Cloud-Integration leicht gemacht: Xiting Central Workflows (XCW) trifft auf SAP Cloud
Entdecken Sie unseren innovativen Ansatz für die nahtlose Integration von Xiting Central Workflows (XCW) in die SAP-Cloud. Unser neues Service Pack bietet eine schnelle und effektive Methode zur Verwaltung und Automatisierung des ID-Lifecycles in Kombination mit unserer XCW und den SAP Cloud Identity Services.
Table of Contents
Status Quo
Unsere Lösung XCW ist bisher bekannt als ein schlankes Tool zur Verwaltung und Dokumentation von Benutzer- und Berechtigungsänderungen im AS ABAP- und S/4HANA-Umfeld. Es bietet mehrstufige Verfahren zur Antragstellung und Freigabe, die über SAP Standard Workflows abgewickelt werden.
Die einfache Integration in bestehende Systeme bietet erheblichen Mehrwert für Organisationen, die ihre SAP-Landschaft effizient und sicher verwalten möchten. XCW zentralisiert dabei die Verwaltung von Benutzerstammdaten und Rollenzuweisungen, unterstützt Rolleneigentümerkonzepte, Stellvertreterregelungen und mehrstufige Eskalationen. Zudem können das SAP HCM, Active Directory (lesend via LDAP) sowie externe Tools als Quellsysteme genutzt werden. Außerdem werden via XAMS CRAF SAP-Rollen auf kritische Berechtigungen und SoD-Konflikte geprüft. Die Bedienung erfolgt dabei bequem über SAP GUI und Fiori-Oberflächen.
Die Idee
Mit Service Pack 5 erweitert XCW seine Funktionalität um Business-Rollen, die als Container für technische Rollen aus verschiedenen ABAP-Systemen dienen. Anträge für diese Rollen können über das UI5-Frontend und die SAP GUI gestellt werden und durchlaufen einen Genehmigungsprozess, der vom Business-Rolleninhaber und gegebenenfalls vom Risikomanager überprüft wird.
Unser Ansatz nutzt das XCW-Zentralsystem (CDL) oder das bestehende ZBV-System als zentrales Quellsystem, um die Verwaltung und Provisionierung von Benutzerkonten und Berechtigungsrollen für On-Prem ABAP & S/4HANA zu ermöglichen.
Diesen Grundsatz wenden wir nun auch an, um SAP-Cloud-Systeme in Kombination mit den SAP Cloud Identity Services zu integrieren. In den SAP On-Prem-Systemen umfassen die Berechtigungsrollen typischerweise spezifische Zugriffsrechte für die SAP-Anwendungen. Es gibt jedoch auch „leere“ Berechtigungsrollen, die keine eigenen Zugriffsrechte haben, sondern lediglich als Stellvertreter für Berechtigungsrollen in anderen Systemen dienen.
Diese Rollen werden implementiert, da aufgrund unterschiedlicher Berechtigungskonzepte in der Cloud-Welt eine direkte Umsetzung nicht möglich ist. Im XCW-Zentralsystem/ZBV wird somit – workflow-gestützt – der Besitz dieser Rollen durch Benutzer-Accounts definiert.
Das Gesamtbild
Die kombinierte Nutzung von XCW mit den SAP Cloud Identity Services bietet erhebliche Vorteile. Durch die Bereitstellung aller SAP-Cloud-Benutzer aus einer einzigen Quelle der Wahrheit (SSoT) für Benutzerdaten – dem XCW-Zentralsystem/ZBV – wird eine zentrale Verwaltung ermöglicht.
Aus diesem System werden alle gewünschten Benutzer und deren Rollenzuordnungen in das Identity Directory (IdDS) der SAP Cloud Identity Services provisioniert und stehen somit im Identity Authentication Service (IAS) zur Verfügung. Dies erfolgt mittels des Identity Provisioning Services (IPS), der die Benutzer und Rollenzuordnungen synchron hält. Der IPS ist dabei über den SAP Cloud Connector an das XCW-Zentralsystem/ZBV angebunden.
