SAP IDM, IPS und IAS – Was brauche ich? Eine Abgrenzung (Teil II)

Cloud Security, SAP IDM Fabian Honervogt

Im ersten Teil des Blogs haben Sie erfahren, was die Unterschiede und die Gemeinsamkeiten von SAP IDM, SAP IAS und SAP IPS sind. Weiter geht es mit einer beispielhaften Userstory, dem Karrierestart des fiktiven Benutzers Elsa Mayer bei der Firma ACME.

Da die einzelnen Tools bereits hinreichend von der SAP dokumentiert sind (siehe Links in Tab. 1 aus Teil 1 des Blogs) und bereits in Blogs technisch beschrieben wurden (z.B.: IAS und IPS, Anbindung Azure AD mit IDM und IPS), möchte ich die Unterschiede und Funktionalitäten der einzelnen Tools anhand einer Userstory darstellen*:

*Disclaimer: die Voraussetzung für diese User Story ist ein vollständig implementiertes und auf die Firma angepasstes IDM und vollständig konfigurierte IPS und IAS. Die beschriebenen Prozesse sind Beispiele und sollten vor einer Implementierung detailliert auf Basis der Anforderungen konzipiert und entsprechend implementiert werden.

User Story zu SAP IDM, IPS und IAS

25.06.2020 – Die Einstellung:

Elsa Mayer bewirbt sich als Account Manager Deutschland bei der Firma ACME. Nach dem erfolgreichen Einstellungsprozess werden Ihre Stammdaten von einem HR-Mitarbeiter manuell in das SAP HCM-System eingegeben. Dies ist u. a. auch mittels SAP Success Factors möglich. Das ist technisch gesehen der Start ihrer Karriere und der erste Schritt zum automatisch generierten Account.

Elsas erster Arbeitstag ist der 03.08.2020, was im SAP HCM-System dementsprechend so eingepflegt wird.

Beteiligte Systeme:

27.07.2020 – Der Export:

Eine Woche vor dem Eintrittstermin wird der Benutzerstamm automatisch mit den definierten Attributen (z. B. Vollständiger Name, Eintrittsdatum, Organisationseinheit, Jobbeschreibung etc.) aus dem SAP HCM-System exportiert und landet im SAP On-Premise IDM.

Dieses System merkt, dass eine neue Identität zur Anlage bereit ist und startet basierend auf den empfangenen Daten den Eintrittsprozess. Dort passiert u. a. Folgendes:

Die Generierung der Daten ist einer der Hauptunterschiede von IDM zu IPS und IAS. Lifecycle Prozesse wie Eintritt, Austritt, Namenswechsel oder Wechsel Organisationseinheit mit Generierung und Löschung von Attributen können in dieser Komplexität ausschliesslich von SAP IDM realisiert werden!

  1. SAP IDM prüft den Benutzertyp der Identität, merkt das Elsa ein interner Mitarbeiter ist und springt technisch gesehen in den Prozess „Eintritt Interner Mitarbeiter“.
  2. SAP IDM bildet automatisch Attribute, u.a.:
  • Anzeigename: Elsa Mayer, ACME
  • E-Mail-Adresse: [email protected] (da bereits eine Elsa Mayer bei ACME arbeitet, wird laut Regelwerk zur Generierung eine laufende Zahl hinzugefügt)
  • SAP-Accountname: 00047328 (hier wurde intelligenterweise die Personalnummer verwendet, sodass beim Namenswechsel der SAP Account weiter genutzt werden kann)
  • Key Card Nummer: 14091984
  • Passwort

3. SAP IDM weist automatisch Businessrollen zu, basierend auf den empfangenen SAP HCM-Daten, z. B. die Rollen „Account Management Deutschland“ (wegen ihrer Jobbeschreibung) und „Accounting“ (wegen ihrer Organisationseinheit). Diese Berechtigungen werden mit dem Gültigkeitsdatum „ab 03.08.2020“ zugewiesen und enthalten technische Berechtigungen auf den entsprechenden Zielsystemen (z. B. PFCG-Rollen oder Active Directory-Gruppen).

Eine Businessrolle ist im SAP IDM ein Container, der systemübergreifend mit Berechtigungen und Gruppen gefüllt werden und einem Benutzer zugewiesen werden kann.

Beteiligte Systeme:

03.08.2020, 00:01 Uhr – Der Eintritt:

Am Tage des Eintritts werden die Businessrollen, die seit dem Export bei Elsa als Zukunftswerte im IDM vorgemerkt sind, aktiv zugewiesen. SAP IDM merkt nun, dass in den Zielsystemen SAP AS ABAP, SAP IAS, Azure Active Directory und SAP Sales Cloud Berechtigungen zugewiesen müssen und startet damit in den Zielsystemen Benutzer für Elsa anzulegen:

Der SAP IPS ist also für das On-Premise SAP IDM die Eintrittskarte in die Cloud-Welt. Workflows oder Prozesse sind dort allerdings (noch) nicht möglich.

