# SAP-C4C-Agent

<table data-card-size="large" data-view="cards"><thead><tr><th></th><th></th><th data-hidden data-card-cover data-type="image">Titelbild</th></tr></thead><tbody><tr><td><strong>Übersicht</strong></td><td><ul><li>SAP-C4C-Entitäten, Datensätze und Felder über Blockbrain suchen und durchsuchen</li><li>Datensätze in beliebigen abfragbaren oder beschreibbaren C4C-OData-Entitäten erstellen und aktualisieren (Konten, Kontakte, Leads, Opportunities, Aktivitäten, Serviceanfragen/-tickets und kundenspezifische Erweiterungsentitäten)</li><li>Standard- und benutzerdefinierte OData-Sammlungsnamen automatisch aus Beschreibungen in natürlicher Sprache mithilfe des C4C auflösen <code>$metadata</code> Dokument</li><li>CRM- und Servicedatensätze nach Status, Verantwortlichem, Datum, Konto oder einem beliebigen verfügbaren Feld auflisten, filtern und analysieren</li><li>Unterstützung sowohl für standardmäßige SAP-C4C-Entitäten als auch für kundenerweiterte (KUT / SDK) Entitäten</li></ul></td><td><a href="/files/8e2d91078527b6e8c217ab72731c4498aed2fe68">/files/8e2d91078527b6e8c217ab72731c4498aed2fe68</a></td></tr><tr><td><strong>Voraussetzungen</strong></td><td><ul><li>Schließen Sie die allgemeinen Einrichtungsschritte von der Haupt- <a href="https://docs.en.theblockbrain.ai/for-admins/agents">KI-Agenten</a> Seite</li><li>Stellen Sie sicher, dass Benutzer aktive SAP-C4C-Konten mit der relevanten Geschäftsrolle und dem Zugriffsbeschränkungskontext haben</li><li>Vergewissern Sie sich, dass Ihr C4C-Tenant den standardmäßigen OData-Endpunkt bereitstellt (<code>/sap/c4c/odata/v1/c4codataapi/</code>) und dass OAuth 2.0 aktiviert ist</li><li>Ein C4C-Administrator mit Berechtigung zur Registrierung von OAuth-2.0-Clients über <strong>Anwendungs- und Benutzerverwaltung</strong> → <strong>OAuth-2.0-Clientregistrierung</strong></li></ul></td><td><a href="/files/b5ff00db78231f60f0f1b0350c82cec5fdf80032">/files/b5ff00db78231f60f0f1b0350c82cec5fdf80032</a></td></tr></tbody></table>

#### Wie sich SAP-Authentifizierung von anderen Agenten unterscheidet

> **SAP ist kein OAuth mit Browser-Weiterleitung.** Jeder andere Blockbrain-Agent (Salesforce, Outlook, Google, Atlassian, …) verwendet **OAuth 2.0 Authorization Code** — der Benutzer klickt auf **Verbinden**, wird über `https://nango.theblockbrain.ai/oauth/callback`zur Anmeldeseite des Anbieters weitergeleitet, stimmt zu und wird mit einem Zugriffstoken zurückgeleitet.&#x20;
>
> **SAP-Integrationen funktionieren anders:** es gibt **keine Browser-Weiterleitung, keinen Zustimmungsbildschirm und auf der SAP-Seite ist keine Callback-URL erforderlich.** Stattdessen stellt ein SAP-Administrator die Anmeldedaten im SAP-Tenant im Voraus aus, und diese Anmeldedaten werden einmalig in die Blockbrain-Connect-UI eingefügt. Der Agent authentifiziert sich dann Server-zu-Server.

