SAP Identity Authentication Service (IAS) | Überblick und Integrations-Möglichkeiten
Das Verhindern von unberechtigtem Zugriff ist ein wichtiger Aspekt der meisten Unternehmensanwendungen, insbesondere im Hinblick auf hybride SAP-Landschaften, die sowohl On-Premise- als auch Cloud-Anwendungen betreiben.
In diesen Fällen kann ein zentralisierter Ansatz zur Authentifizierung, das Berechtigungsmanagement optimieren. Schließlich kann eine Organisation mehrere Cloud-Services nutzen (die Cloud-Lösungen von SAP sind dabei nur einige von vielen), was zu zahlreichen Anmeldeanforderungen führen kann. Ohne die Einführung geeigneter Single-Sign-On-Techniken, würde dies für alle Beteiligten eine erhebliche Belastung darstellen.
Eines ist klar: Ohne eine geeignete Identity Access Management (IAM) Strategie, könnte es sehr schnell unübersichtlich werden.
Der Zweck von IAM besteht darin, eine Reihe von Sicherheitsfunktionen in der Cloud-Umgebung bereitzustellen, zu denen unter anderem Authentifizierung, Autorisierung und Bereitstellung gehören. Dadurch kann die Verwaltung von Zugriffsrechten automatisiert werden und dazu beitragen, dass die richtigen Personen mit den richtigen Berechtigungen auf die Cloud bzw. lokalen Ressourcen zugreifen können.
Dieser Blog fokussiert sich auf das Thema der sicheren Authentifizierung und insbesondere auf den SAP Cloud Platform Identity Authentication Service (IAS) und bietet einen Überblick über dessen Kernfunktionen und Integrationsmöglichkeiten.
Table of Contents
AUTHENTIFIZIERUNGSHERAUSFORDERUNGEN IN EINER HYBRIDEN SAP-ANWENDUNGSLANDSCHAFT
Bevor wir uns näher mit dem SAP IAS befassen, wollen wir mit einigen Grundlagen beginnen. Die Wahl der richtigen Authentifizierungslösung sollte eines der wichtigsten Tagesordnungspunkte für Organisationen sein, die einen sicheren Zugang zu deren Anwendungslandschaft anbieten wollen.
Benutzeridentitäten sind die Grundlage eines stabilen und sicheren Zugangskontrollsystems. Der gesamte Zugriff auf Daten und Ressourcen wird über dieses System gesteuert, es ist also alles andere als belanglos. Vielmehr sollte es als zentral für die Gewährleistung der Sicherheit in dieser permanent exponierten Anwendungslandschaft angesehen werden.
Dies lässt sich am besten mit einer zugrundeliegenden Plattform wie Azure von Microsoft oder der SAP Cloud Platform erreichen. Beide ermöglichen die Zentralisierung von Benutzeridentitäten, erleichtern eine Verbindung zu bestehenden Benutzerspeichern (Verzeichnisdienste) und bieten verschiedene Optionen für die Integration mit Ressourcen wie z.B. Zugangskontrolle, Identitätsmanagement und Bereitstellungsfunktionen.
Die meisten Unternehmen betreiben eine hybride Landschaft mit vielen SAP-Standardanwendungen sowie kundenspezifisch entwickelter Software, die sowohl in der Cloud als auch On-Premise ausgeführt wird.
In solchen Fällen sollte verhindert werden, dass Mitarbeiter ständig unterschiedliche Benutzer-IDs und Kennwörter eingeben müssen, um auf verschiedene Anwendungen zuzugreifen. Dazu sollte ein sicherer und gleichzeitig einfacher Zugriff über SAP Single Sign-On bereitgestellt werden.
Mit der fortschreitenden Nutzung der Cloud werden Technologien wie SAML, OpenID Connect/OAuth und SCIM immer wichtiger, wenn es um die Authentifizierung oder Verwaltung von Identitäten geht.
Dies bietet einen Mehrwert aus Sicht der IT-Sicherheit – insbesondere im Hinblick auf die Möglichkeiten der Zugangsverwaltung und Access Governance – da die Endbenutzer die sichere zentrale Authentifizierungsinstanz nicht mehr umgehen können. Stattdessen müssen sie sich zunächst einen gültigen Zugriffstoken (SAML Assertion) besorgen, um auf ihre Cloud- oder On-Premise-Anwendungen zugreifen zu können.
