Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SAP BI Autorizaciones BW 7.0
SAP BI Autorizaciones BW 7.0
SAP BI Autorizaciones BW 7.0
1.
1.1.
INTRODUCCIN................................................................................................................... 3
PRERREQUISITOS PARA UTILIZAR EL NUEVO CONCEPTO DE AUTORIZACIN A DATOS ............................4 MARCAR EL CONCEPTO QUE ACTUAR EN EL SISTEMA......................................................................4 ACTIVARLAS TRES CARACTERSTICAS ESPECIALES ..........................................................................5
1.1.1. 1.1.2.
2.
2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8.
EJEMPLO ............................................................................................................................. 5
FLAG RELEVANTE PARA AUTORIZACIN ..........................................................................................6 CREACIN DE LOS USUARIOS .........................................................................................................7 CREACIN ROL ZBW_REPORTING.............................................................................................7 CREACIN DE LAS AUTORIZACIONES...............................................................................................8 CREACIN ROLES DE ACCESO A DATOS ........................................................................................10 ASIGNACIN DE ROLES A LOS USUARIOS .......................................................................................10 EJECUCIN DE LOS INFORMES .....................................................................................................11 EJERCICIO II ..............................................................................................................................14
3. 4.
5. 6.
ANEXO III FLAG RELEVANTE PARA AUTORIZACIN............................................. 22 ANEXO IV ENTRANDO EN UN POCO MS DE DETALLE ...................................... 22
CARACTERES ESPECIALES .......................................................................................................22 AUTORIZACIONES PARA RATIOS ................................................................................................22 AUTORIZACIONES EN NODOS DE JERARQUAS .............................................................................23 0BI_ALL...............................................................................................................................23 MIGRACIN DE AUTORIZACIONES...............................................................................................24
Fecha: 10.03.2011
Pgina 2 de 24
1. INTRODUCCIN Las autorizaciones determinan el nivel de acceso de un usuario en un sistema. Las autorizaciones en un sistema SAP BW se complementan con respecto a las autorizaciones de un sistema transaccional SAP R/3 aadiendo el concepto de autorizacin de anlisis (o a dato).
La gestin de las autorizaciones a dato (qu puedo ver) se realiza principalmente desde la transaccin RSECADMIN. Esto es debido a que a pesar de que dos usuarios puedan ver informes (autorizacin a qu accin pueden realizar, al estilo de SAP R/3) tambin se puede filtrar a nivel de autorizacin el contenido del informe que cada usuario puede ver (autorizacin a nivel de dato). Por ejemplo cada usuario nicamente podr ver datos de su centro de trabajo para un informe concreto. En general cuando hay que dar de alta a un usuario hay que plantearse las siguientes preguntas: - qu actividades puede hacer? roles al estilo de SAP R/3 (reporting, planificacin, desarrollo, parametrizacin, ) - qu informacin puede ver (y dnde se encuentra dicha informacin)? autorizaciones a dato e infoprovider - a qu mens puede acceder? mens en roles Respecto a las autorizaciones de acceso a datos, en un sistema SAP BW 7.0 se puede mantener el viejo concepto de autorizacin o bien utilizar el nuevo.
Para la nueva versin SAP BW 7.3 nicamente se podr utilizar el nuevo concepto de autorizaciones a datos gestionado a travs de la transaccin RSECADMIN.
Fecha: 10.03.2011
Pgina 3 de 24
1.1.
Prerrequisitos para utilizar el nuevo concepto de autorizacin a datos 1.1.1. Marcar el concepto que actuar en el sistema.
Transaccin SPRO / IMG referencia SAP Gua de implementacin de customizing SAP / SAP Netweaver / Business Intelligence / Parametrizaciones de reporting y anlisis / Autorizaciones de anlisis: Seleccionar concepto.
Fecha: 10.03.2011
Pgina 4 de 24
1.1.2.
Activar a partir del Business Content de SAP BW las siguientes tres caractersticas: 0TCAACTVT - Actividad en autorizaciones de anlisis 0TCAIPROV - Autorizaciones para InfoSitio 0TCAVALID - Validez de una autorizacin Adems marcarlas como relevantes para autorizacin.
