IBsolution Blog

Wie sich Konflikte und Risiken in den Berechtigungen vermeiden lassen

Geschrieben von Marc Röder und Daniel Schenk | 30. August 2022

SAP Access Control und SAP Cloud Identity Access Governance (IAG) adressieren das regelkonforme und möglichst risikofreie Management von Benutzern und Berechtigungen. Während es sich bei SAP Access Control um eine On-Premise-Lösung handelt, ist SAP IAG als Cloud-Service auf der SAP Business Technology Platform verfügbar. Wo liegen mit Blick auf die Funktionalitäten die Gemeinsamkeiten und die Unterschiede zwischen beiden Lösungen?

 

 

Sie möchten Rollen und Benutzer in der Cloud verteilen, verwalten und prüfen?

 

 

Vier Module für die Risikoprävention

Sowohl SAP Access Control als auch SAP IAG bestehen aus vier Modulen:

  • Risikoanalyse und Bereinigung (schnelle und effiziente Identifizierung und Bereinigung von Funktionstrennungskonflikten)

  • Unternehmensweites Rollenmanagement (regelkonforme Rollendefinition, Dokumentation und automatische Rollenanlage in den Zielsystemen)

  • Regel- und gesetzeskonforme Vergabe von Berechtigungen (Beantragung von Berechtigungen, Genehmigung oder Ablehnung unter Berücksichtigung der SoD-Matrix)

  • Management von Superuser-Berechtigungen (kontrollierter Zugriff auf kritische Berechtigungen unter Vermeidung von SAP_ALL)

Mit diesen vier Modulen ermöglichen beide Lösungen eine kontinuierliche Risikoprävention durch Rollenmanagement. Während das Modul „Risikoanalyse und Bereinigung“ dazu dient, risikofrei zu werden, stellen Unternehmen mit den anderen drei Modulen sicher, dass sie risikofrei bleiben.

 

 

Risikoanalyse

Mit SAP Access Control lassen sich Risikoanalysen auf Rollen- und Userebene ad hoc oder als Bestandteil eines Antragsprozesses durchführen. Zusätzlich sind auch Funktionalitäten für Simulationen vorhanden. Im Rahmen von Mitigationen können – basierend auf Regeln – Risikominderungen durchgeführt werden. Die Analyse von Risiken ist bereits in der Rollenentwicklung (Business Role Management, BRM) möglich, sodass sich risikofreie Rollen erstellen lassen.

 

SAP IAG ermöglicht Risikoanalysen auf Rollen- und Benutzerebene – ebenfalls ad hoc oder als Bestandteil eines Antragsprozesses. Eine IAG-Funktionalität, die SAP Access Control nicht bietet, ist das Access Refinement. Damit lassen sich Zugriffe anhand von Vorschlägen des Systems verfeinern und es kann ein automatischer Rollenentzug auf Basis der Benutzung von Berechtigungen und Rollen vorgenommen werden.

 

Rollenmanagement

SAP Access Control ermöglicht ein zentrales Management von Rollen – von der Definition über die Erstellung und Änderung bis hin zur Verteilung in die angebundenen Zielsysteme. Das Rollenmanagement kann prozessbezogen durchgeführt werden. Die Erstellung und die Änderung von Rollen lassen sich direkt mit einer Prüfung auf Risiken verbinden. Das bringt die Gewissheit, dass die Rollen von Anfang an risikofrei oder zumindest risikoarm sind.

 

Was das Management von Business-Rollen angeht, gibt es keine wesentlichen Unterschiede zwischen SAP Access Control und SAP IAG. SAP Access Control bietet die Möglichkeit, SAP-Rollen zu entwickeln – zusätzlich zu den Business-Rollen. Zusätzliche Features bietet SAP IAG mit Blick auf Automation und Intelligenz. Dazu gehört beispielsweise eine Prüfung auf Überlappung mit anderen Rollen. Zudem bietet das System einen Überblick zur Abdeckung und Nutzung von Business-Rollen: Wie häufig nutzen welche Anwender welche Rollen?