SAP CLOUD PLATFORM UND SAP IDENTITY AUTHENTICATION
Einige Cloud-Anwendungen verfügen nicht über eine integrierte eigenständige Benutzerverwaltung und akzeptieren im Umkehrschluss somit auch keine Kennwort-basierte Authentifizierung mehr. Stattdessen lagern diese Anwendungen ihre Benutzerverwaltungs- und Authentifizierungsprozesse an ein zentrales System aus, um den für den Zugriff erforderlichen Sicherheits-Token zu erhalten. Dies ermöglicht Zentralisierung sowie vereinfachte Benutzerbereitstellung- und Verwaltung.
Ein Beispiel ist die SAP Cloud Platform selbst, die keine eigene Benutzerdatenbank zur Verfügung stellt. Standardmäßig ist jeder SCP Account mit dem SAP ID Service verbunden was als Konzept des Platform Identity Provider bekannt ist. In den meisten Fällen erfolgt hierüber der Zugriff für Administratoren, zur Verwaltung der Dienste auf Ebene des Global- bzw. Subaccount.
Für die Integration kann eine Vertrauensbeziehung zwischen dem Subaccount und Ihrem SAP Identity Authentication Tenant konfiguriert werden. Wenn nun eine Anwendung innerhalb des SCP Subaccount bereitgestellt wird, die über geschützte Ressourcen verfügt und SAML-Authentifizierung erfordert, wird der Benutzer zur Anmeldeseite des SAP IAS umgeleitet, um sich zu authentifizieren, was dann wiederum entweder mittels Anmeldedaten, MFA oder SSO erfolgen kann.
In diesem Szenario agiert die SCP als Service Provider, und der SAP IAS fungiert als sogenannter Application Identity Provider.
Innerhalb der SCP können Dienste- und Anwendungen wie Java, HTML5, HANA XS u.v.m. bereitgestellt werden. Organisationen benötigen entsprechende Berechtigungsrollen, um den Zugriff auf diese Dienste zu steuern. Folglich müssen die Anwendungen in der Lage sein, verschiedene Benutzerattribute zu verstehen. Es ist wichtig zu definieren, wie die erforderlichen Benutzerattribute, die vom Identity Provider gesendet werden (so genannte Assertion-Attribute oder Claims), auf die Benutzerattribute abgebildet werden, die von Anwendungen innerhalb der SCP konsumiert werden.
Die Anmeldung ist dabei nur ein Teilprozess, denn sobald ein Benutzer authentifiziert ist, bestimmen Berechtigungen, was er tun kann. Daher ist das Berechtigungskonzept sehr wichtig und in diesem Fall ein Element des SAML-Authentifizierungsprozesses selbst, da die Zuordnung eines Anwenders in Gruppen im SAML-Token als Claim mitgegeben werden kann um eine vereinfachte Zuweisung zur entsprechenden SCP-Rolle zu ermöglichen.
Natürlich werden Cloud-exponierte Geschäftsanwendungen nicht nur von Mitarbeitern aus dem Unternehmen verwendet, sondern auch von Partnern und Kunden, die Zugang zu bestimmten Anwendungen benötigen. Daher stehen heutige Unternehmen zunehmend vor der Herausforderung, sicheren Zugriff und Berechtigungen sowohl in der Cloud als auch in On-Premise-Systemen zu verwalten – dies auch in Business-to-Consumer (B2C) oder Business-to-Business-Szenarien (B2B).
Darüber hinaus ziehen es viele Unternehmen vor, ihre bereits etablierten Authentifizierungssysteme und -Richtlinien weiter zu verwenden, bei denen es sich häufig ebenfalls um Cloud-Dienste handelt (wie z.B. Microsoft Azure). Sie wollen entscheiden, wie eine Identität beim Identity Provider für eine bestimmte Anwendung authentifiziert werden soll und welche Bedingungen, Risiken und Regeln während des Authentifizierungsprozesses bewertet werden sollen. Und ja, wie Sie vielleicht schon vermutet haben: Auch dies ist in Verbindung mit SAP Identity Authentication möglich.
