Berechtigungen in SAP NetWeaver BW

23

Für Anwender ohne viele Vorkenntnisse in den Bereichen Berechti-gungen und SAP NetWeaver BW ist es reizvoll, zu ersten Ergebnissen zu kommen, ohne die gesamte Komplexität der Analyseberechtigun-gen erfassen zu müssen. Dieses Kapitel führt Sie zügig und Schritt für Schritt zu typischen Anwendungsbeispielen am System.

2 Analyseberechtigungen für Einsteiger: Eine praktische Einführung

Bei allen Versionen bis Release SAP Business Information Warehouse (SAPBW) 3.5 beruhte die gesamte Infrastruktur der BW-Berechtigungen auf derInfrastruktur, die durch die SAP R/3-Basis definiert wurde. Das bedeutet, alleBerechtigungsinhalte wurden in Rollen und Profilen abgelegt, deren Strukturauf Berechtigungsobjekten beruht.

Ab dem Release SAP NetWeaver Business Warehouse 7.0 (zuvor SAP Net-Weaver BI 7.0) wurde eine vollständig neue Infrastruktur geschaffen: dieBerechtigungen für Analyse und Reporting, kurz Analyseberechtigungen.

In diesem Kapitel werden wir die Möglichkeiten des Berechtigungswesens imReporting von BW vorführen. Dazu gehören verschiedene Reportingfeatureswie Intervalle, Hierarchien, Aggregationsberechtigung, Klammerung, mehr-dimensionale Berechtigungen, Berechtigungsvariablen und Maskierung.

2.1 OLAP und Datenberechtigungen

Die Anforderungen an Berechtigungen in Softwaresystemen mit transaktio-naler OLTP-Logik (OLTP = Online Transaction Processing), wie etwa in derWarenwirtschaft verwendet, unterscheiden sich von Softwaresystemen mit

Vorkenntnisse

Wir setzen wenige Kenntnisse des klassischen Berechtigungswesens voraus. Einetiefere Beschäftigung mit dem klassischen Berechtigungswesen ist also für das Ver-ständnis dieses Kapitels nicht notwendig, aber für den täglichen Umgang mit BWhilfreich und darum empfehlenswert.

Analyseberechtigungen für Einsteiger: Eine praktische Einführung2

24

OLAP-Logik in prinzipieller Weise. Unter Systemen mit OLAP-Logik (OLAP= Online Analytical Processing) versteht man Systeme mit benutzerabhängi-gen und interaktiv veränderlichen Sichten auf Daten.

SAP NetWeaver BW umfasst beide Welten und verbindet Lösungen fürbeide Anforderungen miteinander. Kurz gesagt, ist die Lösung für die OLTP-Berechtigungen technisch identisch mit den bekannten R/3- und NetWeaver-Basis-Berechtigungen. Die Lösung für das OLAP-Umfeld sind die Analyse-berechtigungen. Wir werden uns im Folgenden zwar mit beiden Variantenbeschäftigen, der Schwerpunkt wird jedoch bei den vielfältigeren Analyse-berechtigungen liegen.

2.1.1 Vergleich des Berechtigungswesens in OLAP-Systemen und in OLTP-Systemen

Im transaktionalen Umfeld (OLTP = Online Transactional Processing) wie inSAP ERP beziehungsweise SAP NetWeaver sind die Anforderungen an einBerechtigungswesen in der Regel von der Art, dass vor der Ausführung einerTransaktion entschieden wird, ob ein Benutzer die erforderlichen Berechti-gungen für eine bestimmte Aktion besitzt oder nicht. Die Prüfung kann diereine Ausführung der Transaktion selbst enthalten, wird jedoch gewöhnlichauf einer feiner granulierten Ebene einzelner Aktivitäten stattfinden.

Die Struktur und die Objekte der Prüfung sind normalerweise vormodelliertund festgelegt. Beispielsweise kann ein Benutzer die Berechtigung für dasAnlegen einer Bestellung haben oder nicht und die zugehörige Aktion ent-sprechend ausführen oder nicht. Berechtigungsobjekte werden in der Regelausgeliefert. So ist es auch in SAP NetWeaver BW, hier wird eine Reihe BW-spezifischer Berechtigungsobjekte ausgeliefert.

In einem OLAP-System hingegen geht es in der Regel um wenige Transakti-onen wie etwa den BEx Query Designer oder die Ausführung einer Query imWeb oder im BEx Analyzer. Dahinter verbergen sich jedoch umfangreicheDatenzugriffe auf verschiedene Datenmengen oder auch verschiedene Sich-ten auf gleiche Daten, die in einer Query definiert sind. Eine transaktionaleBerechtigungsprüfung stellt hier nur die prinzipielle Ausführungsberechti-gung sicher, während eine nachfolgende OLAP-Berechtigungsprüfung den

Ausnahme bei Auslieferung von Berechtigungsobjekten

Eine Ausnahme stellt das alte Berechtigungskonzept der Reportingberechtigungenin BW dar, bei dem Kunden selbst Berechtigungsobjekte angelegt haben.

OLAP und Datenberechtigungen 2.1

25

spezifischen Datenzugriff analysiert und gegebenenfalls den konkretenZugriff ablehnt.

2.1.2 Berechtigungswesen in SAP NetWeaver BW

Wie bereits erwähnt, enthält BW beide Typen von Berechtigungsprüfungen:

1. Die transaktionale Berechtigungswelt, die über klassische Berechtigungs-objekte modelliert wird; diese Berechtigungsobjekte sind vormodellierterTeil der Auslieferung.

2. Und es gibt in BW die Welt der Zugriffsberechtigungen auf Bewegungs-daten in verschiedensten Kennzahlen, also die OLAP-Welt, die sich aus derModellierung von BW Queries und der Navigation erschließt.

Die Berechtigungsprüfungen mit Berechtigungsobjekten erfordern zwangs-läufig die Verwendung von Rollen beziehungsweise Profilen, die man Benut-zern zuordnet. Für die Analyseberechtigungen haben wir die Wahl, ob wirRollen und Profile verwenden oder ganz in der Welt von BW bleiben möch-ten. Im Normalfall wird man die Analyseberechtigungen immer auch in einRollenkonzept einbinden. Wir werden aber beide Möglichkeiten vorstellen.

2.1.3 Vorlagebenutzer, Rolle und Profil

Da man aber insgesamt in BW nicht ohne die Benutzer- und Rollenpflegeauskommt – denn es gibt ja immer auch noch klassische Berechtigungsprü-fungen –, legen wir als Beispiel einen Benutzer an, der eine Rolle mit einigenzentralen Eigenschaften zugeordnet bekommt. Er soll insbesondere alle Que-ries ausführen dürfen.

Transaktionale Berechtigungsprüfung

Beispielsweise könnte ein Benutzer berechtigt sein, den Umsatz anzuschauen, dermit Kunde »Meier AG« zur Produktgruppe »Waschmittel« gemacht wurde, jedochkönnte der Zugriff für den Umsatz mit dem Kunden »Meier AG« zur Produktgruppe»Kosmetika« abgelehnt werden. Das alles geschieht in der Regel innerhalb einereinzigen Transaktion.

