Documentation Index

Fetch the complete documentation index at: https://payhawk.document360.io/llms.txt

Use this file to discover all available pages before exploring further.

Technischen Benutzer in SAP S/4HANA Cloud, Private Edition, anlegen

Prev Next

Wenn Sie Anwendungen von Drittanbietern oder Automatisierungen mit einer SAP S/4HANA® Cloud, Private Edition-Umgebung verbinden, ist die Erstellung des technischen Benutzers und die Einrichtung der richtigen Sicherheitsberechtigungen ein entscheidender erster Schritt. Damit eine externe Anwendung sicher auf Ihre Daten zugreifen kann, müssen Sie eine spezielle Sicherheitsrolle konfigurieren, die den Zugriff auf bestimmte APIs gewährt.

Phase 1: Technischen Benutzer anlegen (Transaktion SU01)

Bevor Sie die Berechtigungen konfigurieren, legen Sie bitte ein spezielles Konto an, das die externe Anwendung zur Authentifizierung verwendet. In SAP müssen Integrationen stets einen technischen Benutzer (entweder vom Benutzertyp System oder Kommunikation) anstelle eines Dialogbenutzers verwenden.

  1. Starten Sie die Transaktion SU01 in Ihrem SAP-System.

  2. Geben Sie einen eindeutigen technischen Namen für Ihren Integrationsbenutzer ein (z. B. INT_FIN_API) und klicken Sie auf das Symbol Erstellen (die Schaltfläche mit der leeren Seite).

  3. Füllen Sie auf der Registerkarte Adresse die erforderlichen Felder (Nachname und Beschreibung) aus, um anzugeben, mit wem dieser Benutzer verbunden ist.

  4. Wechseln Sie zur Registerkarte Anmeldedaten und nehmen Sie die folgenden wichtigen Einstellungen vor:

    • Benutzertyp: Dialog.

    • Passwort: Vergeben Sie ein sicheres, komplexes Passwort.

Wenn Sie den Typ auf „System“ oder „Kommunikation“ setzen, wird sichergestellt, dass sich keine Person mit diesem Konto interaktiv bei der SAP-GUI anmelden kann. Außerdem wird das Passwort von den standardmäßigen Bestimmungen zum Ablauf von Benutzerpasswörtern ausgenommen, wodurch verhindert wird, dass Ihre Live-Produktionsintegration aufgrund eines erzwungenen Passwort-Reset-Zyklus unterbrochen wird.

Phase 2: Technische Rolle anlegen (Transaktion PFCG)

Nachdem das Benutzerkonto eingerichtet ist, erstellen Sie einen benutzerdefinierten Sicherheitscontainer (eine einzelne Rolle), um die technischen API-Dienste und Datenbeschränkungen zu verwalten.

  1. Starten Sie die Transaktion PFCG.

  2. Geben Sie im Feld Rolle einen eindeutigen Rollennamen ein, der der Namenskonvention Ihres Unternehmens entspricht (z. B.: Z_FI_API_INTEGRATION_GATEWAY).

  3. Klicken Sie auf die Schaltfläche Einzelrolle, um den Erstellungsprozess zu starten.

  4. Geben Sie im Feld Beschreibung eine kurze Zusammenfassung der Aufgaben dieser Rolle ein (z. B. „Umfasst OData V2/V4-Berechtigungen für den Zugriff auf Finanz- und Stammdaten-APIs“).

  5. Klicken Sie auf Speichern.

Nach dem Speichern werden die Registerkarten Menü, Berechtigungen und Benutzer freigeschaltet, sodass Sie die entsprechenden APIs aus der Bestandsliste zuweisen können.

Phase 3: Technische Rolle einrichten (Transaktion PFCG)

SAP-API-Typen verstehen

SAP nutzt verschiedene Frameworks zur Datenverarbeitung, die im System-Backend jeweils etwas unterschiedlich autorisiert sind:

  • Standard-OData-V2-Dienste (IWSV): das traditionelle Framework für SAP-APIs. Jeder Dienst wird einzeln zu einer Sicherheitsrolle hinzugefügt.

  • OData V2-Dienstgruppen (IWSG): eine moderne Methode, mehrere V2-APIs zu bündeln. Dies ermöglicht eine einfachere Weiterleitung und eine zentralisierte Verwaltung.

  • OData V4-Dienste (G4BA): Hochleistungs-APIs der nächsten Generation. Diese nutzen ein neueres Autorisierungsmodell innerhalb der SAP-Sicherheitsengine.

  • SOAP-Webdienste (WS): Prozesse, die typischerweise für die transaktionale oder die Massenverarbeitung von Daten verwendet werden, wie beispielsweise das Buchen von Finanzbelegen oder die Verarbeitung von Kontoauszügen. Diese werden über die bestehende Webdienstarchitektur hinzugefügt.

