ORKBW3

SAP BUSINESS INTELLIGENCE

FORMACIN AVANZADA SAP BW AUTORIZACIONES BW 7.0

MANUAL CURSO ORKBW3 VERSIN: 1103 DURACIN: __H

SAP Business Intelligence

Formacin avanzada SAP BW

1.
1.1.

INTRODUCCIN................................................................................................................... 3
PRERREQUISITOS PARA UTILIZAR EL NUEVO CONCEPTO DE AUTORIZACIN A DATOS ............................4 MARCAR EL CONCEPTO QUE ACTUAR EN EL SISTEMA......................................................................4 ACTIVARLAS TRES CARACTERSTICAS ESPECIALES ..........................................................................5

1.1.1. 1.1.2.

2.
2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8.

EJEMPLO ............................................................................................................................. 5
FLAG RELEVANTE PARA AUTORIZACIN ..........................................................................................6 CREACIN DE LOS USUARIOS .........................................................................................................7 CREACIN ROL ZBW_REPORTING.............................................................................................7 CREACIN DE LAS AUTORIZACIONES...............................................................................................8 CREACIN ROLES DE ACCESO A DATOS ........................................................................................10 ASIGNACIN DE ROLES A LOS USUARIOS .......................................................................................10 EJECUCIN DE LOS INFORMES .....................................................................................................11 EJERCICIO II ..............................................................................................................................14

3. 4.

ANEXO I TRANSACCIN RSECADMIN ........................................................................ 15 ANEXO II OBSERVACIONES ......................................................................................... 20

DIFERENCIA PRINCIPAL AUTORIZACIONES BW 3X VS BI 7.0............................................................20 AUTORIZACIONES PARA ATRIBUTOS SIN RESTRINGIR EL INFOOBJETO. ..............................................20 S_RS_ICUBE, S_RS_MPRO, S_RS_ISET, S_RS_ODSO ......................................................20 OBJETOS DE AUTORIZACIN: S_RS_* .........................................................................................20 NOTAS OSS ..............................................................................................................................22

4.1.1. 4.1.2. 4.1.3. 4.1.4. 4.1.5.

5. 6.

ANEXO III FLAG RELEVANTE PARA AUTORIZACIN............................................. 22 ANEXO IV ENTRANDO EN UN POCO MS DE DETALLE ...................................... 22
CARACTERES ESPECIALES .......................................................................................................22 AUTORIZACIONES PARA RATIOS ................................................................................................22 AUTORIZACIONES EN NODOS DE JERARQUAS .............................................................................23 0BI_ALL...............................................................................................................................23 MIGRACIN DE AUTORIZACIONES...............................................................................................24

6.1.1. 6.1.2. 6.1.3. 6.1.4. 6.1.5.

Autor: Oreka IT Versin: 1103

Fecha: 10.03.2011
Pgina 2 de 24

SAP Business Intelligence

Formacin avanzada SAP BW

1. INTRODUCCIN Las autorizaciones determinan el nivel de acceso de un usuario en un sistema. Las autorizaciones en un sistema SAP BW se complementan con respecto a las autorizaciones de un sistema transaccional SAP R/3 aadiendo el concepto de autorizacin de anlisis (o a dato).

La gestin de las autorizaciones a dato (qu puedo ver) se realiza principalmente desde la transaccin RSECADMIN. Esto es debido a que a pesar de que dos usuarios puedan ver informes (autorizacin a qu accin pueden realizar, al estilo de SAP R/3) tambin se puede filtrar a nivel de autorizacin el contenido del informe que cada usuario puede ver (autorizacin a nivel de dato). Por ejemplo cada usuario nicamente podr ver datos de su centro de trabajo para un informe concreto. En general cuando hay que dar de alta a un usuario hay que plantearse las siguientes preguntas: - qu actividades puede hacer? roles al estilo de SAP R/3 (reporting, planificacin, desarrollo, parametrizacin, ) - qu informacin puede ver (y dnde se encuentra dicha informacin)? autorizaciones a dato e infoprovider - a qu mens puede acceder? mens en roles Respecto a las autorizaciones de acceso a datos, en un sistema SAP BW 7.0 se puede mantener el viejo concepto de autorizacin o bien utilizar el nuevo.

