Cómo calcular los roles SAP NW que se generan al definir la seguridad SAP BPC

Si somos «ambiciosos» y deseamos tener todas las autorizaciones de seguridad de una instalación de SAP BPC, lo único que conseguiremos será que se bloquee nuestro usuario al acceder a la interfaz SAP BPC (SAP Business Planning and Consolidation), especialmente desde el EPM Add-In.


Si somos «ambiciosos» y deseamos tener todas las autorizaciones de seguridad de una instalación de SAP BPC, lo único que conseguiremos será que se bloquee nuestro usuario al acceder a la interfaz SAP BPC (SAP Business Planning and Consolidation), especialmente desde el EPM Add-In.

Teóricamente, el número máximo de entornos, perfiles, y equipos que se puede asignar a un usuario BPC NW es 999.999. Sin embargo, como consecuencia de la integración con el sistema de seguridad de SAP NetWeaver, el cual restringe el número máximo de perfiles a 312 por usuario, se establece este mismo tope para SAP BPC.

Para calcular el número máximo de entornos, perfiles y equipos que se pueden asignar a un usuario BPC, se debe tener presente las siguientes pautas:

  • 1 Entorno BPC = 1 perfil de SAP NW
  • 1 perfil de tareas de BPC = 1 perfil de SAP NW
  • 1 perfil de acceso a datos BPC = 1 perfil de SAP NW
  • 1 equipo de BPC con perfiles de “n” perfiles de tareas y “m” perfiles de acceso a datos = 1 + n + m perfiles de SAP NW
  • 1 Jefe de equipo de BPC = 1 perfil SAP NW

Por ejemplo, si un usuario es asignado a un environment (E), directamente tiene asignado dos perfiles de trabajo (TP) y tres perfiles de acceso de datos (DAP). Al mismo tiempo, es miembro de un equipo (T), es líder de este equipo (TL) que contiene otro perfil de tareas (TP) y un perfil de acceso a datos (DAP). Esta definición de seguridad BPC para este usuario se reflejaría con 10 perfiles de SAP NetWeaver: 1 (E) + 2 (TP) + 3 (DAP) + 1 (TL) + 1 (T) + 1  (TP) + 1 (DAP).

Aspectos de la seguridad SAP BPC vistos desde SAP NW

Sabemos que todas las definiciones de datos maestros, parametrización o configuración de la plataforma SAP Business Planning and Consolidation (SAP BPC) para SAP NetWeaver (SAP NW) se ve reflejada en SAP NW. El sistema de seguridad de SAP BPC no es la excepción, la cual es configurada en su gran totalidad desde la interfaz Web de BPC, la misma que se “auto-clona” en SAP NW.


Sabemos que todas las definiciones de datos maestros, parametrización o configuración de la plataforma SAP Business Planning and Consolidation (SAP BPC) para SAP NetWeaver (SAP NW) se ve reflejada en SAP NW. El sistema de seguridad de SAP BPC no es la excepción, la cual es configurada en su gran totalidad desde la interfaz Web de BPC, la misma que se “auto-clona” en SAP NW.

A continuación, señalamos una serie de características de la seguridad de SAP BPC NW, los cuales pasan desapercibidos cuando trabajamos con esta herramienta.

Usuarios BPC

  • Un usuario de SAP BPC siempre será antes un usuario de SAP NW.
  • Un usuario SAP BPC no necesita que se le asigne autorizaciones adicionales de NW o BW (excepto los privilegio BIU. En ocasiones es necesario el privilegio de ejecución MDX en entornos SAP HANA).
  • El usuario utilizado para las conexiones RFC (conocido como Service user account) usualmente tiene asignado un SAP_ALL. Si una tarea u operación necesitará interactuar con objetos BW o NW, el usuario de servicio sería utilizado.

Autorizaciones BPC

  • La seguridad de SAP BPC se estructura sobre cinco objetos de seguridad:
    • UJ_IDENTI: Si se agrega o no un usuario a un entorno
    • UJ_DATA: Si se asigna o no un usuario a un perfil de acceso de datos
    • UJ_BPCTASK: si se concede o no una tarea BPC a un usuario
    • UJ_TEAM: Si pertenece o no un usuario a un equipo
    • UJ_ID_TL: si un usuario es o no un jefe de equipo en un equipo
  • Para gestionar la seguridad de SAP BPC se recomienda utilizar la interfaz Web de la plataforma. No se requiere actuar directamente sobre los objetos de seguridad. Es posible utilizar las transacciones de seguridad de SAP NW para gestionar la seguridad de BPC, pero estas definiciones no se verían reflejadas en la interfaz Web de BPC.

Objetos de seguridad de SAP BPC

Perfiles BPC

  • Hay dos tipos de perfiles (profiles): Task profiles y Data Access profiles.
  • Un Task Profile o Perfil de Tarea es una agrupación de tareas BPC que puede ser asignado a un usuario o a un equipo de usuarios. La simple asignación de un task profile a un usuario o equipo, autoriza al usuario o usuarios la ejecución de todas las tareas contenidas en este perfil.
  • Un Data Access profile o perfil de acceso a datos define las autorizaciones de acceso de lectura, escritura o denegación sobre las regiones de datos de un modelo, determinadas por los miembros de dimensión de las dimensiones seguras de cada cubo.
  • Por cada perfil BPC, se creará un rol en SAP NW con un identificador autogenerado. Cuando un perfil es asignado en BPC, el correspondiente rol será asignado al usuario en la capa SAP NW.

