Cuando conectas aplicaciones de terceros o flujos de trabajo automatizados a un entorno de SAP S/4HANA® Cloud, Private Edition, crear un usuario técnico y configurar los permisos de seguridad adecuados es un primer paso fundamental. Para permitir que una aplicación externa acceda a tus datos de forma segura, debes configurar un rol de seguridad específico que conceda acceso a determinadas API.
Fase 1: Creación del usuario técnico (transacción SU01)
Antes de configurar los permisos, crea una cuenta de usuario específica que la aplicación externa utilizará para autenticarse. En SAP, las integraciones siempre deben utilizar un usuario técnico (de tipo Sistema o Comunicación) en lugar de un usuario de diálogo.
Abre la transacción
SU01en tu sistema SAP.Introduce un nombre técnico descriptivo para el usuario de integración (por ejemplo,
INT_FIN_API) y haz clic en el icono Crear (el botón con una página en blanco).En la pestaña Dirección, rellena los campos obligatorios (Apellidos y Descripción) para indicar a qué se conecta este usuario.
Pasa a la pestaña Datos de acceso y configura los siguientes ajustes críticos:
Tipo de usuario: Diálogo.
Contraseña: asigna una contraseña segura y compleja.
Configurar el tipo como Sistema o Comunicación garantiza que una persona no pueda utilizar la cuenta para iniciar sesión de forma interactiva en la interfaz gráfica de SAP GUI. Además, excluye la contraseña de las políticas estándar de caducidad de usuarios, lo que evita que la integración en producción deje de funcionar debido a un restablecimiento obligatorio de la contraseña.
Fase 2: Creación del rol técnico (transacción PFCG)
Con la cuenta de usuario lista, crea un contenedor de seguridad personalizado (un único rol) para almacenar los servicios técnicos de las API y las restricciones de acceso a los datos.
Abre la transacción
PFCG.Introduce un nombre de rol único en el campo Rol siguiendo la convención de nomenclatura de tu empresa (por ejemplo,
Z_FI_API_INTEGRATION_GATEWAY).Haz clic en el botón Rol único para iniciar el proceso de creación.
En el campo Descripción, escribe un breve resumen de la función de este rol (por ejemplo, Contiene autorizaciones OData V2/V4 para el acceso mediante API a datos financieros y datos maestros).
Haz clic en Guardar.
Una vez guardado, se habilitan las pestañas Menú, Autorizaciones y Usuario, lo que te permite asignar las API específicas de la lista de inventario.
Fase 3: Configuración del rol técnico (transacción PFCG)
Tipos de API de SAP
SAP utiliza varios marcos de trabajo para gestionar los datos, y cada uno se autoriza de forma ligeramente diferente en el backend del sistema:
Servicios OData V2 estándar (
IWSV): el marco tradicional para las API de SAP. Cada servicio se añade de forma individual a un rol de seguridad.Grupos de servicios OData V2 (
IWSG): una forma moderna de agrupar varias API V2. Esto facilita el enrutamiento y la gestión centralizada.Servicios OData V4 (
G4BA): API de nueva generación y alto rendimiento. Utilizan un modelo de autorización más reciente dentro del motor de seguridad de SAP.Servicios web SOAP (
WS): operaciones que suelen utilizarse para el procesamiento de transacciones o grandes volúmenes de datos, como la contabilización de documentos financieros o el procesamiento de extractos bancarios. Estos servicios se añaden mediante la arquitectura heredada de servicios web.Catálogos de SAP Fiori Launchpad: contenedores estructurales que agrupan aplicaciones empresariales. Incluso para algunos usuarios de integración puramente técnicos, es necesario asignar catálogos específicos para transmitir el contexto subyacente a nivel de aplicación y superar las comprobaciones de procesamiento.
Lista maestra de autorizaciones API
A continuación, se muestra el inventario completo de los servicios necesarios para un rol de integración de datos financieros y datos maestros. Al añadirlos a la transacción PFCG de SAP, selecciona el tipo de componente correcto.
