Documente Academic
Documente Profesional
Documente Cultură
CUPRINS
1.
2.
3.
4.
5.
Introducere
SAP NetWeaver Business Intelligence
Securitatea sistemului SAP Business Intelligence
Implementare SAP Business Intelligence Security
Concluzii
3|Page
1. INTRODUCERE
Business Intelligence (BI) continu s fie o prioritate de investiii de top pentru CEOs i CIOs
deopotriv. Companiile sunt copleite de volumul tot mai mare de date accelerate de dispozitive
mobile i social media. Organizaiile IT sunt sub asediu pentru a oferi analize semnificative i s
ofere oamenilor de afaceri instrumente self-service i acces la date de ncredere.
Organizaiile pot asigura c datele, tehnologiile i oamenii mbuntesc performana acesteia,
printr-o abordare strategic pentru BI, care include cinci domenii-cheie:
O strategie analitic Business Intelligence, ncurajeaz fora de munc prin oferirea informaiilor
corecte la momentul potrivit, facilitnd luarea unor decizii corecte. Strategia analitic nu ar
trebui s fie adresat doar nevoilor de informare a ntregii organizaii, ci s fie ndreptat i spre
alinierea IT-ului cu obiectivele organizaiei.
O strategie BI eficient, ajut la:
Creterea satisfaciei utilizatorilor evitnd frustrarea i pierderea de timp n procesul de
accesare a informaiilor n multiple sisteme; fcnd posibil o mai bun analiz a
organizaiei, nelegere i colaborare. Este implementat o raportare self-service n cadrul
organizaiei.
Controlul soluiilor BI cu un singur punct de administrare, estimarea proiectului este
mai uoar i mai precis. Utilizatorii i administratorii tiu ce instrumente i pentru ce
s le foloseasc.
6|Page
date din toate ariile unei ntreprinderi cu scopul de a le oferi spre analiz, interpretare i
distribuire. Acest proces include date confideniale corporative, ca de exemplu, date din
Administrarea Personalului. Pe baza datelor obinute n urma utilizrii sistemului SAP BI, se iau
decizii i aciuni orientate spre int la nivelul tuturor ariilor ntreprinderii. Din acest motiv,
securitatea la accesarea acestor date dar i abilitatea de a garanta integritatea datelor este de
mare importan. Urmtoarele exemple arat pericolul la care sistemul BI poate fi expus:
Atacuri de pe internet sau intranet atunci cnd este folosit funcionalitatea BEx Web i
cnd sunt utilizate Web Services.
nclcarea principiilor de protecie a datelor prin accesul neautorizat la datele cu caracter
personal.
Urmtorul capitol trateaz mai pe larg subiectul securitii a sistemului informatic Business
Intelligence oferit de ctre SAP.
7|Page
Utilizatorii standard creai atunci cnd este instalat sistemul BI parola iniial
trebuie schimbat dup instalare pentru a asigura c utilizatorii nu sunt folosii n mod
abuziv.
Utilizatorii standard specificai atunci cnd este instalat SAP J2EE Engine parola
iniial trebuie schimbat dup instalare pentru a asigura c utilizatorii nu sunt folosii n
mod abuziv.
SAP NetWeaver Application Server Java Security Guide User Administration and
Authentication User Administration and Standard Users Standard Users and Standard
User Groups.
Utilizatorii n cadrul sistemului BI i sistemul surs SAP
Utilizatorii enumerai mai jos ofer o imagine de ansamblu asupra utilizatorilor adiionali necesari
atunci cnd sunt folosite tipurile de utilizare BI i BI Java: aceti utilizatori nu sunt livrai i nu au
parole implicite.
Utilizatori de baze de date n sistemul BI;
Utilizatori de Background (BWREMOTE) n sistemul BI (utilizatori tehnici);
Utilizatori de Background (ALEREMOTE) n sistemul surs SAP (utilizatori tehnici);
Administratori n sistemul BI (utilizatori individuali);
Autori i analiti n sistemul BI (utilizatori individuali);
Directori i cercettori n sistemul BI (utilizatori individuali);
Consumatorii de informaie n sistemul BI (utilizatori individuali).
