IBsolution Blog

Integrationsszenarien für SAP Identity Management

Geschrieben von Moritz Köppen | 8. Mai 2018

Zur nahtlosen Integration von SAP Identity Management in die Unternehmensprozesse müssen oftmals Schnittstellen zu Fremdsystemen bedient werden. SAP Identity Management bietet hierfür schon im Standard viele Möglichkeiten und bringt von Haus aus bereits einige Konnektoren mit. Dadurch können sowohl Quell- als auch Zielsysteme unterschiedlichster Art an SAP Identity Management (SAP IdM) angeschlossen werden. Sobald ein Zielsystem angeschlossen ist, können die dort relevanten Benutzerstammdaten über das SAP IdM administriert und modifiziert werden. Auch Berechtigungszuordnungen innerhalb des Systems können über die zentrale SAP-IdM-Plattform zugeordnet oder entzogen werden.

 

Technische Grundlagen

SAP Identity Management ist eine Java-Applikation, die es erlaubt, eigene Scripte zu nutzen und das Produkt an fast allen Stellen zu customizen. Dank der Java-Grundlagen können letztendlich alle verfügbaren Bibliotheken genutzt und angebunden werden.

 

Anbidung von Microsoft Active Directory (AD)

Im Standard enthält SAP IdM bereits eine LDAP-Schnittstelle (Lightweight Directory Access Protocol). Dadurch können jegliche LDAP-Dienste über SAP IdM verwaltet werden. Die am meisten verbreitete Lösung ist das Microsoft Active Directory (AD), das man relativ einfach an das SAP Idenitity Management anbinden kann.

Zunächst legt man im Microsoft Active Directory einen Kommunikationsuser an, den das SAP IdM wiederum nutzt, um das AD auszulesen oder im späteren Verlauf darin auch Modifikationen vorzunehmen. Im nächsten Schritt legt man im SAP IdM ein Repository an, das die allgemeinen Serverinformationen des AD und die Verbindungsparameter enthält. Bereits jetzt ist es möglich, einen initialen Ladevorgang durchzuführen. Dabei werden die Personenobjekte im SAP IdM um die Microsoft-AD-Attribute wie E-Mail-Adresse, Telefonnummer oder Distinguished Name angereichert.

 

Anschließend werden die im AD hinterlegten Gruppen im SAP Identity Management als Privilegien angelegt. Zu guter Letzt werden alle Verknüpfungen zwischen den Personen und den Gruppen aus dem AD ausgelesen und im SAP IdM nachgebildet. Nach der Durchführung des Initial Loads können mit dem Standard-AD-Konnector nun neue Gruppenzuordnungen über SAP IdM beantragt sowie Stammdatenänderungen wie eine neue Telefonnummer eingetragen werden.

 

Weitere Standard-Konnektoren

Die Anbindung eines Microsoft Active Directory ist nur eine von vielen Möglichkeiten, um die LDAP-Schnittstelle des SAP Identity Management zu nutzen. Es können auch andere LDAP-Dienste angebunden oder sogar die filebasierte LDIF-Schnittstelle (LDAP Data Interchange Format) genutzt werden.


Andere im Standard enthaltene Konnektoren bzw. Schnittstellen sind JDBC oder File. Dadurch können mit geringem Aufwand Fremddatenbanken über SAP IdM verwaltet oder im Fall der File-Anbindung sogar beispielsweise Mitarbeiterfotos administriert werden.

 

Unendliche Möglichkeiten

Webservices bieten oft eine REST- oder SOAP-Schnittstelle, um von außerhalb auf die Daten zugreifen zu können. Möchte man nun über das SAP IdM eine Webservice-Applikation betreiben, können mit geringem Aufwand scriptbasiert die Funktionalitäten der externen REST-Schnittstelle genutzt werden. Dadurch können jegliche Services, die REST oder SOAP basiert sind, über SAP Identity Management verwaltet werden.