権限ロール

概要

Palantir Foundry Connector 2.0 for SAP（以下、「Connector」）で使用されるロールは4種類あります。

• サービスロール: これらのロールはConnectorの実行に必要です。これらのロールを変更しないでください。
  • /PALANTIR/SERVICE_SLT: PalantirのSLT用サービスロール
  • /PALANTIR/SERVICE_SLT_740: NetWeaver 7.4用のPalantirサービスロール
  • /PALANTIR/SERVICE_USER: Palantirのサービスロール
• コンテンツロール: これらのロールは、SAPシステムからデータを抽出するために必要です。これらのロールは、ビジネス要件に応じてコピーおよび変更できます。
  • /PALANTIR/CONTENT_BEX_ALL: BExアクセスロール
  • /PALANTIR/CONTENT_DM_ALL: データモデルアクセスロール
  • /PALANTIR/CONTENT_EXT_ALL: 抽出コンテンツアクセス
  • /PALANTIR/CONTENT_FUNCTION_ALL: 関数アクセスロール
  • /PALANTIR/CONTENT_INFOPROV_ALL: InfoProviderコンテンツアクセス
  • /PALANTIR/CONTENT_SLT_ALL: SLTアクセスロール
  • /PALANTIR/CONTENT_TABLE_ALL: テーブルコンテンツアクセス
  • /PALANTIR/CONTENT_TCODE_ALL: トランザクションコードコンテンツアクセス
  • /PALANTIR/CONTENT_HANAVIEW_ALL: HANA情報ビューコンテンツアクセス
  • /PALANTIR/CONTENT_CDS_ALL: ABAP CDSビューコンテンツアクセス
• 書き戻しロール: FoundryからSAPシステムへの書き戻しが有効になっている場合、これらのロールが必要です。
  • /PALANTIR/OAUTH_CLIENT: Palantir Foundry OAuth 2.0クライアントロール
• 監視およびデバッグロール: これらのロールは、リモート監視を可能にするために、SAPシステム情報をFoundryに公開するために必要です。
  • /PALANTIR/MONITORING: 監視
  • /PALANTIR/DEBUG_USER: デバッグユーザーアクセス

サービスロール

• /PALANTIR/SERVICE_USER: これは、ユーザーがConnectorサービスを実行するための基本ロールです。このロールは、Connectorへのすべてのリクエストでチェックされます。このロールに含まれる認証オブジェクトは次のとおりです。
  • /PALAU/SRV: Palantirサービス認証オブジェクト、03（表示）および16（実行）のアクティビティ付き。
  • S_BTCH_JOB: （バックグラウンド処理：バックグラウンドジョブの操作）Connectorはバックグラウンドジョブ（例えば、ページングやハウスキーピング操作）を実行するため、この認証オブジェクトが必要です。
  • S_TCODE: （トランザクション開始時のトランザクションコードチェック）これは、SU53およびST22トランザクション（SAPにおける認証チェックツールおよびランタイムエラー）専用で、デバッグと適切なログ記録メカニズムに必要です。
  • S_RFC_ADM: （RFC宛先の管理）このオブジェクトは、RFC接続がライブであり、認証テストがチェックされているかどうかを確認するための36（チェック）および39（拡張チェック）のアクティビティです。
  • S_RFC: （RFCアクセスの認証チェック）このオブジェクトは、SLTおよびリモートエージェントシナリオでのリモート関数呼び出しを実行するための16（実行）のアクティビティです。

