Categoría: Planificación y presupuestos

SAP EPM Add-in 10.0 SP26, no para todas las instalaciones

Algunas instalaciones de SAP BPC 10.0 NW no tienen problemas para adoptar con rapidez cualquier nueva actualización de la aplicación cliente SAP EPM Add-In, esto es posible, en gran parte, porque tienen pocos o ningún formulario implementado con código Visual Basic for Application (Macros para Excel), unos de los principales riesgos…


Algunas instalaciones de SAP BPC 10.0 NW no tienen problemas para adoptar con rapidez cualquier nueva actualización de la aplicación cliente SAP EPM Add-In, esto es posible, en gran parte, porque tienen pocos o ningún formulario implementado con código Visual Basic for Application (Macros para Excel), unos de los principales riesgos cuando llega una actualización de este complemento, que en ocasiones traen cambios en la API que se “descubren” posteriormente.

La reciente actualización del EPM Add-In (y futuras actualizaciones) conllevan un motivo, poco frecuente, que podría frenar su rápida adopción. Este complemento requiere que se disponga de SAP NW BW 7.4 SP15 o superior, de lo contrario se podría tener un comportamiento anómalo de la herramienta.

Como alternativa a la aplicación de la actualización de BW 7.4, se señala la posibilidad de aplicar las notas necesarias de cada SP, desde el SP09 al SP15.

Referencia: SAP Note 2148240

Ahorro de roles SAP NW con actualización de SAP BPC 10.0 / 10.1

Con fecha 01 de agosto 2016, SAP ha liberado una mejora que puede ser muy útil en instalaciones SAP BPC (SAP Business Planning and Consolidation) con varios modelos implementados y/o con un amplio número de definiciones de seguridad. Tal como hemos señalado en entradas anteriores …


Con fecha 01 de agosto 2016, SAP ha liberado una mejora que puede ser muy útil en instalaciones SAP BPC (SAP Business Planning and Consolidation) con varios modelos implementados y/o con un amplio número de definiciones de seguridad. Tal como hemos señalado en entradas anteriores (aquí y aquí), cada asignación de un elemento de seguridad de BPC, directa o indirectamente (a través de la asignación del usuario a un equipo) significa la generación de un rol de seguridad de SAP NW, lo cual podría ocasionar llegar al tope máximo de 312 definiciones.

La actualización SP23 de CPMBPC800 (BPC 10.0/NW 7.3), SP16 de CPMBPC801 (BPC 10.0/NW 7.4) o el SP11 de CPMBPC810 (BPC 10.1) incluye una mejora que cambia el modo en que se generan los roles BW: Si un usuario es agregado a un equipo, se generará, como máximo, 2 roles en BW, uno por pertenencia al equipo y otro adicional si fuese jefe de equipo. Estos roles incluirían las autorizaciones para acceder al Environment, las autorizaciones de los Data Access Profile y las autorizaciones de los Task Profiles.

Con esta mejora, resulta más que nunca, una buena práctica el uso de equipos y minimizar la asignación directa de autorizaciones en SAP BPC. Es posible disponer de esta nueva característica aplicando la nota de referencia.

Referencia: SAP Note 2334198

Cómo calcular los roles SAP NW que se generan al definir la seguridad SAP BPC

Si somos «ambiciosos» y deseamos tener todas las autorizaciones de seguridad de una instalación de SAP BPC, lo único que conseguiremos será que se bloquee nuestro usuario al acceder a la interfaz SAP BPC (SAP Business Planning and Consolidation), especialmente desde el EPM Add-In.


Si somos «ambiciosos» y deseamos tener todas las autorizaciones de seguridad de una instalación de SAP BPC, lo único que conseguiremos será que se bloquee nuestro usuario al acceder a la interfaz SAP BPC (SAP Business Planning and Consolidation), especialmente desde el EPM Add-In.

Teóricamente, el número máximo de entornos, perfiles, y equipos que se puede asignar a un usuario BPC NW es 999.999. Sin embargo, como consecuencia de la integración con el sistema de seguridad de SAP NetWeaver, el cual restringe el número máximo de perfiles a 312 por usuario, se establece este mismo tope para SAP BPC.

Para calcular el número máximo de entornos, perfiles y equipos que se pueden asignar a un usuario BPC, se debe tener presente las siguientes pautas:

  • 1 Entorno BPC = 1 perfil de SAP NW
  • 1 perfil de tareas de BPC = 1 perfil de SAP NW
  • 1 perfil de acceso a datos BPC = 1 perfil de SAP NW
  • 1 equipo de BPC con perfiles de “n” perfiles de tareas y “m” perfiles de acceso a datos = 1 + n + m perfiles de SAP NW
  • 1 Jefe de equipo de BPC = 1 perfil SAP NW

Por ejemplo, si un usuario es asignado a un environment (E), directamente tiene asignado dos perfiles de trabajo (TP) y tres perfiles de acceso de datos (DAP). Al mismo tiempo, es miembro de un equipo (T), es líder de este equipo (TL) que contiene otro perfil de tareas (TP) y un perfil de acceso a datos (DAP). Esta definición de seguridad BPC para este usuario se reflejaría con 10 perfiles de SAP NetWeaver: 1 (E) + 2 (TP) + 3 (DAP) + 1 (TL) + 1 (T) + 1  (TP) + 1 (DAP).

