Wenn Sie Anwendungen von Drittanbietern oder Automatisierungen mit einer SAP S/4HANA® Cloud, Private Edition-Umgebung verbinden, ist die Erstellung des technischen Benutzers und die Einrichtung der richtigen Sicherheitsberechtigungen ein entscheidender erster Schritt. Damit eine externe Anwendung sicher auf Ihre Daten zugreifen kann, müssen Sie eine spezielle Sicherheitsrolle konfigurieren, die den Zugriff auf bestimmte APIs gewährt.
Phase 1: Technischen Benutzer anlegen (Transaktion SU01)
Bevor Sie die Berechtigungen konfigurieren, legen Sie bitte ein spezielles Konto an, das die externe Anwendung zur Authentifizierung verwendet. In SAP müssen Integrationen stets einen technischen Benutzer (entweder vom Benutzertyp System oder Kommunikation) anstelle eines Dialogbenutzers verwenden.
Starten Sie die Transaktion
SU01in Ihrem SAP-System.Geben Sie einen eindeutigen technischen Namen für Ihren Integrationsbenutzer ein (z. B.
INT_FIN_API) und klicken Sie auf das Symbol Erstellen (die Schaltfläche mit der leeren Seite).Füllen Sie auf der Registerkarte Adresse die erforderlichen Felder (Nachname und Beschreibung) aus, um anzugeben, mit wem dieser Benutzer verbunden ist.
Wechseln Sie zur Registerkarte Anmeldedaten und nehmen Sie die folgenden wichtigen Einstellungen vor:
Benutzertyp: Dialog.
Passwort: Vergeben Sie ein sicheres, komplexes Passwort.
Wenn Sie den Typ auf „System“ oder „Kommunikation“ setzen, wird sichergestellt, dass sich keine Person mit diesem Konto interaktiv bei der SAP-GUI anmelden kann. Außerdem wird das Passwort von den standardmäßigen Bestimmungen zum Ablauf von Benutzerpasswörtern ausgenommen, wodurch verhindert wird, dass Ihre Live-Produktionsintegration aufgrund eines erzwungenen Passwort-Reset-Zyklus unterbrochen wird.
Phase 2: Technische Rolle anlegen (Transaktion PFCG)
Nachdem das Benutzerkonto eingerichtet ist, erstellen Sie einen benutzerdefinierten Sicherheitscontainer (eine einzelne Rolle), um die technischen API-Dienste und Datenbeschränkungen zu verwalten.
Starten Sie die Transaktion
PFCG.Geben Sie im Feld Rolle einen eindeutigen Rollennamen ein, der der Namenskonvention Ihres Unternehmens entspricht (z. B.:
Z_FI_API_INTEGRATION_GATEWAY).Klicken Sie auf die Schaltfläche Einzelrolle, um den Erstellungsprozess zu starten.
Geben Sie im Feld Beschreibung eine kurze Zusammenfassung der Aufgaben dieser Rolle ein (z. B. „Umfasst OData V2/V4-Berechtigungen für den Zugriff auf Finanz- und Stammdaten-APIs“).
Klicken Sie auf Speichern.
Nach dem Speichern werden die Registerkarten Menü, Berechtigungen und Benutzer freigeschaltet, sodass Sie die entsprechenden APIs aus der Bestandsliste zuweisen können.
Phase 3: Technische Rolle einrichten (Transaktion PFCG)
SAP-API-Typen verstehen
SAP nutzt verschiedene Frameworks zur Datenverarbeitung, die im System-Backend jeweils etwas unterschiedlich autorisiert sind:
Standard-OData-V2-Dienste (
IWSV): das traditionelle Framework für SAP-APIs. Jeder Dienst wird einzeln zu einer Sicherheitsrolle hinzugefügt.OData V2-Dienstgruppen (
IWSG): eine moderne Methode, mehrere V2-APIs zu bündeln. Dies ermöglicht eine einfachere Weiterleitung und eine zentralisierte Verwaltung.OData V4-Dienste (
G4BA): Hochleistungs-APIs der nächsten Generation. Diese nutzen ein neueres Autorisierungsmodell innerhalb der SAP-Sicherheitsengine.SOAP-Webdienste (
WS): Prozesse, die typischerweise für die transaktionale oder die Massenverarbeitung von Daten verwendet werden, wie beispielsweise das Buchen von Finanzbelegen oder die Verarbeitung von Kontoauszügen. Diese werden über die bestehende Webdienstarchitektur hinzugefügt.SAP Fiori Launchpad-Kataloge: strukturelle Container, die Geschäftsanwendungen bündeln. Selbst für bestimmte rein technische Integrationsbenutzer ist die Zuweisung bestimmter Kataloge erforderlich, um den zugrunde liegenden Kontext auf Anwendungsebene zu übergeben und die Verarbeitungsprüfungen zu bestehen.
