SAP Identity Management – Eine Einführung

Willkommen zu einem weiteren spannenden Beitrag aus dem Bereich Identity und Access Management (IAM). In diesem Blogbeitrag werden wir uns mit einer der zahlreichen auf dem Markt erhältlichen IAM Lösungen[1] beschäftigen: dem SAP Identity Management (SAP IDM).

 

Du bekommst einen Einblick in die Funktionsweisen und Eigenschaften des Identity Managements Systems. Wir beantworten dir Fragen wie: Was ist das SAP IDM eigentlich? Warum oder unter welchen Voraussetzungen sollte man SAP IDM verwenden? Was sind die Vorzüge jener IAM-Lösung? 

 

Fragen, die wir aufgrund unserer langjährigen Erfahrungen mit der Verwendung und Implementierung dieses Produktes des bekannten Software-Riesens aus Walldorf beantworten können. Dank unserer Expertise im Identity & Access Management Bereich mit führenden Anbietern und der amiconsult-eigenen Art, „über den Tellerrand hinauszuschauen“ beraten wir zudem stets mit Blick auf deine Bedürfnisse und in Richtung Zukunft gewandt. 

Was ist das SAP IDM? – Funktionsweise und Eigenschaften

In unserer heutigen (Arbeits-)Welt befinden wir uns unübersehbar im Zeitalter der Digitalisierung. So werden analoge Prozesse im Zuge der digitalen Transformation durch digitale Prozesse ersetzt und wo dies nicht möglich ist, wird parallel ein digitales Abbild – oder besser, eine digitale Repräsentation – erstellt. Meist geht diese digitale Transformation einher mit einer agilen Transformation bzw. bedient sich agiler Methoden[2], weswegen man auch von einer agilen digitalen Transformation spricht. 

Ein essenzieller, zentraler Teil für jedes Unternehmen ist die Identitätsfeststellung und die Zugangs- und Berechtigungskontrolle. Ob es sich nun um Pförtner:innen, Gästelisten, Schlüssel oder Ausweise handelt: In der analogen Welt gibt es Mechanismen, die Personen eine Identität verleihen und regeln, wer welchen Bereich betreten oder welche Handlung durchführen darf. Kund:innen dürfen beispielsweise den Verkaufsbereich betreten, doch das Lager oder der Pausenraum darf nur von Mitarbeitenden des Unternehmens betreten werden. Und nur bestimmte Mitarbeitende des Unternehmens haben vielleicht Zugang zu dem Kassenbereich.

 

In der digitalen Repräsentation muss ein:e Mitarbeiter:in oder Kund:in, welche:r sich einloggt, ebenfalls identifiziert und die Berechtigungen korrekt gesetzt werden. Dies geschieht unter Verwendung einer Identity & Access Management (IAM) Lösung. Eine IAM-Lösung verwaltet zentral die Stammdaten der User als deren Identität und teilt den verschiedenen Applikationen mit, ob der angemeldete User zur Nutzung von Ressourcen berechtigt ist. Oder auf andere Weise ausgedrückt: “Identity and access management (IAM) is the discipline that enables the right individuals to access the right resources at the right times for the right reasons.”[3]

 

Die digitale Infrastruktur in Unternehmen entwickelt sich zusehends zu einer komplexeren, mehr heterogenen Landschaft. Eine Landschaft, bestehend aus verschiedener Software unterschiedlicher Anbieter, welche den Usern einen schnellen und einfachen Zugriff auf die zahlreichen eingesetzten Applikationen bietet. Gleichzeitig erfordern neue datenschutzrechtliche Vorgaben und Wirtschaftsprüfungen ein umfangreiches Audit-Logging, das im Angesicht der Informationsverteilung immer komplexer wird. 

 

Um diesen Anforderungen gerecht zu werden, entstand aus dem Vorgängerprodukt der zentralen Benutzerverwaltung (ZBV) das SAP Identity Management, welches neben der nativen Anbindung an die verschiedenen SAP Produkte auch weitere nicht-SAP Systeme implementierte. 

