DeltaMaster clicks! 07/2017

Berechtigungen für Berichte und Ordner festlegen

PDF Download

Liebe Datenanalysten,

wenn zwei das Gleiche tun, ist es noch lange nicht dasselbe, besagt ein Sprichwort. In Unternehmen, im Umgang mit Software und Zahlen, wird manchmal das Umgekehrte verlangt: Zwei (oder mehr) sollen mit demselben arbeiten, aber nicht das Gleiche damit tun. Der Schlüssel dazu sind Berechtigungen. Dieselbe Datenbank, dieselbe Controlling-Anwendung kann sich unterschiedlich präsentieren und verhalten, je nachdem, wer damit arbeitet. In DeltaMaster betrifft das nicht nur Anwendungen, sondern auch die Berichte und Ordner in den Anwendungen. In diesen clicks! geben wir einen Überblick – mit Leserechten für Fachanwender und die IT gleichermaßen.

Herzliche Grüße
Ihr Team von Bissantz & Company

Eine gute Nachricht vorab: Es ist kein Muss, für DeltaMaster eigene Berechtigungen zu pflegen. Jede (Server-)Datenbank hat bereits ein Berechtigungskonzept. Damit ist zu gewährleisten, dass jeder nur die Daten „sieht“, die ihm zugedacht sind. Beispielsweise könnte es so ein­gerichtet sein, dass jeder Vertriebsbeauftragte nur auf die Daten der eigenen Region zugreifen kann, der Vertriebscontroller oder ‑leiter hingegen auf alle Regionen. Für Summen (Aggregate) lassen sich spe­zielle Berechtigungen definieren, um übergreifende Vergleiche (Benchmarks) zu ermöglichen. In vielen Fällen ist der Datenzugriff also bereits in der Datenbank geregelt und es genügt, in DeltaMaster zuzu­weisen, wer Berichtsempfänger, wer Berichtsredakteur sein soll – wer lesen, wer schreiben soll.

Wenn aber die Anwendungen größer werden, wenn mehr Menschen damit arbeiten, wenn unterschiedliche Aufgaben zu erledigen sind, dann kann es sich lohnen, die Anwendungen inhaltlich nutzerabhängig einzuteilen. Mit DeltaMaster ist das möglich: durch ein eigenes Berech­tigungskonzept.

Wie sich dieses auswirkt, lässt sich unter anderem an der Berichtsliste von DeltaMaster beobachten. In der folgenden Abbil­dung ist immer dieselbe Anwendung zu sehen, jedoch aus der Sicht von drei verschiedenen Anwendergruppen: links ein regionaler Vertriebsbeauftragter, in der Mitte der Ver­triebsleiter, rechts das Controlling.

Offensichtlich sind in der Berichtsliste mal weniger, mal mehr Berichte zu sehen. Ein weiterer Unter­schied ist die Schaltfläche mit dem Bleistift (unten), mit der man vom Präsentations- in den Bearbei­tungsmodus schaltet. Diese steht im Beispiel nur einer Anwendergruppe zur Verfügung, dem Con­trolling (rechts). Die zurückgelieferten Werte sind in allen drei Beispielen gleich.

DeltaMaster und die Datenbanken

Grundsätzlich sind Berechtigungen im Gesamtsystem einer DeltaMaster-Lösung also auf zwei Ebenen zu definieren, in der Datenbank und in der DeltaMaster-Anwendung. Die Zuständigkeiten sind klar verteilt:

  • Für die Datenbank legt man fest, auf welche Daten die Anwender zugreifen dürfen. Das Einstel­len dieser Berechtigungen ist meistens Aufgabe der IT. Die Werkzeuge dazu gehören zur Datenbankverwaltung und sind technisch geprägt.
  • Für die DeltaMaster-Anwendung kann man festlegen, welche Anwender darauf zugreifen dür­fen – und bei Bedarf auch, auf welche Teile davon, sprich: welche Berichte und Ordner. Das Erteilen dieser Berechtigungen ist Aufgabe der Stelle, die DeltaMaster betreibt, oft: der Fach­abteilung. Die Werkzeuge dazu gehören zu DeltaMaster und sind dementsprechend einfach zu bedienen.

Die Datenbank ist maßgeblich, wenn es um maximale Vertraulichkeit, um Datenschutz, um Daten­sicherheit geht. Dafür bieten die verbreiteten Datenbanksysteme ausgeklügelte und bewährte Schutzmechanismen. Diese gelten für DeltaMaster ebenso wie für alle anderen Programme, mit de­nen die Datenbank abgefragt werden kann. Datenbankabfragen führt DeltaMaster mit den Berechti­gungen des aktuellen bzw. des bei der Anmeldung angegebenen Benutzers aus (beim Webclient, sofern dies konfiguriert wurde, Stichwort: Impersonation). Ob es andere Benutzer gibt oder welche Daten diese sehen würden, kann DeltaMaster nicht erkennen.

