Onboarding Leitfaden
Technische Einrichtung für den FinOptory Managed Service · Stand: März 2026
Dieser Leitfaden beschreibt die Schritte für den Start des FinOptory Managed Service. Die Einrichtung erfolgt gemeinsam mit Ihrem FinOptory-Berater und dauert in der Regel vier Wochen.
Zeitplan
Woche 1
Zugänge & Unterlagen
Woche 2 und 3
Analyse
Woche 4
Onboarding
Ab Woche 5
Service Delivery
Übersicht
S-User Einrichtung
SAP for Me Berechtigungen für Vertragsüberwachung
Verantwortlich: Ihr SAP Basis Administrator
SAP API-Anbindung
BTP und Cloud ALM Service Keys für automatische Datensynchronisation
Verantwortlich: Ihr BTP Administrator
Vertragsdokumente
SAP Order Forms, Amendments, Rechnungen und Preislisten
Verantwortlich: Ihr Vertragsverantwortlicher
Plattform-Zugang und Rollen
Benutzer einladen, Rollen zuweisen, Vertragszugriff konfigurieren
Verantwortlich: FinOptory gemeinsam mit Ihnen
Microsoft Entra ID (optional)
Single Sign-On, MFA und automatische Benutzerbereitstellung
Verantwortlich: Ihr Azure AD Administrator
KI-Integration (optional)
Vertragsdaten in ChatGPT oder Gemini abfragen
Verantwortlich: Ihr IT-Team
1. S-User Einrichtung
FinOptory benötigt einen S-User mit lesenden Berechtigungen auf dem SAP for Me Portal (me.sap.com), um Ihre SAP-Vertragsdaten, Lizenznutzung, Cloud-Infrastruktur und Abrechnungen laufend zu überwachen und auszuwerten. Ohne diesen Zugang ist ein datenbasiertes Vertragsmanagement nicht möglich.
Der Zugriff erfolgt über einen dedizierten S-User unter Ihrer SAP-Kundennummer, der von Ihrem Super Administrator oder Cloud Administrator angelegt und verwaltet wird. FinOptory erhält damit ausschliesslich lesenden Zugriff. Schreibende Aktionen (Cases erstellen, Lizenzen bestellen, Systemdaten ändern) sind bewusst nicht enthalten. Die Datenverarbeitung ist über den Auftragsverarbeitungsvertrag (AVV) zwischen Ihnen und FinOptory geregelt.
Berechtigungsebene
FinOptory empfiehlt die Vergabe auf Global-Ebene. Damit ist sichergestellt, dass alle SAP-Verträge unter Ihrer Kundennummer vollständig erfasst werden, einschliesslich vertraglicher Querabhängigkeiten wie Volumenrabatte, Laufzeitüberschneidungen und Konsolidierungspotenziale.
Wenn Sie den FinOptory Managed Service nur für ausgewählte Verträge nutzen möchten, können die Berechtigungen auf Installations-Ebene eingeschränkt werden. In diesem Fall vergeben Sie die Berechtigungen nur für die relevanten SAP-Installationsnummern.
SAP for Me Portal
| Berechtigung | Zweck |
|---|---|
| Display Order Information | Vertragsdaten, Bestellungen und Laufzeiten einsehen |
| Access License Utilization (OnPrem, Cloud, Private Cloud) | FUE-Verbrauch und Lizenznutzung überwachen |
| Manage Invoices and Payments | Rechnungen und Zahlungsstatus prüfen |
| Access Compliance Documents | Vertragsdokumente und Compliance-Nachweise einsehen |
| Manage cloud credits | BTP-Credit-Verbrauch und Kontingente überwachen |
SAP Cloud Products
| Berechtigung | Zweck |
|---|---|
| Display Cloud Data | Cloud-Systemlandschaft, Verfügbarkeit und Provisioning-Status einsehen |
| Display Service Request | Bestehende Cloud Service Requests nachverfolgen |
Installation and System Management
| Berechtigung | Zweck |
|---|---|
| Display System Data | Systemlandschaft und Installationsdaten einsehen |
| Manage Shared Hardware & Cloud Measurements | Hardware- und Infrastruktur-Metriken der Cloud-Umgebung einsehen |
Case Management
| Berechtigung | Zweck |
|---|---|
| Display all Cases | Alle Support Cases unter Ihrer Kundennummer einsehen |
Reports
| Berechtigung | Zweck |
|---|---|
| Service Reports and Feedback | SLA-Berichte und Service-Auswertungen abrufen |
| Display Security Alerts | Sicherheitsmeldungen und -empfehlungen einsehen |
| Display Support Situation Reporting | Support-Auswertungen und Trends nachverfolgen |
| Manage Alert(s) in SAP EarlyWatch Alert | Systemgesundheit und Performanceanalysen überwachen |