8|Page
Autentificarea:
Procesul de autentificare permite identificarea identitii unui utilizator nainte ca acesta s aib
acces n sistemul BI sau la datele de Business Intelligence.
Integrarea n mediile cu autentificare unic (Single Sign-On)
3.2 Autorizaiile
Pentru a asigura c soluiile de Data Warehousing reprezint o component de baz a companiei
dumneavoastr i c i ndeplinete cerinele, trebuie stabilit cine are acces la date. O autorizaie
permite unui utilizator s performeze o anumit activitate pe un anumit obiect n sistemul
Business Intelligence. Exist dou concepte diferite pentru asta, depinznd de rolul i activitiile
utilizatorului: autorizaii standard i autorizaii pentru analiz.
Un concept de autorizaie trebuie ntotdeauna luat n calcul n faza de modelare. Altfel pot
exista restricii de funcionalitate i securitate.
Autorizaiile standard acestea sunt necesare tuturor utilizatoriilor ce lucreaz cu depozitul de
date pentru a modela i urca datele, de ctre utilizatorii ce se ocup de planificare sau proiectare
a procesului de analiz, de ctre cei ce folosesc Reporting Agent sau BEx Broadcaster i de ctre
cei ce definesc interogri.
Fiecare autorizaie face referire la un obiect de autorizare i depinete una sau mai multe valori
pentru fiecare cmp ce apare n obiectul de autorizare. Autorizaiile individuale sunt combinate
n roluri de ctre sistem. Se pot copia rolurile furnizate de SAP i pot fi ajustate dup necesitate.
Administratorul sistemului creeaz aceste autorizaii i le introduce n registrele de baz
individuale ale utilizatorilor sub form de profiluri.
10 | P a g e
Autorizaiile pentru analiz toi utilizatorii ce doresc s afieze date ale tranzaciilor ntr-o
interogare, necesit autorizaii de analiz pentru caracteristicile de autorizare ale datelor
respective. Acest tip de autorizare nu se bazeaz pe conceptul standard de autorizare SAP. n
schimb, utilizeaz propriul concept lund n considerare caracteristicile de raportare i analiz
BI. Tot mai muli utilizatori primesc acces la interogarea de date cu distribuia de interogri
folosind BEx Broadcaster i publicarea acestora n portal. Cu conceptul special de autorizare BI
pentru afiarea datelor de interogare, datele importante pot fi protejate ntr-un mod mult mai
bun.
Prin verificarea autorizaiilor, orice funcii, obiecte sau valori din sistem pot fi protejate. Cu un
control de autorizare, atunci este efectuat o anumit aciune, sistemul compar valorile pentru
cmpurile individuale ale unui obiect de autorizare sau o autorizaie care sunt atribuite pentru
utilizator cu valorile care sunt prevzute pentru executarea unei aciuni n program. Un utilizator
este autorizat s efectueze o aciune numai n cazul n care controlul de autorizare a fost fcut cu
succes pentru fiecare cmp ntr-un obiect al autorizrii sau ntr-o autorizaie. n acest fel, pot fi
realizate verificri complexe ale autorizaiei utilizatorilor.
Jurnalizarea autorizaiilor de analiz
Pentru a analiza verificrile autorizaiilor, este disponibil un instrument n autorizaiile de analiz.
Acesta ofer informaii detaliate cu privire la instanele de acces la date relevante pentru
autorizare. Aceast verificare poate fi oprit sau pornit permanent sau ori de cte ori este
necesar, n funcie de utilizatorii implicai. Accesul la acest instrument de analiz este de a fi
11 | P a g e
protejat folosind tranzacia RSECPROT i obiectul de autorizare S_RSEC. Doar utilizatorii autorizai
pot avea acces la acest instrument.
