SAP Datasphere ist eine umfassende Lösung für datengetriebene Entscheidungen, die Daten aus verschiedenen Quellen findet, konsolidiert und verwaltet.
SAP Datasphere, ehemals SAP Data Warehouse Cloud, vereint alle Data-Warehouse-Cloud-Lösungen von SAP und bietet Endanwendern durch die Integration in SAP Analytics Cloud umfangreiche Möglichkeiten für Visualisierung und Planung. Datasphere legt großen Wert auf Datensicherheit und Berechtigungen, worauf wir im Folgenden etwas genauer eingehen werden.
SAP Datasphere als Entscheidungshilfe
Zeit ist Geld, je fundierter und schneller Entscheidungen getroffen werden können, desto besser ist der Unternehmenserfolg. Entscheidungsunterstützung (relevante Informationen zeitnah zur Verfügung zu stellen) ist der Kern von Data Warehousing, indem benötigte Daten gesammelt, aufbereitet, zusammengefasst und geschützt werden.
SAP Datasphere (SDS), vormals SAP Data Warehouse Cloud, vereint alle Data-Warehouse-Cloud-Lösungen der SAP. Hierzu bietet SAP Datasphere Technologien und Funktionalitäten, um Daten aus verschiedensten Quellen zu finden (Data Catalog), zu konsolidieren (Data Warehouse) und zu verwalten (Data Governance). Die nahtlose Datasphere-Integration in SAP Analytics Cloud bietet Endanwendern vollumfängliche Möglichkeiten für Visualisierung und Planung, sodass Informationen graphisch konsumiert und Entscheidungen getroffen werden können.
Datensicherheit & Berechtigungen mit SAP Datasphere
Die Diversität von möglichen Quellsystemen erschwert es herauszufinden, welche Daten für wen relevant sind (Decision Support), welche Daten wie weiterverarbeitet werden dürfen (Data Protection) oder wer entschieden darf, wer was sieht (Data Sovereignty).
Dieser Beitrag konzentriert sich auf den Decision-Support-Aspekt von Data Governance; jeder soll alles sehen was für ihn relevant ist, nicht mehr und nicht weniger.
Datasphere folgt dem Ansatz, technisch-funktionale Berechtigungen mit Datenberechtigungen zu kombinieren. Technisch-funktionale Berechtigungen bzw. Rollen erlauben dem Benutzer den Zugriff auf SAP Datasphere und steuern die möglichen Funktionalitäten, die der Benutzer ausführen darf. Datenberechtigungen agieren als Filter auf Teile der Gesamtdaten und sorgen dafür, dass ein Sales Manager für die Region Deutschland, nur die Daten sieht, die für ihn relevant sind. Synonyme für die Datenberechtigungen sind Data Access Control, Row Level Security oder Analyseberechtigung.
Spaces in SAP Datasphere
SAP Datasphere empfiehlt die Trennung von administrativen Informationen wie Berechtigungen, Datenverwaltung und -speicherung sowie Enduser-Objekten. Dies wird anhand des Spaces-Konzeptes umgesetzt, wobei Benutzer zwischen Spaces strikt getrennt werden, aber Daten für alle (unter Berücksichtigung des Data Access Controls) zugänglich sind.
SAP Data Sphere Spaces
(eigene Graphik)Strikte Trennung von Daten passiert zwischen unterschiedlichen SAP Datasphere Tenants. Tenants sind vollständig unabhängig voneinander und werden typischerweise für die Trennung von Entwicklungs- und Produktivsystemen genutzt. Dementsprechend können Objekte zwischen Tenants transportiert werden, während Datenübertragung zwischen Tenants nicht vorgesehen ist.
Data Access Control vs. Autorization Szenarien
Data Access Control kann in Autorisation Szenarien zusammengefasst werden. Der Unterschied ist, dass über Data Access Control spezifische Views berechtigt werden können, während Autorisation Szenarien erlauben, Stammdatenobjekte zu beschränken, sodass diese immer wieder verwendet werden können.