| Display/Manage SAP Readiness Check Analysis | Upgrade-Readiness und Systemprüfungen einsehen |
Zusammenfassung: 15 Berechtigungen
| Kategorie | Anzahl |
|---|---|
| SAP for Me Portal | 5 |
| SAP Cloud Products | 2 |
| Installation and System Management | 2 |
| Case Management | 1 |
| Reports | 5 |
| Gesamt | 15 |
Schritt-für-Schritt: S-User anlegen
- SAP for Me öffnen und mit Ihrem Administrator-S-User anmelden (me.sap.com)
- User Management aufrufen (Menü: Users & Contacts > User Management)
- Neuen S-User anlegen: Klicken Sie auf "Create User" und geben Sie die Kontaktdaten des FinOptory-Beraters ein, den Sie von uns erhalten
- Berechtigungen zuweisen: Wechseln Sie auf den Tab "Authorizations" und vergeben Sie die 15 Berechtigungen aus den obigen Tabellen
- Berechtigungsebene wählen: Wählen Sie "Global" (empfohlen) oder die gewünschten Installationsnummern
- Speichern und aktivieren: Der neue S-User erhält eine Aktivierungsmail von SAP
Nach der Einrichtung teilen Sie uns die S-User-ID (Format: S00XXXXXXXXX) mit. FinOptory verifiziert den Zugriff und bestätigt die erfolgreiche Einrichtung.
Hinweise zum S-User
Dedizierter Zugang: Ihr Administrator legt einen eigenen S-User für FinOptory an. Bestehende S-User-Zugangsdaten werden nicht weitergegeben.
Berechtigungen mit "Manage" im Namen: Einige SAP-Berechtigungen tragen den Zusatz "Manage" (z.B. Manage Invoices and Payments), obwohl FinOptory nur lesenden Zugriff benötigt. In der SAP-Berechtigungsstruktur existiert für diese Bereiche keine separate Display-Berechtigung. FinOptory nutzt diese Zugänge ausschliesslich zum Lesen. Im Rahmen des Onboardings dokumentieren wir gemeinsam mit Ihnen die Nutzungsgrenzen.
Anpassungen: Falls Ihre SAP-Landschaft besondere Anforderungen hat (z.B. Customer Center of Expertise mit mehreren Kundennummern), stimmen wir die Berechtigungsstruktur im Onboarding individuell ab.
2. SAP API-Anbindung
FinOptory synchronisiert Daten aus Ihrer SAP-Landschaft automatisch über offizielle SAP APIs. Das ersetzt die manuelle Datenpflege für Systemlandschaften, BTP-Verbrauch, Berechtigungen und Subaccount-Strukturen. Die Synchronisation erfolgt täglich und automatisch.
Verfügbare Verbindungen
| Verbindung | Daten |
|---|---|
| Cloud ALM | Cloud Services und technische Systeme aus Ihrer Systemlandschaft |
| BTP Consumption | Cloud-Credit-Verbrauch und monatliche Kosten pro Subaccount |
| BTP Entitlements | Service-Kontingente, Plan-Zuweisungen und Nutzung |
| BTP Accounts | Subaccount-Hierarchie einschliesslich Directories, Regionen und Produktionsklassifikation |
Service Key erstellen (BTP APIs)
Alle drei BTP-Verbindungen (Consumption, Entitlements, Accounts) nutzen denselben Service Key. Er muss nur einmal erstellt werden.
Schritt A: Service berechtigen (Global Account Admin erforderlich)
- SAP BTP Cockpit öffnen und zum Global Account navigieren (oberste Ebene, nicht Subaccount)
- Entitlements > Entity Assignments aufrufen
- Den Subaccount auswählen, in dem die Instanz erstellt werden soll
- "Configure Entitlements" > "Add Service Plans" klicken
- Nach "cis" oder "Cloud Management" suchen
- Den Plan central auswählen > "Add Service Plans" > Speichern
Schritt B: Service-Instanz erstellen
- In den Subaccount navigieren > Services > Service Marketplace
- Nach "Cloud Management Service" suchen
- "Create" klicken > Plan "central" > Namen vergeben > Create
Schritt C: Service Key erstellen
- Services > Instances and Subscriptions aufrufen
- Die Instanz im Tab "Instanzen" finden und anklicken
- Tab "Service Keys" > "Create Service Key" > Namen vergeben > Create
- "View" klicken und das vollständige JSON kopieren
- Das JSON im FinOptory Setup-Assistenten einfügen (Settings > SAP Connections > "Add Connection")
Das JSON enthält clientid, clientsecret, url (Token-URL) und endpoints (API Base URL). FinOptory extrahiert alle Felder automatisch.
