Sabemos que todas las definiciones de datos maestros, parametrización o configuración de la plataforma SAP Business Planning and Consolidation (SAP BPC) para SAP NetWeaver (SAP NW) se ve reflejada en SAP NW. El sistema de seguridad de SAP BPC no es la excepción, la cual es configurada en su gran totalidad desde la interfaz Web de BPC, la misma que se “auto-clona” en SAP NW.
A continuación, señalamos una serie de características de la seguridad de SAP BPC NW, los cuales pasan desapercibidos cuando trabajamos con esta herramienta.
Usuarios BPC
- Un usuario de SAP BPC siempre será antes un usuario de SAP NW.
- Un usuario SAP BPC no necesita que se le asigne autorizaciones adicionales de NW o BW (excepto los privilegio BIU. En ocasiones es necesario el privilegio de ejecución MDX en entornos SAP HANA).
- El usuario utilizado para las conexiones RFC (conocido como Service user account) usualmente tiene asignado un SAP_ALL. Si una tarea u operación necesitará interactuar con objetos BW o NW, el usuario de servicio sería utilizado.
Autorizaciones BPC
- La seguridad de SAP BPC se estructura sobre cinco objetos de seguridad:
- UJ_IDENTI: Si se agrega o no un usuario a un entorno
- UJ_DATA: Si se asigna o no un usuario a un perfil de acceso de datos
- UJ_BPCTASK: si se concede o no una tarea BPC a un usuario
- UJ_TEAM: Si pertenece o no un usuario a un equipo
- UJ_ID_TL: si un usuario es o no un jefe de equipo en un equipo
- Para gestionar la seguridad de SAP BPC se recomienda utilizar la interfaz Web de la plataforma. No se requiere actuar directamente sobre los objetos de seguridad. Es posible utilizar las transacciones de seguridad de SAP NW para gestionar la seguridad de BPC, pero estas definiciones no se verían reflejadas en la interfaz Web de BPC.
Perfiles BPC
- Hay dos tipos de perfiles (profiles): Task profiles y Data Access profiles.
- Un Task Profile o Perfil de Tarea es una agrupación de tareas BPC que puede ser asignado a un usuario o a un equipo de usuarios. La simple asignación de un task profile a un usuario o equipo, autoriza al usuario o usuarios la ejecución de todas las tareas contenidas en este perfil.
- Un Data Access profile o perfil de acceso a datos define las autorizaciones de acceso de lectura, escritura o denegación sobre las regiones de datos de un modelo, determinadas por los miembros de dimensión de las dimensiones seguras de cada cubo.
- Por cada perfil BPC, se creará un rol en SAP NW con un identificador autogenerado. Cuando un perfil es asignado en BPC, el correspondiente rol será asignado al usuario en la capa SAP NW.
Equipos BPC
- Un equipo BPC representa a un grupo de usuarios. El perfil asignado a un equipo lo recibirán o heredarán los usuarios que pertenecen a ese equipo.
- Un Equipo BPC puede tener cero o más jefes de equipo (Team leader), los cuales podrán gestionar la estructura de carpetas y ficheros de la carpeta del equipo.
- BPC creará por cada equipo dos roles SAP NW, uno de ellos será automáticamente asignado a todos los miembros del equipo y otro rol que será asignado a los jefes de equipo.
Referencia: SAP Note 1613125
aníbal goicochea 