Swen Deobald
 - 10. Januar 2020

SAP BusinessObjects BI Platform – Berechtigungen & Access Level

SAP BusinessObjects BI Platform - Berechtigungen & Access Level

Der Umgang mit Berechtigungen und Access Leveln kann verwirrend sein. Ein Fehler kann die Sicherheit der Daten gef├Ąhrden. So verwenden Sie die Berechtigungen korrekt.

Die SAP BI-Plattform wird mit einem Satz von f├╝nf Standard-Zugriffsebenen ausgeliefert:

  • View
  • Schedule
  • View on Demand
  • Full Control (owner)
  • Full Control

Es gibt jedoch viele Situationen, in denen diese entweder zu viele oder zu stark eingeschr├Ąnkte Rechte beinhalten. Es ist zwar m├Âglich, zur Sicherheit eine Zugriffsebene zu verwenden und dann „erweiterte Rechte“ hinzuzuf├╝gen, aber die beste Praxis ist es, benutzerdefinierte Zugriffsebenen zu erstellen, die bei der Zuweisung von Zugriffsebenen verwendet werden.

Bei der Gestaltung von benutzerdefinierten Zugriffsebenen ist es wichtig, die verschiedenen Arten von Zugriffsrechten zu verstehen, die verf├╝gbar sind und wie die einzelnen Rechte funktionieren.

Arten von Zugriffsrechten

Es gibt vier Haupttypen von Zugriffsrechten:

Allgemeine Rechte gelten f├╝r die meisten bis alle Objekte in der BI-Plattform, obwohl es ein paar gibt, wie z.B. „Einstellungen ├Ąndern“ oder „Benutzerpasswort ├Ąndern“, die in ihrem Umfang recht begrenzt sind. Das wahrscheinlich am h├Ąufigsten verwendete Recht in den Allgemeinen Rechten ist „Objekt anzeigen“, da es bei jedem Objekt im System funktioniert.

Inhaltsrechte gelten f├╝r Ordner, verschiedene Arten von Berichten und anderen Dokumenten. Viele dieser Rechte sind die gleichen wie die Allgemeinen Rechte, aber sie gelten nur f├╝r einen Objekttyp und k├Ânnen die Allgemeinen Rechte au├čer Kraft setzen. Diese Rechte beantworten im Wesentlichen die Frage: „Was kann ich sehen und mit was kann ich arbeiten?ÔÇť

Die Anwendungsrechte gelten f├╝r die verschiedenen Anwendungen innerhalb der BI-Plattform. Dazu geh├Âren Dinge wie Web Intelligence, BI Launchpad, das IDT, etc. Diese Rechte sind anwendungsspezifisch und beantworten die Frage „Was kann ich tun?“

SAP BusinessObjects [Linksammlung]

Erhalten Sie von uns interessante Links zu allen relevanten Themen rund um SAP BusinessObjects.

Linksammlung SAP BusinessObjects

Des Weiteren gibt es zwei Arten von Systemrechten:

Datenzugriffsrechte gelten f├╝r verschiedene Arten von Datenverbindungen und die M├Âglichkeit, Universen f├╝r den Datenzugriff zu nutzen. Sie beantworten die Frage: „Welche Daten kann ich verwenden?ÔÇť

Alle anderen Systemrechte gelten f├╝r verschiedene Objekte auf Systemebene wie Zugriffsebenen, Server, Profile, etc.

Owner Rights

Jedes Zugriffsrecht kann zwei Versionen haben – eine „Voll“-Version, die das Recht f├╝r jedes zugewiesene Objekt erteilt und eine „dass der Benutzer besitzt“ oder „Eigent├╝mer“-Version, die das Recht nur auf Objekte anwendet, die der Benutzer besitzt. Wenn sowohl die Vollversion als auch die Eigent├╝merversion des Benutzers innerhalb einer einzigen Zugriffsebene gew├Ąhrt werden, ist die Eigent├╝merversion des Benutzers redundant und ├Ąndert nichts, da die Vollversion des Rechts bereits den Zugriff auf die Objekte, die der Benutzer besitzt, beinhaltet.