Aspectos de la seguridad SAP BPC vistos desde SAP NW

Sabemos que todas las definiciones de datos maestros, parametrización o configuración de la plataforma SAP Business Planning and Consolidation (SAP BPC) para SAP NetWeaver (SAP NW) se ve reflejada en SAP NW. El sistema de seguridad de SAP BPC no es la excepción, la cual es configurada en su gran totalidad desde la interfaz Web de BPC, la misma que se “auto-clona” en SAP NW.


Sabemos que todas las definiciones de datos maestros, parametrización o configuración de la plataforma SAP Business Planning and Consolidation (SAP BPC) para SAP NetWeaver (SAP NW) se ve reflejada en SAP NW. El sistema de seguridad de SAP BPC no es la excepción, la cual es configurada en su gran totalidad desde la interfaz Web de BPC, la misma que se “auto-clona” en SAP NW.

A continuación, señalamos una serie de características de la seguridad de SAP BPC NW, los cuales pasan desapercibidos cuando trabajamos con esta herramienta.

Usuarios BPC

  • Un usuario de SAP BPC siempre será antes un usuario de SAP NW.
  • Un usuario SAP BPC no necesita que se le asigne autorizaciones adicionales de NW o BW (excepto los privilegio BIU. En ocasiones es necesario el privilegio de ejecución MDX en entornos SAP HANA).
  • El usuario utilizado para las conexiones RFC (conocido como Service user account) usualmente tiene asignado un SAP_ALL. Si una tarea u operación necesitará interactuar con objetos BW o NW, el usuario de servicio sería utilizado.

Autorizaciones BPC

  • La seguridad de SAP BPC se estructura sobre cinco objetos de seguridad:
    • UJ_IDENTI: Si se agrega o no un usuario a un entorno
    • UJ_DATA: Si se asigna o no un usuario a un perfil de acceso de datos
    • UJ_BPCTASK: si se concede o no una tarea BPC a un usuario
    • UJ_TEAM: Si pertenece o no un usuario a un equipo
    • UJ_ID_TL: si un usuario es o no un jefe de equipo en un equipo
  • Para gestionar la seguridad de SAP BPC se recomienda utilizar la interfaz Web de la plataforma. No se requiere actuar directamente sobre los objetos de seguridad. Es posible utilizar las transacciones de seguridad de SAP NW para gestionar la seguridad de BPC, pero estas definiciones no se verían reflejadas en la interfaz Web de BPC.

Objetos de seguridad de SAP BPC

Perfiles BPC

  • Hay dos tipos de perfiles (profiles): Task profiles y Data Access profiles.
  • Un Task Profile o Perfil de Tarea es una agrupación de tareas BPC que puede ser asignado a un usuario o a un equipo de usuarios. La simple asignación de un task profile a un usuario o equipo, autoriza al usuario o usuarios la ejecución de todas las tareas contenidas en este perfil.
  • Un Data Access profile o perfil de acceso a datos define las autorizaciones de acceso de lectura, escritura o denegación sobre las regiones de datos de un modelo, determinadas por los miembros de dimensión de las dimensiones seguras de cada cubo.
  • Por cada perfil BPC, se creará un rol en SAP NW con un identificador autogenerado. Cuando un perfil es asignado en BPC, el correspondiente rol será asignado al usuario en la capa SAP NW.

Equipos BPC

  • Un equipo BPC representa a un grupo de usuarios. El perfil asignado a un equipo lo recibirán o heredarán los usuarios que pertenecen a ese equipo.
  • Un Equipo BPC puede tener cero o más jefes de equipo (Team leader), los cuales podrán gestionar la estructura de carpetas y ficheros de la carpeta del equipo.
  • BPC creará por cada equipo dos roles SAP NW, uno de ellos será automáticamente asignado a todos los miembros del equipo y otro rol que será asignado a los jefes de equipo.

Referencia: SAP Note 1613125

Nuevo nombre para SAP BPC 10.1


Para el extraño «pasatiempo» de SAP de cambiar el nombre a sus productos, no encontramos explicación, más aún, si alguna vez al dar a conocer un producto lo presenta con un nombre, luego de unos años lo cambia, para que luego de unos años más adelante lo vuelva a denominar como inicialmente lo hizo.

A través de la nota 2336604 SAP oficializa el cambio de nombre de SAP Business Planning and Consolidation a SAP BusinessObjects Planning and Consolidation, se debe tener presente que el documento de referencia sólo puntualiza sobre la versión 10.1, lo «bueno», es que el acrónimo seguirá siendo el mismo: SAP BPC.

Si en el anterior cambio de nombre se indicó que se retiraba el término BusinessObjects de los productos de los portfolios de SAP EPM y SAP GRC para evitar la confusión con el portfolio Business Intelligence, nos preguntamos ¿ahora qué ha cambiado? ¿otros productos recuperarán este «marca» en su denominación?, por lo pronto, ya hemos visto que productos que nunca incluyeron es termino lo incluyen, tal es el caso de SAP BusinessObjects Lumira… Parece que de pronto la marca que se especuló que sería «extinguida» ahora ha recuperado valor para SAP.

Referencia: SAP Note 2336604 o aquí