NextLytics Blog

Berechtigungskonzept von SAP Analytics Cloud verständlich erklärt

Geschrieben von Bernhard Porth | 22.07.2021 06:00:00

Das Berechtigungskonzept ist eins der wichtigsten Bestandteile jeder Planungsanwendung, da die Planung auf die zukünftige Strategie des Unternehmens ausgerichtet ist. Gleichzeitig nehmen viele Personen aus verschiedenen Unternehmensbereichen und gegebenenfalls sogar Lieferanten an der Planung teil. Daher muss unbedingt garantiert werden, dass die Beteiligten nur Zugriff auf die Funktionen und Daten haben, die zur Erfüllung ihrer Aufgabe notwendig sind.

In diesem Artikel stellen wir Ihnen das Berechtigungskonzept von SAP Analytics Cloud (SAC) vor. Dabei gehen wir insbesondere auf Datenzugriffsrechte ein. Diese legen fest, welche Daten ein Benutzer einsehen oder verändern darf.

Dabei existieren zwei Möglichkeiten festzulegen, welche Dateizugriffsrechte ein Benutzer erhält: Datenschutz für Modell (Model Data Privacy) und Datenzugriffskontrolle in Dimensionen (Data Access Control in Dimensions). Nachfolgend erklären wir die Funktionsweise der beiden Alternativen und gehen auf die Unterschiede ein. Anschließend geben wir eine Modellierungsempfehlung für Ihre Projekte.

Datenschutz für Modell (Model Data Privacy)

Weil die Datenhaltung in SAP Analytics Cloud auf der Datenmodell-Ebene erfolgt, muss die Datenzugriffskontrolle zunächst pro Modell aktiviert werden. Erst danach können Sie die Zugriffsrechte definieren. Die benötigte Einstellung finden Sie auf der Registerkarte “Zugriff und Schutz” im Bereich “Datenzugriff”.

Die Option “Datenschutz für Modell” legt zunächst fest, ob das Modell auch anderen Benutzern außer dem Eigentümer angezeigt wird. Darüber hinaus ist es möglich, zeilenbasierte Berechtigungen zu konfigurieren, die in anderen Modellen nicht verfügbar sind. Wenn Sie also die Option “Datenschutz für Modell” aktivieren, können die Daten nur vom Eigentümer des Modells und von Benutzerrollen, denen der Zugriff gewährt wurde, angezeigt werden.

Anschließend kann die Rollendefinition erfolgen. Dabei können Sie bei der Definition der Lese- und Schreibzugriffe logische Ausdrücke verwenden, um den Zugriff einzuschränken. So können Sie die Rollendefinition flexibel gestalten.

Ihnen stehen folgende Operatoren zur Verfügung:

  • Relationsoperatoren wie <, <=,=, =>, >
  • BETWEEN, um einen Bereich festzulegen
  • CONTAINS, um ein Muster festzulegen
  • IS_CURRENT_USER, um zu prüfen, ob der Attributwert mit der Benutzer-ID des angemeldeten Benutzers übereinstimmt. Nützlich, wenn verantwortliche Personen in Stammdaten gepflegt sind.

Planungswerkzeuge im Vergleich - SAP BW IP vs. BPC vs. SAC

Datenzugriffskontrolle in Dimensionen
(Data Access Control in Dimensions)

Neben der vorgestellten Möglichkeit, den Datenzugriff über die Rollendefinition zu definieren, können Sie Datenzugriffsrechte auch direkt in den Dimensionen des Modells festlegen. Dabei können Sie die Datenzugriffskontrolle für einzelne Dimensionen des Modells aktivieren.

Wenn diese Option aktiviert ist, werden in Stammdaten der jeweiligen Dimension Lese- und Schreibspalten hinzugefügt, in denen Sie einen Verantwortlichen zuweisen können. So können Sie definieren, welche Benutzer oder Teams Zugriff auf die einzelnen Elemente der Dimension haben. Beachten Sie bitte dabei, dass Lese- und Schreibrechte auf Knoten immer auf die Unterelemente des Knotens vererbt werden.

 

Im obigen Beispiel hat der Benutzer "LMORLOCK" nur Lese- und Schreibzugriff auf den Baumknoten California und dessen Blatt.

Unterschiede

Beide Optionen erlauben es, Datenzugriffsberechtigungen sowohl auf Zeilen- als auch auf Spaltenebene zu definieren. Bei der Option “Datenschutz für Modell” werden Rollen, die Dimensionen enthalten, Benutzern zugeordnet.  Bei der zweiten Option, “Datenzugriffskontrolle in Dimensionen”, erfolgt die Zuordnung der berechtigten Benutzer nicht über eine Rolle, sondern in den einzelnen Dimensionen. 

Allerdings existieren auch entscheidende Unterschiede. So ist es der Option “Datenschutz für Modell” möglich Rollen anzulegen, die mehrere Modelle enthalten. Die Option “Datenzugriffskontrolle in Dimensionen” dagegen bezieht sich nur auf das jeweilige Modell. Eine modulübergreifende Definition der Berechtigungen ist somit nicht möglich. Die Berechtigungen müssen pro Modell individuell vergeben werden.

Außerdem müssen bei der Option “Datenzugriffskontrolle in Dimensionen” zunächst die Stammdaten vorhanden sein. Erst danach können Berechtigungen vergeben werden. Es ist auch nicht möglich, Berechtigungen mithilfe eines Musters (wie z.B. CONTAINS) zu definieren.

Demgegenüber können über die Option “Datenschutz für Modell” die Berechtigungen flexibel werden. Bei der Definition der Berechtigungen können logische Ausdrücke wie größer, kleiner, BETWEEN oder CONTAINS verwendet werden. So müssen die Stammdaten nicht zwingend vorhanden sein.

Berechtigungskonzept von SAP Analytics Cloud - Unser Fazit

Letztendlich hängt die Entscheidung von den jeweiligen Anforderungen ab. Zu empfehlen ist jedoch die Option “Datenschutz für Modell”. Diese ermöglicht eine flexible Definition von Berechtigungen. Darüber hinaus wird auch die Maintenance erleichtert.

Interessieren Sie sich für das Thema SAP Analytics Cloud? Versuchen Sie das nötige Know-How in Ihrer Abteilung aufzubauen? Oder benötigen Sie Unterstützung bei einer konkreten Fragestellung? Fordern Sie noch heute ein unverbindliches Beratungsangebot an!