SAP Identity Provisioning Service – Identitätsbereitstellung in der Cloud
Viele Unternehmen suchen nach Lösungsansätzen und Best Practices, um Cloud-Anwendungen in ihre vorhandene IT-Infrastruktur zu integrieren. Die Benutzer müssen dadurch aber nicht nur auf lokale Anwendungen, sondern auch auf die bestehenden Cloud-Anwendungen zugreifen. Dies erfolgt bestenfalls mit einer einzigen Identität, die für die lokalen Anwendungen und auch für Cloud-Anwendungen benutzt werden kann.
Dieser Blogartikel fokussiert sich auf das Thema SAP Cloud Identity Provisioning Service und zeigt dessen Hauptfunktionen und die Integrationsmöglichkeit in einem hybriden Szenario sowie die Vor- und Nachteile des Cloud-Dienstes.
Table of Contents
SAP Cloud Platform Identity Provisioning Service
SAP Cloud Platform Identity Provisioning Service (IPS) stellt automatisiert Identitäts-Lifecycle-Prozesse zur Verfügung. Hierzu stehen Berechtigungen und Identitäten für die lokalen Geschäftsanwendungen und Cloud-Anwendungen bereit.
Der Provisioning Service bietet einen umfangreichen Nutzungsansatz für das Identity-Lifecycle-Management in der Cloud-Anwendung. Es lässt sich als Gegenstück des SAP Identity Managements erklären. Der Dienst bietet gemeinsam mit dem SAP Cloud Platform Identity Authentication Service und mit dem Cloud-basierten Governance Service (SAP Cloud Identity Access Governance) eine Lösung für das Access- und Identity-Management. Unternehmen, die eine hybride IT-Landschaft haben, können durch den SAP IPS eine Lösung für die Zugriffs- und Identitätsverwaltung innerhalb der Cloud-Anwendungen erhalten.
Features des SAP Cloud Platform Identity Provisioning Service
Die Definition der Benutzerzugriffe basiert auf der gegenwärtigen Rollen- und Gruppenzuordnung oder einem beliebigen Attribut der Identität, das unternehmensintern definiert worden ist. Der Zugriff auf die Datenbestände aus einem Corporate Identity Store wie beispielsweise den SAP SucessFactors, SAP AS ABAP oder Microsoft Active Directory kann hiermit gewährleistet werden. Wenn das Unternehmen bereits SAP SuccessFactors zur Verwaltung der Mitarbeiter verwendet, kann das SuccessFactors-System auch als Quellsystem in dem Provisioning Service implementiert und genutzt werden. Entsprechende Einstellungen können mit den durch Richtlinien gesteuerten Berechtigungen in die unterschiedlichen Cloud-Anwendungen hinein kopiert werden. SAP IPS bietet ein anpassungsfähiges Transformationsmanagement auf JSON-basis, das es den Unternehmen gestattet, die von diesem Service bereitgestellten Transformationseinstellungen für das Target- und Source-System zu erweitern. Mit diesen Transformationskonfigurationen steuern die Unternehmen die Transformationslogiken für die Daten entsprechend der Sicherheits- und Geschäftsanforderungen. Auf diese Weise können zum Beispiel Filter verwendet werden, um nur einer einzelne Nutzergruppe mit dargelegten Informationen den Zugriff auf die nötigen Anwendungen zu ermöglichen. Die Konten der Nutzer erhalten die notwendigen Berechtigungen und zudem eine sichere Authentifizierung unterschiedlicher mobiler Geräten von jedem Ort aus. Die Integration und Synchronisation von On-Premise-Anwendungen innerhalb dieser hybriden Systeme ist natürlich auch möglich.
Der Zugriff auf die Cloud-Anwendungen kann mithilfe von SAP Single-Sign-On (SSO) sicherer gestaltet und vereinfacht werden. Dies erfolgt mit Hilfe des SAP Cloud Identity Authentication Services. Dadurch kann per SSO auf jedem Gerät von überall aus sicher und schnell zugreifen.