  • SAP Fiori Launchpad-Kataloge: strukturelle Container, die Geschäftsanwendungen bündeln. Selbst für bestimmte rein technische Integrationsbenutzer ist die Zuweisung bestimmter Kataloge erforderlich, um den zugrunde liegenden Kontext auf Anwendungsebene zu übergeben und die Verarbeitungsprüfungen zu bestehen.

Master-Liste der API-Autorisierungen

Nachstehend finden Sie eine vollständige Auflistung der Dienste, die für eine umfassende Rolle im Bereich der Finanz- und Stammdatenintegration erforderlich sind. Wenn Sie diese zur SAP-Transaktion PFCG hinzufügen, wählen Sie bitte den richtigen Komponententyp aus.

Bezeichnung des technischen Dienstes

Typ

Auswahl im SAP-Rollenmenü

ZAPI_COSTCENTER_SRV_0001

Dienstgruppe(IWSG)

SAP Gateway: Metadaten zu Dienstgruppen

ZAPI_INTERNALORDER_SRV_0001

Dienstgruppe(IWSG)

SAP Gateway: Metadaten zu Dienstgruppen

ZAPI_PROFITCENTER_SRV_0001

Dienstgruppe(IWSG)

SAP Gateway: Metadaten zu Dienstgruppen

ZAPI_BUSINESS_PARTNER_0001

Dienstgruppe(IWSG)

SAP Gateway: Metadaten zu Dienstgruppen

ZAPI_FINWBSELEMENT_SRV_0001

Dienstgruppe(IWSG)

SAP Gateway: Metadaten zu Dienstgruppen

ZAPI_COMPANYCODE_SRV_0001

Dienstgruppe(IWSG)

SAP Gateway: Metadaten zu Dienstgruppen

ZAPI_SUPPLIERINVOICE_PROCESS_SRV

Dienstgruppe(IWSG)

SAP Gateway: Metadaten zu Dienstgruppen

ZAPI_CHARTOFACCOUNTS_SRV

Dienstgruppe(IWSG)

SAP Gateway: Metadaten zu Dienstgruppen

ZAPI_CV_ATTACHMENT_SRV

Dienstgruppe(IWSG)

SAP Gateway: Metadaten zu Dienstgruppen

ZAPI_ENTERPRISE_PROJECT_SRV

Dienstgruppe(IWSG)

SAP Gateway: Metadaten zu Dienstgruppen

ZAPI_GLACCOUNTINCHARTOFACCOUNTS_SRV

Dienstgruppe(IWSG)

SAP Gateway: Metadaten zu Dienstgruppen

ZAPI_OPLACCTGDOCITEMCUBE_SRV

Dienstgruppe(IWSG)

SAP Gateway: Metadaten zu Dienstgruppen

API_COST_CENTER

OData V4 (G4BA)

SAP Gateway OData V4 – Backend-Dienstgruppe und Zuordnungen

Z_TAXCODE_SB

OData V4 (G4BA)

SAP Gateway OData V4 Backend Service Group & Assignments

Z_BANK_ACCOUNT_SB

OData V4 (G4BA)

SAP Gateway OData V4 Backend Service Group & Assignments

Z_GLACCOUNT_SB

OData V4 (G4BA)

SAP Gateway OData V4 – Backend-Dienstgruppe und Zuordnungen

API_BUSINESS_PARTNER

OData V2 (IWSV)

SAP Gateway Business Suite-Implementierung – Dienst

API_CHARTOFACCOUNTS_SRV

OData V2 (IWSV)

SAP Gateway Business Suite-Implementierung – Dienst

API_CN_BANK_RECONCILIAITON_SRV

OData V2 (IWSV)

SAP Gateway Business Suite-Implementierung – Dienst

API_COMPANYCODE_SRV

OData V2 (IWSV)

SAP Gateway Business Suite-Implementierung – Dienst

API_COSTCENTER_SRV

OData V2 (IWSV)

SAP Gateway Business Suite-Implementierung – Dienst

API_CV_ATTACHMENT_SRV

OData V2 (IWSV)

SAP Gateway Business Suite-Implementierung – Dienst

API_ENTERPRISE_PROJECT_SRV

OData V2 (IWSV)

SAP Gateway Business Suite-Implementierung – Dienst

API_FINWBSELEMENT_SRV

OData V2 (IWSV)

SAP Gateway Business Suite-Implementierung – Dienst

API_GLACCOUNTINCHARTOFACCOUNTS_SRV

OData V2 (IWSV)

SAP Gateway Business Suite-Implementierung – Dienst

API_INTERNALORDER_SRV

OData V2 (IWSV)

SAP Gateway Business Suite-Implementierung – Dienst

API_OPLACCTGDOCITEMCUBE_SRV

OData V2 (IWSV)

SAP Gateway Business Suite-Implementierung – Dienst

API_PROFITCENTER_SRV

OData V2 (IWSV)

SAP Gateway Business Suite-Implementierung – Dienst

API_SUPPLIERINVOICE_PROCESS_SRV

OData V2 (IWSV)

SAP Gateway Business Suite-Implementierung – Dienst

JOURNALENTRYBULKCLEARINGREQUES

SOAP-Webdienst (WS)

WebService

JOURNALENTRYBULKCREATEREQUEST

SOAP-Webdienst (WS)

WebService

BANKSTATEMENTPOST_IN

SOAP-Webdienst (WS)

WebService

SAP_PRC_BC_INVOICER

Fiori Launchpad Catalog

SAP Fiori Launchpad > Launchpad Catalog

SAP_SFIN_BC_GL_JE_PROC

Fiori Launchpad Catalog

SAP Fiori Launchpag > Launchpad Catalog

Liste der SAP-Rollen und -Services für die Finanzverarbeitung und das Rechnungsmanagement.

