Implementierung von SAP CIS mit non-SAP IAM und IdP für die SAP Cloud Landschaft
Schritt in die Cloud
In der heutigen Geschäftswelt sind die digitale Transformation und der Schritt in die Cloud für die meisten Unternehmen ein strategischer notwendiger Schritt und somit von entscheidender Bedeutung für die zukünftige IT-Landschaft. Lösungen wie die SAP Business Technology Platform (BTP) ermöglichen es im SAP-Kontext flexibel, skalierbar und wettbewerbsfähig zu bleiben und sich den stetig verändernden Anforderungen anzupassen.
Eine Schlüsselkomponente dieser Transformation ist die Integration von Identity and Access Management (IAM) und Identity Provider (IdP) Lösungen, die in den Unternehmen oft bereits im Einsatz sind, um die Sicherheit, Compliance und Benutzerfreundlichkeit zu verbessern.
In diesem Blogbeitrag wollen wir uns eine Implementierung von SAP Cloud Identity Services (CIS) in Verbindung mit Omada als IAM und EntraID als IdP für die SAP Cloud Landschaft BTP anschauen. Omada und Entra ID sind hierbei nur Beispiele und beliebig gegen andere Produkte austauschbar, da in der Architektur ausschließlich Standards wie SAML2, SCIM, etc. eingesetzt werden.
SAP Cloud Identity Services
SAP CIS bietet eine umfassende Lösung für das Identitätsmanagement in der Cloud die mit allen Cloudprodukten der SAP ausgeliefert wird. CIS besteht aus dem Identity Authentication Service (IAS) und dem Identity Provisioning Service (IPS). Mit CIS können Unternehmen Identitäten zentral verwalten, Zugriffsrichtlinien definieren und diese in ihrer Landschaft provisionieren und somit einheitliche Sicherheitsstandards auf allen Systemen gewährleisten.
Die Integration von SAP CIS ermöglicht eine nahtlose und sichere Verbindung mit allen BTP Services und den Cloud-Produkten der SAP, zudem gibt es mittlerweile Provisionierungsvorlagen für fast alle SAP Produkte, somit ist eine zentrale Suite vorhanden um sowohl Subaccounts auf der BTP, also auch on-premise Systeme mit Benutzer-/Rollendaten zu versorgen, Benutzer zu verwalten und zentrale Zugriffsmöglichkeiten auf alle cloudbasierten Services zu steuern.
Die Rolle des IAM und IdP
Tools wie Omada (IAM) und Microsoft Entra ID (IdP) ergänzen SAP CIS, indem sie zusätzliche Funktionen und Sicherheitsebenen bieten. IAM-Tools erweitern Funktionen für das Identitäts- und Zugriffsmanagement, einschließlich Rollenmodellierung, Zugriffszertifikate und Governance-Funktionen. Ein IdP bietet unternehmensweite, hochsichere Authentifizierungsmethoden wie Single Sign-on, Multi-Faktor-Authentifizierung und digitale Zertifikate, um die Sicherheit der Benutzeridentitäten zu stärken.
SAP CIS bietet mit dem IAS Teil zwar bereits einen IdP, in vielen Unternehmen ist aber bereits eine Lösung wie z.B. Active Directory oder ein EntraID für die Benutzerverwaltung im Einsatz, für solche Szenarien empfiehlt die SAP den Einsatz des IAS als Proxy (auch SAML2 Proxy Konfiguration genannt) um die Anfragen über den zentralen IdP (z.B. EntraID) an den Proxy (IAS) zu leiten und dort dezidiert Zugriffe auf alle SAP Cloud Services zu steuern und zu berechtigen.