Esas tres caractersticas se utilizan como caractersticas especiales a la hora de crear una autorizacin ya que nos va a determinar: - actividad que se puede hacer sobre el dato (visualizar, modificar, ) - infositio al que tenemos acceso (cubo concreto, ) - validez de la autorizacin en el caso de que necesitemos que la autorizacin sea dependiente de la fecha (slo tener autorizacin a esos datos los dos primeros meses del ao, )
2. EJEMPLO Vamos a trabajar sobre un ejemplo concreto, para explicar el nuevo concepto de autorizaciones. Imaginemos que tenemos un cubo con los datos de ventas por cliente. Y tenemos tres tipos de usuarios: - usuario responsable del cliente 1 [USU_1] - usuario responsable de los clientes 2 y 3 [USU_2] - usuario responsable de ventas globales [USU_T] De manera que el usuario USU_1 nicamente podr ver datos referentes al cliente 1, el USU_2 slo tendrn acceso a los datos de los clientes 2 y 3. El usuario USU_T tendr acceso a los datos completos. Los tres usuarios tendrn las mismas autorizaciones a nivel de qu pueden hacer (visualizar informes). Para llegar a montar el escenario deseado haremos: Creacin de los usuarios USU_1, USU_2, USU_T Creacin del rol ZBW_REPORTING Marcar el flag relevante para autorizacin Creacin de autorizaciones Creacin de roles Asignacin de roles Creacin de variable de autorizacin
Fecha: 10.03.2011
Pgina 5 de 24
2.1. Flag relevante para autorizacin Primero marcaremos el flag de relevante para autorizacin en la caracterstica cliente (JCC_CLTE):
Con el nuevo concepto, una vez tengamos una caracterstica marcada como relevante para autorizaciones, el usuario deber contener una autorizacin que restringa dicha caractersticas (o bien pueda acceder a todo *). En versiones anteriores hasta que no se creaba el objeto de autorizacin el flag aunque estuviese marcado no entraba en juego. En un proyecto de cambio al nuevo concepto lo primero que se tendr que hacer es revisar cules de las caractersticas marcadas en el sistema son tenidas en cuenta desde el punto de vista de autorizaciones y cuales es necesario desmarcar porque realmente no se utilizan.
Fecha: 10.03.2011
Pgina 6 de 24
2.3.
Utilizamos como modelo S_RS_RREPU - Rol BI: Usuario reporting Asociamos a dicho rol los tres usuarios creados
Fecha: 10.03.2011
Pgina 7 de 24
2.4. Creacin de las autorizaciones Creamos las autorizaciones ZCLI_1, ZCLI_2 y ZCLI_T En la transaccin RSECADMIN, en la pestaa de Autorizaciones, botn Act.
Fecha: 10.03.2011
Pgina 8 de 24
Fecha: 10.03.2011
Pgina 9 de 24
2.5. Creacin roles de acceso a datos Creamos los roles asociados a las autorizaciones recin creadas. Para ello utilizamos el objeto de autorizacin: S_RS_AUTH
Fecha: 10.03.2011
Pgina 10 de 24
2.7.
Vamos a ejecutar la misma query por los tres usuarios. La ejecucin para un usuario con acceso completo es la siguiente
Al intentar ejecutar la query tal y como est ahora aparece un error de autorizacin ya que se est intentando acceder a todos los datos.
Fecha: 10.03.2011
Pgina 11 de 24
Para que nicamente salgan los datos a los que est cada usuario autorizado hace falta aadir una variable que los filtre. Para ello en la query se aade una variable de autorizacin.
Resultado
Fecha: 10.03.2011
Pgina 12 de 24
Usuario USU_2
Usuario USU_T
Fecha: 10.03.2011
Pgina 13 de 24
2.8.
Ejercicio II
Vamos a complicar un poco el escenario. Supongamos que queremos que el usuario T no tenga acceso a los importes. nicamente debe poder ver las cantidades.
