Hybrides SAP Identity Management (SAP IDM) – Anbindung von Microsoft Azure Active Directory
Bei einem hybriden Szenario handelt es sich um die Kombination aus On-Premise- und einem oder mehreren Cloud-Systemen. Alles rund um das Thema „Cloud“ ist seit einiger Zeit sehr präsent im SAP-Umfeld und hat seitens der SAP nach wie vor höchste Priorität. Haben Sie sich als SAP IDM-Kunde oder -Interessent bereits die Frage gestellt, was mit Ihrem SAP Identity Management-System passiert? Inwiefern kann SAP IDM – ein klassisches On-Premise-Produkt – Cloud-Systeme anbinden? Wir wollen in diesem Beitrag zeigen, wie Sie auch weiterhin mit einem On-Premise SAP IDM optimal für eine zukünftige Systemlandschaft gerüstet sind und gehen hierbei konkret auf die Anbindung eines Microsoft Azure Active Directory und damit einhergehend auch Office365 ein.
Table of Contents
Problemstellung
Die Zeiten ändern sich – und zwar in wohl jeder Hinsicht. Cloud Computing ist schon lange nicht mehr nur ein Trend, sondern die Wirklichkeit. Cloud Systeme haben sowohl in unseren privaten als auch in den beruflichen Alltag Einzug gefunden. Dementsprechend stehen viele Unternehmen vor der gleichen Herausforderung. Wie sieht meine IT-Infrastruktur zukünftig aus? Welche Systeme werden nach wie vor On-Premise zur Verfügung stehen? Wie können diese Systeme miteinander kommunizieren? Was passiert mit meinem SAP IDM? Macht es überhaupt Sinn ein On-Premise SAP IDM in meine Systemlandschaften einzuführen?
Wir wollen versuchen Klarheit zu schaffen und stellen Ihnen nachfolgend vor, wie eine hybride SAP-Systemlandschaft in Bezug auf SAP IDM aussehen könnte, außerdem beschreiben wir Ihnen wie Sie ein Microsoft Azure Active Directory an Ihr SAP IDM in wenigen Schritten anbinden können.
Lösung
Bevor wir zu den Details der Microsoft Azure Active Directory Anbindung kommen, möchten wir Ihnen anhand der folgenden Abbildung verdeutlichen wie das hybride Szenario in diesem Fall aussehen würde:
Ihr SAP IDM ist weiterhin als On-Premise-System eingerichtet und die angebundenen On-Premise-Systeme sind wie gewohnt verfügbar, dies sehen Sie oberhalb der rot gepunkteten Linie. Unterhalb der Linie befinden wir uns im Bereich der Cloud-Systeme. Sie können zusätzlich zu On-Premise-Systemen auch Cloud-Systeme anbinden. Diese werden im SAP Identity Provisioning Service (IPS) über ein Proxy-System verfügbar gemacht. Die Verbindung zwischen SAP IPS und SAP IDM erfolgt mittels des von der SAP ausgelieferten SCIM Connectors. Das Ziel der hybriden Systemlandschaft ist, Cloud-Systeme in die bestehende IT-Infrastruktur einzubinden, aber SAP IDM weiterhin der zentrale Datenlieferant zu behalten. Die verlinkte Liste zeigt auf, welche Systeme derzeit als Proxy-System angebunden werden können. Auf Basis dieser Liste können Sie dann den nächsten Schritt – die Microsoft Azure Active Directory Anbindung – durchführen.
Anbindung von Microsoft Azure Active Directory
1) Voraussetzungen
- Sie haben Zugriff auf die Kachel Proxy-Systeme in der SAP IPS Admin Oberfläche.
- Sie haben im Microsoft Azure Active Directory Portal einen User, der die Rolle Globaler Administrator hat; mit diesem User muss die App (nächste Voraussetzung) registriert werden.
