SAP Identity Management – Eine Einführung

 

Willkommen zu einem weiteren spannenden Beitrag aus dem Bereich Identity und Access Management (IAM). In diesem Blogbeitrag werden wir uns mit einer der zahlreichen auf dem Markt erhältlichen IAM Lösungen^[1] beschäftigen: dem SAP Identity Management (SAP IDM).

 

Du bekommst einen Einblick in die Funktionsweisen und Eigenschaften des Identity Managements Systems. Wir beantworten Dir Fragen wie: Was ist das SAP IDM eigentlich? Warum oder unter welchen Voraussetzungen sollte man SAP IDM verwenden? Was sind die Vorzüge jener IAM-Lösung? 

 

Was ist das SAP IDM? – Funktionsweise und Eigenschaften

In unserer heutigen (Arbeits-)Welt befinden wir uns unübersehbar im Zeitalter der Digitalisierung. So werden analoge Prozesse im Zuge der digitalen Transformation durch digitale Prozesse ersetzt. Wo dies nicht möglich ist, wird parallel ein digitales Abbild – oder besser, eine digitale Repräsentation – erstellt Meist geht diese digitale Transformation einher mit einer agilen Transformation bzw. bedient sich agiler Methoden^[2], Deswegen spricht man auch von einer agilen digitalen Transformation. 

Essenzielle und zentrale Teile für jedes Unternehmen sind die Identitätsfeststellung und die Kontrolle der Zugänge und Berechtigungen der Benutzer. Ob es sich nun um Pförtner, Gästelisten, Schlüssel oder Ausweise handelt: In der analogen Welt gibt es Mechanismen, die Personen eine Identität verleihen und regeln, wer welchen Bereich betreten oder welche Handlung durchführen darf. Kunden dürfen beispielsweise den Verkaufsbereich betreten. Das Lager oder der Pausenraum darf hingegen nur von Mitarbeitenden des Unternehmens betreten werden. Und nur bestimmte Mitarbeitende des Unternehmens haben vielleicht Zugang zu dem Kassenbereich.

 

In der digitalen Repräsentation muss ein Mitarbeiter oder Kunde, welcher sich einloggt, ebenfalls identifiziert und die Berechtigungen korrekt gesetzt werden. Dabei spielt die Cyber Security immer eine zentrale Rolle. Die Verwaltung von Berechtigungen  geschieht unter Verwendung einer Identity & Access Management (IAM) Lösung. Eine IAM-Lösung verwaltet zentral die Stammdaten der Benutzer als deren Identität und teilt den verschiedenen Applikationen mit, ob der angemeldete User Berechtigungen zur Nutzung von Ressourcen hat. Oder auf andere Weise ausgedrückt: 

 

Identity and access management (IAM) is the discipline that enables the right individuals to access the right resources at the right times for the right reasons.^[3]

 

SAP Identity Management System wird modernen Anforderungen gerecht

Die digitale Infrastruktur in Unternehmen entwickelt sich zusehends zu einer komplexeren, mehr heterogenen Landschaft. Eine Landschaft, bestehend aus verschiedener Software unterschiedlicher Anbieter. Diese bieten den Usern einen schnellen und einfachen Zugriff auf die zahlreichen eingesetzten Applikationen. Die Bedrohungen durch Hackerangriffe nehmen dratsisch zu und bedrohen die Cyber Sicherheit sensibler Daten. Deshalb erfordern neue datenschutzrechtliche Vorgaben und Wirtschaftsprüfungen ein umfangreiches Audit-Logging, das im Angesicht der Informationsverteilung immer komplexer wird. Wie kann SAP Identity Management da helfen?

 

Um diesen Anforderungen gerecht zu werden, entstand aus dem Vorgängerprodukt der zentralen Benutzerverwaltung (ZBV) das SAP Identity Management. Das implementierte neben der nativen Anbindung an die verschiedenen SAP Produkte auch weitere nicht-SAP Systeme. 