Para la nueva versin SAP BW 7.3 nicamente se podr utilizar el nuevo concepto de autorizaciones a datos gestionado a travs de la transaccin RSECADMIN.

Autor: Oreka IT Versin: 1103

Fecha: 10.03.2011
Pgina 3 de 24

SAP Business Intelligence

Formacin avanzada SAP BW

1.1.

Prerrequisitos para utilizar el nuevo concepto de autorizacin a datos 1.1.1. Marcar el concepto que actuar en el sistema.

Transaccin SPRO / IMG referencia SAP Gua de implementacin de customizing SAP / SAP Netweaver / Business Intelligence / Parametrizaciones de reporting y anlisis / Autorizaciones de anlisis: Seleccionar concepto.

Autor: Oreka IT Versin: 1103

Fecha: 10.03.2011
Pgina 4 de 24

SAP Business Intelligence

Formacin avanzada SAP BW

1.1.2.

Activarlas tres caractersticas especiales

Activar a partir del Business Content de SAP BW las siguientes tres caractersticas: 0TCAACTVT - Actividad en autorizaciones de anlisis 0TCAIPROV - Autorizaciones para InfoSitio 0TCAVALID - Validez de una autorizacin Adems marcarlas como relevantes para autorizacin.

Esas tres caractersticas se utilizan como caractersticas especiales a la hora de crear una autorizacin ya que nos va a determinar: - actividad que se puede hacer sobre el dato (visualizar, modificar, ) - infositio al que tenemos acceso (cubo concreto, ) - validez de la autorizacin en el caso de que necesitemos que la autorizacin sea dependiente de la fecha (slo tener autorizacin a esos datos los dos primeros meses del ao, )

2. EJEMPLO Vamos a trabajar sobre un ejemplo concreto, para explicar el nuevo concepto de autorizaciones. Imaginemos que tenemos un cubo con los datos de ventas por cliente. Y tenemos tres tipos de usuarios: - usuario responsable del cliente 1 [USU_1] - usuario responsable de los clientes 2 y 3 [USU_2] - usuario responsable de ventas globales [USU_T] De manera que el usuario USU_1 nicamente podr ver datos referentes al cliente 1, el USU_2 slo tendrn acceso a los datos de los clientes 2 y 3. El usuario USU_T tendr acceso a los datos completos. Los tres usuarios tendrn las mismas autorizaciones a nivel de qu pueden hacer (visualizar informes). Para llegar a montar el escenario deseado haremos: Creacin de los usuarios USU_1, USU_2, USU_T Creacin del rol ZBW_REPORTING Marcar el flag relevante para autorizacin Creacin de autorizaciones Creacin de roles Asignacin de roles Creacin de variable de autorizacin

Autor: Oreka IT Versin: 1103

Fecha: 10.03.2011
Pgina 5 de 24

SAP Business Intelligence

Formacin avanzada SAP BW

2.1. Flag relevante para autorizacin Primero marcaremos el flag de relevante para autorizacin en la caracterstica cliente (JCC_CLTE):

Con el nuevo concepto, una vez tengamos una caracterstica marcada como relevante para autorizaciones, el usuario deber contener una autorizacin que restringa dicha caractersticas (o bien pueda acceder a todo *). En versiones anteriores hasta que no se creaba el objeto de autorizacin el flag aunque estuviese marcado no entraba en juego. En un proyecto de cambio al nuevo concepto lo primero que se tendr que hacer es revisar cules de las caractersticas marcadas en el sistema son tenidas en cuenta desde el punto de vista de autorizaciones y cuales es necesario desmarcar porque realmente no se utilizan.

Autor: Oreka IT Versin: 1103

Fecha: 10.03.2011
Pgina 6 de 24

SAP Business Intelligence

Formacin avanzada SAP BW

2.2. Creacin de los usuarios Creamos los tres usuarios:

2.3.

Creacin rol ZBW_REPORTING

Utilizamos como modelo S_RS_RREPU - Rol BI: Usuario reporting Asociamos a dicho rol los tres usuarios creados

Quitamos la autorizacin a todo el contenido de los cubos

Autor: Oreka IT Versin: 1103

Fecha: 10.03.2011
Pgina 7 de 24

SAP Business Intelligence

Formacin avanzada SAP BW

2.4. Creacin de las autorizaciones Creamos las autorizaciones ZCLI_1, ZCLI_2 y ZCLI_T En la transaccin RSECADMIN, en la pestaa de Autorizaciones, botn Act.

