Generierung von
Analyseberechtigungen
Verwendung
Mit der Generierung von Analyseberechtigungen können Sie berechtigte Werte aus anderen Systemen in DataStore-Objekte laden und daraus Berechtigungen erzeugen.
Damit können notwendige Berechtigungen aus den Daten einer Anwendung (zum Beispiel des HR) erzeugt werden, so dass Benutzer die gleichen Daten im BI-System wie in den Transaktionen der Anwendung sehen dürfen bzw. nicht sehen dürfen, auch wenn die Berechtigungskonzepte unterschiedlich sind.
Die Generierung von Berechtigungen können Sie entweder dazu einsetzen, Einzelberechtigungen zu generieren oder um Massenberechtigungen zu generieren. Sie eignet sich für Szenarien, die periodisch neue Berechtigungen erzeugen, die sich also immer wieder ändern. Es ist dann auch nicht unbedingt sinnvoll, diese Berechtigungen in Rollen/Profilen den Benutzern zuzuordnen. Bei automatisch erzeugten Namen ist dies auch nicht möglich, da sie sich dauernd ändern. Deshalb werden die generierten Berechtigungen direkt im BI-System zugeordnet. Dies ist erheblich schneller als die Erzeugung von Profilen. Bei fester Namensvergabe kann dies jedoch über die Rollenpflege manuell erreicht werden. Dies ist jedoch zu überdenken, weil konstante Namen die Gefahr des Überschreibens beinhalten.
Die Generierung von Berechtigungen ist ein Konzept, das dem Rollenkonzept als dynamische Berechtigungsvergabe gegenübersteht.
Voraussetzungen
Es muss ein Extraktor für Berechtigungen vorhanden sein (bisher für HR und Controlling).
Für den Bereich HR:
Sie müssen die DataStore-Objekte 0TCA_DS01 und 0TCA_DS02 (optional 03 bis 05) aus dem BI Content übernehmen. Diese DataStore-Objekte sollten für jede Anwendung kopiert werden, für die ein vollständiges Datenladen vorgesehen ist. Weitere Informationen zu den Content-Objekten finden Sie unter BI Content ® Personalwirtschaft ® Organisationsmanagement ® DataStore-Objekte ® Strukturelle Berechtigungen – Hierarchie und Strukturelle Berechtigungen – Werte
Für den Bereich Controlling:
Es steht ein vollständiges Szenario zur Verfügung. Übernehmen Sie dazu die Content-Objekte: 0CO_OM_CCA_USER1 (DataSource und InfoSource) wie auch die DataStore-Objekte inklusive Fortschreibungsregeln 0CCA_001, 0CCA_002, 0CCA_003.
Für alle anderen Anwendungen:
Kopieren Sie die Vorlagen 0TCA _DS01 und 0TCA_DS02 (optional 03 bis 05) in DataStore-Objekte für Ihren Anwendungsbereich (Abteilung etc.). Beachten Sie dabei die Namenskonvention mit den Ziffern 1 bis 5 am Ende.
Sie benötigen ausreichende Berechtigung für Generierungsaktivitäten wie Löschen, Ändern und Generieren von Analyse-Berechtigungen, Ändern von Benutzerzuordnungen (Berechtigungsobjekt S_RSEC), sowie evtl. weitere Aktivitäten für das Anlegen oder Ändern von Systembenutzern über NetWeaver-Berechtigungsobjekte zur Benutzerpflege. Die im Detail notwendigen Berechtigungen hängen vom Generierungsszenario ab.
Funktionsumfang
Sie erreichen diese Funktion über die Administration von Analyseberechtigungen (Transaktion RSECADMIN) unter Berechtigungen ® Generierung von Berechtigungen.
Die DataStore-Objekte zur Generierung von Berechtigungen sind analog zu den Berechtigungen aufgebaut und enthalten folgende Berechtigungswerte:
● Berechtigungsdaten (Werte) (0TCA_DS01)
● Berechtigungsdaten (Hierarchie) (0TCA_DS02)
● Beschreibungstexte Berechtigungen (0TCA_DS03)
● Zuordnung Berechtigung Benutzer (0TCA_DS04)
● Generierung Benutzer zu Berechtigungen (0TCA_DS05)
Die eigentlichen Daten, die in den generierten Berechtigungen verwendet werden sollen, sind in den beiden Vorlage-DataStore-Objekten 0TCA_DS01 und 0TCA_DS02 zu finden.