Orientierungshinweis und Vorgehensweise

Wir werden in Kapitel 4, »Standardberechtigungen in SAP NetWeaver BW«, nochgenauer auf die wichtigeren Objekte eingehen. Im vorliegenden Kapitel werdenwir für unsere Beispiele nur die nötigsten Objekte wie etwa S_RS_COMP für dieQuery-Ausführung behandeln.


26

Möchte ein Administrator einem seiner Anwender die Berechtigungen füreine bestimmte Aktion geben, so geschieht dies im Normalfall über die Defi-nition einer Rolle.

Berechtigungen für Transaktionen und BW Queries vergeben

Wir möchten einem Benutzer Berechtigungen für die Transaktionen RSRTund SU53 geben. Das sind zwei nützliche Transaktionen für das Testen vonBerechtigungen. Dazu verwenden wir eine vordefinierte Struktur in Formdes Berechtigungsobjektes S_TCODE, das für die Überprüfung der Ausfüh-rungsberechtigung von Transaktionen zuständig ist.

Außerdem wollen wir einen Benutzer kreieren, der BW Queries ausführenkann. Wir werden hier erlauben, dass er alle BW Queries ausführen darf,aber das ist nicht zwingend. Die Ausführungsberechtigung von Queries wirdmit den Berechtigungsobjekten S_RS_COMP und S_RS_COMP1 geregelt.

Profil/Rolle anlegenWir starten nun die Transaktion zur Rollenpflege (PFCG) und legen mit demButton Einzelrolle eine Rolle mit dem technischen Namen Z_AUTH_BASISan (siehe Abbildung 2.1).

Abbildung 2.1 Rolle anlegen in der Rollenpflege PFCG

Dann geben wir eine Beschreibung ein und speichern das Ergebnis. DasGerüst der Rolle ist nun fertig.

Anmerkung zum Beispielbenutzer

Der R/3-Berechtigungsexperte wird das Vorgehen bereits kennen. Der Beispiel-benutzer dient als Vorlagebenutzer für die weitergehenden Beispiele zu den Ana-lyseberechtigungen und sollte deshalb so oder so ähnlich, wie wir es jetzt zeigen,angelegt werden.


27

Wählen Sie anschließend die Registerkarte Berechtigungen aus, die nochmit einer roten Ampel markiert ist. Diese zeigt an, dass noch keine Berechti-gungen gepflegt wurden (siehe Abbildung 2.2).

Abbildung 2.2 Änderungsmodus der Rollenpflege

In der Ansicht Ändern von Rollen könnten Profilnamen gewählt werden.Wir ignorieren jedoch die eingabebereiten Felder und klicken auf das Icon

für Berechtigungsdaten ändern. Die Frage, ob Sie sichern möchten,bestätigen Sie. Sie erreichen dann eine Auswahl von Rollen, die als Vorlagendienen können. Diese Vorlagen ignorieren wir hier jedoch (siehe ButtonKeine Vorlage auswählen in Abbildung 2.3).

Stattdessen wählen wir die manuelle Eingabe (siehe Button Manuell inAbbildung 2.4), und geben in das Feld Berechtigungsobjekt unsere Berech-tigungsobjekte ein, für die wir Berechtigungen erteilen wollen. In unseremFall handelt es sich um folgende Berechtigungsobjekte: S_TCODE für Trans-aktionsberechtigungen, S_RS_COMP und S_RS_COMP1 für die Query-Aus-führung (siehe Abbildung 2.4). Die Wertehilfe bietet alle verfügbarenBerechtigungsobjekte.


28

Abbildung 2.3 Vorlageauswahl ablehnen

Abbildung 2.4 Manuelle Auswahl eines Berechtigungsobjektes

Wir bestätigen mit und erhalten eine Listenansicht. Wenn Sie die Hierar-chiedarstellung aufklappen (markieren Sie dazu die erste Zeile, und klickenSie auf den Button ) und im Menüpunkt Hilfsmittel den Eintrag Techni-

sche Namen ein anklicken, erhalten Sie eine Darstellung wie in Abbildung2.5 und Abbildung 2.7 (mit technischen Namen).

Wir können nun die konkreten Werte eintragen, die wir berechtigen wollen.Diese Werte bestehen in unserem geplanten Beispiel aus den Namen derTransaktionen, nämlich RSRT und SU53, sowie den Einträgen für S_RS_


29

COMP und S_RS_COMP1. Wenn Sie das Bleistift-Icon anklicken, können Siemit der Eingabe beginnen. Für die Aktivität (siehe Abbildung 2.6) benötigtunser Testuser nur 16, also Ausführen. Für alle anderen Felder tragen Sie ein-fach Gesamtberechtigung ein, es sei denn, Sie möchten den Benutzer stärkereinschränken, beispielsweise auf einen oder mehrere InfoCubes oderbestimmte InfoAreas. Die gelben Stern-Icons ändern sich bei korrekter Ein-gabe in grüne Stern-Icons. Das Ergebnis sollte aussehen wie in Abbildung 2.7.

Abbildung 2.5 Berechtigungen pflegen

Abbildung 2.6 Eingabe der berechtigten Werte für die Aktivität


30

Abbildung 2.7 Fertige Berechtigungsvergabe

Nun sollten Sie das Speichern nicht vergessen. Anschließend müssen wirnoch sicherstellen, dass die Berechtigungen auch erzeugt werden. Dazu star-ten wir die Generierung des Profils mit dem Button . Wenn Sie dies ver-gessen, werden Sie durch ein Popup daran erinnert (siehe Abbildung 2.8).

Abbildung 2.8 Profil speichern und generieren

Dann haben Sie noch einmal die Möglichkeit, den Namen des Profils zuändern, falls erwünscht, und etwa eine passendere Beschreibung zu wählen(siehe Abbildung 2.9).

Bestätigen Sie den automatischen Vorschlag für den Profilnamen, der meistmit »T_« beginnt. Damit enthält die Rolle ein Profil mit der BerechtigungRSRT und SU53 für den Transaktionscode S_TCODE sowie die Ausführungs-berechtigung für Queries.


31

Abbildung 2.9 Profilname und -beschreibung

Rolle einem Benutzer zuweisenDiese Rolle möchten wir nun einem Benutzer zuweisen, der uns als Vorlage-benutzer dienen soll. Dazu starten wir die Benutzerpflege mit der Transak-tion SU01 und geben einen Benutzernamen ein (siehe Abbildung 2.10).

Abbildung 2.10 Einstieg in die Benutzerpflege SU01

Mit Anlegen gelangen wir in die Detailpflege, in der die Pflichteingabefelderder Registerkarten Adresse und Logondaten ausgefüllt werden müssen.Das ist weitgehend selbsterklärend. Wichtiger ist die Registerkarte Rollen.Dort werden die Rollen eingetragen, die dem Benutzer zugeordnet werdensollen, in unserem Falle also Z_AUTH_BASIS. Nach Betätigen der (¢)-Tastewird die Rolleninformation übernommen (siehe Abbildung 2.11).

Wenn Sie nun noch auf die Registerkarte Profile gehen, finden Sie dort dasProfil zu der Rolle, das die eigentlichen Berechtigungen enthält (siehe Abbil-dung 2.12).