Aadimos las caractersticas especiales (0TCAACTVT, 0TCAIPROV, 0TCAVALID)) mediante el botn

Autor: Oreka IT Versin: 1103

Fecha: 10.03.2011
Pgina 8 de 24

SAP Business Intelligence

Formacin avanzada SAP BW

Le damos el valor correspondiente a nuestro cubo en la autorizacin para InfoSitio

Aadimos la caracterstica de Cliente y le asignamos la autorizacin al cliente 1.

Idem para las autorizaciones a los clientes 2 y 3; y para la autorizacin a todos.

Autor: Oreka IT Versin: 1103

Fecha: 10.03.2011
Pgina 9 de 24

SAP Business Intelligence

Formacin avanzada SAP BW

2.5. Creacin roles de acceso a datos Creamos los roles asociados a las autorizaciones recin creadas. Para ello utilizamos el objeto de autorizacin: S_RS_AUTH

2.6. Usuario USU_1 USU_2 USU_T

Asignacin de roles a los usuarios Rol accin ZBW_REPORTING ZBW_REPORTING ZBW_REPORTING

Rol contenido ZBW_REP_CLI_1 ZBW_REP_CLI_2 ZBW_REP_CLI_T

Autor: Oreka IT Versin: 1103

Fecha: 10.03.2011
Pgina 10 de 24

SAP Business Intelligence

Formacin avanzada SAP BW

2.7.

Ejecucin de los informes

Vamos a ejecutar la misma query por los tres usuarios. La ejecucin para un usuario con acceso completo es la siguiente

Para Junio de 2010

Ejecucin para usuario USU_1 (/orekait)

Al intentar ejecutar la query tal y como est ahora aparece un error de autorizacin ya que se est intentando acceder a todos los datos.

Autor: Oreka IT Versin: 1103

Fecha: 10.03.2011
Pgina 11 de 24

SAP Business Intelligence

Formacin avanzada SAP BW

Para que nicamente salgan los datos a los que est cada usuario autorizado hace falta aadir una variable que los filtre. Para ello en la query se aade una variable de autorizacin.

Pantalla de seleccin al ejecutar el libro de trabajo

Resultado

Autor: Oreka IT Versin: 1103

Fecha: 10.03.2011
Pgina 12 de 24

SAP Business Intelligence

Formacin avanzada SAP BW

Usuario USU_2

Usuario USU_T

Autor: Oreka IT Versin: 1103

Fecha: 10.03.2011
Pgina 13 de 24

SAP Business Intelligence

Formacin avanzada SAP BW

2.8.

Ejercicio II

Vamos a complicar un poco el escenario. Supongamos que queremos que el usuario T no tenga acceso a los importes. nicamente debe poder ver las cantidades.

Para ello utilizar la caracterstica 0TCAKYFNM en la autorizacin que utiliza el usuario USU_T. Ejecucin resultante USU_T

USU_1

USU_2

Resumiendo: - creacin de autorizacin - asignacin de la autorizacin a un rol mediante el objeto S_RS_AUTH - asignacin del rol a usuario - utilizacin de variables de autorizacin en las queries

Autor: Oreka IT Versin: 1103

Fecha: 10.03.2011
Pgina 14 de 24

SAP Business Intelligence

Formacin avanzada SAP BW

3. ANEXO I TRANSACCIN RSECADMIN Se utiliza la transaccin RSECADMIN para la gestin del nuevo concepto de autorizacin de anlisis (o autorizaciones a datos).

En la primera pestaa Autorizaciones utilizaremos el siguiente botn para la creacin y mantenimiento de autorizaciones de anlisis.

El botn de Generacin se utiliza para generar automticamente las autorizaciones a partir de los datos contenidos en un ODS. El ODS ha de ser especial y contener los campos (0TCTUSERNM, 0TCTAUTH, 0TCTADT0) y valores necesarios para dicha generacin.

Mediante el botn de Transp. asignamos las autorizaciones que queremos transportar a una orden.