Aufgrund seiner großen Flexibilität und der Tatsache, dass der SAP Cloud Platform Identity Authentication Service als der „Integrationspunkt“ für alle SAP Cloud-Anwendungen angesehen wird, gibt es gute Gründe, sich diese Lösung genauer anzusehen.
ÜBERBLICK UND POSITIONIERUNG IM SAP CLOUD PORTFOLIO
SAP Cloud Platform Identity Authentication läuft auf der SAP Cloud Platform und kann als Cloud-Service für zur Authentifizierung angesehen werden. IAS wurde 2014 eingeführt und seit einiger Zeit, positioniert SAP den IAS als einen strategischen und zentralen Service für die Authentifizierung gegenüber SAP- und Non-SAP-Cloud-Anwendungen, die B2E-, B2C- und B2B-Szenarien unterstützen. Er bietet webbasiertes Single Sign-On auf der Grundlage von SAML 2.0 und OpenID Connect.
Auch wenn SAP Cloud Platform Identity Authentication als eigenständiger Service angeboten wird, der sowohl für die Neo- als auch für die Cloud-Foundry-Umgebung unterstützt wird, arbeitet er in erster Linie in enger Integration mit der SAP Cloud Platform.
Darüber hinaus wird IAS als fester Bestandteil vieler SAP-Cloud-Lösungen angeboten, darunter SAP S/4HANA Public Cloud, SAP SuccessFactors, SAP Cloud Portal, SAP Integrated Business Planning, SAP Hybris und SAP JAM. Bei Lizenzierung einer dieser Anwendungen erhalten Kunden automatisch einen IAS Tenant und diese Anwendungen sind meistens auch vorintegriert mit Ihrem IAS Tenant.
Die Liste der vorintegrierten SAP-Lösungen wird in den kommenden Monaten noch erheblich anwachsen. Dies bietet den Vorteil, dass SAP Anwendungen bereitstellen kann, die mit IAS vorkonfiguriert sind. Kunden haben somit einen zentralen Integrationspunkt für ihre SAP-Cloud-Anwendungen, was auch dazu beiträgt, die Gesamtkomplexität und den Verwaltungsaufwand bei der Einführung zukünftiger Anwendungen zu reduzieren.
Der SAP Cloud Platform Identity Authentication Service ist ein mandantenfähiges System, bei dem Hardware- und Software gemeinsam genutzt und für die Persistenz dedizierte Datenbankinstanzen verwendet werden. Funktionen wie Hochverfügbarkeit, DR und Failover basieren auf den Fähigkeiten der zugrunde liegenden SCP-Infrastruktur.
SAP bietet einen Identity Authentication-Tenant (Instanz) pro Kunde, unabhängig von der Anzahl der unterzeichneten Lizenzverträge, in denen Identity Authentication evtl. enthalten ist. Unternehmen können einen zweiten Tenant (zu Testzwecken) anfordern, der auf Wunsch ohne zusätzliche Kosten zur Verfügung gestellt wird, hierüber erfolgt meist die Trennung zwischen Test- und Produktivumgebung.
SAP Identity Authentication Service ist die zentrale Schnittstelle, die flexible Authentifizierungsszenarien für Mitarbeiter, Kunden und Partner implementiert und den Zugriff auf angeschlossene SAP- oder Non-SAP-Cloud- oder On-Premise-Anwendungen über nahezu jedes Gerät ermöglicht.
Kernfunktionen:
- Standardisierte Authentifizierungsmethoden.
- Flexible Integrationsszenarien (z. B. mit bestehenden Unternehmens- oder Social-IdPs).
- Einheitliche Benutzererfahrung
- Zentralisierte Verwaltung.
- Zusätzliche Sicherheitsmerkmale zum Schutz des Zugriffs auf Anwendungen.
- Risikobasierte Authentifizierungsregeln und Zwei-Faktor-Authentifizierung.
- Delegierte Authentifizierung sowohl an lokale Benutzerspeicher als auch an bestehende IdPs wie Microsoft Azure Active Directory, ADFS und andere.
