Bereits für sich genommen sind SAP Identity Management (IdM) und SAP Access Control zwei mächtige Security-Lösungen. Ihre volle Leistungsfähigkeit erreichen sie jedoch erst gemeinsam. Mit der Frage, welche Vorteile die Integration beider Tools bietet, sollten sich Unternehmen beschäftigen, die SAP IdM oder SAP Access Control bereits implementiert haben und planen, auch die andere Lösung einzuführen. Oder die Unternehmen haben bereits beide Tools implementiert, aber noch nicht integriert. SAP IdM und SAP Access Control haben jeweils individuelle Stärken, entfalten aber gerade im Zusammenspiel eine besondere Schlagkraft, sodass die Kombination beider Lösungen eine Vielzahl an Herausforderungen löst.
Beim Vergleich ausgewählter Merkmale werden die Unterschiede zwischen beiden Tools deutlich. So bringt SAP Identity Management beispielsweise eine flexible Workflow-Engine mit. Obwohl die Lösung natürlich auch über Konnektoren für andere SAP-Produkte verfügt, zeichnet sie sich insbesondere durch ihre umfangreiche Bibliothek an Nicht-SAP-Konnektoren aus. Eine SoD-Prüfung ist in SAP IdM standardmäßig nicht enthalten, lässt sich allerdings mit zusätzlichem Aufwand kundenspezifisch implementieren. Sie basiert dann auf einer eigenen SoD-Matrix, die im Zusammenspiel mit dem Kunden aufwendig erstellt und gepflegt werden muss.
Video: Drittanwendungen an SAP Access Control anbinden
Demgegenüber enthält SAP Access Control eine Standard-Workflow-Engine, bei der individuelle Anpassungen durchaus aufwendig sind. Die Lösung verfügt über reine SAP-Provisionierungsfunktionen und bietet nur wenige Schnittstellen zu Nicht-SAP-Anwendungen. Anhand einer mitgelieferten Standard-SoD-Matrix lassen sich mit SAP Access Control ausgeprägte Prüfungsfunktionen für SAP-Berechtigungen nutzen. Die Matrix ist auf die Geschäftsprozesse und Bedürfnisse der Kunden anzupassen. Zudem gibt es diverse Lösungen auf dem Markt, die angepasste SoD-Matrixen anbieten und in SAP Access Control zum Einsatz kommen können. Ihre Updates berücksichtigen auch etwaige Änderungen bei den gesetzlichen Anforderungen, sodass sich Unternehmen nicht separat darum kümmern müssen.
Um das passende Tool wählen zu können, ist es empfehlenswert, verschiedene Szenarien hinsichtlich der Anforderungen durchzuspielen: Welches Tool wird für die Provisionierung präferiert? Wie soll das Antragsverfahren abgebildet werden? Wie sehr muss es an zukünftige Belange anpassbar sein? Wie gelingt die Integration in einem heterogenen IT-Umfeld? Wie sollen die Themen Automation, HR-Integration und Abbildung eines vollständigen Identity Lifecycle angegangen werden? Wie wird die SoD-Matrix erstellt und gepflegt? Wie werden Ad-hoc-Prüfungen und zyklische Prüfungen durchgeführt?
Das Zusammenspiel von SAP Identity Management und SAP Access Control bietet die Chance, die oben beschriebenen Herausforderungen bestmöglich abzudecken und mit der Integration beider Lösungen den optimalen Rahmen für die genannten Szenarien zu schaffen. Bei der Provisionierung bietet SAP Identity Management Vorteile, da es eine zentrale Provisionierung im heterogenen Unternehmensumfeld ermöglicht. Dank der vielen Nicht-SAP-Konnektoren ist eine beliebige Anbindung von Drittapplikationen möglich. Ebenso lässt sich die Steuerung von übergreifenden Abhängigkeiten implementieren. Zudem ist ein zentrales Logging vorhanden. HR sowie diverse andere Quellen können als Input dienen.