 

 

Figure 1 - Connectivity for SAP and non-SAP systems

Abbildung 1 – Konnektivität zu SAP- und nicht-SAP-Systemen[4]

 

Das SAP IDM verwaltet also die Identitäten sowie Zugriffsberechtigungen seiner Benutzer:innen und provisioniert diese an angebundene Systeme weiter. Es steuert den gesamten Lebenszyklus einer digitalen Identität/Repräsentation und sorgt dafür, dass neue Daten oder Änderungen synchron auf alle angeschlossenen Systeme verteilt werden. 

 

Mittels der SAP IDM Benutzeroberfläche können die Stammdaten und Genehmigungsworkflows aller User zentral eingesehen und verwaltet werden. Da die Benutzeroberfläche zudem auf der SAP NetWeaver Java Technologie basiert, lässt sie sich perfekt an die eigenen Bedürfnisse anpassen ;). 

 

Figure 2 - SAP IDM User Interface

Abbildung 2 – SAP IDM Benutzeroberfläche[5]

 

Technisch besteht das SAP Identity Management System aus zwei Hauptkomponenten: Dem Identity Center und dem Virtual Directory Server, welche die folgenden Funktionen bereitstellen: 

 

  • Passwortmanagement 
  • Rollen- und Entitätensteuerung 
  • Reports und Auditinformationen 
  • Automatisierte Genehmigungsworkflows 
  • Datensynchronisation über multiple Systeme 

 

Lasst mich das durch ein Nutzungsszenario verdeutlichen:

Hans Müller hatte ein Vorstellungsgespräch bei der Global Distribution AG, wo er sich als Sales-Mitarbeiter bewarb. Eine Woche vor seinem Arbeitsbeginn werden seine persönlichen Daten (Vorname, Nachname, Adresse und Telefonnummer) an die HR-Abteilung weitergeleitet und manuell von einem der HR-Mitarbeitenden in das SAP Human Capital Management (HCM) System eingetragen. 

 

Nach Eingabe beginnt automatisch die Provisionierung der Daten in das On-Premises SAP Identity Management System, welches erkennt, dass es sich um einen neuen Mitarbeiter der Global Distribution AG handelt. Der Prozess der Mitarbeiterprofil-Erstellung wird initiiert: 

 

  1. Ein neuer User mit dem Namen Hans Müller wird im Active Directory angelegt. 
  2. Ihm wird eine eindeutige Benutzeridentifikation zugewiesen (z.B. GD_067456). 
  3. Es wird eine E-Mail-Adresse [email protected] und eine Office365-Identität erstellt. 
  4. Die Telefonnummer wird in das firmeneigene Telefonbuch eingetragen. 
  5. Dem Benutzer wird die Rolle “Sales-Mitarbeiter” zugeteilt, was Zugriffsberechtigungen für den Ordner “Sales-Dokumente” verleiht und ihm einen Account innerhalb einer Sales-Applikation anlegt. 

 

An seinem ersten Arbeitstag kann Hans sofort mit der Arbeit beginnen und auf sämtliche Ressourcen und Applikationen zugreifen, die für ein produktives Arbeiten nötig sind. 

 

Spinnen wir unser Nutzungsszenario weiter: 

Die Dinge laufen gut und ein Jahr nach seinem Arbeitsbeginn wird Hans befördert und ist nun Manager des gesamten Teams. Durch die Änderung seiner Rolle, erteilt ihm das SAP IDM alle Zugriffe, die in der neuen Rolle enthalten sind und reicht die Änderungen an der Benutzeridentität an alle angeschlossenen Systeme weiter. Hans besitzt nun Zugriff auf Mitarbeiter-Ordner in Sharepoint, kann selbst Prozesse genehmigen und erhält in SAP ERP das Superuser-Privileg. 

 

Da Hans weiß, wie wichtig IT-Sicherheit ist, will er nun sein Passwort ändern. Dank des SAP IDM eigenen Selfservice benötigt er dazu nicht die Hilfe der IT-Abteilung. Er ändert sein Passwort auf der Selfservice-Seite des SAP IDM, was anschließend sein Passwort in allen angeschlossenen Applikationen aktualisiert. Ein kleiner Schritt für ihn, aber ein großer Schritt für seine IT-Sicherheit 😉 

 

Aber alles Gute muss irgendwann enden:

Nach langer Zeit im Unternehmen verlässt Hans die Global Distribution AG schließlich. Die HR-Abteilung stellt das Austrittsdatum ein und das SAP IDM führt die Löschung der Identität in den verschiedenen Systemen durch, entzieht die Berechtigungen und deaktiviert die E-Mail-Adresse. 