Durch diese Funktionen werden die Benutzererfahrung durch die Unterstützung von sicherem Single Sign-On, On-Premise-Integration sowie bequemen Self-Service und Benutzer-Bereitstellungsfunktionen vereinfacht.
In Kombination mit dem SAP Cloud Platform Identity Provisioning Service (auch IPS genannt) bieten die beiden Lösungen Funktionen für die Benutzerauthentifizierung und -Bereitstellung, was eine wichtige Voraussetzung für alle modernen Integrations- oder Erweiterungsszenarien ist. Beide Lösungen bilden den Kern der zentralen SAP IAM Cloud Services.
Im Gegensatz zum vorherigen Begriff – SAP Cloud Platform Identity and Access Management Services – ist der neueste Überbegriff für diese Services SAP Cloud Identity Services. Weitere Komponenten sind für die Zukunft in Planung. Mehr über die Zukunftspläne von SAP erfahren Sie in diesem Blogbeitrag von SAP.
Es ist wichtig zu verstehen, dass SAP Identity Authentication keine Informationen aus dem Kontext der Anwendungen persistiert oder etwa das Benutzerverhalten innerhalb bestimmter Anwendungen auswertet. Seine Aufgabe ist es, Sicherheitstoken für authentifizierte Anwender für bestimmte Zielanwendungen bereitzustellen. Hierfür gibt es SAP Cloud Internet Access Governance (SAP Cloud IAG), dass eine wichtige Rolle beim Erreichen der Access Governance spielt.
Wenn Sie einen detaillierteren Einblick in dieses Thema erhalten wollen – und tiefgehende Analysemöglichkeiten, Zugriffsanforderungsprozesse, SoD-Prüfungen und Firefighter-Funktionalitäten in der Hybridlandschaft benötigen – dann lesen Sie diesen Blogbeitrag von Alessandro Banzer über den SAP Cloud IAG.
SAP Cloud Internet Access Governance (SAP Cloud IAG) spielt eine bedeutende Rolle, um die Access Governance zu erreichen.
Zusammenfassend lässt sich festhalten, dass sich diese drei Dienste stark verzahnen, um eine ganzheitliche SAP IAM Lösung zu bieten und Lösungen für Anforderungen zu liefern, mit denen SAP-Unternehmen konfrontiert sind.
FUNKTIONSÜBERBLICK
- Sichere Authentifizierung für Cloud- und On-Premise-Anwendungen (schließt auch Non-SAP- und Drittanbieter-Software ein).
- Delegierte Authentifizierung durch Integration mit lokalen Benutzerspeichern und SAML 2.0 Identitätsföderation.
- Flexible Authentifizierungsoptionen und Kennwortrichtlinien.
- Single-Sign-On-Funktionalität von überall auf jedem Gerät.
- Social Sign-On dank einfacher Integration in Twitter, LinkedIn, Facebook und Google.
- Zwei-Faktor-Authentifizierung basierend auf Einmal-Passwörtern.
- Risikobasierte Authentifizierung auf der Grundlage verschiedener Bedingungen wie Anwendung, Benutzergruppen, IP-Bereiche und Domänen.
- Anpassbare „Look-and-Feel“-Funktionen, wie z. B. Firmenbranding oder Authentifizierungs-Overlays.
- Einladungs-Workflows (E-Mail) einschließlich Self-Services mit anpassbaren Selbstregistrierungsformularen und Kennwortrücksetzung.
- Unterstützung für den verwalteten Identitätslebenszyklus über IDM-Lösungen.
- SCIM REST-APIs zur Verwaltung von Benutzern und Gruppen, zur Einladung von Benutzern und zur Anpassung von Endbenutzer-UI-Texten in jeder Sprache.
- Einrichtung von benutzerdefinierten Datenschutzrichtlinien und Nutzungsbedingungen auf anwendungsspezifischer Basis.
- Funktionen zur Berichterstattung und Überwachung der Nutzung.
