XSP IAM Connector:
IAM-Architektur neu denken

Warum SAP-IAM neu bewertet werden muss

Die Integration von SAP in moderne Identity- und Access-Management-Landschaften (IAM) ist längst mehr als ein technisches Detail. Hybride Systemlandschaften, Cloud-Transformation und regulatorische Anforderungen wie NIS2, DORA oder KRITIS verlangen eine nachvollziehbare und durchgängige Kontrolle von Zugriffsrisiken – insbesondere in geschäftskritischen SAP Systemen.

Gleichzeitig stehen viele Organisationen vor einem architektonischen Wendepunkt: SAP Identity Management (SAP IDM) läuft aus (End of Maintenance 2027, Extended Maintenance bis 2030). Moderne IAM-Plattformen wie SailPoint, Omada oder Saviynt übernehmen den Identity Lifecycle zuverlässig.

 Doch eine zentrale Frage bleibt offen:

Reicht Provisionierung aus, um SAP-spezifische Risiken, SoD-Konflikte und Lizenzwirkungen zuverlässig zu steuern – bevor Zugriff tatsächlich vergeben wird?

Das Kernproblem: Provisionierung ohne SAP-Kontext

Moderne IAM-Systeme erfüllen ihre Kernaufgaben heute sehr zuverlässig. Sie verwalten Identitäten, orchestrieren Joiner-, Mover- und Leaver-Prozesse, steuern Antrags- und Genehmigungsverfahren und provisionieren Zugriffe automatisiert in Zielsysteme.

Was dabei häufig fehlt, ist der SAP-spezifische Governance-Kontext vor der Provisionierung.
Denn Risiken in SAP entstehen nicht allein durch einfache Rollenkombinationen, sondern durch technische Details wie:

Berechtigungsobjekte und Feldwerte

• Transaktionslogiken und Autorisierungsstrukturen

• systemübergreifende Identitäten (z.B. S/4HANA, Ariba, SuccessFactors)

• implizite Effekte auf SAP-Lizenzklassifikationen

IAM-Plattformen arbeiten demgegenüber mit abstrakten Entitlements, rollenbasierten Modellen und generischen Regelwerken. Diese Abstraktion ist für den Identity Lifecycle sinnvoll – reicht jedoch nicht aus, um die SAP-spezifische Tiefe von Risiken und Lizenzwirkungen vor der Vergabe zuverlässig zu bewerten.

Drei unterschätzte Risiken im Direct-Provisioning-Modell

1

Fehlende präventive Risikoanalyse

Wird Zugriff direkt provisioniert, ohne SAP-spezifische Analyse, können SoD-Konflikte entstehen, ohne erkannt zu werden. In SAP hängen diese Risiken häufig an Objekten, Feldwerten und Transaktionen – nicht an einfachen Rollenpaaren.

2

Intransparente Lizenzveränderungen

Schon einzelne Berechtigungen können den SAP-Lizenztyp einer Identität verändern. Ohne vorgelagerte Lizenzprüfung bleiben diese Effekte unsichtbar – mit potenziell erheblichen Mehrkosten.

3

Audit-Lücken

Genehmigungen sind dokumentiert. Was jedoch oft fehlt:

  • Wurde das Risiko vorab bewertet?
  • Gab es eine Mitigation?
  • Wer trägt die Verantwortung – und wie lange?

Gerade unter verschärften regulatorischen Anforderungen wird diese Lücke schnell kritisch.

Die fehlende Schicht: Governance zwischen IAM und SAP

Die Lösung liegt meist nicht darin, bestehende IAM-Systeme zu ersetzen, sondern sie gezielt zu ergänzen. Genau hier setzt der XSP IAM Connector an.

Er implementiert einen dedizierten Governance-Layer zwischen IAM und SAP, der vor der Provisionierung greift. SAP-spezifische Logiken – von Berechtigungsobjekten und Feldwerten über Transaktionen bis hin zu Lizenzwirkungen – werden vorgelagert analysiert. Gleichzeitig integriert sich der Connector nahtlos in bestehende IAM‑Prozesse.

Der IAM‑Workflow wird gezielt angereichert durch:

  • präventive Risikoentscheidungen
  • fundierte Lizenzbewertungen
  • nachvollziehbare, auditierbare Governance-Logik

ohne die führende Rolle des IAM‑Systems infrage zu stellen.

Architekturprinzip: IAM bleibt führend – XSP übernimmt Governance

Der XSP IAM Connector ist ein Service auf der Xiting Security Platform (XSP) und verbindet bestehende IAM-Lösungen wie SailPoint, Omada, Saviynt oder EmpowerID mit der SAP-Governance der XSP.