Para ello utilizar la caracterstica 0TCAKYFNM en la autorizacin que utiliza el usuario USU_T. Ejecucin resultante USU_T
USU_1
USU_2
Resumiendo: - creacin de autorizacin - asignacin de la autorizacin a un rol mediante el objeto S_RS_AUTH - asignacin del rol a usuario - utilizacin de variables de autorizacin en las queries
Fecha: 10.03.2011
Pgina 14 de 24
3. ANEXO I TRANSACCIN RSECADMIN Se utiliza la transaccin RSECADMIN para la gestin del nuevo concepto de autorizacin de anlisis (o autorizaciones a datos).
En la primera pestaa Autorizaciones utilizaremos el siguiente botn para la creacin y mantenimiento de autorizaciones de anlisis.
El botn de Generacin se utiliza para generar automticamente las autorizaciones a partir de los datos contenidos en un ODS. El ODS ha de ser especial y contener los campos (0TCTUSERNM, 0TCTAUTH, 0TCTADT0) y valores necesarios para dicha generacin.
Mediante el botn de Transp. asignamos las autorizaciones que queremos transportar a una orden.
Fecha: 10.03.2011
Pgina 15 de 24
A la hora de crear las autorizaciones existen unas caractersticas especiales a tener en cuenta:
De manera que nos restringirn el acceso por actividad, inforea, infoprovider, fecha de validez y ratios, respectivamente. En la pestaa Usuario encontramos aquellos botones que nos permitirn:
asignar las autorizaciones directamente a los usuarios (sin necesidad de incluirlas en un rol a travs del objeto S_RS_AUTH).
Fecha: 10.03.2011
Pgina 16 de 24
transportar las asignaciones de autorizaciones a usuarios creadas acceso a la transaccin SU01 acceso a la transaccin PFCG
En este punto podemos ejecutar una query como si fusemos otro usuario de manera que lleguemos a comprobar a qu tiene acceso y a qu no. Es la mejor manera de probar las autorizaciones a datos recin creadas.
Fecha: 10.03.2011
Pgina 17 de 24
En caso de que dicha query tenga pantalla de seleccin introduciremos los valores necesarios
Se visualiza el resultado de la ejecucin tal y como la vera el usuario que hemos seleccionado
Fecha: 10.03.2011
Pgina 18 de 24
Se crea un log donde aparecern las caractersticas relevantes para autorizacin que haba en dicha ejecucin as como el resultado debido a las autorizaciones que tena el usuario.
Fecha: 10.03.2011
Pgina 19 de 24
4. ANEXO II OBSERVACIONES 4.1. Diferencia principal autorizaciones BW 3x vs BI 7.0 En BW 3.x las autorizaciones se activan a nivel de InfoCubo (RSSM obsoleta) mientras que en BI 7.0 la autorizacin est a nivel del infoobjeto (en concreto a nivel de caracterstica), una vez marcado como relevante aplica a todos los infoproviders. en una migracin los objetos marcados como relevantes para autorizacin pero que no estn siendo mantenidos en BW 3.x ahora o bien se mantienen o se les ha de quitar el flag de relevantes para autorizacin.
4.1.1. Autorizaciones para atributos sin restringir el infoobjeto. Por ejemplo con la versin 7.0 se puede mantener autorizaciones a nivel de atributos (para 0EMPLOYEE el sueldo) sin necesidad de buscar otras soluciones como en versin BW 3.x (hacer un ZEMPLOYEE que contuviese los atributos que se queran restringir. Eso daba problemas a la hora de utilizar luego multiproviders).