Rechte zuweisen

Beim Hinzuf├╝gen von Rechten zu einer Zugriffsebene gibt es mehrere Spalten auf dem Bildschirm

  • Die erste Spalte ist der Name des Rechts
  • Der gr├╝ne Kreis mit dem H├Ąkchen bedeutet „Gew├Ąhrt“
  • Der rote Kreis mit einem „x“ bedeutet „Verweigert“
  • Das gelbe Dreieck mit einem „?“ bedeutet „Nicht zugewiesen“
  • Die einzelne Seite bedeutet „Auf dieses Objekt anwenden“
  • Die beiden verlinkten Seiten bedeutet „Auf Unterobjekte anwenden“

Erteilt, verweigert und nicht zugeordnet schlie├čen sich gegenseitig aus. ÔÇ×Auf dieses Objekt anwendenÔÇť und ÔÇ×Auf Unterobjekte anwendenÔÇť k├Ânnen einzeln oder als Paar verwendet werden.

Gel├Âscht, gew├Ąhrt und nicht zugeordnet

Wenn ein Recht auf „Verweigert“ gesetzt ist, wird es fast immer jeden anderen Zugriff au├čer Kraft setzen.

Wenn ein Recht auf „Gew├Ąhrt“ gesetzt ist, wird es gew├Ąhrt, au├čer es wird mit etwas kombiniert, bei dem der Zugriff verweigert wird.

Wenn ein Recht auf ÔÇ×Nicht zugewiesenÔÇť gesetzt ist, wird es effektiv verweigert, es sei denn, es wird mit etwas kombiniert, bei dem der Zugriff gew├Ąhrt wird.

Zum Beispiel, wenn das Recht „Objekt ansehen“ wie in der Tabelle unten gezeigt zugewiesen ist:

Gel├Âscht, gew├Ąhrt und nicht zugeordnet

Wenn ein Benutzer Mitglied der Gruppe X und Y ist, kann er beide Ordner sehen.

Wenn ein Benutzer nur Mitglied der Gruppe Y ist, kann er nur Ordner A sehen, da der Zugriff auf Ordner B nicht zugewiesen wurde.

Wenn ein Benutzer Mitglied der Gruppe X und Z ist, kann der Benutzer nur Ordner A sehen, da der Zugriff auf Ordner B durch die Mitgliedschaft in Gruppe Z verweigert wurde.

M├Âgliche Probleme bei falscher Rechtezuweisung

Ein weiteres Beispiel ist vor einigen Jahren aufgetreten, als ein Benutzer eine Frage an die SAP-Community stellte, in der er sagte, er habe ein erweitertes Recht festgelegt, um der Benutzergruppe Everyone den Zugriff auf einen bestimmten Ordner zu verweigern, ohne zu verstehen, dass das Administratorkonto ebenfalls Mitglied der Gruppe Everyone ist. Der Ordner verschwand, aber er konnte keinen neuen Ordner mit demselben Namen hinzuf├╝gen, weil der Ordner noch im System war, obwohl niemand ihn anzeigen konnte.

Es ist sehr wichtig, sich daran zu erinnern, dass „Verweigert“ „Gew├Ąhrt“ au├čer Kraft setzt. Verwenden Sie ÔÇ×VerweigertÔÇť sehr sparsam und beachten Sie die Konsequenzen.

Dieses Objekt vs. Unterobjekte

Die letzten beiden Spalten geben an, wie das Recht angewendet wird. „Auf dieses Objekt anwenden“ bedeutet, dass die Rechtevergabe nur f├╝r das Objekt gilt, f├╝r das sie vergeben wurde. „Auf Unterobjekte anwenden“ bedeutet, dass die Rechtevergabe f├╝r die Unterobjekte des Objekts gilt, f├╝r die sie vergeben wurde – z.B. die Berichte in einem Ordner.

Ein Beispiel daf├╝r ist eine Zugriffsebene, die wir gemeinsam mit unseren Kunden konfigurieren. Die Ebene wird in der Regel als „Nur diese Ebene“ bezeichnet. Das einzige Recht, das er enth├Ąlt, ist das Recht „Allgemeine Ansicht Objekt“, das gew├Ąhrt wird und nur „Auf dieses Objekt anwenden“ markiert ist. Wir verwenden diese Zugriffsebene, um der Benutzergruppe „Jeder“ Zugriff auf die oberste Ebene der ├ľffentlichen Ordner zu gew├Ąhren. Das bedeutet, dass jeder auf den Stammordner der ├ľffentlichen Ordner zugreifen kann, aber nicht auf die Unterordner. Von hier aus erhalten die Benutzergruppen Zugriff auf bestimmte Ordner innerhalb der ├Âffentlichen Ordner.