Die Aufgabentrennung ist bewusst klar gehalten:

  • IAM: Identity Lifecycle, Anträge, Genehmigungen, Provisionierung
  • XSP: SAP‑Governance – analysieren, bewerten, mitigieren

Technisch agiert der Connector als API-first Orchestrator:

Request → IAM‑Entscheidung → XSP‑Analyse → Ergebnis → Provisionierung

Der entscheidende Vorteil: Keine Migration der bestehenden IAM‑Landschaft.

So funktioniert der Workflow in der Praxis

  1. Ein Benutzer beantragt Zugriff im IAM-System.
  2. Manager oder Rolleneigentümer genehmigen wie gewohnt.
  3. Der Antrag wird zur SAP-spezifischen Analyse an die XSP übergeben.
  4. Risiken (SoD, kritische Berechtigungen) und mögliche Lizenzänderungen werden systemübergreifend analysiert.
  5. Das Ergebnis fließt zurück ins IAM – bei Bedarf mit Mitigation oder zusätzlichen Freigaben.
  6. Die Provisionierung erfolgt automatisiert durch das IAM-System.

Risiko- und Lizenzentscheidungen werden so vor der Vergabe getroffen – nicht erst im Nachgang.

Warum SAP-Governance nicht ins IAM gehört

IAM-Systeme sind für Identity Lifecycle, Workflows und Provisionierung gebaut. SAP‑Governance ist jedoch eine eigenständige fachliche und technische Domäne.

Sie erfordert:

  • tiefes Verständnis von Autorisierungsobjekten und Feldwerten
  • systemübergreifende Risikoaggregation
  • SAP-spezifische Lizenzlogik

Der XSP IAM Connector trennt diese Domänen konsequent:

  • IAM = Lifecycle
  • XSP = Governance

So können beide Welten ihre Stärken ausspielen – ohne funktionale Überladung oder architektonische Kompromisse.

Provisionierung ist gelöst – SAP-Governance häufig nicht.

Wenn Sie vor der Ablösung von SAP IDM stehen oder SAP-Governance präventiv in Ihre IAM-Prozesse integrieren möchten, lohnt sich ein Blick auf den XSP IAM Connector in der Praxis.

Lassen Sie uns eine Demo vereinbaren und Ihre konkreten Use Cases durchspielen → 

Carsten Olt, Head of Identity and Access Management
Carsten Olt

Head of Identity & Access Management

Fazit: Von Provisionierung zu verantwortbarer Kontrolle

Herkömmliche IAM-Konnektoren lösen das Problem der Provisionierung, die Frage nach der
SAP-Governance bleibt jedoch offen.

Der XSP IAM Connector schließt diese Lücke gezielt durch:

  • präventive SoD- und Risikoanalyse
  • transparente Lizenzbewertung vor der Vergabe
  • auditierbare Entscheidungen inklusive Mitigation
  • Integration ohne Systembruch in bestehende IAM-Prozesse

So entsteht eine IAM‑Architektur, die nicht nur technisch funktioniert, sondern auch unter Governance- und Regulatorik-Anforderungen dauerhaft verantwortbar ist.

FAQ

Was ist der XSP IAM Connector?

Unser XSP IAM Connector ist ein Service auf der Xiting Security Platform (XSP), der bestehende IAM-Lösungen vor der Provisionierung um SAP-spezifische Governance ergänzt, wie die Risikoanalyse der Lizenzbewertung und Mitigation.

Herkömmliche IAM-Konnektoren provisionieren zwar zuverlässig, bilden aber
SAP-spezifische Risiken oft nicht tief genug ab (Objekte/Feldwerte/Transaktionen) und
berücksichtigen Lizenzlogik meist nicht.

Je nach Prozessdesign gibt es 2 Möglichkeiten:
1. Mitigation auf der XSP oder
2. Rückgabe an das IAM-System zur Erweiterung des Genehmigungsflows (zusätzliche
Freigaben).

Identity-Lifecycle-Prozesse müssen in eine neue IAM-Lösung überführt werden. Die SAP-spezifische Governance ist dabei häufig nicht automatisch abgedeckt und braucht ein ergänzendes Konzept.

Bleiben Sie auf dem Laufenden

Melden Sie Sich zu dem Newsletter an, um weitere Informationen zu erhalten.

Folgen Sie @Xiting und @xiting.global auf den Sozialen Medien.

Nehmen Sie jetzt Kontakt auf!

Melden Sie sich jetzt an!

Get in touch now!