Der SAP-C4C-Agent unterstützt zwei nicht-interaktive Authentifizierungsflüsse. Wählen Sie denjenigen, für den Ihr SAP-C4C-Tenant konfiguriert ist:

| Ablauf                                                 | Wann verwenden                                                                                                                                                                                                                                                                | Was der Benutzer bereitstellt                                                                                                                              |
| ------------------------------------------------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **OAuth 2.0 — Client Credentials** *(Standard)*        | Die meisten produktiven C4C-Integrationen. Ein einzelner dedizierter technischer/Kommunikationsbenutzer trägt die Verbindung; die Berechtigungen werden durch die C4C-Geschäftsrolle dieses Benutzers gesteuert.                                                              | Tenant-URL, Client-ID, Client-Secret                                                                                                                       |
| **OAuth 2.0 — SAML 2.0 Bearer Assertion** *(optional)* | Wenn Ihre Sicherheitsrichtlinie eine assertionsbasierte Authentifizierung pro Benutzer vorschreibt (z. B. wenn Sie über einen IdP pro Benutzer ein X.509-Zertifikat ausgestellt haben und die Token-Ausstellung auf einen bestimmten Geschäftsbenutzer beschränkt sein soll). | Tenant-URL, Client-ID, Firmen-ID, Base64-kodierte SAML-2.0-Bearer-Assertion (lokal mit dem beim OAuth-Client registrierten X.509-Privatschlüssel signiert) |

Die folgende Konfiguration geht von **OAuth 2.0 Client Credentials**aus, was dem von den bestehenden SAP-Integrationen von Blockbrain verwendeten Muster entspricht (z. B. SAP Concur). Wenn Ihr Tenant stattdessen für SAML 2.0 Bearer Assertion eingerichtet ist, siehe den [Abschnitt SAML 2.0 Bearer Assertion (Alternative)](https://claude.ai/local_sessions/local_e458fc8c-45f4-4496-8611-a7e0ccb6a5f0#saml-20-bearer-assertion-alternative) weiter unten.

#### SAP C4C OAuth-2.0-Clientregistrierung

**Erforderliche OAuth-Konfiguration**

Konfigurieren Sie bei der Registrierung Ihres SAP-C4C-OAuth-2.0-Clients Folgendes:

| Einstellung                        | Wert                                                             | Hinweise                                                                                                                                                                                                                                   |
| ---------------------------------- | ---------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| **Ausgabeeinstellungen → Methode** | **Client Credentials**                                           | Erforderlich für den Standardablauf. Wählt den OAuth-2.0-Grant-Typ `client_credentials`                                                                                                                                                    |
| **Token-Lebensdauer**              | Standard (3600 s) oder gemäß Ihrer Sicherheitsrichtlinie         | Blockbrain erneuert transparent innerhalb von Nango                                                                                                                                                                                        |
| **Token-Endpunkt**                 | `https://my{tenant-id}.crm.ondemand.com/sap/bc/sec/oauth2/token` | Abgeleitet von Ihrer Tenant-URL — Sie müssen dies **nicht** irgendwo eingeben                                                                                                                                                              |
| **Scope**                          | *(standardmäßig leer gelassen — siehe Hinweis)*                  | C4C leitet Berechtigungen aus der **dem technischen Benutzer zugewiesenen Geschäftsrolle** hinter dem OAuth-Client ab, nicht aus OAuth-Scope-Strings. `[TODO bestätigen]` ob Botticelli für das C4C-Tool explizite Scope-Strings benötigt. |
| **An einen Benutzer binden**       | Ein dedizierter technischer/Kommunikationsbenutzer               | Der OAuth-Client muss an einen echten C4C-Geschäftsbenutzer gebunden sein. Dessen Geschäftsrolle bestimmt, was der Agent lesen und schreiben kann                                                                                          |

> **Scope-Klärung:** SAP C4C **nicht** veröffentlicht keine feste Liste von OAuth-Scope-Strings wie Salesforce. Mit dem **Client Credentials** Ablauf wird die Autorisierung an die **Geschäftsrolle und Zugriffsbeschränkung** des an den OAuth-Client gebundenen technischen Benutzers delegiert — der C4C-OAuth-Client selbst hat keine Scope-Strings außer denen, die durch die Work-Center-Zuweisungen dieses Benutzers gewährt werden. Blockbrain bittet Sie daher nicht **nicht** darum, während der Konfiguration eine Scope-Liste einzufügen. `[TODO mit Blockbrain Technical PM bestätigen — die Botticelli-Konfiguration könnte für Tenants mit benutzerdefiniert registrierten Scopes dennoch ein optionales Scope-Feld anzeigen.]`