 

 

Abbildung 1 – Konnektivität zu SAP- und nicht-SAP-Systemen^[4]

 

Das SAP IDM verwaltet also die Identitäten sowie die Berechtigungen für den Zugriff seiner Benutzer und provisioniert diese an angebundene Systeme weiter. Es steuert den gesamten Lebenszyklus einer digitalen Identität/Repräsentation und sorgt dafür, dass neue Data oder Änderungen synchron auf alle angeschlossenen Systeme verteilt werden. 

 

Mittels der SAP IDM Benutzeroberfläche können die Stammdaten und Genehmigungsworkflows aller User zentral eingesehen und verwaltet werden. Da die Benutzeroberfläche zudem auf der SAP NetWeaver Java Technologie basiert, lässt sie sich perfekt an die eigenen Bedürfnisse anpassen. 

 

Abbildung 2 – SAP IDM Benutzeroberfläche^[5]

 

Technisch besteht das SAP Identity Management System aus zwei Hauptkomponenten: Dem Identity Center und dem Virtual Directory Server, welche die folgenden Funktionen bereitstellen: 

 

• Passwortmanagement der Benutzer
• Rollen- und Entitätensteuerung der User
• Reports und Auditinformationen 
• Automatisierte Genehmigungsworkflows 
• Datensynchronisation über multiple Systeme 

 

Lasst mich das SAP Identity Management durch ein Nutzungsszenario verdeutlichen:

Hans Müller hatte ein Vorstellungsgespräch bei der Global Distribution AG, wo er sich als Sales-Mitarbeiter bewarb. Eine Woche vor seinem Arbeitsbeginn werden seine persönlichen Daten (Vorname, Nachname, Adresse und Telefonnummer) an die HR-Abteilung weitergeleitet und manuell von einem der HR-Mitarbeitenden in das SAP Human Capital Management (HCM) System eingetragen. 

 

Nach Eingabe beginnt automatisch die Provisionierung der Daten in das On-Premises SAP Identity Management System, welches erkennt, dass es sich um einen neuen Mitarbeiter der Global Distribution AG handelt. Der Prozess der Mitarbeiterprofil-Erstellung wird im SAP Identity Management System wird initiiert:  

 

1. Ein neuer Benutzer mit dem Namen Hans Müller wird im Active Directory angelegt. 
2. Ihm wird eine eindeutige Benutzeridentifikation zugewiesen (z.B. GD_067456). 
3. Es wird eine E-Mail-Adresse [email protected] und eine Office365-Identität erstellt. 
4. Die Telefonnummer wird in das firmeneigene Telefonbuch eingetragen. 
5. Dem Benutzer wird die Rolle “Sales-Mitarbeiter” zugeteilt, was Zugriffsberechtigungen für den Ordner “Sales-Dokumente” verleiht und ihm einen Account innerhalb einer Sales-Applikation anlegt. 

 

An seinem ersten Arbeitstag kann Hans sofort mit der Arbeit beginnen und auf sämtliche Ressourcen und Applikationen zugreifen, die für ein produktives Arbeiten nötig sind. Dies ist möglich, weil er über alle nötigen Berechtigungen verfügt. 

 

Spinnen wir unser Nutzungsszenario zum SAP IDM weiter: 

Die Dinge laufen gut und ein Jahr nach seinem Arbeitsbeginn wird Hans befördert und ist nun Manager des gesamten Teams. Durch die Änderung seiner Rolle, erteilt ihm das SAP IDM alle Zugriffe, die in der neuen Rolle enthalten sind und reicht die Änderungen an der Benutzeridentität an alle angeschlossenen Systeme weiter. Hans besitzt nun durch das Identity Management von SAP Berechtigungen, um auf Mitarbeiter-Ordner in Sharepoint zuzugreifen. Er kann zudem selbst Prozesse genehmigen und erhält in SAP ERP das Superuser-Privileg. 

 

Da Hans weiß, wie wichtig IT-Sicherheit ist, will er nun sein Passwort ändern. Dank des SAP IDM eigenen Selfservices benötigt er dazu nicht die Hilfe der IT-Abteilung. Er ändert sein Passwort auf der Selfservice-Seite des SAP IDM. Das aktualisiert anschließend sein Passwort in allen angeschlossenen Applikationen. Ein kleiner Schritt für ihn, aber ein großer Schritt für seine IT-Security.  

