Berechtigungen in SAP BW, HANA und BW/4HANA

In Zeiten von Big Data und dem Internet of Things (IoT) bilden Daten eine immer wichtiger werdende Ressource für Unternehmen. Gleichzeitig stellt das kontinuierliche Wachstum an Informationen.

Mit SAP HANA hat die SAP ihren Kunden eine Technologie zur Verfügung gestellt, die komplexe Analysen auf strukturierten und unstrukturierten Daten gleichermaßen in Echtzeit ermöglicht. HANA ist nicht nur eine In-Memory-Datenbank für Anwendungen wie S/4HANA und BW, sondern es bietet eine komplette Entwicklungsumgebung für eigene native Anwendungen.

Berechtigungen in SAP BW, HANA und BW/4HANA

Unter dem Stichwort Enterprise Information Management (EIM) oder HANA Data Warehouse lassen sich erstmals auch native SAP-Data-Warehouse-Lösungen jenseits von SAP BW betreiben. Dennoch wird Business Warehouse nicht durch HANA ersetzt, die Data-Warehousing-Welt der SAP wird nur breiter und agiler.

Dieses Buch soll Ihnen, zumindest für den Bereich der Berechtigungen, die Angst nehmen und Ihnen Schritt für Schritt zeigen, wie Sie auch in modernen Hybrid-Systemen und mit unterschiedlichen Technologien jederzeit den unkontrollierten Zugriff auf Daten unterbinden.

Berechtigungen in SAP BW

Das SAP Business Warehouse, kurz SAP BW, ist wie alle Data-Warehouses ein OLAP(»Online Analytical Processing«)-System. Im Gegensatz zu transaktionalen Systemen wie dem SAP ERP, die in erster Linie für klassische Buchungen genutzt werden, stehen hier die Aufbereitung und Auswertung großer Datenbestände aus oft unterschiedlichen Quellen im Vordergrund. Daraus ergeben sich auch für das Berechtigungskonzept zusätzliche Anforderungen.

Da die Daten im BW i.d.R. aus unterschiedlichen Modulen oder Systemen stammen und die Modelle eine Vielzahl an Dimensionen und Attributen besitzen können, sind die Anforderungen an das Berechtigungsmanagement deutlich höher als bei einem klassischen ERP-System. Neben den SAP-Standardberechtigungen nutzt das SAP BW daher auch ein weiteres, BW-spezifisches Konzept, die sogenannten Analyseberechtigungen.

Vereinfacht könnte man sagen: Die Standardberechtigungen regulieren den reinen Zugriff, entscheiden also, ob ein Anwender einen bestimmten Bericht überhaupt ausführen darf, die Analyseberechtigungen aber sind ausschlaggebend dafür, welche Daten dem Anwender im Berichtsergebnis angezeigt werden.

Benutzer, Rollen und Standardberechtigungen

In Bezug auf die Benutzer- und Rollenverwaltung unterscheidet sich das SAP BW nicht stark vom SAP ERP, allerdings werden nicht alle Funktionalitäten gleichermaßen genutzt. Wir werden uns im Folgenden daher auf die für das SAP BW relevanten Bereiche des SAP-Standardberechtigungswesens konzentrieren.

Benutzer

Das Benutzer-Management und insbesondere die getrennte Verwaltung von Benutzern und Berechtigungen (Stichwort »Vieraugenprinzip«) ist ein zu komplexes Thema, um es an dieser Stelle in Gänze zu behandeln. Für unsere späteren Beispiele in diesem Buch benötigen wir aber zumindest ein Grundverständnis von der Benutzeranlage. Und genau das wollen wir in diesem Abschnitt liefern.

User werden über die Transaktion SU01 (»Benutzerpflege«) angelegt (Abbildung 1.1).

Berechtigungen

Standardberechtigungen werden in allen SAP-ABAP-Systemen verwendet. Dabei werden vordefinierte Berechtigungsobjekte ausgeliefert, die in Berechtigungsklassen gruppiert sind. Jedes Berechtigungsobjekt besitzt eine Reihe von Eigenschaften, sogenannte Berechtigungsfelder, die einzeln ausgeprägt werden können

Über die Transaktion SU21 erhalten wir eine Übersicht aller im System vorhandenen Berechtigungsobjekte, gegliedert nach Klassen (siehe Abbildung 1.5, Ausschnitt aller Objekte). Für das SAP Business Warehouse ist insbesondere die Klasse RS (»Business Warehouse«) von Interesse, die alle Berechtigungsobjekte enthält, die man zum Arbeiten mit dem SAP BW benötigt.