**Erstellen des SAP-C4C-OAuth-2.0-Clients**

1. Melden Sie sich bei **SAP Cloud for Customer** als Administrator an
2. Öffnen Sie den **Anwendungs- und Benutzerverwaltung** Arbeitsbereich → **OAuth-2.0-Clientregistrierung** *(Auf älteren Tenants befindet sich dies unter **Administrator** → **Allgemeine Einstellungen** → **OAuth-2.0-Clientregistrierung**.)*
3. Klicken Sie auf **Neu** um einen neuen OAuth-2.0-Client zu erstellen
4. Füllen Sie das Formular aus:
   * **Beschreibung / Client-Name:** `Blockbrain`
   * **Ausgabeeinstellungen → Methode:** **Client Credentials**
   * **Ausgabeeinstellungen → Token-Lebensdauer (Sekunden):** auf Standard belassen, sofern Ihre Richtlinie keine kürzere Dauer erfordert
   * **Bindung → Benutzer:** wählen Sie den dedizierten technischen/Kommunikationsbenutzer aus, als der diese Verbindung handeln soll. *(Erstellen Sie zuerst einen über **Geschäftsbenutzer** falls er noch nicht existiert.)* Die **Geschäftsrolle** des Benutzers bestimmt, welche Entitäten und Felder der Agent lesen und schreiben kann
5. **Für Client Credentials ist keine Redirect-URI erforderlich.** Lassen Sie das Feld **Redirect URI** leer, sofern Ihr Tenant nicht ausdrücklich einen Wert erzwingt
6. Klicken Sie auf **Speichern** — und beachten Sie SAPs Hinweis, dass das Client-Secret nur einmal angezeigt wird
7. Klicken Sie auf **Secret anzeigen** (oder **Secret zurücksetzen**) und kopieren Sie das generierte **Client-Secret** — bewahren Sie es sicher für den nächsten Schritt auf
8. Kopieren Sie auf demselben Bildschirm die **Client-ID** (automatisch von SAP generiert)

> **Hinweis zur Tenant-URL:** Ihre C4C-Tenant-URL folgt dem Muster `https://my{tenant-id}.crm.ondemand.com` — z. B. `https://my300001.crm.ondemand.com`. Sie benötigen diese Basis-URL während des Blockbrain-Konfigurationsschritts; sie wird sowohl als OData-Host als auch zur Ableitung des OAuth-Token-Endpunkts verwendet.

> **Hinweis zur Redirect-URL:** Da der Client-Credentials-Ablauf keine Browser-Weiterleitung hat, `https://nango.theblockbrain.ai/oauth/callback` ist **nicht** der standardmäßige Blockbrain-Callback auf der SAP-Seite erforderlich und Sie müssen **nicht** ihn in C4C auf die Whitelist setzen.

**Abrufen Ihrer Anmeldedaten**

Nach dem Speichern des OAuth-2.0-Clients in C4C:

1. Öffnen Sie den neu erstellten Client aus der **OAuth-2.0-Clientregistrierung** Liste
2. Kopieren Sie das **Client-ID** (oben im Formular sichtbar)
3. Klicken Sie auf **Secret anzeigen** um das **Client-Secret** anzuzeigen — kopieren Sie es sofort, da SAP das Secret pro Generierung nur einmal anzeigt
4. Notieren Sie sich die **Tenant-URL** (`https://my{tenant-id}.crm.ondemand.com`) — Blockbrain leitet daraus automatisch den OAuth-Token-Endpunkt ab (`/sap/bc/sec/oauth2/token`) `[TODO Ableitungslogik mit Botticelli-Konfiguration bestätigen]`

> **Wichtig:** Nach dem Erstellen eines neuen OAuth-Clients in SAP C4C kann es **einige Minuten** dauern, bis die Konfiguration übernommen wurde. Wenn die Verbindung unmittelbar nach der Aktivierung fehlschlägt, warten Sie kurz und versuchen Sie es erneut. `[TODO typische Übertragungsdauer für C4C bestätigen]`

#### SAP-C4C-Agent-Konfiguration in Blockbrain

<figure><img src="/files/3a11de82a1a93bdfbf9b08388ea97befbd9134f8" alt=""><figcaption></figcaption></figure>