 

Sollte ein:e Wirtschaftsprüfer:in später ein Auditing durchführen, kann die HR-Abteilung auf ein detailliert geführtes Log verweisen und einen Report generieren, ohne an verschiedenen Stellen manuell Informationen sammeln zu müssen. 

 

Jetzt solltest du einen Überblick über die Möglichkeiten und Szenarien mit SAP IDM haben. 

 

Warum oder wann sollte man SAP IDM als IAM-Lösung wählen? – Vorteile und Merkmale 

Jetzt, da du weißt, was SAP IDM ist und wie es arbeitet, wollen wir uns der Frage widmen, warum du es nutzen solltest. Welche Vorteile bietet das Produkt SAP Identity Management? Unter welchen Voraussetzungen solltest du als IT-Entscheidende:r einen Wechsel zu oder den Einsatz von SAP IDM in Erwägung ziehen? 

 

Zunächst einmal sei erwähnt, dass jede Situation ihre ganz individuellen Erfordernisse hat, die du bei deiner Entscheidung berücksichtigen musst:

 

  • Handelt es sich um einen Green Field Approach, also den Einsatz eines IAM-Produktes in einer Umgebung, in der zuvor noch kein IAM zum Einsatz kam? 
  • Oder wird derzeit bereits ein IAM eingesetzt?
  • Werden andere SAP-Produkte in der IT-Umgebung genutzt? 
  • Wie stellt sich das Nutzungsszenario da? 
  • Werden Applikationen On-Premise oder cloudbasiert verwendet?
  • Wie viele User (Mitarbeiter:innen, Partner:innen, Kund:innen) sollen vom IAM verwaltet werden? 

 

Ein häufiges Setup, bei dem SAP IDM seine Stärken ausspielen kann und eine Implementierung Sinn ergibt, sieht beispielsweise so aus: 

  • Du arbeitest mit vielen unterschiedlichen Applikationen in einer heterogenen IT-Landschaft. 
  • Viele der Applikationen sind On-Premise-, andere cloudbasiert. 
  • Es werden bereits SAP Produkte genutzt und deine Mitarbeitenden müssen regelmäßig zwischen SAP- und Nicht-SAP-Produkten wechseln. 
  • Dein Unternehmen überschreitet eine Größe von mehr als 1.000 Mitarbeitenden und/oder Kund:innen, die authentifiziert und verwaltet werden müssen. 

 

Wenn das auf dich zutrifft, bietet sich der Einsatz von SAP Identity Management als präferierte IAM Lösung für dein Unternehmen an. Sowohl aus wirtschaftlicher wie auch IT-technischer Sicht. Rein kostentechnisch ist SAP Identity Management bereits als Teil der SAP Lizenz enthalten und für das Management von SAP Produkten ohne weitere Kosten out-of-the-box nutzbar. Aus IT-technischer Sicht bringt das SAP IDM bereits viele Konnektoren (zu SAP wie auch Nicht-SAP-Systemen) mit, um in deine existierende Landschaft integriert werden zu können.

 

Im Folgenden wollen wir uns ansehen, von welchen weiteren Vorteilen du durch die Implementierung von SAP IDM profitierst: 

Sicherheit

Als erster Aspekt ist natürlich die stark erhöhte Sicherheit zu erwähnen. Der Einsatz einer zentralen Benutzerverwaltung schafft generell den Umstand, dass es nur noch einen Angriffspunkt statt vieler verschiedener gibt. Stell dir vor, du würdest ein Haus mit vielen verschiedenen Fenstern und mehreren Haustüren bauen. Jede dieser Türen sowie Fenster bieten kriminellen Elementen Gelegenheit sich Zugang zum Haus zu verschaffen. Als Hauseigentümer:in musst du jedes Fenster und jede Haustür umfangreich absichern und kontrollieren.