Das Symbol deutet an, dass das Profil generiert worden ist. Zum Ab-schluss das Speichern nicht vergessen!


32

Abbildung 2.11 Rollenvergabe in der Benutzerpflege

Abbildung 2.12 Profil zur Rolle Z_AUTH_BASIS

ZusammenfassungAllgemein kann man, etwas vereinfacht, Folgendes festhalten:

Für klassische R/3-Berechtigungen gilt, dass – um die Berechtigung für einenbestimmten Vorgang zu erhalten – einem Benutzer eine Rolle mit einem Pro-fil zugeordnet werden muss. Das Profil enthält konkrete Ausprägungen derFelder als Berechtigungen zu einem Berechtigungsobjekt.

Die Berechtigungsobjekte unseres Beispiels für die Vorlage sind S_TCODE,S_RS_COMP und S_RS_COMP1. Der Profilname wurde generiert (der techni-sche Name beginnt in der Regel mit »T_«). Die Berechtigung enthält die kon-krete Ausprägung SU53 für das Feld TCD (Transaktionscode).

Das Berechtigungsobjekt S_TCODE ist natürlich unabhängig von SAP Net-Weaver BW und eines der wichtigsten Objekte überhaupt. Außerdem ist es


33

sehr einfach gestrickt, da es nur ein Feld für den Transaktionscode enthält.Alle Berechtigungsobjekte der SAP-Landschaft funktionieren analog, könnenaber mehrere Felder enthalten (theoretisch bis zu zehn).

Der Experte weiß natürlich auch, dass man speziell Berechtigungen fürTransaktionen, also zum Berechtigungsobjekt S_TCODE, über einen eigenenMenüpunkt in der Rollenpflege vergeben kann. Allgemein kann man häufigbestimmte wichtige Berechtigungskombinationen einfacher vergeben, alshier dargestellt. Wir sind jedoch den »langen Weg« gegangen, weil dieser fürdie kundeneigenen Modelle der BW-Berechtigungen wesentlich ist. Das galtin noch größerem Maße für die alten Reportingberechtigungen, gilt aber auchfür die Rollenanbindung der Analyseberechtigungen.

Transaktionen ausführen

Unser Beispielbenutzer BWAUTH00 hat noch nicht sehr viele Berechtigun-gen, aber er darf sich nun am System anmelden und nachsehen, welcheBerechtigungsprüfung bei ihm selbst zuletzt fehlgeschlagen ist.

Lassen wir ihn also testweise die Transaktion PFCG ausführen, zu der ernicht berechtigt ist. Er erhält eine Fehlermeldung. Anschließend lassen wirihn die Transaktion SU53 ausführen, zu der er nun berechtigt ist. Der Mel-dungstext informiert uns, dass dem Benutzer die Berechtigungen für dieTransaktion PFCG fehlt. Wenn wir also möchten, dass er diese Transaktionausführen darf, können wir ihm auch diese Berechtigung zuordnen.

Eine fehlgeschlagene klassische Berechtigungsprüfung kann mit Ausführender Transaktion SU53 analysiert werden, die anzeigt, welche Berechtigungs-kombination getestet wurde. Ein häufiges Missverständnis ist die Annahme,dass die Transaktion SU53 auch für BW-Datenberechtigungen, also für dieAnalyseberechtigungen funktioniere. Diese Annahme ist falsch:

Bedeutung des Profils

Allgemein ist zu beachten, dass die Information über die Berechtigungen einesBenutzers in den Profilen steht, nicht in der Rolle. Dass die Rolle das entschei-dende Objekt sei ist ein häufiges Missverständnis. Es kann beispielsweise sein, dasszwar eine Rolle eingetragen ist, das zugehörige Profil aber fehlerhaft ist, etwa weiles nicht generiert wurde.

Die Situation kann zusätzlich noch dadurch unübersichtlicher werden, dass es einezentrale Benutzerverwaltung gibt. Darauf werden wir hier jedoch nicht weiter ein-gehen.


34

Die Prüfungen der Analyseberechtigungen laufen nämlich nicht über denABAP-Befehl authority-check. Sie sind viel komplexer und ganz andersstrukturiert. Die Transaktion SU53 wäre dafür ungeeignet. Wir kommen spä-ter noch mehrmals darauf zurück. Es gibt aber ein ausführliches Berechti-gungsprotokoll, mit dem wir uns auch beschäftigen werden (siehe Abschnitt5.2, »Das Berechtigungsprotokoll«).

2.2 Erste Schritte mit Analyseberechtigungen

SAP NetWeaver BW ist nicht nur ein Datenspeicher im Sinne eines DataWarehouses oder eines Warehouse Management Tools, sondern auch einOLAP-Analysewerkzeug. Die gesamte Struktur BW ist auf die performanteAnalyse von Massendaten ausgelegt. Die Analyse geschieht interaktiv inForm von Reports oder BEx Queries. Die Sichten oder Aufrisszustände derQueries auf die Daten sind interaktiv durch Slice-, Dice- und Filter-Aktionendes Anwenders veränderlich.

Nehmen wir als Beispiel eine der möglichen Sichten auf einen BW-InfoPro-vider, die der Vorstellung des Anwenders sehr nahekommt und aus Auswer-tungssicht äquivalent zu allen anderen denkbaren Sichten auf die Daten ist:eine Tabelle. Nehmen wir also an, die Daten sind als Umsatz- und Stückzahl-daten in Form einer Tabelle abgelegt (siehe Tabelle 2.1).

Fehlgeschlagene Berechtigungsprüfungen mit der Transaktion SU53 analysieren

Die Transaktion SU53 hat für die Analyseberechtigungen keine Bedeutung, allevermeintlichen Einträge gehen auf einen technischen Seiteneffekt zurück.

Jahr Land Typ Vertriebs-kanal

Produkt-gruppe

Produkt Anzahl

(Stück)

Umsatz

(Euro)

1998 DE Software Internet Office Write1.0 730 6.763

1998 DE Software Vertreter Office Write1.0 780 3.866

1998 DE Software Internet Office Write1.0 420 2.500

1998 IT Software Internet OS Linux 250 3.000

1998 IT Software Einzelhandel OS Linux 450 5.230

Tabelle 2.1 Beispieldatensatz in vollständiger Tabellenform

201

In SAP NetWeaver BW gibt es unterschiedliche Arten von Berechti-gungen. Sie haben gemeinsam, dass sie – sinnvoll implementiert – eine dauerhaft stabile Anwendung für Benutzer und Support bieten. Den Teil der BW-spezifischen Berechtigungen abseits der Analysebe-rechtigungen beschreiben wir in diesem Kapitel.

4 Standardberechtigungen in SAP NetWeaver BW

Das zentrale Thema dieses Buches sind die Analyseberechtigungen. Diese Artvon Berechtigung ist aber nicht die einzige, die man in einem SAP NetWea-ver BW-System zu beachten hat. Darauf wurde bereits in Kapitel 2, »Analy-seberechtigungen für Einsteiger: Eine praktische Einführung«, hingewiesen.Im Laufe dieses Kapitels werden wir die Gruppe der transaktionalen Berech-tigungen (oder Standardberechtigungen) im Detail betrachten. Jeder Benut-zer, der mit BW arbeitet, benötigt diese Berechtigungen. Eine Prüfung derStandardberechtigungen erfolgt beispielsweise beim Aufruf einer Transak-tion, bei der Erstellung eines InfoProviders und auch bei der Ausführungeiner BW Query oder einer BW-Arbeitsmappe.