Implementierungsstrategie
Die Implementierung von SAP CIS mit einem non-SAP IAM und IdP erfordert eine sorgfältige Planung und Durchführung. Hier sind einige Schritte, die Unternehmen bei der Implementierung berücksichtigen sollten:
- Bedarfsanalyse: Eine gründliche Analyse der Geschäftsanforderungen und der bestehenden IT-Infrastruktur ist erforderlich, um die geeigneten Konfigurationen und Integrationsszenarien zu identifizieren. Themen sind hier Zugriffsszenarien, Single Sign-on, Berechtigungsverteilung, on/off-boarding, Monitoring, etc.
- Design und Konfiguration: Basierend auf den Analyseergebnissen sollte ein detailliertes Design erstellt und die entsprechenden Konfigurationen vorgenommen werden, um SAP CIS mit IAM und IdP zu integrieren. Es sollten die gängigen Standards (SCIM, SAML2, etc.) verwendet werden. Der Einsatz des IAS in der Proxy Konfiguration bietet zusätzliche Flexibilität.
- Test und Validierung: Es ist wichtig, ausführliche Tests durchzuführen, um sicherzustellen, dass die Integration ordnungsgemäß funktioniert und die Sicherheits- und Benutzeranforderungen erfüllt. Eine 2-tier Landschaft für das SAP CIS System ist sinnvoll.
- Übergang und Überwachung: Der Übergang zur neuen Umgebung sollte sorgfältig geplant und überwacht werden, um einen reibungslosen Betrieb sicherzustellen und potenzielle Probleme frühzeitig zu erkennen und zu beheben. Eine Integration mit bestehenden Monitoring Lösungen oder dem Cloud ALM ist angeraten.
Implementierungsarchitektur
Das IAM-Tool Omada ist im Kundenszenario als führendes System für die Berechtigungsverwaltung zuständig und initiiert die Anlage der Benutzer im SAP, AD und EntraID. Die Zielarchitektur sollte diese führende Rolle beibehalten und zudem die SAP Cloud Systeme integrieren und ebenfalls mit Benutzern und Berechtigungen versorgen.
Folgende Architektur wurde für den Kunden implementiert.
Ergänzend zu den bereits bestehenden Prozessen der Benutzeranlage durch Omada, wurde per SCIM-Schnittstelle zum IAS ein weiterer Prozess zur Benutzeranlage und Berechtigungsvergabe implementiert. Die von Omada in den IAS replizierten Benutzer und Berechtigungen werden über Transformationen des IPS in die jeweiligen Cloud Systeme und Subaccounts provisioniert und stehen dort zur Verfügung.
Der IAS wurde als Proxy an das EntraID angeschlossen und ermöglicht eine unternehmensweites Single Sign-on auf alle SAP Cloud Applikationen wie z.B. SuccessFactors, Fiori Apps, etc., zudem erhöht es die Flexibilität der Gesamtarchitektur ungemein, es können beispielsweise regelbasierte Routings realisiert werden, mehrere Identity Stores integriert werden, etc.
In dieser Architektur ist es sowohl möglich Principals und Gruppen aus dem AD/EntraID, aus dem IAS, als auch Berechtigungen aus dem IAM-System für die Benutzerberechtigung zu verwenden und zu synchronisieren. Dank der Nutzung von Standards wie SCIM und SAML2 sind die eingesetzten Tools zudem flexibel austauschbar.
Fazit
Die Implementierung von SAP CIS bietet Unternehmen die Möglichkeit, ihre SAP Cloud Produkte mit bereits im Unternehmen eingesetzten IAM und IdP Lösungen flexibel zu integrieren, ihre Sicherheits- und Benutzererfahrung zu verbessern und die Vorteile der cloudbasierten IT-Infrastruktur voll auszuschöpfen.
Durch eine sorgfältige Planung und Durchführung können Unternehmen eine robuste und skalierbare Identitäts- und Zugriffsmanagementlösung implementieren, die ihre langfristigen geschäftlichen Ziele unterstützt.
Sind Sie interessiert und…
möchten gerne mehr erfahren? Sprechen Sie uns an, wir freuen uns auf Sie!
Jetzt registrieren und keine Veranstaltungen mehr verpassen.