Service Key erstellen (Cloud ALM)
Cloud ALM benötigt einen eigenen Service Key im Cloud ALM Subaccount:
- SAP BTP Cockpit öffnen und zum Cloud ALM Subaccount navigieren
- Services > Service Marketplace aufrufen
- Nach "SAP Cloud ALM API" (oder "calm") suchen
- "Create" klicken > Plan "Landscape Management" auswählen > Create
- Instances and Subscriptions > Instanz anklicken > "Service Keys" > "Create Service Key"
- Das vollständige JSON kopieren und in FinOptory einfügen
Cloud ALM muss in Ihrer BTP-Landschaft provisioniert und aktiviert sein, bevor der API-Service im Marketplace verfügbar ist.
Einrichtung in FinOptory
Über den Setup-Assistenten in Settings > SAP Connections > "Add Connection":
- Verbindungstyp auswählen (Cloud ALM, BTP Consumption, Entitlements oder Accounts)
- Das vollständige Service Key JSON einfügen
- Die extrahierten Felder prüfen (Token URL, API Base, Client ID, Secret)
- Verbindung testen
Nach erfolgreicher Einrichtung synchronisiert die Verbindung automatisch im Tagesrhythmus.
Fehlerbehebung
"Service not found in Marketplace": Der Service ist möglicherweise nicht für Ihren Subaccount berechtigt. Unter Entitlements > Configure Entitlements den Plan "central" für "Cloud Management" hinzufügen.
"No Create button": Sie benötigen die Rolle "Subaccount Administrator". Ihr Global Account Administrator kann diese Rolle zuweisen.
Cloud Management nicht verfügbar: Ihr BTP-Vertrag enthält diesen Service möglicherweise nicht. Klären Sie die Berechtigung mit Ihrem SAP Account Executive.
3. Vertragsdokumente
Für die Vertragsanalyse benötigen wir Ihre SAP-Vertragsdokumente. Je vollständiger die Unterlagen, desto präziser die Analyse und desto schneller der Start.
| Dokument | Priorität | Hinweis |
|---|---|---|
| SAP Order Forms | Erforderlich | RISE, BTP, SuccessFactors, Ariba, Concur |
| Amendments und Nachträge | Erforderlich | Alle Vertragsänderungen seit Erstvertrag |
| Preislisten | Empfohlen | Konditionenblätter, Rabattvereinbarungen |
| On-Premise Lizenzübersicht | Falls vorhanden | Bestehende On-Premise Lizenzen vor RISE-Migration |
| SAP Rechnungen | Empfohlen | Letzten 12 Monate, für Abgleich mit Vertragswerten |
| Cloud SLA / OLA | Falls vorhanden | Service Level Agreements mit SAP |
Bereitstellung: Upload direkt in der FinOptory-Plattform (PDF, DOCX, XLSX), oder per E-Mail an Ihren FinOptory-Berater. Vertragsdokumente werden KI-gestützt indexiert und den entsprechenden Vertragseinheiten zugeordnet.
4. Plattform-Zugang und Rollen
FinOptory verwendet ein rollenbasiertes Berechtigungsmodell auf zwei Ebenen: Tenant-weit und pro Vertrag. Die Einrichtung erfolgt gemeinsam mit Ihrem FinOptory-Berater.
Rollen
| Rolle | Berechtigung |
|---|---|
| Viewer | Lesender Zugriff auf alle Daten |
| Editor | Erstellen, Bearbeiten und Löschen von Daten, kein Zugriff auf Einstellungen |
| Admin | Vollzugriff einschliesslich Einstellungen, Benutzerverwaltung und Integrationen |
Anmeldung
Die Standard-Anmeldung erfolgt per E-Mail und Passwort. MFA kann pro Tenant aktiviert werden (deaktiviert, optional oder erforderlich). Optional kann Single Sign-On über Microsoft Entra ID eingerichtet werden (siehe Schritt 5).
Vertragszugriff
Für jeden Vertrag in FinOptory wird separat festgelegt, welche Benutzer Zugriff erhalten und mit welcher Rolle. So können Sie beispielsweise einem Kollegen Viewer-Zugriff auf einen bestimmten Vertrag geben, ohne dass dieser andere Verträge sehen kann.