Wenn die Benutzergruppe „Jeder“ Zugriff auf den Hauptordner und seine Unterordner erhalten hat, muss der Systemadministrator oft daran denken, die Gruppe f├╝r jeden der Unterordner, auf die der Zugriff eingeschr├Ąnkt ist, auf „Kein Zugriff“ zu setzen. Es ist viel einfacher und sinnvoller, den Zugriff auf bestimmte Ordner zu gew├Ąhren, anstatt zuerst den Zugriff zu entfernen und dann bestimmten Gruppen zu gew├Ąhren, wenn ein neuer Ordner zum System hinzugef├╝gt wird. Diese Zugriffsebene kann auch an anderen Stellen verwendet werden.

Best Practices

Es gibt mehrere Best Practices f├╝r die Konfiguration und Verwendung von Zugriffsrechten und benutzerdefinierten Zugriffsebenen.

  • Vermeiden Sie es, ein Zugriffsrecht explizit zu verweigern, da dies unbeabsichtigte Folgen haben kann. Verwenden Sie stattdessen „Nicht zugewiesen“, um den Zugriff effektiv zu verweigern.
  • Erstellen Sie Zugriffsebenen, die nur einen Typ von Rechten und die entsprechenden allgemeinen Rechte enthalten. Dies bedeutet, dass es getrennte Zugriffsebenen f├╝r Inhalts-, Anwendungs- und Systemrechte gibt.
  • F├╝r alle Zugriffsebenen sollte das Recht „Allgemeine Objektansicht“ gew├Ąhrt werden, da Benutzer ein Objekt (Verbindung, Universum, Anwendung, Ordner usw.) sehen k├Ânnen m├╝ssen, um es verwenden zu k├Ânnen.
  • Legen Sie zwei „Daten“ Zugriffsebenen an. Eine, die Berechtigungen f├╝r verschiedene Verbindungstypen und Universen bietet, so dass der Benutzer Berichte anzeigen/aktualisieren kann. Die andere sollte die zus├Ątzlichen Rechte zum Erstellen von Abfragen bieten, sodass Benutzer Berichte erstellen k├Ânnen. Diese Zugriffsebenen werden nur f├╝r die Zuweisung des Zugriffs auf Verbindungen und Universen verwendet.
Einf├╝hrungsleitfaden SAP BusinessObjekts

Einf├╝hrungsleitfaden SAP BusinessObjects

Unser Einf├╝hrungsleitfaden basiert auf einem erprobten, wissenschaftlich fundierten Vorgehen. Mit einem minimierten Arbeitsaufwand f├╝r die Mitarbeiter stellt er sicher, dass die Implementierung der neuen Technologien schnell und effizient erfolgt.

  • F├╝r jede Anwendung gibt es eine eigene Zugriffsebene. F├╝r Webi kann es zwei Zugriffsebenen geben – eine, die es Benutzern erlaubt, Berichte in der Webi-Anwendung anzusehen und zu aktualisieren, und eine andere, die alle Ansichts- und Aktualisierungsrechte sowie zus├Ątzliche Rechte zum Erstellen und ├ändern von Berichten enth├Ąlt. Es k├Ânnte eine dritte Webi-Zugriffsebene geben, die Benutzern den Zugriff auf die Anzeige, Aktualisierung und Arbeit mit Filtern oder Warnungen in einem Bericht erm├Âglicht.
  • Verwenden Sie f├╝r Content-Zugriffsebenen nach M├Âglichkeit die allgemeinen Rechte und vermeiden Sie es, die allgemeinen Rechte, die innerhalb der Rechte jedes Content-Typs verf├╝gbar sind, au├čer Kraft zu setzen.
  • Wenn Sie die meisten Zugriffstypen zuweisen, verwenden Sie eine benutzerdefinierte Zugriffsebene, anstatt die Sicherheitsebene „Erweitert“ zu verwenden. Benutzerdefinierte Zugriffsebenen sind wiederverwendbar und machen es einfacher zu verstehen, welche Art von Zugriff gew├Ąhrt wird.

Mit einer sorgf├Ąltigen Planung und dem Bewusstsein, wie Zugriffsrechte funktionieren, ist es m├Âglich, die Sicherheit der SAP BI-Plattform so zu konfigurieren, dass sie leicht zu verstehen und zu pflegen ist.

Swen Deobald

Swen Deobald

Mein Name ist Swen Deobald und ich bin begeisterter SAP Analytics Berater. Als Fachbereichsleiter von Compamind unterst├╝tze ich Sie mit meinem Team bei allen Fragen rund um SAP Analytics, Business Warehouse, BusinessObjects und der SAP Analytics Cloud.

Sie haben Fragen? Kontaktieren Sie mich!



Das k├Ânnte Sie auch interessieren


Schreiben Sie einen Kommentar

Bitte f├╝llen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht ver├Âffentlicht.





Angebot anfordern
Expert Session
Preisliste anfordern