SAP 認証 - AWS SDK の SAP ABAP

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SAP 認証

の設定に必要な認可SDKは、SDKエディションによって異なります。

設定の権限

詳細については、以下のタブを参照してください。

SDK for SAP ABAP

SDK に を設定するには、次の承認が必要ですSAPABAP。

  • S_TCODE

    • TCD = /AWS1/IMG

  • S_TABU_DIS

    • ACTVT = 02, 03

    • DICBERCLS

      次の権限グループから選択します。
      • /AWS1/CFG- AWS SDK for SAP ABAP v1 - 設定

      • /AWS1/MOD- AWS SDK for SAP ABAP v1 - ランタイム

      • /AWS1/PFL- AWS SDK for SAP ABAP v1 - SDKプロファイル

      • /AWS1/RES- AWS SDK for SAP ABAP v1 - 論理リソース

      • /AWS1/TRC- AWS SDK for SAP ABAP v1 - トレース

SDK for SAP ABAP - BTP edition

設定への SDK SAP ABAP - BTP Edition アクセスを許可するには、次のステップを使用します。

  1. ビジネスロールテンプレートを使用して新しいSAP_BR_BPC_EXPERTビジネスロールを作成します。このテンプレートは、Cutsom ビジネス設定アプリケーションへのアクセスを提供します。

  2. 一般的なロールの詳細 で、アクセスカテゴリ に移動し、読み取り、書き込み、値ヘルプ に制限なし を選択します。

  3. Business Catalog タブに移動し、/AWS1/RTBTP_BCATビジネスカタログを割り当ててSDK設定へのアクセスを許可します。

  4. Business Users タブに移動し、SDK設定へのアクセスを許可するビジネスユーザーを割り当てます。

SAP エンドユーザーの認証

前提条件: SDKプロファイルを定義する

SAP セキュリティ管理者がロールを定義する前に、ビジネスアナリストは /AWS1/IMG の AWS SDKトランザクションでSDKプロファイルを定義SAPABAPし、 のカスタムビジネス設定アプリケーションは - BTP Edition SAP ABAP SDKのプロファイルを定義します。通常、SDKプロファイルには、ビジネス関数 ZFINANCE、、ZBILLINGZMFG、 ZPAYROLLなどに従って名前が付けられます。ビジネスアナリストは、SDKプロファイルごとに、CFO、、 などの短い名前の論理IAMロールを定義しますAUDITORREPORTING。これらは、IAMセキュリティ管理者によって実際のIAMロールにマッピングされます。

PFCGまたはビジネスロールの定義

注記

PFCG ロールはBTP、SAP、 ABAP環境ではビジネスロールと呼ばれます。

次に、SAPセキュリティ管理者はSDK、プロファイルへのアクセス/AWS1/SESSを許可する承認オブジェクトを追加します。

認証オブジェクト /AWS1/SESS

  • フィールド /AWS1/PROF = ZFINANCE

また、ユーザーは、ジョブ機能に応じて、各SDKプロファイルの論理IAMロールにマッピングする必要があります。例えば、レポートアクセス権を持つ財務監査者は、 という論理IAMロールに対して承認される場合がありますAUDITOR

認証オブジェクト /AWS1/LROL

  • フィールド /AWS1/PROF = ZFINANCE

  • フィールド /AWS1/LROL = AUDITOR

一方、読み取り/書き込み認証CFOを持つ には、 の論理PFCGロールを承認するロールがある場合がありますCFO

認証オブジェクト /AWS1/LROL

  • フィールド /AWS1/PROF = ZFINANCE

  • フィールド /AWS1/LROL = CFO

一般に、プロファイルごとに 1 つの論理IAMロールに対してのみユーザーを承認する必要がありますSDK。ユーザーが複数のIAMロールに対して承認されている場合 (例えば、 CFO が AUDITOR CFOと論理IAMロールの両方に対して承認されている場合)、 は AWS SDK優先度の高い (シーケンス番号が低い) ロールが有効になるようにして、関連付けを切断します。

すべてのセキュリティシナリオと同様に、ユーザーには職務を遂行するための最小特権を与える必要があります。PFCG ロールを管理するための簡単な戦略は、承認するSDKプロファイルと論理PFCGロールに従って単一のロールに名前を付けることです。例えば、ロールはプロファイルZFINANCEと論理IAMロール へのアクセスZ_AWS_PFL_ZFINANCE_CFOを許可しますCFO。これらの単一のロールは、ジョブ関数を定義する複合ロールに割り当てることができます。各企業にはロール管理のための独自の戦略があります。そのため、お客様に適したPFCG戦略を定義することをお勧めします。