**Verbindungsdetails**

* **Auth-Flow:** OAuth 2.0 Client Credentials *(keine Browser-Weiterleitung, keine Zustimmung durch den Endbenutzer)*
* **Redirect-URL auf der SAP-Seite:** *nicht erforderlich*
* **Tenant-URL:** `https://my{tenant-id}.crm.ondemand.com`
* **Anmeldedaten, die Sie in Blockbrain einfügen:**
  * **Tenant-URL / Host**
  * **Client-ID**
  * **Client-Secret**
* **Im Hintergrund:** Blockbrain (über Nango) stellt eine Server-zu-Server- `client_credentials` Token-Anfrage an `https://my{tenant-id}.crm.ondemand.com/sap/bc/sec/oauth2/token` und speichert das resultierende Zugriffstoken; Token werden automatisch erneuert, sobald sie ablaufen

**Konfigurationsschritte**

1. **Agenteneinstellungen aufrufen:**
   * Navigieren Sie zu Ihrem Blockbrain-Admin-Panel
   * Gehen Sie zu **Admin** > **Agenten** > **Tools**
   * Suchen Sie **SAP-C4C-Tools** (oder **SAP-Tools**) und aktivieren Sie den Schalter `[TODO genauen UI-Text bestätigen]`
   * Klicken Sie auf **Installieren** (oder das Zahnradsymbol für die Konfiguration)
2. **Geben Sie die SAP-C4C-Verbindungsdetails ein:**
   * **Tenant-URL / Host:** fügen Sie Ihre C4C-Basis-URL ein, z. B. `https://my300001.crm.ondemand.com` `[TODO Feldname in Botticelli bestätigen]`
   * **Client-ID:** fügen Sie die Client-ID aus dem Bildschirm zur C4C-OAuth-2.0-Clientregistrierung ein
   * **Client-Secret:** fügen Sie das Client-Secret aus C4C ein (verwenden Sie das Augensymbol, um die Sichtbarkeit umzuschalten)
3. **Zusätzliche Konfiguration (optional):**
   * Konfigurieren Sie benutzerdefinierte Schlüssel-Wert-Paare für spezielle organisatorische Anforderungen (z. B. einen nicht standardmäßigen OData-Dienstpfad, wenn Ihr Tenant einen angepassten Erweiterungsdienst verwendet) `[TODO bestätigen, ob der Agent benutzerdefinierte OData-Dienstpfade unterstützt]`
   * Richten Sie bei Bedarf organisationsspezifische Zugriffsbeschränkungen für Datensätze ein
4. **Konfiguration speichern:**
   * Klicken Sie auf **Speichern** um alle Einstellungen zu übernehmen
   * Warten Sie auf die Bestätigungsmeldung

> **Kein Pop-up-Fenster „Verbinden“.** Anders als bei den Outlook-/Salesforce-/Google-Flows sehen Sie kein Browser-Pop-up, das Sie zu einem SAP-Login-Bildschirm weiterleitet. Beim ersten Aufruf von C4C tauscht Blockbrain die Client-Anmeldedaten im Hintergrund gegen ein Zugriffstoken aus und fährt fort.

**Abschnitt SAML 2.0 Bearer Assertion (Alternative)**

Wenn Ihr C4C-Tenant für OAuth 2.0 mit dem **SAML 2.0 Bearer Assertion** Grant-Typ statt Client Credentials konfiguriert ist, entspricht die Einrichtung der Art und Weise, wie Blockbrain SAP SuccessFactors heute handhabt:

1. Registrieren Sie in C4C Ihren OAuth-2.0-Client mit **Ausgabeeinstellungen → Methode = SAML 2.0 Bearer Assertion** und laden Sie das X.509-öffentliche Zertifikat hoch, das mit dem privaten Schlüssel gekoppelt ist, mit dem Sie Assertions signieren werden
2. Erzeugen Sie lokal einen 2048-Bit-RSA-Privatschlüssel und ein selbstsigniertes X.509-Zertifikat und registrieren Sie das Zertifikat beim OAuth-Client:

