Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# SAP-Autorisierungen
<a name="authorizations"></a>

Die für die Konfiguration des SDK erforderliche Autorisierung hängt von der SDK-Edition ab.

**Topics**
+ [

## Autorisierungen für die Konfiguration
](#configuration-authorizations)
+ [

## SAP-Autorisierungen für Endbenutzer
](#user-authorizations)

## Autorisierungen für die Konfiguration
<a name="configuration-authorizations"></a>

Weitere Informationen finden Sie auf den folgenden Registerkarten.

------
#### [ SDK for SAP ABAP ]

Die folgenden Autorisierungen sind erforderlich, um das SDK für SAP ABAP zu konfigurieren.
+ S\$1 `TCODE`
  +  `TCD` = `/AWS1/IMG` 
+ `S_TABU_DIS`
  +  `ACTVT` = `02`, `03`
  + `DICBERCLS`

**Wählen Sie aus den folgenden Autorisierungsgruppen.**
    + `/AWS1/CFG`- AWS SDK für SAP ABAP v1 - Config
    + `/AWS1/MOD`- AWS SDK für SAP ABAP v1 - Laufzeit
    + `/AWS1/PFL`- AWS SDK für SAP ABAP v1 - SDK-Profil
    + `/AWS1/RES`- AWS SDK für SAP ABAP v1 - Logische Ressourcen
    + `/AWS1/TRC`- AWS SDK für SAP ABAP v1 - Rückverfolgung

------
#### [ SDK for SAP ABAP - BTP edition ]

Gehen Sie wie folgt vor, um SDK for SAP ABAP - BTP Edition Zugriff auf die Konfiguration zu gewähren.

1. Erstellen Sie mithilfe der Vorlage für Geschäftsrollen eine neue `SAP_BR_BPC_EXPERT` Geschäftsrolle. Diese Vorlage bietet Zugriff auf die Anwendung Custom Business Configuration.

1. Gehen Sie unter **Allgemeine Rollendetails** zu **Zugriffskategorien** und wählen Sie **Uneingeschränkt** für *Lese-, Schreib- und Werthilfe* aus.

1. Gehen Sie zur Registerkarte **Geschäftskatalog** und weisen Sie den `/AWS1/RTBTP_BCAT` Geschäftskatalog zu, um Zugriff auf die SDK-Konfiguration zu gewähren.

1. Gehen Sie zur Registerkarte **Geschäftsbenutzer** und weisen Sie Geschäftsbenutzern zu, Zugriff auf die SDK-Konfiguration zu gewähren.

------

## SAP-Autorisierungen für Endbenutzer
<a name="user-authorizations"></a>

 **Voraussetzung: Definieren Sie SDK-Profile** 

Bevor der SAP-Sicherheitsadministrator seine Rollen definieren kann, definiert der Business Analyst SDK-Profile in der Transaktion `/AWS1/IMG` für AWS SDK for SAP ABAP oder in der Custom Business Configuration-Anwendung für SDK for SAP ABAP — BTP Edition. In der Regel wird ein SDK-Profil entsprechend seiner Geschäftsfunktion benannt: ZFINANCE, ZBILLING, ZMFG, ZPAYROLL usw. Für jedes SDK-Profil definiert der Business Analyst logische IAM-Rollen mit Kurznamen wie CFO, AUDITOR, REPORTING. Diese werden vom IAM-Sicherheitsadministrator den tatsächlichen IAM-Rollen zugeordnet.

 **Definieren Sie PFCG- oder Geschäftsrollen** 

**Anmerkung**  
PFCG-Rollen werden in der SAP BTP-, ABAP-Umgebung als Geschäftsrollen bezeichnet.

Der SAP-Sicherheitsadministrator fügt dann ein Autorisierungsobjekt hinzu, `/AWS1/SESS` um Zugriff auf ein SDK-Profil zu gewähren.

Auth-Objekt `/AWS1/SESS`
+ Feld = `/AWS1/PROF` `ZFINANCE`

Benutzer sollten je nach Aufgabenbereich auch logischen IAM-Rollen für jedes SDK-Profil zugeordnet werden. Beispielsweise könnte ein Finanzprüfer mit Berichtszugriff für eine logische IAM-Rolle namens autorisiert sein. `AUDITOR`

Auth-Objekt `/AWS1/LROL`
+  Feld = `/AWS1/PROF` `ZFINANCE`
+  Feld `/AWS1/LROL` = `AUDITOR`

In der Zwischenzeit hat der CFO mit Lese-/Schreibberechtigungen möglicherweise eine PFCG-Rolle, die ihm die logische Rolle von erteilt. `CFO`

Objekt authentifizieren `/AWS1/LROL`
+ Feld = `/AWS1/PROF` `ZFINANCE`
+ Feld `/AWS1/LROL` = `CFO`

Im Allgemeinen sollte ein Benutzer nur für eine logische IAM-Rolle pro SDK-Profil autorisiert sein. Wenn ein Benutzer für mehr als eine IAM-Rolle autorisiert ist (z. B. wenn der CFO sowohl für logische IAM-Rollen als auch `CFO` für `AUDITOR` logische IAM-Rollen autorisiert ist), bricht das AWS SDK den Gleichstand, indem es sicherstellt, dass die Rolle mit der höheren Priorität (niedrigere Sequenznummer) wirksam wird.

Wie bei allen Sicherheitsszenarien sollten Benutzer die geringsten Rechte erhalten, um ihre Aufgaben auszuführen. Eine einfache Strategie für die Verwaltung von PFCG-Rollen bestünde darin, einzelne PFCG-Rollen entsprechend dem SDK-Profil und der logischen Rolle, die sie autorisieren, zu benennen. Eine Rolle `Z_AWS_PFL_ZFINANCE_CFO` gewährt beispielsweise Zugriff auf das Profil `ZFINANCE` und die logische IAM-Rolle. `CFO` Diese einzelnen Rollen können dann zusammengesetzten Rollen zugewiesen werden, die die Aufgabenfunktionen definieren. Jedes Unternehmen hat seine eigene Strategie für das Rollenmanagement, und wir empfehlen Ihnen, eine für Sie passende PFCG-Strategie zu definieren.