Test der neuen Plattform
SAP Datasphere (SDS) vereint in Zukunft alle Data-Warehouse-Cloud-Lösungen der SAP. Was das für die Datensicherheit bedeutet, erfahren Sie hier.
SAP Datasphere (SDS) vereint in Zukunft alle Data-Warehouse-Cloud-Lösungen der SAP. Was das für die Datensicherheit bedeutet, erfahren Sie hier.
SAP Datasphere, ehemals SAP Data Warehouse Cloud, ist eine umfassende Lösung für datengetriebene Entscheidungen, die Daten aus verschiedenen Quellen findet, konsolidiert und verwaltet. Die Plattform vereint alle Data-Warehouse-Cloud-Lösungen von SAP und bietet Endanwendern durch die Integration in SAP Analytics Cloud umfangreiche Möglichkeiten zur Visualisierung und Planung. Gleichzeitig legt Datasphere großen Wert auf Datensicherheit und Berechtigungen. Was das für Anwender bedeutet, zeigt Mittelstand Heute in einer ersten Beurteilung samt Test der Data-Experten von All for One Analytics & Insights.
Zeit ist Geld. Je fundierter und schneller Entscheidungen getroffen werden können, desto besser ist der Unternehmenserfolg. Entscheidungsunterstützung (relevante Informationen zeitnah zur Verfügung zu stellen) ist der Kern von Data Warehousing, indem benötigte Daten gesammelt, aufbereitet, zusammengefasst und geschützt werden.
SAP Datasphere (SDS), vormals SAP Data Warehouse Cloud, vereint in Zukunft alle Data-Warehouse-Cloud-Lösungen der SAP. Hierzu bietet SDS unterschiedliche Technologien und Funktionalitäten, um Daten aus verschiedensten Quellen zu finden (Data Catalog), zu konsolidieren (Data Warehouse) und zu verwalten (Data Governance). Die nahtlose Datasphere-Integration in SAP Analytics Cloud bietet Endanwendern zudem vollumfängliche Möglichkeiten zur Visualisierung und Planung, sodass Informationen graphisch konsumiert und Entscheidungen getroffen werden können.
Die Diversität von möglichen Quellsystemen erschwert es Unternehmen, herauszufinden, welche Daten für wen relevant sind (Decision Support), welche Daten wie weiterverarbeitet werden dürfen (Data Protection) oder wer entscheiden darf, wer was sieht (Data Sovereignty). Dieser Beitrag konzentriert sich auf den Decision-Support-Aspekt von Data Governance: Jeder soll alles sehen, was für ihn relevant ist – nicht mehr und nicht weniger.
SAP Datasphere folgt dem Ansatz, technisch-funktionale Berechtigungen mit Datenberechtigungen zu kombinieren.
SDS empfiehlt die Trennung von administrativen Informationen wie Berechtigungen, Datenverwaltung und -speicherung sowie Enduser-Objekten. Dies wird anhand des Spaces-Konzeptes umgesetzt, wobei Benutzer zwischen Spaces strikt getrennt werden, aber Daten für alle (unter Berücksichtigung des Data Access Controls) zugänglich sind.
Strikte Trennung von Daten passiert zwischen unterschiedlichen SDS Tenants. Tenants sind vollständig unabhängig voneinander und werden typischerweise für die Trennung von Entwicklungs- und Produktivsystemen genutzt. Dementsprechend können Objekte zwischen Tenants transportiert werden, während Datenübertragung zwischen Tenants nicht vorgesehen ist.
Data Access Control (DAC) kann in Autorisation-Szenarien zusammengefasst werden. Der Unterschied ist, dass über DAC spezifische Views berechtigt werden können, während Autorisation-Szenarien erlauben, Stammdatenobjekte zu beschränken, sodass diese immer wieder verwendet werden können.