Wir werden uns zuerst die Grundlagen dieser Gruppe von Berechtigungenim Detail ansehen. Danach beschreiben wir die wichtigsten Berechtigungs-objekte im BW Umfeld. Der Aufbau ist hier dem Datenfluss eines Datenmo-dells in BW nachempfunden. Wir beginnen im Quellsystem und gehen dannSchritt für Schritt über die Extraktion und den Datenfluss in BW bis zumReporting.

4.1 Grundlagen

Unabhängig davon, welches Berechtigungskonzept Sie für das SAP NetWea-ver BW Reporting im Customizing des Systems (Transaktion RSCUSTV23)eingestellt haben, werden Standardberechtigungen immer geprüft.

Standardberechtigungen in SAP NetWeaver BW4

202

Für die unterschiedlichen »Rollen«, die Benutzer in einem Unternehmenerfüllen, benötigen Sie dementsprechend unterschiedliche Standardberechti-gungen. Es gibt den Reportingbenutzer, der Queries oder Arbeitsmappen aus-führen darf. Zumeist erfüllt ein kleiner Kreis von Benutzern die Rolle dersogenannten Power-User, die Anwendungen wie Queries (zumeist in eigenenNamensräumen) oder Arbeitsmappen selbst erstellen und anderen Benut-zern über das Menü einer Rolle zuordnen.

Am Beginn eines SAP NetWeaver BW-Projekts stehen jedoch meistens dieProjektmitarbeiter und Entwickler im Vordergrund. Diese Gruppe soll daserarbeitete Datenmodell am System umsetzen. Auch sie benötigen dafürStandardberechtigungen, die nicht notwendigerweise etwas mit dem Repor-ting zu tun haben. Denn der erste Schritt in einem BW-Projekt ist, einenDatenfluss innerhalb des Data Warehouses zu erstellen, erst dann ist es mög-lich, ein Reporting darauf aufzusetzen.

Die letzte Gruppe von Benutzern, die wir ansprechen, sind die Mitarbeiterim Unternehmen, die für die Wartung zuständig sind. Sie betreuen bereitsam System implementierte Datenmodelle und das dazugehörige Reportingam System. Nachdem Projekte abgeschlossen wurden, liegt es bei den Mitar-beitern der Wartung des Systems, den Endanwender beim Einsatz oder derAdaptierung des Reportings und bei der Analyse von Problemen zu unter-stützen. Dafür sind umfangreiche Standardberechtigungen notwendig. ReineReportingberechtigungen werden meist nicht ausreichen, damit der gesamteDatenfluss inklusive aller Veränderungen der Daten von der Quelle bis zumfinalen InfoProvider kontrolliert werden kann.

Die Abbildung 4.1 stellt die Rollen- und Systemverteilung in einem SAP Net-Weaver BW-Projekt auf einfache Weise dar. Es ist anzumerken, dass wir hiernicht auf die verteilte Systemlandschaft im Entwicklungs-, Qualitätssiche-rungs- und Produktivsystem eingehen. Wir verwenden in diesem Beispielnur eine Systemschicht.

Die Gruppen Reporting- und Power-User greifen jeweils auf Berichtsdatenin BW zu, wobei der Power-User auch neue Berichte erstellen darf. VieleBenutzer des Reportings haben selbstverständlich auch Berechtigung im SAP

Berechtigungskonzepte in SAP NetWeaver BW

Bis zum Release SAP Business Information Warehouse 3.5 hatte man nur dieMöglichkeit, das Konzept der Reportingberechtigungen zu verwenden. AbRelease SAP NetWeaver Business Warehouse 7.0 stehen die Analyseberechtigun-gen zur Verfügung.

Grundlagen 4.1

203

ERP-System, um dort innerhalb ihrer Applikationen entsprechende Buchun-gen durchzuführen. Erst diese Buchungen bilden die Datenbasis für dasReporting in SAP NetWeaver BW.

Abbildung 4.1 Systeme und Rollen im SAP NetWeaver BW-Umfeld

In Abbildung 4.1 wird innerhalb eines Projekts eine Umsatzplanung imple-mentiert. Der Projektmitarbeiter benötigt dazu ausreichende Berechtigungin BW und im Quellsystem. Andere Rollen greifen derzeit nicht auf dieUmsatzplanung zu, da das Projekt erst in der Phase der Umsetzung ist undnoch nicht an die Endanwender und die Wartung übergeben wurde. DieWartung betreut bereits die Anwendung der Profit-Center-Rechnung in BW.Um die Beladung sicherzustellen und den Benutzer im Reporting unterstüt-zen zu können, sind entsprechende Berechtigungen in BW und auch imQuellsystem erforderlich.

Wichtig für die Projektdauer

Damit SAP NetWeaver BW-Implementierungen bzw. die Umsetzung von Projek-ten erfolgreich und vor allem zeitgerecht abgewickelt werden können, ist es wich-tig, rechtzeitig das Berechtigungskonzept zu bedenken. Da der Umgang mitBerechtigungen in Unternehmen immer ein kritisches Thema darstellt, kann esrasch zu einem Verzug im Zeitplan kommen, wenn das Konzept nicht ausgereift istund nicht ausreichend getestet wurde.

Systeme Rollen

SAP

Net

Wea

verB

WSA

P ER

P

Finanzreporting

Extraktion

Applikation

Umsatzplanung

…

ReportingbenutzerLesender Zugriff

Power-UserBerichtersteller

Projekt-RessourceKonzept und Implementierung

SupportWartung und Adaption


204

4.2 Technische Eigenschaften der Berechtigungsobjekte

Der technische Aufbau von Standardberechtigungsobjekten ist sehr einfach.Im Wesentlichen bestehen sie aus dem Objektnamen wie z.B. S_RS_COMPund aus maximal zehn Berechtigungsfeldern, die Werte aufnehmen können.Ein Berechtigungsfeld kann unterschiedliche Werte darstellen. Jedes Objektist einer Objektklasse zugeordnet. Mit Hilfe der Transaktion SU21 (Pflege

der Berechtigungsobjekte) erhält man eine gute Übersicht über die unter-schiedlichen Klassen, wie Abbildung 4.2 verdeutlicht.

Abhängig davon, welche Art von SAP-System man im Einsatz hat (ERP, CRM,APO, BW etc.) bzw. welche Applikationen installiert sind, findet man unter-schiedliche Klassen von Berechtigungsobjekten. Natürlich gibt es auch sys-temübergreifende Komponenten wie die der SAP-Basis, worunter beispiels-weise S_RFC fällt. Wir konzentrieren uns aber hauptsächlich auf die Klasse derRS-Berechtigungen (Business Information Warehouse, siehe Abbildung 4.2).

