieknotenKostenart Berechtigung Hierarchieknoten Exit

Query Designer

InfoProvider� H74

© winnovation 8

Berechtigung für die Query-Ausführung anlegen

Rolle anlegen� Transaktion für Rollenpflege PFCG� Technischer Name DEMO_ROLLE_AUTH_BASIS, Button Einzelrolle� Beschreibung „Basis-Rolle für Analyseberechtigungen“ � Speichern

� Registerkarte Berechtigungen, Icon für Berechtigungsdaten ändern anklicken� Auswahl von Rollen ignorieren, die als Vorlagen dienen können� Manuelle Eingabe wählen und folgende Berechtigungsobjekte eintragen

• S_TCODE für Transaktionsberechtigungen• S_RS_COMP (Query-Komponenten) und S_RS_COMP1 (Erweiterung auf nicht selber definierte Queries) für Query-

Ausführung

© winnovation 9

Berechtigung für die Query-Ausführung anlegen

Berechtigungen pflegen� Wichtige Transaktionen für das Testen von Berechtigungen

• RSRT• SU53

� Berechtigungen, um alle Queries auszuführen• Aktivität = 16 Ausführen• Alle anderen Felder: Gesamtberechtigung

� Speichern und Profil generieren

Beachte: Die Information über die Berechtigung eines Benutzer steht in den Profilen, nicht in der Rolle!

© winnovation 10

Berechtigung für die Query-Ausführung anlegen

Rolle zuweisen und speichern� Transaktion SU01� Demo Benutzer BWAUTH01� Registerkarte Rollen, Rolle DEMO_ROLLE_AUTH_BASIS zuweisen

© winnovation 11

Berechtigung für die Query-Ausführung anlegen

Berechtigung für Transaktionen mit SU53 testen� Logon als BWAUTH01 ins H74� Transaktion PFCG testen

� Transaktion SU53 testen:

Die fehlgeschlagene Berechtigungsprüfung kann mit SU53 analysiert werden: es werden die getesteten Berechtigungskombinationen angezeigt. Hier: Berechtigungsobjekt S_TCODE und Berechtigungsfeld PFCG.Achtung: gilt nicht für Analyseberechtigungen!

© winnovation 12

Berechtigung auf Bewegungsdaten anlegen

Mögliche Sichten auf einen InfoProvider� Query DPKST_M05 mögliche Sichten, DPKST_M05_Q0001, H74 ausführen� Z.B. Selektion nach Kostenstelle und Kostenarten-Hierarchie

© winnovation 13

Berechtigung auf Bewegungsdaten anlegen

Merkmale berechtigungsrelevant machen� Transaktion InfoObjekt-Pflege RSD1� Merkmale DMKST Kostenstelle und DMKOA Kostenart in der Registerkarte Business Explorer „Berechtigungsrelevant“ anklicken

© winnovation 14

Berechtigung auf Bewegungsdaten anlegen

Berechtigung in der Berechtigungspflege anlegen� Transaktion für Berechtigungspflege RSECADMIN� Registerkarte Berechtigungen, Button Einzelpflege

� Berechtigung DEMAUTH01, Demo Berechtigung 01

© winnovation 15

Berechtigung auf Bewegungsdaten anlegen

Spezialmerkmale: � Gültiger Zugriff mit einer bestimmten Aktivität auf den InfoProvider zum Ausführungszeitpunkt der Query� Button Spezialmerkmale einfügen (Werte sind voreingestellt)

Gültigkeit: Merkmal 0TCAVALID� Gültigkeit x = „immer gültig“

Aktivität: Merkmal 0TCAACTVT� Aktivität hat Wert „03“ = Lesen

© winnovation 16

Berechtigung auf Bewegungsdaten anlegen

InfoProvider: Merkmal 0TCAIPROV� Gesamtberechtigung bei InfoProvider ändern auf „DPKST_M05“

Beachte: Spezialmerkmale 0TCAIPROV für den InfoProvider, 0TCAACTVT für die Aktivität und 0TCAVALID für die zeitliche Gültigkeit werden IMMER GEPRÜFT (auch wenn sie nicht berechtigungsrelevant eingeschaltet sind!)

© winnovation 17

Berechtigung auf Bewegungsdaten anlegen

Datenberechtigungen für berechtigungsrelevante Merkmale vergeben: Der Benutzer ist für die Kostenstelle Beschaffung berechtigt und darf die Kennzahlenwerte aller Kostenarten ohne Personalkosten (Berechtigung auf Hierarchieknoten) sehen.