   ```
   openssl req -new -newkey rsa:2048 -nodes -keyout private.pem -out request.csr
   openssl req -new -x509 -key private.pem -out cert.pem -days 3650
   ```
3. Erstellen Sie für jeden authentifizierenden Benutzer eine Base64-kodierte SAML-2.0-Bearer-Assertion, signiert mit `private.pem`. Der `Empfänger` der Assertion muss `https://my{tenant-id}.crm.ondemand.com/sap/bc/sec/oauth2/token` sein, und die Assertion muss auf den C4C- **Geschäftsbenutzer** verweisen, als der der Agent handeln soll
4. In Blockbrain fügen Sie ein:
   * **Tenant-URL / Host**
   * **Client-ID**
   * **Firmen-/Geschäftsbenutzer-ID** `[TODO genauen Feldnamen bestätigen]`
   * **SAML 2.0 Bearer Assertion** (Base64)
5. Speichern. Blockbrain (über Nangos zweistufigen Ablauf) sendet die Assertion per POST an den C4C-Token-Endpunkt mit `grant_type=urn:ietf:params:oauth:grant-type:saml2-bearer` und speichert das resultierende Token

> **Wann dieser Ablauf gewählt werden sollte:** Wählen Sie SAML 2.0 Bearer, wenn (a) Sie Agentenaktionen auf einen bestimmten benannten Geschäftsbenutzer statt auf einen einzelnen technischen Benutzer beschränken müssen oder (b) Ihre IT-Richtlinie den Client-Credentials-Grant für SAP-Integrationen verbietet. Andernfalls ist Client Credentials einfacher zu betreiben.

#### Testen des SAP-C4C-Agenten

**Verifizierungsschritte**

**Verbindungstest:**

* Verwenden Sie das integrierte Verbindungstest-Tool von Blockbrain
* Verifizieren Sie, dass die erste Token-Anfrage an `/sap/bc/sec/oauth2/token` erfolgreich ist und ein Token gespeichert wird

**Datensatzzugriff:**

* Lassen Sie einen Testbenutzer den Agenten auffordern, Datensätze für eine bekannte Entität aufzulisten (z. B. **Konten**, **Kontakte**, oder **Opportunities**)
* Verifizieren Sie das Abrufen von Datensatzinhalten (z. B. das Lesen der Felder eines bestimmten Leads oder Tickets)

**Erstellungsfunktion:**

* Testen Sie das Erstellen eines neuen Datensatzes in einer sicheren/Testentität (z. B. einem Sandbox- **Lead**)
* Verifizieren Sie, dass schreibgeschützte Felder aus der Nutzlast ausgeschlossen werden
* Bestätigen Sie, dass der neue Datensatz in C4C erscheint

**Aktualisierungsfunktion:**

* Testen Sie die Aktualisierung eines vorhandenen Datensatzfelds (z. B. einer Opportunity-Phase oder einer Kontakt-Telefonnummer)
* Bestätigen Sie, dass die Änderung direkt in C4C angezeigt wird

**Entitätsermittlung:**

* Bitten Sie Blockbrain, eine Entität anhand einer Bezeichnung zu identifizieren (z. B. „Service Tickets“ oder „Sales Quotes“)
* Verifizieren Sie, dass der Agent sie korrekt in den C4C-OData-Sammlungsnamen auflöst (z. B. `ServiceRequestCollection`, `SalesQuoteCollection`)
* Bestätigen Sie, dass der aufgelöste Name in einer nachfolgenden Operation verwendet wird

#### Häufige Anwendungsfälle der Integration

**Lead- und Kontaktverwaltung**

* **Lead-Suche**: Leads nach Name, Status, Konto, Qualifikationsstufe oder Erstellungsdatum finden und filtern
* **Kontaktabfrage**: Kontaktdetails für ein beliebiges Konto oder eine Person abrufen
* **Datensatzerstellung**: Neue Leads oder Kontakte direkt aus einer Blockbrain-Konversation hinzufügen

**Konto- und Opportunity-Verwaltung**

* **Kontorecherche**: Vollständige Kontodetails, zugehörige Kontakte und offene Opportunities abrufen
* **Pipeline-Tracking**: Opportunities nach Vertriebsphase, erwartetem Abschlussdatum oder Verantwortlichem auflisten
* **Deal-Updates**: Opportunity-Vertriebsphasen, erwartete Umsätze oder Abschlussdaten aktualisieren, ohne den Chat zu verlassen

