Unternehmen beziehen mehr und mehr Softwarelösungen aus der Cloud, anstatt sie on-premise auf eigenen Servern bereitzustellen. Das hat erhebliche Konsequenzen für die User- und Berechtigungsprozesse. Sie müssen auch für Cloud-Lösungen funktionieren und die zunehmend komplexeren IT-Landschaften zuverlässig abbilden.
Auch SAP stellt neue, innovative Funktionalitäten bevorzugt für ihre Cloud-Angebote bereit. Dabei fällt auf, dass die Strategie nicht darauf ausgerichtet ist, vorhandene On-Premise-Lösungen eins zu eins in der Cloud abzubilden. Vielmehr schafft SAP eine Art Baukasten an Services, aus denen Unternehmen dann die benötigten Elemente individuell in Anspruch nehmen können. Das trifft auch auf die Lösungen für Identity Management, Single Sign-On und Access Control zu, wie ein genauerer Blick auf das gegenwärtige Portfolio verdeutlicht.
Das Identity Management bewegt sich immer stärker in Richtung Cloud
Die Kombination macht‘s: IAS, IPS und IAG
In der Produktfamilie „Sichere Anmeldung“ (Secure Access) ist der SAP Cloud Platform Identity Authentication Service (IAS) das nahezu deckungsgleiche Pendant zur On-Premise-Variante SAP Single Sign-On. Er ermöglicht eine einfache SAML-2.0-gestützte Authentifizierung gegen Cloud-Systeme. In der Produktfamilie „User- und Berechtigungsverwaltung“ (Manage users and permissions) gestaltet sich das Szenario hingegen differenzierter. Hier gibt es kein wirklich passgenaues Pendant zu den On-Premise-Lösungen SAP Identity Management (SAP IdM) und SAP Access Control. Die Services SAP Cloud Platform Identity Provisioning (IPS) und SAP Cloud Identity Access Governance (IAG) decken aber zumindest einen Teil der Funktionalitäten ab.
SAP IPS wird verwendet, um Benutzer aus einer Quelle in ein Ziel zu schieben, wobei Attribute transformiert werden. Es geht darum, die richtigen Aktionen auszuführen, um Benutzer anzulegen, zu ändern und zu löschen. SAP IAS läuft im Hintergrund und wird bei Login-Aktionen ausgeführt. Der Service stellt die zentrale Stelle für Logins und Vertrauensstellungen zwischen den Systemen dar. SAP IAG deckt Funktionalitäten ab, die SAP Access Control im Bereich der Risikoprüfung auf On-Premise-Seite innehat. Zusätzlich wird dieser Service in Zukunft vermutlich die Funktionalitäten des Identity-Management-Workflows übernehmen.
IdM-Funktionalitäten mit hybriden Szenarien abdecken
Zum jetzigen Zeitpunkt bietet SAP keine reine IdM-Lösung in der Cloud, sondern verfolgt eine hybride Strategie – und das ist auch gut so. SAP Identity Management wickelt komplexe Workflows on-premise ab und transferiert sie anschließend über verschiedene Schnittstellen in die Cloud. Da sowohl On-Premise als auch die Cloud momentan zentrale Welten sind und ihre jeweilige Berechtigung haben, ist es nur konsequent, beide Welten mit hybriden Szenarien bestens zu versorgen. Bereits heute gibt es viele Integrationsmöglichkeiten zwischen verschiedenen Cloud-Services und On-Premise-Produkten. Da SAP in diesem Bereich stark investiert, sind weitere Funktionalitäten wohl nur eine Frage der Zeit.
Systeme auf der Cloud-Plattform können als Proxy-System aktiviert und direkt im Identity Management genutzt werden, um Benutzer transparent zu provisionieren oder zu entfernen. SAP IAG nutzt den Provisioning-Service, um die Risikoprüfung durchzuführen. Hier wird erneut deutlich, dass es in der Cloud weniger feste Produkte, sondern eher eine Reihe von Services geben wird, die bestimmte Aufgaben erfüllen und sich leicht miteinander verbinden lassen. Die Kombination solcher Services führt schließlich zu einer Lösung, welche die Funktionalitäten einer bisherigen On-Premise-Variante abdeckt.
Use Case mit Microsoft Azure
SAP IPS versorgt auch Nicht-SAP-Systeme. Der Service bietet verschiedene Use Cases, also Szenarien, die sich mit ihm abdecken lassen. Ein solcher beispielhafter Use Case ist das Synchronisieren von Daten aus Microsoft Azure und das anschließende Verteilen in verschiedene Zielsysteme durch SAP IPS. Die On-Premise-Lösung SAP Identity Management lässt sich mit SAP IPS verbinden, der in diesem Fall als Proxy fungiert.
