Berechtigungen in SAP BW/BI richtig umsetzen

Verfasst vonadminVeröffentlicht inABAP, Allgemein, BI/BWSchlagwörter:, , ,

Finanzen, Controlling, Logistik: Als Berechtiger/in ist das Handwerk in den meisten Modulen gleich. Zusätzliches Wissen ist aber nötig, wenn Sie den Anwendern Berichte und Analysen aus dem SAP NetWeaver Business Intelligence (BI) zur Verfügung stellen wollen. Wir erklären, wie SAP BI-Berechtigungen aufgebaut sind und was Sie beachten müssen.

Wer Unternehmensdaten auswerten und in SAP verfügbar machen will, kommt an SAP NetWeaver Business Intelligence (BI) nicht vorbei. Um zu gewährleisten, dass Anwender nur die Berichte sehen und bearbeiten dürfen, die sie wirklich betreffen, braucht es auch hier korrekte Berechtigungen. Allerdings sind die BI-Berechtigungen anders aufgebaut als in den meisten anderen SAP-Modulen.

Gut zu wissen: Wenn Ihnen SAP NetWeaver Business Intelligence (BI) nichts sagt, kennen Sie das Modul vielleicht noch unter dem Namen SAP Business Information Warehouse (BW). Die Bezeichnung hat sich geändert, beides meint aber dieselbe Anwendung.

Zunächst zum bekannten Prozedere: Auch BI-Berechtigungen werden natürlich über Rollen und Berechtigungsobjekte ausgesteuert. Aber eben nicht nur. Grundsätzlich brauchen Sie zwei unterschiedliche Arten von Berechtigungen:

  • Standardberechtigungen
  • Analyseberechtigungen

Theoretisch könnten alle in einer einzelnen Rolle ausgeprägt werden. Gerade wenn Sie für größere Unternehmen arbeiten, empfiehlt es sich aber, die Berechtigungen zu trennen. Sie können zum Beispiel jeweils eine

  • Menürolle
  • Reportingrolle
  • Analyserolle

Bauen und diese in einer Sammelrolle zusammenfassen. Diese Sammelrolle enthält dann alle Berechtigungen, die notwendig sind, um einen (oder mehrere) Berichte aufzurufen. So behalten Sie auch bei einer großen Anzahl zu berechtigender Berichte und unterschiedlicher Anwendergruppen den Überblick und können Änderungen einfacher nachvollziehen.

Menürollen: Mehr Komfort für Endanwender

Die Menürolle ist schnell erklärt: Sie enthält keine Berechtigungen. Dafür sind im Rollenmenü alle Berichte eingebunden, die der User sehen soll. Klären Sie, ob Sie selbst diese Berichte ins Rollenmenü hängen oder ob die BI-Entwickler sie direkt über eine Schnittstelle in die Rolle replizieren.

Achtung: Die Menürolle sorgt nur dafür, dass der Anwender die Berichte sieht. Das heißt noch nicht, dass er die Berichte auch öffnen kann. Dafür braucht er die passende Reportingrolle.

Reportingrollen: Ohne sehen Sie nichts

Die Reportingrolle sorgt dafür, dass Anwender Berichte öffnen können, für die sie berechtigt sind. Außerdem schränken Sie hier ein, welche Inhalte innerhalb eines Reports tatsächlich angezeigt werden sollen. Sie können über die Reportingrolle also auch nur einzelne Teile eines Berichts zugänglich machen.

Die wichtigsten Berechtigungsobjekte in der Reportingrolle sind entsprechend:

S_RFC: Notwendig, um Daten aus anderen Systemen zu replizieren. Achtung: Vergeben Sie keine *-Berechtigungen für Namen und Typ der RFC-Objekte.

S_RS_AO: Notwendig, um Workbooks in SAP BusinessObjects Analysis (for Microsoft Office) zu öffnen und ggf. zu bearbeiten oder zu speichern.

S_RS_COMP bzw. S_RS_COMP1: Notwendig, um den Zugriff auf BI Queries zu berechtigen.

Analyserollen: Herzstück der BI-Berechtigungen

Analyserollen enthalten nur ein Objekt: S_RS_AUTH. Darüber berechtigen Sie Analyseberechtigungen, die nicht in der Rolle selbst definiert werden (siehe unten). Im Objekt S_RS_AUTH geben Sie die technischen Namen für die Analyseberechtigungen an, die der Rolle zugeordnet werden sollen.

Achtung: Die SAP stellt bereits vorgefertigte Analyseberechtigungen zur Verfügung, die aber oft weitreichenden Datenzugriff erlauben. So können User mit dem Feldwert „0BI_ALL“ im Objekt S_RS_AUTH auf alle verfügbaren Daten zugreifen (identisch zu *-Ausprägung).

