Een technische gebruiker instellen in SAP S/4HANA Cloud, Private Edition

Wanneer je toepassingen van derden of geautomatiseerde workflows aansluit op een SAP S/4HANA® Cloud, Private Edition-omgeving, is het aanmaken van de technische gebruiker en het instellen van de juiste beveiligingsmachtigingen een kritieke eerste stap. Om een externe applicatie veilig toegang te geven tot je gegevens, moet je een speciale beveiligingsrol configureren die toegang geeft tot specifieke API's.

Fase 1: De technische gebruiker aanmaken (transactie `SU01`)

Voordat je machtigingen instelt, moet je een speciaal gebruikersaccount maken dat de externe applicatie gebruikt voor verificatie. In SAP moeten integraties altijd een technische gebruiker (van het type Systeem of Communicatie ) gebruiken in plaats van een dialooggebruiker.

Start transactie SU01 in SAP.
Voer een duidelijke technische naam in voor de gebruiker van de integratie (bijvoorbeeld INT_FIN_API) en klik op het pictogram Aamaken (de knop van de lege pagina).
Vul op het tabblad Adres de verplichte velden (Achternaam en Beschrijving) in om aan te geven waarmee deze gebruiker verbinding maakt.
Ga naar het tabblad Inloggegevens en behoud de volgende kritieke instellingen:
- Gebruikerstype: Dialoog.
- Wachtwoord: stel een veilig, complex wachtwoord in.

Door het type in te stellen op Systeem of Communicatie zorg je ervoor dat niemand anders met het account kan inloggen op de SAP GUI. Het stelt het wachtwoord ook vrij van het standaardbeleid voor het verlopen van gebruikers, waardoor wordt voorkomen dat je productie-integratie wordt afgebroken als gevolg van een geforceerde cyclus voor het resetten van wachtwoorden.

Fase 2: De technische rol aanmaken (transactie `PFCG`)

Als het gebruikersaccount klaar is, maak dan een aangepaste beveiligingscontainer (een enkele rol) om de technische API-services en gegevensbeperkingen in onder te brengen.

Start transactie PFCG.
Geef de rol een unieke naam in het veld Rol volgens de naamgevingsconventie van je bedrijf (bijvoorbeeld Z_FI_API_INTEGRATION_GATEWAY).
Klik op de knop Enkele rol om hiermee te beginnen.
Schrijf in het veld Beschrijving een korte samenvatting van wat deze rol doet (bijvoorbeeld: Bevat OData V2/V4-autorisaties voor API-toegang tot financiële en stamgegevens).
Klik op opslaan.

Na het opslaan worden de tabbladen Menu, Autorisaties en Gebruikers actief en kun je de specifieke API's uit de inventarislijst koppelen.

Fase 3: De technische rol instellen (transactie `PFCG`)

Inzicht in API-typen van SAP

SAP gebruikt een paar verschillende raamwerken voor de verwerking van gegevens. Deze worden op een iets andere manier geautoriseerd in de backend van het systeem:

Standaard OData V2-services (IWSV): het traditionele kader voor API's van SAP. Elke service wordt afzonderlijk toegevoegd aan een beveiligingsrol.
OData V2-servicegroepen (IWSG): een moderne manier om meerdere V2 API's te bundelen. Dit maakt eenvoudigere routering en gecentraliseerd beheer mogelijk.
OData V4-services (G4BA): Moderne API's die topprestaties leveren. Deze maken gebruik van een nieuwer autorisatiemodel binnen de beveiligingsengine van SAP.
SOAP Web Services (WS): operaties die doorgaans gebruikt worden voor transactionele of bulk gegevensverwerking, zoals het posten van financiële documenten of het verwerken van bankafschriften. Deze worden toegevoegd via de legacy webservice-architectuur.
SAP Fiori Launchpad-catalogi: structurele containers die bedrijfsapplicaties bundelen. Zelfs voor bepaalde puur technische integratiegebruikers is het toewijzen van specifieke catalogi vereist om de onderliggende context op applicatieniveau door te geven en de verwerkingscontroles te doorstaan.

Autorisatielijst Master API

Hieronder staat de volledig overzicht van services die nodig zijn voor de integratierol voor uitgebreide financiële en stamgegevens. Als je deze toevoegt aan SAP-transactie PFCG, selecteer dan het juiste componenttype.