Das Berechtigungskonzept von DeltaMaster ist unabhängig von dem der Datenbank. Seine Aufgabe ist es, zu steuern, wie die Anwender in DeltaMaster mit den Daten arbeiten können, die sie entspre­chend ihren Datenbankberechtigungen von der Datenbank bekommen. Dabei ist das Konzept von DeltaMaster an der Anwendung orientiert. Im Mittelpunkt stehen Effizienz, Ergonomie, Organisation, Delegation, Führung – es geht also eher um die Frage, wer was sehen soll und was nicht, weniger darum, wer was sehen darf.

Entsprechend der Arbeitsteilung zwischen Datenbank und DeltaMaster sind Rechte für unterschied­liche Arten von Objekten zu vergeben.

  • Für welche Datenbankobjekte Rechte verwaltet werden können, hängt vom jeweiligen Daten­banksystem ab. Bei Microsoft SQL Server Analysis Services (SSAS) beispielsweise lassen sich Berechtigungen unter anderem für ganze Würfel (Cubes), für einzelne Kennzahlen (Measures), Filtermerkmale (Dimensionen, Hierarchien, Dimensionselemente) und sogar für bestimmte Zellen (Kombinationen von Dimensionselementen und Kennzahlen) einstellen.
  • In DeltaMaster lassen sich Berechtigungen für Berichte, Ordner, die Berichtsliste und für Anwen­dungen pflegen. In diesen clicks! konzentrieren wir uns auf Berichte und Ordner.

Ich sehe was, was du nicht siehst

Insbesondere nutzt man die Berechtigungen von DeltaMaster, damit sich dieselbe Anwendung un­terschiedlich präsentiert und verhält, je nachdem, wer damit arbeitet. Hier einige beispielhafte Sze­narios, in denen man von Berechtigungen profitiert:

  • Unterschiedliche Aufgaben im Fachbereich berücksichtigen
    Dem Außendienst genügt es, Berichte als Berichtsempfänger zu nutzen, ohne diese zu erstel­len oder strukturell zu verändern; der Innendienst hingegen muss dazu in der Lage sein. Einige Berichte sollen nur vom Controlling bearbeitet werden.
  • Unterschiedliche betriebliche Funktionen in derselben Anwendung abbilden
    In derselben DeltaMaster-Anwendung werden Berichte für unterschiedliche Aufgaben vor­ge­halten, zum Beispiel für den Einkauf und den Verkauf. Manche Berichte, etwa zur Entwick­lung der Marge oder zur Analyse von Preiseffekten, sind für beide Bereiche relevant, manches be­nötigt nur der Einkauf oder nur der Verkauf. Für die jeweils andere Abteilung wird es einfa­cher und übersichtlicher, wenn man diese Berichte nutzerabhängig ausblendet.
  • Administration und operative Nutzung aufteilen
    In Planungsanwendungen dienen die meisten Berichte als Eingabemaske für die Planer. Zu­sätzlich verfügen Projektleiter, Anwendungsbetreuer und Administratoren über Berichte, mit denen sie den Prozess steuern und überwachen können. Diese dürfen nur ihnen zur Verfü­gung stehen.
  • Sichtbarkeit in DeltaMaster und Zugriff in der Datenbank synchronisieren
    In der Datenbank gelten differenzierte Rechte, damit jeder Vertriebsbeauftragte nur auf die Daten des eigenen Kundenstamms zugreifen kann. Der Vertriebsleiter hingegen hat Einblick in alle Bereiche und auch auf die aggregierten Werte. In der Berichtsliste gibt es für jede Region einen Bericht. Öffnet jemand den Bericht einer Region, ohne für diese Region Rechte in der Datenbank zu haben, bleibt der Bericht leer – er wird aber trotzdem in der Berichtsliste ange­zeigt. Deshalb mag man die differenzierten Rechte aus der Datenbank in den Berichten nach­bilden. (Diese Situation ist oft dann zu beobachten, wenn eine Berichtsliste viele statische Be­richte mit identischer Struktur enthält, in denen verschiedene Elemente derselben Dimen­sion „durchdekliniert“ werden, zum Beispiel alle Regionen oder Niederlassungen. In diesen Fällen ist es oft einfacher, nur einen Bericht zu verwenden, diesen aber so aufzubauen, dass er dy­namisch vom aktuellen Benutzer abhängig ist, anstatt viele Berechtigungen für viele Berichte zu verwalten.)
  • Berichte entwickeln, testen und freigeben
    Ein Berichtsredakteur arbeitet an neuen Berichten für eine bestehende Anwendung, möchte diese aber erst dann freischalten, wenn alle Feinheiten abgestimmt sind. Bis dahin bleiben die Berichte in einem „Arbeitsordner“, der nur für Berichtsredakteure sichtbar ist. Um den Bericht Pilotanwendern und schließlich der Allgemeinheit zur Verfügung zu stellen, genügt es, ent­sprechende Berechtigungen zu definieren oder schlicht: den Bericht in einen Ordner zu ver­schieben, für den bereits geeignete Rechte gelten.

