SAP BW Berechtigungskonzepte vereinfachen – mit dem Allgeier Generic Data Authorization Framework (AGenDA)

 

Autor: Stefan Rehm  | Veröffentlicht: 19.05.2020

Vor allem in größeren Unternehmen haben Berechtigungskonzepte in SAP BW Systemen oft eine immanente Eigenschaft: Die Kombination von mehreren zu berechtigenden Merkmalen sowie eine große Anzahl an Merkmalsausprägungen. Diese Kombination führt unweigerlich zu einer massiven Anzahl an Analyseberechtigungen und Rollen. Dieser Fakt allein stellt bereits einen nicht zu unterschätzenden Aufwandstreiber für die Implementierung von Berechtigungsprojekten dar. Kommen im laufenden Betrieb noch stetige Änderungen an Organisationsstrukturen und damit verbundene Anpassungen an den Berechtigungen hinzu, vervielfachen sich manuelle Tätigkeiten.

Aus diesem Grund wurde AGenDA entwickelt – konsequente Reduzierung der Anzahl an Rollen und Analyseberechtigungen und die Minimierung des Anpassungsaufwands bei organisatorischen Änderungen. Dieser Artikel beschreibt das Allgeier Generic Data Authorization Framework (AGenDA) und wie sich damit SAP BW Berechtigungskonzepte vereinfachen lassen – selbstverständlich ohne Abstriche in Bezug auf die Sicherheit.

Komponenten des Frameworks 

AGenDA baut auf der SAP BW Standard-Funktionalität auf, welche die dynamische Ermittlung von Berechtigungswerten über Customer-Exit-Variablen in Analyseberechtigungen erlaubt. AGenDA setzt einen einheitlichen Rahmen über diese Funktionalität, welche eine massive Reduktion der benötigten Rollen und Analyseberechtigungen darstellt.  

Für das Framework gelten die folgenden Ordnungsmerkmale: 

  1. Applikation: Identifiziert eine Anwendung innerhalb des SAP BW Systems, z.B. das Kostenstellen oder Sales-Reporting. 
  2. Berechtigungsgruppe: Stellt eine Unterteilung innerhalb einer Applikation dar. Über Berechtigungsgruppen wird z. B. die Trennung zwischen Reporting und Planung abgebildet. 
  3. Dataset: stellt in AGenDA eine Kombination von Berechtigungswerten dar. D.h. inhaltlich kann es mit einer Analyseberechtigung verglichen werden. 
  4. Data View: Ermöglicht die Vergabe von mehreren separaten Berechtigungen, wie man sie mit separaten Analyseberechtigungen abbilden würde 

Core Tabellen 

Das Herzstück von AGenDA ist ein zentrales Datenmodell, in welchem alle generischen Berechtigungswerte gespeichert werden. Die Berechtigungswerte der unterschiedlichen Anwendungen im SAP BW System werden über die oben genannten Ordnungskriterien identifiziert. Die Verwendung eines zentralen Datenmodells bringt viele Vorteile. Ein stark reduzierter Entwicklungsaufwand für neue Anwendungen oder unterstützende Werkzeuge für die Auswertung sind exemplarisch zu nennen. 

Anayltics Blogartikel: Generische Datenberechtigungen in SAP BW. Abb. 1: AGenDA Datenmodell - Zentrale Tabelle der Benutzerordnungen

Abbildung 1: AGenDA Datenmodell – Zentrale Tabelle der Benutzerordnungen

Die zentrale Tabelle der Benutzerzuordnungen dient als Schlüssel zum Auslesen der berechtigten Werte in den Merkmalsberechtigungen oder Hierarchieknotenberechtigungen. Die Struktur dieser beiden Tabellen lehnt sich stark an die SAP BW Standardtabellen RSECVAL_STRING und RSECVAL_HIER an, in welchen die Berechtigungswerte von Analyseberechtigungen abgelegt sind.

Generische Variablenverarbeitung

Neben dem Datenmodell stellt die generische Variablenverarbeitung den zweiten zentralen Bestandteil von AGenDA dar: die Vorgehensweise die Berechtigungswerte im AGenDA-Datenmodell abzulegen und über Customer-Exit-Variablen auszulesen erfordert eine große Anzahl von Variablen.

Anstatt diese einzeln zu programmieren, beinhaltet AGenDA eine generische Verarbeitung, welche auf Basis des technischen Namens der Variablen alle relevanten Informationen ermittelt, um die zugehörigen Berechtigungswerte auszulesen. Die Variablen können entweder selbst angelegt werden oder von AGenDA automatisch erzeugt werden.

Analyseberechtigungen in AGenDA

Innerhalb einer Analyseberechtigung können generisch berechtigte Merkmale (über Variablen) und fest berechtigte Merkmale (direkt in der Analyseberechtigung gepflegte Berechtigungswerte) vermischt werden.

Pflege der AGenDA-Tabellen

Es bleibt die Frage offen wie die AGenDA-Core-Tabellen mit berechtigten Werten befüllt werden. Ausgeliefert werden die folgenden zwei Optionen:

  1. Die direkte Pflege der Tabellen über Transaktion SM30.

Dieser Weg ist recht aufwendig und wird in der Praxis meist nur zu Test- oder Korrekturzwecken genutzt. Dazu wurde für jede AGenDA-Tabelle ein Pflegedialog generiert.

  1. Der Upload von Berechtigungswerten aus Dateien.

Mit einem ABAP Report können Berechtigungswerte in die Tabellen geladen werden. Dazu müssen zwei Dateien vorbereitet werden: eine mit den Merkmalswertberechtigungen und eine mit den Hierarchieknotenberechtigungen. Beide müssen im CSV-Format vorliegen.

Grundsätzlich empfehlen wir jedoch die Befüllung der Tabellen aus einem Identity-Management oder Workflow-System. Weil es in jedem Unternehmen andere Vorgehensweisen und Systeme für die Beantragung und Vergabe von Berechtigungen gibt, kann AGenDA keine generische Lösung anbieten.

Sie möchten mehr über das Allgeier Generic Data Authorization Framework (AGenDA) erfahren oder benötigen Unterstützung bei der Planung Ihres Berechtigungsprojektes? Dann kontaktieren Sie uns!

Der Blog hat Ihnen gefallen und Sie wollen gerne direkt per E-Mail benachrichtigt werden, wenn der nächste Artikel erscheint? Gerne geben wir Ihnen Bescheid!

Ansprechpartner SAP Analytics Blog Sascha Hanf

Haben Sie Fragen?

Sascha Hanf ist Ihr Ansprechpartner für den Analytics Blog.

Ansprechpartner SAP Analytics Blog Sascha Hanf

Haben Sie Fragen?

Sascha Hanf ist Ihr Ansprechpartner für den Analytics Blog.