OPTIONEN FÜR DIE BENUTZERVERWALTUNG
Im ersten Schritt ist es wichtig, sich zu überlegen, wie die Benutzerverwaltung durchgeführt werden soll. Da SAP IAS als zentraler IdP für alle angeschlossenen Anwendungen fungiert, müssen sich die Benutzer zunächst am SAP IAS authentifizieren. Dazu müssen sie dort einen Benutzer (auch bekannt als Profil) eingerichtet haben. Im Allgemeinen hat ein Unternehmen, dass SAP Identity Authentication einsetzt, folgende Möglichkeiten:
1. NUTZUNG DES LOKALEN IAS-BENUTZERSPEICHERS (STANDARD)
Die erste Möglichkeit, ist der manuelle Benutzererstellungsprozess innerhalb der SAP IAS Webadministrationskonsole. Hier können Administratoren auch neue Benutzer massenhaft importieren oder Daten für bestehende Benutzer per CSV-Upload aktualisieren. Es können auch Benutzer eingeladen werden, die sich Ihr Profil mittels Self-Services einrichten.
Die spannendste Funktion ist in der Tat die Automatisierung durch SCIM. Die Verwaltung von Benutzerprofilen und Gruppen (Erstellen, Aktualisieren, Löschen) im IAS-Benutzerspeicher, kann mit praktisch jedem SCIM-kompatiblen System, einschließlich Microsoft Azure Active Directory oder IAM-Lösungen von Drittanbietern vollständig automatisiert werden.
Wenn Sie Ihr bestehendes SAP Identity Management 8.0 über den Identity Provisioning Service (IPS) mit IAS verbinden, können Sie sogar Benutzer auf der Grundlage von Provisioning-Anforderungen erstellen, indem Sie Geschäftsrollen zuweisen, die Zugriff auf Cloud-Anwendungen enthalten. Einen sehr guten Überblick erhalten Sie in diesem zweiteiligen Blog meines Kollegen Steffen Schatto.
2. ANBINDUNG EINES VORHANDENEN BENUTZERVERZEICHNISSES
Alternativ kann der SAP IAS mit einem vorhandenen lokalen Benutzerspeicher gekoppelt werden. Hierbei kann es sich entweder um ein LDAP- (meist Active Directory) oder SAP-System (z: B. HCM) handeln. Wenn Sie dies tun, prüft SAP IAS die Anmeldedaten gem. Konfiguration zunächst gegen diesen Benutzerspeicher, um den Benutzer zu authentifizieren. Dies geschieht über einen sicheren Tunnel der durch den SAP Cloud Connector, bis zu Ihrem On-Premise-System etabliert wird.
Nach der ersten erfolgreichen Authentifizierung wird im SAP IAS ein Benutzerdatensatz (einschließlich der Benutzerdetails aus dem Benutzerspeicher des Unternehmens) angelegt. Dies ermöglicht zusätzliche Funktionen wie die Zwei-Faktor-Authentifizierung oder die Definition von Benutzergruppen, die im Rahmen benutzerdefinierter risikobasierter IAS-Authentifizierungsregeln berücksichtigt werden können.
3. INTEGRATION MIT EINEM BESTEHENDEN IDENTITY PROVIDER
Die dritte Option ist die Integration mit einem anderen SAML-IdP. Häufig betreiben Unternehmen bereits einen Identity Provider, bei dem es sich auch um einen SAML 2.0 IdP eines Drittanbieters handeln kann. In einem solchen Fall kann SAP IAS im Proxy-Modus implementiert werden, um Authentifizierungsanfragen an den gewünschten authentifizierenden IdP weiterzuleiten.
Wenn Sie IAS in diesem Modus betreiben, ist nur ein Vertrauensaustausch (Metadaten) zwischen IAS und Ihrem IdP erforderlich. Trusts zu allen weiteren Anwendungen werden von den Administratoren des SAP IAS konfiguriert, ohne weitere IT-Ressourcen des Unternehmens zu involvieren.
Infolgedessen müssen Sie die Konfiguration der einzusetzenden Authentifizierungsmechanismen zu Ihrem IdP nur einmal durchführen. Danach können alle zukünftigen Anwendungen davon Gebrauch machen. Bei dieser Konfiguration benötigen Sie kein Profil im IAS-Benutzerspeicher, da der IdP das SAML-Token (einschließlich der gewünschten Claims) an den SAP IAS weiterleitet, der wiederum diese zur Ausgabe des eigentlichen SAML-Tokens für die Zielanwendung verwendet.