以下のロールは、SAP Landscape Transformation Replication Serverに接続している場合にのみ必要です：

• /PALANTIR/SERVICE_SLT: このロールは、SLT APIを実行するために必要です。このロールに含まれる認証オブジェクトは次のとおりです。
  • S_DMIS: （SAP SLOデータ移行サーバーの権限オブジェクト）このオブジェクトは、APIエンドポイントをチェックし、それらを呼び出すために03（表示）のアクティビティに制限されています。
• /PALANTIR/SERVICE_SLT_740: SAP SLTがNetWeaver 7.4+で実行されている場合、追加の認証オブジェクトが必要です。これらのオブジェクトは次のとおりです。
  • S_DMC_S_R: （MWB：送信者/受信者での読み書き権限）このオブジェクトは、FoundryのSLTキューにアクセスするために必要です。
  • S_BTCH_ADM: （バックグラウンド処理：バックグラウンド管理者）このオブジェクトは、SAP SLTを代理としてConnectorのバックグラウンドジョブを管理します。例えば、レプリケーションオブジェクト定義、レプリケーションプロセスオブジェクト、SLTキューへのレプリケーション開始などです。
  • S_DMIS: （SAP SLOデータ移行サーバーの権限オブジェクト）このオブジェクトは、APIエンドポイントをチェックし、それらを呼び出すために03（表示）のアクティビティに制限されています。
  • S_DMIS_MOM: （MWB /移行オブジェクトモデラーの認証）

コンテンツロール

これらのロールは例として含まれています。これらのロールをコピーし、システム内の所望のオブジェクトへのアクセスを制限することで、認証プロファイルの内容を調整してください。

Connectorのロール

• /PALANTIR/CONTENT_TABLE_ALL: このロールは、データベーステーブルとビューからデータを抽出するために必要です。
  • /PALAU/TAB: Palantirテーブル認証オブジェクト：すべてのテーブルがデフォルトで許可されており、*ワイルドカードが使用されています。
• /PALANTIR/CONTENT_DM_ALL: このロールは、データベーステーブルからデータモデルを抽出するために必要です。
  • /PALAU/DMO: Palantirデータモデル認証オブジェクト：すべてのテーブルがデフォルトで許可されており、*ワイルドカードが使用されています。
• /PALANTIR/CONTENT_FUNCTION_ALL: このロールは、SAPシステムからRFC関数を実行するために必要です。使用されるビジネス関数によっては、追加の認証が必要になる場合があります。
  • /PALAU/FUN: Palantir関数認証オブジェクト：すべての関数がデフォルトで許可されており、*ワイルドカードが使用されています。
• /PALANTIR/CONTENT_TCODE_ALL: このロールは、SAPシステムからトランザクションコード（ALV SE38レポート）を実行するために必要です。使用されるビジネス関数によっては、追加の認証が必要になる場合があります。
  • /PALAU/TCO: Palantir Tcode認証オブジェクト：すべてのtcodesがデフォルトで許可されており、*ワイルドカードが使用されています。
• /PALANTIR/CONTENT_HANANVIEW_ALL: このロールは、HANA情報ビューからデータを抽出するために必要です。
  • /PALAU/HAN: Palantir HANA認証オブジェクト：すべてのHANA情報ビューがデフォルトで許可されており、*ワイルドカードが使用されています。
• /PALANTIR/CONTENT_CDS_ALL: このロールは、ABAP CDSビューからデータを抽出するために必要です。
  • /PALAU/CDS: Palantir CDS認証オブジェクト：すべてのCDSビューがデフォルトで許可されており、*ワイルドカードが使用されています。