  1. Alle SAP AS ABAP Systeme On-Premise werden direkt vom SAP IDM über den ABAP Connector provisioniert. Dort bekommt Elsa nun Accounts mit ihrem SAP-Accountname.
  2. Für die Anlage der Accounts in den Cloud Systemen nutzt SAP IDM den IPS Connector: SAP IDM > SAP IPS > SAP IAS, Azure, Active Directory, SAP Sales Cloud
  3. SAP IDM weist nun automatisiert in den jeweiligen Zielsystemen, die in den Businessrollen enthaltenen technischen Rollen zu. Dies geschieht auch für die Cloud-Systeme über den SAP IPS.
  4. SAP IDM sendet Elsas Initialpasswort an ihren Vorgesetzten und provisioniert es mit den Benutzerdaten in die für SAP SSO benötigten Zielsysteme.

Beteiligte Systeme:

03.08.2020, 08:00 Uhr – Der erste Arbeitstag:

Nun sind alle Daten provisioniert und Elsas SAP-Benutzer angelegt. Da der SAP IAS für Single Sign-On (SSO) und eigenem User Store konfiguriert wurde kann sich Elsa nun mit dem Passwort, welches sie von ihrem Vorgesetzten erhalten hat, an ihrem Rechner anmelden. Dank SAP IDM kann sie nun von Tag 1 an alle Tätigkeiten, die ihr Job erfordert, durchführen, da sie bereits ein E-Mailkonto hat und in allen Systemen die entsprechenden Berechtigungen zugewiesen wurden.

Da SAP IPS die entsprechenden Daten in die Zielsysteme provisioniert hat, kann sie dies auch in allen Cloud-Anwendungen.

Und mit Hilfe des SAP IAS muss sie sich nur einmal authentifizieren und wird per SAML2-Token in allen Cloud-Applikationen sicher angemeldet.

Was für ein Start in den neuen Job!

Beteiligte Systeme:

Das Fazit: Was bleibt hängen?

Der oben skizzierte Beispielprozess zeigt, dass obwohl SAP IDM, SAP IPS und SAP IAS zwar auch autark voneinander funktionieren, erst durch ihr Zusammenspiel jedoch das volle Potential eines sicheren und benutzerfreundlichen Identity Managements entfesseln.

Denn jegliche Prozesse im Identity Lifecycle (wie zusätzlich z.B. der Austritt, Namenswechsel oder Wechsel Organisationseinheit) erfordern Anpassungen an der Identität und an den Accounts in den jeweiligen Zielsystemen. In der Gesamtheit stellt sich das Konstrukt wie folgt dar:

Hybrides Identity Management, SAP IAS würde sich in dieser Ansicht als Zielsystem in der blauen Wolke befinden (aus PDF „SAP Identity Management Overview“, Juni 2019, SAP SE, gekürzt)
Was ist SAP IDM?

SAP IDM sorgt dabei dafür, dass diese teilweise komplexen Prozesse abgebildet, Identitäten mit den entsprechenden Daten angereichert werden und die Benutzer zu jeder Zeit in jedem System die richtigen Berechtigungen haben (oder verlieren, z.B. beim Austritt).

SAP IDM verfügt außerdem über weitere Funktionen, wie z. B. einen detaillierten Audit-Trail, Rezertifizierung, Freigabeworkflows mit Genehmigungen, GRC-Integration, Reporting, dynamische Gruppen, Self Services, etc.

Was ist SAP IPS?

SAP IPS sorgt dafür, dass diese Informationen ihr Ziel finden, dient also als Autobahn zwischen zwei Systemen und in Verbindung mit dem IDM zur Schnittstelle zwischen On-Premise und Cloud.

Was ist SAP IAS?

SAP IAS sorgt mit seinen zahlreichen Authentifizierungsmöglichkeiten dafür, dass sich die Benutzer innerhalb der Cloud sicher authentifizieren können und unterstützt Multi-Faktor Authentifizierung, sowie SAML oder OIDC Protokoll.
Für einen detaillierten Einblick in den IAS empfiehlt sich der (noch) englischsprachige Blog meines Kollegen Carsten Olt.

Sie benötigen Unterstützung bei der Implementierung von SAP IDM, SAP IAS oder SAP IPS oder möchten mehr darüber erfahren? Haben Sie Use Cases über die Sie mit uns sprechen möchten?

Kontaktieren Sie uns! Wir helfen Ihnen auf Basis unserer langjährigen Erfahrung gerne weiter. Wenden Sie sich an [email protected] oder stöbern Sie hier.

Kontakt

Nehmen Sie Kontakt mit uns auf!

Haben Sie Fragen zu unseren Produkten?

+41 43 422 8803
[email protected]
+49 7656 8999 002
[email protected]
+1 855 594 84 64
[email protected]
+44 1454 838 785
[email protected]
Kontakt
Webinare

Besuchen Sie unsere Live-Webinare und lernen Sie von unseren Experten mehr zu SAP-Berechtigungen, XAMS, SAP IDM und zu vielen weiteren Themen im Kontext von SAP Security.

Hier anmelden