Roles de back-end (SAP BW) para SAP BPC y administrador de usuarios desde el

sistema backend (SAP BW).

SAP Business Planning and Consolidation es parte de SAP Net Weaver y tiene un concepto
de autorización diferente al de SAP R/3 o ECC. Tiene vistas tanto de frontend como de
backend y utiliza:

 equipos de usuarios,
 perfiles de tareas y
 perfiles de acceso a datos

en lugar de grupos de usuarios, transacciones y funciones.

La administración de los usuarios de SAP BPC se realiza en el front-end (interface web) se

podrá:

 Crear equipos,
 Crear Perfil de tarea y
 Crear perfil de acceso a datos,

nosotros no podemos crear un nuevo usuario en el sistema frontend (SAP BPC), pero si
adicionar un usuario que esté creado en el sistema de back-end ECC en SAP BW. Eso
significa que el usuario debe crearse primero en el backend (SAP BW) y cuando este creado
se podrá adicionar en el sistema frontend (SAP BPC).

Además, para que el usuario acceda al frontend de BPC desde el inicio de sesión web, se
deben asignar dos (2) roles obligatorios a la cuenta del usuario en el backend.

En los dos contextos anteriores, cuando una cuenta de usuario debe crearse y asignarse
con dos roles obligatorios, podemos evitar el uso del sistema frontend para dar acceso a un
usuario (al menos por primera vez, ya que necesitamos editarlo desde SU01, agregando
todos los roles necesarios de una sola vez.

Por lo general, cuando creamos un ambiente, un equipo de usuarios, un perfil de acceso a

datos y un perfil de tareas desde el frontend de BPC, se crea automáticamente un rol en el
sistema backend. Para administrar al usuario desde el backend, lo que tenemos que hacer
es identificar estos roles creados automáticamente. Para esto, tenemos algunas tablas que
mantienen estos datos.

Desde la SE16, acceda a las siguientes tablas para obtener los datos:

Ambiente: para averiguar la función relacionada con cada Entorno, vaya a la tabla
UJE_USER_AGR. Aquí, puede ver el nombre del entorno en APPSET_ID y la función
correspondiente en USER_AGR. El rol comenzará con ZBPC _ ## UXXXXXX. U denota
ambiente.
Equipo de usuarios:

Para averiguar la función relacionada con cada equipo de usuarios, vaya a la tabla
UJE_TEAM_AGR. Aquí, puede ver todos los equipos creados en todos los entornos
disponibles en el sistema (puede filtrar el entorno desde la primera página si es necesario),
y el rol correspondiente a cada equipo y líder de equipo. El rol será similar al anterior, es
decir, ZBPC _ ## TXXXXXX para el equipo y ZBPC _ ## LXXXXXX para el líder del equipo.
T denota equipo de usuario y L denota líder de equipo.

Perfil de tarea y perfil de acceso a datos:

Para averiguar la función relacionada con cada perfil de tarea y perfil de acceso a datos,
vaya a la tabla UJE_PROFILE_AGR. Aquí, puede ver el Nombre del perfil en PROFILE_ID,
PROFILE_CLASS contiene el tipo de perfil (MBR para Perfil de acceso a datos y TSK para
Perfil de tareas), y el nombre de función correspondiente en PROFILE_AGR. El rol será
como ZBPC _ ## MXXXXXX para Data Access Profile y ZBPC _ ## PXXXXXX. Aquí, M
denota Perfil de acceso a datos (denominado Perfil de acceso de miembro en versiones
anteriores) y P denota Perfil de tarea.

Ahora, veamos la convención de nombrar roles aquí:

ZBPC_: Común para todos los roles.

##: Es el prefijo APPSET (Entorno), que es específico para cada entorno. Esto se puede
encontrar en la tabla UJA_APPSET_INFO.

U / T / L / M / P: denota entorno, equipo, líder de equipo, perfil de acceso a datos y perfil de

tareas respectivamente.

XXXXXX: Este es el número. (Este número estará en secuencia para Ambiente, Equipo,
etc.)

Estas funciones se pueden encontrar en las tablas anteriores y se pueden agregar a los
usuarios para evitar la administración de la interfaz. Entonces, al final, un usuario que quiera
iniciar sesión a través de la web, que tenga asignado un Perfil de acceso a datos y un Perfil
de tareas y un Equipo de usuarios en un entorno tendrá (debería) los siguientes roles
asignados a su perfil.