Naam technische service	Type	Selectie in rolmenu SAP
`ZAPI_COSTCENTER_SRV_0001`	Servicegroep`(IWSG`)	SAP Gateway: Metagegevens servicegroepen
`ZAPI_INTERNALORDER_SRV_0001`	Servicegroep`(IWSG`)	SAP Gateway: Metagegevens servicegroepen
`ZAPI_PROFITCENTER_SRV_0001`	Servicegroep`(IWSG`)	SAP Gateway: Metagegevens servicegroepen
`ZAPI_BUSINESS_PARTNER_0001`	Servicegroep`(IWSG`)	SAP Gateway: Metagegevens servicegroepen
`ZAPI_FINWBSELEMENT_SRV_0001`	Servicegroep`(IWSG`)	SAP Gateway: Metagegevens servicegroepen
`ZAPI_COMPANYCODE_SRV_0001`	Servicegroep`(IWSG`)	SAP Gateway: Metagegevens servicegroepen
`ZAPI_SUPPLIERINVOICE_PROCESS_SRV`	Servicegroep`(IWSG`)	SAP Gateway: Metagegevens servicegroepen
`ZAPI_CHARTOFACCOUNTS_SRV`	Servicegroep`(IWSG`)	SAP Gateway: Metagegevens servicegroepen
`ZAPI_CV_ATTACHMENT_SRV`	Servicegroep`(IWSG`)	SAP Gateway: Metagegevens servicegroepen
`ZAPI_ENTERPRISE_PROJECT_SRV`	Servicegroep`(IWSG`)	SAP Gateway: Metagegevens servicegroepen
`ZAPI_GLACCOUNTINCHARTOFACCOUNTS_SRV`	Servicegroep`(IWSG`)	SAP Gateway: Metagegevens servicegroepen
`ZAPI_OPLACCTGDOCITEMCUBE_SRV`	Servicegroep`(IWSG`)	SAP Gateway: Metagegevens servicegroepen
`API_COST_CENTER`	OData V4 (`G4BA`)	SAP Gateway OData V4 Backend Servicegroep en toewijzingen
`Z_TAXCODE_SB`	OData V4 (`G4BA`)	SAP Gateway OData V4 Backend Service Group & Assignments
`Z_BANK_ACCOUNT_SB`	OData V4 (`G4BA`)	SAP Gateway OData V4 Backend Service Group & Assignments
`Z_GLACCOUNT_SB`	OData V4 (`G4BA`)	SAP Gateway OData V4 Backend Servicegroep en toewijzingen
`API_BUSINESS_PARTNER`	OData V2 (`IWSV`)	SAP Gateway Business Suite inschakelen - Service
`API_CHARTOFACCOUNTS_SRV`	OData V2`(IWSV`)	SAP Gateway Business Suite inschakelen - Service
`API_CN_BANK_RECONCILIAITON_SRV`	OData V2`(IWSV`)	SAP Gateway Business Suite inschakelen - Service
`API_COMPANYCODE_SRV`	OData V2 (`IWSV`)	SAP Gateway Business Suite inschakelen - Service
`API_COSTCENTER_SRV`	OData V2 (`IWSV`)	SAP Gateway Business Suite inschakelen - Service
`API_CV_ATTACHMENT_SRV`	OData V2 (`IWSV`)	SAP Gateway Business Suite inschakelen - Service
`API_ENTERPRISE_PROJECT_SRV`	OData V2 (`IWSV`)	SAP Gateway Business Suite inschakelen - Service
`API_FINWBSELEMENT_SRV`	OData V2 (`IWSV`)	SAP Gateway Business Suite inschakelen - Service
`API_GLACCOUNTINCHARTOFACCOUNTS_SRV`	OData V2 (`IWSV`)	SAP Gateway Business Suite inschakelen - Service
`API_INTERNALORDER_SRV`	OData V2 (`IWSV`)	SAP Gateway Business Suite inschakelen - Service
`API_OPLACCTGDOCITEMCUBE_SRV`	OData V2 (`IWSV`)	SAP Gateway Business Suite inschakelen - Service
`API_PROFITCENTER_SRV`	OData V2 (`IWSV`)	SAP Gateway Business Suite inschakelen - Service
`API_SUPPLIERINVOICE_PROCESS_SRV`	OData V2 (`IWSV`)	SAP Gateway Business Suite inschakelen - Service
`JOURNALENTRYBULKCLEARINGREQUES`	SOAP Web Service (`WS`)	WebService
`JOURNALENTRYBULKCREATEREQUEST`	SOAP Web Service (`WS`)	WebService
`BANKSTATEMENTPOST_IN`	SOAP Web Service (`WS`)	WebService
`SAP_PRC_BC_INVOICER`	Fiori Launchpad Catalog	SAP Fiori Launchpad > Launchpad Catalog
`SAP_SFIN_BC_GL_JE_PROC`	Fiori Launchpad Catalog	SAP Fiori Launchpag > Launchpad Catalog

