QuickStart-Implementierung für SAP Cloud Identity Services

Der Xiting QuickStart Implementation Service für die Grundkonfiguration der SAP Cloud Identity Services ist da!

Hallo, SAP Cloud-Security-Enthusiasten! Heute möchte ich Ihnen unseren neuesten Service vorstellen. Der Xiting QuickStart Implementation Service! 

Unser Service soll Ihnen dabei helfen, eine zukunftssichere Grundlage für das Verwalten von Zugriffen und Identitäten im SAP-Cloud-Universum Ihrer Organisation einfach und standardisiert umzusetzen und zu etablieren. 

Der Xiting QuickStart Implementation Service ist der schnellste Weg, die SAP Cloud Identity Services für Ihr Unternehmen einzurichten. Unser Paket umfasst einen fixen Service-Scope, der von unseren Best-Practice-Erfahrungen profitiert und sofortige Vorteile und grundlegende Funktionen für die Benutzerauthentifizierung und Benutzerbereitstellung im SAP-Cloud-Universum bietet.

Mit unserem Service möchten wir Ihnen ein attraktives Angebot anbieten, welches sich an kleine und mittlere Unternehmen richtet, die kein Identity Management-System (IDM) im Einsatz haben. 

Werfen Sie einen Blick auf unseren Flyer zum Xiting QuickStart Implementation Service!

Herausforderung bei der Zugriffs und ID-Lifecycle-Verwaltung im SAP-Cloud-Universum

Wenn es um das Thema Zugriffe und ID-Lifecycle Management in der SAP Cloud Umgebung geht, werden die meisten von Ihnen feststellen, dass es sich von einer klassischen SAP On-Premise Umgebung unterscheidet. 

Die meisten von uns SAP-Sicherheits-Administratoren/-Beratern haben ihre Erfahrungen mit den – inzwischen wohlbekannten – SAP On-Premise-Systemen gemacht. 

Wenn es um ID-Lifecycle Prozesse geht, hat man meist einen automatisierten Ansatz mit der Verwendung einer zentralen Benutzerverwaltung (ZBV) oder eines Identity Management Systems (IdM). Diese unterstützen dabei, Identitäten automatisiert an weitere SAP-Zielsysteme zu verteilen. 

Auch beim Thema Zugriff auf die meisten SAP On-Premise Systeme ist durch den Einsatz von SAP Single Sign-On 3.0 eine reibungslose Anmeldung ganz ohne Kennworte möglich. Die Authentifikation in diesem Fall erfolgt dann nicht mehr lokal in einem der vielen SAP On-Premise Systeme, sondern gegen einen zentralen Identity Provider, welcher einen Sicherheitstoken ausstellt. Ein eigenes Passwort pro SAP-System ist dann nicht mehr notwendig.

Wenn Sie bereits einige Erfahrungen im Umfeld der SAP Cloud Anwendungen (BTP & SaaS) gesammelt haben, ist Ihnen vielleicht aufgefallen, dass die Verwaltung des ID-Lifecycles meist manuell erfolgt und dass Single-Sign-On nicht wirklich von Grund auf verfügbar ist. Aus SAP-Security Sicht fühlt sich das manchmal wie ein kleiner Rückschritt an.

Doch halt! Mit den SAP Cloud Identity Services (SCI) hat SAP ein Service-Bundle geschaffen, welches genau bei diesen Themen unterstützen kann! 

Was sind die SAP Cloud Identity Services (SCI)?

Die SAP Cloud Identity Services (SCI) beinhalten die Komponenten Identity Authentication (IAS) und Identity Provisioning (IPS). Die beiden Services sind als sogenannte Core Services in der SAP Business Technology Platform (SAP BTP) etabliert und liefern elementare Bausteine für das Verwalten von Zugriffen und des ID-Lifecycle Managements. In einer stetig wachsenden SAP-Cloud-Landschaft ist es unabdingbar, alle Identitäten und Zugriffe an einer zentralen Stelle verwalten und konsolidieren zu können. 

Der Identity Provisioning Service (IPS) wird dazu verwendet, Benutzer-Identitäten basierend auf Vorgaben und Filterregeln aus einem bestimmten Quellsystem (z.B. Azure Active Directory) in den Identity Directory Service zu provisionieren. 

Der Identity Directory Service (IdDS) wird von den beiden Services IAS und IPS als Benutzerdatenbank in der SAP-Cloud Umgebung verwendet. Über ein Gruppenkonzept wird die Bereitstellung der Benutzer- und Gruppen in die SAP-Cloud Anwendungen automatisiert.

Änderungen wie die Neuanlage eines Mitarbeiters im Azure Active Directory, Anpassungen an Benutzerdaten- und Gruppen-Zuweisungen oder das Deaktivieren eines Kontos werden erkannt und per Job in geplanten Intervallen automatisiert umgesetzt. Somit können neue Identitäten in der SAP-Cloud-Umgebung erzeugt oder bestehende angepasst bzw. gelöscht werden. 

