SAP BTP

In der klassischen ABAP-/S/4HANA-Welt werden Berechtigungen über PFCG‑Rollen realisiert, mit Autorisierungsobjekten, die spezifische Felder und Werte definieren. Diese Rollen werden über Benutzern direkt zugewiesen. In der SAP BTP sieht das anders aus: Das Berechtigungsmodell ist klar in Plattform‑ und Business‑User unterschieden. Plattform-User (z. B. Administratoren oder Entwickler) erhalten Zugriff über Role Collections, die je nach Ebene (Global‑Account, Directory, Subaccount, Umgebung) separat definiert werden. Role Collections bündeln Rollen, die wiederum Zugriff auf Services, Ressourcen oder Anwendungen gewähren. Business-User nutzen die bereitgestellten Apps – ihre Rechte kommen über Business Roles, Catalogs und Restrictions, z. B. auf Organisationsebene (Firma, Kostenstelle).

👉 Warum ist das so fundamental verschieden? Hierarchische Verwaltung vs. zentrales Schema

BTP strukturiert Berechtigungen entlang mehrerer Ebenen – von Global Account bis zur ABAP-Umgebung. Jede Ebene verwaltet eigene Rollen und Role Collections, die nicht miteinander austauschbar sind. In S/4HANA dagegen läuft alles über einen zentralen Authorization Layer, in dem Rollen systemweit gelten.

Rollenzuweisung und Rollen-Typen.

In der BTP werden nur Role Collections (nicht einzelne Rollen) zugewiesen – sie sind containerisiert und baumbasiert. Business Roles in der ABAP-Umgebung enthalten zusätzlich Catalogs & Restrictions zur feingranularen Steuerung. In S/4 hingegen existieren reine technische Rollen oder kombinierte Business Rollen, die direkt über PFCG und SU01 vergeben werden.

Feingranularität & Einschränkungen

BTP ermöglicht in ABAP-Umgebung Business Roles mit Restrictions auf Datenebene, z. B. Unternehmenscode oder Plant. In der Cloud Foundry wird gar Kubernetes‑RBAC eingesetzt, etwa auf Namespace- oder Cluster-Ebene. In S/4HANA erfolgt die Kontrolle über klassische Autorisierungsobjekte – sehr mächtig, aber standardisiert per Transaktion oder Fiori‑App.

Identity Management & Provisionierung

Während S/4HANA-User meist systemintern gepflegt werden (mit optionalem SSO), nutzt BTP moderne SAP Cloud Identity Services für Provisionierung, Gruppen-SCIM, Federation mit externen IdPs und zentrale Rollenvergabe – komplett cloud-nativ und automatisierbar.

🎯 Fazit: Berechtigungen in SAP BTP sind nicht einfach eine Cloud-Version der S/4HANA‑Rollen – sie sind ein neues Paradigma: Containerisierte Zuweisung über Hierarchie-Ebenen Trennung von Plattform- und Business-Nutzern Nutzung von Role Collections, Business Roles mit Restrictions und Kubernetes‑RBAC

Zentrales Identity Management via Cloud Identity Services

Im Gegensatz dazu basieren ABAP-/S/4HANA-Berechtigungen auf einem klassischen, systemzentrierten Modell mit PFCG-Rollen, SU-Berechtigungen und handgepflegten Autorisierungsobjekten.