Derzeit erlaubt SDS nur die Beschränkung auf spezifische, multiple Ausprägungen. Also kann ein Benutzer auf die SalesOffices S100, S101 und S102 berechtigt werden, aber nicht auf das Intervall S100 bis S102 oder auf den Hierarchieknoten Nordeuropa. Dies bedeutet, dass Berechtigungen aus Vorsystemen, so weit aufbereitet werden müssen, dass diese Einschränkungen erfüllt werden.
SAP bietet ein Programm an, das SAP-Business-Warehouse-Analyseberechtigungen automatisch aufbereitet, damit diese direkt in Datasphere verwendet werden können. Für sonstige Quellsysteme (SAP und non-SAP) müssen spezifische Datenabfragen geschrieben werden. Bei analytischen Quellsystemen (Data Warehouse) existieren immer vergleichbare Konzepte von Row Level Security, somit ist deren Übersetzung in eine Data Access Control meist mit wenig initialer Analyse verbunden.
Bei transaktionalen Quellsystemen wie SAP S/4HANA, Oracle oder anderen ERP-Systemen hängen Berechtigungen eher an Prozessen als an spezifischen Entitäten. Hier muss mit wesentlich umfangreicherem initialen Konzeptaufwand gerechnet werden. Besonders bei sehr diversen Quellsystemen sollte in Workshops identifiziert werden, ob die Berechtigungen jedes Einzelnen übernommen werden sollten, oder ob beispielsweise eine Vereinheitlichung anhand von Positionsbeschreibungen aus Human-Ressource-Systemen zielführender ist.
Data-Experten von All for One Analytics & Insights haben Data Access Controll (DAC) für SAP Datasphere getestet: Für einen Use Case wurden SAP S/4HANA-Berechtigungen für Profitcenter, Buchungskreis und Ledger ausgelesen, aufbereitet und mit der E-Mail-Adresse ergänzt. Anschließend wurden die Data Access Controls in Datasphere konfiguriert und View- sowie Stammdatenberechtigungen (Business Entity: Dimension) mithilfe einer exemplarischen SAP Analytics Cloud Story getestet.
Das Ergebnis der Tests war identisch erfolgreich. Egal ob Data Access Controls direkt auf einen ACDOCA-Datenbanktabellen-View des S/4 Systems angewendet oder zu einem Autorisation-Szenario mit in der Data Warehouse Cloud persistierten Daten kombiniert werden, SAP Analytics Cloud zeigte für den Testuser immer die korrekten Daten.
Parallel hat der gleiche Testuser die Datenvorschau in SAP Datasphere positiv getestet. Während die offizielle Dokumentation Securing Data with Data Access Controls | SAP Help Portal noch davor warnt, dass DAC nur ab der Überquerung von Space-Grenzen berücksichtigt werden, sah der Testuser im One-Space-System von All for One Analytics & Insights trotzdem nur die für ihn freigegebenen Profitcenter und Ledger.
Die Tests haben eine reibungslose Integration der Data Access Controls in die DWC Views, Autorisation-Szenarien (Stammdaten) und SAC ergeben. Das einzige derzeit erkennbare Manko war die Begrenzung auf multiple Einzelwerte, wo die Experten von All for One Analytics & Insights auch auf Hierarchieknoten und Intervalle gehofft hatten. Die Aufbereitung von Berechtigungen aus den Quellsystemen und die erzwungene Ergänzung der E-Mail-Adresse bewerten die Experten neutral, da der Aufwand für Hierarchieknoten bei jedem übergreifenden Data Warehouse anfällt und Intervalle als übergreifendes Identitätsmerkmal bei Cloudsystemen Standard sind. Das Urteil von All for One Analytics & Insights: Insgesamt sei Data Access Control bei SAP Datasphere und SAP Analytics Cloud gut integriert und umgesetzt. Man hoffe jedoch, dass mit der zunehmenden Entwicklung noch nicht das Ende der Möglichkeiten erreicht ist.
Quelle Aufmacherbild: KI-Bild erstellt mit Midjourney