De raad van bestuur komt bij je binnen met een streng bericht: de kosten van jouw afdeling moeten omlaag. Andere teamleiders krijgen dit bericht ook. Wat nu? Er moet een nieuwe rapportage komen in Microsoft Power BI om de kosten van je afdeling te analyseren zodat de grootste kostenposten ontdekt en aangepakt kunnen worden. Maar wacht even! Je wil natuurlijk niet dat andere teams ook jouw financiën kunnen inzien… Hoe zorg je ervoor dat er geen gevoelige data uitlekt tijdens het ontwikkelen en consumeren van het rapport? In deze blog lees je verschillende manieren om SAP-autorisatie in te stellen in Power BI. Op zoek naar een shortcut? Scroll dan door naar de Best Practices.
In Power BI Desktop verbind je met een SAP-gebruiker aan je SAP BW, HANA of ERP-systeem via een Import of DirectQuery-connectie. Hiermee haal je de gevraagde query op uit het bronsysteem. Deze gebruiker kun je in het bronsysteem een rol toekennen waarop autorisatie is toegepast. Hiermee haalt de gebruiker alleen geoorloofde data op.
Bij het publiceren en distribueren van data breng je de data naar Power BI Service. Hier zijn er verschillende opties per connectietype:
Met Scheduled Refresh kan de data automatisch worden ververst en opgeslagen op de Power BI Service.
Om Scheduled Refresh in te stellen, gebruik je ook een gebruiker van het bronsysteem. Hier gebruik je vaak een service user met algemene datarestrictie. Als er ná het laden van de data nog verdere datarestrictie nodig is, kun je Row Level Security (RLS) instellen op de dataset. Deze beveiliging is dan toegepast op alle rapporten die worden gebouwd op die dataset.
Met DirectQuery wordt de data bij elke interactie met het rapport opnieuw opgehaald uit de databron. Dit kan ook via een service user en RLS op de dataset. Daarnaast is het mogelijk om SSO in te stellen via Kerberos, zodat gebruikers via hun eigen SAP-credentials data ophalen uit de bron.
Bij het opzetten van de autorisatie is het als eerste belangrijk om, naast naar de dataset te kijken, te weten wie de eigenaar van de data is. Voor gevoelige data, bijvoorbeeld AVG gerelateerde HR-data, is het belangrijk dat deze goed wordt afgeschermd. Hier is de best practice om een DirectQuery te gebruiken zodat de autorisatie vanuit de onderliggende bron meegenomen wordt. Hier zitten vaak specifieke autorisaties op, bijvoorbeeld op kostenplaats/afdeling & functie, en deze kan je het beste onderhouden in de bron. Let wel: met DirectQuery kan je alleen verbinding maken met 1 query.
Wanneer de data minder gevoelig is en de wens is om meerdere bronnen te ontsluiten, dan is de best practice om gebruik te maken van data import. Dan kan je gebruik maken van functionaliteiten in het PowerBI-model welke niet beschikbaar zijn als je een direct query gebruikt. Om de data per (sales) afdeling/company code/bedrijfsnummer in te perken stel je de RLS in op de dataset en maak je daar rollen voor in Power BI. Dit kan je ook afvangen door het inperken van de service user en dan meerdere datasets te maken. Het nadeel hiervan is dat je dan een veelvoud van je rapporten kan krijgen als je bijvoorbeeld sales rapporten per afdeling wilt splitsen
Er is veel te leren over Power BI op SAP! SAC- en Power BI-rapporten kunt verbinden met SAP HANA en SAP BW? Lees het in deze blog, of bekijk de McCoy TV-aflevering. Dashboards en rapporten maken met Power BI? Bekijk ons webinar. Voor antwoord op al je vragen, kun je uiteraard kun je ook direct contact opnemen met Wessel.