 

Aber alles Gute muss irgendwann enden – SAP Identity Management hilft:

Nach langer Zeit im Unternehmen verlässt Hans die Global Distribution AG schließlich. Die HR-Abteilung stellt das Austrittsdatum ein und das SAP IDM führt die Löschung der Identität in den verschiedenen Systemen durch, entzieht die Berechtigungen und deaktiviert die E-Mail-Adresse. 

 

Sollte ein Wirtschaftsprüfer später ein Auditing durchführen, kann die HR-Abteilung auf ein detailliert geführtes Log verweisen und einen Report generieren, ohne an verschiedenen Stellen manuell Informationen über den Benutzer sammeln zu müssen. 

 

Jetzt solltest Du einen Überblick über die Möglichkeiten und Szenarien mit SAP IDM haben. 

 

Warum oder wann sollte man SAP IDM als IAM-Lösung wählen? – Vorteile und Merkmale 

Jetzt, da Du weißt, was SAP IDM ist, wollen wir uns der Frage widmen, warum Du es nutzen solltest. Welche Vorteile bietet das Produkt SAP Identity Management? Unter welchen Voraussetzungen solltest Du als IT-Entscheidender einen Wechsel zu oder den Einsatz von SAP IDM in Erwägung ziehen? Wie trägt SAP IDM zu deine Cyber Security bei? 

 

Zunächst einmal sei erwähnt, dass jede Situation ihre ganz individuellen Erfordernisse hat, die Du bei Deiner Entscheidung für oder gegen SAP IDM berücksichtigen musst: 

 

• Handelt es sich um einen Green Field Approach, also den Einsatz eines Identity und Access Management Systems in einer Umgebung, in der zuvor noch kein IAM System zum Einsatz kam? 
• Oder wird derzeit bereits ein IAM eingesetzt?
• Werden andere SAP-Produkte in der IT-Umgebung genutzt? 
• Wie stellt sich das Nutzungsszenario dar? 
• Werden Applikationen On-Premise oder in der Cloud verwendet?
• Wie viele User (Mitarbeitende, Partner, Kunden) sollen vom IAM verwaltet werden? 

 

Ein häufiges Setup, bei dem SAP IDM seine Stärken ausspielen kann und eine Implementierung Sinn ergibt, sieht beispielsweise so aus:

• Du arbeitest mit vielen unterschiedlichen Applikationen in einer heterogenen IT-Landschaft. 
• Viele der Applikationen sind On-Premise, andere in der Cloud nutzbar. 
• Es werden bereits SAP Produkte genutzt und Deine Mitarbeitenden müssen regelmäßig zwischen SAP- und Nicht-SAP-Produkten wechseln. 
• Dein Unternehmen überschreitet eine Größe von mehr als 1.000 Mitarbeitenden und/oder Kund:innen, die authentifiziert und verwaltet werden müssen. 

 

Wenn das auf Dich zutrifft, bietet sich der Einsatz von SAP Identity Management als präferierte Identity und Access Management Lösung für Dein Unternehmen an. Sowohl aus wirtschaftlicher als auch aus IT-technischer Sicht. Rein kostentechnisch ist SAP Identity Management bereits als Teil der SAP Lizenz enthalten und für das Management von SAP Produkten ohne weitere Kosten out-of–the-box nutzbar. Aus IT-technischer Sicht bringt das SAP IDM bereits viele Konnektoren (zu SAP wie auch Nicht-SAP-Systemen) mit, um in deine existierende Landschaft integriert werden zu können. 

 

Diese Vorteile bietet SAP IDM für Dich

Mehr Sicherheit durch SAP Identity Management

Als erster Aspekt ist natürlich die stark erhöhte IT Security zu erwähnen. Der Einsatz einer zentralen Benutzerverwaltung schafft generell den Umstand, dass es nur noch einen Angriffspunkt statt vieler verschiedener gibt. Stell Dir vor, Du würdest ein Haus mit vielen verschiedenen Fenstern und mehreren Haustüren bauen. Jede dieser Türen sowie Fenster bieten kriminellen Elementen Gelegenheit sich Zugang zum Haus zu verschaffen. Als Hauseigentümer musst Du jedes Fenster und jede Haustür umfangreich absichern und kontrollieren. 

 

Je weniger Fenster und Türen, desto geringer ist der Aufwand und desto mehr kannst Du dich auf die Absicherung der verbleibenden Zugangsmöglichkeiten konzentrieren. Bei einem echten Haus würdest Du mit wenig Fenstern zwar im Dunkeln tappen, aber das haben wir ja nur als Beispiel genannt. Mit SAP IDM bringst Du eher Licht in die Daten-Dunkelheit.  

 

Mit seinen umfangreichen Protokollaktionen und einer automatisierten Deaktivierung von Rechten/Usern an Tag X und der Provisionierung dieser Löschanträge zu allen angeschlossenen Systemen trägt das SAP Identity Management wesentlich zu einer Überwachung des Systems und der Vermeidung von „Accountleichen“ bei. Gerade diese „Accountleichen“ – also Nutzeraccounts mit Zugriffsrechten, welche nach Austritt von Mitarbeitenden nicht oder nur teilweise deaktiviert/entzogen wurden – stellen ein großes Sicherheitsrisiko in jedem modernen IT-System dar.

 

Leider dienen sie Hackern sehr häufig als erster Hebelpunkt, um sich unberechtigten Zugang zu verschaffen. Eine Zentralisierung der Benutzerverwaltung und die Synchronisierung von Identitäten und Rechte über die verschiedenen angeschlossenen Applikationen und Systeme des SAP IDMS hinweg, stellt also einen integralen Bestandteil der Cyber Security dar.  

 

Abbildung 3 – SAP IDM im Context von SAPs Produkt-Portfolio^[6]

 

Außerdem sind die sicherheitsrelevanten Daten, die in bereits existierenden SAP-Applikationen liegen, oftmals nicht einsehbar für Nicht-SAP-Systeme. Für ein IAM System kann eine SAP-Applikation daher wie eine Black Box sein und es ergeben sich Lücken. Das SAP Identity Management System hingegen besitzt bereits native Anbindungen zu SAP-Applikationen und darüber hinaus auch die Möglichkeit zu/mit den wichtigsten Third-Party- und Nicht-SAP-Produkten verbunden zu werden, ohne dass weitere Kosten entstehen. 

Entlastung der Benutzeradministration

Der Einsatz von SAP IDM wird Deine Systemverantwortlichen/IT-Admins spürbar entlasten. Zum einen wird die Bedienung durch die Verwendung von browserbasierten UIs und einer eclipsebasierten Entwicklungsumgebung erleichtert. Zum anderen müssen Admins weniger initiieren und entscheiden, da das SAP IDM durch automatisierte Workflows und gekoppelte Prozesse (z.B. bei rollenbasierter Rechtevergabe) bereits im Hintergrund entsprechende Aufgaben abnimmt. Dies wird zudem noch begünstigt durch die vollständige Ablösung von papierbasierten Anträgen der Berechtigungen. Das macht sie leichter archivierbar und wesentlich einfacher durchsuchbar. 

 

Einige der Vorgänge, die zuvor manuell und zeitaufwendig durch IT-Admins durchgeführt werden mussten, sind nun mithilfe des SAP IDMS gar ohne die Involvierung derselbigen möglich. So können Benutzer durch die Verwendung eines SelfService-Portals systemübergreifende Passwort-Resets durchführen. Dadurch wird die Reaktionszeit und der Supportaufwand für die IT-Kollegen drastisch reduziert.  

 

Abbildung 4 – Password Reset in SAP IDM^[7]

 

Prozessworkflows wie ein Eintritt oder Rollenwechsel der Benutzer ist automatisiert und wird beispielsweise direkt von der HR-Abteilung ausgelöst. Das entlastet Deine IT-Administration. 

 

Die Möglichkeit von Massenanlagen und -änderungen der Benutzer durch das simple Hochladen einer CSV-Datei, die einfache und individuelle Anpassung von Workflows, sowie die Abfrage und das Updaten der User Data an einer zentralen Position in SAP IDM, macht ein rasches und zentrales Eingreifen möglich, wann immer es gefordert ist. 

