Cloud-Integration leicht gemacht: Xiting Central Workflows (XCW) trifft auf SAP Cloud

30. Juli 202431. Juli 2024 Cloud Security, Identity and Access Management, Produkte, XCW Carsten Olt

Entdecken Sie unseren innovativen Ansatz für die nahtlose Integration von Xiting Central Workflows (XCW) in die SAP-Cloud. Unser neues Service Pack bietet eine schnelle und effektive Methode zur Verwaltung und Automatisierung des ID-Lifecycles in Kombination mit unserer XCW und den SAP Cloud Identity Services.

Table of Contents

Status Quo

Unsere Lösung XCW ist bisher bekannt als ein schlankes Tool zur Verwaltung und Dokumentation von Benutzer- und Berechtigungsänderungen im AS ABAP- und S/4HANA-Umfeld. Es bietet mehrstufige Verfahren zur Antragstellung und Freigabe, die über SAP Standard Workflows abgewickelt werden.

Die einfache Integration in bestehende Systeme bietet erheblichen Mehrwert für Organisationen, die ihre SAP-Landschaft effizient und sicher verwalten möchten. XCW zentralisiert dabei die Verwaltung von Benutzerstammdaten und Rollenzuweisungen, unterstützt Rolleneigentümerkonzepte, Stellvertreterregelungen und mehrstufige Eskalationen. Zudem können das SAP HCM, Active Directory (lesend via LDAP) sowie externe Tools als Quellsysteme genutzt werden. Außerdem werden via XAMS CRAF SAP-Rollen auf kritische Berechtigungen und SoD-Konflikte geprüft. Die Bedienung erfolgt dabei bequem über SAP GUI und Fiori-Oberflächen.

Zur Lösung „Xiting Central Workflows“

Die Idee

Mit Service Pack 5 erweitert XCW seine Funktionalität um Business-Rollen, die als Container für technische Rollen aus verschiedenen ABAP-Systemen dienen. Anträge für diese Rollen können über das UI5-Frontend und die SAP GUI gestellt werden und durchlaufen einen Genehmigungsprozess, der vom Business-Rolleninhaber und gegebenenfalls vom Risikomanager überprüft wird.

Unser Ansatz nutzt das XCW-Zentralsystem (CDL) oder das bestehende ZBV-System als zentrales Quellsystem, um die Verwaltung und Provisionierung von Benutzerkonten und Berechtigungsrollen für On-Prem ABAP & S/4HANA zu ermöglichen.

Diesen Grundsatz wenden wir nun auch an, um SAP-Cloud-Systeme in Kombination mit den SAP Cloud Identity Services zu integrieren. In den SAP On-Prem-Systemen umfassen die Berechtigungsrollen typischerweise spezifische Zugriffsrechte für die SAP-Anwendungen. Es gibt jedoch auch „leere“ Berechtigungsrollen, die keine eigenen Zugriffsrechte haben, sondern lediglich als Stellvertreter für Berechtigungsrollen in anderen Systemen dienen.

Diese Rollen werden implementiert, da aufgrund unterschiedlicher Berechtigungskonzepte in der Cloud-Welt eine direkte Umsetzung nicht möglich ist. Im XCW-Zentralsystem/ZBV wird somit – workflow-gestützt – der Besitz dieser Rollen durch Benutzer-Accounts definiert.

Mehr zum neuen XCW Release erfahren

Das Gesamtbild

Die kombinierte Nutzung von XCW mit den SAP Cloud Identity Services bietet erhebliche Vorteile. Durch die Bereitstellung aller SAP-Cloud-Benutzer aus einer einzigen Quelle der Wahrheit (SSoT) für Benutzerdaten – dem XCW-Zentralsystem/ZBV – wird eine zentrale Verwaltung ermöglicht.

Aus diesem System werden alle gewünschten Benutzer und deren Rollenzuordnungen in das Identity Directory (IdDS) der SAP Cloud Identity Services provisioniert und stehen somit im Identity Authentication Service (IAS) zur Verfügung. Dies erfolgt mittels des Identity Provisioning Services (IPS), der die Benutzer und Rollenzuordnungen synchron hält. Der IPS ist dabei über den SAP Cloud Connector an das XCW-Zentralsystem/ZBV angebunden.

Alle Benutzer die für SAP-Cloud-Anwendungen (SaaS) sowie BTP-Subaccounts/Services im XCW verwaltet werden, werden über ein Dummy-Rollen-Konzept, z. B. mit dem Präfix Cloud_xxx, abgebildet. Diese Rollen werden den Benutzern über XCW-Businessrollen zugewiesen. Die Beantragung, Freigabe und Zuweisung erfolgt dabei basierend auf den etablierten- und anpassbaren Genehmigungsprozessen.

Diese Rollen und alle diesen Rollen zugewiesenen Benutzer, werden dann in den SAP Cloud Identity Services gemappt, wodurch entsprechende Benutzerkonten inklusive Gruppen im Identity Directory der SAP Cloud Identity Services erstellt werden.

Aus dem Identity Directory werden die Benutzer-Accounts und deren Rollenzuordnungen über weitere IPS-Jobs auf die spezifischen Tenants/Services in der SAP-Cloud provisioniert. Die Logik wird dabei durch Namenskonventionen der Rollennamen gesteuert. Dies ermöglicht die Zentralisierung der Authentifizierungsabläufe für alle SAP-Cloud-Anwendungen und schafft die Grundlage für die Automatisierung der Benutzerlebenszyklus-Prozesse.

