Les autorisations SAP BI par l’organisation HR

La gestion des autorisations par les rôles

La gestion des autorisations dans le système SAP NetWeaver BI permet de limiter les accès des utilisateurs.  Ces limitations concernent aussi bien les actions possibles (lancer un état ou le modifier, etc), les domaines fonctionnels accessibles (représentés par les cubes), et le périmètre d’analyse (telle société, tel pays, etc). En général, l’affectation des utilisateurs aux autorisations n’est pas directe mais passe par l’intermédiaire des objets appelés « Roles ». En effet, un rôle permet de combiner des utilisateurs, des autorisations ainsi que des menus. Il est souvent trop complexe d’affecter et de suivre directement les utilisateurs à des autorisations en raison du nombre de combinaisons à traiter et de l’absence d’interface graphique conviviale. Ainsi, un rôle va regrouper un ensemble d’utilisateurs ayant le même besoin d’analyse, un utilisateur pouvant appartenir à plusieurs rôles. Un utilisateur affecté à un rôle peut lancer des états et accéder à des indicateurs de performance.

Les risques de sécurité

Ce système apporte en général satisfaction car il simplifie les affectations lors du projet initial. Cependant, il présente un inconvénient majeur : il confond l’individu et la position qu’il occupe dans l’organisation. La maintenance nécessite de traduire la position réelle des utilisateurs en rôles afin de fournir les autorisations nécessaires. Or, la gestion des autorisations est très rarement gérée par les ressources humaines, mais directement entre les opérationnels et les services informatiques. Ceci produit à long terme une certaine complexité dans les autorisations, voire un manque de visibilité et des failles d’autorisation. Une étude récente a d’ailleurs démontré que parmi les risques mal gérés dans les entreprises figurent en premier lieu les failles de sécurité informatique.

La gestion de l’organisation

Une solution existe pourtant dans SAP NetWeaver BI, afin d’affecter les positions et non pas les utilisateurs. Cette fonctionnalité permet de gérer une arborescence des positions et d’affecter les utilisateurs à ces positions, selon la période considérée. Cette gestion peut être prise en charge par les ressources humaines, dans l’ERP, et dupliquée dans tous les systèmes, ou bien gérée directement dans BW. Les positions sont affectées aux rôles, et non directement aux utilisateurs.  Une modification de position ne nécessite pas de modifier les affectations aux autorisations : l’utilisateur hérite automatiquement des autorisations associées à sa position.

Affectation des positions

D’un point de vue technique, la gestion de l’arborescence des positions et des organisations peut être réalisée par la transaction PPOCW. Les positions sont ensuite affectées aux rôles par la transaction PFCG (en vue étendue), dans l’onglet « User » et par le bouton « Organizational Mgt ». L’affectation de l’utilisateur à la position est réalisée par la transaction SU01. Affectation des positions

About the Author

Laurent Allais
Laurent ALLAIS est expert en solutions d'élaboration budgétaire, business intelligence et pilotage des performances (CPM - FP&A), avec près de 20 ans d'expérience dans ce domaine. Il intervient dans l'aide au choix de solutions, l'analyse des besoins métier et la mise en oeuvre d'Adaptive Insights, leader mondial des solutions cloud Financial Planning & Analysis. Après avoir fondé Artens et dirigé l'activité BI-CPM de Viséo, il fonde Alsight en 2012, spécialiste d'Adaptive Insights en France. Alsight a rejoint Génération Conseil en 2019. Il est intervenu chez plus de 50 clients, dont Renault, PSA, AGF, Embraer, Airbus, UCPA, Mega, Lizéo, Elitechgroup, Roquette, Pimkie, Chanel, L'Oréal et Fnac. Contact : Laurent.allais@expandbi.com