Abbildung 4.2 Transaktion SU21 – Übersicht über die Berechtigungsobjektklassen

Die meisten Berechtigungsobjekte werden von SAP ausgeliefert und könnennicht mehr verändert werden, sie sind im SAP-Code als zu prüfende Objekte

Technische Eigenschaften der Berechtigungsobjekte 4.2

205

hinterlegt. Das ist nicht so bei der Objektklasse der RSR-Berechtigungen(Business Information Warehouse – Reporting 2). Diese enthält die selbstdefi-nierten Berechtigungsobjekte, die bis zu SAP BW 3.x ausschließlich im Ein-satz waren.

Die Berechtigungsfelder eines Objekts können unterschiedlicher Natur sein.Es kann z.B. der technische Name eines InfoCubes oder eine Transaktioneingetragen werden. Der Aufbau der Objekte wird grafisch einfach und ver-ständlich in der Transaktion SU21 dargestellt. Exemplarisch ist in Abbildung4.3 das für Reportingzwecke wichtige BW-Objekt S_RS_COMP zu sehen.

Abbildung 4.3 Aufbau des Berechtigungsobjekts S_RS_COMP

In der Transaktion SU21 finden wir für jedes Berechtigungsobjekt einegenaue Beschreibung der Funktion, die über den Button Dokumentation

zum Objekt anzeigen eingeblendet werden kann. Diese ist sehr hilfreich,denn es wird jedes Feld einzeln erklärt und dessen mögliche Ausprägungengenannt. Daher ist es einfacher, vordefinierte Werte für Berechtigungsfelderzu interpretieren.

Unser Beispielobjekt S_RS_COMP besteht aus fünf Feldern. Das Feld RSZ-COMPTP bestimmt den Typ einer Reportingkomponente, der berechtigt


206

wird. Dabei handelt es sich um ein Feld mit vordefinierten Werten. Wasdamit gemeint ist und welche Werte man am System vergeben kann, zeigtdie Dokumentation des Berechtigungsobjekts (siehe Abbildung 4.4).

Abbildung 4.4 Transaktion SU21 – Dokumentation des Feldes RSZCOMPTY

Die fett markierten Kürzel in Abbildung 4.4 sind entsprechend in denBerechtigungen des Benutzers zu hinterlegen. Die Erklärung des Feldes darfnicht falsch interpretiert werden, der Benutzer darf nicht automatisch mitder Vergabe von S_RS_COMP Reportingkomponenten bearbeiten. Die Art,wie ein Benutzer auf Komponenten zugreift, wird immer über die Aktivität(Berechtigungsfeld ACTVT) geregelt. Die Kombination aus den Feldwertenund der Aktivität entscheidet also darüber, ob ein Benutzer eine Queryerstellen oder nur ausführen darf.

In der Transaktion SU21 werden über den Button Zulässige Aktivitäten allezur Vergabe möglichen Aktivitäten angezeigt (für S_RS_COMP siehe Abbil-dung 4.5). Soll z.B. ein beliebiges Objekt (InfoCube, Query etc.) geändertwerden, wird die Aktivität 02 geprüft. Möchte man sich nur die Definitioneines Objekts ansehen, ohne dieses ändern zu wollen, wird auf Aktivität 03geprüft.

Wenn wir das auf die verschiedenen Benutzerrollen im Unternehmen umle-gen, dann benötigen diese unterschiedliche Aktivitäten. Der Power-User darfangelegte Berichte ändern und wird somit für die Aktivität 02, Ändern,

Wie vergibt man die Gesamtberechtigung?

Unter der Gesamtberechtigung versteht man die Berechtigung auf alle Ausprägun-gen eines Berechtigungsfeldes in einem Berechtigungsobjekt. Eine Gesamtberech-tigung wird immer mit * (Stern) vergeben. Dies gilt auch für das Berechtigungsob-jekt S_RS_AUTH. Wenn man hier jedoch die Berechtigung 0BI_ALL vergibt, dannhat dies die gleiche Wirkung, als würde man * (Stern) vergeben, und der Benutzererhält eine Gesamtberechtigung für das Reporting.

Technische Eigenschaften der Berechtigungsobjekte 4.2

207

berechtigt sein. Hingegen darf der Reportingbenutzer diese nur ausführen,daher ist er zur Aktivität 03, Anzeigen, berechtigt.

Abbildung 4.5 Aktivitäten für S_RS_COMP

Technisch sind die Standardberechtigungen komplett von den Analysebe-rechtigungen getrennt. Über das ausgelieferte StandardberechtigungsobjektS_RS_AUTH stehen die beiden Arten jedoch in Zusammenhang (Details dazufinden Sie in Abschnitt 3.5.2, »Integration in das SAP-Rollenkonzept«).

Die Standardberechtigungen werden direkt über den eingebauten ABAP-Befehl AUTHORITY-CHECK abgefragt, wie in Abbildung 4.6 anhand der Berech-tigungsprüfung für das BW-Standardberechtigungsobjekt S_RS_COMP zusehen ist.

Die Vergabe von Standardberechtigungen erfolgt über das Rahmenwerk derSAP-Basis. Die zentrale Rolle spielt die Transaktion PFCG, die Rollenpflege.Dort werden Berechtigungsprofile für Rollen angelegt. Die Berechtigungenwerden direkt innerhalb des Pflegedialogs erzeugt, im Gegensatz zu den

Das Berechtigungsfeld »Aktivität« (ACTVT)

Dieses Berechtigungsfeld hat im SAP-System eine besondere Bedeutung. Es wird inbeinahe allen SAP-Standardberechtigungsobjekten verwendet und dient dazu, dieArt der Tätigkeit, für die ein Benutzer berechtigt ist, zu steuern. Wie geradeerwähnt, wird bei der Änderung einer Query die Aktivität 02 und bei der einfachenAnzeige die Aktivität 03 geprüft.

Diese Zahlwerte und deren Bedeutung gelten für alle Berechtigungsobjekte des Sys-tems. Ein Benutzer benötigt für eine Änderung immer 02 und bei der Anzeige 03.

Die Werte, die für das Berechtigungsfeld ACTVT vergeben werden können, könnenin der Transaktion SU20 nachgelesen werden. Dort wählen Sie das Feld ACTVT ausund erhalten über den Button Wertehilfe alle im System gepflegten Aktivitätenaufgelistet.


208

Analyseberechtigungen, die vorab mit unterschiedlichen Konstellationenbzw. Ausprägungen innerhalb der Transaktion RSECADMIN erstellt werden.

Abbildung 4.6 Berechtigungsprüfung für S_RS_COMP

Bei den Analyse- und Standardberechtigungen ist auch der Berechtigungs-trace unterschiedlich. Die klassischen Berechtigungsobjekte können mitHilfe der Transaktion ST01 (Systemtrace) aufgezeichnet werden. Hingegenwerden Analyseberechtigungen mit einem eigenen Protokoll aufgezeichnet,das in der Transaktion RSECPROT abgerufen werden kann. Details zu denunterschiedlichen Protokollen werden in Kapitel 5, »Analyse von Berechti-gungsprüfungen und -konfiguration«, erläutert; spezielle Informationen zumTrace der Transaktion ST01 finden Sie in Abschnitt 5.4, »Klassische Berechti-gungsprotokolle«.