Equipos BPC

  • Un equipo BPC representa a un grupo de usuarios. El perfil asignado a un equipo lo recibirán o heredarán los usuarios que pertenecen a ese equipo.
  • Un Equipo BPC puede tener cero o más jefes de equipo (Team leader), los cuales podrán gestionar la estructura de carpetas y ficheros de la carpeta del equipo.
  • BPC creará por cada equipo dos roles SAP NW, uno de ellos será automáticamente asignado a todos los miembros del equipo y otro rol que será asignado a los jefes de equipo.

Referencia: SAP Note 1613125

Casos de incompatibilidad con Google Chrome

Hace unos días leíamos en un artículo sobre innovadores en el trabajo, el cual señalaba que una forma de identificarlos, entre otros factores, era si utilizaban Google Chrome o Mozilla Firefox, el «esfuerzo extra» de descargar estos instaladores y no resignarse a utilizar el navegador por defecto, es decir, Internet Explorer, era una señal de que podríamos estar ante un alma innovadora.


Hace unos días leíamos en un artículo sobre innovadores en el trabajo, el cual señalaba que una forma de identificarlos, entre otros factores, era si utilizaban Google Chrome o Mozilla Firefox, el «esfuerzo extra» de descargar estos instaladores y no resignarse a utilizar el navegador por defecto, es decir, Internet Explorer, era una señal de que podríamos estar ante un alma innovadora.

Pero sabemos que estos «innovadores» pueden ocasionar un trabajo adicional si desean utilizar algunos productos de SAP EPM o SAP Business Intelligence BusinessObjects con navegadores tales como Google Chrome, porque estos productos podrían ser incompatibles con la actualización de este navegador.

Una medida sería desactivar las actualizaciones automáticas de Google Chrome, lo cual puede ser no muy bien visto, dado que estas actualizaciones cubren en muchas ocasiones fallos o huecos de seguridad.

Si tenemos un problema con Google Chrome, una alternativa a probar sería desactivar algunas de las funcionalidades experimentales que siempre incluye este navegador o algunos de sus componentes a través de la URL chrome://flags. Los posibles elementos a desactivar podrían estar documentados en notas SAP tales como los señalados a continuación:

  • 2156305 – The message «This plug-in is not supported» when attempting to launch the Java Report Panel, Rich Internet Application or Web Intelligence Applet interface in Chrome
  • 2344848 – Scroll Bar is missing in Lumira document Input Control

Ten mucho cuidado al activar o desactivar funciones de este navegador, si no esta documentada su variación o no conoces posibles impactos posteriores.

Nuevo nombre para SAP BPC 10.1


Para el extraño «pasatiempo» de SAP de cambiar el nombre a sus productos, no encontramos explicación, más aún, si alguna vez al dar a conocer un producto lo presenta con un nombre, luego de unos años lo cambia, para que luego de unos años más adelante lo vuelva a denominar como inicialmente lo hizo.

A través de la nota 2336604 SAP oficializa el cambio de nombre de SAP Business Planning and Consolidation a SAP BusinessObjects Planning and Consolidation, se debe tener presente que el documento de referencia sólo puntualiza sobre la versión 10.1, lo «bueno», es que el acrónimo seguirá siendo el mismo: SAP BPC.

Si en el anterior cambio de nombre se indicó que se retiraba el término BusinessObjects de los productos de los portfolios de SAP EPM y SAP GRC para evitar la confusión con el portfolio Business Intelligence, nos preguntamos ¿ahora qué ha cambiado? ¿otros productos recuperarán este «marca» en su denominación?, por lo pronto, ya hemos visto que productos que nunca incluyeron es termino lo incluyen, tal es el caso de SAP BusinessObjects Lumira… Parece que de pronto la marca que se especuló que sería «extinguida» ahora ha recuperado valor para SAP.

Referencia: SAP Note 2336604 o aquí

Etiquetas para buscar información en SAP Marketplace sobre SAP BusinessObjects BI

El repositorio de notas o KBAs de SAP Marketplace es la mejor fuente de información actualizada de los productos SAP, tanto para solucionar problemas, mejor la configuración u obtener el mayor rendimiento delas aplicaciones. Pero nadar en ese océano puedes terminar ahogándote por la descomunal cantidad de documentos disponibles.


El repositorio de notas o KBAs de SAP Marketplace es la mejor  fuente de información actualizada de los productos SAP, tanto para solucionar problemas, mejor la configuración u obtener el mayor rendimiento delas aplicaciones. Pero nadar en ese océano puedes terminar ahogándote por la descomunal cantidad de documentos disponibles.

Puedes utilizar las palabras que hagan referencia a un mensaje de error, pero aun así, el resultado quizás no sea el esperado. Lo recomendable es utilizar las etiquetas, marcadores o tags; con los tres términos nos referimos a lo mismo, palabras utilizadas para agrupar contenidos que guarden alguna similitud o tratan la misma temática.

Para el caso de la plataforma de SAP BusinessObjetcs BI compartimos las siguientes etiquetas que SAP ha comenzado agregar reciente en sus denominados KBA (Knowledge Base Article):

  • biauth. Temas relacionados autenticación.
  • mkba. Identifica las notas principales, master o agrupadoras de otras notas sobre un tema particular.
  • bpkba. Buenas prácticas y sugerencias.
  • tskba. Solución de problemas
  • emkba. Búsqueda según mensajes de error conocidos del producto.
  • tlkba. Herramientas para analizar logs.
  • pkba. Rendimiento.
  • ikba. Para problemas aleatorios o eventuales.
  • 3tkba. Uso de herramientas de terceros en autenticación.
  • wakba. Búsqueda de work around o solución temporal a un problema.

Para obtener un mejor resultado de tus búsquedas acompaña estas etiquetas con algunas palabras adicionales.