 

Antrags- und Vergabeprozesse

Anwender können bei SAP Access Control Antragsverfahren für sich selbst (Self-Service), für andere User, für neue User und für Änderungen bei bestehenden Usern durchführen. Im Rahmen des Antragsverfahrens findet eine Prüfung statt, ob neue Risiken entstehen, wenn sich Berechtigungen verändern, und welche Auswirkungen das haben kann. Zudem lässt sich ein Antrag auf Zugriff eines Superusers aus dem Modul Emergency Access Management (EAM) stellen, um Notfallaktionen durchführen zu können. Die Workflow-Engine von SAP Access Control beinhaltet vorgefertigte Prozesse und Regeln auf der Basis von BRF+ und MSMP. Diese Prozesse und Regeln sind flexibel anpassbar, sodass auch komplexere Szenarien mit mehreren Freigabeinstanzen abgebildet werden können.

 

SAP IAG bietet hinsichtlich der Antrags- und Vergabeprozesse weniger Optionen als SAP Access Control. Zum Funktionsumfang gehört es, Antragsverfahren als Self-Service, für andere User und für die Durchführung von Änderungen bei bestehenden Usern zu initiieren. Ebenso ist auch ein Antrag auf Zugriff eines Superusers möglich. Es fehlt jedoch eine so mächtige Workflow-Engine, wie sie SAP Access Control bietet. Der entsprechende Workflow von SAP IAG ist eher überschaubar und weist weniger Möglichkeiten für die Konfiguration und eine geringere Flexibilität bei der Implementierung von Prozessen auf.

 

Emergency Access Management (EAM)

SAP Access Control stellt prozessorientierte Superuser ohne die Nutzung von SAP_ALL bereit. Eine entsprechende Protokollierung hilft dabei nachzuvollziehen, was passiert ist. Die Empfehlung lautet, Superuser für diverse Szenarien aus den Fachbereichen aufzubauen.

Das Emergency Access Management heißt bei SAP IAG Privileged Access Management (PAM). Außer dem Namen gibt es bei diesem Modul aber keine Unterschiede im Vergleich zu SAP Access Control. Es sind die identischen Funktionalitäten für Firefighter-Prozesse verfügbar.

 

Fazit: Beide Lösungen mit vergleichbaren Features

Ein wesentliches Unterscheidungsmerkmal zwischen SAP Access Control und SAP IAG besteht in der Architektur: SAP Access Control ist eine On-Premise-Lösung, SAP IAG wird aus der Cloud bezogen – mit den entsprechenden Konsequenzen in Sachen Verfügbarkeit, Wartung und Hardware. Im vierteljährlichen Rhythmus stellt SAP neue Releases für SAP IAG bereit.

 

Was die Funktionalitäten angeht, sind beide Lösungen in vielerlei Hinsicht deckungsgleich. Die Unterschiede liegen eher im Detail. Eine der Stärken von SAP Access Control ist die flexible Workflow-Gestaltung für Antragsverfahren. SAP IAG ermöglicht die direkte Prüfung von SAP Cloud-Anwendungen, kann aber mithilfe des SAP Cloud Connector auch für On-Premise-Systeme wie SAP ERP oder SAP S/4HANA verwendet werden. Nicht-SAP-Systeme lassen sich über eine SCIM-Schnittstelle anbinden. Die Access Certification Campaign von SAP IAG bietet die Möglichkeit, Kampagnen mit definiertem Ziel und Output durchzuführen. 

 

Gibt es die bessere Wahl?

Stehen Unternehmen vor der Entscheidung, eine der beiden Lösungen einzuführen, spielen verschiedene Faktoren eine Rolle, zum Beispiel die bestehende Systemlandschaft und die generelle IT-Strategie des Unternehmens. Sind neben On-Premise-Systemen bereits auch Cloud-Anwendungen vorhanden, geht die Empfehlung eher in Richtung SAP IAG. Damit lassen sich hybride Szenarien bestmöglich integrieren. Wer schon SAP Access Control im Einsatz hat, sollte über ein Bridge-Szenario nachdenken: SAP IAG wird zusätzlich in die Systemlandschaft eingebunden, sodass beide Lösungen das Berechtigungsmanagement im Zusammenspiel erledigen.