Für jede relevante Aktion im BW gibt es jeweils ein eigenes Berechtigungsobjekt, z.B. eines für das Anlegen und die Nutzung von CompositeProvidern (S_RS_HCPR), eines für BW-Queries (S_RS_COMP), ein weiteres für Analysis-Office-Dokumente (S_RS_AO) usw. Einige dieser Berechtigungsobjekte sind v. a. für Administratoren oder Entwickler relevant, andere werden auch beim Zugriff auf Daten durch den Endanwender geprüft.

Datenberechtigungen

Denn wenn ein Anwender auf einen Report zugreifen darf, bedeutet das noch lange nicht, dass er auch Daten im Bericht angezeigt bekommt. Dazu sind Analyseberechtigungen notwendig, mit deren Hilfe sichergestellt wird, dass jeder Anwender beim Zugriff auf das SAP BW nur die für ihn bestimmten Daten sieht. Beispielweise soll ein Controller beim Aufruf eines Kostenstellenberichts nur die Daten seiner eigenen Kostenstelle sehen und nicht die seiner Kollegen. Dennoch wollen Sie natürlich nicht für jede Kostenstelle einen separaten Bericht bauen.

Im Gegensatz zu den weitestgehend von SAP vordefinierten Berechtigungsobjekten liegen der Aufbau und die Ausgestaltung der Analyseberechtigungen gänzlich in der Verantwortung des Kunden.

Modellierungswerkzeug SAP GUI

Wie bei den Rollen findet auch die Modellierung der Analyseberechtigungen in BW 7.5 und BW/4HANA weiterhin in der SAP GUI statt. Lediglich wenn im Rahmen des Berechtigungskonzepts InfoObjekte, Queries oder Variablen angefasst werden müssen, nutzen wir die Eclipse-basierten BW-Modeling-Tools (BW-MT).

Berechtigungsrelevante Objekte

Das Grundkonzept der Analyseberechtigungen ist die Definition von Objekten mit schützenswerten Inhalten. Das bedeutet, dass zunächst diejenigen InfoObjekte ermittelt werden, anhand derer die Anwender später berechtigt werden sollen.

Berechtigungen in SAP HANA

Berechtigungen sind in SAP HANA ein wichtiger Bestandteil der Systemadministration. Auch SAP HANA bietet, ähnlich dem ABAP-Applikationsserver oder SAP Business Warehouse, je nach Art des Zugriffs oder der Aktion verschiedene Berechtigungstypen an.

Insgesamt gibt es in HANA fünf Formen von Berechtigungen. Diese unterscheiden sich je nach Anwendungsgebiet in ihrer Anlage und den Möglichkeiten der Modellierung:

• Systemprivilegien,
• Objektprivilegien,
• Paketprivilegien,
• Applikationsprivilegien und
• analytische Privilegien.

Rollen können wie im BW für eine Sammlung verschiedener Privilegien genutzt und einem Benutzer zugeordnet werden.

Benutzer, Rollen und Standardberechtigungen in SAP HANA

In den folgenden Abschnitten sollen Sie einen Überblick über die Administration von Benutzern, Berechtigungen und Rollen bekommen. Wir werden einen Blick auf die verschiedenen Administrations- und Modellierungsoberflächen in der Web IDE werfen sowie vermitteln, was die genauen Aufgaben und Möglichkeiten der jeweiligen Objekte sind bzw. wie Sie diese verwalten

Benutzer

Nach der Anmeldung in der Web IDE und einem Klick auf den Button Security gelangen wir über den Menüpfad Security • Users • in die Benutzerverwaltung des gewählten Benutzers, wie in Abbildung 2.2 gezeigt

Standardberechtigungen

Die Verwaltung der einzelnen Privilegien und Rollen finden Sie ebenfalls in der Benutzerverwaltung, aufgeteilt in mehrere Reiter für Rollen und entsprechend den existierenden Privilegientypen (Abbildung 2.3).

Systemprivilegien werden hauptsächlich für administrative Zwecke verwendet. Darunter fallen Aktivitäten wie das Erstellen und Löschen von Schemata, die Verwaltung von Benutzern und Rollen, das Erstellen von Back-ups, Monitoring, Tracing usw.

Berechtigungen in SAP BW on HANA und BW/4HANA

Nachdem wir uns in den ersten beiden Kapiteln mit Berechtigungen getrennt nach SAP BW und SAP HANA befasst haben, kommen wir zu dem für die meisten Leser wohl spannendsten Teil: dem Zusammenspiel beider Technologien in einem BW on HANA- oder BW/4HANA-System mit hybriden Szenarien: Architekturen, in denen sowohl BW- als auch HANA-native Modelle verwendet werden.