Ebenso ist SAP IdM dafür geeignet, das Antragsverfahren flexibel abzubilden. Das gilt sowohl für Berechtigungsänderungen als auch für Themen, die den kompletten Identity Lifecycle betreffen. Automatische Änderungen – nicht nur bezogen auf Stammdaten, sondern auch auf die Rechte für die Zielsysteme – zu prozessieren, ist auf der Basis von organisatorischen Merkmalen über HR-Integration oder andere Quellen, zum Beispiel das Active Directory, möglich.
Wenn also Provisionierung und Antragsverfahren wesentliche Argumente für SAP Identity Management sind, stellt sich die Frage, welche Funktionalitäten SAP Access Control in das harmonische Zusammenspiel beider Lösungen einbringt. Eine Stärke von SAP Access Control ist die Möglichkeit, die SoD-Prüfung, die im Rahmen einer Berechtigungsänderung benötigt wird, automatisiert anzustoßen. Das kann nicht nur auf Basis eines Antragsverfahrens, sondern auch auf Basis einer organisatorischen Änderung passieren. SAP Access Control beinhaltet die ideale SoD-Matrix, um die SoD-Prüfung für sämtliche SAP-Themen inklusive SAP S/4HANA durchzuführen. Die Matrix lässt sich an das jeweilige kundenspezifische Umfeld anpassen und ist durch Partnerlösungen beliebig erweiterbar.
Ebenso adressiert SAP Access Control bereits die Integration von Cloud-Szenarien, beispielsweise mit SAP Identity Access Governance. Diesen Bereich treibt SAP derzeit gezielt voran. Und SAP Access Control bietet Schnittstellen für diverse weitere Integrationen. In diesem Zusammenhang sind nicht nur die Konnektoren für andere Zielsysteme zu nennen, sondern auch Schnittstellen zu anderen SoD-Lösungen, um Nicht-SAP-Programme zu bedienen.
Exemplarisch lässt sich das Zusammenspiel von SAP Identity Management und SAP Access Control am Antragsverfahren darstellen. Benötigt ein Mitarbeiter eine Berechtigungsänderung – entweder für sich selbst oder für einen anderen Mitarbeiter –, stellt er den erforderlichen Antrag in SAP IdM. Ebenso ist es denkbar, dass eine organisatorische Änderung einen automatisierten Berechtigungsantrag generiert. Als Genehmigungsinstanz fungiert beispielsweise der Vorgesetzte oder ein Key User in einer Fachabteilung. In SAP IdM ist es möglich, mehrere Genehmigungsschritte flexibel einzurichten.
Im nächsten Schritt gilt es zu prüfen, ob mit dem Antrag eine kritische Rechtekombination einhergeht. Entweder wird die Prüfung auf alle SAP-Berechtigungsänderungen angewendet oder es werden mithilfe von Filtermechanismen nur kritische Kombinationen unter die Lupe genommen. Hier erfolgt der Absprung aus SAP IdM zu SAP Access Control, das aus dem Antrag automatisch eine Prüfung generiert. Im Falle eines Risikos muss ein Risk Manager/Verantwortlicher den Antrag bestätigen oder ablehnen. Alternativ kann er im Rahmen der Möglichkeiten von SAP Access Control eine Kompensation durchführen, um entsprechende Risiken zu minimieren.
Anschließend wird der Vorgang idealerweise wieder in SAP IdM zurückgespielt und über die Provisionierung zur Ausführung gebracht. In SAP-Systemen kann die Provisionierung auch direkt aus SAP Access Control erfolgen. Das ist allerdings nicht der empfohlene Weg, wenn mit SAP IdM eine zentrale Instanz existiert, die sämtliche Provisionierungen im Zielsystem überwacht, ausführt und protokolliert. Das Beispiel eines Antrags auf Berechtigungsänderung macht deutlich: SAP IdM und SAP Access Control entfalten ihre Stärken am besten im Zusammenspiel, wenn beide Lösungen ihre jeweiligen Vorteile optimal einbringen können.