 

Je weniger Fenster und Türen, desto geringer ist der Aufwand und desto mehr kannst du dich auf die Absicherung der verbleibenden Zugangsmöglichkeiten konzentrieren. Bei einem echten Haus würdest du mit wenig Fenstern zwar im Dunkeln tappen, aber das haben wir ja nur als Beispiel genannt. 😊  Mit SAP IDM bringst du eher Licht in die Daten-Dunkelheit. 

 

Mit seinen umfangreichen Protokollaktionen und einer automatisierten Deaktivierung von Rechten/Usern an Tag X und der Provisionierung dieser Löschanträge zu allen angeschlossenen Systemen trägt das SAP Identity Management wesentlich zu einer Überwachung des Systems und der Vermeidung von „Accountleichen“ bei. Gerade diese „Accountleichen“ – also Nutzeraccounts mit Zugriffsrechten, welche nach Austritt von Mitarbeitenden nicht oder nur teilweise deaktiviert/entzogen wurden – stellen ein großes Sicherheitsrisiko in jedem modernen IT-System dar. Leider dienen sie Hacker:innen sehr häufig als erster Hebelpunkt, um sich unberechtigten Zugang zu verschaffen. Eine Zentralisierung der Benutzerverwaltung und die Synchronisierung von Identitäten und Rechte über die verschiedenen angeschlossenen Applikationen und Systeme hinweg, stellt also einen integralen Bestandteil der Gesamtsicherheit da. 

 

Figure 3 - SAP IDM in the Context of SAP's Produkt Portfolio

Abbildung 3 – SAP IDM im Context von SAPs Produkt-Portfolio[6]

 

Außerdem sind die sicherheitsrelevanten Daten, die in bereits existierenden SAP-Applikationen liegen, oftmals nicht einsehbar für Nicht-SAP-Systeme. Für ein IAM System kann eine SAP-Applikation daher wie eine Black Box sein und es ergeben sich Lücken. Das SAP Identity Management System hingegen besitzt bereits native Anbindungen zu SAP-Applikationen und darüber hinaus auch die Möglichkeit zu/mit den wichtigsten Third-Party- und Nicht-SAP-Produkten verbunden zu werden, ohne dass weitere Kosten entstehen. 

Entlastung der Benutzeradministration

Der Einsatz von SAP IDM wird deine Systemverantwortlichen/IT-Admins spürbar entlasten. Zum einen wird die Bedienung durch die Verwendung von browserbasierten UIs und einer eclipsebasierten Entwicklungsumgebung erleichtert, zum anderen müssen Admins weniger initiieren und entscheiden, da das SAP IDM durch automatisierte Workflows und gekoppelte Prozesse (z.B. bei rollenbasierter Rechtevergabe) bereits im Hintergrund entsprechende Aufgaben abnimmt. Dies wird zudem noch begünstigt durch die vollständige Ablösung von papierbasierten Berechtigungsanträgen, was sie leichter archivierbar und wesentlich einfacher durchsuchbar macht. 

 

Einige der Vorgänge, die zuvor manuell und zeitaufwendig durch IT-Admins durchgeführt werden mussten, sind nun gar ohne die Involvierung derselbigen möglich. So können Nutzer:innen durch die Nutzung eines SelfService-Portals systemübergreifende Passwort-Resets durchführen und damit die Reaktionszeit und den Supportaufwand für die IT-Kolleg:innen drastisch reduzieren. 

 

Figure 4 - Password reset in SAP IDM

Abbildung 4 – Password Reset in SAP IDM[7]

 

Auch, dass Prozessworkflows wie im Falle eines neuen Eintritts oder Rollenwechsels automatisiert sind, und beispielsweise direkt von der HR-Abteilung ausgelöst werden können, wird deine IT-Administratoren entlasten und frei machen für wichtigere Aufgaben. 

 

Die Möglichkeit von Massenanlagen und -änderungen von Nutzer:innen durch das simple Hochladen einer CSV-Datei, die einfache und individuelle Anpassung von Workflows, sowie die Abfrage und das Updaten von Nutzerdaten an einer zentralen Position, macht ein rasches und zentrales Eingreifen möglich, wann immer es gefordert ist. 

