COOKIES
WIR BRAUCHEN IHRE ZUSTIMMUNG
Wir setzen auf unserer Website Cookies ein. Einige von ihnen sind erforderlich, während andere nicht erforderlich sind, uns jedoch helfen unser Onlineangebot zu verbessern und wirtschaftlich zu betreiben. Sie können in den Einsatz der nicht erforderlichen Cookies mit dem Klick auf die Schaltfläche "Alle Cookies akzeptieren" einwilligen oder per Klick auf "Nicht erforderliche Cookies ablehnen" sich anders entscheiden. Zudem können Sie über die Schaltfläche "Cookie-Einstellungen aufrufen" individuell dem Einsatz bestimmter Cookie-Kategorien zustimmen. Wenn Sie dem Einsatz nicht erforderlicher Cookies zustimmen, willigen Sie zugleich gem. Art. 49 Abs. 1 S. 1 lit. a DSGVO ein, dass Ihre Daten in den USA verarbeitet werden. Die USA werden vom Europäischen Gerichtshof als ein Land mit einem nach EU-Standards unzureichendem Datenschutzniveau eingeschätzt. Es besteht insbesondere das Risiko, dass Ihre Daten durch US-Behörden, zu Kontroll- und zu Überwachungszwecken, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten, verarbeitet werden können. Wenn Sie auf "Nicht erforderliche Cookies ablehnen" klicken, findet die vorgehend beschriebene Übermittlung nicht statt.

Sie können die vorgenommenen Einstellungen über die Cookie-Policy jederzeit aufrufen und damit Cookies auch nachträglich jederzeit abwählen. Dort und in unserer Datenschutzerklärung finden Sie zudem weitere Hinweise zu den verwendeten Cookies.
Inhaltsverzeichnis

Das Wichtigste in Kürze

SAP Datasphere, ehemals SAP Data Warehouse Cloud, ist eine umfassende Lösung für datengetriebene Entscheidungen, die Daten aus verschiedenen Quellen findet, konsolidiert und verwaltet. Diese Plattform vereint alle Data-Warehouse-Cloud-Lösungen von SAP und bietet Endanwendern durch die Integration in SAP Analytics Cloud umfangreiche Möglichkeiten für Visualisierung und Planung. Datasphere legt großen Wert auf Datensicherheit und Berechtigungen, worauf wir im Folgenden etwas genauer eingehen werden.

<div class="hzweiwrapper"><span class="circled-number">1</span><h2 class="c-blog_head" id="1. SAP Datasphere als Entscheidungshilfe">SAP Datasphere als Entscheidungshilfe</h2></div>

Zeit ist Geld, je fundierter und schneller Entscheidungen getroffen werden können, desto besser ist der Unternehmenserfolg. Entscheidungsunterstützung (relevante Informationen zeitnah zur Verfügung zu stellen) ist der Kern von Data Warehousing, indem benötigte Daten gesammelt, aufbereitet, zusammengefasst und geschützt werden.

SAP Datasphere (SDS), vormals SAP Data Warehouse Cloud, vereint in Zukunft alle Data-Warehouse-Cloud-Lösungen der SAP. Hierzu bietet SDS Technologien und Funktionalitäten, um Daten aus verschiedensten Quellen zu finden (Data Catalog), zu konsolidieren (Data Warehouse) und zu verwalten (Data Governance). Die nahtlose Datasphere-Integration in SAP Analytics Cloud bietet Endanwendern vollumfängliche Möglichkeiten für Visualisierung und Planung, sodass Informationen graphisch konsumiert und Entscheidungen getroffen werden können.

<div class="hzweiwrapper"><span class="circled-number">2</span><h2 class="c-blog_head" id="2. Datensicherheit & Berechtigungen mit SAP Datasphere">Datensicherheit & Berechtigungen mit SAP Datasphere</h2></div>

Die Diversität von möglichen Quellsystemen erschwert es herauszufinden, welche Daten für wen relevant sind (Decision Support), welche Daten wie weiterverarbeitet werden dürfen (Data Protection) oder wer entschieden darf, wer was sieht (Data Sovereignty).  
Dieser Beitrag konzentriert sich auf den Decision-Support-Aspekt von Data Governance; jeder soll alles sehen was für ihn relevant ist, nicht mehr und nicht weniger.