以下のロールは、SAPビジネスウェアハウス（BW）サーバーに接続している場合にのみ必要です：

• /PALANTIR/CONTENT_BEX_ALL: このロールは、SAP BW（ビジネスウェアハウス）BExクエリからデータを抽出するために必要です。
  • /PALAU/BEX: （Palantir BEx認証オブジェクト）：すべてのBExクエリがデフォルトで許可されており、*ワイルドカードが使用されています。
• /PALANTIR/CONTENT_EXT_ALL: このロールは、SAP BW（ビジネスウェアハウス）Extractor（ODP有効）からデータを抽出するために必要です。
  • /PALAU/EXT: Palantir Extractor認証オブジェクト：すべてのODP有効なextractorがデフォルトで許可されており、*ワイルドカードが使用されています。
• /PALANTIR/CONTENT_INFOPROV_ALL: このロールは、SAP BW（ビジネスウェアハウス）InfoProvidersからデータを抽出するために必要です。
  • /PALAU/INF: Palantir InfoProvider認証オブジェクト：すべてのInfoProvidersがデフォルトで許可されており、*ワイルドカードが使用されています。
  • S_RS_AUTH: BI Analysis Authorizations in Role: これはBWシステム内のすべての分析認証です。適宜調整してください。
  • S_RS_COMP: Business Explorer - Components: これはBWシステム内のすべてのBExオブジェクトの認証です。適宜調整してください。
  • S_RS_COMP1: Business Explorer - Components: Enhancements to the Owner: これはBWシステム内のすべてのBExオブジェクトの認証です。適宜調整してください。

以下のロールは、SAP Landscape Transformation（SLT）Replication Serverに接続している場合にのみ必要です：

• /PALANTIR/CONTENT_SLT_ALL: このロールは、接続されたシステムからのテーブルをSAP SLTにレプリケーションしているSLTキューからデータを抽出するために必要です。
  • /PALAU/SLT: （Palantir SLT認証オブジェクト）：すべてのテーブルがデフォルトで許可されており、*ワイルドカードが使用されています。

書き戻しロール

• /PALANTIR/OAUTH_CLIENT: このロールは、FoundryからSAPシステムへの書き戻しが有効化されている場合に必要です。これはOAuth 2.0設定に必要な認証オブジェクトを提供します。
  • S_SERVICE: 外部サービスの開始時のチェック。これらのサービスは/PALANTIR/*サービスで制限されています。
  • S_OA2C_ADM: OAuth 2.0クライアント設定
  • S_OA2C_USE: OAuth 2.0クライアントの使用
  • S_SCOPE: OAuth 2.0スコープ。このロールは、SAP関数を使用してPalantir Foundryの書き戻し用の/PALANTIR/SRV_0001スコープに制限されています。

監視およびデバッグのロール

• /PALANTIR/MONITORING: このロールは、Connectorを通じてSAPシステムのリモート監視を有効にするために必要です。ランタイムエラー分析（ST22）、SAPシステムログ（SM21）、SAPバックグラウンドジョブモニタリング（SM37）、認証分析（SU53）、インターネットコミュニケーションマネージャ（ICM）、システムリソースモニタリング（ST02,ST06）、SAP SLTコックピット（LTRC）、SAP SLT運用デルタキューモニタリング（ODQMON）など、幅広いシステム情報を提供します。
• /PALANTIR/DEBUG_USER: このロールは、インシデントが発生した場合のPalantirサポートに必要です。開発者はSAPシステムで問題をデバッグする必要があります。このロールは、Connector開発チームに必要なすべての認証オブジェクトを集めます。

リモートエージェントのロール

リモートエージェントのロールは、主要なコネクターの対応するロールと同じです。これらのロールは、Connectorリモートエージェントがインストールされているリモートシステムで維持できます。

NetWeaver 7.0以降のロール

• /PALANTIR/CONTENT_RBEX_ALL: リモートBExコンテンツアクセス
• /PALANTIR/CONTENT_RFUNCT_ALL: リモート関数コンテンツアクセス
• /PALANTIR/CONTENT_RTCODE_ALL: リモートトランザクションコードコンテンツアクセス
• /PALANTIR/CONTENT_RINFOPRV_ALL: リモートInfoProviderコンテンツアクセス
• /PALANTIR/CONTENT_RTABLE_ALL: リモートテーブルコンテンツアクセス
• /PALANTIR/SERVICE_USER: Palantirサービスロール

ベースリリース46C、620または640のロール

• /PALAGT47/CONTENT_RTABLE_ALL: リモートテーブルコンテンツアクセス
• /PALAGT47/SERVICE_USER: Palantirサービスロール