Auch ein einfacher Schutz vor unerwünschten Abfragen lässt sich allein mit den Mitteln von Delta­Master realisieren: Anwendern, die als Berichtsempfänger eingestuft sind, steht nur der Präsenta­ti­onsmodus zur Verfügung. Dieser wiederum lässt sich durch den Filterkontext so einschränken, dass nur ganz bestimmte Daten abgerufen werden können. Dies betrifft aber naturgemäß nur Delta­Master, nicht andere Abfragewerkzeuge. Deshalb: Wo es auf eine unüberwindliche Zugriffskontrolle ankommt, die auch vor böswilligen und technisch versierten Anwendern schützt, ist die Datenbank die erste Anlaufstelle.

Schlanker Verwaltungsapparat

Zur Verwaltung von DeltaMaster-Berechtigungen sind zwei Werkzeuge verfügbar: die DeltaMaster-Rollenverwaltung und DeltaMaster selbst. Die jeweiligen Aufgaben sind klar abgegrenzt und unter­stützen die Arbeitsteilung zwischen IT und Fachbereich bzw. innerhalb des Fachbereichs.

Berechtigungen für Anwendungen

Die DeltaMaster-Rollenverwaltung (DeltaMaster 5: Repository-GUI) betrifft Anwendungen und An­wendergruppen: Mit diesem Werkzeug fasst man Benutzer zu Gruppen zusammen, schaltet die An­wendungen frei, die für eine Benutzergruppe verfügbar sein sollen, und legt fest, in welcher Rolle die Gruppe mit dieser Anwendung arbeiten kann, das heißt: welchen Funktionsumfang DeltaMaster ihnen anbietet.

Berichtsempfänger können die Anwendung nur im Präsentationsmodus nutzen, Berichtsredakteure auch im Bearbeitungsmodus, Anwendungsadministratoren verwalten Zugriffsberechtigungen. In der Abbildung ist zu sehen, dass die Anwendung „Deckungsbeitrag“ für die Anwendergruppe „Vertrieb“ freigeschaltet ist und diese als Berichtsempfänger darauf zugreifen kann. Für die Anwendergruppen „Admin“ und „Controlling“ können andere (oder auch keine) Rollen eingestellt sein.

Wenn DeltaMaster auch innerhalb einer Anwendung Be­rechtigungen anwenden soll, aktivieren Sie das entspre­chende Kontrollkästchen im Abschnitt Dateien. Damit wird es möglich, auch für die Berichte und Ordner in dieser Anwendung Rechte einzustellen. Ist die Option nicht aktiviert, greift für diese An­wendung ein vereinfachtes Berechtigungs­konzept: Anwendergruppen können in vordefinierten Rol­len (Berichtsempfänger, Berichtsredakteur, Anwendungsadministrator usw.) mit der gesamten An­wendung assoziiert werden.

Sollen Rechte in einer Anwendung geändert und gespeichert werden, öffnen Sie die Anwendung per Optionsdialog (Kon­textmenü einer Kachel im Dashboard) und darüber mit ex­klusivem Schreibzugriff. In DeltaMaster 6 wird dieser auch nachträglich gewährt, wenn Sie in der bereits geöffneten Anwendung in den Bearbeitungsmodus wechseln und nie­mand anders bereits exklusiven Schreibzugriff hat. Sollten Sie Mitglied mehrerer Gruppen sein, wählen Sie im Options­dialog aus, als Mitglied welcher Gruppe Sie arbeiten wollen.