Starten Sie mit uns in eine neue Ära des hybriden Identity Management und profitieren Sie von einer zentralen, effizienten Verwaltung Ihrer SAP- und Cloud-Systeme.

Technische Details

Zentralsystem/ZBV: Erste Quelle (alle SAP-Benutzer und Rollen/Gruppen in zentraler Verwaltung)
Dummy-Rollen: Bspw. mit Präfix „Cloud_xxx“, zugewiesen über XCW-Businessrollen
Freigabeprozesse: Integriert in XCW
Mapping: Leere PFCG-Rollen auf Gruppen- und Benutzer in SAP Cloud Identity Services (IdDS)
Identity Directory: Zweite Quelle zur Verteilung an BTP/SaaS durch IPS-Jobs
Provisionierung: IPS-Jobs für BTP & SaaS

Voraussetzungen

SAP Cloud Identity Services Tenant(s)
SAP Cloud Connector(en)
Xiting Central Workflows (XCW)(Zentralsystem oder ZBV)
Vorhandensein aller SAP-Benutzer im Zentralsystem oder ZBV
Konsistentes Namenskonzept für Cloud (Dummy)-Rollen
Eindeutiger Identifier für jeden SAP-Benutzer, idealerweise die E-Mail oder eine Personalnummer
Optional: Useranlage per LDAP-Suche in XCW

Vorteile

Zentrale Verwaltung und Provisionierung der Benutzerkonten für On-Prem ABAP & S/4HANA sowie Cloud-Systeme über XCW.
Mehrstufige, job-gesteuerte Provisionierung von Benutzerkonten und Rollen in die SAP Cloud Identity Services (ZBV/CDL > IdDS) sowie zu angeschlossenen SAP BTP Accounts oder SAP-Cloud-Anwendungen (IdDS > BTP/SaaS) über den Identity Provisioning Service.

Fazit

Mit der neuen Erweiterung durch Service Pack 5 integriert XCW nun auch SAP-Cloud-Systeme und bietet zentrale Verwaltung und Automatisierung der Benutzerlebenszyklen. Dies ermöglicht eine nahtlose, sichere und effiziente Verwaltung von SAP- und Cloud-Systemen aus einer einzigen Quelle.

Sie haben konkrete Fragen zu unserer Lösung?

Jetzt kontaktieren

Webinar: SAP Solution Day zu Xiting Central Workflows

Wenn Sie diese neue Funktion im Rahmen des neuen XCW Service Pack 5 live erleben möchten, empfehlen wir Ihnen unser kostenloses Webinar zum Thema „Benutzer- und Rollenverwaltung mit Xiting Central Workflows“. Der nächste Webinar-Termin findet im Rahmen dieser Webinar-Reihe statt: „SAP Solution Day“ und richtet sich an alle SAP, XAMS und XCW Anwender und Interessierte.

Jetzt anmelden

Über
Letzte Artikel

Carsten Olt

Managing SAP Security Consultant | SAP Trainer Secure Authentication | SSO | Cloud Security Services bei Xiting GmbH

Carsten Olt has been working as a Managing SAP Security Consultant since 2016, responsible for Secure Authentication & SSO and SAP Cloud Security Services at Xiting in Germany. As a member of the IAM team, he is also a team leader who conveys the company's goals and strategies to employees and has organizational responsibility.

With a security-minded approach, Carsten has international project and IT security experience in many industries. He has been working in IT-Security since 2001, specializing in SAP security since 2010. He is a subject matter expert for SAP Single Sign-On 3.0 and a trainer for the WDESSO course. His current focus is on supporting customers in solving authentication and security challenges within hybrid SAP landscapes, as well as designing and implementing holistic authentication concepts. Carsten is an ISACA CISA and a former MCP and RHCE with an ISP background, and he looks at security from different angles. He also translates between SAP and IT security vocabulary.

Carsten has in-depth experience in multi-vendor architectures and MSFT/Azure components, dealing with all the requirements concerning SAML 2.0, OAuth, OpenID Connect, SCIM, X.509 CBA & PKI, MFA, SAP SSO, and Secure Network Communications, Kerberos/SPNEGO, data security and encryption, as well as digital signatures.

Carsten is experienced in SAP on-premises components such as S/4HANA, ABAP, and Java, as well as security solutions like SSO 3.0. Since 2019, he has focused on SAP-Cloudified environments, specifically the SAP Cloud Identity Services and SAP BTP, as well as SaaS integrations concerning IAM. He deals with hybrid SAP security in conjunction with Azure Active Directory, ADDS, ADFS, ADCS, Reverse Proxies/WAF, SAP Web Dispatcher, SAP Cloud Connector, third-party products, and infrastructure components.

Letzte Artikel von Carsten Olt (Alle anzeigen)

Cloud-Integration leicht gemacht: Xiting Central Workflows (XCW) trifft auf SAP Cloud - 30. Juli 2024
Von Wehmut und Vorfreude: Das bevorstehende Ende von SAP IDM - 20. März 2024
2024 SAP Cloud Identity Services & IAM Portfolio: Was ist neu? - 26. Februar 2024

	+41 43 422 8803 [email protected]
	+49 7656 8999 002 [email protected]
	+1 855 594 84 64 [email protected]
	+44 1454 838 785 [email protected]