Der SAP Identity Provisioning Service (IPS) spielt für das User Access Management in der Cloud eine wichtige Rolle. Es handelt sich bei SAP IPS um einen Cloud-Service, den SAP auf der SAP Business Technology Platform bereitstellt. Seine Aufgabe ist die Provisionierung von Benutzern und Berechtigungen in Cloud- und On-Premise-Systemen. So bietet SAP IPS die Möglichkeit, Cloud-Systeme in die vorhandene Infrastruktur integrieren. Als Quellsysteme kommen dabei neben Cloud- und On-Premise-Anwendungen auch ein vorhandenes SAP Identity Management (IdM), SAP Identity Access Governance (IAG) oder das IdM-System eines Drittanbieters infrage.
Die IT-Welt bewegt sich immer deutlicher in Richtung Cloud. In der Regel haben Unternehmen hybride Landschaften im Einsatz, in denen sie sowohl On-Premise-Systeme als auch Cloud-Systeme nutzen. Aus technischer Sicht gehen mit hybriden Landschaften bestimmte Herausforderungen für die Provisionierung von Benutzern und Berechtigungen einher. Cloud-Systeme liegen außerhalb des Unternehmensnetzwerks, sodass die Firewall überwunden werden muss, um sie zu erreichen. Die Vielzahl an Schnittstellen macht es anspruchsvoll, die unterschiedlichen Systeme anzusprechen. Viele Cloud-Anwendungen haben keine Authentifizierungsmechanik, sodass die Authentifizierung gegenüber einem Identity Provider erfolgt. Folglich muss sichergestellt sein, dass die Benutzer nicht nur im Cloud-System, sondern auch im dahinterliegenden Identity Provider vorhanden sind.
Fachlich gesehen sollte es das Ziel sein, die verschiedenen Identity-Lifecycle-Prozesse mit einem möglichst hohen Automatisierungsgrad abzubilden. Ansonsten entsteht ein immer größerer manueller Aufwand, da mehr und mehr Anwender für die Nutzung der Cloud-Systeme berechtigt werden müssen. Insbesondere wenn neue Schnittstellen erforderlich sind und zusätzliche Konnektoren entwickelt werden müssen, steigt der Aufwand ohne Automatisierung schnell ins Unermessliche.
SAP Identity Provisioning Service ist in der Lage, die Identity-Lifecycle-Prozesse ohne IdM-System zu automatisieren. Auch Nicht-SAP-Systeme lassen sich anbinden. Für den Betrieb von SAP IPS stehen zwei unterschiedliche Modi zur Verfügung: der Stand-alone-Modus und der Proxy-Modus. Sie unterscheiden sich in ihrer Funktionsweise und ihren Anwendungsfällen.
Im Stand-alone-Modus fungiert SAP IPS als Brücke zwischen einem Quell- und einem Zielsystem. Typische Quellsysteme sind SAP Identity Access Governance (IAG), SAP SuccessFactors oder Microsoft Azure Active Directory. Die Zielsysteme sind meistens Cloud-Anwendungen. Grundsätzlich ist es aber auch möglich, On-Premise-Systeme anzubinden. Ein Quellsystem kann mit mehreren Zielsystemen oder ein Zielsystem mit mehreren Quellsystemen verbunden werden.
Benutzer und Gruppen lassen sich über SAP IPS in das Zielsystem oder die Zielsysteme schreiben. In SAP IPS gibt es einen Job zum Lesen der Daten, der manuell gestartet oder zyklisch eingeplant werden kann. Die Provisionierung erfolgt aus SAP IPS heraus. Weil Daten aus dem Quellsystem gezogen und in die definierten Zielsysteme geschrieben werden, heißt das Szenario auch Pull-Modus. Der Job lässt sich als Delta- oder als Full-Read-Modus definieren. Im Delta-Modus werden nur neue oder geänderte Datensätze aus dem Quell- und das Zielsystem übertragen, während der Full-Read-Modus auch nicht geänderte und gelöschte Daten überträgt.
Ein typisches Beispiel für den Stand-alone-Modus: Microsoft Azure Active Directory dient als Quellsystem und die SAP Analytics Cloud als Zielsystem. Der erste Schritt ist das Starten des Jobs „Read Data“ in SAP IPS. Daraufhin werden Benutzer und Zuweisungen aus dem Microsoft Azure Active Directory ausgelesen und es findet eine Daten-Transformation in SAP IPS statt. Anschließend werden die Benutzer und Zuweisungen in das Zielsystem geschrieben.
Bei diesem Beispiel handelt es sich um ein relativ simples Setup, mit dem sich aber bereits ein gewisses Maß an Automatisierung beim User-Management erreichen lässt. Über den SAP Cloud Connector kann zusätzlich noch die On-Premise-Welt integriert werden. Er fungiert als sicherer Tunnel in das Unternehmensnetzwerk.
Im Proxy-Modus dient SAP IPS als Middleware und ist über SCIM ansprechbar. Statt eines Quellsystems gibt es einen External Consumer, zum Beispiel SAP Identity Management, SAP Identity Access Governance oder ein Nicht-SAP-System. SAP IPS hat die entsprechenden Konnektoren an Bord, um die Zielsysteme anzusprechen. Bei diesen handelt es sich meistens um Cloud-Systeme. Theoretisch ist aber auch die Anbindung von On-Premise-Systemen möglich.
Im Unterscheid zum Stand-alone-Modus wird die Provisionierung beim Proxy-Modus nicht aus SAP IPS gestartet, sondern aus dem External-Consumer-System getriggert (Push-Modus). Der Datensatz wird über SAP IPS gezielt in das Zielsystem bzw. die Zielsysteme geschickt. Der Vorteil besteht darin, dass einzelne Datensätze provisioniert werden können.
Der Ablauf ist folgendermaßen: Aus dem IdM-System findet ein Push-Request statt: Einem Benutzer wird eine Berechtigung zugewiesen, daraufhin soll die Provisionierung stattfinden, die im IdM-System gestartet wird. Benutzer und Zuweisungen werden an SAP IPS geschickt, der sie in die SAP Analytics Cloud als Zielsystem schreibt. Die Integration der On-Premise-Welt erfordert – wie beim Stand-alone-Modus – den SAP Cloud Connector. Als Quellsystem für dieses Szenario kommen auch Cloud-Systeme infrage.
Sowohl der Stand-alone-Modus als auch der Proxy-Modus haben ihre Daseinsberechtigung. Der Stand-alone-Modus ermöglicht das zyklische oder manuelle Lesen von Daten per Pull-Methode. Er bietet ein einfaches Setup, das nur geringe Wartungsarbeiten erfordert. Allerdings lassen sich damit nicht alle User-Lifecycle-Prozesse optimal abbilden. Die Flexibilität ist relativ gering, komplizierte Use Cases können nicht realisiert werden.
Der Proxy-Modus erlaubt ein granulareres Handling von Benutzern und eine effiziente Verwaltung der Berechtigungen. Ein weiterer Vorteil ist die bessere Integration in die User-Lifecycle-Prozesse. Aufgrund der deutlich umfangreicheren Möglichkeiten bildet SAP IPS im Proxy-Modus auch komplexere Setups problemlos ab.
SAP IPS dient der Integration von Cloud-Systemen in die vorhandenen Prozesse des User-Managements. Insbesondere Cloud-Anwendungen lassen sich damit einfach und sicher managen. Die Vorteile von SAP IPS liegen in der Standardisierung und im Ansprechen einer einzelnen Schnittstelle in der Cloud. Nach einmaliger Etablierung der Verbindung können zahlreiche Zielsysteme relativ leicht angebunden werden.