Tobias Harmes
5. Januar 2023

SAP Identity Authentication Service (IAS)

24
SAP Identity Authentication Service

Die SAP Identity Authentication (SAP IAS) (früher: SAP Cloud Platform Identity Authentication) ist ein Cloud-Dienst, der die einmalige Anmeldung für SAP-Cloud-Anwendungen ermöglicht. Es bietet Dienste für Authentifizierung, Single Sign-On, Identitätsverbund und Benutzerverwaltung.

Definition

SAP Identity Authentication Service (IAS) ist ein Dienst, der eine sichere, zentralisierte Authentifizierung und Autorisierung von Benutzern ermöglicht, die auf SAP-Systeme und -Anwendungen zugreifen. Es integriert sich in andere SAP-Sicherheits- und Identitätsverwaltungslösungen, wie SAP Single Sign-On, und bietet ein umfassendes Sicherheitsframework für SAP-Umgebungen. IAS unterstützt eine Vielzahl von Authentifizierungsmethoden, einschließlich Benutzername und Passwort, Smartcards und Biometrie und kann auch mit externen Identitätsanbietern, wie Active Directory oder LDAP, integriert werden.

Der Service bietet zusammen mit dem SAP Identity Provisioning Service (IPS) eine End-to-End-Lösung für das Identity- und Access-Management. Die End-to-End-Sicherheit wird durch das Authentifizieren der Benutzeranmeldeinformationen erhöht. Bei den Methoden können Unternehmen zwischen formularbasierten/SAML, dem Client-Zertifikat, Benutzername und Kennwort sowie OAuth wählen. Ausgeführt wird der Dienst in der Neo- und Cloud Foundry-Umgebung.

SAP Security& Berechtigungen

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Ersteinrichtung

Der IAS wird als Teil einiger SAP-Cloud-Platform-Pakete oder als eigenständiges Produkt angeboten. Um die Identitätsauthentifizierung verwenden zu können, ist der Erhalt eines Mandanten notwendig. Der Mandant repräsentiert eine einzelne Instanz der Identitätsauthentifizierung mit einer bestimmten Konfiguration und Datentrennung.

Nach dem Kauf des Abonnements eines Mandanten für die Identitätsauthentifizierung folgt eine E-Mail. Die E-Mail enthält einen Link zur Zielseite der Administrationskonsole für die Identitätsauthentifizierung. Dann kann die Registrierung des ersten Administratorbenutzers bestätigt werden.

IAS bietet einen Mandanten pro Kunde – unabhängig von der Anzahl der unterzeichneten Verträge. In diesen ist die Identity Authentication enthalten oder gebündelt. Ein als Teil eines Bundles gewährter Mandant ist nicht auf den Umfang beschränkt, sondern ermöglicht die Nutzung der gesamten Funktionalität, die von der Identitätsauthentifizierung geboten wird.

Integration

Es ist möglich, SAP IAS mit SAP- aber auch mit Non-SAP-Systemen als Service Provider zu integrieren. Bei der Integration des Service in die SAP Cloud Platform agiert die SAP Cloud als Service Provider und SAP IAS ist in diesem Setup der Identity Provider.

Eine weitere Möglichkeit ist die Integration des SAP IAS in den SAP Web IDE Full-Stack. Unternehmen können SAP IAS als Identity Provider für den SAP Web IDE Full-Stack benutzen.

Andere Optionen sind die Integration des Services in das SAP Document Center, in das SAP Identity Management 8.0 und in Microsoft Azure AD.

SAP Identity Authentication

Integrationsmöglichkeiten des SAP IAS / Quelle: SAP SE

Eigenschaften

Authentifizierung und SSO

Um die Anwendung zu schützen, können Unternehmen eine der unterstützten Authentifizierungsmethoden auswählen. Dazu gehören u.a. Form, SPNEGO, Social oder TFA. Durch die Verwendung des SAML 2.0-Protokoll kann SSO (Single Sign-On) für eine Anmeldung von einem beliebigen Gerät bereitgestellt werden. Mithilfe der Authentifizierung über die API kann zudem die Anwendung programmgesteuert integriert werden.

Konfiguration risikobasierter Authentifizierung

Es wird Unternehmen durch SAP IAS ermöglicht, eine Zwei-Faktor-Authentifizierung zu erzwingen. Diese basiert auf IP-Bereichen, Benutzergruppen, Benutzertyp oder Authentifizierungsmethode. Dadurch kann der Zugriff auf eine Geschäftsanwendung geschützt werden.

Authentifizierung delegieren

Die Authentifizierung kann mithilfe von IAS standardmäßig oder basierend auf einer Bedingung wie IdP, E-Mail-Domäne, Benutzertyp oder Benutzergruppe an einen Drittanbieter oder einen lokalen IDP delegiert werden. Somit wird SSO On-Premise und in der Cloud aktiviert.

API verwenden

Verwenden sie die SCIM REST-API, Um Benutzer und Gruppen zu verwalten, können Unternehmen die SCIM REST-API verwenden. Ebenso ermöglicht dies, Benutzer einzuladen und Endbenutzer-UI-Texte in einer beliebigen Sprache anzupassen.

Szenarien

IAS unterstützt verschiedene Szenarien: Szenarien für Verbraucher (Business-to-Consumer-Szenarien), für Partner (Business-to-Business-Szenarien) und für Mitarbeiter (Business-to-Employee-Szenarien).

Business-to-Consumer-Szenarien

Das Business-to-Consumer-Szenario bezieht sich auf alle vom Verbraucher durchgeführten Aktionen – dazu gehört bspw. die Registrierung für Anwendungen durch den Verbraucher. In diesem Szenario erleichtern Administratoren die Verbraucherprozesse. Allerdings handeln sie nicht in deren Namen.

