Zum Hauptinhalt springen

SAP Sales Cloud (C4C) Integration: Einrichtung und Sicherheitsübersicht

Technischer Leitfaden für IT- und Sicherheitsteams zur SAP Sales Cloud (C4C) Integration von Bliro: Authentifizierungsmodell, CRM-seitige Konfiguration, OData-Scopes mit Begründungen und Tool-basierte Berechtigungen.

Verfasst von Laura Fuchs

Dieser Leitfaden richtet sich an IT-Administratoren und Sicherheitsteams, die die Integration von Bliro mit SAP Sales Cloud (auch bekannt als SAP Cloud for Customer oder C4C) evaluieren. Er beschreibt das Authentifizierungsmodell, die erforderliche Konfiguration auf SAP- und Bliro-Seite, die Durchsetzung von Nutzerberechtigungen sowie die Verwaltung von Tool-Berechtigungen durch Bliros KI-Agenten.

Übersicht

Bliro verbindet sich mit SAP Sales Cloud über den OAuth 2.0 SAML Bearer Assertion Flow (RFC 7522). Ein Organisationsadministrator richtet die Verbindung einmalig auf Organisationsebene in Bliro ein. Bliro nutzt diese Verbindung anschließend, um im Namen jedes Organisationsmitglieds auf SAP C4C zuzugreifen - alle API-Anfragen sind dabei auf die individuellen SAP-Berechtigungen des jeweiligen Nutzers beschränkt. Bliro kann keine Aktion in SAP ausführen, die der zugeordnete SAP-Nutzer nicht ausführen darf.

Anders als bei Bliros Dynamics 365- oder Salesforce-Integrationen verwendet SAP Sales Cloud keinen browserbasierten OAuth-Einwilligungsflow pro Nutzer. Stattdessen konfiguriert der SAP-CRM-Administrator die Vertrauensbeziehung und teilt die Verbindungsdaten mit Bliro. Sobald die Verbindung auf Organisationsebene hergestellt ist, können alle Organisationsmitglieder die Integration nutzen, ohne sich individuell bei SAP anzumelden.

Die Integration funktioniert unabhängig davon, welchen Identity Provider (IdP) der Kunde für sein SAP-System verwendet - Microsoft Entra ID, SAP Cloud Identity Services (IAS), Okta oder ein anderer SAML-kompatibler IdP.


Funktionsweise der Integration

Wenn Bliro im Namen eines Nutzers auf SAP Sales Cloud zugreift, läuft folgender Prozess ab:

  1. Der Bliro-Organisationsadministrator konfiguriert die SAP-Verbindung in den Bliro-Admineinstellungen, indem er die SAP-Tenant-Details, OAuth-Client-Zugangsdaten, OData-Scopes und einen privaten Signierschlüssel eingibt.

  2. Wenn ein Bliro-Nutzer eine Aktion auslöst, die SAP-Daten erfordert (z.B. nach Ende eines Meetings), generiert Bliros Backend eine SAML 2.0 Assertion. Die Assertion identifiziert den Nutzer anhand seiner E-Mail-Adresse und wird mit dem in Schritt 1 konfigurierten privaten Schlüssel signiert.

  3. Bliro sendet die signierte SAML Assertion an den SAP C4C OAuth Token Endpoint und tauscht sie gegen ein kurzlebiges Access Token ein, das an den zugeordneten SAP Named User gebunden ist.

  4. SAP C4C validiert die SAML-Assertion-Signatur anhand des vom SAP-Administrator konfigurierten vertrauenswürdigen Identity Providers, ordnet die E-Mail-Adresse in der Assertion einem SAP Named User zu und stellt das Access Token aus.

  5. Bliro verwendet das Access Token, um die SAP C4C OData API aufzurufen. SAP setzt dabei die Work Center- und View Assignments, Business Roles sowie Zugriffsbeschränkungen des zugeordneten Nutzers bei jeder Anfrage durch.

  6. Wenn das Access Token abläuft (in der Regel nach einer Stunde), generiert Bliro eine neue SAML Assertion und wiederholt den Austausch. Dies geschieht automatisch im Hintergrund, ohne dass eine Nutzerinteraktion erforderlich ist.