- Im Microsoft Azure Active Directory haben Sie unter App-Registrierungen eine Anwendung mit einem Secret Key [1] und optional „https://graph.microsoft.com“ als Umleitungs-URI registriert. Die App wird hauptsächlich durch die API-Berechtigungen definiert und hat die folgenden Berechtigungen: Group.ReadWriteAll, GroupMember.ReadWrite.All, User.ReadWrite.All [2]
2) Oauth Client auf der SAP Cloud Platform registrieren [3]
Bei der „Subscription“ muss der entsprechende Eintrag zu „ipsproxy“ ausgewählt werden
3) Dem Oauth Client die Rolle IPS_PROXY_USER zuweisen
Eingabe: oauth_client_<CLIENT ID> aus Oauth-Registrierung von Schritt 2
4) Ein neues Proxy-System im SAP IPS einrichten
Properties eintragen:
1) Domäne
2) Ersichtlich aus den Endpunkten der App-Registrierung im Microsoft Azure Active Directory
3) Secret Key aus der App-Registrierung
4) Application ID aus der App-Registrierung
5) Export des .csv File
5) Import des .csv File als neues Repository im SAP IDM Admin UI
1) AUTH_PASSWORD: Secret aus Oauth
2) AUTH_USER: Client ID aus Oauth
3) SCIM_ASSIGNMENT_METHOD: Muss in „PUT“ geändert werden
Nachfolgend können Sie den Initial Load starten und anschließend die Benutzer entsprechend provisionieren.
Nun haben Sie das Microsoft Azure Active Directory erfolgreich angebunden und können dort den Endbenutzern Lizenzen, bspw. für Office365, zuweisen.
Um besser zu verstehen, wie die Zugriffe der Systeme untereinander erfolgen, haben wir eine Übersicht für Sie erstellt. Darin sehen Sie die genauen Zusammenhänge bezüglich der Zugriffe zwischen SAP IDM, SAP Cloud Plattform, SAP IPS, Microsoft Graph und Microsoft Azure Active Directory:
Die einzelnen Zugriffe wurden in drei Cluster aufgeteilt. Diese werden nachfolgend kurz erläutert.
1) Der erste Access Token wird von der SAP Cloud Platform ausgestellt und bei Erfolg entsprechend zurückgemeldet.
2) Der zweite Access Token wird von Microsoft Graph ausgestellt und bei Erfolg an das IPS zurückgemeldet.
3) Erst wenn die beiden Access Token vorliegen, kann der eigentliche Request gesendet werden. Nur dann kann ein authentifizierter Zugriff auf das Microsoft Azure Active Directory erfolgreich sein.
Fazit: SAP Identity Provisioning Service
Durch den SAP Cloud Platform Identity Provisioning Service und die bereitgestellten Möglichkeiten zur Anbindung von Cloud-Systemen, hat die SAP eine Möglichkeit für ein hybrides SAP IDM-Szenario geschaffen. Der hier vorgestellte Use Case – Microsoft Azure Anbindung an SAP Identity Management – zeigt, dass auch Non-SAP Cloud-Systeme in die bestehende Systemlandschaft auf unkomplizierte Art und Weise eingebunden werden können. Der folgende Link führt zur der entsprechend SAP-Dokumentation zum Thema SAP IPS.
Interessieren Sie Fragen zum Thema hybride Landschaften oder haben wir generell Ihr Interesse an unserem Unternehmen geweckt? Wir zeigen Ihnen gerne eine Roadmap und Workflows für Ihre SAP-Landschaft auf, um Ihre SAP Security-Ziele zu erreichen und Ihre SAP-Systeme zu automatisieren.
Weitere Informationen und Know-how zum Thema SAP Identity Management erhalten Sie in unseren speziellen SAP IDM-Webinaren für Einsteiger sowie in den Webinaren zu den Xiting SAP IDM Services.
[1] Bitte notieren Sie sich den Secret Key und die Application ID aus der App-Registrierung, diese werden später benötigt.
[2] Ggf. sind weitere Berechtigungen erforderlich, Infos dazu finden Sie hier.
[3] Bitte notieren Sie sich das Secret und die Client ID aus der Oauth- Registrierung, diese werden später benötigt.
- Xiting Central Workflows: Neue Funktionen mit Service Pack 5 - 30. Juli 2024
- Xiting Central Workflows: Neue Funktionen mit SP4 - 14. März 2023
- Success Story: Uhlmann Pac-Systeme GmbH & Co. KG - 7. Oktober 2022