Hybrides Szenario
Ein hybrides Szenario ist stets eine Kombination aus einem oder auch mehreren Cloud-Systemen und On-Premise-Systemen. Die Themen rund um die Cloud-Anwendungen sind bereits seit einiger Zeit im starken Fokus der Unternehmenswelt und haben eine sehr hohe Priorität. So haben sich die SAP Identity Management (IDM)-Kunden oder -Interessenten schon oft die Frage gestellt, was eigentlich mit dem SAP IDM-System passiert. Wie kann das SAP IDM, was generell ein altbewährtes On-Premise-Produkt ist, auch die Cloud-Systeme anbinden?
Das bestehende SAP IDM ist auch künftig als On-Premise-System nutzbar und einzurichten. Die bestehenden On-Premise-Systeme sind somit wie bekannt nutzbar. Dies ist unterhalb der roten Linie in der oberen Abbildung erkennbar. Oberhalb der roten Linie befinden sich die Nutzer im Bereich der bekannten Cloud-Systeme. Die Administratoren können ferner zu den On-Premise-Systemen auch die bestehenden Cloud-Systeme anbinden. Der Zugriff auf die Systeme erfolgt per Proxy-System des SAP IPS. Eine parallele Verbindung zwischen dem SAP IDM und dem SAP IPS erfolgt durch den von der SAP bereitgestellten SCIM-Connector. Dies bedeutet, dass Benutzer- und Berechtigungsentitäten durchgängig und einheitlich verwaltet werden können ohne proprietäre Schemata und Schnittstellen aufzubauen. Lesen Sie dazu den Xiting Blogbeitrag zur standardisierten Benutzerverwaltung in der Cloud.
Das Anwendungsziel einer hybriden Systemlandschaft ist es, die bestehenden Cloud-Systeme in die vorhandene IT-Infrastruktur sicher und schnell einzubinden, jedoch soll das SAP IDM künftig als zentraler Datenlieferant genutzt werden. Eine entsprechend verlinkte Liste zeigt hierbei, welche Systeme zurzeit als Proxy-System angebunden werden können. In diesem Blogartikel wird die Anbindung von Azure Active Directory als Cloud-System mit SAP IDM beschrieben. Durch den Provisioning Service und die verfügbaren Möglichkeiten für die Anbindung der Cloud-Systeme hat die SAP eine Möglichkeit für das hybride SAP IDM-Szenario erschaffen. Der dargestellte Anwendungsfall im vorhin erwähnten Blogartikel zeigt, dass auch Non-SAP-Systeme in die vorhandene Systemlandschaft auf einfache Art und Weise hierin eingebunden sein können.
Vor- und Nachteile des SAP Cloud Platform Identity Provisioning Service
Der Dienst ermöglicht ein Identitätsmanagement für sämtliche Cloud-Umgebungen. Hierdurch können vor allem die Compliance-Kosten gesenkt und die IT-Sicherheit erhöht werden. Dies eignet sich ebenfalls für hybride SAP-Landschaften, da die Synchronisation mit weiteren On-Premise-Prozessen und -Anwendungen möglich ist.
Analog zum SAP Identity Management stellt der SAP IPS Identitäten, Berechtigungen sowie Gruppen für die unterschiedlichen Anwendungen bereit. Die SAP Cloud Platform schafft eine einheitliche Plattform, auf welcher der SAP IPS als geeigneter Transformator fungiert, um unterschiedliche Datenquellen aufzubrechen und die entsprechenden Daten in die jeweiligen Systeme verwalten.
Die Erweiterung von Prozessen im Unternehmen auf die Cloud-Anwendung lässt sich daher leichter umsetzen. Durch den Provisioning Service sind vor allem die Einrichtung und direkte Wartung der Konten aller Nutzer automatisiert. Zudem wird sichergestellt, dass nicht mehr erforderliche Berechtigungen für die entsprechenden Benutzerkonten automatisch entzogen werden. Die Benutzer- und Kontoberechtigungen lassen sich hierbei dynamisch an die Aktualisierungen der Compliance- und Geschäftsanforderungen anpassen. Zudem lassen sich die vorhandenen Daten aus schon vorhandenen Benutzerkonten importieren, so dass eine effektive Implementierung sowie eine schnelle Anwendung möglich werden.