Verificarea autorizaiilor pentru analiz din perspectiva altui utilizator
n administrarea autorizaiilor de analiz se pot executa anumite tranzacii din perspectiva altor
utilizatori, folosind funcia Execute as de pe tab-ul Analysis. Apoi toate verificrile pentru
autorizaiile de analiz sunt executate pentru utilizatorul definit. Prin urmare, este posibil ca un
utilizator s aib acces la mai multe autorizaii dect ar avea normal. De aceea, aceast tranzacie
trebuie protejat folosind obiectul de autorizare S_RSEC.
12 | P a g e
n Business Intelligence, datele sunt stocate n baza de date a serverului de aplicaii SAP WEB.
Dac un end-user evalueaz datele folosind Microsoft EXCEL, acesta i poate salva de asemenea
datele i local. End-userul trebuie s se asigure c nu vor avea acces la aceste date persoanele
neautorizate.
Datele pot fi protejate de accesul neautorizat prin atribuirea autorizaiilor de analiz. Datele nu
sunt protejate prin setrile implicite. Cu toate acestea, InfoObject-urile pot fi marcate n BI ca
fiind relevante pentru autorizare. Apoi datele pot fi accesate doar de ctre utilizatorii ce dein
autorizaiile necesare.
Dac evalurile i analizele BI sunt apelate folosind aplicaiile BEx Web, datele sunt vizualizate
ntr-un browser Web. Datele apoi sunt stocate n memoria cache a browser-ului. SAP recomand
tergerea ntodeauna a cache-ului dup evaluarea datelor.
Datele n BI sunt accesate predominant pentru vizualizare, dar n Business Planning and
Simulation datele pot fi i modificate.
Folosirea codului activ Business Intelligence folosete JavaScript pe staiile clienilor n browserul WEB cnd sunt utilizate aplicaiile Web.
Criptarea e-mailurilor atunci cnd sunt distribuite date cu coninut Business Intelligence Information Broadcasting folosete interfaa SAP NetWeaver SAPconnect pentru a crea i trimite
email-uri cu coninut Business Intelligence. Aceast interfa nu suporta criptarea sau
certificarea. De aceea, e-mailurile care sunt create n sistemul SAP folosind Information
Broadcasting nu sunt criptate sau oferite cu certificri. Pentru a crete nivelul de securitate al
datelor SAP furnizeaz un produs additional de la un alt furnizor (the Secure Email Proxy) pentru
a putea cripta e-mailurile.
13 | P a g e
14 | P a g e
Odat cu sistemul SAP BI 7.0 exist un nou instrument utilizat pentru a gestiona nivelul de
securitate al raportrii. Acest instrument poate fi accesat folosind tranzacia RSECADMIN, ce
nlocuiete vechiul tool RSSM BW 3.0.
Mai jos sunt enumerai i explicai paii pentru a crea i ntreine obiectele de autorizare pentru
SAP BI Reporting:
Va fi folosit scenariul n care fiecare angajat (echipa de vnzri) are atribuit un numr de teritoriu,
i datele ar trebui s fie accesibile angajailor pe baza acestui numr. Pentru ca acest scenariu s
funcioneze, trebuie setate restricii de securitate pentru InfoObject-ul teritoriului corespunztor
(ZDWSLTER).
Primul pas nainte de crearea unui obiect de autorizare (Authorization Object) este acela de
a seta toate InfoObiectele (InfoObjects) pentru care se dorete restricionarea, ca fiind
relevante pentru autorizare.
15 | P a g e
Pentru accesarea noului instrument pentru autorizaiile de analiz, se folosete t-codul (codul tranzaciei)
RSECADMIN. Pe tab-ul de autorizaii se apas butonul de mentenan.
16 | P a g e
Trebuie specificat numele tehnic al obiectului de autorizare (ZDWKJTEST), apoi se apas butonul de creare.
Primul pas n crearea unui obiect de autorizare este adugarea caracteristicilor speciale n cmpuri de
restricii.
17 | P a g e
Cele trei caracteristici de mai jos sunt obligatorii n definirea unui obiect de autorizare. Dac acestea nu
exist, atunci nu este permis niciun acces la oricare InfoProvider. Implicit, acestea ofer acces asupra
tuturor InfoProviderilor (acces total), dar de asemenea poate fi specificat i valoarea InfoProviderului
pentru care se dorete funcionarea obiectului pentru autorizare.