 

Auditing und Reports mit dem SAP Identity Management

Die revisionssichere Vergabe von Berechtigungen und die umfangreiche Audit-Funktionalität des SAP IDM erlauben die Erstellung von Reports aller aktuellen und vergangenen Zugriffsereignisse und durchgeführten Aktionen. Welche Vorteile bietet SAP IDM dort konkret?

 

Sollte es zu einem Sicherheitsverstoß kommen oder die Frage innerhalb einer Wirtschaftsprüfung von Relevanz sein, besteht jederzeit die Möglichkeit einen (individualisierbaren) Bericht über die Berechtigungen und Aktionen einzelner Nutzenden zu einem spezifischen Zeitpunkt zu erstellen. 

 

Wer hat eine Änderung veranlasst? Welche Art von Änderung wurde initiiert? Welche Daten waren vor ihrer Änderung gespeichert? Wann genau wurde die Änderung durchgeführt? Sämtliche Änderungen an Daten, Benutzerzugriffsrechten und administrativen Berechtigungen können SAP IDMS verwaltet und nachverfolgt werden. Dies geschieht ohne die Notwendigkeit, dass Du Informationen manuell aus verschiedenen Quellen heraussuchen musst. Das erhöht die Cyber Sicherheit Deiner Daten.

 

Berichte können auf verschiedene Art und Weise erzeugt werden: 

• Basis Reports basieren auf Informationen aus der SAP IDM Datenbank 
• Erweitere Berichte können erzeugt werden, wenn zusätzlich SAP Business Warehouse (SAP BW) genutzt wird. Das erlaubt mehr Details und Individualisierbarkeit der Reports. 
• Berichte mit einem Schwerpunkt auf visueller Darstellung können mittels SAP Lumira veranschaulicht werden 

 

Abbildung 5 – Basic Report aus dem SAP IDM^[8]

 

Zudem ermöglicht die enge Integration mit der SAP-Zugriffskontrolle (SAP Access Control) eine effektive Minderung von SoD-Risiken (Segregation-of-duties). Außerdem bietet es einen vollständig rechtlich konformen Nutzerbereitstellungsprozess. 

Vereinfachte Authentifizierung im Multi-System- und Hybrid-Szenario Setup

Da Unternehmen immer mehr Mitarbeitenden, Kunden und Geschäftspartnern den Zugriff auf Informationen und Prozesse in ihren Systemlandschaften ermöglichen, wird der Bedarf an fortschrittlichem und flexiblem Single Sign-On zu Cloud Umgebungen im gesamten Unternehmen immer wichtiger. 

 

Dank der Integration mit SAP Single Sign-On und SAP Cloud Platform Identity Authentication (SAP IDA) kommt SAP IDM diesem gestiegenen Bedarf nach. Es trägt daher sowohl zu einer reibungslosen Nutzererfahrung für User, als auch zu einer Verbesserung der Security beim Login in einer On-Premise und Cloud Systemlandschaft bei. SAP Single Sign-On bietet Unterstützung für viele Authentifizierungssysteme, darunter Passwörter, Token, X.509-Zertifikate und Smartcards.

 

SAP Cloud Platform Identity Authentication ermöglicht ein sicheres Single Sign-On in Cloud-Umgebungen. Es umfasst die Prozesse zur Verwaltung von Identitäten und deren Lebenszyklen innerhalb des SAP-Cloud-Portfolios. Ein zentrales Security Management mit einem standardisierten Authentifizierungssystem vereinfacht die Authentifizierung für User. Diese müssen sich fortan nur noch mit einem Passwort anmelden, um Zugriff auf die verschiedenen Systeme/Applikationen zu erhalten. Gleichzeitig reduziert es den Aufwand für die IT, welche Änderungen an User zentral verwaltet.   

 

Abbildung 6 – SAP Identity Management und Authentifizierung^[9]

 

Das Wichtigste zum SAP Identity Management in Kürze

In diesem Artikel haben wir einen Blick auf das SAP Identity Management System geworfen. Was haben wir dabei über das SAP IDM gelernt? 

