Archivo mensual: julio 2016

Aspectos de la seguridad SAP BPC vistos desde SAP NW


Sabemos que todas las definiciones de datos maestros, parametrización o configuración de la plataforma SAP Business Planning and Consolidation (SAP BPC) para SAP NetWeaver (SAP NW) se ve reflejada en SAP NW. El sistema de seguridad de SAP BPC no es la excepción, la cual es configurada en su gran totalidad desde la interfaz Web de BPC, la misma que se “auto-clona” en SAP NW.

A continuación, señalamos una serie de características de la seguridad de SAP BPC NW, los cuales pasan desapercibidos cuando trabajamos con esta herramienta.

Usuarios BPC

  • Un usuario de SAP BPC siempre será antes un usuario de SAP NW.
  • Un usuario SAP BPC no necesita que se le asigne autorizaciones adicionales de NW o BW (excepto los privilegio BIU. En ocasiones es necesario el privilegio de ejecución MDX en entornos SAP HANA).
  • El usuario utilizado para las conexiones RFC (conocido como Service user account) usualmente tiene asignado un SAP_ALL. Si una tarea u operación necesitará interactuar con objetos BW o NW, el usuario de servicio sería utilizado.

Autorizaciones BPC

  • La seguridad de SAP BPC se estructura sobre cinco objetos de seguridad:
    • UJ_IDENTI: Si se agrega o no un usuario a un entorno
    • UJ_DATA: Si se asigna o no un usuario a un perfil de acceso de datos
    • UJ_BPCTASK: si se concede o no una tarea BPC a un usuario
    • UJ_TEAM: Si pertenece o no un usuario a un equipo
    • UJ_ID_TL: si un usuario es o no un jefe de equipo en un equipo
  • Para gestionar la seguridad de SAP BPC se recomienda utilizar la interfaz Web de la plataforma. No se requiere actuar directamente sobre los objetos de seguridad. Es posible utilizar las transacciones de seguridad de SAP NW para gestionar la seguridad de BPC, pero estas definiciones no se verían reflejadas en la interfaz Web de BPC.

Objetos de seguridad de SAP BPC

Perfiles BPC

  • Hay dos tipos de perfiles (profiles): Task profiles y Data Access profiles.
  • Un Task Profile o Perfil de Tarea es una agrupación de tareas BPC que puede ser asignado a un usuario o a un equipo de usuarios. La simple asignación de un task profile a un usuario o equipo, autoriza al usuario o usuarios la ejecución de todas las tareas contenidas en este perfil.
  • Un Data Access profile o perfil de acceso a datos define las autorizaciones de acceso de lectura, escritura o denegación sobre las regiones de datos de un modelo, determinadas por los miembros de dimensión de las dimensiones seguras de cada cubo.
  • Por cada perfil BPC, se creará un rol en SAP NW con un identificador autogenerado. Cuando un perfil es asignado en BPC, el correspondiente rol será asignado al usuario en la capa SAP NW.

Equipos BPC

  • Un equipo BPC representa a un grupo de usuarios. El perfil asignado a un equipo lo recibirán o heredarán los usuarios que pertenecen a ese equipo.
  • Un Equipo BPC puede tener cero o más jefes de equipo (Team leader), los cuales podrán gestionar la estructura de carpetas y ficheros de la carpeta del equipo.
  • BPC creará por cada equipo dos roles SAP NW, uno de ellos será automáticamente asignado a todos los miembros del equipo y otro rol que será asignado a los jefes de equipo.

Referencia: SAP Note 1613125

Casos de incompatibilidad con Google Chrome


Hace unos días leíamos en un artículo sobre innovadores en el trabajo, el cual señalaba que una forma de identificarlos, entre otros factores, era si utilizaban Google Chrome o Mozilla Firefox, el “esfuerzo extra” de descargar estos instaladores y no resignarse a utilizar el navegador por defecto, es decir, Internet Explorer, era una señal de que podríamos estar ante un alma innovadora.

Pero sabemos que estos “innovadores” pueden ocasionar un trabajo adicional si desean utilizar algunos productos de SAP EPM o SAP Business Intelligence BusinessObjects con navegadores tales como Google Chrome, porque estos productos podrían ser incompatibles con la actualización de este navegador.

Una medida sería desactivar las actualizaciones automáticas de Google Chrome, lo cual puede ser no muy bien visto, dado que estas actualizaciones cubren en muchas ocasiones fallos o huecos de seguridad.

Si tenemos un problema con Google Chrome, una alternativa a probar sería desactivar algunas de las funcionalidades experimentales que siempre incluye este navegador o algunos de sus componentes a través de la URL chrome://flags. Los posibles elementos a desactivar podrían estar documentados en notas SAP tales como los señalados a continuación:

  • 2156305 – The message “This plug-in is not supported” when attempting to launch the Java Report Panel, Rich Internet Application or Web Intelligence Applet interface in Chrome
  • 2344848 – Scroll Bar is missing in Lumira document Input Control

Ten mucho cuidado al activar o desactivar funciones de este navegador, si no esta documentada su variación o no conoces posibles impactos posteriores.

Nuevo nombre para SAP BPC 10.1


Para el extraño “pasatiempo” de SAP de cambiar el nombre a sus productos, no encontramos explicación, más aún, si alguna vez al dar a conocer un producto lo presenta con un nombre, luego de unos años lo cambia, para que luego de unos años más adelante lo vuelva a denominar como inicialmente lo hizo.

A través de la nota 2336604 SAP oficializa el cambio de nombre de SAP Business Planning and Consolidation a SAP BusinessObjects Planning and Consolidation, se debe tener presente que el documento de referencia sólo puntualiza sobre la versión 10.1, lo “bueno”, es que el acrónimo seguirá siendo el mismo: SAP BPC.

Si en el anterior cambio de nombre se indicó que se retiraba el término BusinessObjects de los productos de los portfolios de SAP EPM y SAP GRC para evitar la confusión con el portfolio Business Intelligence, nos preguntamos ¿ahora qué ha cambiado? ¿otros productos recuperarán este “marca” en su denominación?, por lo pronto, ya hemos visto que productos que nunca incluyeron es termino lo incluyen, tal es el caso de SAP BusinessObjects Lumira… Parece que de pronto la marca que se especuló que sería “extinguida” ahora ha recuperado valor para SAP.

Referencia: SAP Note 2336604 o aquí