Nombre del servicio técnico | Tipo | Selección en el menú de roles de SAP |
|---|---|---|
| Grupo de servicios ( | SAP Gateway: metadatos de grupos de servicios |
| Grupo de servicios ( | SAP Gateway: metadatos de grupos de servicios |
| Grupo de servicios ( | SAP Gateway: metadatos de grupos de servicios |
| Grupo de servicios ( | SAP Gateway: metadatos de grupos de servicios |
| Grupo de servicios ( | SAP Gateway: metadatos de grupos de servicios |
| Grupo de servicios ( | SAP Gateway: metadatos de grupos de servicios |
| Grupo de servicios ( | SAP Gateway: metadatos de grupos de servicios |
| Grupo de servicios ( | SAP Gateway: metadatos de grupos de servicios |
| Grupo de servicios ( | SAP Gateway: metadatos de grupos de servicios |
| Grupo de servicios ( | SAP Gateway: metadatos de grupos de servicios |
| Grupo de servicios ( | SAP Gateway: metadatos de grupos de servicios |
| Grupo de servicios ( | SAP Gateway: metadatos de grupos de servicios |
| OData V4 ( | SAP Gateway: grupo de servicios de backend y asignaciones de OData V4 |
| OData V4 ( | SAP Gateway OData V4 Backend Service Group & Assignments |
| OData V4 ( | SAP Gateway OData V4 Backend Service Group & Assignments |
| OData V4 ( | SAP Gateway: grupo de servicios de backend y asignaciones de OData V4 |
| OData V2 ( | SAP Gateway Business Suite Enablement: servicio |
| OData V2 ( | SAP Gateway Business Suite Enablement: servicio |
| OData V2 ( | SAP Gateway Business Suite Enablement: servicio |
| OData V2 ( | SAP Gateway Business Suite Enablement: servicio |
| OData V2 ( | SAP Gateway Business Suite Enablement: servicio |
| OData V2 ( | SAP Gateway Business Suite Enablement: servicio |
| OData V2 ( | SAP Gateway Business Suite Enablement: servicio |
| OData V2 ( | SAP Gateway Business Suite Enablement: servicio |
| OData V2 ( | SAP Gateway Business Suite Enablement: servicio |
| OData V2 ( | SAP Gateway Business Suite Enablement: servicio |
| OData V2 ( | SAP Gateway Business Suite Enablement: servicio |
| OData V2 ( | SAP Gateway Business Suite Enablement: servicio |
| OData V2 ( | SAP Gateway Business Suite Enablement: servicio |
| Servicio web SOAP ( | Servicio web |
| Servicio web SOAP ( | Servicio web |
| Servicio web SOAP ( | Servicio web |
| Fiori Launchpad Catalog | SAP Fiori Launchpad > Launchpad Catalog |
| Fiori Launchpad Catalog | SAP Fiori Launchpag > Launchpad Catalog |
Guía de configuración paso a paso
Paso 1: Añadir los servicios al menú del rol
Abre la transacción
PFCG, introduce el nombre de tu rol personalizado y haz clic en Modificar.Ve a la pestaña Menú.
Haz clic en la flecha desplegable situada junto al botón Transacción y selecciona Valor predeterminado de autorización.
Utiliza la tabla anterior para asociar cada servicio con su tipo de categoría correspondiente, busca el nombre del servicio y haz clic en Copiar para añadirlo al árbol de menús del rol.
Añade el cuadro de diálogo/catálogo de Launchpad: haz clic de nuevo en la flecha del menú desplegable junto al botón Transaction, pero esta vez selecciona SAP Fiori Launchpad > Launchpad Catalog.
Asegúrate de que el Catalog Provider esté configurado como Fiori Launchpad Catalog.
Introduce el ID del catálogo en el campo Catalog ID y confirma.
Añade siempre los servicios desde esta pestaña Menú en lugar de introducir los objetos manualmente en las autorizaciones. De este modo, SAP incorpora automáticamente todas las estructuras de datos técnicas necesarias en segundo plano.
Paso 2: Conceder autorizaciones de acceso a datos empresariales
Una vez que los servicios estén en el menú, define exactamente con qué datos puede interactuar la API (por ejemplo, qué sociedades o áreas de control concretas).
Ve a la pestaña Autorizaciones y haz clic en Modificar datos de autorización (el icono del lápiz).
Haz clic en el botón Niveles organizativos situado en la parte superior de la pantalla. Introduce los valores correspondientes a tu empresa (por ejemplo, la sociedad
1010o un comodín si vas a conceder acceso a todos los campos de datos).Expande las carpetas restantes marcadas con un indicador de estado rojo. Asegúrate de completar campos como
ACTVT(actividad):Selecciona
03(Visualizar) para integraciones de solo lectura.Selecciona
01(Crear) y02(Modificar) si la interfaz necesita enviar o modificar datos.
Paso 3: Generar el perfil de seguridad
Los servicios y permisos no surtirán efecto hasta que se genera un perfil de ejecución.
Una vez que todos los indicadores de estado del árbol de autorizaciones aparezcan en verde o amarillo, ve a la barra de herramientas situada en la parte superior de la pantalla.
Haz clic en el botón Generar (el icono con un círculo rojo y blanco).
Esto convierte la configuración del rol en reglas activas del sistema.
Paso 4: Realizar una comparación de roles de usuario
El último paso garantiza que las reglas de seguridad recién actualizadas se apliquen correctamente a la cuenta de usuario utilizada para la integración.
Vuelve a la pantalla principal de
PFCGy ve a la pestaña Usuario.Asegúrate de que tu usuario de Comunicación o Sistema esté añadido a la lista de usuarios.
Si el indicador de estado de Comparación de usuarios aparece en amarillo o rojo, haz clic en el botón Comparación de usuarios situado justo encima de la tabla.
Selecciona Comparación completa en el cuadro de diálogo emergente.
Una vez que el indicador de estado se vuelve verde, la configuración estará activa y tu aplicación podrá utilizar las API.