� Button InfoCube-Berechtigungen, InfoProvider = DPKST_M05

� Doppelklick auf DMKST und Werteberechtigung auf Merkmalswert Kostenstelle „EQ 2300“ pflegen

© winnovation 18

Berechtigung auf Bewegungsdaten anlegen

� DMKOA Kostenart pflegen� Registerkarte Hierarchieberechtigungen� Hierarchie auswählen: DMKOA_HIER� Knoten auswählen: alle Knoten ohne Personalkosten� Typ der Hierarchie = 1 Teilbaum unterhalb Knoten

© winnovation 19

Berechtigung auf Bewegungsdaten anlegen

� Die fertige Datenberechtigung prüfen und aktivieren

© winnovation 20

Berechtigung auf Bewegungsdaten anlegen

Zuordnung zu Benutzer � Transaktion RSECADMIN, Registerkarte Benutzer, Button Einzelzuordnung� Benutzer = BWAUTH01, Berechtigung = DEMAUTH01

Beachte: In diesem Beispiel wird die einfachere Zuordnung von BW gewählt. Es gibt auch die Möglichkeit, die Analyseberechtigung über eine Rolle mit dem Standardberechtigungsobjekt S_RS_AUTH dem Benutzer zuzuweisen („rollenbasiert“). Diese wird dann in der Transaktion RSECADMIN auch angezeigt, kann aber nicht bearbeitet werden (siehe 2. Registerkarte).

© winnovation 21

Berechtigung testen und Fehleranalyse

Beispiel-Query mit Kostenstelle und Kostenart im Aufriss (ohne Einschränkung auf diese Merkmale)� Query Demo Berechtigungstest 01, DPKST_M05_Q0002, H74

© winnovation 22

Berechtigung testen und Fehleranalyse

Ausführung und Fehleranalyse� Transaktion RSECADMIN, Registerkarte Analyse, Button Ausführen als…� Benutzer BWAUTH01, Transaktion RSRT

� Button Transaktion starten� Query Demo Berechtigungstest 01, DPKST_M05_Q0002, H74 ausführen

� Query-Ergebnis: „keine ausreichende Berechtigung“-> Protokoll der Berechtigungsprüfung

© winnovation 23

Berechtigung testen und Fehleranalyse

Analyse Protokoll der Berechtigungsprüfung

� InfoProvider Prüfung

� Relevante Merkmale (ohne Gültigkeit da volle Berechtigung)

© winnovation 24

Berechtigung testen und Fehleranalyse

� Hauptprüfung: berechtigungsrelevante Datenselektionen werden gegen vorhandene Berechtigungen geprüft und das Ergebnis geliefert, ob sie ganz, teilweise oder gar nicht berechtigt sind.

© winnovation 25

Berechtigung testen und Fehleranalyse

� Ergebnis der Berechtigungsprüfung: Die Query selektiert alle Kostenstellen und Kostenarten, berechtigt sind jedoch nur die Kostenstellen 2300 und die Kostenarten-Knoten Bewirtschaftungs-, Laufende Sach- und Kalk. Kosten

Beachte: Analyseberechtigung filtert die berechtigten Daten nicht!

© winnovation 26

Berechtigung testen und Fehleranalyse

Korrektur Beispiel-Query und Analyse� Query Demo Berechtigungstest 02, DPKST_M05_Q0003, H74:

Einschränkung auf Kostenstelle 2300 und berechtigte Kostenarten-Knoten

� Ausführen als.. (Transaktion RSUDO) BWAUTH01, Query-Ergebnis nach Korrektur:

© winnovation 27

Berechtigung testen und Fehleranalyse

� Protokoll mit erfolgreicher Berechtigungsprüfung

© winnovation 28

Leitsätze der Analyseberechtigungen

� Analyseberechtigungen filtern nicht automatisch auf die berechtigten Daten, sondern umgekehrt alle selektierten Daten müssen berechtigt sein.

� Die Selektion muss vollständig berechtigt sein. Alles, was selektiert wird, muss durch eine oder mehrere Berechtigungen stückweise abgedeckt werden. Ist auch nur eine einzige Kombination nicht berechtigt, wird die gesamte Selektion als nicht berechtigt betrachtet.