Alle Benutzer die für SAP-Cloud-Anwendungen (SaaS) sowie BTP-Subaccounts/Services im XCW verwaltet werden, werden über ein Dummy-Rollen-Konzept, z. B. mit dem Präfix Cloud_xxx, abgebildet. Diese Rollen werden den Benutzern über XCW-Businessrollen zugewiesen. Die Beantragung, Freigabe und Zuweisung erfolgt dabei basierend auf den etablierten- und anpassbaren Genehmigungsprozessen.
Diese Rollen und alle diesen Rollen zugewiesenen Benutzer, werden dann in den SAP Cloud Identity Services gemappt, wodurch entsprechende Benutzerkonten inklusive Gruppen im Identity Directory der SAP Cloud Identity Services erstellt werden.
Aus dem Identity Directory werden die Benutzer-Accounts und deren Rollenzuordnungen über weitere IPS-Jobs auf die spezifischen Tenants/Services in der SAP-Cloud provisioniert. Die Logik wird dabei durch Namenskonventionen der Rollennamen gesteuert. Dies ermöglicht die Zentralisierung der Authentifizierungsabläufe für alle SAP-Cloud-Anwendungen und schafft die Grundlage für die Automatisierung der Benutzerlebenszyklus-Prozesse.
Starten Sie mit uns in eine neue Ära des hybriden Identity Management und profitieren Sie von einer zentralen, effizienten Verwaltung Ihrer SAP- und Cloud-Systeme.
Technische Details
- Zentralsystem/ZBV: Erste Quelle (alle SAP-Benutzer und Rollen/Gruppen in zentraler Verwaltung)
- Dummy-Rollen: Bspw. mit Präfix „Cloud_xxx“, zugewiesen über XCW-Businessrollen
- Freigabeprozesse: Integriert in XCW
- Mapping: Leere PFCG-Rollen auf Gruppen- und Benutzer in SAP Cloud Identity Services (IdDS)
- Identity Directory: Zweite Quelle zur Verteilung an BTP/SaaS durch IPS-Jobs
- Provisionierung: IPS-Jobs für BTP & SaaS
Voraussetzungen
- SAP Cloud Identity Services Tenant(s)
- SAP Cloud Connector(en)
- Xiting Central Workflows (XCW)(Zentralsystem oder ZBV)
- Vorhandensein aller SAP-Benutzer im Zentralsystem oder ZBV
- Konsistentes Namenskonzept für Cloud (Dummy)-Rollen
- Eindeutiger Identifier für jeden SAP-Benutzer, idealerweise die E-Mail oder eine Personalnummer
- Optional: Useranlage per LDAP-Suche in XCW
Vorteile
- Zentrale Verwaltung und Provisionierung der Benutzerkonten für On-Prem ABAP & S/4HANA sowie Cloud-Systeme über XCW.
- Mehrstufige, job-gesteuerte Provisionierung von Benutzerkonten und Rollen in die SAP Cloud Identity Services (ZBV/CDL > IdDS) sowie zu angeschlossenen SAP BTP Accounts oder SAP-Cloud-Anwendungen (IdDS > BTP/SaaS) über den Identity Provisioning Service.
Fazit
Mit der neuen Erweiterung durch Service Pack 5 integriert XCW nun auch SAP-Cloud-Systeme und bietet zentrale Verwaltung und Automatisierung der Benutzerlebenszyklen. Dies ermöglicht eine nahtlose, sichere und effiziente Verwaltung von SAP- und Cloud-Systemen aus einer einzigen Quelle.
Sie haben konkrete Fragen zu unserer Lösung?
Webinar: SAP Solution Day zu Xiting Central Workflows
Wenn Sie diese neue Funktion im Rahmen des neuen XCW Service Pack 5 live erleben möchten, empfehlen wir Ihnen unser kostenloses Webinar zum Thema „Benutzer- und Rollenverwaltung mit Xiting Central Workflows“. Der nächste Webinar-Termin findet im Rahmen dieser Webinar-Reihe statt: „SAP Solution Day“ und richtet sich an alle SAP, XAMS und XCW Anwender und Interessierte.
- Cloud-Integration leicht gemacht: Xiting Central Workflows (XCW) trifft auf SAP Cloud - 30. Juli 2024
- Von Wehmut und Vorfreude: Das bevorstehende Ende von SAP IDM - 20. März 2024
- 2024 SAP Cloud Identity Services & IAM Portfolio: Was ist neu? - 26. Februar 2024