 

Auditing und Reports

Die revisionssichere Vergabe von Berechtigungen und die umfangreiche Audit-Funktionalität des SAP IDM erlauben die Erstellung von Reports aller aktuellen und vergangenen Zugriffsereignisse und durchgeführten Aktionen. 

 

Sollte es zu einem Sicherheitsverstoß kommen oder die Frage innerhalb einer Wirtschaftsprüfung von Relevanz sein, besteht jederzeit die Möglichkeit einen (individualisierbaren) Bericht über die Berechtigungen und Aktionen einzelner Nutzer:innen zu einem spezifischen Zeitpunkt zu erstellen. 

 

Wer hat eine Änderung veranlasst? Welche Art von Änderung wurde initiiert? Welche Daten waren vor ihrer Änderung gespeichert? Wann genau wurde die Änderung durchgeführt? Sämtliche Änderungen an Daten, Benutzerzugriffsrechten und administrativen Berechtigungen können auf diese Weise verwaltet und nachverfolgt werden ohne die Notwendigkeit, dass du Informationen manuell aus verschiedenen Quellen heraussuchen musst. 

 

Berichte können auf verschiedene Art und Weise erzeugt werden: 

  • Basis Reports basieren auf Informationen aus der SAP IDM Datenbank 
  • Erweitere Berichte können erzeugt werden, wenn zusätzlich SAP Business Warehouse (SAP BW) genutzt wird. Das erlaubt mehr Details und Individualisierbarkeit der Reports. 
  • Berichte mit einem Schwerpunkt auf visueller Darstellung können mittels SAP Lumira veranschaulicht werden 

 

Figure 5 - Basic report in SAP IDM

Abbildung 5 – Basic Report aus dem SAP IDM[8]

 

Zudem ermöglicht die enge Integration mit der SAP-Zugriffskontrolle (SAP Access Control) eine effektive Minderung von SoD-Risiken (Segregation-of-duties) und einen vollständig rechtlich konformen Nutzerbereitstellungsprozess. 

Vereinfachte Authentifizierung im Multi-System- und Hybrid-Szenario Setup

Da Unternehmen immer mehr Mitarbeitenden, Kund:innen und Geschäftspartner:innen den Zugriff auf Informationen und Prozesse in ihren Systemlandschaften ermöglichen, wird der Bedarf an fortschrittlichem und flexiblem Single Sign-On im gesamten Unternehmen immer wichtiger. 

 

Dank der Integration mit SAP Single Sign-On und SAP Cloud Platform Identity Authentication (SAP IDA) kommt SAP IDM diesem gestiegenen Bedarf nach und trägt daher sowohl zu einer reibungslosen Nutzererfahrung für User, als auch zu einer Verbesserung der Sicherheit beim Login in einer On-Premise und Cloud-Systemlandschaft bei. SAP Single Sign-On bietet Unterstützung für viele Authentifizierungssysteme, darunter Passwörter, Token, X.509-Zertifikate und Smartcards. SAP Cloud Platform Identity Authentication ermöglicht ein sicheres Single Sign-On in Cloud-Umgebungen. Es umfasst die Prozesse zur Verwaltung von Identitäten und deren Lebenszyklen innerhalb des SAP-Cloud-Portfolios. Ein zentrales Sicherheitsmanagement mit einem standardisierten Authentifizierungssystem vereinfacht die Authentifizierung für User, welche sich fortan nur noch mit einem Passwort anmelden müssen, um Zugriff auf die verschiedenen Systeme/Applikationen zu erhalten. Gleichzeitig reduziert es den Aufwand für die IT, welche Änderungen an User zentral verwaltet.  

 

Figure 6 - SAP Identity Management and Authentication

Abbildung 6 – SAP Identity Management und Authentifizierung[9]

 

Fazit 

In diesem Artikel haben wir einen Blick auf das SAP Identity Management geworfen. Was haben wir dabei über das SAP IDM gelernt? 