Automatische Übertragung und Verwendung von Quellsystem-berechtigungen (Row Level Security)
Derzeit erlaubt SAP Datasphere nur die Beschränkung auf spezifische, multiple Ausprägungen. Also kann ein Benutzer auf die SalesOffices S100, S101 und S102 berechtigt werden, aber nicht auf das Intervall S100 bis S102 oder auf den Hierarchieknoten Nordeuropa. Dies bedeutet, dass Berechtigungen aus Vorsystemen so weit aufbereitet werden müssen, dass diese Einschränkungen erfüllt werden.
SAP bietet ein Programm an, das SAP Business Warehouse Analyseberechtigungen automatisch aufbereitet, damit diese direkt in Datasphere verwendet werden können. Für sonstige Quellsysteme (SAP und non-SAP) müssen spezifische Datenabfragen geschrieben werden. Bei analytischen Quellsystemen (Data Warehouse) existieren immer vergleichbare Konzepte von Row Level Security, somit ist deren Übersetzung in eine Data Access Control meist mit wenig initialer Analyse verbunden. Bei transaktionalen Quellsystemen wie SAP S/4HANA, Oracle oder anderen ERP-Systemen hängen Berechtigungen eher an Prozessen als spezifischen Entitäten. Hier muss mit wesentlich umfangreicherem initialen Konzeptaufwand gerechnet werden. Besonders bei sehr diversen Quellsystemen sollte in Workshops identifiziert werden, ob die Berechtigungen jedes Einzelnen übernommen werden sollten, oder ob beispielsweise eine Vereinheitlichung anhand von Positionsbeschreibungen aus Human-Ressource-Systemen zielführender ist.
Use Case: S/4HANA ACDOCA View und Berechtigungen
Für unseren Use Case werden SAP S/4HANA Berechtigungen für Profitcenter, Buchungskreis und Ledger ausgelesen, aufbereitet und mit der E-Mail-Adresse ergänzt. Anschließend werden die Data Access Controls in Datasphere konfiguriert und View sowie Stammdatenberechtigungen (Business Entity: Dimension) mithilfe einer SAP Analytics Cloud Story getestet.
Das Ergebnis der Tests ist identisch erfolgreich. Egal ob Data Access Controls direkt auf einen ACDOCA View des S/4 Systems angewendet oder zu einem Autorisation Szenario mit in der DWC persistierten Daten kombiniert werden, SAP Analytics Cloud zeigt für den Testuser die korrekten Daten.
Kombinationsberechtigung auf ProfitCenter und Ledger
Screenshot der SAPParallel hat der gleiche Testuser die Datenvorschau in SAP Datasphere positiv getestet. Während die offizielle Dokumentation Securing Data with Data Access Controls | SAP Help Portal noch davor warnt, dass Data Access Control nur ab der Überquerung von Space-Grenzen berücksichtigt werden, sah der Testuser in unserem One-Space-System trotzdem nur die für ihn freigegebenen Profitcenter und Ledger.
Fazit
Unsere Tests haben eine reibungslose Integration der Data Access Controls in die Data Warehouse Cloud Views, Autorisation Szenarien (Stammdaten) und SAP Analytics Cloud ergeben. Das einzige derzeit erkennbare Manko ist die Begrenzung auf multiple Einzelwerte, wo wir auch auf Hierarchieknoten und Intervalle gehofft hatten. Die Aufbereitung von Berechtigungen aus den Quellsystemen und die erzwungene Ergänzung der E-Mail-Adresse bewerten wir neutral, da der Aufwand für ersteres bei jedem übergreifenden Data Warehouse anfällt und zweites als übergreifendes Identitätsmerkmal bei Cloudsystemen Standard ist. Insgesamt ist Data Access Control bei SAP Datasphere und SAP Analytics Cloud gut integriert und umgesetzt, wir hoffen aber, dass mit der zunehmenden Entwicklung wie beispielsweise der für Q3 2023 angekündigte Support von externen Hierarchien, noch nicht das Ende der Möglichkeiten erreicht ist.