18 | P a g e
Prin dublu-click asupra InfoObiectului nou creat, poate fi definit valoarea ce se dorete a fi permis
pentru acest InfoObiect. Poate fi setat de asemenea o valoare dinamic folosind Customer Exit Code.
Se salveaz schimbrile:
19 | P a g e
. Pe tab-ul User, se
20 | P a g e
Se poate atribui obiectul de autorizare creat oricrui utilizator, folosind acest tool.
Exemplu: se atribuie obiectul de autorizare ZDWKJTEST user-ului ZNBITSRTS. Se va folosi acest utilizator
pe parcursul ghidului pentru executarea oricrei interogri, pentru a utiliza restriciile ce se aplic pentru
obiectul de autorizare.
21 | P a g e
De asemenea se pot atribui autorizaii utilizatorilor prin n cadrul rolului/profilului, folosind obiectul de
autorizare standard S_RS_AUTH:
Se pot verifica obiectele de autorizare atribuite folosind roluri/profile pentru oricare utilizator, apelnd
tranzacia RSU01 sau urmnd calea: RSECADMIN->user tab->assignment->user->role-based
22 | P a g e
Utilizator cu obiectul de autorizare 0BI_ALL are acces complet la date, i poate suprapune oricare alt
atribuire de obiecte de autorizare acestuia.
23 | P a g e
Mai jos este o interogare test n care este adugat InfoObiectul pentru care s-a creat obiectul de autorizare
test (ZDWKJTEST).
Interogarea este executat folosind utilizatorul ZNBITSRTS, cruia i-a fost atribuit obiectul de autorizare
ZDWKJTEST:
24 | P a g e
Dup execuie, este afiat mesajul de eroare de autorizaie. Se poate verifica jurnalul de erori apelnd
tranzacia RSECPROT:
25 | P a g e
Jurnalul de mai jos indic faptul c lipsesc anumite caracteristici pentru obiectul creat. Poate aprea
nedumerirea c n interogare este folosit o singur caracteristic, iar aceasta este deja adugat n
obiectul de autorizare, dar de ce apare mesajul de eroare? Explicaia este aceea c ntotdeauna trebuie
adugate toate InfoObiectele relevante pentru autorizare ale InfoProviderului asupra cruia este
executat interogarea.
26 | P a g e
Se adaug toate InfoObiectele necesare cu acces complet pentru obiectul de autorizare ZDWKJTEST.
27 | P a g e
Se execut interogarea cu acelai teritoriu ce a fost atribuit n cmpul pentru teritoriu al obiectului de
autorizare:
Se poate urmri jurnalul de verificare pentru ultima interogare, apelnd tranzacia RSECPROT:
28 | P a g e
apare eroarea de autorizaie, deoarece valoarea atribuit n obiect nu este aceeai cu cea inserat n
interogare.
29 | P a g e
Folosind variabila autorizaie se poate popula valoarea InfoObiectului n timpul rulrii direct din valoarea
cmpului din obiectul de autorizare:
30 | P a g e
n locul definirii unor valori fixe n obiectul de autorizare, pot fi definite de asemenea denumirile tehnice
ale variabilei customer exit n valoarea cmpului, ncepnd cu simbolul $ ce va citi valoarea autorizaiei
n timpul rulrii interogrii pe baza valorii returnate a codului de ieire client (customer exit code).
Mai jos este codul model ce citete teritoriul pe baza id-ului de logare n portal din tabela de referin ce
exist n sistemul BI:
31 | P a g e
Este prezentat scenariul n care interogarea nu folosete niciun InfoObiect pentru care s existe
restricii de valori n obiectul de autorizare. Este folosit compartimentul (division) ca obiect n
interogare, ce are acces complet autorizat i nu mai exist niciun obiect teritoriu.
32 | P a g e
Chiar dac obiectul compartiment are acces complet autorizat, n momentul n care este executat
interogarea este afiat mesajul de eroare de autorizare:
Verificnd jurnalul de autorizare se poate constata uor c dei interogarea nu utilizeaz un InfoObiect
teritoriu, nc este verificat valoarea acestuia la rulare pentru c este parte a InfoProviderului asupra
cruia este definit interogarea.