Sie können den SAP IAS als einen Authentifizierungs-Hub sehen, der Authentifizierungs-Token transformiert und an verschiedene Zielanwendungen weiterleitet.
Jüngste Erfahrungen in Kundenprojekten haben gezeigt, dass es durchaus sinnvoll ist, einen lokalen Benutzer im IAS zu haben. Da das IAS in der Lage ist, SAML-Assertion-Attribute aus dem firmeneigenen IdP anzureichern, bietet Ihnen dies eine viel größere Flexibilität, wenn es darum geht, Anwendungen mit ihren verschiedenen Anforderungen hinsichtlich der Namens-ID-Formate zu unterstützen. Zudem können benutzerdefinierte SAML-Claims für Anwendungen bereitgestellt werden (Custom Attributes) auch dann, wenn diese nicht vom firmeneigenen IdP geliefert werden können. Natürlich ist eine Kombination aller drei genannten Optionen möglich.
AUTHENTISIERUNG UND SAP SINGLE SIGN-ON
1. BENUTZER ZUM SAP IAS
Sobald Sie Ihre Benutzer im SAP IAS angelegt haben, können Sie aus einer Vielzahl verschiedener Authentifizierungsmechanismen einschließlich Single Sign-On (SSO) wählen. Natürlich können sich die Benutzer immer noch mit ihrem Benutzernamen und Passwort anmelden, aber das ist nur eine von vielen möglichen Authentifizierungsmethoden.
Werfen wir einen Blick auf das, was derzeit möglich ist:
- HTTP-Formular-basierte Authentifizierung: Basic-Authentication mit Benutzername und Passwort.
- Zertifikatsbasierte Authentifizierung (CBA): Verwenden Sie Ihre vorhandenen X.509-Zertifikate und PKI für die Benutzerauthentifizierung
- Simple and Protected GSS-API Negotiation Mechanism (SPNEGO): Ermöglicht es Benutzern, sich ohne Benutzername und Passwort anzumelden, wenn sie sich im Unternehmensnetzwerk befinden (die Active Directory Domäne wird im SAP IAS integriert).
- Multi-Faktor-Authentifizierung: Sie können Einmal-Passcodes über den SAP Authenticator oder SMS als zweiten Faktor verwenden. Letzteres erfordert ein Konto für die Lösung SAP Authentication 365.
- Integration eines vorhandenen RADIUS-Servers: Betafunktion Juli 2020 – nur auf Anfrage erhältlich.
- Delegierte Authentifizierung: Bedeutet die Weiterleitung aller Authentifizierungsanfragen an einen Corporate Identity Provider unter Verwendung der SP-Komponente von IAS, die als IdP-Proxy fungiert.
- Authentifizierung an Social IdPs: Wiederverwendung Ihres Kontos bei Twitter, Facebook, LinkedIn oder Google – wird oft für externe in B2B- oder B2C-Szenarien verwendet.
2. BENUTZER ZUR ANWENDUNG
In einem zweiten Schritt erhält der Benutzer nach erfolgreicher Authentifizierung am SAP IAS auf der Grundlage benutzerdefinierter Richtlinien und Regeln das erforderliche Sicherheits-Token für den Zugriff auf die Zielanwendung, wobei es sich um eine der beiden Möglichkeiten handeln kann:
- SAML 2.0 assertion
- OpenID Connect (OIDC) JSON Web Token
Zusätzlich zu SAML 2.0 kann der SAP Cloud Platform Identity Authentication Service verwendet werden, um Benutzer in OpenID Connect (OIDC)-geschützten Anwendungen zu authentifizieren. OIDC ist eine einfache Identitätsschicht auf dem OAuth 2.0-Protokoll. Clients können die Identität des Endbenutzers auf Grundlage der von einem Autorisierungsserver durchgeführten Authentifizierung überprüfen und grundlegende Profilinformationen über den Endbenutzer auf interoperable und REST-ähnliche Weise erhalten. Die OIDC-Implementierung von IAS unterstützt den Authorization Code Flow, den Resource Owner Password Credentials Flow und den Implicit Flow.
