はじめに
今回は、Fiori Appをラウンチパッドから実行する際に必要な権限の概要についてまとめます。設定の具体的な方法(ステップ)については他の資料を参照することとし、当記事では割愛します。
Fioriを使う場合、ロールに組み込む対象が従来と比べてかなり増えます。それぞれどのような目的のものなのか理解できるように、この記事を書きました。
Fiori Launchpadからアプリを実行するときに何が起きているか
ユーザがFiori Launchpadにログインし、何らかのアプリを実行してデータを照会する場合を考えます。このとき、裏では次のようなことが起きていて、それぞれのステップに権限が関係しています。
図で表すと以下のようになります。
UI Content and Authorization Conceptの図に加筆
整理すると、フロントエンド、バックエンドそれぞれで以下の権限が必要となります。
参考:General Authorizations Required for SAP Fiori
基本の権限
基本の権限設定については以下のドキュメントを参考にしてください。
Configuring Roles with Launchpad Start Authorizations
SAP Fiori LL20 – Role and Authorization settings for SAP Fiori launchpad
特定のアプリを使うための権限
特定のアプリをラウンチパッドで使えるようにするために必要な設定について説明します。
フロントエンド
タイル表示用の権限
タイルを表示させるためには、カタログとグループというオブジェクトが必要です。カタログとは、あるロールで使えるすべてのアプリの集合です。一方グループは、カタログから特定のアプリ(あるいは全部のアプリ)を抜き出したものです。ラウンチパッドにログインしたときに最初に表示されるのはグループに入っているアプリです。ユーザはカタログから好きなアプリを選択してラウンチパッドに追加することができます。
カタログはタイルとターゲットマッピングから構成されます。
タイルはラウンチパッドから見えるアイコンで、セマンティックオブジェクトとアクションの組を介してターゲットマッピングにつながっています。
セマンティックオブジェクトとは、たとえば"SalesOrder"など、操作対象を表すものです。
ターゲットマッピングにはタイルが選択されたときに起動するFiori Appの情報を設定します。
「セマンティックオブジェクトとアクションの組」はIntentと呼ばれ、タイルをクリックしたときのURLの一部になります。これによってアプリが一意に識別されます。以下の画面で、Intenthは#以降の部分です。
OData(Model)参照権限
アプリで使うODataのモデルを参照するための権限も必要です。モデルとは、ODataが持っているEntity Setなどの情報(metadata)のことです。ODataの参照権限は、ロールにカタログを割り当てたときに自動的に設定されます。
バックエンド
OData(Data)参照権限
バックエンドでもODataサービスの権限が必要になります。
ODataサービスの権限を割り当てる方法は2つあり、一つ目の方法が推奨されています。
①フロントエンドのカタログを参照して割り当て
②マニュアルで割り当て
①の場合、カタログに変更があった場合にレポート(PRGN_COMPARE_ROLE_MENU)を実行すると、更新が必要なロールがわかります。
以下のドキュメントのリンク先に、①の手順について記載されています。
SAP S/4HANA – How to Create and Generate Backend Security Authorizations for SAP Fiori 2.0
ビジネスオブジェクトに対する権限
上記のドキュメントによれば、カタログを参照してバックエンドのロールを作成すると、ビジネスオブジェクトに対する権限も自動的に割り当たります。
カタログを参照しない場合は、自分で一から必要な権限を割り当てる必要があります。
参考
ヘルプ
SAP Fiori: App Implementation(権限の概要)
SAP Fiori Launchpad(権限設定の手順)
ブログ
SAP Fiori LL20 – Role and Authorization settings for SAP Fiori launchpad(基本の権限設定の手順)
Creating PFCG Role on Back End for Launchpad Catalogs(バックエンドでの権限割当の手順)