33 | P a g e
Pentru a evita verificarea autorizaiilor pentru obiectele ce nu sunt folosite n interogare, trebuie
adugat ntotdeauna simbolul : n valoarea cmpului obiectului de autorizare. Aceast aciune permite
interogrilor s fie execute pentru toate valorile obiectului, chiar dac acesta nu este parte a interogrii.
34 | P a g e
35 | P a g e
Rezultatul interogrii:
Poate fi restricionat interogarea s afieze date doar pentru un singur key figure. n acest caz, trebuie
doar adugat key figure-ul necesar (Record Count - ZDWCOUNT) ca i valoare a cmpului 0TCAKYFNM a
obiectului de autorizare de test ZDWKJTEST.
36 | P a g e
Dac este executat aceeai interogare, va afia date doar pentru acel key figure ce a fost definit n
obiectul de autorizare.
Jurnalul explic de asemenea motivul erorii de autorizare pentru cel de-al doilea key figure:
37 | P a g e
n momentul executrii interogrii sunt afiate date pentru toate brandurile, inclusiv cele neasignate.
38 | P a g e
Poate fi restricionat ierarhia utiliznd obiectul de autorizare pentru a arta date doar pentru un nod al
ierarhiei afiate anterior.
Atribuirea nodului:
39 | P a g e
Selectarea tipului autorizaiei ca fiind 1, ceea ce va permite ierarhiei s afieze toate nodurile ce sunt
sub nodul selectat.
40 | P a g e
Dup adugarea autorizaiei asupra ierarhiei brand vor fi afiate date doar pentru nodul specificat n
autorizarea ierarhiei.
41 | P a g e
5. CONCLUZII
impact are autorizaia n rularea interogrilor i care sunt cauzele apariiei anumitor erori de
autorizare. Ghidul de implementare urmrete aspecte generale i doar o parte a anumitor
particulariti. Procesul de securizare poate fi mult mai amplu i trebuie s fie pliat pe
particularitile unitii organizaionale, pentru a susine strategia i obiectivele acesteia.
43 | P a g e
BIBLIOGRAFIE
http://www.gulland.com/wp/?p=345 (SAP BOE Security Model Patterns)
http://www.hr.wa.gov/SiteCollectionDocuments/Payroll/HRMSSupport/BusinessIntellig
ence/BITraining/BIPowerUserTrainingMaterial/8BIPUWorkshopSecurity.pdf (BW/BI
Security)
http://scn.sap.com/people/kamaljeet.kharbanda/blog/2009/02/26/step-by-step-sap-bisecurityhttp://scn.sap.com/people/kamaljeet.kharbanda/blog/2009/02/26/step-bystep-sap-bi-security (SAP BI Security)
http://bi-insider.com/wp-content/uploads/2011/06/SAP-Business-Objects-Security.pdf
(SAP Business Objects Security)
http://scn.sap.com/docs/DOC-33465 (Securing Business Objects Content)
http://scn.sap.com/docs/DOC-50371 (How to secure the Top-Level Root Public Folder in
BusinessObjects)
http://scn.sap.com/docs/DOC-48682 (SAP NetWeaver Security: Secure Operations)
https://help.sap.com/saphelp_nw73/helpdata/en/48/88068ad9134076e10000000a421
89d/content.htm (RFC)
http://www.sdn.sap.com/irj/scn/go/portal/prtroot/docs/library/uuid/c0775993-9d5b3210-b6b4-88816164d87d?QuickLink=index&overridelayout=true&59661390720609
(Securing Remote Function Calls RFC)
http://www.sdn.sap.com/irj/scn/go/portal/prtroot/docs/library/uuid/f0d2445f-509d2d10-6fa7-9d3608950fee?QuickLink=index&overridelayout=true&53712861118234
(Secure Configuration of SAP NetWeaver Application Server Using ABAP)
44 | P a g e