Berechtigungen in Anwendungen

Direkt in DeltaMaster, im Windows-Client, legen Sie die Berechtigungen fest, die „innerhalb“ der An­wendung gelten, im Wesentlichen: für Berichte und Ordner. Voraussetzung dafür ist, dass Berechti­gungen angewendet werden, wie oben beschrieben, und dass Sie über ausreichende Berechtigungen verfügen, zum Beispiel, weil Sie die Anwendung als Anwendungsadministrator öffnen oder als Be­richtsredakteur entsprechend ermächtigt wurden.

Beim Editieren im Bearbeitungsmodus erreichen Sie die Berech­tigungen über das Kontextmenü des jeweiligen Objekts: Berichts­berechtigungen im Kontextmenü von Berichten, Ordnerberechti­gungen im Kontextmenü von Ordnern und Berechtigungen für die gesamte Berichtsliste im Kontextmenü der Überschrift Berichte. Darüber hinaus lassen sich im Anwendungsmenü (links oben,  ) Berechtigungen für die Anwendung definieren.

Die Berechtigungen für den ausgewählten Bericht oder Ordner werden in einem Dialog angezeigt, getrennt nach Anwendergruppen, und lassen sich dort bearbeiten, sofern man dazu berechtigt ist.

Einträge in Klammern ergeben sich aus der Verer­bung, dieje­nigen ohne Klam­mern sind direkt für das betreffende Objekt gesetzt. Grau ge­schriebene Einträge können nicht geändert werden. Dies ist bei fehlender Berechtigung zur Rechtevergabe und bei Anwendergruppen in der Rolle Anwendungs­adminis­trator immer der Fall (diesen können keine Berechtigungen entzogen werden).

Die folgenden Berechtigungen können eingestellt werden:

  • Alles: fasst alle anderen Berechtigungen zusammen.
  • Anzeige: betrifft die Anzeige in der Berichtsliste. Wird dieses Recht verweigert, so zeigt Delta­Master den Bericht oder Ordner diesen Anwendern nicht an. Auch für die Suchfunktion exis­tiert der Bericht nicht und Verknüpfungen zu diesem Bericht sind nicht verfügbar.
  • Bearbeitung: betrifft das Verhalten von DeltaMaster im Bearbeitungsmodus. Wird dieses Recht verweigert, die Anzeige jedoch zugelassen, so verhält sich DeltaMaster auch im Bearbeitungs­modus wie im Präsentationsmodus. Beispielsweise können dann die Struktur und die Eigen­schaften von Grafischen Tabellen nicht geändert werden und das Zwischenspeichern des Be­richts ist ausgeschlossen.
  • Rechtevergabe: betrifft das Einstellen ebendieser Berechtigungen. Dies erlaubt das Delegieren der administrativen Aufgaben.

Wenn Sie die Zuweisung weiter vererben, werden die Einstellungen auch auf enthaltene Berichte und (Unter-)Ordner angewendet. Für Berichte ist das Vererben nicht möglich.

Voraussetzung: Repository

Um Berechtigungen in DeltaMaster-Anwendungen zu verwalten, ist eine zentrale Instanz erforderlich, die prüft, welcher Benutzer mit dem System arbeitet, und in Abhängigkeit davon entscheidet, welche Informationen und Funktionen dem Benutzer angeboten werden sollen. Diese Instanz ist das Delta­Master-Repository, eine Komponente zur datenbankgestützten Bereitstellung und Verwaltung von DeltaMaster-Anwendungen – anstatt in Form der bekannten DAS-Dateien. Mit diesen ist keine Be­rechtigungsverwaltung möglich; das kann nur das Repository. Einen allgemeinen Überblick über die Eigenschaften und Aufgaben des Repository finden Sie in den DeltaMaster clicks! 01/2015.

Studieren geht über Probieren

Viele clicks!-Ausgaben enden mit der Einladung, es doch einfach einmal selbst auszuprobieren. Be­rechtigungen sind eine Ausnahme davon – es hat seine Gründe, warum nur Wenige im Unterneh­men mit der Rechteverwaltung betraut sind. Aussperren können Sie sich zwar nicht (davor würde Delta­Master warnen), aber es sind vielfältige Wechselwirkungen zu bedenken, und je kleinteiliger das Kon­zept, desto mehr. Wie so oft sind die einfachen Lösungen die besten. Denken Sie zuerst an die Da­tenbank. In DeltaMaster genügen oft Berechtigungen auf Anwendungsebene – wer ist in welcher Anwendung Berichtsempfänger, wer ist Berichtsredakteur, wer braucht sie gar nicht zu sehen? Falls es detaillierter sein muss, gehen Sie „top down“ vor. Und, immer ein guter Tipp: Wenn wir etwas für Sie tun können, sprechen Sie uns gerne an!