Datasphere folgt dem Ansatz, technisch-funktionale Berechtigungen mit Datenberechtigungen zu kombinieren. Technisch-funktionale Berechtigungen bzw. Rollen erlauben dem Benutzer den Zugriff auf SDS und steuern die möglichen Funktionalitäten, die der Benutzer ausführen darf. Datenberechtigungen agieren als Filter auf Teile der Gesamtdaten und sorgen dafür, dass ein Sales Manager für die Region Deutschland, nur die Daten sieht, die für ihn relevant sind. Synonyme für die Datenberechtigungen sind Data  Access Control (DAC), Row Level Security oder Analyseberechtigung.

Spaces in SAP Datasphere

SDS empfiehlt die Trennung von administrativen Informationen wie Berechtigungen, Datenverwaltung und -speicherung sowie Enduser-Objekten. Dies wird anhand des Spaces-Konzeptes umgesetzt, wobei Benutzer zwischen Spaces strikt getrennt werden, aber Daten für alle (unter Berücksichtigung des Data Access Controls) zugänglich sind.

SAP Datasphere Spaces
SAP Datasphere Spaces

Strikte Trennung von Daten passiert zwischen unterschiedlichen SDS Tenants. Tenants sind vollständig unabhängig voneinander und werden typischerweise für die Trennung von Entwicklungs- und Produktivsystemen genutzt. Dementsprechend können Objekte zwischen Tenants transportiert werden, während Datenübertragung zwischen Tenants nicht vorgesehen ist.  

Data Access Control vs. Autorisation Szenarien

DAC kann in Autorisation Szenarien zusammengefasst werden. Der Unterschied ist, dass über DAC spezifische Views berechtigt werden können, während Autorisation Szenarien erlauben, Stammdatenobjekte zu beschränken, sodass diese immer wieder verwendet werden können.

Automatische Übertragung und Verwendung von Quellsystem-berechtigungen (Row Level Security)

Derzeit erlaubt SDS nur die Beschränkung auf spezifische, multiple Ausprägungen. Also kann ein Benutzer auf die SalesOffices S100, S101 und S102 berechtigt werden, aber nicht auf das Intervall S100 bis S102 oder auf den Hierarchieknoten Nordeuropa. Dies bedeutet, dass Berechtigungen aus Vorsystemen, so weit aufbereitet werden müssen, dass diese Einschränkungen erfüllt werden.

SAP bietet ein Programm an, das SAP Business Warehouse Analyseberechtigungen automatisch aufbereitet, damit diese direkt in Datasphere verwendet werden können. Für sonstige Quellsysteme (SAP und non-SAP) müssen spezifische Datenabfragen geschrieben werden. Bei analytischen Quellsystemen (Data Warehouse) existieren immer vergleichbare Konzepte von Row Level Security, somit ist deren Übersetzung in eine Data Access Control meist mit wenig initialer Analyse verbunden. Bei transaktionalen Quellsystemen wie SAP S/4HANA, Oracle oder anderen ERP-Systemen hängen Berechtigungen eher an Prozessen als spezifischen Entitäten. Hier muss mit wesentlich umfangreicherem initialen Konzeptaufwand gerechnet werden. Besonders bei sehr diversen Quellsystemen sollte in Workshops identifiziert werden, ob die Berechtigungen jedes Einzelnen übernommen werden sollten, oder ob beispielsweise eine Vereinheitlichung anhand von Positionsbeschreibungen aus Human-Ressource-Systemen zielführender ist.

Use Case: S/4HANA ACDOCA View und Berechtigungen

Für unseren Use Case werden SAP S/4HANA Berechtigungen für Profitcenter, Buchungskreis und Ledger ausgelesen, aufbereitet und mit der E-Mail-Adresse ergänzt. Anschließend werden die Data Access Controls in Datasphere konfiguriert und View sowie Stammdatenberechtigungen (Business Entity: Dimension) mithilfe einer SAC Story getestet.