© winnovation 29

Möglichkeiten der Analyseberechtigungen

Variablen gefüllt aus Berechtigungen� Problem: Selektion auf bestimmte Einzelwerte -> nicht praktikabel, wenn eine Query durch viele Benutzer mit unterschiedlichen

Berechtigungen ausgeführt wird.� Statt fixer Filter werden im Query Designer Variablen verwendet, die den Verarbeitungstyp „Verarbeitung durch Berechtigung“

haben:

� Wirken als Filter auf berechtigungsrelevante Merkmale und schränken die Query-Selektion auf die berechtigten Werte des Benutzers ein

� Testen im RSECADMIN mit Query Demo Berechtigungstest 03,DPKST_M05_Q0004, H74

© winnovation 30

Möglichkeiten der Analyseberechtigungen

Mehrdimensionale Berechtigungen� Beispiel: Der Benutzer BWMAUTH02 ist wie folgt berechtigt:

� Neue Analyseberechtigung DEMAUTH02 für Kostenstelle Kantine und Kostenartengruppe Primär- und Personalkosten:

� Zuordnung Berechtigung DEMAUTH01 und DEMAUTH02 zu Benutzer BWAUTH02

© winnovation 31

Möglichkeiten der Analyseberechtigungen

� Ausführen als.. (Transaktion RSUDO) BWAUTH02, Query Demo Berechtigungstest 03, DPKST_M05_Q0004, H74

Problem� Berechtigungsvariablen werden mit den berechtigten Werten des zugehörigen Merkmals, für das sie definiert sind, gefüllt.

Berechtigungsvariable für Kostenstelle wird mit „1200“ und „2300“ gefüllt, Berechtigungsvariable für Hierarchieknoten Kostenarten: alle Hierarchieknoten. Es werden alle möglichen Kombinationen selektiert, nicht nur die erlaubten:

Lösungsvarianten� Eingabevariablen nutzen: eine für Kostenstelle und eine für Kostenartengruppe

(Voraussetzung: der Benutzer muss wissen, welche Merkmalskombinationen er sehen darf)� Customer-Exit-Variable in der Query (siehe Exkurs)� Customer-Exit-Variable in Analyseberechtigung (Xiting Automatic Role Builder Solution)

© winnovation 32

Möglichkeiten der Analyseberechtigungen

Exkurs: Variante mit Aggregationsberechtigung

� Query Demo Berechtigungstest 04, DPKST_M05_Q0005, H74, Beachte: Aggregationsmerkmale sind NICHT IM ZEILENAUFRIESSsondern in den Freien Merkmalen

� Ausführen als.. (Transaktion RSUDO) BWAUTH03

� Aufriss nach Kostenarten:

� Aufriss nach Kostenstellen

� mit Filter auf Kostenstelle 1200:

© winnovation 33

Möglichkeiten der Analyseberechtigungen

Exkurs: Variante mit Customer-Exit-Variable in der Query� Benutzer gibt eine Kostenstelle ein und die dazu berechtigten Kostenartengruppen werden automatisch im Hintergrund

gezogen.� Eingabevariable für Kostenstelle, Customer-Exit-Variable für Kostenartengruppe in Query� Datenquelle: Z-Tabelle ZDEMO_KOA_AUTH (oder DSO)� Code zum Auslesen der Kostenartengruppe: Transaktion SE37, EXIT_SAPLRRS0_001, include ZXRSRU01 ändern� Benutzer BWAUTH04, Analyseberechtigung DEMAUTH01 und DEMAUTH02� Ausführen als… BWAUTH04, Query Demo Berechtigungstest 05, DPKST_M05_Q0006, H74

© winnovation 34

Möglichkeiten der Analyseberechtigungen

Exkurs: Variante mit Customer-Exit-Variable in Analyseberechtigung (Xiting Automatic Role Builder Solution)� Quelle: Xiting_RoleBuilder_Implementation_Guide_v731 SP8.pdf, „Using the Analysis Authorization Generators”� The Analysis Authorizations are based on the authorizations which are assigned to users in source ERP systems� By using a variable of type “Customer exit” in restricted characteristics, this mode reads the ERP authorization profile data of the

user via RFC while executing a query and returns elements to which current user in BW is authorized.