 

Als Nachfolgeprodukt der Zentralen Benutzerverwaltung (ZBV) unterstützt das SAP IDM nicht nur die native Anbindung der SAP eigenen Applikationen und Technologien sondern bringt zudem out-of-the-box Konnektoren zu gebräuchlichen Nicht-SAP-Systemen wie MS Azure und Active Directory mit, wodurch sein Einsatz in einer SAP-Applikationen dominierten IT-Landschaft wie auch bei der zusätzlichen Verwendung von Nicht-SAP-Applikationen sehr einfach fällt. 

 

Die native Kommunikation mit SAP-Systemen erlaubt zudem ein umfangreiches Auditing und die Erzeugung von Reports mit nur einem Klick. 

 

Da SAP IDM auf der SAP Netweaver Architektur aufbaut, welche Java-basiert ist, können neue Konnektoren auf einfache Weise an die Bedürfnisse der eigenen IT-Landschaft angepasst werden, so dass das SAP IDM mit nahezu jedem Identitätsverzeichnis (Repository) kommunizieren kann. 

 

Dank seiner rollenbasierten Zugriffskontrolle kann es letztendlich Änderungen an Berechtigungen und Zugriffen von einer zentralen Benutzeroberfläche aus an alle Applikationen weitergeben und trägt so zu höherer Sicherheit und der Entlastung von IT-Administratoren bei. 

 

Was bedeutet das alles für dich und einen potenziellen Einsatz als IAM-System in deinem Unternehmen?
Der Einsatz von SAP IDM hängt letztendlich von verschiedenen individuellen Faktoren ab. Als integraler und zentraler Bestandteil deiner IT-Infrastruktur sollte die Entscheidung für ein bestimmtes Identity-Management-System wohl überlegt sein, weswegen eine Beratung vor einem Wechsel oder in einer Planungsphase sehr empfohlen ist.

 

Setze von Anfang an auf das richtige Pferd und nutze unsere einzigartige Expertise im Identity & Access Management Bereich durch unseren IAM Healthcheck:
Wir führen eine Ist-Analyse deiner bestehenden Architektur, Prozesse und Cyber-Security durch, erstellen eine Dokumentation der Auswertung und bereiten die Ergebnisse in einer leicht verständlichen Präsentation auf. Alle Karten werden offen auf den Tisch gelegt: objektiv und informativ. Beratung aus der Hand eines Freundes mit dem Ziel, dir die Grundlagen für weitere fundierte Entscheidungen zu liefern. 

 

Steht SAP IDM schon jetzt an oberster Stelle auf deiner Liste möglicher Kandidaten für ein Identity-Management-System, weil …  

  • … du vielleicht mehr als 1000 Stammdaten von Kund:innen und oder Mitarbeitenden verwalten musst? 
  • … dein Identity-Management-System in einer heterogenen IT Landschaft bestehend aus verschiedenen bereits existierenden SAP und Nicht-SAP-Applikationen eingesetzt werden soll? 
  • … Applikationen sowohl On-Premise als auch und cloudbasiert genutzt werden? 

Dann vertraue auf einen verlässlichen Partner, der nun schon seit über zehn Jahren für die SAP SE im Identity & Access Bereich tätig ist und das SAP Identity Management Produkt in all seinen Facetten kennt. Geballtes Know-how auf Enterprise-Level ohne Scheuklappen zu tragen. Unsere Diversität und fachliche Tiefe bietet dir die Sicherheit einer individuellen Beratung, in der du und deine spezifischen Anforderungen im Mittelpunkt stehen. Und das immer mit unserer amiconsult-eigenen Offenheit und dem Anspruch, mehr als nur Berater zu sein. Stattdessen ein guter Freund und Ratgeber mit dem Ohr am Puls der Zeit. 

 

Lerne uns doch einfach mal kennen und erfahre aus erster Hand, weshalb bereits zahlreiche Kunden auf amiconsult als langjährigen Partner und Wegbegleiter vertrauen. Wir freuen uns auf dich!

 

 


[1] Für mehr Informationen zu und für einen Überblick über die verschiedenen IAM Lösungenlege ich dir wärmstens unseren Blogartikel The landscape of Identity & Access Management solutions ans Herz.

Author

Tobias-Marc

Related Articles

IAM Key-Features: Ein Überblick
OpenID Connect – eine Einführung in die Authentifizierung mit OIDC