Alle SAP-Anfragen sind auf die individuelle SAP-Identität und die Berechtigungen des jeweiligen Nutzers beschränkt. Bliro verwendet niemals einen gemeinsamen technischen Nutzer mit erweiterten Zugriffsrechten.

Voraussetzungen

  • Die Organisation verfügt über einen aktiven SAP Sales Cloud (C4C) Tenant.

  • Ein SAP-CRM-Administrator hat die SAP-seitige Konfiguration aus dem nächsten Abschnitt abgeschlossen (Identity Provider, OAuth-Client, Scopes und Nutzerberechtigungen).

  • Jeder Bliro-Nutzer, der auf SAP-Daten zugreifen soll, muss als Named Business User in SAP C4C mit derselben E-Mail-Adresse wie sein Bliro-Konto vorhanden sein.

  • Der Bliro-Nutzer, der die Integration konfiguriert, muss Organisationsadministrator in Bliro sein.

Einrichtung Teil 1: Konfiguration durch den SAP-CRM-Administrator

Bevor die Integration in Bliro aktiviert werden kann, muss ein SAP-CRM-Administrator die folgenden Schritte im SAP C4C Administrations-Backend abschließen. Diese Schritte etablieren die Vertrauensbeziehung, die es Bliro ermöglicht, Access Tokens im Namen einzelner Nutzer anzufordern.

Schritt 1 - Identity Provider registrieren

Das SAP-System muss dem Zertifikat vertrauen, das Bliro zur Signierung von SAML Assertions verwendet.

  • Navigiere zu Administrator → Allgemeine Einstellungen → OAuth 2.0 Identity Provider Konfiguration.

  • Erstelle einen neuen Identity Provider.

  • Gib einen Issuer Name ein (z.B. Bliro-API-App). Dieser Name muss exakt mit dem Issuer-Wert in den von Bliro generierten SAML Assertions übereinstimmen. Der Bliro-Organisationsadministrator gibt denselben Wert in Bliros SAP-Einstellungen unter "Identity provider name" ein.

  • Lade das öffentliche Signierzertifikat (.cer-Datei) hoch, das von deinem Bliro-Organisationsadministrator bereitgestellt wird.

  • Aktiviere unter Name Identifier Formats die Option E-Mail-Adresse. So ordnet SAP die SAML Assertion einem Named Business User zu.


Schritt 2 - OAuth 2.0 Client registrieren

Dieser Schritt erstellt die technischen API-Zugangsdaten für Bliro.

  • Navigiere zu Administrator → Allgemeine Einstellungen → OAuth 2.0 Client Registrierung.

  • Klicke auf Neu, um einen neuen Client zu erstellen.

  • Wähle im Dropdown SAML Issuer den in Schritt 1 erstellten Identity Provider aus.

  • Speichere die Konfiguration. SAP generiert eine Client ID (z.B. _1829727704O) und ein Client Secret. Notiere beide Werte - der Bliro-Organisationsadministrator benötigt sie.

  • Setze die Token Lifetime auf 3600 Sekunden (1 Stunde) oder deinen bevorzugten Wert.

Schritt 3 - OData Scopes definieren

Der OAuth-Client muss wissen, auf welche SAP-Datenbereiche er zugreifen darf. Scopes werden als Work Center Codes definiert.

  • Öffne in der OAuth 2.0 Client Registrierung den in Schritt 2 erstellten Client.

  • Wähle unter Registered Scopes die Work Centers aus, auf die Bliro zugreifen können soll.

Gängige Scopes für eine typische Vertriebsintegration:

Scope

Beschreibung

UIWC:CODACCOUNTWC

Unternehmenskonten

UIWC:CODPARTNERWC

Partner

UIWC:CODPEOPLE

Personen / Kontakte

UIWC:COD_ACTIVITIES

Aktivitäten (Besuche, Anrufe, Aufgaben)

UIWC:CC_HOME

Home (allgemeiner Zugriff)

Weitere Scopes können je nach Anwendungsfall hinzugefügt werden. Vergib nur die Scopes, die für deinen Geschäftsprozess erforderlich sind.


Schritt 4 - Business User Berechtigungen prüfen

Das OAuth Access Token verwendet die Identität eines echten SAP Business Users. Dieser Nutzer muss in SAP C4C vorhanden sein und über die entsprechenden Lese- und Schreibberechtigungen verfügen.

  • Navigiere zu Administrator → Benutzerverwaltung → Business Users.

  • Suche nach dem Nutzer, dessen E-Mail-Adresse mit dem Bliro-Konto übereinstimmt (z.B. [email protected]).

  • Öffne die Zugriffsrechte des Nutzers.

  • Prüfe im Tab Work Center und View Assignments, ob die erforderlichen Work Centers dem Nutzer zugewiesen sind (z.B. CODACCOUNTWC für den Zugriff auf Konten).

Wiederhole diesen Schritt für jeden Nutzer, der die Bliro-Integration verwenden soll. Nutzer, deren E-Mail-Adresse keinem SAP Business User entspricht oder deren Business User nicht über die erforderlichen Work Center Assignments verfügt, erhalten eine Fehlermeldung, wenn Bliro versucht, in ihrem Namen auf SAP zuzugreifen.


Einrichtung Teil 2: Konfiguration durch den Bliro-Organisationsadministrator

Sobald der SAP-CRM-Administrator die oben genannten Schritte abgeschlossen hat, konfiguriert der Bliro-Organisationsadministrator die Verbindung in Bliro.

  • Öffne in Bliro Integrationen und wähle SAP aus.

  • Gib die folgenden Werte ein, die vom SAP-CRM-Administrator bereitgestellt werden:

Feld

Beschreibung

Tenant

Die SAP C4C Tenant-Subdomain (z.B. my370045-sso).

Identity provider name

Der Issuer Name, der im SAP Identity Provider konfiguriert wurde (Schritt 1). Muss exakt übereinstimmen.

Client ID

Die OAuth Client ID aus Schritt 2 (z.B. _1829727704O).

OData scopes

Die Work Center Scope Codes aus Schritt 3, durch Leerzeichen getrennt (z.B. UIWC:CODACCOUNTWC UIWC:CODPARTNERWC UIWC:CODPEOPLE UIWC:CC_HOME).

Client secret

Das OAuth Client Secret aus Schritt 2.

Signing private key (PEM)

Der PEM-kodierte private Schlüssel, der dem in SAP in Schritt 1 hochgeladenen öffentlichen Zertifikat entspricht.

  • Klicke auf Konfiguration speichern. Bliro validiert die Verbindung durch einen Test-Token-Austausch.

  • Nach erfolgreicher Verbindung wird die Integration an alle Organisationsmitglieder propagiert. Konfiguriere anschließend die Tools & Berechtigungen, die Bliro verwenden darf (siehe unten).

Account-Zuordnung

Bliro ordnet jedes Organisationsmitglied seinem SAP Business User anhand der E-Mail-Adresse zu. Wenn Bliro eine SAML Assertion für einen Nutzer generiert, setzt es das Subject (NameID) der Assertion auf die Bliro-E-Mail-Adresse des Nutzers. SAP C4C sucht dann den Business User mit der passenden E-Mail-Adresse.

Das bedeutet:

  • Jeder Bliro-Nutzer, der SAP-Zugriff haben soll, muss einen entsprechenden SAP Business User mit derselben E-Mail-Adresse haben.

  • Wenn die E-Mail-Adresse eines Bliro-Nutzers keinem SAP Business User entspricht, lehnt SAP die Token-Anfrage ab und der Nutzer sieht eine Fehlermeldung in Bliro.

  • Organisationsadministratoren sollten die SAP-Integration nur für Nutzer aktivieren, die über aktive SAP-Konten verfügen. Nutzer ohne SAP-Zugriff können SAP-bezogene Tools in Bliro nicht verwenden.


Tools und Berechtigungen

Auch mit einer gültigen SAP-Verbindung führt Bliro standardmäßig keine SAP-Operationen aus. Jede einzelne Aktion, die Bliro ausführen kann - z.B. Konto lesen, Besuchsbericht erstellen oder Kontakt aktualisieren - ist als Tool mit einer eigenen Berechtigungsstufe modelliert und wird von einem Organisationsadministrator konfiguriert.

Eine vollständige Erläuterung des Tool-Modells, der Berechtigungsstufen, des "Ask for Permission"-Flows und der Durchsetzung abgelehnter Tools findest du unter KI-Tools und Berechtigungen.

