SAP Cloud Identity Services  

Überblick über SAP Cloud Identity Services

Die SAP Cloud Identity Services bündeln mehrere Bausteine für das Identity & Access Management (IAM) auf der SAP Business Technology Platform. Die Suite umfasst vier Kern‑Services:

• Identity Authentication Service (IAS): IAS ist ein Cloud‑basierter Identity Provider für Single‑Sign‑On, föderiertes SAML 2.0 / OpenID Connect sowie die Risiko‑ und Multi‑Faktor‑Authentifizierung.
• Identity Provisioning Service (IPS): Hierbei handelt es sich um einen SCIM‑konformen Dienst, der Benutzer‑ und Gruppen­objekte regelbasiert zwischen Cloud‑ und On‑Prem‑Systemen synchronisiert.
• Identity Directory: Dieses zentrale und mandanten­fähige Verzeichnis speichert Identitäten und Gruppen persistent und dient als „Single Source of Truth“ für alle SCI‑Komponenten.
• Authorization Management Service (AMS): Hierbei handelt es sich um eine Richtlinien­engine für instanz‑ oder ressourcen­basierte Zugriffs­kontrolle in BTP‑Applikationen. Richtlinien werden zentral definiert und zur Laufzeit ausgewertet.

Diese Services lassen sich flexibel kombinieren. IAS und IPS werden standardmäßig gemeinsam ausgeliefert, Identity Directory und AMS ergänzen den Funktionsumfang bei Bedarf.

Komponenten und Architektur

Die SAP Cloud Identity Services (SCI) folgen einer mandanten­fähigen Microservice‑Architektur innerhalb der SAP Business Technology Platform. Jeder Tenant erhält eine gemeinsame Admin‑Konsole, während die einzelnen Dienste lose gekoppelt über REST‑/OAuth‑geschützte APIs kommunizieren.

Der Identity Authentication Service (IAS) bildet dabei das Herzstück der Laufzeit‑Schicht. Als Cloud‑IdP oder Proxy‑IdP terminiert er SAML 2.0‑ bzw. OpenID‑Connect‑Flows, reichert Token bei Bedarf mit Attributen an und kann Authentifizierungs­aufrufe risikobasiert oder per MFA absichern. Der Identity Provisioning Service (IPS) orchestriert den Benutzer‑ und Gruppen­lebenszyklus. Über SCIM‑konforme Connectoren liest IPS Identitäten aus Quell­systemen (z. B. Microsoft Entra ID) und schreibt sie zeitgesteuert in Ziel­systeme oder das Identity Directory.

Das Identity Directory fungiert wiederum als persistente „Single Source of Truth“. Das Identitätsverzeichnis ist die Persistenz‑ und Verzeichnis­schicht der SAP Cloud Identity Services. Sie dient als zentrales, mandanten­fähiges Benutzer‑ und Gruppen­register, auf das alle anderen SCI‑Komponenten (IAS, IPS, AMS) zugreifen. Der Authorization Management Service (AMS) schließlich wertet während der Laufzeit feingranulare Policies aus, die auf Ressourcen‑, Rollen‑ oder Attribut­ebene definiert sind, und stellt so ein zentralisiertes Zero‑Trust‑Berechtigungs­modell für BTP‑Applikationen bereit.

E-Book: Identity Management für SAP: Tools und Best Practices

In diesem E-Book erfahren Sie, was Identity & Access Management ist und für welche Unternehmen Identity Management Tools sinnvoll sind.

Jetzt anfordern

E-Book: Identity Management für SAP: Tools und Best Practices

×

Funktionsumfang

Der Funktionsumfang der Cloud Identity Services erstreckt sich über alle Phasen des IAM‑Lebenszyklus. Der Identity Authentication Service übernimmt die primäre wie auch föderierte Anmeldung via SAML 2.0 oder OpenID Connect, liefert Single Sign‑On, passwortlose Logins und risikobasierte Richtlinien (IP‑/Geo‑Checks, Anomalie‑Erkennung). Ergänzt wird dies durch ein breites Spektrum an Multi‑Faktor‑Verfahren, darunter TOTP‑Codes, FIDO2‑Security‑Keys, SMS‑ und biometrische Faktoren.

Der Identity Provisioning Service automatisiert die Bereitstellung und Entziehung von Benutzer‑ sowie Gruppenobjekten über SCIM‑konforme Connectoren. Mapping‑ und Transformationsregeln stellen konsistente Attribute zwischen Cloud‑ und On‑Prem‑Systemen sicher.

Die persistente Ablage findet im mandantenfähigen Identity Directory statt, dessen Attribute sich zur Laufzeit in Token einbetten lassen. Der Authorization Management Service ergänzt dies um eine richtlinienbasierte Zugriffskontrolle für BTP‑Applikationen, sodass Rollen, Berechtigungen und Bedingungen zentral definiert und zur Laufzeit ausgewertet werden.

