Lorsque vous connectez des applications tierces ou des workflows automatisés à un environnement SAP S/4HANA® Cloud, Private Edition, la création de l'utilisateur technique et la mise en place des autorisations de sécurité adéquates constituent une première étape cruciale. Pour permettre à une application externe d'accéder à vos données en toute sécurité, vous devez configurer un rôle de sécurité dédié qui donne accès à des API spécifiques.
Phase 1 : Création de l'utilisateur technique (transaction SU01)
Avant de configurer les autorisations, créez un compte utilisateur dédié que l'application externe utilisera pour s'authentifier. Dans SAP, les intégrations doivent toujours utiliser un utilisateur technique (soit un type d'utilisateur Système ou Communication ) plutôt qu'un utilisateur de dialogue.
Lancez la transaction
SU01dans votre système SAP.Saisissez un nom technique clair pour votre utilisateur d'intégration (par exemple,
INT_FIN_API) et cliquez sur l'icône Créer (le bouton de la page blanche).Dans l'onglet Adresse, remplissez les champs obligatoires (Nom de famille et Description) pour indiquer à quoi cet utilisateur se connecte.
Passez à l'onglet Données de connexion et maintenez les paramètres critiques suivants :
Type d'utilisateur : Dialogue.
Mot de passe : attribuez un mot de passe sûr et complexe.
En définissant le type sur Système ou Communication, vous vous assurez que le compte ne peut pas être utilisé par une personne pour se connecter à l'interface utilisateur graphique SAP de manière interactive. Il exempte également le mot de passe des politiques standard d'expiration des utilisateurs, évitant ainsi que l'intégration de votre production en direct ne soit interrompue en raison d'un cycle de réinitialisation forcée du mot de passe.
Phase 2 : Création du rôle technique (transaction PFCG)
Le compte utilisateur étant prêt, créez un conteneur de sécurité personnalisé (un rôle unique) pour contenir les services techniques de l'API et les restrictions de données.
Lancement de l'opération
PFCG.Saisissez un nom de rôle unique dans le champ Rôle en utilisant la convention d'appellation de votre entreprise (par exemple,
Z_FI_API_INTEGRATION_GATEWAY).Cliquez sur le bouton Rôle unique pour initialiser le processus de création.
Dans le champ Description, écrivez un bref résumé de ce que fait ce rôle (par exemple, contient des autorisations OData V2/V4 pour l'accès à l'API des données financières et de base).
Cliquez sur Enregistrer.
Une fois enregistrés, les onglets Menu, Autorisations et Utilisateur se déverrouillent, ce qui vous permet d'attacher les API spécifiques de la liste d'inventaire.
Phase 3 : Mise en place du rôle technique (transaction PFCG)
Compréhension des types d'API SAP
SAP utilise plusieurs cadres différents pour traiter les données, et ils sont autorisés de manière légèrement différente dans le backend du système :
Services OData V2 standard (
IWSV) : le cadre traditionnel pour les API de SAP. Chaque service est ajouté individuellement à un rôle de sécurité.Groupes de services OData V2 (
IWSG) : une manière moderne de regrouper plusieurs API V2. Cela permet de faciliter le routage et la gestion centralisée.Services OData V4 (
G4BA) : API haute performance de nouvelle génération. Ils utilisent un modèle d'autorisation plus récent au sein du moteur de sécurité de SAP.Services web SOAP (
WS) : opérations généralement utilisées pour le traitement de données transactionnelles ou en masse, telles que l'enregistrement de documents financiers ou le traitement de relevés bancaires. Ces services sont ajoutés par l'intermédiaire de l'ancienne architecture de services web.Catalogues SAP Fiori Launchpad : conteneurs structurels qui regroupent des applications métier. Même pour certains utilisateurs d'intégration purement techniques, l'attribution de catalogues spécifiques est nécessaire pour transmettre le contexte applicatif sous-jacent et satisfaire aux contrôles de traitement.
Liste d'autorisation de l'API principale
Vous trouverez ci-dessous l'inventaire complet des services nécessaires à une intégration complète des données financières et des données de base. Lorsque vous les ajoutez à la transaction SAP PFCG, sélectionnez le type de composant approprié.
Nom du service technique | Type | Sélection dans le menu des rôles SAP |
|---|---|---|
| Groupe de service | Passerelle SAP : Métadonnées des groupes de services |
| Groupe de service | Passerelle SAP : Métadonnées des groupes de services |
| Groupe de service | SAP Gateway : Métadonnées des groupes de services |
| Groupe de service | SAP Gateway : Métadonnées des groupes de services |
| Groupe de service | SAP Gateway : Métadonnées des groupes de services |
| Groupe de service | SAP Gateway : Métadonnées des groupes de services |
| Groupe de service | SAP Gateway : Métadonnées des groupes de services |
| Groupe de service | SAP Gateway : Métadonnées des groupes de services |
| Groupe de service | SAP Gateway : Métadonnées des groupes de services |
| Groupe de service | SAP Gateway : Métadonnées des groupes de services |
| Groupe de service | SAP Gateway : Métadonnées des groupes de services |
| Groupe de service | SAP Gateway : Métadonnées des groupes de services |
| OData V4 | Groupe de services backend SAP Gateway OData V4 et affectations |
| OData V4 ( | SAP Gateway OData V4 Backend Service Group & Assignments |
| OData V4 ( | SAP Gateway OData V4 Backend Service Group & Assignments |
| OData V4 | Groupe de services backend SAP Gateway OData V4 et affectations |
| OData V4 | Groupe de services backend SAP Gateway OData V4 et affectations |
| OData V2 | Activation de SAP Gateway pour SAP Business Suite – Service |
| OData V2 | Activation de SAP Gateway pour SAP Business Suite – Service |
| OData V2 | Activation de SAP Gateway pour SAP Business Suite – Service |
| OData V2 | Activation de SAP Gateway pour SAP Business Suite – Service |
| OData V2 | Activation de SAP Gateway pour SAP Business Suite – Service |
| OData V2 | Activation de SAP Gateway pour SAP Business Suite – Service |
| OData V2 | Activation de SAP Gateway pour SAP Business Suite – Service |
| OData V2 | Activation de SAP Gateway pour SAP Business Suite – Service |
| OData V2 | Activation de SAP Gateway pour SAP Business Suite – Service |
| OData V2 | Activation de SAP Gateway pour SAP Business Suite – Service |
| OData V2 | Activation de SAP Gateway pour SAP Business Suite – Service |
| OData V2 | Activation de SAP Gateway pour SAP Business Suite – Service |
| OData V2 | Activation de SAP Gateway pour SAP Business Suite – Service |
| Service Web SOAP | Service Web |
| Service Web SOAP | Service Web |
| Service Web SOAP | Service Web |
| Fiori Launchpad Catalog | SAP Fiori Launchpad > Launchpad Catalog |
| Fiori Launchpad Catalog | SAP Fiori Launchpag > Launchpad Catalog |

Guide d'installation étape par étape
Étape 1 : Ajouter les services au menu des rôles
Ouvrez la transaction
PFCG, saisissez votre nom de rôle personnalisé et cliquez sur Modifier.Accédez à l'onglet Menu.
Cliquez sur la flèche déroulante située à côté du bouton Transaction et choisissez Autorisation par défaut.
Utilisez le tableau ci-dessus pour associer chaque service au type de catégorie qui lui correspond, recherchez le nom du service et cliquez sur Copier pour l'ajouter à l'arborescence de votre menu des rôles.
Ajouter la boîte de dialogue/le catalogue Launchpad : cliquez de nouveau sur la flèche du menu déroulant à côté du bouton Transaction, mais sélectionnez cette fois SAP Fiori Launchpad > Launchpad Catalog.
Assurez-vous que le Catalog Provider est défini sur Fiori Launchpad Catalog.
Saisissez l'ID du catalogue dans le champ Catalog ID, puis confirmez.
Ajoutez toujours des services via cet onglet de menu au lieu de saisir manuellement des objets dans les autorisations. Cela oblige SAP à intégrer automatiquement toutes les structures de données techniques requises en coulisses.
Étape 2 : Octroi d'autorisations pour les données d'entreprise
Une fois que les services figurent dans le menu, définissez exactement les données avec lesquelles l'API peut interagir (par exemple, quelles sociétés ou quels périmètres de contrôle spécifiques).
Passez à l'onglet Autorisations et cliquez sur Modifier les données d'autorisation (l'icône en forme de crayon).
Cliquez sur le bouton Niveaux d'organisation en haut de l'écran. Saisissez les valeurs cibles de votre entreprise (par exemple, la société
1010, ou un joker si vous autorisez l'accès à tous les champs de données).Développez tous les dossiers restants marqués d'un voyant d'état rouge. Assurez-vous que les champs tels que
ACTVT(Activité) sont conservés :Sélectionnez
03(Affichage) pour les intégrations en lecture seule.Sélectionnez
01(Créer) et02(Modifier) si l'interface doit pousser ou modifier des données.
Étape 3 : Création du profil de sécurité
Les services et les autorisations ne prennent effet que lorsqu'un profil d'exécution est généré.
Une fois que tous les voyants d'état de votre arbre d'autorisation sont devenus verts ou jaunes, regardez la barre d'outils supérieure.
Cliquez sur le bouton Générer (l'icône en forme de cercle rouge et blanc).
Cette opération permet de compiler la configuration des rôles en règles actives du système.
Étape 4 : Comparer les rôles des utilisateurs
La dernière étape permet de s'assurer que les règles de sécurité nouvellement mises à jour sont transmises en toute sécurité à votre compte d'utilisateur d'intégration.
Revenez à l'écran principal du
PFCGet passez à l'onglet Utilisateur.Assurez-vous que l'utilisateur de votre communication ou de votre système est ajouté à la liste des utilisateurs.
Si le voyant d'état de la comparaison des utilisateurs est jaune ou rouge, cliquez sur le bouton Comparaison des utilisateurs situé directement au-dessus de la grille.
Sélectionnez Comparaison complète dans la boîte de dialogue.
Une fois que l'indicateur d'état devient vert, la configuration est active et votre application peut maintenant appeler les API.