最近在做 SAP S/4HANA Cloud Public Edition 的外部系统集成时,最容易被低估的一块,不是 OData API 本身怎么调用,也不是 Communication Arrangement 里字段怎么填,而是入站通信的身份边界到底怎么建。很多接口调通以后,看起来一切正常,可一旦进入生产环境,审计、证书过期、技术用户权限、Principal Propagation、HTTP Security Session 这些问题会一起冒出来。真正稳定的入站集成,不能只停留在能拿到201 Created或200 OK,还要回答一个更关键的问题,SAP 系统到底相信谁,又是凭什么相信它。SAP S/4HANA Cloud Public Edition 的集成场景要求安全通信,尤其是外部客户系统调用 SAP 云端 API 的 inbound integration,外部系统需要使用合适 CA 签发的客户端证书来证明自身身份。SAP 官方的安全说明也明确提到,所有连接 SAP S/4HANA Cloud Public Edition 与其他系统的集成场景都需要安全通信,入站集成中客户系统需要使用由合适证书颁发机构签发的 client certificate。这句话看着简单,落到项目上就会牵出几条线。Communication System 里维护的不是一个单纯的主机名,Communication User 也不是一个普通登录账号,Communication Arrangement 更不是一个 API URL 生成器。它们共同构成了 SAP S/4HANA Cloud Public Edition 对外部调用者的身份模型。外部系统从网络上发起请求,SAP 侧既要判断 TLS