La gestion des autorisations par les rôles
La gestion des autorisations dans le système SAP NetWeaver BI permet de limiter les accès des utilisateurs. Ces limitations concernent aussi bien les actions possibles (lancer un état ou le modifier, etc), les domaines fonctionnels accessibles (représentés par les cubes), et le périmètre d’analyse (telle société, tel pays, etc). En général, l’affectation des utilisateurs aux autorisations n’est pas directe mais passe par l’intermédiaire des objets appelés « Roles ». En effet, un rôle permet de combiner des utilisateurs, des autorisations ainsi que des menus. Il est souvent trop complexe d’affecter et de suivre directement les utilisateurs à des autorisations en raison du nombre de combinaisons à traiter et de l’absence d’interface graphique conviviale. Ainsi, un rôle va regrouper un ensemble d’utilisateurs ayant le même besoin d’analyse, un utilisateur pouvant appartenir à plusieurs rôles. Un utilisateur affecté à un rôle peut lancer des états et accéder à des indicateurs de performance.
Les risques de sécurité
Ce système apporte en général satisfaction car il simplifie les affectations lors du projet initial. Cependant, il présente un inconvénient majeur : il confond l’individu et la position qu’il occupe dans l’organisation. La maintenance nécessite de traduire la position réelle des utilisateurs en rôles afin de fournir les autorisations nécessaires. Or, la gestion des autorisations est très rarement gérée par les ressources humaines, mais directement entre les opérationnels et les services informatiques. Ceci produit à long terme une certaine complexité dans les autorisations, voire un manque de visibilité et des failles d’autorisation. Une étude récente a d’ailleurs démontré que parmi les risques mal gérés dans les entreprises figurent en premier lieu les failles de sécurité informatique.
La gestion de l’organisation
Une solution existe pourtant dans SAP NetWeaver BI, afin d’affecter les positions et non pas les utilisateurs. Cette fonctionnalité permet de gérer une arborescence des positions et d’affecter les utilisateurs à ces positions, selon la période considérée. Cette gestion peut être prise en charge par les ressources humaines, dans l’ERP, et dupliquée dans tous les systèmes, ou bien gérée directement dans BW. Les positions sont affectées aux rôles, et non directement aux utilisateurs. Une modification de position ne nécessite pas de modifier les affectations aux autorisations : l’utilisateur hérite automatiquement des autorisations associées à sa position.
D’un point de vue technique, la gestion de l’arborescence des positions et des organisations peut être réalisée par la transaction PPOCW. Les positions sont ensuite affectées aux rôles par la transaction PFCG (en vue étendue), dans l’onglet « User » et par le bouton « Organizational Mgt ». L’affectation de l’utilisateur à la position est réalisée par la transaction SU01.