4.1.2. S_RS_ICUBE, S_RS_MPRO, S_RS_ISET, S_RS_ODSO Los objetos de autorizacin S_RS_ICUBE, S_RS_MPRO, S_RS_ISET, S_RS_ODSO no se comprueban en reporting pero son necesarias para tareas de mantenimiento y desarrollo
4.1.3. Objetos de autorizacin: S_RS_* Objetos de autorizacin interesantes para SAP BI: aquellos que empiezan por S_RS_* Autor: Oreka IT Versin: 1103 Fecha: 10.03.2011
Pgina 20 de 24
Por ejemplo:
S_RS_BCS
(SAPBusinessExplorer, orBEx, SAP Business Explorer, or Ex, Broadcasting Authorization to Schedule) enables users to distribute their reports to other users and themselves. As shown in the example, you can set S_RS_BCS to all activities and full authorization. Dont allow users to distribute only specific reports; rather, consider restricting confidential reports from being automatically distributed by entering only the usable BI report IDs.
S_RS_BTM (BEx Web Templates)
enables users to run queries, such as the following, in a Web environment: single reports or complex reports that you integrate with your SAP NetWeaver Portal and that Internet Explorer accesses. You can set this option to Display and Execute so that the users of this role cannot change a WebReport or its design. They can only be report consumers.
S_RS_COMP (Components)
creates queries, structures, variables, and any query components. Here you can grant users the rights to execute queries and to view them, so users cant create queries, structures, variables, or any query component unless they have the appropriate rights. To create a power user (a user who can maintain, create, delete, or modify existing queries), you must grant the user all rights to queries, structures, variables, and any query components. Authorization is granted to queries, query views, and Display and Execute activities.
S_RS_COMP1 (Components: Enhancements to the Owner)
enables users only to execute, display, or change (depending on your settings) queries or views that a specific user created. (The person who creates a report is defined as the owner in SAP terms.) You can enable the same settings as S_RS_COMP, but you must enter the all access but you must enter the all access indicator (*) in the owner (person responsible) field. You can allow access to only the particular user who can change the query, or you can assign the role to all users and restrict a specific user from changing the query. Using this setting you can separate the activities maintained in S_RS_COMP (for all users) from those of the query owner in S_RS_COMP1. For example, I cant change a query that my colleague created, but I can change my own queries if I have permission to write them.
S_RS_ERPT (Enterprise Reports)
grants users privileges to run or create reports. For example, you can set this option to Display and Execute only, so the user can view and run only those reports that have been created with SAP Report Designer. The user in user group A needs to be able to execute the report with display-only access.
Fecha: 10.03.2011
Pgina 21 de 24
4.1.4.
Notas OSS
820183: New Authorization Concept in BI 964905: New concepts and generation of analysis authorizations
5. ANEXO III FLAG RELEVANTE PARA AUTORIZACIN en reporting pestaa Business Explorer en las caractersticas en atributos pestaa Atributos en las caractersticas (en la nueva versin existe la posibilidad de fijar autorizaciones a nivel de atributos) en datos maestros pestaa Datos maestros (posibilidad de verificar la actualizacin de datos maestros)
6. ANEXO IV ENTRANDO EN UN POCO MS DE DETALLE 6.1.1. caracteres especiales * (asterisco) denota un sistema de caracteres arbitrarios + (ms) delimita exactamente un carcter (ZMPUC0+) slo se puede usar en medio con 0TCAVALID (01/++/2008 permite slo el acceso al primer da de cualquier mes de 2008) : (dos puntos) permite el acceso slo agregado a la informacin (por ejemplo para permitir el acceso a todas las reas de ventas a nivel agregado pero no permite el desglose para ver cada rea)
Nota: una vez definida la autorizacin relevante 0TCAKAYFNM los ratios son chequeados para cada infoprovider.
Fecha: 10.03.2011
Pgina 22 de 24
6.1.3.
6.1.4. 0BI_ALL Se utiliza para dar acceso completo a datos (al estilo de un SAP_ALL para acciones)
Al marcar nuevos flags de objetos relevantes para autorizacin se tiene que actualizar la autorizacin 0BI_ALL. Se hace a travs de la transaccin PFCG, Detalles / Actualizar autorizacin 0BI_ALL.
Fecha: 10.03.2011
Pgina 23 de 24
Para ms informacin, comentarios, correcciones, puedes contactar con nosotros en el mail: area-bi@orekait.com
Fecha: 10.03.2011
Pgina 24 de 24