**Service und Ticketing**

* **Ticket-Triage**: Offene Service-Tickets nach Priorität, Bearbeiter oder Servicekategorie abrufen
* **Ticket-Updates**: Ticketstatus ändern, Notizen hinzufügen oder den verantwortlichen Bearbeiter direkt aus dem Chat neu zuweisen
* **Aktivitätsprotokollierung**: Termine, Telefonanrufdatensätze oder Aufgaben erstellen, die Konten oder Tickets zugeordnet sind

**CRM-Datenanalyse**

* **Datensatzzusammenfassungen**: Strukturierte Zusammenfassungen beliebiger C4C-Datensätze erhalten
* **Feldextraktion**: Bestimmte Feldwerte über mehrere Datensätze hinweg extrahieren
* **Unterstützung benutzerdefinierter Entitäten**: Tenant-spezifische Erweiterungsentitäten (KUT / SDK) anhand von Beschreibungen in natürlicher Sprache abfragen und verwalten

#### Fehlerbehebung

**Authentifizierungsprobleme**

| Symptom                                                        | Ursache                                                                    | Lösung                                                                                                                                                                                                                            |
| -------------------------------------------------------------- | -------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| `invalid_client` bei der allerersten Anfrage                   | Falsche Client-ID oder falsches Client-Secret                              | Kopieren Sie die Client-ID und das Client-Secret erneut vom Bildschirm zur C4C-OAuth-2.0-Clientregistrierung. Denken Sie daran, dass das Secret nur einmal angezeigt wird — stellen Sie es erneut aus, wenn Sie es verloren haben |
| `unsupported_grant_type`                                       | OAuth-Client mit falscher Ausgabemethode erstellt                          | Bearbeiten Sie in C4C den OAuth-2.0-Client und setzen Sie **Ausgabeeinstellungen → Methode = Client Credentials** (oder **SAML 2.0 Bearer Assertion** für den alternativen Ablauf)                                                |
| `invalid_request: missing user binding`                        | Der OAuth-Client ist nicht an einen Geschäftsbenutzer gebunden             | Öffnen Sie in C4C den OAuth-Client und setzen Sie die **Bindung → Benutzer** auf einen gültigen technischen/Kommunikationsbenutzer                                                                                                |
| Verbindungstest schlägt direkt nach der Client-Erstellung fehl | C4C-Übertragungsverzögerung                                                | Warten Sie nach dem Erstellen oder Bearbeiten des OAuth-Clients einige Minuten und versuchen Sie es dann erneut `[TODO typische Verzögerung bestätigen]`                                                                          |
| `403 Forbidden` bei jeder Anfrage trotz gültigem Token         | Dem gebundenen technischen Benutzer fehlt die erforderliche Geschäftsrolle | Bearbeiten Sie in C4C die **Geschäftsrolle** und weisen Sie die Work-Center-Ansichten zu, die der Agent benötigt (Konten, Opportunities, Service usw.)                                                                            |
| `401 Unauthorized` nachdem es eine Zeit lang funktioniert hat  | OAuth-Client-Secret rotiert oder abgelaufen                                | Erzeugen Sie das Client-Secret in C4C neu, aktualisieren Sie dann das Client-Secret in Blockbrain und klicken Sie auf **Speichern**                                                                                               |

**Warum gibt es kein Browser-Pop-up?**

Anders als Salesforce oder Outlook verwendet SAP C4C einen Server-zu-Server-Token-Grant. **Es gibt keinen OAuth-Zustimmungsbildschirm, keine Benutzerweiterleitung und keine `https://nango.theblockbrain.ai/oauth/callback` Whitelist-Einträge auf der SAP-Seite.** Wenn Sie nach dem Drücken von nach einer „Bei SAP anmelden“-Schaltfläche suchen **Speichern**, ist das erwartetes Verhalten — die Verbindung ist bereits aktiv, sobald die erste Token-Anfrage erfolgreich ist.