Um über einzelne Tool-Aufrufe hinauszugehen und wiederholbare, mehrstufige Workflows für dein Team zu definieren (zum Beispiel automatisch einen Besuchsbericht in einem bestimmten Format nach jedem Meeting zu erstellen), siehe KI-Skills.

Sicherheitsaspekte

  • Nutzerbezogener Zugriff. Jeder SAP-API-Aufruf erfolgt im Kontext der individuellen SAP-Identität des Nutzers. SAP C4C setzt dabei die Work Center- und View Assignments, Business Roles sowie Zugriffsbeschränkungen des Nutzers bei jeder Anfrage durch. Bliro kann nicht auf Datensätze zugreifen oder Aktionen ausführen, die der zugeordnete SAP-Nutzer nicht ausführen kann.

  • Kein gemeinsamer technischer Nutzer. Bliro verwendet keinen einzelnen technischen Integrationsnutzer mit weitreichenden Berechtigungen. Jeder API-Aufruf wird als individueller Named Business User authentifiziert, wodurch die nutzerbezogene Datentrennung gewährleistet wird.

  • IdP-unabhängig. Die Integration funktioniert unabhängig davon, welchen Identity Provider der Kunde für sein SAP-System verwendet (Microsoft Entra ID, SAP Cloud Identity Services, Okta oder andere). Die SAML Assertion wird von Bliro signiert und direkt von SAP validiert - der IdP des Kunden ist nicht im Laufzeitpfad involviert.

  • Credential-Speicherung. Das Client Secret und der private Signierschlüssel werden verschlüsselt in Bliros Backend gespeichert. Access Tokens sind kurzlebig (in der Regel eine Stunde) und werden nur für die Dauer ihrer Gültigkeit zwischengespeichert. Bliro speichert keine SAP-Nutzerpasswörter.

  • Nachvollziehbarkeit in SAP. Da Bliro als individueller Named User agiert, wird jeder Lese- und Schreibvorgang diesem Nutzer in den Änderungs- und Auditprotokollen von SAP C4C zugeordnet und ist über native SAP-Tools einsehbar.

  • Prinzip der minimalen Rechtevergabe. Die auf dem OAuth-Client konfigurierten OData-Scopes definieren die maximalen Datenbereiche, auf die die Integration zugreifen kann. Innerhalb dieser Scopes wird der Zugriff jedes Nutzers durch seine individuellen Work Center- und View Assignments weiter eingeschränkt. Organisationsadministratoren sollten nur die Scopes vergeben, die für ihren Geschäftsprozess erforderlich sind.

Verbindung trennen und Zugriff widerrufen

Von Bliro aus: Der Bliro-Organisationsadministrator kann die SAP-Integration jederzeit über die SAP-Integrationsseite durch Klicken auf Verbindung trennen deaktivieren. Dadurch werden die gespeicherten Zugangsdaten (Client Secret und privater Signierschlüssel) aus Bliro entfernt und Bliros Zugriff auf SAP für alle Organisationsmitglieder beendet.

Von SAP aus: Der SAP-CRM-Administrator kann den Zugriff von Bliro jederzeit widerrufen, indem er:

  • Den OAuth 2.0 Client unter Administrator → Allgemeine Einstellungen → OAuth 2.0 Client Registrierung löscht oder deaktiviert.

  • Den Identity Provider unter Administrator → Allgemeine Einstellungen → OAuth 2.0 Identity Provider Konfiguration entfernt oder deaktiviert.

  • Die Work Center Assignments einzelner Nutzer entfernt, um den Zugriff auf Nutzerbasis einzuschränken.

IT-Sicherheitsmaterial

Für Bliros allgemeinen Ansatz zu Sicherheit und Datenschutz siehe unser Trust Center.


Kontakt und Hilfe

Fragen zur SAP Sales Cloud Integration, zur Scope-Konfiguration oder zur Nutzerzuordnung? Kontaktiere uns unter [email protected].

Verwandte Artikel
Microsoft Dynamics 365-Integration: Einrichtung und Sicherheitsübersicht
Salesforce-Integration: Einrichtung und Sicherheitsübersicht
HubSpot-Integration: Einrichtung und Sicherheitsübersicht
Microsoft Outlook Calendar-Integration: Einrichtung und Sicherheitsübersicht
Google Calendar-Integration: Einrichtung und Sicherheitsübersicht
Hat dies deine Frage beantwortet?