Autor: Oreka IT Versin: 1103

Fecha: 10.03.2011
Pgina 15 de 24

SAP Business Intelligence

Formacin avanzada SAP BW

A la hora de crear las autorizaciones existen unas caractersticas especiales a tener en cuenta:

De manera que nos restringirn el acceso por actividad, inforea, infoprovider, fecha de validez y ratios, respectivamente. En la pestaa Usuario encontramos aquellos botones que nos permitirn:

asignar las autorizaciones directamente a los usuarios (sin necesidad de incluirlas en un rol a travs del objeto S_RS_AUTH).

Autor: Oreka IT Versin: 1103

Fecha: 10.03.2011
Pgina 16 de 24

SAP Business Intelligence

Formacin avanzada SAP BW

transportar las asignaciones de autorizaciones a usuarios creadas acceso a la transaccin SU01 acceso a la transaccin PFCG

La ltima pestaa son las herramientas de anlisis:

En este punto podemos ejecutar una query como si fusemos otro usuario de manera que lleguemos a comprobar a qu tiene acceso y a qu no. Es la mejor manera de probar las autorizaciones a datos recin creadas.

Autor: Oreka IT Versin: 1103

Fecha: 10.03.2011
Pgina 17 de 24

SAP Business Intelligence

Formacin avanzada SAP BW

Ejecutaremos como el usuario que queremos probar, marcaremos el flag de log.

Seleccionamos la query a ejecutar

En caso de que dicha query tenga pantalla de seleccin introduciremos los valores necesarios

Se visualiza el resultado de la ejecucin tal y como la vera el usuario que hemos seleccionado

Autor: Oreka IT Versin: 1103

Fecha: 10.03.2011
Pgina 18 de 24

SAP Business Intelligence

Formacin avanzada SAP BW

Se crea un log donde aparecern las caractersticas relevantes para autorizacin que haba en dicha ejecucin as como el resultado debido a las autorizaciones que tena el usuario.

Valores a los que el usuario tiene autorizacin

Resultado del cruce entre peticin y autorizacin

Autor: Oreka IT Versin: 1103

Fecha: 10.03.2011
Pgina 19 de 24

SAP Business Intelligence

Formacin avanzada SAP BW

4. ANEXO II OBSERVACIONES 4.1. Diferencia principal autorizaciones BW 3x vs BI 7.0 En BW 3.x las autorizaciones se activan a nivel de InfoCubo (RSSM obsoleta) mientras que en BI 7.0 la autorizacin est a nivel del infoobjeto (en concreto a nivel de caracterstica), una vez marcado como relevante aplica a todos los infoproviders. en una migracin los objetos marcados como relevantes para autorizacin pero que no estn siendo mantenidos en BW 3.x ahora o bien se mantienen o se les ha de quitar el flag de relevantes para autorizacin.

4.1.1. Autorizaciones para atributos sin restringir el infoobjeto. Por ejemplo con la versin 7.0 se puede mantener autorizaciones a nivel de atributos (para 0EMPLOYEE el sueldo) sin necesidad de buscar otras soluciones como en versin BW 3.x (hacer un ZEMPLOYEE que contuviese los atributos que se queran restringir. Eso daba problemas a la hora de utilizar luego multiproviders).

4.1.2. S_RS_ICUBE, S_RS_MPRO, S_RS_ISET, S_RS_ODSO Los objetos de autorizacin S_RS_ICUBE, S_RS_MPRO, S_RS_ISET, S_RS_ODSO no se comprueban en reporting pero son necesarias para tareas de mantenimiento y desarrollo

4.1.3. Objetos de autorizacin: S_RS_* Objetos de autorizacin interesantes para SAP BI: aquellos que empiezan por S_RS_* Autor: Oreka IT Versin: 1103 Fecha: 10.03.2011
Pgina 20 de 24