In den kommenden Abschnitten gehen wir auf viele Standardberechtigungs-objekte genauer ein. Es handelt sich um Berechtigungen, die für die Model-lierung von Datenflüssen am System erforderlich sind bzw. vergeben wer-den können – genauso wie Berechtigungen für das Reporting und weitereServices, die in BW zur Verfügung stehen. Die weiteren Erläuterungen sindnicht als vollständige Liste aller geprüften Berechtigungsobjekte zu verste-hen, sondern als Auszug aus den zentralen Objekten, die beim Arbeiten mitBerechtigungen in SAP NetWeaver BW bekannt sein sollten.

4.3 Datenmodellierung und allgemeine Berechtigungen

Wir gehen einmal von der Annahme aus, dass ein SAP ERP-System der Lie-ferant der Daten für das BW Reporting ist. Deshalb müssen für die Imple-mentierung eines Projekts Berechtigungen auf dem BW-System und demERP-System vergeben werden.

In Tabelle 4.1 sind die wichtigsten Berechtigungsobjekte für Arbeiten amQuellsystem und innerhalb der Warehousing Workbench in BW aufgelistet.Auf welchem System die Berechtigungsobjekte vorhanden und zu berechti-gen sind, geben die Spalten BW bzw. ERP an: Das X bedeutet, dass Berechti-gungsobjekte vorhanden und zu berechtigen sind.

643

Index

$$$_ � Benutzergruppe* � Gesamtberechtigung* � Muster+ � Muster0BI_ALL 141, 163, 249, 285, 299, 603

Aktualisieren 1150HIER_NODE 147, 282, 5380TCA_DS01 1670TCA_HIE 2940TCA_UA 2940TCA_VAL 2940TCAACTVT 40, 50, 136, 265, 5990TCAIFAREA 1510TCAIPROV 40, 50, 125, 133, 151, 265,

285, 515, 5990TCAKYFNM 91, 102, 127, 128, 137,

5130TCAVALID 40, 50, 125, 134, 265, 286,

523, 530, 5990TCTADFROM 1690TCTAUTHH 5030TCTIOBJNM 1700TCTOPTION 1690TCTSIGN 1690TCTUSERNM 1671HIER_REST 147, 5381NODENAME 538

A

Ablauf-Optimierung 587ACTVT 515Adobe Document Service 238Aggregation 59Aggregationsberechtigung 35, 41, 59,

122, 123, 261, 271, 531, 608Aggregationsebene 589

Anlegen 631, 633Merkmalsselektion 633

AktivitätAusführen (16) 589Standardberechtigungsobjekt 207

Aktivitätsberechtigung 228

Analyseberechtigung 110, 120, 366aufgefüllte 460Benutzern zuordnen 393bestehende Modelle 343Daten-Schreibberechtigung 342Definieren 396direkte Benutzerzuordnung 321Fragenkatalog im Projekt 313für zwei Merkmale 461generierungsbasierte 432Hierarchie für 0TCTAUTH 339InfoProvider-basierte 332Integrierte Planung 341Leitsätze 54Mischen 459, 462operatives Modell 344Transport 110USER_PCT 435USER_WERK 436variablenbasierte 391Vorgenerieren 353XVT_BI_ALL 374zukünftige Entwicklung 314Zuordnung 318

Analyseberechtigungsmodellgenerische Modelle 330InfoObject-basiertes 333InfoProvider-basiertes 331Merkmale zusammenfassen 337Mischformen 334, 341Vor- und Nachteile 335, 341

Analytics Security Objects 153Änderungsart 296Änderungsbeleg 292Anleitung Demo-Content 625Anwendungskomponente anlegen 626Anzeigeattribut 100, 102, 127Anzeigehierarchie � HierarchieArbeitsmappe

Anlegen 379Ausführen 416Erstellen 374

Archivierung � Transaction SARAAudit 294Aufriss 51

644

Index

Ausdünnung � HierarchieberechtigungAusführen als... 250Ausführen als... � Transaktion RSUDOAusführungsberechtigung �

S_RS_COMPAusschlussmenge � Excludingautomatische Filterung 539

B

BAdI 592RSEC_VIRUTAL_AUTH_BADI 593

Barriere 610Barriereprinzip 53Basisberechtigungsobjekt 364BasisCube 368, 370

Anlegen 369Übernehmen 631

bebuchbarer Knoten 282Benutzer 111

Anlegen 396D_E_L_E_T_E 352eingeschränkt berechtigter 49viele vereinzelte Berechtigungen 459

Benutzerberechtigung 472Testen 399

Benutzergruppe 306, 609Benutzerpflege � Transaktion SU01Benutzertyp 202

Einteilen 323Benutzerzuordnung 44, 111, 157, 167,

4380TCA_DS05 167direkte 322

BerechtigungAggregationsberechtigung 35, 59Analyse in ERP 211Anlegen 39Attribut zum Merkmal 103BAdI 592Barriereprinzip 53Customer-Exit 591Filterprinzip 53in der Planung testen 448Kombinieren 575, 577manuelle oder generierte 44mehrdimensionale 73, 174, 401, 405Merkmal eines InfoProviders 42

Mischen 575, 578mit SID 571Namensvergabe 168OLAP 24OLTP 24Optimieren 575Power-User 235Prüfen 42, 395Pufferung 575Typ der Hierarchieberechtigung 65Variable 54, 590Vereinfachen 578viele vereinzelte 457virtuelle 592zeitintensiv Mischen 461Zuordnung 44

Berechtigung und Exit-Variable 412Berechtigungen zusammenfassen 286Berechtigungen, sortierte

Auflisten 463Berechtigungsdefinition

Einzelwert 398Berechtigungsfeld 218, 219

Dokumentation 206zulässige Aktivität 206

Berechtigungsgruppe 609Berechtigungskombination 396

mehrdimensionale 338Berechtigungskonzept

Definition 301ohne Analyseberechtigung 310

Berechtigungskonzept BW 202Berechtigungsmeldung

EYE 007 46, 264, 568EYE 018 263EYE 019 545keine ausreichende Berechtigung 568

BerechtigungsmodellAblauf 304Anforderung 307Anforderungsprofil 301Beginn 306Benutzergruppe 306Benutzertyp 323berechtigungsrelevantes Merkmal 307,

313Berechtigungsrolle 326bestehende Standardberechtigung 329bestehendes 303

645

Index

BW-Projekt 302Datenberechtigung 307Definition 301Entscheidungsbaum 307Grundmodell der Standard-

berechtigungen 313, 323InfoProvider-basiertes 331, 333Lösungsansätze 301Menürolle 326Modelldefinition 303Modellentscheidung 309Namensraum 310Rollenmodell 326Standardrollenkonzept 306Testen 388Vorlage 324

BerechtigungsobjektBasis 364BEx Query 225BEx Web Application Designer 238ERP und BW 209S_ADMI_FCD 364S_CTS_ADMI 213, 364S_DATASET 364S_DEVELOP 211, 364S_GUI 211, 364, 384S_RFC 226, 232, 364, 384S_RO_BCTRA 213S_RO_OSOA 213S_RS_ADMWB 215, 223, 366S_RS_ALVL 236S_RS_AUTH 226, 231, 319, 320, 384S_RS_BCS 238S_RS_BEXTX 238S_RS_BITM 238S_RS_BTMP 239S_RS_COMP 205, 207, 225, 226, 229,