Integration in die SAP-Landschaft

Innerhalb einer heterogenen SAP‑Landschaft lassen sich die Cloud Identity Services nahtlos mit Cloud‑ und On‑Prem‑Systemen verknüpfen. SAP‑Cloud‑Applikationen wie S/4HANA Cloud, SuccessFactors oder Analytics Cloud sind bereits per Trust‑Setup auf IAS vorbereitet. Nutzt IAS die Proxy‑Funktion, leitet es den Anmeldevorgang bei Bedarf an ein vorhandenes Unternehmens‑IdP wie Microsoft Entra ID, AD FS oder einen anderen Identity‑Provider weiter.

Der Identity Provisioning Service stellt vordefinierte SCIM‑Connector‑Templates bereit und synchronisiert Benutzer, Gruppen und Rollen bidirektional – wahlweise auch als Erweiterung eines bestehenden SAP Identity Management‑Systems oder in Proxy‑Konfiguration.

Für hybride Szenarien koppelt der SAP Cloud Connector den BTP‑Subaccount über einen verschlüsselten Tunnel mit internen Netzwerken. Provisioning‑Jobs oder Token‑Aufrufe gelangen sicher zu ABAP‑Backends, ohne die gesamte Landschaft zu exponieren.

Webinar: SAP Cloud Security und Identity Management

Den Weg in die Cloud sind viele Unternehmen schon gegangen oder stehen kurz davor. Die richtige Sicherheitskonfiguration und die Verwaltung und Authentifizierung der Anwender ist dabei nicht unkompliziert. In diesem Webinar zeigen wir Ihnen, wie Sie den Weg in die Cloud nachhaltig und sicher umsetzen können.

Jetzt anmelden

Alle Integrationen basieren auf offenen Standards wie SAML 2.0, OpenID Connect und SCIM 2.0 und gewährleisten damit einen konsistenten Identitäts‑ und Berechtigungsfluss. Monitoringfunktionen innerhalb IAS und IPS liefern darüber hinaus detaillierte Logs für Audits und Fehleranalysen.

Sicherheitsmerkmale

Die Sicherheitsarchitektur der SAP Cloud Identity Services kombiniert mehrere Schutzschichten. Risiko‑basierte Regeln in IAS analysieren Kontextsignale wie IP‑Adresse, Gerät und Geo‑Position und erzwingen bei Auffälligkeiten automatisch die Multi‑Faktor‑Authentifizierung oder Login‑Sperren. MFA unterstützt FIDO2‑Security‑Keys, biometrische WebAuthn‑Verfahren, TOTP‑Apps sowie klassische Einmalcodes per SMS oder E‑Mail. Sämtliche Protokolle werden über TLS 1.2/1.3 transportverschlüsselt, während Audit‑ und Change‑Logs alle Konfigurations‑ und Anmeldeereignisse revisionssicher erfassen.

Abgelaufene SAML‑ oder SCIM‑Zertifikate erkennt der Dienst frühzeitig und erneuert sie automatisiert, wodurch Ausfallrisiken minimiert werden sollen. Granulare Zugriffsrichtlinien im Authorization Management Service gewährleisten das Least‑Privilege‑Prinzip und schaffen ein Zero‑Trust‑fähiges Fundament für Cloud‑ und Hybrid‑Szenarien, gleichermaßen für interne wie externe Ressourcen bereit.

Anwendungsbeispiele

Die folgenden drei Praxisszenarien illustrieren exemplarisch, wie unterschiedlich Unternehmen die Cloud Identity Services von SAP einsetzen können:

Globales SSO‑Portal:

Ein internationaler Konzern bündelt alle SAP‑Cloud‑Applikationen, eine Legacy‑Java‑Plattform und mehrere SaaS‑Dienste hinter IAS. Mitarbeiter melden sich einmalig mit ihren Unternehmens­daten an; IAS übernimmt Risiko­analyse, MFA und token­basierten Zugriff, wodurch Help‑Desk‑Aufwand für Passwort­resets und heterogene IdP‑Ketten entfällt. Gleichzeitig werden Login­zeiten und Fehlversuche zentral ausgewertet.

Hybrides Benutzer­lebenszyklus‑Management:

Ein Hersteller betreibt ein on‑premises SAP Identity Management‑System für ABAP‑Backends, möchte jedoch seine Cloud‑Lösungen automatisiert versorgen. IPS liest Nutzer‑ und Rollen­änderungen per SCIM aus IDM, transformiert Attribute und verteilt sie zeitgesteuert an SuccessFactors, Ariba und SAP Analytics Cloud. Compliancekritische Entziehungen passieren synchron, verhindern Zugriffe und halten das System auditsicher.

Feingranulare Policy‑Steuerung für BTP‑Apps:

Ein Start‑up entwickelt CAP‑basierte Services auf der BTP. AMS verwaltet Ressourcen‑Policies zentral; Entwickler deklarieren Rollen im Code, Administratoren kombinieren sie mit Kontext­bedingungen wie Mandant oder Gerätestatus. Berechtigungs­änderungen wirken ohne Neu­deployment und erfüllen moderne Zero‑Trust‑Anforderungen.

Fazit

Die SAP Cloud Identity Services schaffen eine einheitliche, zukunftsfähige IAM‑Schicht, verbinden Cloud und On‑Prem, automatisieren Lebenszyklen, stärken die Sicherheit, reduzieren Komplexität und bereiten Unternehmen effektiv auf nachhaltige Zero‑Trust‑Strategien der Zukunft vor.