SAP Cloud Connector

Der SAP Cloud Connector verbindet On-Premises-Systeme sicher mit der SAP Business Technology Platform (BTP). Er stellt eine schlanke Laufzeitkomponente im Unternehmensnetz bereit, die ausgehende, verschlüsselte Tunnel zu einer BTP-Subaccount-Region aufbaut. Darüber lassen sich ausgewählte interne Ressourcen kontrolliert für BTP-Services und -Applikationen bereitstellen, ohne eingehende Verbindungen aus dem Internet zu öffnen.
Was ist SAP Cloud Connector?
Wenn Sie eine hybride SAP-Systemlandschaft betreiben, ist der SAP Cloud Connector ein unverzichtbares Tool. Mit ihm können Sie Services und Subskriptionen in der SAP Business Technology Platform (SAP BTP) sicher mit Ihrer On-Premise-Landschaft verbinden. Er bildet einen abgesicherten Tunnel zwischen der SAP-BTP-Subaccount-Landschaft und Ihrem eigenen On-Premise-Netz. In diesem Zusammenhang setzt der SAP Cloud Connector auf einen Reverse-Invoke-Proxy-Ansatz.
Demnach leitet er Anfragen aus der SAP-BTP-Cloud kontrolliert an freigegebene On-Premise-Ressourcen weiter. Hinweis: Die SAP BTP hieß bis 2021 „SAP Cloud Platform“. Um schnell, effizient und sicher mit dem SAP Cloud Connector zu starten, sollten Sie sich mit den Grundlagen vertraut machen.
Wie funktioniert SAP Cloud Connector?
Die SAP BTP ist eine Entwicklungs- und Betriebsplattform (PaaS). Sollen aus der Cloud betriebene Anwendungen oder Services auf Daten und Schnittstellen in Ihrem Unternehmensnetz zugreifen, wird hierfür der Cloud Connector eingesetzt. Anstatt eingehende Verbindungen ins Rechenzentrum zu öffnen, baut der Cloud Connector eine ausgehende, TLS-gesicherte Verbindung zur SAP-BTP-Konnektivität auf. Über diese Verbindung können BTP-Anwendungen (z. B. Erweiterungen, Integrationen oder Analytics-Szenarien) auf explizit freigegebene On-Premise-Endpunkte zugreifen. Ein VPN ist dafür nicht erforderlich.
Der Cloud Connector ist für Verbindungen zwischen SAP-BTP-Subaccounts und Ihrem On-Premise-Netz konzipiert. Er ist nicht dafür gedacht, beliebige Dritt-SaaS-Dienste direkt mit On-Premise zu koppeln. Zu den typischen Zielsystemen gehören SAP-Backends (HTTP(S) und RFC) sowie weitere freigegebene interne Ressourcen. Der Zugriff ist grundsätzlich fein granular zu erlauben (Allowlisting auf Host/Port/URL-Pfad bzw. RFC-Ebene).
Voraussetzungen zur Verwendung von SAP Cloud Connector
Der Cloud Connector läuft auf gängiger Server-Hardware unter Windows oder Linux und benötigt eine aktuelle Java-Laufzeitumgebung (neuere 2.x-Versionen erfordern Java 17). Für den Betrieb wird ein Internetzugang zu den SAP-BTP-Endpunkten und LAN-Zugriff auf die anzubindenden Systeme benötigt; die On-Premise-Systeme selbst müssen nicht aus dem Internet erreichbar sein. Ein einzelner Cloud-Connector-Server kann mit mehreren SAP-BTP-Subaccounts verbunden werden; jeder Subaccount wird dabei einzeln im Cloud Connector registriert. Aus Sicherheitsgründen sollte der administrierende Benutzerkreis klein gehalten und nach dem Least-Privilege-Prinzip berechtigt werden. Aktuelle Stände unterstützen zudem moderne Plattformen, z. B. Windows Server 2025 in Version 2.18.
Architektur
Auf der Abbildung ist eine grobe Übersicht über die SAP Cloud Connector Architektur zu sehen. Der Cloud Connector baut einen ausgehenden, TLS-gesicherten Tunnel zur SAP-BTP-Konnektivität auf. Innerhalb dieses Tunnels werden nur zuvor freigegebene Ressourcen erreichbar gemacht. So behalten Sie die Hoheit über erreichbare Hosts, Ports, Protokolle und Pfade. Gleichzeitig lassen sich für jeden angebundenen Subaccount separate Regeln und Identitäten verwenden.
Welche Vorteile bietet SAP Cloud Connector?