In SAP IPS werden Quellsysteme, Zielsysteme und Proxy-Systeme abgebildet. Da es sich um ein technisches Tool handelt, sind die User Interfaces funktional gehalten. Im Microsoft Azure Active Directory können neue User angelegt werden. Der Provisioning-Service hat verschiedene Unterbereiche, die das Quellsystem abbilden.
-
Transformations
Attribute werden aus dem Quellsystem auf die Attributnamen der Zielsysteme umgeschrieben. -
Properties
Hier werden die Einstellungen für das Quellsystem vorgenommen. Es ist wichtig, die richtigen Attribute einzustellen. -
Jobs
Ein Job muss gestartet werden, um das System schließlich einzulesen.
Im Zielsystem finden sich die gleichen Unterbereiche:
-
Transformations
Die Quellattribute werden gelesen, in einem Zwischenattribut gepuffert und in das richtige Zielattribut geschrieben. -
Properties
Um in das Zielsystem schreiben zu können, muss der Anwender auch dort die richtigen Einstellungen vornehmen.
Nach dem Start des Jobs im Quellsystem werden die Daten gelesen. In unserem Fallbeispiel liest SAP IPS Daten aus dem Azure Active Directory. Beim Schreiben in das Zielsystem kalkuliert der Provisioning-Service über Delta-Mechanismen, ob sich Benutzer geändert haben, neue Benutzer hinzugekommen sind oder User gelöscht werden sollen. In den Zielsystemen lässt sich bestimmen, in welchen Quellsystemen auf Änderungen reagiert werden soll. Der Job Log in SAP IPS bietet eine Übersicht der Aktivitäten.
Gerade die Transformationen sind ein machtvoller Teil des Provisioning-Service, da sie theoretisch für Manipulationen in den Attributen missbraucht werden können. Es lassen sich regelbasierte Rollen- oder Gruppenordnungen schreiben. Beispielsweise kann einer Gruppe aus dem Quellsystem eine bestimmte Rolle im Zielsystem zugeordnet werden.
Fazit: Die passenden Services wählen
SAP IPS ist ein umfangreiches Tool. Jeden Monat kommen weitere Funktionalitäten hinzu. Die tatsächliche Komplexität des Provisioning-Service zeigt sich erst im Detail: Beim Anschließen eines neuen Systems müssen die Einstellungen stimmen. Die Transformationen bilden eine Logik ab, die im On-Premise-IdM für das Hin- und Herschieben von Attributen vorhanden ist. Um sich bei diesen Aspekten zurechtzufinden, braucht es IT-Profis. Diese beschäftigen sich mit der Frage, wie die Daten aussehen und wie sie transformiert werden müssen, damit die Systeme in der Lage sind, sie automatisiert zu verarbeiten.
Voraussichtlich wird SAP IPS ein Cloud-Service im Kontext eines Konnektors bleiben und nicht zu einer vollumfänglichen IdM-Lösung werden, wie man sie aus der On-Premise-Welt kennt. Der Provisioning-Service empfängt Daten, ändert sie so ab, dass andere Systeme etwas damit anfangen können, und gibt sie an das Zielsystem weiter. Es handelt sich also um eine reine Datentransformation.
SAP IAG soll laut SAP kein reines Tool für die Risikoprüfung bleiben, sondern auch mit bestimmten IdM-Funktionalitäten ausgestattet werden. Und SAP IAS wird künftig weiterhin das tun, was der Service heute schon macht: sich um die Authentifizierung kümmern. Er kommt zum Einsatz, wenn es darum geht, Workflows und Access Requests zu starten, die anschließend über SAP IPS verteilt werden.
Aktuell noch nicht in die drei Produkte IAS, IPS und IAG integriert ist die Customer Data Cloud. Es ist aber davon auszugehen, dass diese Integration in Zukunft erfolgen wird. Damit würde SAP die Möglichkeit bieten, Kundendaten im Sinne eines Customer Identity Management zentral zu verwalten. Mit der Customer Data Cloud lassen sich B2C- und zum Teil auch B2B-Szenarien abbilden, also zum Beispiel zentrale Login-Prozesse oder Attribut-Mappings durchführen.
Ausblick: Wie geht es nach 2024 weiter?
Im Jahr 2024 läuft die aktuelle IdM-Version aus der Wartung. Bisher zeichnet sich jedoch ab, dass der Support verlängert wird. Parallel treibt SAP die Planungen voran, wie es danach mit der IdM-Landschaft weitergehen wird. Dass sich das Identity Management noch stärker in die Cloud verlagern wird und hybride Szenarien eine wichtige Rolle spielen, ist Fakt. Insgesamt genießen die Themen Userverwaltung, Berechtigungen und Security bei SAP einen hohen Stellenwert. Dabei geht es weniger um das Schicksal einzelner Lösungen als vielmehr darum, die generelle Strategie darauf auszurichten, verschiedene Services und Lösungen im Sinne eines großen Ganzen stimmig zu kombinieren.