Master-Liste der API-Autorisierungen
Nachstehend finden Sie eine vollständige Auflistung der Dienste, die für eine umfassende Rolle im Bereich der Finanz- und Stammdatenintegration erforderlich sind. Wenn Sie diese zur SAP-Transaktion PFCG hinzufügen, wählen Sie bitte den richtigen Komponententyp aus.
Bezeichnung des technischen Dienstes | Typ | Auswahl im SAP-Rollenmenü |
|---|---|---|
| Dienstgruppe | SAP Gateway: Metadaten zu Dienstgruppen |
| Dienstgruppe | SAP Gateway: Metadaten zu Dienstgruppen |
| Dienstgruppe | SAP Gateway: Metadaten zu Dienstgruppen |
| Dienstgruppe | SAP Gateway: Metadaten zu Dienstgruppen |
| Dienstgruppe | SAP Gateway: Metadaten zu Dienstgruppen |
| Dienstgruppe | SAP Gateway: Metadaten zu Dienstgruppen |
| Dienstgruppe | SAP Gateway: Metadaten zu Dienstgruppen |
| Dienstgruppe | SAP Gateway: Metadaten zu Dienstgruppen |
| Dienstgruppe | SAP Gateway: Metadaten zu Dienstgruppen |
| Dienstgruppe | SAP Gateway: Metadaten zu Dienstgruppen |
| Dienstgruppe | SAP Gateway: Metadaten zu Dienstgruppen |
| Dienstgruppe | SAP Gateway: Metadaten zu Dienstgruppen |
| OData V4 ( | SAP Gateway OData V4 – Backend-Dienstgruppe und Zuordnungen |
| OData V4 ( | SAP Gateway OData V4 Backend Service Group & Assignments |
| OData V4 ( | SAP Gateway OData V4 Backend Service Group & Assignments |
| OData V4 ( | SAP Gateway OData V4 – Backend-Dienstgruppe und Zuordnungen |
| OData V2 ( | SAP Gateway Business Suite-Implementierung – Dienst |
| OData V2 ( | SAP Gateway Business Suite-Implementierung – Dienst |
| OData V2 ( | SAP Gateway Business Suite-Implementierung – Dienst |
| OData V2 ( | SAP Gateway Business Suite-Implementierung – Dienst |
| OData V2 ( | SAP Gateway Business Suite-Implementierung – Dienst |
| OData V2 ( | SAP Gateway Business Suite-Implementierung – Dienst |
| OData V2 ( | SAP Gateway Business Suite-Implementierung – Dienst |
| OData V2 ( | SAP Gateway Business Suite-Implementierung – Dienst |
| OData V2 ( | SAP Gateway Business Suite-Implementierung – Dienst |
| OData V2 ( | SAP Gateway Business Suite-Implementierung – Dienst |
| OData V2 ( | SAP Gateway Business Suite-Implementierung – Dienst |
| OData V2 ( | SAP Gateway Business Suite-Implementierung – Dienst |
| OData V2 ( | SAP Gateway Business Suite-Implementierung – Dienst |
| SOAP-Webdienst ( | WebService |
| SOAP-Webdienst ( | WebService |
| SOAP-Webdienst ( | WebService |
| Fiori Launchpad Catalog | SAP Fiori Launchpad > Launchpad Catalog |
| Fiori Launchpad Catalog | SAP Fiori Launchpag > Launchpad Catalog |

Schritt-für-Schritt-Anleitung zur Einrichtung
Schritt 1: Dienste zum Rollenmenü hinzufügen
Öffnen Sie die Transaktion
PFCG, geben Sie den Namen Ihrer benutzerdefinierten Rolle ein und klicken Sie auf Ändern.Gehen Sie auf die Registerkarte Menü.
Klicken Sie auf den Dropdown-Pfeil neben der Schaltfläche Transaktion und wählen Sie Autorisierungsstandard.
Verwenden Sie die obige Tabelle, um jeden Dienst der richtigen Kategorie zuzuordnen. Suchen Sie nach dem Namen des Dienstes und klicken Sie auf Kopieren, um ihn zu Ihrer Rollenmenüstruktur hinzuzufügen.
Launchpad-Dialog/Katalog hinzufügen: Klicken Sie erneut auf den Dropdown-Pfeil neben der Schaltfläche Transaction, wählen Sie diesmal jedoch SAP Fiori Launchpad > Launchpad Catalog.
Stellen Sie sicher, dass der Catalog Provider auf Fiori Launchpad Catalog eingestellt ist.
Geben Sie die Katalog-ID in das Feld Catalog ID ein und bestätigen Sie.
Fügen Sie Dienste immer über diese Registerkarte Menü hinzu, anstatt Objekte manuell in die Berechtigungen einzugeben. Dadurch wird SAP dazu veranlasst, alle erforderlichen technischen Datenstrukturen automatisch im Hintergrund zu übernehmen.
Schritt 2: Berechtigungen für Geschäftsdaten erteilen
Sobald die Dienste im Menü aufgeführt sind, legen Sie genau fest, auf welche Daten die API zugreifen darf (beispielsweise auf welche Buchungskreise oder Kostenrechnungskreise).
Wechseln Sie zur Registerkarte Berechtigungen und klicken Sie auf Berechtigungsdaten ändern (das Bleistiftsymbol).
Klicken Sie auf die Schaltfläche Organisationsebenen am oberen Rand des Bildschirms. Geben Sie die Zielwerte Ihres Unternehmens ein (z. B. Buchungskreis
1010oder einen Platzhalter, wenn Sie Zugriff auf alle Datenfelder gewähren).Erweitern Sie alle verbleibenden Ordner, die mit einer roten Statusanzeige gekennzeichnet sind. Stellen Sie sicher, dass Felder wie
ACTVT(Aktivität) erhalten bleiben:Wählen Sie
03(Anzeigen) für schreibgeschützte Integrationen.Wählen Sie
01(Erstellen) und02(Ändern), wenn die Schnittstelle Daten übertragen oder ändern muss.
Schritt 3: Sicherheitsprofil erstellen
Die Dienste und Berechtigungen werden erst nach der Erstellung eines Laufzeitprofils wirksam.
Sobald alle Statusanzeigen in Ihrem Berechtigungsbaum grün oder gelb leuchten, schauen Sie in die obere Symbolleiste.
Klicken Sie auf die Schaltfläche Erstellen (das rot-weiße Kreissymbol).
Dadurch wird die Rollenkonfiguration in aktive Systemregeln umgewandelt.
Schritt 4: Benutzerrollenvergleich durchführen
Der letzte Schritt stellt sicher, dass Ihre neu aktualisierten Sicherheitsregeln sicher auf Ihr Integrationsbenutzerkonto übertragen werden.
Kehren Sie zum Hauptbildschirm von
PFCGzurück und wechseln Sie zur Registerkarte Benutzer.Vergewissern Sie sich, dass Ihr Kommunikations- oder Systembenutzer in die Benutzerliste aufgenommen wurde.
Wenn die Statusanzeige für den Benutzervergleich gelb oder rot leuchtet, klicken Sie auf die Schaltfläche Benutzervergleich direkt über dem Raster.
Wählen Sie im Popup-Dialog die Option Vollständiger Vergleich.
Sobald die Statusanzeige grün leuchtet, ist die Konfiguration aktiv und Ihre Anwendung kann nun die APIs aufrufen.