© winnovation 35

Möglichkeiten der Analyseberechtigungen

Massengenerierung von Analyseberechtigungen� Basis sind spezielle DataStore-Objekte (DSO), die mit den notwendigen Informationen zur Generierung gefüllt werden, die

anschliessend manuell oder als eingeplanter Job zur automatischen Erzeugung herangezogen werden� Transaktion RSECADMIN, Registerkarte Berechtigungen, Button Generierung

� Beispielstruktur für DSO für die Werteberechtigungen

© winnovation 36

Herausforderungen an das Berechtigungsmodell

� Konzeption und Realisierung des Berechtigungsmodell sind Teil des BW-Projekts� Berechtigungsmodell richtet sich nach dem Datenmodell und dem Benutzerkreis� Vorgaben für Berechtigungen kommen meist aus der Fachabteilung� Nicht zu komplex (Datenmodell!)� Wartungsfreundlich� Umsetzung multidimensionaler Berechtigungen� Performance� Flexibel für etwaige Erweiterungen (organisatorisch, rechtlich)

Beachte: Je komplexer das Datenmodell und Benutzergruppen, desto umfangreicher das Berechtigungsmodell.

© winnovation 37

Rollenkonzept

S_RS_COMPS_RS_COMP1• InfoArea• InfoProvider• Query• Query View• Eingeschränkte KZ• berechnete KZ• Struktur• Variable• Parameter

Diese Rolle wird nicht benötigt, wenn die Benutzerzuordnungdirekt in der Berechtigungspflege(RSECADMIN) gemacht wird

S_RS_AUTH� Analyseberechtigungen

(RSECADMIN) � Hierarchieknoten

Einzelwerte

FunktionRolle

DatenRolle

MenüRolle

BasisRolle

Keine Berechtigungen, nur Menü� Ordner � Query� Web Template

S_TCODE� Standard Transaktionen

(RRMX, RSRT, SU53 etc.)� Allgemeingültige

Analyseberechtigung (Gültigkeit)

SammelRolle

© winnovation 38

Fragenkatalog für Analyseberechtigungen

Berechtigungsrelevante Merkmale� Wie viele Benutzer werden die Applikation nutzen und sind deren Berechtigungen sehr unterschiedlich?� Enthält das Merkmal viele Stammdaten und wie stark ändern sich diese oder werden sich verändern?� Hat das Merkmal Hierarchien? Unterliegen auch diese Änderungen? Wie verhält es sich mit Zeitabhängigkeiten?� Wird das Merkmal in anderen Datenmodellen verwendet?� Gib es Alternative z.B. Navigationsattribut.Ziel: Merkmale finden, die sich nicht häufig ändern und kein hohes Mass an Komplexität bei den Ausprägungen haben

Analyseberechtigung den Benutzern zuordnen� Direkte Zuordnung über die Transaktion RSECADMIN oder Generierung

• Vergabe der Berechtigungen erfolgt am Ort der Erstellung• Massengenerierung möglich• Zentrale Anzeige der Analyseberechtigungen• Weniger Anzahl Rollen

� Zuweisung mit dem Standardberechtigungsobjekt S_RS_AUTH über das SAP-Basis-Rollenwerk• Bereits bestehende Rollenkonzepte mit Daten- und Standardberechtigungen können weiterverwendet werden• Zentrale Pflege aller Berechtigungen (Daten und Standard)

© winnovation 39

© winnovation 40

Einladung BI Event - 8. April 2014, GDI in Rüschlikon

09:00 SAP Analytics Solutions - Strategie & AusblickBI mit SAP BusinessObjects & SAP HANA: Agil, Intuitiv und Predictive

09:30 Business Analytics Framework - WHAT really RUNS!Die komplette SAP Business Analytics ÜbersichtSAP HANA - BW - BO

10:30 Reporting und Analyse in EchtzeitNeue Funktionen und Möglichkeiten mit BW 7.4 on HANA

11:15 Business Planning in ActionDas BW 7.4 / BPC HANA Planungsframework

13:15 What's next: Self Service Business AnalyticsSAP Lumira: Desktop und Cloud Lösungen

13:45 Business Analytics für die HosentascheBW Queries auf dem iPhone und iPad

14:45 The right mix: Onsite, Nearshore & OffshoreKundenvortrag: F.Hoffmann-La Roche AG, Diagnostics Division, Frank Geier,Head of Operations & Backoffice BI, Global & North America

15:15 Management Information System im SpitalbereichKundenvortrag: Inselspital Bern, Martin Pfund, Leiter SCAA

15:45 Global SAP BW-BO ImplementationCustomer presentation (english): Rieter Management AG,Michael Griggs, Head of Corporate Reporting Systems

KundenvorträgeAnmeldung bis am 25.3.14 : www.winnovation.ch

business intelligence & performance management

winnovation

Vielen Dank !

Angelo MinutellaCEO / Senior HANA/BI Solution Consultant