Собственно ситуация следующая:
Есть пользователи, которые работают в BPC. Консультанты при настройке системы подняли роль SAP_BPC_SERVICE т.к. у пользователей не было доступа куда-то там.
Сейчас в BW созданы аналитические отчеты, доступ к которым разграничивается по Активу.

Но вдруг выясняется, что пользователь может видеть все активы.
Полез в роль, увидел там следующее:


Отключил его... пошли жалобы от пользователей, что они не могут запускать какие-то там пакеты в своей BPC (я отвечаю за отчеты в BW и BPC для меня темный лес).

Собственно появились у меня вопросы по этому поводу:

1. Если в роль добавляю полномочие:
К чему оно дает доступ?
Ко всем тем полномочиям на анализ, которые были созданы мною руками в RSECADMIN и все? Или существуют еще какие-то полномочия?
Дело в том, что когда я вместо 0BI_ALL пытаюсь добавить другое полномочие и использую поиск, то вижу только те полномочия, которые были созданы вручную и никаких других. Все эти полномочия (созданные вручную) дают доступ исключительно к BW-шным объектам и в дальнейшем используются именно в BW-шных ролях для отчетов. Как они могут быть связаны с объектами BPC и на что-то там влиять?

2. Что это вообще за роль такая SAP_BPC_SERVICE и какого черта в ней делает это полномочие?

Посмотрите ноту 1610249 - Enhance BPC security by removing unecessary BI Authorization


"Reference role for BPC service user"

[quote="Air_demon"]Посмотрите ноту 1610249 - Enhance BPC security by removing unecessary BI Authorization
Благодарю. Почитал. Получается, что эта нота просто удаляет полномочия 0BI_ALL у в ролях BPC, так?

Насколько я понял, там идет не замена полномочий 0BI_ALL на более "узкие".

советую серьёзно поговорить с базисом и бпс-командой об обновлении спмбпс800 мин до 11 патча + критичных нот из 12 и 13

А что это нам даст?
Позволит избавиться от необходимости использовать эту роль для них?