Weitere Informationen:
● Vorlage für DataStore-Objekt mit Berechtigungsdaten (Werten)
● Vorlage für DataStore-Objekt mit Berechtigungsdaten (Hierarchie)
Sie legen fest, aus welchen DataStore-Objekten welche Berechtigungen generiert werden sollen. Für diese laden Sie dann Ihre Berechtigungsdaten. Dies kann beispielsweise über CSV-Dateien geschehen oder über Extraktoren. Die automatische Generierung setzt korrekt gefüllte DataStore-Objekte voraus. Das System versucht jedoch, fehlerhafte Intervalle und einige andere Fehler zu erkennen und falls möglich zu korrigieren. Das wird im Protokoll vermerkt.
Bei CSV-Dateien müssen die Felder Anwender und Berechtigung nicht notwendigerweise mit Werten gefüllten werden. Im Allgemeinen können diese Felder jedoch mit Namen und Zahlen gefüllt werden. Dabei kommt es zu unterschiedlichen Ergebnissen bei der Zuordnung von Berechtigungen. Genauere Informationen dazu erhalten Sie in den detaillierten Beschreibungen der beiden Vorlage-DataStore-Objekte oben.
In der Transaktion RSECADMIN können Sie auf der Registerkarte Berechtigungen unter Generierung die Berechtigungen generieren lassen. Alternativ startet der Report RSEC_GENERATE_AUTHORIZATIONS die Generierung bzw. plant sie ein.
Generierung von Einzelberechtigungen:
Pflegen Sie den Benutzer im DataStore-Objekt 0TCA_DS01. Bei der Generierung der Berechtigung wird sie dem Benutzer zugeordnet. Dies eignet sich für die Vergabe von Berechtigungen, die sehr benutzerspezifisch sind.
Generierung von Massenberechtigungen:
Lassen Sie im DataStore-Objekt 0TCA_DS01 das Schlüsselfeld Benutzer leer und generieren Sie die Berechtigungen. Sie erhalten dann eine Berechtigung, die beliebig vielen Benutzern zugeordnet werden kann. Seine Texte erhält das Profil aus dem DataStore-Objekt 0TCA_DS03. Es können sprachabhängige Kurz-, Mittel- und Langtexte enthalten sein. Die Benutzer pflegen Sie im DataStore-Objekt 0TCA_DS04. Damit generieren Sie Ihre Massenberechtigungen.
Generierung von Benutzern
Mit 0TCA_DS05 können Sie Benutzer auch mitgenerieren. Dazu geben Sie einen bereits existierenden Referenzbenutzer an, von dem kopiert werden soll. Die neu erzeugten Benutzer erhalten zufällig erzeugte, initiale Kennwörter, die nicht transparent sind. Das Einloggen ist erst nach manueller Änderung des jeweiligen Kennwortes möglich.
Generierung von Berechtigungsnamen
Generieren Sie explizite („sprechende“) Berechtigungsnamen, indem Sie das Feld für 0TCTAUTH mit den gewünschten Namen füllen. Alternativ können Sie auch Zahlen angeben, um Merkmalsdimensionen, die zur gleichen Berechtigung gehören, zu markieren. Bleibt das Feld 0TCTAUTH leer, werden technische Namen nach dem Muster RSR_00000012 generiert. Dabei werden alle Einträge mit gleichem Namen (oder leerem Feld) derselben Berechtigung zugeordnet.
Wenn ein technischer Name mit acht Ziffern RSR_nnnnnnnn für eine Berechtigung angelegt wurde und erneut generiert wurde, werden die vorhandenen Namen gelöscht und neue technische Namen generiert. Damit ist die vorherige Berechtigung gelöscht und durch die (möglicherweise inhaltlich identische) neue Berechtigung ersetzt worden. Durch die Verwendung eines Nummernkreises wird ein ungewolltes Überschreiben verhindert. Nach 100.000.000 erzeugten Berechtigungen findet ein Überlauf statt und es wird wieder mit 1 gestartet.