SAP Business Intelligence

Formacin avanzada SAP BW

Por ejemplo:
S_RS_BCS

(SAPBusinessExplorer, orBEx, SAP Business Explorer, or Ex, Broadcasting Authorization to Schedule) enables users to distribute their reports to other users and themselves. As shown in the example, you can set S_RS_BCS to all activities and full authorization. Dont allow users to distribute only specific reports; rather, consider restricting confidential reports from being automatically distributed by entering only the usable BI report IDs.
S_RS_BTM (BEx Web Templates)

enables users to run queries, such as the following, in a Web environment: single reports or complex reports that you integrate with your SAP NetWeaver Portal and that Internet Explorer accesses. You can set this option to Display and Execute so that the users of this role cannot change a WebReport or its design. They can only be report consumers.
S_RS_COMP (Components)

creates queries, structures, variables, and any query components. Here you can grant users the rights to execute queries and to view them, so users cant create queries, structures, variables, or any query component unless they have the appropriate rights. To create a power user (a user who can maintain, create, delete, or modify existing queries), you must grant the user all rights to queries, structures, variables, and any query components. Authorization is granted to queries, query views, and Display and Execute activities.
S_RS_COMP1 (Components: Enhancements to the Owner)

enables users only to execute, display, or change (depending on your settings) queries or views that a specific user created. (The person who creates a report is defined as the owner in SAP terms.) You can enable the same settings as S_RS_COMP, but you must enter the all access but you must enter the all access indicator (*) in the owner (person responsible) field. You can allow access to only the particular user who can change the query, or you can assign the role to all users and restrict a specific user from changing the query. Using this setting you can separate the activities maintained in S_RS_COMP (for all users) from those of the query owner in S_RS_COMP1. For example, I cant change a query that my colleague created, but I can change my own queries if I have permission to write them.
S_RS_ERPT (Enterprise Reports)

grants users privileges to run or create reports. For example, you can set this option to Display and Execute only, so the user can view and run only those reports that have been created with SAP Report Designer. The user in user group A needs to be able to execute the report with display-only access.

Autor: Oreka IT Versin: 1103

Fecha: 10.03.2011
Pgina 21 de 24

SAP Business Intelligence

Formacin avanzada SAP BW

4.1.4.

Notas OSS

820183: New Authorization Concept in BI 964905: New concepts and generation of analysis authorizations

5. ANEXO III FLAG RELEVANTE PARA AUTORIZACIN en reporting pestaa Business Explorer en las caractersticas en atributos pestaa Atributos en las caractersticas (en la nueva versin existe la posibilidad de fijar autorizaciones a nivel de atributos) en datos maestros pestaa Datos maestros (posibilidad de verificar la actualizacin de datos maestros)

6. ANEXO IV ENTRANDO EN UN POCO MS DE DETALLE 6.1.1. caracteres especiales * (asterisco) denota un sistema de caracteres arbitrarios + (ms) delimita exactamente un carcter (ZMPUC0+) slo se puede usar en medio con 0TCAVALID (01/++/2008 permite slo el acceso al primer da de cualquier mes de 2008) : (dos puntos) permite el acceso slo agregado a la informacin (por ejemplo para permitir el acceso a todas las reas de ventas a nivel agregado pero no permite el desglose para ver cada rea)

6.1.2. autorizaciones para ratios Incluir 0TCAKYFNM como caracterstica en la autorizacin.

Nota: una vez definida la autorizacin relevante 0TCAKAYFNM los ratios son chequeados para cada infoprovider.

Autor: Oreka IT Versin: 1103

Fecha: 10.03.2011
Pgina 22 de 24

SAP Business Intelligence

Formacin avanzada SAP BW

6.1.3.

autorizaciones en nodos de jerarquas

Tipos de autorizaciones en jerarquas:

6.1.4. 0BI_ALL Se utiliza para dar acceso completo a datos (al estilo de un SAP_ALL para acciones)

Al marcar nuevos flags de objetos relevantes para autorizacin se tiene que actualizar la autorizacin 0BI_ALL. Se hace a travs de la transaccin PFCG, Detalles / Actualizar autorizacin 0BI_ALL.

Autor: Oreka IT Versin: 1103

Fecha: 10.03.2011
Pgina 23 de 24

SAP Business Intelligence

Formacin avanzada SAP BW

6.1.5. migracin de autorizaciones Programa RSEC_MIGRATION

Para ms informacin, comentarios, correcciones, puedes contactar con nosotros en el mail: area-bi@orekait.com

Autor: Oreka IT Versin: 1103

Fecha: 10.03.2011
Pgina 24 de 24