Der IPS greift bei der Provisionierung auf den bewährten Industriestandard System for Cross-Domain Identity Management (SCIM) zurück.

Der Identity Authentication Service (IAS) hingegen repräsentiert einen zentralen Identity Provider. Im IAS werden dann zentral alle SAP-Cloud Anwendungen mittels einer Trust Relationship angebunden. Mit diesem Ansatz möchte man das Onboarding weiterer SAP-Cloud-Anwendungen standardisieren, sodass hier immer dasselbe Schema angewendet wird. Dadurch wird der gesamte Onboarding Prozess vereinfacht. Für die Authentifikation von Anwendern verwendet der IAS gängige Standards wie Security Assertion Markup Language 2.0 (SAML 2.0) und OpenID Connect.

Bei der Bereitstellung von Single Sign-On (SSO) und sicherer Multi-Factor-Authentication (MFA) spielt insbesondere der vorhandene SAML Identity Provider eines Unternehmens eine tragende Rolle. In diesem Szenario wird der IAS im sogenannten Proxy-Mode betrieben, sodass die Authentifikation an den Identity Provider des Unternehmens ausgelagert wird. 

Auf unserer Website finden Sie zum Thema IAS und IPS interessante Blogs von unseren KollegInnen: 

In diesen Blogs werden die beiden Services noch einmal genauer vorgestellt. Unser E-Book befasst sich mit der Integration des SAP Identity Authentication Service mit Ihrem Azure Tenant. Darin skizzieren wir dieses Thema ausführlicher, insbesondere in Bezug auf OpenID Connect. Gleichzeitig behandeln wir einige Grundlagen, erklären die Funktionalität und Anwendungsfälle der relevantesten Standards wie SAML 2.0, OAuth 2.0 und OpenID Connect. Reinschauen lohnt sich, falls Sie mit diesen Services noch nicht vertraut sind.

Was ist im Xiting QuickStart Implementation Service enthalten?

Im Kontext unseres Serviceangebots integrieren wir die SAP Cloud Identity Services im Rahmen eines Piloten in Ihrer Organisation. Basierend auf unseren Best Practices konfigurieren wir zwei SAP-Cloud-Anwendungen und konfigurieren die Identitäts-Föderation zwischen ihrem SAP IAS und ihrem vorhandenen Identity Provider (Azure AD, ADFS, Okta etc.) über SAML 2.0 oder OpenID Connect.

Gleichzeitig erarbeiten wir mit Ihnen gemeinsam ein maßgeschneidertes Gruppenkonzept für die Verteilung der Benutzeridentitäten. Basierend auf dem SCIM-Standard integrieren wir das Azure AD als Quellsystem. Wir erstellen die technischen Benutzer und binden zwei SAP-Cloud-Anwendungen an, konfigurieren die erforderlichen Filter und JSON-Transformationen und erstellen Jobs, um den Lebenszyklus Ihrer Identitäten zu automatisieren.

Was sind die Grundvoraussetzungen für unseren Service?

Wie schon im Vorwort erwähnt, richtet sich unser Serviceangebot an kleine und mittlere Unternehmen, die kein Identity Management-System (IDM) im Einsatz haben. Die SAP Cloud Identity Services, also ein IAS und IPS, sollten bereits vorhanden sein. Diese sind meist Bestandteil bzw. kommen im Bundle mit Ihren SAP Cloud Anwendungen. 

Mittels folgendem Link können Sie prüfen, ob sie bereits über SAP Cloud Identity Service Tenants in Ihrer Organisation verfügen: https://iamtenants.accounts.cloud.sap

Außerdem sollten sie bereits das Azure Active Directory als zentrale Datenquelle für Ihre Mitarbeiter nutzen.

Mit welchen zusätzlichen Leistungen kann unser Service erweitert werden?

Auf Anfrage integrieren wir gegen Aufpreis weitere Quellsysteme für die Provisionierung mittels IPS, wie z. B. das Active Directory. Sofern Sie noch keinen SAP Cloud Connector verwenden, installieren und konfigurieren wir diesen entsprechend, um einen sicheren Tunnel zwischen Ihren SAP-Cloud Tenants und Ihrem Intranet zu gewährleisten.

Welche Vorteile bietet ein etabliertes ID-Lifecycle Management?

Im Allgemeinen bietet ein guter und automatisierter ID-Lifecycle-Management-Prozess mehrere Vorteile. Egal ob im SAP-Cloud- oder On-Premise-Umfeld. Abschließend, möchten wir Ihnen noch einige Vorteile nennen:

1. Verbesserte Sicherheit: User Lifecycle Management hilft, sicherzustellen, dass Benutzer nur Zugriff auf die von ihnen benötigten Ressourcen haben und dass unautorisierter Zugriff auf sensible Informationen verhindert wird.

2. Effizientere Verwaltung: User Lifecycle Management automatisiert viele Aufgaben, die sonst manuell erledigt werden müssten, wodurch die Verwaltung von Benutzerkonten und -zugriffen wesentlich effizienter wird.

