<h2 class="c-blog_head" id=1. SAP Datasphere als Entscheidungshilfe" data-headline="1. SAP Datasphere als Entscheidungshilfe"><span class="first_id_number"></span>1. SAP Datasphere als Entscheidungshilfe</h2>
Zeit ist Geld, je fundierter und schneller Entscheidungen getroffen werden können, desto besser ist der Unternehmenserfolg. Entscheidungsunterstützung (relevante Informationen zeitnah zur Verfügung zu stellen) ist der Kern von Data Warehousing, indem benötigte Daten gesammelt, aufbereitet, zusammengefasst und geschützt werden.
SAP Datasphere (SDS), vormals SAP Data Warehouse Cloud, vereint in Zukunft alle Data-Warehouse-Cloud-Lösungen der SAP. Hierzu bietet SDS Technologien und Funktionalitäten, um Daten aus verschiedensten Quellen zu finden (Data Catalog), zu konsolidieren (Data Warehouse) und zu verwalten (Data Governance). Die nahtlose Datasphere-Integration in SAP Analytics Cloud bietet Endanwendern vollumfängliche Möglichkeiten für Visualisierung und Planung, sodass Informationen graphisch konsumiert und Entscheidungen getroffen werden können.
<h2 class="c-blog_head" id=2. Datensicherheit & Berechtigungen mit SAP Datasphere" data-headline="2. Datensicherheit & Berechtigungen mit SAP Datasphere"><span class="first_id_number"></span>2. Datensicherheit & Berechtigungen mit SAP Datasphere</h2>
Die Diversität von möglichen Quellsystemen erschwert es herauszufinden, welche Daten für wen relevant sind (Decision Support), welche Daten wie weiterverarbeitet werden dürfen (Data Protection) oder wer entschieden darf, wer was sieht (Data Sovereignty).
Dieser Beitrag konzentriert sich auf den Decision-Support-Aspekt von Data Governance; jeder soll alles sehen was für ihn relevant ist, nicht mehr und nicht weniger.
Datasphere folgt dem Ansatz, technisch-funktionale Berechtigungen mit Datenberechtigungen zu kombinieren. Technisch-funktionale Berechtigungen bzw. Rollen erlauben dem Benutzer den Zugriff auf SDS und steuern die möglichen Funktionalitäten, die der Benutzer ausführen darf. Datenberechtigungen agieren als Filter auf Teile der Gesamtdaten und sorgen dafür, dass ein Sales Manager für die Region Deutschland, nur die Daten sieht, die für ihn relevant sind. Synonyme für die Datenberechtigungen sind Data Access Control (DAC), Row Level Security oder Analyseberechtigung.
Spaces in SAP Datasphere
SDS empfiehlt die Trennung von administrativen Informationen wie Berechtigungen, Datenverwaltung und -speicherung sowie Enduser-Objekten. Dies wird anhand des Spaces-Konzeptes umgesetzt, wobei Benutzer zwischen Spaces strikt getrennt werden, aber Daten für alle (unter Berücksichtigung des Data Access Controls) zugänglich sind.
Strikte Trennung von Daten passiert zwischen unterschiedlichen SDS Tenants. Tenants sind vollständig unabhängig voneinander und werden typischerweise für die Trennung von Entwicklungs- und Produktivsystemen genutzt. Dementsprechend können Objekte zwischen Tenants transportiert werden, während Datenübertragung zwischen Tenants nicht vorgesehen ist.
Data Access Control vs. Autorisation Szenarien
DAC kann in Autorisation Szenarien zusammengefasst werden. Der Unterschied ist, dass über DAC spezifische Views berechtigt werden können, während Autorisation Szenarien erlauben, Stammdatenobjekte zu beschränken, sodass diese immer wieder verwendet werden können.
Automatische Übertragung und Verwendung von Quellsystem-berechtigungen (Row Level Security)
Derzeit erlaubt SDS nur die Beschränkung auf spezifische, multiple Ausprägungen. Also kann ein Benutzer auf die SalesOffices S100, S101 und S102 berechtigt werden, aber nicht auf das Intervall S100 bis S102 oder auf den Hierarchieknoten Nordeuropa. Dies bedeutet, dass Berechtigungen aus Vorsystemen, so weit aufbereitet werden müssen, dass diese Einschränkungen erfüllt werden.
SAP bietet ein Programm an, das SAP Business Warehouse Analyseberechtigungen automatisch aufbereitet, damit diese direkt in Datasphere verwendet werden können. Für sonstige Quellsysteme (SAP und non-SAP) müssen spezifische Datenabfragen geschrieben werden. Bei analytischen Quellsystemen (Data Warehouse) existieren immer vergleichbare Konzepte von Row Level Security, somit ist deren Übersetzung in eine Data Access Control meist mit wenig initialer Analyse verbunden. Bei transaktionalen Quellsystemen wie SAP S/4HANA, Oracle oder anderen ERP-Systemen hängen Berechtigungen eher an Prozessen als spezifischen Entitäten. Hier muss mit wesentlich umfangreicherem initialen Konzeptaufwand gerechnet werden. Besonders bei sehr diversen Quellsystemen sollte in Workshops identifiziert werden, ob die Berechtigungen jedes Einzelnen übernommen werden sollten, oder ob beispielsweise eine Vereinheitlichung anhand von Positionsbeschreibungen aus Human-Ressource-Systemen zielführender ist.
Use Case: S/4HANA ACDOCA View und Berechtigungen
Für unseren Use Case werden SAP S/4HANA Berechtigungen für Profitcenter, Buchungskreis und Ledger ausgelesen, aufbereitet und mit der E-Mail-Adresse ergänzt. Anschließend werden die Data Access Controls in Datasphere konfiguriert und View sowie Stammdatenberechtigungen (Business Entity: Dimension) mithilfe einer SAC Story getestet.
Das Ergebnis der Tests ist identisch erfolgreich. Egal ob Data Access Controls direkt auf einen ACDOCA View des S/4 Systems angewendet oder zu einem Autorisation Szenario mit in der DWC persistierten Daten kombiniert werden, SAP Analytics Cloud zeigt für den Testuser die korrekten Daten.
.png)
Parallel hat der gleiche Testuser die Datenvorschau in SAP Datasphere positiv getestet. Während die offizielle Dokumentation Securing Data with Data Access Controls | SAP Help Portal noch davor warnt, dass DAC nur ab der Überquerung von Space-Grenzen berücksichtigt werden, sah der Testuser in unserem One-Space-System trotzdem nur die für ihn freigegebenen Profitcenter und Ledger.