Der Cloud Connector (früher „HANA Cloud Connector“) vermeidet das Öffnen eingehender Firewall-Ports und den Betrieb eigener Reverse-Proxies in der DMZ. Für die Kopplung zwischen SAP-BTP-Anwendungen und On-Premise-Systemen stehen u. a. HTTP(S)- und RFC-Zugriffe zur Verfügung. Unterbrochene Verbindungen werden automatisch wiederhergestellt. Die Installation und Konfiguration ist vergleichsweise schlank, und durch Zeitpläne sowie feingranulare Freigaben behalten Sie Kosten und Risiko im Blick.
Fazit
Der SAP Cloud Connector ist ein leistungsfähiges Tool, mit dem viele bereits bestehende Backend-Systeme mit der SAP Cloud Platform verbunden werden können. Um einen problemlosen Datenaustausch mit dem SAP Cloud Connector zu ermöglichen, überzeugt der vom BSI zertifizierte Cloud Connector mit niedrigen Investitionskosten und einer einfachen Konfiguration.
Dieser Artikel erschien bereits im April 2023. Der Artikel wurde am 10.09.2025 erneut geprüft und mit leichten Anpassungen aktualisiert.
FAQ
Was ist der SAP Cloud Connector?
Der SAP Cloud Connector stellt eine gesicherte Verbindung zwischen Anwendungen in der SAP Business Technology Platform und lokalen Systemen her. Er fungiert als ausgehender Reverse-Invoke-Proxy zwischen der SAP-BTP-Konnektivität und Ihrem internen Netzwerk und wird als lokaler Agent in Ihrer Infrastruktur betrieben.
Welche Vorteile bietet der SAP Cloud Connector?
Er reduziert die Angriffsfläche, weil keine eingehenden Ports geöffnet werden müssen, erlaubt eine sehr feine Steuerung der freigegebenen Ressourcen und unterstützt gängige Protokolle wie HTTP(S) und RFC. So lassen sich Cloud-Erweiterungen, Integrationen und Analytics-Szenarien sicher mit On-Premise-Daten versorgen.
Weiterführende Informationen
- SAP Cloud Connector KnowHow
- SAP Cloud Connector for Beginners
- SAP Cloud Connector Download
- SAP Cloud Platform
- Szenarien
Wer kann mir beim Thema SAP Cloud Connector helfen?
Wenn Sie Unterstützung zum Thema SAP Cloud Connector benötigen, stehen Ihnen die Experten von RZ10, dem auf dieses Thema spezialisierten Team der mindsquare AG, zur Verfügung. Unsere Berater helfen Ihnen, Ihre Fragen zu beantworten, das passende Tool für Ihr Unternehmen zu finden und es optimal einzusetzen. Vereinbaren Sie gern ein unverbindliches Beratungsgespräch, um Ihre spezifischen Anforderungen zu besprechen.
4 Kommentare zu "SAP Cloud Connector"
Hallo Tobias,
Vielen Dank für die viele tolle Beiträge.
wie ist das, wenn man z.b mehrere Subaccounts in SAP BTP hat. muss man dann zu jedem Subaacount die Verbindung im Cloud Connector anlegen ?
Gibt es die Möglichkeit nur eine Verbindung im Cloud Connector zu SAP BTP anzulegen und dann im SAP BTP die Verbinungen je nach subaccount und Bedarf zu aktivieren ?
Wie ist hier die Empfehlung von der SAP (wenn man z.b viele Subaccounts hat) ?
Vielen Dank
Sebi
Hallo Sebi,
hier die Antwort unseres Experten:
Jeder Subaccount ist als getrennte, unabhängige Umgebung zu anderen Subaccounts zu sehen. Das betrifft neben den Bereichen Usermanagement & Services auch den Cloud Connector.
Es reicht also auf der On-Premise-Seite ein Cloud Connector Server, dieser muss aber mit jedem Subaccount einzeln verbunden werden. Daran führt leider kein Weg vorbei.
Aus Security-Sicht ist dies auch zu empfehlen, um die Zugriffe auf die On-Premise-Ressourcen möglichst genau einschränken zu können.
Viele Grüße
Die RZ10-Redaktion
Hallo RZ10 Team,
welchen User soll man in Cloud Connector für die Verbindung zu BTP verwenden ? Ganz normalen S-User oder technical User ? Was ist die Empfehlung dazu ?
Danke schön
Gruss
Uwe
Hallo Uwe,
hier die Antwort unseres Experten: Für den entsprechenden Subaccount gibt es einen speziellen Account-User.
Viele Grüße aus der RZ10-Redaktion