Arsitektur SAP AI Joule Pada Teknis Integrasi dengan BTP dan S/4HANA

Dalam lanskap ERP modern, transisi dari antarmuka transaksional statis menuju interaksi berbasis natural language bukan lagi sekadar tren, melainkan kebutuhan operasional. SAP AI Joule hadir bukan sekadar sebagai chatbot, melainkan sebagai lapisan orkestrasi cerdas yang menghubungkan intensi pengguna dengan logika bisnis yang kompleks di backend.

Namun, bagi kita yang bergerak di bidang arsitektur sistem dan konsultansi IT, tantangan sebenarnya bukanlah pada "apa itu Joule", melainkan "bagaimana membuatnya bekerja" di lingkungan hybrid yang rumit. Integrasi antara SAP Business Technology Platform (BTP), S/4HANA Private Cloud, dan protokol keamanan perusahaan sering kali menjadi penghalang utama dalam proyek implementasi.

Arsitektur Tingkat Tinggi: Joule di Ekosistem BTP

Secara fundamental, Joule beroperasi sebagai layanan mikro (microservice) di lingkungan Cloud Foundry pada SAP BTP. Ia tidak berdiri sendiri, melainkan bergantung pada serangkaian layanan pendukung yang harus dikonfigurasi secara presisi.

Dalam pengalaman implementasi teknis, arsitektur ini dapat dibagi menjadi tiga lapisan logis:

1. Lapisan Interaksi (User Channel): Ini adalah titik masuk pengguna, biasanya melalui SAP Fiori Launchpad atau SAP Build Work Zone. Joule disematkan sebagai plugin UI5 yang memanggil layanan di BTP.

2. Lapisan Orkestrasi (BTP Intelligence): Di sinilah "otak" Joule berada. Layanan ini menggunakan SAP GenAI Hub untuk merutekan prompt ke model bahasa besar (LLM) yang sesuai, serta SAP HANA Cloud Vector Engine untuk melakukan Grounding (pencarian konteks) pada dokumen perusahaan.

3. Lapisan Eksekusi (Backend): Sistem pencatatan seperti S/4HANA tempat data aktual berada. Komunikasi ke lapisan ini tidak dilakukan sembarangan, tetapi melalui terowongan aman Cloud Connector.

Catatan Ahli: Kesalahpahaman umum adalah menganggap Joule menyimpan data bisnis Anda. Faktanya, Joule bersifat stateless dalam hal penyimpanan data transaksional; ia hanya memproses data saat flight dan tidak melakukan persistensi data bisnis di lapisan LLM.

Integrasi S/4HANA Private Cloud Edition (PCE)

Integrasi dengan S/4HANA Private Cloud atau sistem yang berada di jaringan privat adalah bagian paling kritis. Berbeda dengan Public Cloud yang "plug-and-play", lingkungan PCE membutuhkan konfigurasi manual yang ketat.

1. Peran Vital SAP Cloud Connector (SCC)

Agar Joule di BTP dapat "berbicara" dengan S/4HANA di belakang firewall tanpa membuka port inbound yang berisiko, kita wajib menggunakan SAP Cloud Connector.

Tantangan teknis terbesar di sini adalah Principal Propagation. Kita tidak bisa menggunakan Basic Authentication (User/Password teknis statis) karena Joule perlu mengeksekusi transaksi atas nama pengguna asli (User A) untuk mematuhi audit log dan otorisasi.

Alur teknis yang harus Anda konfigurasi:

• Trust Establishment: Pertukaran sertifikat X.509 antara BTP Subaccount dan SCC.

• Short-Lived Certificates: SCC akan menerbitkan sertifikat X.509 sementara untuk setiap request dari Joule.

• Backend Validation: Parameter icm/HTTPS/trust_client_roots di S/4HANA harus diatur untuk mempercayai System Certificate dari SCC. Jika ini terlewat, Anda akan menemui error HTTP 401 Unauthorized pada log ICM.

2. Sinkronisasi UUID

Isu yang paling sering membuat proyek tertunda berhari-hari adalah ketidakcocokan identitas. Joule menggunakan Global User ID dari SAP Cloud Identity Services (IAS).

Di S/4HANA, pengguna sering kali dipetakan berdasarkan User ID (misal: JDOE). Namun, IAS menggunakan userUuid. Anda harus memastikan bahwa Identity Provisioning Service (IPS) dikonfigurasi untuk menyinkronkan atribut ini secara akurat.

• Risiko: Jika userUuid di IAS tidak cocok dengan pemetaan di S/4HANA, Joule akan gagal mengenali pengguna saat mencoba mengambil data cuti atau Purchase Order, meskipun login Fiori berhasil.

Tantangan On-Premise Pada Realita vs Ekspektasi

Sering kali klien bertanya: "Bisakah saya pasang Joule di S/4HANA On-Premise 2023 server kantor saya?" Jawaban jujur saat ini adalah: Tidak secara native.

Hingga roadmap terbaru, integrasi Joule langsung ke dalam Fiori Launchpad lokal (embedded) belum didukung penuh untuk instalasi On-Premise murni (non-RISE).

Solusi Workaround: Side-by-Side Extensibility

Namun, sebagai konsultan, kita tidak bisa hanya berkata "tidak". Solusi arsitekturnya adalah menggunakan pola Side-by-Side:

1. Gunakan SAP Build Work Zone, Standard Edition di BTP sebagai gerbang masuk utama pengguna.

2. Hubungkan Work Zone ke sistem On-Premise via Cloud Connector.

3. Aktifkan Joule di level Work Zone.

Dengan cara ini, pengguna berinteraksi dengan Joule di cloud, dan Joule mengambil data dari on-premise melalui konektor. Meskipun sedikit mengubah pengalaman pengguna (harus pindah ke Work Zone), ini adalah satu-satunya cara valid untuk mengaktifkan kapabilitas GenAI bagi pelanggan on-premise saat ini, setidaknya hingga rilis fitur baru yang diperkirakan pada Q1 2025.

Protokol Keamanan: SAP Business AI Trust Layer

Keamanan data adalah pertanyaan pertama CISO (Chief Information Security Officer). Bagaimana kita menjamin data gaji karyawan tidak bocor ke publik saat diproses oleh AI?

SAP menerapkan mekanisme AI Trust Layer yang berfungsi sebagai filter dua arah:

• Input Filtering (Anonymization): Sebelum prompt dikirim ke LLM (misalnya ke Azure OpenAI), Trust Layer memindai dan menyamarkan Personally Identifiable Information (PII). Nama "Budi Santoso" mungkin diganti menjadi "Person_A".

• Output Filtering: Respons dari LLM dipindai untuk memastikan tidak ada konten berbahaya atau halusinasi yang tidak logis sebelum ditampilkan ke pengguna.

Penting untuk dicatat bahwa berdasarkan kontrak SAP dengan vendor AI, data pelanggan tidak digunakan untuk melatih ulang (re-train) model dasar mereka. Data Anda tetap menjadi milik Anda.

Troubleshooting: Masalah Umum di Lapangan

Berdasarkan pengalaman deployment, berikut dua masalah teknis teratas dan solusinya:

1. Error "Digital Assistant not found":

   • Penyebab: Sistem S/4HANA belum ditambahkan ke dalam System Formation di BTP Cockpit, atau Trusted Domain belum dikonfigurasi sehingga browser memblokir