Im Folgenden untersuchen wir drei Varianten hybrider Szenarien:

1. werden wir zeigen, wie sich HANA-native Daten mit BW-Mitteln auswerten lassen und

2. den umgekehrten Fall betrachten, also, wie BW-Daten mit HANA-Mitteln genutzt werden können. Für die Berechtigungen soll jeweils das auswertende System zuständig sein, um eine doppelte Pflege zu vermeiden.

3. Zu guter Letzt sehen wir uns an, welche Möglichkeiten bestehen, Analyseberechtigungen und analytische Privilegien synchron zu halten, wenn beide Systeme gleichberechtigt genutzt werden, also keines der beiden das führende ist (siehe Abbildung 3.1)

Gegenüberstellung SAP-BW- und SAP-HANA-Berechtigungen

Bevor wir uns mit den kombinierten Szenarien im Detail beschäftigen, fassen wir an dieser Stelle noch einmal kurz die wichtigsten Unterschiede zwischen BW- und HANA-Datenberechtigungen zusammen.

Gegenüberstellung SAP-BW- und SAP-HANA-Berechtigungen

Bevor wir uns mit den kombinierten Szenarien im Detail beschäftigen, fassen wir an dieser Stelle noch einmal kurz die wichtigsten Unterschiede zwischen Business Warehouse- und HANA-Datenberechtigungen zusammen.

Berechtigungsprüfung

Während im BW Query und Berechtigung zwei unabhängige Objekte sind und eine explizite Prüfung der Berechtigungen gegen die Selektion der Anfrage stattfindet, die entweder positiv oder negativ ausfällt (Alles-oder-nichts Prinzip), werden in HANA die Restriktionen des analytischen Privilegs direkt in die WHERE-Klausel der Abfrage eingebunden und schränken damit die abgerufenen Daten automatisch ein. Eine explizite Berechtigungsprüfung findet nicht statt, der Anwender erhält grundsätzlich ein Ergebnis – im Zweifel eben eine leere Menge.

Berechtigungsrelevante Objekte/Felder

Im BW werden die schützenswerten Objekte zentral festgelegt und dann explizit für jedes Modell berechtigt, in dem sie verwendet werden. Für HANA-Modelle wird dagegen lediglich festgelegt, ob ein Schutz, bzw. genauer, eine Einschränkung anzuwenden ist. Die einzuschränkenden Objekte werden in jedem Privileg individuell festgelegt, sodass verschiedene User auf demselben Modell auch auf unterschiedlichen Feldern eingeschränkt sein können.

Beteiligte Provider und Sichten

Während im BW die Analyseberechtigungen beim Zugriff auf ein Datenmodell zwingend geprüft werden, lässt sich dies in HANA für jedes Modell individuell festlegen. Im BW findet die Prüfung immer nur auf der obersten Schicht statt, also dem InfoProvider, auf dem die Abfrage aufsetzt. Für in diesem Provider ggf. enthaltene weitere Provider benötigt der Anwender keine explizite Berechtigung. In einem HANA-nativen Szenario wird dagegen jede im Datenmodell beteiligte View geprüft, für die die Prüfung eingeschaltet wurde, auch wenn sie sich auf einer tieferen Ebene befindet.

Varianten von Berechtigungen

HANA kennt zwar flache und Hierarchieberechtigungen, ebenso wie statische und dynamische Berechtigungen – ein Standardkonzept für berechtigte Kennzahlen oder Aggregationsberechtigungen existiert jedoch nicht. Auch für Szenarien analog zur Generierung von Berechtigungen im BW muss man sich im HANA-nativen Fall mit eigener Programmierung behelfen.

Multidimensionale Berechtigungen

Aufgrund der Übersetzung von Berechtigungen in SQL-Ausdrücke mit WHERE-Bedingung bereiten multidimensionale Berechtigungen in HANA keine Probleme, während sie auf BW-Seite schnell größere Anstrengungen erfordern. Letztlich liegt die Ursache dafür nicht bei den Berechtigungen selbst, sondern ist der Wirkungsweise von Selektions- und Filtervorgängen auf InfoObjekten im OLAP-Prozessor geschuldet. Als Konsequenz daraus erhält der Anwender in HANA, im Gegensatz zum BW, stets alle berechtigten Werte in einer Ergebnismenge angezeigt, ohne dass eine zusätzliche manuelle Selektion notwendig ist.

Verwendung von Namensräumen in Berechtigungen

Während im SAP BW sowohl bei Standard- als auch bei Analyseberechtigungen mit Namensräumen gearbeitet werden kann, müssen in HANA alle Modelle einzeln berechtigt werden. Lediglich bei den alten XML-analytischen-Privilegien konnte man eine Berechtigung auf alle Modelle anwenden; bei den entsprechenden SQL-Privilegien gibt es diese Option nicht. Im Fall von Objektprivilegien können Objekte einzeln berechtigt werden oder das ganze Schema.