/POA/BUI_FLEX_CLIENT Role for Web login

/POA/BUI_UM_USER Role for Web login
ZBPC_CMU000002 Environment Role
ZBPC_CMT000027 User Team Role
ZBPC_CMP000009 Task Profile Role
ZBPC_CMM000014 Data Access Profile Role

Nota: Si hemos agregado un Perfil de tareas y un Perfil de acceso a datos o un Equipo de

usuarios desde el frontend, y solo hemos agregado la función Equipo de usuarios en el
backend para un usuario, el usuario no tendrá acceso al Perfil de tareas y al Perfil de acceso
a datos. ¡Estas dos funciones deben ser agregadas explícitamente!

Perfiles de Tarea y Acceso a datos

 Hay dos tipos de perfiles (profiles): Task profiles (perfil de tareas) y Data Access
profiles (perfil de acceso a datos).
 Un Task Profile o Perfil de Tarea es una agrupación de tareas BPC que puede ser
asignado a un usuario o a un equipo de usuarios. La simple asignación de un task
profile a un usuario o equipo, autoriza al usuario o usuarios la ejecución de todas las
tareas contenidas en este perfil.
 Un Data Access profile o perfil de acceso a datos define las autorizaciones de acceso
de lectura, escritura o denegación sobre las regiones de datos de un modelo,
determinadas por los miembros de dimensión de las dimensiones seguras de cada
cubo.
 Por cada perfil BPC, se creará un rol en SAP NW con un identificador autogenerado.
Cuando un perfil es asignado en BPC, el correspondiente rol será asignado al usuario
en la capa SAP NW.

Equipos BPC
 Un equipo BPC representa a un grupo de usuarios. El perfil asignado a un equipo lo
recibirán o heredarán los usuarios que pertenecen a ese equipo.
 Un Equipo BPC puede tener cero o más jefes de equipo (Team leader), los cuales
podrán gestionar la estructura de carpetas y ficheros de la carpeta del equipo.
 BPC creará por cada equipo dos roles SAP NW, uno de ellos será automáticamente
asignado a todos los miembros del equipo y otro rol que será asignado a los jefes de
equipo.

Referencia: SAP Note 1613125

Cómo calcular los roles SAP NW que se generan al definir la seguridad SAP BPC

Si somos “ambiciosos” y deseamos tener todas las autorizaciones de seguridad de una

instalación de SAP BPC, lo único que conseguiremos será que se bloquee nuestro usuario
al acceder a la interfaz SAP BPC (SAP Business Planning and Consolidation),
especialmente desde el EPM Add-In.

Teóricamente, el número máximo de entornos, perfiles, y equipos que se puede asignar a

un usuario BPC NW es 999.999. Sin embargo, como consecuencia de la integración con el
sistema de seguridad de SAP NetWeaver, el cual restringe el número máximo de perfiles a
312 por usuario, se establece este mismo tope para SAP BPC.

Para calcular el número máximo de entornos, perfiles y equipos que se pueden asignar a
un usuario BPC, se debe tener presente las siguientes pautas:

 1 Entorno (ambiente) BPC = 1 perfil de SAP NW

  1 perfil de tareas de BPC = 1 perfil de SAP NW
 1 perfil de acceso a datos BPC = 1 perfil de SAP NW
 1 equipo de BPC con perfiles de “n” perfiles de tareas y “m” perfiles de acceso a datos
= 1 + n + m perfiles de SAP NW
 1 Jefe de equipo de BPC = 1 perfil de SAP NW

Por ejemplo, si un usuario es asignado a un environment (E) (entorno), directamente tiene

asignado dos (2) perfiles de tareas (TP) y tres (3) perfiles de acceso de datos (DAP). Al
mismo tiempo, es miembro de un equipo (T), es líder de este equipo (TL) que contiene otro
perfil de tareas (TP) y un perfil de acceso a datos (DAP). Esta definición de seguridad
BPC para este usuario se reflejaría con 10 perfiles de SAP NetWeaver: 1 (E) + 2 (TP) + 3
(DAP) + 1 (TL) + 1 (T) + 1 (TP) + 1 (DAP).

