Proces planowania w SAP Analytics Cloud – bezpieczeństwo danych
Anna Chwistek, Konsultantka SAP BI
- 19 września 2024
- SAP Analytics Cloud
- 3 min
Wydawałoby się, że dziś już nie trzeba wyjaśniać jak ważne jest dbanie o bezpieczeństwo danych we współczesnym świecie. A jednak temat autoryzacji jest często zaniedbywany na etapie planowania danego rozwiązania, co stanowi poważny błąd.
Jest to zagadnienie ściśle powiązane z innymi elementami naszego rozwiązania raportowego. Najlepiej na początku określić jaki sposób autoryzacji jest wymagany i najwygodniejszy z punktu widzenia użytkowników.
Przedstawię tutaj możliwości w zakresie autoryzacji, które oferuje nam aplikacja SAP Analytics Cloud. W tym artykule skupimy się na rolach, kontroli dostępu do danych z wykorzystaniem funkcji Model Data Privacy i Data Access Control oraz funkcji udostępniania poszczególnych modeli, raportów oraz folderów.
Role i licencje
Na samym początku użytkownikowi zostaje przypisana pewna Rola a w związku z tym również jedna z kilku dostępnych licencji – Business Intelligence, Planning Standard, Planning Professional.
Licencja daje użytkownikowi określony zbiór dostępnych dla niego opcji. Każdy użytkownik SAP Analytics Cloud by móc korzystać z narzędzia musi mieć przypisaną licencję. Od rodzaju licencji zależy z jakich funkcjonalności będzie mógł korzystać oraz w jakim zakresie – możliwość tworzenia, odczytu, edycji, usunięcia. Na poniższej grafice przedstawione są główne różnice z zakresu danej licencji np. użytkownik posiadający podstawową licencję Business Intelligence (BI) nie może brać czynnego udziału w planowaniu wartości, jednakże może mieć wgląd do wartości już zaplanowanych celem ich analizy.
Role pozwalają zarządzać opcjami, które są dostępne dla użytkownika w obrębie danej licencji. SAC oferuje wbudowane Role np. BI Admin, BI Content Creator, Planner Reporter i wiele innych. Dodatkowo możemy tworzyć własne role, dopasowane idealnie do naszych potrzeb. Na tym etapie możemy określić kto będzie miał jaki dostęp do jakich funkcjonalności systemu np. jeśli mamy użytkownika, który będzie tylko korzystał z gotowych raportów, nie otrzyma on uprawnień do modyfikacji czy usuwania Story. W kolejnej części artykułu pokażę, jak można wykorzystać role, żeby ograniczyć dostęp do danych na poziomie modelu.
Dodatkowo, żeby ułatwić nam zarządzanie uprawnieniami dla osób posiadających te same uprawnienia, możemy stworzyć zespół – Team. Będziemy mieć wtedy możliwość zarządzania uprawnieniami danego Teamu, bez potrzeby aktualizowania uprawnień dla każdego użytkownika osobno.
Model Data Privacy
Ochrona danych modelu (ang. Model Data Privacy) jest to jedna z opcji zarządzania dostępem do danych na poziomie modelu. Jeśli włączymy tę opcję dostęp do danych (faktów) modelu mają wyłącznie właściciel modelu i użytkownicy z przyznanym dostępem poprzez nadanie odpowiednich ról. Pozwala to na korzystanie z jednego raportu wielu użytkownikom, którzy będą widzieli zupełnie inne dane. Dla ułatwienia przedstawię to na przykładzie.
Wyobraźmy sobie, że pracownik działu HR jest odpowiedzialny za planowanie kosztów pracowników, ale nie ma on wglądu do wysokości płac, ponieważ tym zajmuje się jego kierownik. Korzystając z Model Data Privacy możemy utworzyć rolę dla pracownika HR, określając filtry, do których danych ma mieć on dostęp. W poniższym przykładzie z systemu został nadany dostęp do Miejsca Powstawania Kosztów (MPK) = ‘HR’ i wybierane odpowiednie miary wykluczając wysokość płac. Zastosowana konfiguracja ograniczenia odstępu do danych będzie działała na wszystkich raportach opartych o wybrany model danych.
Na tej samej zasadzie utworzona zostanie osobna rola dla kierownictwa HR, pełniącego nadzór nad pracownikami HR oraz mającego wgląd w płace, ale nie będącego w tej sprawie osobą decyzyjną – dlatego nie może wprowadzać zmian w ich wartościach. Na tym stanowisku widzi również koszty powstałe w innych jednostkach niż HR. Poniższy screen z systemu przedstawia widok danych z punktu widzenia kierownika HR.
Dzięki zastosowanym ustawieniom Model Data Privacy pracownicy z różnych działów, korzystający z tego samego raportu, będą widzieli tylko dane za które są odpowiedzialni.
Data Access Control
Innym sposobem na ograniczenie dostępu do danych na poziomie modelu jest wybranie opcji Data Access Control. Określamy na poziomie konkretnego wymiaru, kto ma dostęp do jakiego elementu (ang. dimension member). Możemy nadać użytkownikom możliwość odczytu (Read) i wprowadzania (Write) danych w raportach planistycznych.
Dla przykładu weźmiemy wymiar Employee, w którym włączymy opcję Data Access Control. Team’owi Europa przypiszemy uprawnienia Read i Write dla elementu wymiaru o ID równym ‘AN’ i ‘ZE’.
Widok bez włączonej opcji Data Access Control:
Widok z włączoną opcją Data Access Control:
Wymiar 'Employee’ może być wymiarem przypisanym tylko do jednego modelu lub możemy go stworzyć jako Wymiar Publiczny (ang. Public Dimension) i wykorzystywać ten sam wymiar z tą samą autoryzacją w wielu modelach.
Udostępnianie plików i folderów
Kolejnym sposobem kontroli dostępu jest opcja Share, która nie działa bezpośrednio na danych, tylko ogranicza dostęp do konkretnych modeli, raportów lub folderów. Na przykład użytkownik wprowadzający dane planingowe musi mieć prawo do edycji modelu, ponieważ zapisuje on swoje wyniki w danych transakcyjnych modelu. Tworząc raport lub grupę raportów w folderze możemy określić jaka grupa będzie mogła tylko wyświetlać, edytować raport, czy też mieć dostęp deweloperski (ang. Full Control). Możemy też szczegółowo określić jakie czynności będą dostępne dla wybranych użytkowników korzystając z opcji niestandardowych (ang. Custom).
Fundamentem efektywnego działania SAP Analytics Cloud jest zasada jednego źródła prawdy ang. Single Source of Truth (SSoT), oznacza ona, że wszystkie raporty bazują na jednym źródle danych, co zapewnia ich spójność. Odpowiednie ustawienia dostępu pozwalają wielu użytkownikom korzystać z jednego raportu, ale ze względu na zaimplementowane ograniczenia dostępu, każdy z nich może widzieć inny zakres danych. Proces autoryzacji użytkownika jest jednym z najważniejszych ustaleń podczas początkowych faz wdrożenia platformy SAP Analytics Cloud.
Zacznij korzystać z możliwości analityki biznesowej w chmurze.
- On 18/09/2024
0 Comments