在本博客中，我将向您展示一种基于同一维度中的两个不同层次结构实现矩阵安全性的可能方法。

我将特别介绍如何使用BPC的业务外接程序（BADI）来增强标准安全模型：

许多组织使用一个具有两条报告线的组级矩阵，按地理位置和位置划分功能。因此，在我们的BPC实体维度中，将有一个地理层次视图和一个功能层次视图。

例如：我们可以考虑一家在欧洲和美国经营的电脑零售商公司，在个人电脑上销售和提供帮助。

在我们的利润中心维度中，我们可以用两种不同的方法来描述这一点层次结构：

a.公司利润中心向其所在地区报告的地理层次结构

b.公司利润中心向其职能部门报告的职能层次结构

如果我们需要欧洲销售经理的角色，我们不会为他提供任何可用的总节点，因为他只需要访问中突出显示的节点浅蓝色。

标准模型能够覆盖大多数可能的场景，我们可以在不同的方法之间进行选择。

b.更新维度以合并两个层次结构：在我们的示例中，这意味着为欧洲销售和美国销售创建新的节点。

c.将第二个层次结构放在不同的位置维度：第一层次（通常是地理层次）保留在实体维度中，但是第二个（功能）被移动到一个用户定义的维度。

因此在我们的示例中，我们将不得不在2个维度中复制利润中心bas成员，然后构建我们的2个层次结构。

灰色显示的成员将被限制为在数据访问配置文件中使用"拒绝"规则的欧洲销售经理。

我们将需要一个自定义解决方案，如果我们有一个大的实体维度，在两个层次中有许多不同的层次节点。

在本节中，我假设您已经有信心创建BADI并为BPC编写ABAP。

如前所述，我还假设我们有一个实体维度，云服务器怎么用，有数千个成员，两个层次结构之间有许多不同的层次结构。

如引言中所述，我希望为两个成员交叉点中不可见的每个成员动态生成一个拒绝规则。

例如：将授予访问欧洲和欧洲的权限PC销售和badi将自动添加拒绝规则，用于欧洲PC服务和美国商务销售，用户将只能看到：

在动态DAP badi实现中，我将维护一个过滤器，以便仅为需要层次矩阵安全性的配置文件ID激活增强功能。

例如，在实现类中

ENVIRONMENT=SALES\u PC

profile\u ID=GEO\u FUNC\u user（动态数据访问配置文件ID）

，我将调用该方法来生成拒绝规则。

按照这种方法，只有以entfunc开头的配置文件ID将应用新规则；所有其他ID将应用标准行为。

在我们的示例中，"ct\u access"内部表将已经包含数据访问配置文件中定义的成员访问规则将包括：

在"排除方法"中，我们必须添加拒绝规则，云服务器买，以便只允许访问两个层次结构中可见的bas成员的交集。

对于每个访问规则，淘客商城，我将执行以下步骤：

总数，显示在BPC报告中，将仍然包括拒绝成员的值：因此我们需要使用共享查询Badi重新计算它们。

在Badi的筛选器中，我们只能指定环境和模型；因此，在ABAP中，我们将不得不强制badi仅适用于具有以分配的\u entd \u FUNC开始的数据访问配置文件的用户。

因此，在方法IF UJQ \u SQE \u POST \u PROCESS ~ POST \u PROCESS中，您将发现用户是否具有层次安全矩阵数据访问配置文件，并为此类配置文件执行不同的逻辑用户

后处理方法将执行一次额外的读取，产业云，以获取被拒绝成员的值，然后从总数中删除该值。下面是详细的步骤：

我想举一个SAP BPC作为一个计划工具提供的灵活性的例子，它为您提供了实现上述复杂场景的可能性。

作为一个工具，它提供了很多方法来达到业务需求，啥叫人工智能，解决方案架构师可以选择合适的方法在可用性、性能和维护成本方面达到最佳效果。