Das Ergebnis der Tests ist identisch erfolgreich. Egal ob Data Access Controls direkt auf einen ACDOCA View des S/4 Systems angewendet oder zu einem Autorisation Szenario mit in der DWC persistierten Daten kombiniert werden, SAP Analytics Cloud zeigt für den Testuser die korrekten Daten.  

SAP Datasphere Kombinationsberechtigung auf ProfitCenter und ledger
Kombinationsberechtigung auf ProfitCenter und ledger

Parallel hat der gleiche Testuser die Datenvorschau in SAP Datasphere positiv getestet. Während die offizielle Dokumentation Securing Data with Data Access Controls | SAP Help Portal noch davor warnt, dass DAC nur ab der Überquerung von Space-Grenzen berücksichtigt werden, sah der Testuser in unserem One-Space-System trotzdem nur die für ihn freigegebenen Profitcenter und Ledger.

Fazit

Unsere Tests haben eine reibungslose Integration der Data Access Controls in die DWC Views, Autorisation Szenarien (Stammdaten) und SAC ergeben. Das einzige derzeit erkennbare Manko ist die Begrenzung auf multiple Einzelwerte, wo wir auch auf Hierarchieknoten und Intervalle gehofft hatten. Die Aufbereitung von Berechtigungen aus den Quellsystemen und die erzwungene Ergänzung der E-Mail-Adresse bewerten wir neutral, da der Aufwand für ersteres bei jedem übergreifenden Data Warehouse anfällt und zweites als übergreifendes Identitätsmerkmal bei Cloudsystemen Standard ist. Insgesamt ist Data Access Control bei SAP Datasphere und SAP Analytics Cloud gut integriert und umgesetzt, wir hoffen aber, dass mit der zunehmenden Entwicklung wie beispielsweise der für Q3 2023 angekündigte Support von externen Hierarchien, noch nicht das Ende der Möglichkeiten erreicht ist.

Häufig gestellte Fragen

Wie gewährleistet SAP Datasphere die Datensicherheit?

Datasphere stellt sicher, dass die Datensicherheit durch die Kombination von technisch-funktionalen Berechtigungen und Datenberechtigungen gewährleistet ist. Technisch-funktionale Berechtigungen erlauben den Benutzern den Zugriff auf bestimmte Funktionen in Datasphere, während Datenberechtigungen als Filter fungieren, um sicherzustellen, dass Benutzer nur auf die für sie relevanten Daten zugreifen können.

Was ist das Spaces-Konzept in SAP Datasphere?

Das Spaces-Konzept in SAP Datasphere bezeichnet die Trennung von administrativen Informationen wie Berechtigungen, Datenverwaltung und -speicherung von Endbenutzer-Objekten. Benutzer werden strikt zwischen Spaces getrennt, aber Daten sind für alle unter Berücksichtigung des Data Access Controls zugänglich. Diese strikte Trennung von Daten findet zwischen unterschiedlichen Datasphere Tenants statt, die vollständig unabhängig voneinander sind.

Wie werden Berechtigungen in SAP Datasphere gehandhabt?

SAP Datasphere kombiniert technisch-funktionale Berechtigungen und Datenberechtigungen. Technisch-funktionale Berechtigungen ermöglichen es Benutzern, auf Datasphere zuzugreifen und bestimmte Funktionen auszuführen. Datenberechtigungen hingegen wirken als Filter auf bestimmte Datenmengen und stellen sicher, dass beispielsweise ein Vertriebsmanager für die Region Deutschland nur die für ihn relevanten Daten sieht.

Miriam Bley
Miriam Bley
Consultant
Folge uns:

Miriams Themenschwerpunkte liegen in der Aufbereitung von Daten zu Information, deren Darstellung und deren Schutz. In ihrer Rolle als Datenarchitektin und Business-Analystin unterstützt sie Kunden bei der Datensammlung und bietet Entscheidungsunterstützung, um sicherzustellen, dass jeder genau die Daten mit Informationen sieht, die gebraucht werden.