翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# SAP 認証
<a name="authorizations"></a>

SDK の設定に必要な認可は、SDK エディションによって異なります。

**Topics**
+ [設定の権限](#configuration-authorizations)
+ [エンドユーザー向けの SAP 認証](#user-authorizations)

## 設定の権限
<a name="configuration-authorizations"></a>

詳細については、次のタブを参照してください。

------
#### [ SDK for SAP ABAP ]

SDK for SAP ABAP を設定するには、以下の権限が必要です。
+ S\$1`TCODE`
  +  `TCD` = `/AWS1/IMG` 
+ `S_TABU_DIS`
  +  `ACTVT` = `02`, `03`
  + `DICBERCLS`

**次の権限グループから選択します。**
    + `/AWS1/CFG`- AWS SDK for SAP ABAP v1 - 設定
    + `/AWS1/MOD`- AWS SDK for SAP ABAP v1 - ランタイム
    + `/AWS1/PFL`- AWS SDK for SAP ABAP v1 - SDK プロファイル
    + `/AWS1/RES`- AWS SDK for SAP ABAP v1 - 論理リソース
    + `/AWS1/TRC`- AWS SDK for SAP ABAP v1 - トレース

------
#### [ SDK for SAP ABAP - BTP edition ]

SDK for SAP ABAP - BTP Edition が 設定にアクセスできるようにするには、次のステップを使用します。

1. ビジネスロールテンプレートを使用して新しい`SAP_BR_BPC_EXPERT`ビジネスロールを作成します。このテンプレートは、Cutsom Business Configuration アプリケーションへのアクセスを提供します。

1. **一般的なロールの詳細**で、**アクセスカテゴリ**に移動し、*読み取り、書き込み、値のヘルプ***に無制限**を選択します。

1. **Business Catalog** タブに移動し、`/AWS1/RTBTP_BCAT`ビジネスカタログを割り当てて SDK 設定へのアクセスを提供します。

1. Business **Users** タブに移動し、ビジネスユーザーを割り当てて SDK 設定へのアクセスを許可します。

------

## エンドユーザー向けの SAP 認証
<a name="user-authorizations"></a>

 **前提条件: SDK プロファイルの定義** 

SAP セキュリティ管理者がロールを定義する前に、ビジネスアナリストは SDK for SAP ABAP または `/AWS1/IMG` AWS SDK for SAP ABAP - BTP エディションのカスタムビジネス設定アプリケーションのトランザクションで SDK プロファイルを定義します。通常、SDK プロファイルにはビジネス機能 (ZFINANCE、ZBILLING、ZMFG、ZPAYROLL など) に従って名前が付けられます。ビジネスアナリストは SDK プロファイルごとに、CFO、AUDITOR、REPORTING などの短い名前で論理 IAM ロールを定義します。これらは IAM セキュリティ管理者によって実際の IAM ロールにマッピングされます。

 **PFCG またはビジネスロールを定義する** 

**注記**  
PFCG ロールは、SAP BTP、ABAP 環境ではビジネスロールと呼ばれます。

次に、SAP セキュリティ管理者は SDK プロファイルへのアクセス`/AWS1/SESS`を許可する認可オブジェクトを追加します。

認証オブジェクト `/AWS1/SESS`
+ フィールド `/AWS1/PROF` = `ZFINANCE`

また、ユーザーを職務に応じて各 SDK プロファイルの論理 IAM ロールにマッピングする必要があります。例えば、レポートへのアクセス権を持つ財務監査人には、`AUDITOR` という論理 IAM ロールの権限が与えられる場合があります。

認証オブジェクト `/AWS1/LROL`
+  フィールド `/AWS1/PROF` = `ZFINANCE`
+  フィールド `/AWS1/LROL` = `AUDITOR`

一方、読み取り/書き込み権限を持つ CFO には、`CFO` の論理的な役割を許可する PFCG ロールが与えられる場合があります。

認証オブジェクト `/AWS1/LROL`
+ フィールド `/AWS1/PROF` = `ZFINANCE`
+ フィールド `/AWS1/LROL` = `CFO`

一般に、ユーザーは SDK プロファイルごとに 1 つの論理 IAM ロールに対してのみ認証される必要があります。ユーザーが複数の IAM ロールに対して承認されている場合 (たとえば、CFO が `AUDITOR` `CFO`と論理 IAM ロールの両方に対して承認されている場合）、 AWS SDK は優先度の高い (シーケンス番号の低い) ロールが有効になるようにすることで、関連付けを解除します。

すべてのセキュリティシナリオと同様に、ユーザーには職務を遂行するための最小特権を与える必要があります。PFCG ロールを管理する簡単な方法は、許可する SDK プロファイルと論理ロールに従って単一の PFCG ロールに名前を付けることです。例えば、ロール `Z_AWS_PFL_ZFINANCE_CFO` はプロファイル `ZFINANCE` と論理 IAM ロール `CFO` へのアクセスを許可します。その後、これらの単一ロールを、職務を定義する複合ロールに割り当てることができます。各企業には役割管理に関する独自の戦略があるため、自社に合った PFCG 戦略を定義することをお勧めします。