3. Kosteneinsparungen: Durch die Automatisierung von Aufgaben und die Verbesserung der Sicherheit kann das User Lifecycle Management dazu beitragen, Kosten in einer Organisation zu reduzieren.

4. Verbesserte Compliance: User Lifecycle Management hilft, sicherzustellen, dass Benutzerkonten und -zugriffe den geltenden Compliance-Anforderungen entsprechen, was insbesondere für Unternehmen wichtig ist, die in regulierten Branchen tätig sind.

5. Verbesserte Benutzererfahrung: User Lifecycle Management kann dazu beitragen, dass Benutzer schnell und einfach auf die von ihnen benötigten Ressourcen zugreifen können, was die Benutzererfahrung verbessert.

Jetzt das neue E-Book herunterladen und mehr zu diesem Thema lesen

In unserem neuen E-Book bieten wir einen kompakten Überblick zu den SAP Cloud Identity Services, einschließlich gängiger Anwendungsfälle und Best Practices von Xiting. SAP Security Experte Carsten Olt hat dieses E-Book erstellt, um allen Interessenten und Kunden im Kontext hybrides SAP IAM einen schnellen und auf das Wesentliche komprimierten Überblick zu liefern. Die Zielgruppe sind Architekten, Projektverantwortliche, SAP-Berater und IDM-Administratoren.

Zusammenfassend bündelt es umfassende Informationen zu den SAP Cloud Identity Services, einschließlich verschiedener ID-Lebenszyklus- und Anwendungsfälle. Es hebt außerdem die Vorteile des Identity Directory hervor und bietet Anleitungen zur Integration von SAP IDM 8.0 als primäres System für den hybriden IDM-Betrieb. Der Artikel enthält auch praktische Empfehlungen und wertvolle Links zu verwandten Services und Lösungen von Xiting. Lassen Sie sich nicht durch Identitäts- und Zugriffsmanagement ausbremsen. Optimieren Sie Ihre Systeme mit den SAP Cloud Identity Services!

Über den Autor & das IAM-Team

Alex arbeitet als SAP Security Consultant bei der Xiting AG in der Schweiz. Er ist Teil des IAM-Teams und kümmert sich um Security-Themen im SAP-Cloud-Universum. Alex begann seine Reise als SAP-Sicherheitsberater im Jahr 2017 für verschiedene SAP-Systeme. Heute konzentriert er sich auf SAP-Security Themen für das gesamte SAP-Cloud-Universum. In seiner Funktion hilft er bei der Optimierung von ID-Lifecycle, Authentifizierungs- und Authorisierungs-Management in der SAP-Cloud-Umgebung, indem er die SAP Cloud Identity Services konfiguriert und SAP-Sicherheitskonzepte für SAP-BTP und für verschiedene SAP-SaaS-Lösungen erstellt.

Wir beschäftigen uns im IAM-Team primär mit dem Themenkomplex Identity und Access Management in hybriden SAP-Landschaften. Aktuell ein wichtiges Thema in vielen Unternehmen, die jetzt zunehmend der SAP-Strategie folgen und auf SAP-Cloud-Anwendungen setzen. Hier gewinnen die zentrale Verwaltung der Identitäten und des Lifecycles vom Eintritt über Übertritt bis Austritt, die Authentifizierungsprozesse und Zugriffsberechtigungen laufend an Relevanz.

Mit unserem ganzheitlichen Beratungsansatz unterstützen wir unsere Kunden, den Identity Lifecycle zu automatisieren und den gewohnten Komfort eines SSO sowie die Compliance in Bezug auf die Berechtigungen sicherzustellen.

Unser Team besteht aus kompetenten SAP IDM-Beratern und eigenen Entwicklern; darüer hinaus können wir mit unseren eigenen Tools noch viele andere Themen abdecken. Im Kontext IAM und Cloud Security verteilen sich unsere Beraterteams auf die zwei Themenfelder SAP Identity Management (mit dem SAP IDM 8.0 unseren Fiori UIs und unserer eigenen Lösung Xiting Central Workflows) sowie ID-Lifecycle und sichere Authentifizierung mit MFA & SSO (mit den SAP Cloud Identity Services und SAP Single Sign-On 3.0).

Sie haben Fragen oder konkreten Beratungsbedarf?

Alexander Schaffelke
Letzte Artikel von Alexander Schaffelke (Alle anzeigen)
Kontakt

Nehmen Sie Kontakt mit uns auf!

Haben Sie Fragen zu unseren Produkten?

+41 43 422 8803
[email protected]
+49 7656 8999 002
[email protected]
+1 855 594 84 64
[email protected]
+44 1454 838 785
[email protected]
Kontakt
Webinare

Besuchen Sie unsere Live-Webinare und lernen Sie von unseren Experten mehr zu SAP-Berechtigungen, XAMS, SAP IDM und zu vielen weiteren Themen im Kontext von SAP Security.

Hier anmelden