Lijst van SAP-rollen en -diensten voor financiële verwerking en factuurbeheer.

Stapsgewijze installatiehandleiding

Open de transactie PFCG, typ de naam van de aangepaste rol in en klik op Wijzigen.
Ga naar het tabblad Menu.
Klik op het pijltje van het uitklapmenu naast de knop Transactie en kies Standaardautorisatie.
Koppel in de bovenstaande tabel elke service aan het juiste categorietype, zoek naar de naam van de service en klik op kopiëren om deze toe te voegen aan de boomstructuur van je rolmenu.
Voeg het Launchpad-dialoogvenster/de Launchpad-catalogus toe: klik opnieuw op het pijltje van het vervolgkeuzemenu naast de knop Transaction, maar selecteer deze keer SAP Fiori Launchpad > Launchpad Catalog.
- Zorg dat de Catalog Provider is ingesteld op Fiori Launchpad Catalog.
- Voer de catalogus-ID in het veld Catalog ID in en bevestig.

Voeg altijd services toe via dit tabblad Menu in plaats van dat je objecten handmatig in de autorisaties typt. Hierdoor wordt SAP gedwongen om automatisch alle technische gegevensstructuren op te halen die achter de schermen nodig zijn.

Stap 2: Machtigingen voor bedrijfsgegevens toekennen

Als de services eenmaal in het menu staan, definieer dan precies met welke gegevens de API kan communiceren (bijvoorbeeld met welke specifieke bedrijfscodes of besturingsgebieden).

Ga naar het tabblad Machtigingen en klik op Machtigingsgegevens wijzigen (het potloodpictogram).
Klik bovenaan het scherm op de knop Organisatieniveaus. Voer de doelwaarden van je bedrijf in (zoals bedrijfscode 1010, of een jokerteken als je toegang verleent tot alle gegevensvelden).
Vouw alle resterende mappen uit die gemarkeerd zijn met een rood statuslampje. Zorg ervoor dat velden zoals ACTVT (Activiteit) behouden blijven:
- Selecteer 03 (Weergeven) voor integraties waarvoor je de machtiging Alleen-lezen hebt.
- Selecteer 01 (Aanmaken) en 02 (Wijzigen) als de interface gegevens moet doorzetten of wijzigen.

Stap 3: Het beveiligingsprofiel genereren

De services en machtigingen worden pas van kracht nadat een runtime-profiel is gegenereerd.

Zodra alle statuslampjes in je autorisatieboom groen of geel worden, kijk je in de bovenste werkbalk.
Klik op de knop Genereren ( het rood-witte cirkelpictogram).
Nu pas je de rolconfiguratie toe op actieve systeemregels.

Stap 4: Gebruikersrollen vergelijken

De laatste stap zorgt ervoor dat je nieuwe bijgewerkte beveiligingsregels veilig naar je gebruikersaccount voor integratie worden verzonden.

Ga terug naar het hoofdscherm van PFCG en ga naar het tabblad Gebruiker.
Zorg ervoor dat je communicatie- of systeemgebruiker op de gebruikerslijst staat.
Als het statuslampje Vergelijking gebruikers geel of rood is, klik dan direct boven het raster op de knop Vergelijking gebruikers.
Selecteer Volledige vergelijking in het venster dat verschijnt.
Zodra de statusindicator groen wordt, is de configuratie live en kan je applicatie aan de slag met de API's.

Volgende stappen

De integratie SAP S/4HANA Cloud, Private Edition instellen

Documentation Index