383S_RS_COMP1 225, 228, 229, 383S_RS_FOLD 225, 230, 231S_RS_ICUBE 221S_RS_IOMAD 223S_RS_ISRCM 218S_RS_MPRO 221S_RS_ODSO 221, 366S_RS_PLENQ 236S_RS_PLSE 236S_RS_PLSQ 236S_RS_PLST 236

S_RS_RSTT 226, 231, 366S_RS_TR 219, 220S_RSEC 112, 365S_TABU_CLI 364S_TABU_DIS 212, 364S_TABU_LIN 212, 224S_TCODE 210, 214, 364S_USER_AGR 226, 365, 383, 386S_USER_GRP 365S_USER_PRO 365S_USER_TCD 235, 365, 383, 386S_USER_VAL 365

Berechtigungspflege � Transaktion RSECAUTH

BerechtigungsproblemHintergrundnutzer 244

Berechtigungsprotokoll 254, 394, 400Aggregationsberechtigung 269Aggregationsberechtigungsprüfung 268Archivierung 290Attribut 259bei unterschiedlichen Hierarchien 423Berechtigungen zusammenfassen 286detaillierte Berechtigungsprüfung 268Exit-Variable 282, 411Hauptprüfung 268Hierarchieknoten-Berechtigung 262Hierarchieprüfung ohne Berechtigung

419InfoProvider-Prüfung 265Kunden-Exit 283Optimierungen 283Protokollaufbau 256Protokollaufzeichnung 256Protokollkopf 258Protokollverwaltung 254Prüfungsbestandteile 264Pufferung 284relevante InfoObjects 266SQL 276verwendete Objekte 280Vorverarbeitung 268Werte- und Knotenprüfung 273Wertehilfen und Variablen 259Wertevariablen 260

Berechtigungsprotokoll (klassisches) 254, 259, 276, 290ST01 297SU53 297

646

Index

Berechtigungsprüfung 208, 224, 431Ablauf 456BW-Reporting 229DSO 221fehlgeschlagene 447InfoCube 221transaktionale 25

Berechtigungspuffer 464Füllen 458

berechtigungsrelevantes Merkmal 373Alternativen 315Navigationsattribut 316Referenzmerkmal 316

berechtigungsrelevantes Zeitmerkmal 315

Berechtigungsrelevanz 50, 117, 273, 573Merkmal 38Navigationsattribut 39

BerechtigungsrolleAdministratoren 234Anlegen 385Menürolle 235Reportingbenutzer 234zentrale 388

Berechtigungstest 388Berechtigungstext 438Berechtigungstyp 534, 573Berechtigungsübung

Arbeitsmappeneinstellung 379Benutzertyp 375Datenmodell anlegen 368Datenmodellierung Standardberechti-

gungsobjekt 361Einführung 355generierungsbasierte Modelle – Über-

blick 359Modellüberblick 356Namensraum 357Query – Standardberechtigungsobjekt

362Rolle anlegen 367SAP-Basis-Standardberechtigungsobjekt

364Standardberechtigung – Überblick 358Standardberechtigungsmodell 359Überblick – Analyseberechtigung und

Integrierte Planung 359variablenbasierte Modelle – Überblick

358

Vorlage anpassen 360Vorlage und Datenmodell 360

Berechtigungsvariable 344Berechtigungsvergabe 319

einfache 320Berechtigungsvorlage 241

Aufrufen 241S_RS_RDEMO 242

bestehende Standardberechtigung 329bestehendes Modell 303

Anpassen 343Erweitern 343

Bewegungsdaten 36, 67Beladen 636

BEx Analyzer 234BEx Query 34BEx Web Application Designer 239

Berechtigungsobjekt 238BIAUTH 161Blatt � HierarchieBlätter � HierarchieberechtigungBW 3.x

Berechtigungsprüfung 479Hierarchieberechtigung 478Transaktion RSSM 477ZBV 477

BW 7.20 516BW-Berechtigung

Namensraumkonzept 312BW-Berechtigungsobjekt 365

S_RS_ADMWB 366S_RS_DS 366S_RS_IOBC 366S_RS_IOBJ 366S_RS_ODSO 366S_RS_RSTT 366S_RSEC 365

BW-Berechtigungsprojekt 304BW-Integrierte Planung � Integrierte

Planung

C

Changelog 292Content-Vorlage 166Customer-Exit 116, 138, 449, 467, 531,

538, 591Erweiterungen pflegen 450

647

Index

I_STEP 452Include anlegen 450Performance 469Übersichtlichkeit 453Variable 449

Customer-Exit-Variable 431Hierarchieberechtigung 468in Analyseberechtigungen 412Werteberechtigung 468

Customizing-Modell 344

D

D_E_L_E_T_E 169, 178Data Transfer Processes (DTP) 635

Anlegen 634Data Warehousing Workbench 156DataSource 217

Aktivieren 213Anlegen 629Bearbeiten 213Datenformat 630

DataStore-Objekt (DSO) 165Anlegen 631Generierung 168

Datentransaktionale 36

Datenarchivierungs-Prozess 222Datenbank

Selektion 469Datenbankinformation

Verarbeiten 470Datenbanktabelle

Zugreifen auf 470Datenberechtigung 307Datenmodell anlegen 368, 625Datenprüfung 264Datentransfer 219Datenziel 361Datum � 0TCAVALIDDelta-Generierung 178, 351Demo-Content

Anleitung 625Detailkonfiguration � MigrationDimensionen 36

Zusammenfassen 337direkte Benutzerzuordnung 322

direkte Zuordnung 506direktes Schreiben 406Generierung 440

DSO-PflegeGenerierung 353

DUMMY 176

E

Ebenenzahl � Hierarchieberechtigungeinfache Berechtigungsvergabe 320Einschränkung

Filterbereich 393Einzelwert

Berechtigen durch Hierarchieknoten 467Einzelwertberechtigung 526Entwicklerrolle 368ERP-Berechtigungsobjekt 210

S_CTS_ADMI 213S_DEVELOP 211S_GUI 211S_RO_BCTRA 213S_RO_OSOA 213S_TABU_DIS 212S_TABU_LIN 212S_TCODE 210

Excluding 134, 524, 527, 529Exit-Variable 116, 412

Protokoll 411Exit-Variable und Berechtigung 412Explorer � SAP BusinessObjects ExplorerExtraktionsberechtigung 244EYE 007 � BerechtigungsmeldungEYE 018 � BerechtigungsmeldungEYE 019 � Berechtigungsmeldung

F

Facette 602, 605Fehlermeldung � Berechtigungsmeldungfehlgeschlagene Berechtigungsprüfung

447Feld RSADMWBOBJ

APPLCOMP 215BR_SETTING 216INFOAREA 215INFOOBJECT 216

648

Index

INFOPACKAG 216MONITOR 217SETTINGS 216SOURCESYS 216

Feld RSZCOMPTP 226CKF – Gerechnete Kennzahl 226QVW – Query View 226REP – Query 226RKF – Eingeschränkte Kennzahl 227SOB – Selektionsobjekt 227STR – Vorlagestruktur 227VAR – Variable 227