 

Als Nachfolgeprodukt der Zentralen Benutzerverwaltung (ZBV) unterstützt das SAP IDM nicht nur die native Anbindung der SAP eigenen Applikationen und Technologien. Sie bringt zudem out-of-the-box Konnektoren zu gebräuchlichen Nicht-SAP-Systemen wie MS Azure und Active Directory mit. Dadurch fällt sein Einsatz in einer SAP-Applikationen dominierten IT-Landschaft wie auch bei der zusätzlichen Verwendung von Nicht-SAP-Applikationen sehr einfach. 

 

Die native Kommunikation mit SAP-Systemen erlaubt zudem ein umfangreiches Auditing und die Erzeugung von Reports mit nur einem Klick. 

 

Da SAP IDM auf der SAP Netweaver Architektur aufbaut, welche Java-basiert ist, können neue Konnektoren auf einfache Weise an die Bedürfnisse der eigenen IT-Landschaft angepasst werden. So kann das SAP Identity Management System mit nahezu jedem Identitätsverzeichnis (Repository) kommunizieren. 

 

Dank seiner rollenbasierten Zugriffskontrolle kann es letztendlich Änderungen an Berechtigungen und Zugriffen von einer zentralen Benutzeroberfläche aus an alle Applikationen weitergeben. Dadurch trägt es zu höherer Cyber Security und der Entlastung von IT-Administratoren bei.  

 

Was bedeutet das alles für Dich und einen potenziellen Einsatz als IAM-System in Deinem Unternehmen?

Der Einsatz von SAP IDM hängt letztendlich von verschiedenen individuellen Faktoren ab. Als integraler und zentraler Bestandteil Deiner IT-Infrastruktur sollte die Entscheidung für ein bestimmtes Identity und Access Management Produkt wohl überlegt sein, weswegen eine Beratung vor einem Wechsel oder in einer Planungsphase sehr zu empfehlen ist. 

 

Setze von Anfang an auf das richtige Pferd und nutze unsere einzigartige Expertise im Identity & Access Management Bereich durch unseren IAM Healthcheck:

 

Wir führen eine Ist-Analyse Deiner bestehenden Architektur, Prozesse und Cyber-Security durch. Außerdem erstellen wir eine Dokumentation der Auswertung und bereiten die Ergebnisse in einer leicht verständlichen Präsentation auf. Alle Karten werden offen auf den Tisch gelegt: objektiv und informativ. Beratung aus der Hand eines Freundes mit dem Ziel, Dir die Grundlagen für weitere fundierte Entscheidungen zu liefern. 

 

Steht SAP IDM schon jetzt an oberster Stelle auf deiner Liste möglicher Kandidaten für ein Identity und Access Management System, weil …  

• … Du vielleicht mehr als 1000 Stammdaten von Kunden und oder Mitarbeitenden verwalten musst? 
• … Dein Identity und Access Management System in einer heterogenen IT Landschaft bestehend aus verschiedenen bereits existierenden SAP und Nicht-SAP-Applikationen eingesetzt werden soll? 
• … Applikationen sowohl On-Premise als auch und cloudbasiert genutzt werden? 

 

Wir unterstützen Dich!

Dann vertraue auf einen verlässlichen Partne. Wir sind nun schon seit über zehn Jahren für die SAP SE im Identity und Access Bereich tätig. Wir kennen das SAP Identity Management Produkt in all seinen Facetten. Geballtes Know-how auf Enterprise-Level ohne Scheuklappen zu tragen. Unsere Diversität und fachliche Tiefe bietet Dir die Sicherheit einer individuellen Beratung. Dort stehen Du und Deine spezifischen Anforderungen im Mittelpunkt. Und das immer mit unserer amiconsult-eigenen Offenheit und dem Anspruch, mehr als nur Berater zu sein. Stattdessen ein guter Freund und Ratgeber mit dem Ohr am Puls der Zeit. 

 

Lerne uns doch einfach mal kennen und erfahre aus erster Hand, weshalb bereits zahlreiche Kunden auf amiconsult als langjährigen Partner und Wegbegleiter vertrauen. Wir freuen uns auf dich!

 

 

---