So können Unternehmen mit der einfachen und schnellen Bereitstellung des SAP Cloud Services sowie minimalen Betriebskosten rechnen. Selbstverständlich gibt es auch Nachteile, die es gegen die Vorteile zu prüfen gibt. Der Einsatz des SAP IPS wird eingeschränkte Entwicklungs- und Erweiterungsmöglichkeiten mit sich bringen. Unternehmensprozesse, die stark von den verfügbaren Standards abweichen, müssen in den meisten Fällen mit einer Änderung und Standardisierung Ihrer Prozesse einhergehen. Dies gelten beispielsweise für die Anpassung der eindeutigen Benutzeridentifikation und die ordentliche Pflege der Benutzerstammdaten.
Überwachungsprotokolle, die im SAP IDM bei jeder ausgeführten Aufgabe gespeichert sind, werden im SAP IPS ausschließlich bei Lesejobs für die Source-Systeme bereitgestellt. Eine Fehleranalyse der abgesendeten Abfragen aus einem SAP IDM zu einem Cloud-System ist auf Seiten des SAP IPS aktuell nicht möglich.
Fazit
Der SAP Cloud Platform Identity Provisioning Service ermöglicht Unternehmen, umfassende Automatisierungsmöglichkeiten für Cloud-Anwendungen zu verwirklichen. Die IT-Sicherheit kann durch moderne Authentifizierung-/ Autorisierungstechniken (bspw. SAML2.0, OAuth 2.0) erhöht und die Compliance-Kosten gesenkt werden.
Unternehmen, die bereits das SAP Identity Management 8.0 verwenden, können die jeweiligen Cloud-Systeme mit Hilfe des SAP Identity Provisioning Service anschließen. Sie werden über den SAP IPS für die Provisionierung bereitgestellt. Die Verbindung zwischen SAP IDM und IPS wird durch den SCIM-Connector erstellt, der standardmäßig im SAP Provisioning Framework vorhanden ist. Ein solches Szenario, in dem das bestehende SAP IDM-System weiterhin die Rolle des Datenlieferanten übernimmt, wird als eine hybride Systemlösung bezeichnet. Wenn die Unternehmen sich jedoch für eine Cloud-Lösung entscheiden möchten, können sie zum Beispiel auch den SAP Identity Authentication Service als einen Identity Provider verwenden.
Unternehmen, die heute hybride IT-Systemlandschaften verwenden, benötigen zudem eine hybride Lösung für die Sicherheit und das Benutzermanagement. Für welche Services und Systemanbindungen Konnektoren genutzt werden, kommt stets auf den einzelnen Fall an, damit den richtigen Benutzern auch zur richtigen Zeit die nötigen Ressourcen bereitgestellt werden.
Nehmen Sie an unserem kostenlosen Webinar zu allen IDM Services teil!
Wir stellen Ihnen regelmäßig unsere IDM Services vor, dabei sehen Sie auch unsere Xiting IDM-Fiori-Oberflächen live im System. Lernen Sie außerdem unsere anderen IDM Services kennen:
- Xiting IDM Power Workshop
- XAMS Integration
- Org Unit Integration
- WSDL Connector
- Xiting IDM Starter Service
Einen Überblick unserer SAP IDM-Services finden Sie hier.
Alle Webinar-Termine finden Sie hier im Überblick!
FAQ
Ja, es ist möglich die Identitätsbereitstellung über den SAP Identity Provisioning Service zu steuern.
Wie in der ersten Frage beantwortet, bietet SAP IPS die Identitätsbereitstellung an. Jedoch müssen Sie bedenken, dass beispielsweise Rollen- und Gruppenzuordnungen gegebenenfalls nicht Audit-konform sind, weil der Identity Provisioning Service keine Genehmigungsworkflows unterstützt.
Der Service bietet keine Workflow-Engine an. Genehmigungsworkflows können über das SAP Identity Management oder SAP Cloud Identity Access Governance in den Identity Provisioning Service integriert werden.
Nein, aktuell nur in der Neo-Umgebung.
Eine aktuelle Liste zu den unterstützten Systemen finden Sie hier.
- Success story: Vileda GmbH - 14. März 2023
- Success Story: Boehringer Ingelheim - 16. Februar 2022
- SAP Identity Provisioning Service – Identitätsbereitstellung in der Cloud - 18. Januar 2021