FREQUENTLY ASKED QUESTIONS
The SAP Cloud Identity Services provide basic capabilities for user authentication and provisioning, which is a core requirement for all integration and/or extension scenarios of the Intelligent Enterprise. SAP Cloud Identity Services consist of two main components: Identity Authentication and Identity Provisioning, with more components being planned for future release.
You can find further information about the transition of SAP IAS and SAP IPS into the SAP Cloud Identity Services in this blog post from SAP.
Identity Authentication is a cloud service for authentication, single sign-on, and user management in SAP cloud and on-premise applications. It can act as an identity provider itself, or be used as a proxy to integrate with an existing single sign-on infrastructure. More information can be found here.
Identity Provisioning offers a comprehensive, low-cost approach to identity lifecycle management in the cloud. It helps you provision identities and their authorizations to various cloud and on-premise business applications. SAP IPS is based on the SCIM standard (System for Cross-Domain Identity Management), which means you no longer need to develop specific connectors for each target application.
You need to distinguish between the applications that are pre-bundled with SAP IAS and those that are not. For the pre-integrated applications, the default authentication and identity service is provided by SAP Cloud Platform Identity Authentication Service.
In general, any SAML 2.0 compatible web application running in the cloud (SaaS app) could be integrated with the SAP Cloud Platform Identity Authentication Service, which is now part of the SAP Cloud Identity Services. Of course you can use SAP IAS to integrate with your on-premise web applications as well, such as SAP HANA, SAP BusinessObjects, SAP Fiori, and almost any ICF service running on your SAP systems.
Tip: Currently, SAP does not provide a full list of compatible applications. But here are a few of the most notable: S/4HANA Public Cloud (MTE), SAP Cloud Platform Portal, SAP SuccessFactors, SAP Integrated Business Planning, SAP Jam Collaboration and SAP Hybris. In addition, SAP Cloud Platform Identity Authentication can serve as a trusted identity provider for Google G Suite.
Yes, there are many others, including:
– Delegated authentication towards multiple identity providers
(IDP-initiated authentication).
– Conditional authentication (partner or subsidiary use-cases).
– Two-factor authentication options.
– Risk-based authentication (request two-factor authentication based on the user context).
– Integration of your Active Directory or ABAP HCM as an IAS user store.
– Many more – ask us for further information.
The SAP Cloud Platform Identity Authentication Service is provided for most SAP Cloud Essential contracts and requires no separate license or subscription. SAP provides one IAS tenant per customer, regardless of the number of contracts signed in which Identity Authentication is included or bundled. A tenant granted as part of a bundle is not limited in scope, but allows you to use the full functionality that Identity Authentication offers. If a customer has a subscription for a productive instance of Identity Authentication, then the customer can request a second tenant (for testing purposes), which is provided upon request for no additional cost.
If you open the application in your browser, the request is redirected to the IdP, which will take care of the user authentication. Once the user’s identity is verified, the IdP sends the request back to the application – including the information about the user. The application can then perform the authorization check based on the verified information about who was sending the request, and decide if the user is allowed to perform the requested operation.
SAP Identity and Access Governance is a separate product. Technically, it re-uses Identity Authentication and Provisioning, but also provides premium features such as segregation of duties, re-certification, and business role management.
Fazit
Wie Sie sehen, ermöglicht der SAP IAS eine Reihe interessanter Funktionen, die ein herkömmlicher On-Premise Identity Provider nicht bieten kann. In unserem nächsten Blog-Beitrag über den SAP Identity Authentication Service, werden wir einen genaueren Blick darauf werfen, wie genau eine Integration des SAP IAS als Proxy zum Microsoft Azure Active Directory aussehen kann und welche Vorteile diese Konstellation bietet.
Learn more about SAP Cloud Platform Identity Authentication:
- SAP Cloud Identity Services community page
- SAP Identity Authentication product page
- Further Integration scenarios
- SAP Help Portal
- Cloud-Integration leicht gemacht: Xiting Central Workflows (XCW) trifft auf SAP Cloud - 30. Juli 2024
- Von Wehmut und Vorfreude: Das bevorstehende Ende von SAP IDM - 20. März 2024
- 2024 SAP Cloud Identity Services & IAM Portfolio: Was ist neu? - 26. Februar 2024