Perfiles de usuario para Analysis for Office

Hay tres perfiles de usuario para SAP Analysis para Microsoft Office:

• Creador de libro de trabajo

Usuarios que crean y mantienen libros de trabajo basados en diferentes fuentes de datos.

• Analista de datos
Usuarios que navegan a través de libros de trabajo existentes y analizan los datos que
contienen.

También pueden incluir libros de trabajo en una presentación de Microsoft PowerPoint y

continuar el análisis allí.

• Administrador
Especialistas en TI que instalan, configuran y administran SAP Analysis para Microsoft
Office. También asignan derechos de seguridad y autorizaciones a los creadores y
analizadores de libros de trabajo.

Si su perfil existente necesita ser modificado, contacte a su administrador de TI.

Aspectos de la seguridad SAP BPC vistos desde SAP NW
Publicado el 31 julio, 2016| Deja un comentario

1 Votes

Sabemos que todas las definiciones de datos maestros, parametrización o configuración de la

plataforma SAP Business Planning and Consolidation (SAP BPC) para SAP NetWeaver (SAP NW)
se ve reflejada en SAP NW. El sistema de seguridad de SAP BPC no es la excepción, la cual es
configurada en su gran totalidad desde la interfaz Web de BPC, la misma que se “auto-clona” en SAP
NW.
A continuación, señalamos una serie de características de la seguridad de SAP BPC NW, los cuales
pasan desapercibidos cuando trabajamos con esta herramienta.
USUARIOS BPC
 Un usuario de SAP BPC siempre será antes un usuario de SAP NW.
 Un usuario SAP BPC no necesita que se le asigne autorizaciones adicionales
de NW o BW (excepto los privilegio BIU. En ocasiones es necesario el privilegio de ejecución
MDX en entornos SAP HANA).
 El usuario utilizado para las conexiones RFC (conocido como Service user account) usualmente
tiene asignado un SAP_ALL. Si una tarea u operación necesitará interactuar con
objetos BW o NW, el usuario de servicio sería utilizado.
AUTORIZACIONES BPC
 La seguridad de SAP BPC se estructura sobre cinco objetos de seguridad:
 UJ_IDENTI: Si se agrega o no un usuario a un entorno
 UJ_DATA: Si se asigna o no un usuario a un perfil de acceso de datos
 UJ_BPCTASK: si se concede o no una tarea BPC a un usuario
 UJ_TEAM: Si pertenece o no un usuario a un equipo
 UJ_ID_TL: si un usuario es o no un jefe de equipo en un equipo
 Para gestionar la seguridad de SAP BPC se recomienda utilizar la interfaz Web de la plataforma.
No se requiere actuar directamente sobre los objetos de seguridad. Es posible utilizar las
transacciones de seguridad de SAP NW para gestionar la seguridad de BPC, pero estas
definiciones no se verían reflejadas en la interfaz Web de BPC.
PERFILES BPC
 Hay dos tipos de perfiles (profiles): Task profiles y Data Access profiles.
 Un Task Profile o Perfil de Tarea es una agrupación de tareas BPC que puede ser asignado a un
usuario o a un equipo de usuarios. La simple asignación de un task profile a un usuario o equipo,
autoriza al usuario o usuarios la ejecución de todas las tareas contenidas en este perfil.
 Un Data Access profile o perfil de acceso a datos define las autorizaciones de acceso de lectura,
escritura o denegación sobre las regiones de datos de un modelo, determinadas por los miembros
de dimensión de las dimensiones seguras de cada cubo.
 Por cada perfil BPC, se creará un rol en SAP NW con un identificador autogenerado. Cuando un
perfil es asignado en BPC, el correspondiente rol será asignado al usuario en la capa SAP NW.

EQUIPOS BPC
 Un equipo BPC representa a un grupo de usuarios. El perfil asignado a un equipo lo recibirán o
heredarán los usuarios que pertenecen a ese equipo.
 Un Equipo BPC puede tener cero o más jefes de equipo (Team leader), los cuales podrán
gestionar la estructura de carpetas y ficheros de la carpeta del equipo.
 BPC creará por cada equipo dos roles SAP NW, uno de ellos será automáticamente asignado a
todos los miembros del equipo y otro rol que será asignado a los jefes de equipo.