**Datensatzzugriffsfehler**

| Symptom                                          | Ursache                                                               | Lösung                                                                                                                                                                    |
| ------------------------------------------------ | --------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| `403 Forbidden` / keine Datensätze zurückgegeben | Gebundener Benutzer hat keine Geschäftsrolle / keinen Zugriffskontext | Bestätigen Sie, dass der gebundene technische Benutzer den Datensatz direkt in der C4C-UI anzeigen kann; prüfen Sie seine **Geschäftsrolle** und **Zugriffsbeschränkung** |
| Entität nicht sichtbar                           | OData-Dienst nicht aktiviert                                          | Verifizieren Sie, dass der relevante OData-Dienst veröffentlicht ist in **Kommunikationsvereinbarungen** für den Tenant                                                   |
| Unregelmäßige Zugriffsprobleme                   | Falscher OAuth-Client                                                 | Verifizieren Sie, dass der vom Agenten verwendete OAuth-Client an den richtigen technischen Benutzer gebunden ist                                                         |
| `400 Bad Request` beim Filtern                   | Falscher OData-Operator                                               | C4C OData v2 unterstützt nur eine Teilmenge der OData-Filteroperatoren — vereinfachen Sie den Filter und versuchen Sie es erneut                                          |

**Feld- und Schreibfehler**

| Symptom                                          | Ursache                                            | Lösung                                                                                                                                            |
| ------------------------------------------------ | -------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------- |
| Datensätze werden mit fehlenden Feldern erstellt | Felder sind schreibgeschützt oder bestimmt         | Blockbrain überspringt schreibgeschützte Felder — prüfen Sie die Bearbeitbarkeit der Felder in C4C **Anpassungs** modus für die relevante Ansicht |
| `Keine erstellbaren Felder vorhanden` Fehler     | Alle bereitgestellten Felder sind schreibgeschützt | Stellen Sie mindestens ein beschreibbares Feld bereit; prüfen Sie in der Entität `$metadata` nach `sap:creatable="true"` Annotations              |
| Aktualisierung schlägt stillschweigend fehl      | Berechtigungsblock auf Feldebene                   | Bestätigen Sie, dass die Geschäftsrolle des gebundenen Benutzers das Bearbeiten des Zielfelds in dieser Entität erlaubt                           |
| `Pflichtfeld fehlt` bei Erstellung               | Erforderliches Feld nicht bereitgestellt           | Prüfen Sie die `$metadata` um alle `Nullable="false"` Eigenschaften auf der Entität zu identifizieren und sie bereitzustellen                     |

**SAML-2.0-Bearer-Assertion-spezifische Probleme**

*(Gilt nur, wenn Sie den SAML-2.0-Bearer-Assertion-Ablauf gewählt haben.)*

| Symptom                                   | Ursache                                                                                          | Lösung                                                                                                                                                         |
| ----------------------------------------- | ------------------------------------------------------------------------------------------------ | -------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| `invalid_assertion` / `invalid_signature` | Die Assertion wurde nicht mit dem beim OAuth-Client registrierten X.509-Privatschlüssel signiert | Signieren Sie die Assertion erneut mit dem richtigen `private.pem`; bestätigen Sie, dass das `cert.pem` in C4C registriert, mit diesem Schlüssel übereinstimmt |
| `Assertion abgelaufen`                    | Der `NotOnOrAfter` der Assertion liegt in der Vergangenheit                                      | Erzeugen Sie die Assertion unmittelbar bevor Sie sie in Blockbrain einfügen erneut — die Lebensdauer von Assertions ist absichtlich kurz                       |
| `Betreff nicht gefunden`                  | Das `NameID` in der Assertion entspricht keinem C4C-Geschäftsbenutzer                            | Prüfen Sie den `nameIdentifier` in Ihrem Skript zur Generierung der Assertion — er muss eine gültige C4C-Benutzer-ID sein                                      |

#### Sicherheit und Compliance

**Datenschutz**

* **Datensatzsicherheit**: Alle SAP-C4C-Daten werden gemäß den Sicherheitsrichtlinien von Blockbrain verarbeitet
* **Feldprivatsphäre**: Der Zugriff auf Feldebene berücksichtigt das C4C-Geschäftsrollen- und Zugriffsbeschränkungsmodell
* **Tokensicherheit**: OAuth-Tokens werden in Nango sicher gespeichert und verschlüsselt — Anmeldedaten werden Endbenutzern niemals offengelegt
* **Geheimnis-Hygiene**: Das C4C-OAuth-Client-Secret wird verschlüsselt gespeichert; wenn es jemals offengelegt wird, rotieren Sie es in C4C und fügen Sie es in Blockbrain erneut ein