Analyseberechtigungen in SAP BI pflegen

Um Analyseberechtigungen zu erstellen oder zu pflegen, nutzen Sie die Transaktion RSECADMIN. Mit der Funktion „Einzelpflege“ bearbeiten Sie einzelne Analyseberechtigungen.

Bezeichnung pflegen

Geben Sie einen Namen ein (Namenskonventionen beachten!) und pflegen Sie die Kurz- und Langtexte. Fügen Sie über die entsprechende Schaltfläche den InfoProvider hinzu. Den korrekten InfoProvider können Sie ggf. beim zuständigen Entwickler erfragen.

Spezialmerkmale ausprägen

Abhängig vom InfoProvider müssen Sie auch die berechtigungsrelevanten Spezialmerkmale in die Analyseberechtigung einfügen. Standardmäßig sind das:

  • 0TCAACTVT (Aktivität)
  • 0TCAIPROV (InfoProvider)
  • 0TCAVALID (Gültigkeitszeitraum)

Gegebenenfalls kommen weitere berechtigungsrelevante Spezialmerkmale hinzu. Prägen Sie die Merkmale aus wie angefordert und achten Sie darauf, nicht zu weitreichend zu berechtigen. Gerade die Merkmale zu Aktivität und InfoProvider sollten Sie auf keinen Fall mit * berechtigen.

Gut zu wissen: Wenn Sie ein Merkmal haben, das im InfoCube enthalten und berechtigungsrelevant ist, müssen Sie es ausprägen. Selbst wenn es in der Query, also im Bericht, nicht oder ohne Selektionen enthalten ist, erfolgt eine Berechtigungsprüfung. In diesem Fall prüft das System, ob Sie aggregierte Werte zum Merkmal berechtigt haben. Prägen Sie in diesem Fall den technischen Merkmalswert mit „:“ aus. Nur so werden im jeweiligen Bericht die Daten aus diesem Merkmal angezeigt, auch wenn es in der Query selbst nicht oder nur ohne Selektion enthalten ist. Sie müssen das nicht berücksichtigen, wenn Sie eine *-Berechtigung vergeben. Hier sind neben allen Einzelwerten auch die aggregierten Werte zum Merkmal enthalten.

Wenn Sie nicht wissen, welche Spezialmerkmale Sie aufnehmen müssen, können Sie die Schaltfläche mit dem blauen Würfel (InfoCubes) nutzen. Geben Sie im folgenden Fenster den InfoProvider an. Nun werden die berechtigungsrelevanten Spezialmerkmale für diesen InfoProvider angezeigt und können mit einem Klick in die neue Analyseberechtigung gezogen werden.

Analyseberechtigungen aktivieren

Wichtig: Sollen die neuen Analyseberechtigungen auch im Produktivsystem verfügbar sein, müssen Sie diese nicht nur speichern, sondern auch aktivieren. Nutzen Sie dafür die entsprechende Schaltfläche in der Transaktion RSECADMIN.

Analyseberechtigungen mit Hierarchien pflegen

Jetzt haben wir eine einzelne Analyseberechtigung angelegt. Aber was ist mit komplexen Berichten, die unterschiedlichen Nutzergruppen unterschiedliche Daten anzeigen sollen? Nehmen wir einen Umsatzreport. Die Datenquelle stellt Umsatzzahlen für diverse Dienststellen oder Unternehmensbereiche bereit. Aber die Mitarbeiter der einzelnen Bereiche sollen jeweils nur die Umsatzzahlen aus Ihrem Bereich sehen dürfen.

Einzelne Berichte bzw. einzelne Analyseberechtigungen für jeden Bereich oder jede Dienststelle zu bauen, funktioniert zwar, ist aber extrem aufwendig. Und in großen Unternehmen kommt so schnell eine unüberschaubare Menge an Rollen und Berechtigungen zusammen.

Um das zu umgehen, können die Analyseberechtigungen auch über Hierarchien gestaffelt werden.

Die Hierarchien sind in den jeweiligen Spezialmerkmalen hinterlegt. Um herauszufinden, ob und welche Hierarchien angelegt sind, rufen Sie in der Transaktion RSECADMIN die Analyseberechtigung auf. In der Liste der Spezialmerkmale finden Sie ganz rechts eine Spalte „Knoten“. Ist hier eine Markierung zu sehen, verfügt das Merkmal über Hierarchien. Öffnen Sie das Merkmal und wechseln Sie in den Reiter „Hierarchieberechtigungen“, um Details einzusehen.

Ein Kommentar zu “Berechtigungen in SAP BW/BI richtig umsetzen

  1. Pingback: Rollentypen in SAP-Systemen – idemus solutions

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert