Documentation Index

Fetch the complete documentation index at: https://payhawk.document360.io/llms.txt

Use this file to discover all available pages before exploring further.

Configuration d'un utilisateur technique dans SAP S/4HANA Cloud, Private Edition

Prev Next

Lorsque vous connectez des applications tierces ou des workflows automatisés à un environnement SAP S/4HANA® Cloud, Private Edition, la création de l'utilisateur technique et la mise en place des autorisations de sécurité adéquates constituent une première étape cruciale. Pour permettre à une application externe d'accéder à vos données en toute sécurité, vous devez configurer un rôle de sécurité dédié qui donne accès à des API spécifiques.

Phase 1 : Création de l'utilisateur technique (transaction SU01)

Avant de configurer les autorisations, créez un compte utilisateur dédié que l'application externe utilisera pour s'authentifier. Dans SAP, les intégrations doivent toujours utiliser un utilisateur technique (soit un type d'utilisateur Système ou Communication ) plutôt qu'un utilisateur de dialogue.

  1. Lancez la transaction SU01 dans votre système SAP.

  2. Saisissez un nom technique clair pour votre utilisateur d'intégration (par exemple, INT_FIN_API) et cliquez sur l'icône Créer (le bouton de la page blanche).

  3. Dans l'onglet Adresse, remplissez les champs obligatoires (Nom de famille et Description) pour indiquer à quoi cet utilisateur se connecte.

  4. Passez à l'onglet Données de connexion et maintenez les paramètres critiques suivants :

    • Type d'utilisateur : Dialogue.

    • Mot de passe : attribuez un mot de passe sûr et complexe.

En définissant le type sur Système ou Communication, vous vous assurez que le compte ne peut pas être utilisé par une personne pour se connecter à l'interface utilisateur graphique SAP de manière interactive. Il exempte également le mot de passe des politiques standard d'expiration des utilisateurs, évitant ainsi que l'intégration de votre production en direct ne soit interrompue en raison d'un cycle de réinitialisation forcée du mot de passe.

Phase 2 : Création du rôle technique (transaction PFCG)

Le compte utilisateur étant prêt, créez un conteneur de sécurité personnalisé (un rôle unique) pour contenir les services techniques de l'API et les restrictions de données.

  1. Lancement de l'opération PFCG.

  2. Saisissez un nom de rôle unique dans le champ Rôle en utilisant la convention d'appellation de votre entreprise (par exemple, Z_FI_API_INTEGRATION_GATEWAY).

  3. Cliquez sur le bouton Rôle unique pour initialiser le processus de création.

  4. Dans le champ Description, écrivez un bref résumé de ce que fait ce rôle (par exemple, contient des autorisations OData V2/V4 pour l'accès à l'API des données financières et de base).

  5. Cliquez sur Enregistrer.

Une fois enregistrés, les onglets Menu, Autorisations et Utilisateur se déverrouillent, ce qui vous permet d'attacher les API spécifiques de la liste d'inventaire.

Phase 3 : Mise en place du rôle technique (transaction PFCG)

Compréhension des types d'API SAP

SAP utilise plusieurs cadres différents pour traiter les données, et ils sont autorisés de manière légèrement différente dans le backend du système :

  • Services OData V2 standard (IWSV) : le cadre traditionnel pour les API de SAP. Chaque service est ajouté individuellement à un rôle de sécurité.

  • Groupes de services OData V2 (IWSG) : une manière moderne de regrouper plusieurs API V2. Cela permet de faciliter le routage et la gestion centralisée.

  • Services OData V4 (G4BA) : API haute performance de nouvelle génération. Ils utilisent un modèle d'autorisation plus récent au sein du moteur de sécurité de SAP.

  • Services web SOAP (WS) : opérations généralement utilisées pour le traitement de données transactionnelles ou en masse, telles que l'enregistrement de documents financiers ou le traitement de relevés bancaires. Ces services sont ajoutés par l'intermédiaire de l'ancienne architecture de services web.

  • Catalogues SAP Fiori Launchpad : conteneurs structurels qui regroupent des applications métier. Même pour certains utilisateurs d'intégration purement techniques, l'attribution de catalogues spécifiques est nécessaire pour transmettre le contexte applicatif sous-jacent et satisfaire aux contrôles de traitement.

Liste d'autorisation de l'API principale

Vous trouverez ci-dessous l'inventaire complet des services nécessaires à une intégration complète des données financières et des données de base. Lorsque vous les ajoutez à la transaction SAP PFCG, sélectionnez le type de composant approprié.

Nom du service technique

Type

Sélection dans le menu des rôles SAP

ZAPI_COSTCENTER_SRV_0001

Groupe de service(IWSG)

Passerelle SAP : Métadonnées des groupes de services

ZAPI_INTERNALORDER_SRV_0001

Groupe de service(IWSG)

Passerelle SAP : Métadonnées des groupes de services

ZAPI_PROFITCENTER_SRV_0001

Groupe de service(IWSG)

SAP Gateway : Métadonnées des groupes de services

ZAPI_BUSINESS_PARTNER_0001

Groupe de service(IWSG)

SAP Gateway : Métadonnées des groupes de services

ZAPI_FINWBSELEMENT_SRV_0001

Groupe de service(IWSG)

SAP Gateway : Métadonnées des groupes de services

ZAPI_COMPANYCODE_SRV_0001

Groupe de service(IWSG)

SAP Gateway : Métadonnées des groupes de services

ZAPI_SUPPLIERINVOICE_PROCESS_SRV

Groupe de service(IWSG)

SAP Gateway : Métadonnées des groupes de services

ZAPI_CHARTOFACCOUNTS_SRV

Groupe de service(IWSG)

SAP Gateway : Métadonnées des groupes de services

ZAPI_CV_ATTACHMENT_SRV

Groupe de service(IWSG)

SAP Gateway : Métadonnées des groupes de services

ZAPI_ENTERPRISE_PROJECT_SRV

Groupe de service(IWSG)

SAP Gateway : Métadonnées des groupes de services

ZAPI_GLACCOUNTINCHARTOFACCOUNTS_SRV

Groupe de service(IWSG)

SAP Gateway : Métadonnées des groupes de services

ZAPI_OPLACCTGDOCITEMCUBE_SRV

Groupe de service(IWSG)

SAP Gateway : Métadonnées des groupes de services

API_COST_CENTER

OData V4(G4BA)

Groupe de services backend SAP Gateway OData V4 et affectations

Z_TAXCODE_SB

OData V4 (G4BA)

SAP Gateway OData V4 Backend Service Group & Assignments

Z_BANK_ACCOUNT_SB

OData V4 (G4BA)

SAP Gateway OData V4 Backend Service Group & Assignments

Z_BANK_ACCOUNT_SRV_O4

OData V4(G4BA)

Groupe de services backend SAP Gateway OData V4 et affectations

Z_GLACCOUNT_SB

OData V4(G4BA)

Groupe de services backend SAP Gateway OData V4 et affectations

API_BUSINESS_PARTNER

OData V2(IWSV)

Activation de SAP Gateway pour SAP Business Suite – Service

API_CHARTOFACCOUNTS_SRV

OData V2(IWSV)

Activation de SAP Gateway pour SAP Business Suite – Service

API_CN_BANK_RECONCILIAITON_SRV

OData V2(IWSV)

Activation de SAP Gateway pour SAP Business Suite – Service

API_COMPANYCODE_SRV

OData V2(IWSV)

Activation de SAP Gateway pour SAP Business Suite – Service

API_COSTCENTER_SRV

OData V2(IWSV)

Activation de SAP Gateway pour SAP Business Suite – Service

API_CV_ATTACHMENT_SRV

OData V2(IWSV)

Activation de SAP Gateway pour SAP Business Suite – Service

API_ENTERPRISE_PROJECT_SRV

OData V2(IWSV)

Activation de SAP Gateway pour SAP Business Suite – Service

API_FINWBSELEMENT_SRV

OData V2(IWSV)

Activation de SAP Gateway pour SAP Business Suite – Service

API_GLACCOUNTINCHARTOFACCOUNTS_SRV

OData V2(IWSV)

Activation de SAP Gateway pour SAP Business Suite – Service

API_INTERNALORDER_SRV

OData V2(IWSV)

Activation de SAP Gateway pour SAP Business Suite – Service

API_OPLACCTGDOCITEMCUBE_SRV

OData V2(IWSV)

Activation de SAP Gateway pour SAP Business Suite – Service

API_PROFITCENTER_SRV

OData V2(IWSV)

Activation de SAP Gateway pour SAP Business Suite – Service

API_SUPPLIERINVOICE_PROCESS_SRV

OData V2(IWSV)

Activation de SAP Gateway pour SAP Business Suite – Service

JOURNALENTRYBULKCLEARINGREQUES

Service Web SOAP(WS)

Service Web

JOURNALENTRYBULKCREATEREQUEST

Service Web SOAP(WS)

Service Web

BANKSTATEMENTPOST_IN

Service Web SOAP(WS)

Service Web

SAP_PRC_BC_INVOICER

Fiori Launchpad Catalog

SAP Fiori Launchpad > Launchpad Catalog

SAP_SFIN_BC_GL_JE_PROC

Fiori Launchpad Catalog

SAP Fiori Launchpag > Launchpad Catalog

Aperçu des rôles et services SAP liés au traitement des comptes fournisseurs et des écritures comptables.

Guide d'installation étape par étape

Étape 1 : Ajouter les services au menu des rôles

  1. Ouvrez la transaction PFCG, saisissez votre nom de rôle personnalisé et cliquez sur Modifier.

  2. Accédez à l'onglet Menu.

  3. Cliquez sur la flèche déroulante située à côté du bouton Transaction et choisissez Autorisation par défaut.

  4. Utilisez le tableau ci-dessus pour associer chaque service au type de catégorie qui lui correspond, recherchez le nom du service et cliquez sur Copier pour l'ajouter à l'arborescence de votre menu des rôles.

  5. Ajouter la boîte de dialogue/le catalogue Launchpad : cliquez de nouveau sur la flèche du menu déroulant à côté du bouton Transaction, mais sélectionnez cette fois SAP Fiori Launchpad > Launchpad Catalog.

    • Assurez-vous que le Catalog Provider est défini sur Fiori Launchpad Catalog.

    • Saisissez l'ID du catalogue dans le champ Catalog ID, puis confirmez.

Ajoutez toujours des services via cet onglet de menu au lieu de saisir manuellement des objets dans les autorisations. Cela oblige SAP à intégrer automatiquement toutes les structures de données techniques requises en coulisses.

Étape 2 : Octroi d'autorisations pour les données d'entreprise

Une fois que les services figurent dans le menu, définissez exactement les données avec lesquelles l'API peut interagir (par exemple, quelles sociétés ou quels périmètres de contrôle spécifiques).

  1. Passez à l'onglet Autorisations et cliquez sur Modifier les données d'autorisation (l'icône en forme de crayon).

  2. Cliquez sur le bouton Niveaux d'organisation en haut de l'écran. Saisissez les valeurs cibles de votre entreprise (par exemple, la société 1010, ou un joker si vous autorisez l'accès à tous les champs de données).

  3. Développez tous les dossiers restants marqués d'un voyant d'état rouge. Assurez-vous que les champs tels que ACTVT (Activité) sont conservés :

    • Sélectionnez 03 (Affichage) pour les intégrations en lecture seule.

    • Sélectionnez 01 (Créer) et 02 (Modifier) si l'interface doit pousser ou modifier des données.

Étape 3 : Création du profil de sécurité

Les services et les autorisations ne prennent effet que lorsqu'un profil d'exécution est généré.

  1. Une fois que tous les voyants d'état de votre arbre d'autorisation sont devenus verts ou jaunes, regardez la barre d'outils supérieure.

  2. Cliquez sur le bouton Générer (l'icône en forme de cercle rouge et blanc).

  3. Cette opération permet de compiler la configuration des rôles en règles actives du système.

Étape 4 : Comparer les rôles des utilisateurs

La dernière étape permet de s'assurer que les règles de sécurité nouvellement mises à jour sont transmises en toute sécurité à votre compte d'utilisateur d'intégration.

  1. Revenez à l'écran principal du PFCG et passez à l'onglet Utilisateur.

  2. Assurez-vous que l'utilisateur de votre communication ou de votre système est ajouté à la liste des utilisateurs.

  3. Si le voyant d'état de la comparaison des utilisateurs est jaune ou rouge, cliquez sur le bouton Comparaison des utilisateurs situé directement au-dessus de la grille.

  4. Sélectionnez Comparaison complète dans la boîte de dialogue.

  5. Une fois que l'indicateur d'état devient vert, la configuration est active et votre application peut maintenant appeler les API.

Prochaines étapes