Einrichtung
- FinOptory erstellt Ihren Tenant und lädt Ihren ersten Admin-Benutzer ein
- Ihr Admin lädt weitere Benutzer ein (Settings > Users > "Invite User")
- Für jeden Vertrag wird der Zugriff pro Benutzer konfiguriert
5. Microsoft Entra ID (optional)
FinOptory unterstützt Single Sign-On über Microsoft Entra ID (ehemals Azure Active Directory). Ihre Mitarbeiter melden sich mit ihrem bestehenden Microsoft-Konto an, ohne ein separates Passwort zu benötigen. Die Standard-Anmeldung per E-Mail und Passwort funktioniert ohne Entra ID.
Voraussetzung
FinOptory nutzt eine Multi-Tenant Azure AD Integration. Die Einrichtung erfordert keine App Registration und keinen Admin Consent in Ihrem Tenant. Einzige Voraussetzung: Ihr Azure AD Tenant erlaubt die Anmeldung bei externen Multi-Tenant Applikationen. Das ist die Standard-Einstellung in Entra ID. Falls Ihre Organisation diese Einstellung über eine Conditional Access Policy eingeschränkt hat, muss die FinOptory-Applikation dort zugelassen werden.
Funktionsweise
FinOptory nutzt domain-basiertes Routing: Alle E-Mail-Adressen einer bestimmten Domain (z.B. ihrefirma.com) werden automatisch zur Microsoft-Anmeldung weitergeleitet. Benutzer mit anderen Domains melden sich weiterhin per E-Mail und Passwort an. Der gesamte Authentifizierungsfluss läuft über api.finoptory.ai und login.microsoftonline.com.
Einrichtung
- Domain mitteilen: Teilen Sie Ihrem FinOptory-Berater die E-Mail-Domain Ihres Unternehmens mit (z.B. ihrefirma.com)
- FinOptory konfiguriert das Routing: Wir hinterlegen die Domain in Ihren Tenant-Einstellungen
- Test: Ein Benutzer Ihrer Domain meldet sich an und wird automatisch zur Microsoft-Anmeldung weitergeleitet
Automatische Benutzerbereitstellung
Wenn Auto-Provisioning aktiviert ist, wird für neue Benutzer aus Ihrer Entra ID Domain beim ersten Login automatisch ein FinOptory-Konto erstellt. Sie definieren die Standard-Rolle (Viewer, Editor oder Admin), die automatisch zugewiesen wird. So entfällt die manuelle Einladung einzelner Benutzer.
6. KI-Integration (optional)
FinOptory bietet eine Schnittstelle (Model Context Protocol), über die KI-Werkzeuge wie ChatGPT oder Google Gemini direkt auf Ihre Vertragsdaten zugreifen können. So können Sie Vertragsinhalte in natürlicher Sprache abfragen, ohne die FinOptory-Plattform öffnen zu müssen.
Funktionsweise
Die Integration nutzt OAuth 2.0 zur Authentifizierung über api.finoptory.ai. Sie erstellen einmalig einen OAuth Client in den FinOptory-Einstellungen und hinterlegen die Zugangsdaten in ChatGPT (als Custom GPT) oder Gemini (als Gem). Danach ist die Verbindung dauerhaft aktiv.
Verfügbare Funktionen
| Funktion | Beschreibung |
|---|---|
| Vertragssuche | Vertragsdokumente und Klauseln in natürlicher Sprache durchsuchen |
| Dokumentabruf | Vollständigen Inhalt eines Dokuments zur Analyse abrufen |
| Domänen | Verfügbare Wissensbereiche in Ihrem Tenant auflisten |
Einrichtung
- In FinOptory: Settings > MCP Service > "Create OAuth Client"
- Client ID und Client Secret sicher notieren (das Secret wird nur einmal angezeigt)
- In ChatGPT oder Gemini: Custom GPT / Gem erstellen und die OAuth-Zugangsdaten hinterlegen
- Verbindung autorisieren (einmalige Anmeldung bei FinOptory)
Detaillierte Anleitungen für ChatGPT und Gemini finden Sie nach dem Login in der FinOptory-Plattform unter Settings > MCP Service.
Unterstützung
Die Einrichtung erfolgt gemeinsam mit Ihrem FinOptory-Berater. Bei Fragen zur technischen Konfiguration erreichen Sie uns unter support@finoptory.ai.
SAP®, SAP for Me®, RISE with SAP® und SAP BTP® sind eingetragene Marken der SAP SE. Microsoft® und Entra ID® sind eingetragene Marken der Microsoft Corporation.