Filterprinzip 53Filterung

automatische 539Funktionscode 119

G

Generierung 165, 168Benutzerzuordnung 182DSO 440DSO-Pflege 353Hierarchieberechtigung 180mehrere 350Performance 186Präfix RSR_ 174

generierungsbasierte Analyse-berechtigung 432

generierungsbasiertes Modell 349Generierungsmodell 350generischer Modellansatz 330

Überblick 330Ursprung 331Vor- und Nachteil 336

Gesamtaufriss 51Gesamtberechtigung 29, 41, 122, 130,

206Gültigkeitsbereich 144, 147

H

Hierarchie 224, 412, 544auf Produkt anlegen 414Blatt 535doppelten Knoten übernehmen 427Gültigkeitsdatum 536

Intervallhierarchie 559Knoten 534Knotenselektion 546Knotentyp 537Link-Knoten 556Merkmal XVTCPROD 640nicht eindeutige 556Restknoten 538Stichtag 536Teilbaum 535zeitabhängige 427, 548

Hierarchie in Analyseberechtigung 413Funktionsweise 414

Hierarchieberechtigung 62, 65, 90, 93, 142, 532automatische Filterung 539Berechtigungstyp 534Blätter 545Definieren 419, 431Ebenenzahl 535ganze Hierarchie 573Gültigkeitsbereich 536Typ 144Variable 538Winterlandschaft 541zeitabhängige Struktur 428

Hierarchieknoten0HIER_NODE 1471HIER_REST 147Berechtigung 142Selektion 545Variable 146

Hierarchieprüfung ohne BerechtigungProtokoll 419

Hierarchieselektion 415Hierarchiestruktur 67, 532

zeitabhängige 430Hintergrundbenutzer 244

I

I EQ � AggregationsberechtigungIdentity Management 198Import-LOGs

Fehlermeldung 628Including 134, 524, 527InfoArea 361

Anlegen 626Importieren 626

649

Index

InfoArea-Hierarchie 1510TCAIFAREA 151

InfoCube-Berechtigung 125InfoObject 362, 368

Katalog 362relevantes 264

InfoObject-basierte Analyse-berechtigung 333

InfoObject-EigenschaftHierarchie 534

InfoObject-Modell 330, 337Anzahl an Analyseberechtigungen 334Überblick 333Vor- und Nachteil 339

InfoPackageAnlegen 631Standardberechtigung 218

InfoProviderInhalt anzeigen 222Prüfung 264virtueller 526

InfoProvider-basierte Analyse-berechtigung 332

InfoProvider-Modell 330Anzahl der Analyseberechtigungen 332Beispiel 332Überblick 331Vor- und Nachteil 338

Information-Space 598, 602Informationssystem 199Integrierte Planung 136, 265, 443, 564,

569, 588Berechtigungsobjekte 236

Intervall 41, 279, 522, 523, 5240CTAVALID 530High 524Low 524Obergrenze 523Operator 524OPT 524Schnittmenge 527Sign 524Untergrenze 523verallgemeinertes 523Vereinigung 526Vereinigungsmenge 527Vorzeichen 524

Intervallhierarchie 535, 559Intervallselektion 526Iteration 462

K

kartesische Menge 75keine ausreichende Berechtigung �

Berechtigungsmeldungkeine Hierarchieknoten berechtigt 263Kennzahl 35, 368Kennzahlattribut 102Kennzahlkatalog 629Kennzahlselektion

in Planung definieren 445Klammerung 83, 395, 564

Hierarchieberechtigung 90Klammervater 564, 570Mehrfachklammerung 573

Knoten 534InfoObject 282Linkknoten 556Selektion 546Typ 537

KombinierenBerechtigung 575

Kompatibilitätsmodus 500, 507komplexe Suche � MassensucheKonstante 571Kostenstelle

Vergeben 471Kostentreiber 246Kunden-Exit � Customer-ExitKurztext 120

L

landesspezifisches Rollenmenü 310Laufzeit-Optimierung 583Laufzeitversion 155Leitsätze Analyseberechtigungen 53

M

Maskierung 91Massengenerierung 351Massenpflege 186

Benutzer 197Rolle 198

Massensuche 192, 196MDX-Cache 238

650

Index

mehrdimensionale Berechtigung 174Exit 405Problemfall 401

mehrdimensionale Berechtigungs-kombination 338

Mehrdimensionalität 403, 404mehrere Generierungen

Benutzer 350Mehrfachklammerung 573Menge

kartesische 75nicht kartesische Menge 276Restmenge 275Schnittmenge 274SQL 276

MenürolleOrdnerstruktur 378

Merkmal 3680TCAIPROV 339, 3400TCTAUTH 352Auflisten 463berechtigungsrelevantes 373Einfügen 628freies 81XVTCBAUT – Bauteil (Auth Demo) 638XVTCFABRI – Fabrik (Auth Demo) 638XVTCFARBE – Farbe (Auth Demo) 638XVTCGLACC – Sachkonto (Auth Demo)

640XVTCLAND – Land (Auth Demo) 638XVTCPRCTR – Profit-Center (Auth Demo)

639XVTCPROD – Produkt-ID (Auth Demo)

639XVTCPRODG – Produktgruppe (Auth

Demo) 639XVTCREGIO – Region (Auth Demo) 639XVTCVERS – Version (Auth Demo) 640zukünftige Entwicklung 314

Merkmalskatalog 628Anlegen 626Merkmal einfügen 628

MerkmalsselektionAggregationsebene 633

MerkmalswertZusammenfassen 461

Merkmalswert-KombinationAusprägung 402

METADATA 216

Migration 5160TCAIPROV 5150TCAKYFNM 513Aggregationsberechtigung 510auf InfoProvider-Basis 489Aufwand 494Backup 499Benutzer 500Berechtigungsobjekt 500Berechtigungsobjekt identifizieren 483Berechtigungszuordnung 501Berechtigungszusammenführung 492bestehendes 3.x-Modell 486BW 3.x vs. BW 7.x 476Detailkonfiguration 501, 507direkte Zuordnung 506Generierungsmodell 496Gesamtberechtigung 510Gesamtmigration 487Grundlagen 475, 476Hierarchieberechtigung 503InfoProvider-Prüfung 3.x 484Kompatibilitätsmodus 508Konzept 476, 485Merkmal identifizieren 482Migration rückgängig machen

506Nacharbeiten 495neue Profile erzeugen 506nicht geprüfte (3.x) 496ohne InfoProvider 495Rollenkonzept 490Standardberechtigung 498Teilmigration oder Neuaufbau? 488Transaktion RSSM – Prüfstatus 484Variable 503vollständige Benutzergruppe 505Vor- und Nachteile (3.x und 7.x) 479Vorbereitung 481vorhandene Profile erweitern 506Wizard 504Zuordnungsmethode 505

Migration rückgängig machen � Migration

Migrationstool 490, 500Mischen

Berechtigung 575, 578Modellansatz

generischer 330, 336Mischform 335

Berechtigungen in SAP NetWeaver BW

Documents

Transcript of Berechtigungen in SAP NetWeaver BW