SAP IDM, IPS und IAS – Was brauche ich? Eine Abgrenzung (Teil I)

Die Aufgabe: Um was geht es eigentlich?

Erinnern Sie sich an Ihre Schulzeit und die Aufgaben, bei denen man Wörter durch miteinander verbinden einander zuweisen musste? Schnitten Sie dabei gut ab? Dann lassen Sie uns diesen Blog mit einer solchen einfachen Aufgabe beginnen:

Ordnen Sie die Wörter auf der linken Seite den SAP Tools auf der rechten Seite zu. Mehrfachverbindungen sind möglich.

Eine leichte Übung? Sie haben korrekterweise fast alle Begriffe auf der linken Seite jedem Begriff auf der rechten Seite zugewiesen? Sie können alle Use Cases für den Einsatz der Tools auf der rechten Seite unterscheiden? Dann sind Sie bereit für einen tieferen technischen Einblick in der detaillierten, fünfteiligen Blog-Reihe von Matthias Kaempfer.

Für alle anderen bzw. den interessierten Lesern geht es hier im ersten Teil der zweiteiligen Blogreihe weiter: eine Abgrenzung der oben genannten Services bzw. Tools (im Folgenden werden sie vereinfacht „Tools“ genannt).

Die Funktionalitäten: Was macht eigentlich was?

Die SAP beschreibt diese verschiedenen Tools wie folgt:

Tab. 1: Übersicht SAP Identity Tools.
Verlinkungen hier: IAS IPS IDM

Einige Leser werden sich nun fragen, wieso in dieser Liste weder SAP Access Control, noch SAP Cloud Identity Access Governance (IAG) auftaucht. Das liegt daran, dass diese Tools nicht im direkten Kontext zu „Identity Management“ stehen. Sie gehören nicht zu den SAP Cloud Identity Services, wie es von Marko Sommer auch hier beschrieben wird. Das gilt zwar auch für SAP Identity Management, dennoch ist dieses Tool ganz klar für die Verwaltung von Identitäten gedacht. Der Grund, wieso es nicht zum Club der SAP-Cloud Identity Services gehört ist einleuchtend: Es läuft auf On-Premise.

Wenn Sie mehr über IAG erfahren möchten, verweise ich auf den sehr aufschlussreichen Blog von meinem Kollegen, Alessandro Banzer.

Betrachtet man nun die Features der verschiedenen Tools und setzt sich genauer damit auseinander, fällt auf, dass es funktionale Überschneidungen gibt und die Bereiche teilweise ineinandergreifen. Das lässt sich anhand der Aufgabe am Beginn der Blogs bspw. am Begriff „Provisionierung“ erläutern.

Dieser Terminus trifft auf alle drei Tools zu, denn alle können in gewisser Weise Daten (wie z. B. Benutzerdaten, Berechtigungen usw.) von A nach B provisionieren. Der IAS ist in diesem Fall meistens als Zielsystem einer solchen Provisionierung im Einsatz, wobei aber SAP Jam und IPS auch vom IAS aus provisioniert werden können:

Abb. 1: Auswahl Zielsysteme SAP IAS

Beim IPS können Sie hingegen eine Reihe von verschiedenen Systemen als Quell-, Ziel- und Proxysystem (z. B. IDM) anbinden – darunter auch das Active Directory, das Azure Active Directory, die SAP Analytics Cloud, das SAP AS ABAP, die Google G Suite, das SAP Success Factors, das SAP S/4 HANA oder andere Systeme die den SCIM-Standard nutzen.  Aus Abbildung 2 „SAP IPS“ wird diese Auswahl ersichtlich.

Abb. 2: Auswahl Zielsysteme SAP IPS

Die Lösung SAP IDM hingegen nutzt eine Vielzahl von Connectoren, die die Provisionierung in fast alle bekannten On-Premise-Systeme zulassen, wie bspw. Active Directory, SAP AS ABAP, SAP AS JAVA, SAP S/4 HANA, diverse Datenbanken und Systeme, die LDAP nutzen etc. Durch die Möglichkeit einer Anbindung an den IPS können Sie eben auch alle Cloud-Systeme integrieren, die vom IPS provisioniert werden können:

Abb. 3: Auswahl Zielsysteme SAP IDM (aus PDF „SAP Identity Management Overview“, Juni 2019, SAP SE)

Weitere Begriffe, die auf alle drei Tools zutreffen sind z. B. „Hybrid“ (alle Tools können in einer hybriden Landschaft funktionieren und zusammenarbeiten), welche „Cloud“ und „On-Premise“ mit abdecken. Zudem können SAP IDM und SAP IAS als „Identity Provider“ agieren und SAP IPS die Provisionierung von und zu diesen Providern durchführen. Sie können somit Teil des Authentifizierungsprozesses sein oder selbst authentifizieren und sie können auch Ziele von Workflows sein oder diese selbst abbilden.

Was ist also der Unterschied der drei Tools und welches brauche ich für welchen Use Case?

Das erfahren Sie anhand eines praktischen Beispiels in Teil 2 des Blogs: der Start der Karriere der fiktiven Elsa Mayer bei der Firma ACME.

Möchten Sie jetzt schon mehr über IDM, IPS oder IAS erfahren oder welche Schulungen und Workshops es dazu gibt, wenden Sie sich an [email protected] oder stöbern Sie hier.

Fabian Honervogt
Kontakt

Nehmen Sie Kontakt mit uns auf!

Haben Sie Fragen zu unseren Produkten?

+41 43 422 8803
[email protected]
+49 7656 8999 002
[email protected]
+1 855 594 84 64
[email protected]
+44 1454 838 785
[email protected]
Kontakt
Webinare

Besuchen Sie unsere Live-Webinare und lernen Sie von unseren Experten mehr zu SAP-Berechtigungen, XAMS, SAP IDM und zu vielen weiteren Themen im Kontext von SAP Security.

Hier anmelden