**Compliance-Überlegungen**

* **DSGVO-Konformität**: Der Zugriff auf CRM-Datensätze und deren Verarbeitung erfolgt gemäß den DSGVO-Anforderungen
* **Datenaufbewahrung**: Keine SAP-C4C-Datensatzinhalte werden dauerhaft von Blockbrain gespeichert — Daten werden in Echtzeit verarbeitet
* **Audit-Protokollierung**: Alle Aktivitäten des SAP-C4C-Agenten werden für die Compliance-Berichterstattung auf der Blockbrain-Seite protokolliert. **Außerdem erscheint jeder OData-Aufruf im C4C-Audit-Log unter dem zugeordneten technischen/Kommunikationsbenutzer** — Ihr C4C-Administrator kann jede Aktion, die der Agent ausführt, bis zu dieser einzelnen Identität zurückverfolgen

**Zugriffskontrolle**

* **Modell mit technischem Benutzer (Client Credentials):** jeder Agentenaufruf übernimmt die **Geschäftsrolle** und **Zugriffsbeschränkung** des technischen Benutzers, der mit dem OAuth-Client verknüpft ist — eine Privilegieneskalation ist nicht möglich. Wählen Sie die Rolle des Benutzers sorgfältig aus — sie setzt eine harte Obergrenze dafür, was der Agent jemals tun kann
* **Benutzermodell (SAML 2.0 Bearer Assertion):** jeder Agentenaufruf ist auf den in der Assertion identifizierten benannten Geschäftsbenutzer beschränkt — am besten für Mandanten, die eine benutzerspezifische Nachverfolgbarkeit in Audit-Logs benötigen
* **Sicherheit auf Entitätsebene**: Berücksichtigt die C4C-Arbeitsbereichs- und Ansichtszuweisungen
* **Sicherheit auf Feldebene**: Schreibgeschützte und zugriffsbeschränkte Felder werden automatisch identifiziert und von Schreibvorgängen ausgeschlossen

#### Nächste Schritte

Nach erfolgreicher Konfiguration des SAP C4C Agent:

1. **Benutzerschulung**: Teilen Sie das SAP-C4C-Agent-Benutzerhandbuch mit den Endanwendern
2. **Berechtigungsprüfung**: Überprüfen Sie regelmäßig die Geschäftsrolle des zugeordneten technischen Benutzers (Client Credentials) oder die vom IdP ausgestellten Zertifikate (SAML Bearer), um sicherzustellen, dass sie weiterhin angemessen sind
3. **Integrationsüberwachung**: Überwachen Sie die OAuth-Verbindung auf kontinuierliche Funktionsfähigkeit — insbesondere das Ablaufdatum des Client Secret und die Gültigkeit des X.509-Zertifikats
4. **Funktionsadoption**: Ermutigen Sie Teams, Lead-Management, Pipeline-Tracking, Ticket-Triage und benutzerdefinierte Entitäten zu nutzen

#### Support und Ressourcen

Für Unterstützung bei der Konfiguration des SAP C4C Agent:

* **Blockbrain-Support**: Kontaktieren Sie Ihren Customer Success Manager für funktionsspezifische Hilfe
* **SAP-Dokumentation**: Verweisen Sie auf die [SAP Cloud for Customer OData API-Dokumentation](https://help.sap.com/docs/SAP_CLOUD_FOR_CUSTOMER) und das SAP-C4C **OAuth-2.0-Clientregistrierung** Hilfethema `[TODO durch den aktuellen C4C-OAuth-Hilfelink ersetzen]` für detaillierte Informationen zu Berechtigungen
* **SAP C4C-Administratoren**: Für OAuth-Client-Richtlinien auf Mandantenebene, Bereitstellung von Kommunikationsbenutzern und Zuweisung von Geschäftsrollen wenden Sie sich an Ihren SAP C4C-Administrator


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.blockbrain.ai/de/fur-administratoren/agenten/sap-c4c-agent.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.