Schritt-für-Schritt-Anleitung zur Einrichtung

Schritt 1: Dienste zum Rollenmenü hinzufügen

  1. Öffnen Sie die Transaktion PFCG, geben Sie den Namen Ihrer benutzerdefinierten Rolle ein und klicken Sie auf Ändern.

  2. Gehen Sie auf die Registerkarte Menü.

  3. Klicken Sie auf den Dropdown-Pfeil neben der Schaltfläche Transaktion und wählen Sie Autorisierungsstandard.

  4. Verwenden Sie die obige Tabelle, um jeden Dienst der richtigen Kategorie zuzuordnen. Suchen Sie nach dem Namen des Dienstes und klicken Sie auf Kopieren, um ihn zu Ihrer Rollenmenüstruktur hinzuzufügen.

  5. Launchpad-Dialog/Katalog hinzufügen: Klicken Sie erneut auf den Dropdown-Pfeil neben der Schaltfläche Transaction, wählen Sie diesmal jedoch SAP Fiori Launchpad > Launchpad Catalog.

    • Stellen Sie sicher, dass der Catalog Provider auf Fiori Launchpad Catalog eingestellt ist.

    • Geben Sie die Katalog-ID in das Feld Catalog ID ein und bestätigen Sie.

Fügen Sie Dienste immer über diese Registerkarte Menü hinzu, anstatt Objekte manuell in die Berechtigungen einzugeben. Dadurch wird SAP dazu veranlasst, alle erforderlichen technischen Datenstrukturen automatisch im Hintergrund zu übernehmen.

Schritt 2: Berechtigungen für Geschäftsdaten erteilen

Sobald die Dienste im Menü aufgeführt sind, legen Sie genau fest, auf welche Daten die API zugreifen darf (beispielsweise auf welche Buchungskreise oder Kostenrechnungskreise).

  1. Wechseln Sie zur Registerkarte Berechtigungen und klicken Sie auf Berechtigungsdaten ändern (das Bleistiftsymbol).

  2. Klicken Sie auf die Schaltfläche Organisationsebenen am oberen Rand des Bildschirms. Geben Sie die Zielwerte Ihres Unternehmens ein (z. B. Buchungskreis 1010 oder einen Platzhalter, wenn Sie Zugriff auf alle Datenfelder gewähren).

  3. Erweitern Sie alle verbleibenden Ordner, die mit einer roten Statusanzeige gekennzeichnet sind. Stellen Sie sicher, dass Felder wie ACTVT (Aktivität) erhalten bleiben:

    • Wählen Sie 03 (Anzeigen) für schreibgeschützte Integrationen.

    • Wählen Sie 01 (Erstellen) und 02 (Ändern), wenn die Schnittstelle Daten übertragen oder ändern muss.

Schritt 3: Sicherheitsprofil erstellen

Die Dienste und Berechtigungen werden erst nach der Erstellung eines Laufzeitprofils wirksam.

  1. Sobald alle Statusanzeigen in Ihrem Berechtigungsbaum grün oder gelb leuchten, schauen Sie in die obere Symbolleiste.

  2. Klicken Sie auf die Schaltfläche Erstellen (das rot-weiße Kreissymbol).

  3. Dadurch wird die Rollenkonfiguration in aktive Systemregeln umgewandelt.

Schritt 4: Benutzerrollenvergleich durchführen

Der letzte Schritt stellt sicher, dass Ihre neu aktualisierten Sicherheitsregeln sicher auf Ihr Integrationsbenutzerkonto übertragen werden.

  1. Kehren Sie zum Hauptbildschirm von PFCG zurück und wechseln Sie zur Registerkarte Benutzer.

  2. Vergewissern Sie sich, dass Ihr Kommunikations- oder Systembenutzer in die Benutzerliste aufgenommen wurde.

  3. Wenn die Statusanzeige für den Benutzervergleich gelb oder rot leuchtet, klicken Sie auf die Schaltfläche Benutzervergleich direkt über dem Raster.

  4. Wählen Sie im Popup-Dialog die Option Vollständiger Vergleich.

  5. Sobald die Statusanzeige grün leuchtet, ist die Konfiguration aktiv und Ihre Anwendung kann nun die APIs aufrufen.

Nächste Schritte