Löschen von Berechtigungen und Neugenerierung
Für die Benutzer, für die Daten im DataStore-Objekt vorhanden sind, die also neu generiert werden sollen, werden zunächst die vorhandenen generierten Berechtigungen gelöscht. Dies geschieht während des Programmablaufes (Programm RSEC_GENERATE_AUTHORIZATIONS oder Transaktion RSECADMIN ® Berechtigungen generieren).
Durch das Löschen werden die Berechtigungen gleichzeitig den Benutzern entzogen, denen diese Berechtigungen zugeordnet waren. Danach werden die Berechtigungen wie üblich anhand der Daten in den DataStore-Objekten generiert. Beide Vorgänge, das Löschen und die Neugenierung erfolgen hintereinander und können nicht entkoppelt oder beeinflusst werden.
Wird in das DataStore-Objekt 0TCA_DS01 ein Datensatz mit dem Benutzernamen 'D_E_L_E_T_E' geladen, so werden zuerst die generierten Berechtigungen aller(!) Benutzer im BI-System zu dem DataStore-Objekt-Satz (abgegrenzt durch den ersten Namensteil vor den Ziffern) vollständig gelöscht und danach wie gewöhnlich für die übrigen Daten generiert.
Protokoll der Generierung
Bei der Generierung wird ein
detailliertes Protokoll erstellt, das die Generierungsschritte dokumentiert
und das automatisch angezeigt wird. Alte Protokolle können, ausgehend von der
Transaktion RSECADMIN unter der Registerkarte Analyse
® 
Generierungsprotokolle angesehen werden oder bei Start
des Reports RSEC_GENERATE_AUTHORIZATIONS mit Hilfe des Protokoll-Symbols
angesehen werden.
...
Hinweis zur Performance bei der Generierung:
Die Generierung kann auch viele tausend Datensätze verarbeiten. Die Laufzeiten sind jedoch nicht mit der Leseperformance von Bewegungsdaten aus einem DataStore-Objekt vergleichbar. Aus diesem Grund kann ein Generierungslauf über das Programm RSEC_GENERATE_AUTHORIZATIONS auch im Hintergrund laufen.
Tipps zur Generierung
1. Bei einer Generierung werden zuerst alle generierten Berechtigungen gelöscht, so dass während des Laufes einer Generierung alle betroffenen Benutzer keine Berechtigungen haben, bis sie die neu generierten Berechtigungen zugeordnet bekommen haben. Das gilt selbst dann, wenn effektiv keine inhaltlichen Änderungen am Berechtigungsaufbau stattfinden. Bei einem Generierungsvorgang von mehreren Stunden kann das zu ebenso langen Ausfallzeiten führen.
Dies können Sie mit einem Delta-Mechanismus umgehen: Sie sollten nur die Berechtigungen generieren lassen, die auch wirklich geändert wurden. Das kann vor dem Befüllen der DataStore-Objekte im entsprechenden Extraktionsprogramm geprüft werden. Da es typischerweise erheblich weniger sind als der gesamte Benutzerbestand, kann damit der gesamte Vorgang erheblich beschleunigt werden, so dass es kaum noch zu Ausfallzeiten kommt. Sie können stattdessen auch eventuell öfter Delta-Berechtigungen generieren, wenn sich das als sinnvoll erweist.
2. Gelegentliche Aufräumarbeiten können Sie mit dem Benutzer D_E_L_E_T_E vornehmen, der einem vollständigen aktualisierten Generierungslauf vorangestellt wird (z.B. einmal im Monat). Das kann auch durch eine zusätzliche Zeile im DataStore-Objekt für die Werte oder Hierarchien geschehen.
Damit werden etwa obsolete Berechtigungen von Benutzern gelöscht, die bereits gesperrt oder gelöscht wurden und nie mehr neu generiert werden. Deren generierte Berechtigungen werden sonst nicht automatisch gelöscht.