Zu den Funktionen gehört die Authentifizierung mit Benutzername und Passwort sowie eine sichere, einmalige Anmeldung bei Cloud-Anwendungen. Eine weitere Funktion ist das Social Sign-On für Cloud-Anwendungen. Beim Business-to-Consumer Szenario ist zudem eine Selbstregistrierung und eine Einladung von Benutzern möglich. Es enthält Branding-Elemente auf allen Formularen für Anmeldung, Registrierung, Kennwortaktualisierung und Kontoaktivierung. Zudem sind kundenspezifische Datenschutzrichtlinien und Nutzungsbedingungen enthalten. Des Weiteren ist es möglich Benutzer zu importieren und zu exportieren.

Business-to-Business-Szenarien

Business-to-Business-Szenarien beziehen sich auf Dienstleistungen für Geschäftspartner. Die meisten Funktionen der Business-to-Consumer-Szenarien sind auch bei Business-to-Business-Szenarien verfügbar. Allerdings ist im Gegensatz zum Business-to-Consumer-Szenario die Selbstregistrierung von Verbrauchern nicht zulässig. Zudem ist der Administrator des Unternehmens normalerweise derjenige, der den Benutzerregistrierungsprozess auslöst. Außerdem lädt der Administrator Partner ein oder registriert sie in ihrem Namen.

Business-to-Employee-Szenarien

Business-to-Employee-Szenarien beziehen sich auf Services für Mitarbeiter einer Organisation. Unternehmen können ebenso wie bei den anderen beiden Szenarien von verschiedenen Funktionen, wie u.a. der Authentifizierung mit Benutzername und Passwort, Gebrauch machen. Dazu können die Mitarbeiter mit nur einer Anmeldung auf verschiedene Anwendungen zugreifen. Darüber hinaus ist es möglich, dass Administratoren Mitarbeiterdaten mithilfe der Benutzerimportfunktion hochladen.

Alles zum Datenschutz (DSGVO)

Alles zur DSGVO: Auf der sicheren Seite in Sachen Datenschutz

Jeder Kunde möchte, dass seine personenbezogenen Daten geschützt werden, das schreibt nun auch die DSGVO vor. Entgehen sie den hohen Strafen!

Monitoring und Troubleshooting

Nutzungsstatistiken anzeigen

Statistische Informationen für einen Mandanten können in der Administrationskonsole für SAP IAS angezeigt werden. In der Berichtsansicht wird ein Diagramm mit statistischen Informationen mit der Anzahl der Benutzeranmeldeanforderungen pro Monat im Mandanten angezeigt. Die statistischen Informationen beginnen mit dem Monat, in dem die erste Anmeldeanforderung registriert wurde und werden bis zum aktuellen Monat fortgesetzt.

Eine Anmeldeanforderung ist eine einzelne Authentifizierungsanforderung. Diese wird über die Identitätsauthentifizierung verwaltet. Identity Authentication zählt nur eine Anmeldeanforderung pro Benutzer und Tag. Die Anmeldeanforderungen sind dabei unabhängig vom Authentifizierungsmechanismus und Benutzertyp.

Zugriff auf Audit Logs

Im SAP Identity Authentication Service kann zudem auf die Audit Logs zugriffen werden. Dadurch können Änderungen an den persönlichen Daten sowie erfolgreiche und fehlgeschlagene Authentifizierungen erhalten werden.

Damit die Audit Logs angezeigt werden, müssen zunächst die Client-ID und Client Secret für Audit Logs in der Administrationskonsole für die Identity Authentication generiert werden. Danach wird ein Zugriffstoken erstellt und im Anschluss muss die API zum Abrufen des Audit Logs aufgerufen werden, um auf die Daten zugreifen zu können. Weitere Informationen über den Zugriff auf Audit Logs stellt SAP unter Access Audit Logs zur Verfügung.

Export der Änderungsprotokolle

Unternehmen erhalten durch SAP IAS noch eine weitere Möglichkeit: Sie können eine CSV-Datei mit einem Verlauf, der von Administratoren ausgeführten Vorgänge in der Administrationskonsole, für SAP IAS herunterladen. Die exportierten Änderungsprotokolle werden in einer CSV-Datei gespeichert. Diese enthalten dabei Informationen zu CREATE-, UPDATE- oder DELETE- Vorgängen, die von Administratoren durchgeführt wurden.

Fazit

SAP IAS kann Unternehmen die Arbeit in Bezug auf den Zugriff ihrer Geschäftsprozesse, Anwendungen und Daten erheblich erleichtern. Durch die verschiedenen Eigenschaften und Funktionen wird nicht nur die Effizienz erhöht, sondern auch die Sicherheit verbessert. Ebenfalls kann es hilfreich sein, dass die Integration nicht nur bei SAP-Systemen, sondern auch bei Non-SAP Systemen möglich ist.

FAQ

Was ist SAP Identity Authentication?

Die SAP Identity Authentication – kurz IAS – ist ein Cloud-Dienst, der die einmalige Anmeldung für SAP-Cloud-Anwendungen ermöglicht. Es bietet Dienste für Authentifizierung, Single Sign-On, Identitätsverbund und Benutzerverwaltung.

Welche Funktionen bietet die SAP Identity Authentication?

Die SAP  Identity Authentication bietet unter anderem eine Authentifizierung, Single-Sign-On (SSO), eine Konfiguration risikobasierter Authentifizierung und die Verwendung eines API.

Weitere Informationen


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice