SAP Cloud Platform Identity Authentication (IAS)

2

Sie brauchen einen Berater für SAP Cloud Platform Identity Authentication und/oder möchten, dass wir Ihnen unser Angebot in diesem Umfeld vorstellen?

Jetzt kostenloses Beratungsgespräch vereinbaren!

Die SAP Cloud Platform Identity Authentication - kurz IAS - ist ein Cloud-Dienst, der die einmalige Anmeldung für SAP-Cloud-Anwendungen ermöglicht. Es bietet Dienste für Authentifizierung, Single Sign-On, Identitätsverbund und Benutzerverwaltung.

Definition

SAP IAS bietet Unternehmen einen einfachen und sicheren Cloud-basierten Zugriff auf Geschäftsprozesse, Daten und Anwendungen. Es vereinfacht die Benutzererfahrung durch modernste Authentifizierungsmechanismen, sicheres Single Sign-On, On-Premise-Integration und praktische Self-Service-Optionen.

Der Service bietet zusammen mit dem SAP Cloud Platform Identity Provisioning Service (IPS) eine End-to-End-Lösung für das Identity- und Access-Management. Die End-to-End-Sicherheit wird durch das Authentifizieren der Benutzeranmeldeinformationen erhöht. Bei den Methoden können Unternehmen zwischen formularbasierten/SAML, dem Client-Zertifikat, Benutzername und Kennwort sowie OAuth wählen. Ausgeführt wird der Dienst in der Neo- und Cloud Foundry-Umgebung.

Ersteinrichtung

Der IAS wird als Teil einiger SAP-Cloud-Platform-Pakete oder als eigenständiges Produkt angeboten. Um die Identitätsauthentifizierung verwenden zu können, ist der Erhalt eines Mandanten notwendig. Der Mandant repräsentiert eine einzelne Instanz der Identitätsauthentifizierung mit einer bestimmten Konfiguration und Datentrennung.

Auf den Kauf eines Abonnements für den Mandanten für die Identitätsauthentifizierung folgt eine E-Mail. Die E-Mail enthält einen Link zur Zielseite der Administrationskonsole für die Identitätsauthentifizierung. Dann kann die Registrierung des ersten Administratorbenutzers bestätigt werden.

IAS bietet einen Mandanten pro Kunde – unabhängig von der Anzahl der unterzeichneten Verträge. In diesen ist die Identity Authentication enthalten oder gebündelt. Ein als Teil eines Bundles gewährter Mandant ist nicht auf den Umfang beschränkt, sondern ermöglicht die Nutzung der gesamten Funktionalität, die von der Identitätsauthentifizierung geboten wird.

Integration

Es ist möglich, SAP IAS mit SAP- aber auch mit Non-SAP-Systemen als Service Provider zu integrieren. Bei der Integration des Service in die SAP Cloud Platform agiert die SAP Cloud als Service Provider und SAP IAS ist in diesem Setup der Identity Provider. Eine weitere Möglichkeit ist die Integration des SAP IAS in den SAP Web IDE Full-Stack. Unternehmen können SAP IAS als Identity Provider für den SAP Web DIE Full-Stack benutzen. Weitere Möglichkeiten sind die Integration des Services in das SAP Document Center, in das SAP Identity Management 8.0 und in Microsoft Azure AD.

Quelle: SAP SE

Eigenschaften

Authentifizierung und SSO

Um Anwendung zu schützen, können Unternehmen eine der unterstützten Authentifizierungsmethoden zum Schutz Ihrer Anwendung auswählen. Dazu gehören u.a. Form, SPNEGO, Social oder TFA. Durch die Verwendung des SAML 2.0-Protokoll kann SSO für eine Anmeldung von einem beliebigen Gerät bereitgestellt werden. Mithilfe der Authentifizierung über die API kann zudem die Anwendung programmgesteuert integriert werden.

Konfiguration risikobasierter Authentifizierung

Es wird Unternehmen durch SAP IAS ermöglicht, eine Zwei-Faktor-Authentifizierung zu erzwingen. Diese basiert auf IP-Bereichen, Benutzergruppen, Benutzertyp oder Authentifizierungsmethode. Dadurch kann der Zugriff auf eine Geschäftsanwendung geschützt werden.

Authentifizierung delegieren

Die Authentifizierung kann mithilfe von IAS standardmäßig oder basierend auf einer Bedingung wie IdP, E-Mail-Domäne, Benutzertyp oder Benutzergruppe an einen Drittanbieter oder einen lokalen IDP delegiert werden. Somit wird SSO On-Premise und in der Cloud aktiviert.

API verwenden

Verwenden sie die SCIM REST-API, Um Benutzer und Gruppen zu verwalten, können Unternehmen die SCIM REST-API verwenden. Ebenso ermöglicht dies, Benutzer einzuladen und Endbenutzer-UI-Texte in einer beliebigen Sprache anzupassen.

Szenarien

IAS unterstützt verschiedene Szenarien: Szenarien für Verbraucher (Business-to-Consumer-Szenarien), für Partner (Business-to-Business-Szenarien) und für Mitarbeiter (Business-to-Employee-Szenarien).

Business-to-Consumer-Szenarien

Das Business-to-Consumer-Szenario bezieht sich auf alle vom Verbraucher durchgeführten Aktionen. Dazu gehört bspw. die Registrierung für Anwendungen und den Einzelhandel für Verbraucher. In diesem Szenario erleichtern Administratoren die Verbraucherprozesse, allerdings handeln sie nicht im Namen des Verbrauchers.

Zu den Funktionen gehört die Authentifizierung mit Benutzername und Passwort sowie eine sichere einmalige Anmeldung bei Cloud-Anwendungen. Eine weitere Funktion ist das Social Sign-On für Cloud-Anwendungen. Beim Business-to-Consumer Szenario ist zudem eine Selbstregistrierung von Benutzern und eine Einladung von Benutzern möglich. Es enthält Branding-Elemente auf allen Formularen für Anmeldung, Registrierung, Kennwortaktualisierung und Kontoaktivierung. Zudem sind kundenspezifische Datenschutzrichtlinien und Nutzungsbedingungen enthalten. Des Weiteren ist es möglich Benutzer zu importieren und zu exportieren.

Business-to-Business-Szenarien

Business-to-Business-Szenarien beziehen sich auf Dienstleistungen für Geschäftspartner. Die meisten Funktionen der Business-to-Consumer-Szenarien sind auch bei Business-to-Business-Szenarien verfügbar. Allerdings ist im Gegensatz zum Business-to-Consumer-Szenario die Selbstregistrierung von Verbrauchern nicht zulässig. Zudem ist der Administrator des Unternehmens normalerweise derjenige, der den Benutzerregistrierungsprozess auslöst. Außerdem lädt der Administrator Partner ein oder registriert sie in ihrem Namen.

Business-to-Employee-Szenarien

Business-to-Employee-Szenarien beziehen sich auf Services für Mitarbeiter einer Organisation. Unternehmen können ebenso wie bei den anderen beiden Szenarien von verschiedenen Funktionen, wie u.a. der Authentifizierung mit Benutzername und Passwort, Gebrauch machen. Dazu können die Mitarbeiter mit nur einer Anmeldung auf verschiedene Anwendungen zugreifen. Darüber hinaus können Administratoren Mitarbeiterdaten mithilfe der Benutzerimportfunktion hochladen.

Monitoring und Troubleshooting

Nutzungsstatistiken anzeigen

Statistische Informationen für einen Mandanten können in der Administrationskonsole für SAP IAS angezeigt werden. In der Berichtsansicht wird ein Diagramm mit statistischen Informationen mit der Anzahl der Benutzeranmeldeanforderungen pro Monat im Mandanten angezeigt. Die statistischen Informationen beginnen mit dem Monat, in dem die erste Anmeldeanforderung registriert wurde, und werden bis zum aktuellen Monat fortgesetzt.

Eine Anmeldeanforderung ist eine einzelne Authentifizierungsanforderung. Diese wird über die Identitätsauthentifizierung verwaltet. Identity Authentication zählt nur eine Anmeldeanforderung pro Benutzer und Tag. Die Anmeldeanforderungen sind dabei unabhängig vom Authentifizierungsmechanismus und Benutzertyp.

Zugriff auf Audit Logs

Im SAP Cloud Platform Identity Authentication Service kann zudem auf die Audit Logs zugriffen werden. Dadurch können Änderungen an den persönlichen Daten sowie erfolgreiche und fehlgeschlagene Authentifizierungen erhalten werden.

Damit die Audit Logs angezeigt werden, müssen zunächst die Client-ID und Client Secret für Audit Logs in der Administrationskonsole für die Identity Authentication generiert werden. Danach wird ein Zugriffstoken erstellt und im Anschluss muss die API zum Abrufen des Audit Logs aufgerufen werden, um auf die Daten zugreifen zu können. Weitere Informationen über den Zugriff auf Audit Logs stellt SAP unter Access Audit Logs zur Verfügung.

Export der Änderungsprotokolle

Unternehmen erhalten durch SAP IAS noch eine weitere Möglichkeit: Sie können eine CSV-Datei mit einem Verlauf, der von Administratoren ausgeführten Vorgänge in der Administrationskonsol, für SAP IAS herunterladen. Die exportierten Änderungsprotokolle werden in einer CSV-Datei gespeichert. Diese enthalten dabei Informationen zu CREATE-, UPDATE- oder DELETE- Vorgängen, die von Administratoren durchgeführt wurden.

Fazit

SAP IAS kann Unternehmen die Arbeit in Bezug auf den Zugriff ihrer Geschäftsprozesse, Anwendungen und Daten erheblich erleichtern. Durch die verschiedenen Eigenschaften und Funktionen wird nicht nur die Effizienz erhöht, sondern auch die Sicherheit verbessert. Ebenfalls kann es hilfreich sein, dass die Integration nicht nur bei SAP-Systemen, sondern auch bei Non-SAP Systemen möglich ist.

FAQ zu SAP Cloud Platform Identity Authentication (IAS) 

Was ist SAP Cloud Platform Identity Authentication?

Die SAP Cloud Platform Identity Authentication – kurz IAS – ist ein Cloud-Dienst, der die einmalige Anmeldung für SAP-Cloud-Anwendungen ermöglicht. Es bietet Dienste für Authentifizierung, Single Sign-On, Identitätsverbund und Benutzerverwaltung.

Welche Funktionen bietet die SAP Cloud Platform Identity Authentication?

Die SAP Cloud Platform Identity Authentication bietet unter anderem eine Authentifizierung, Single-Sign-On (SSO), eine Konfiguration risikobasierter Authentifizierung und die Verwendung eines API.

Weitere Informationen

IAS-Handbuch für Admins

SAP Hinweis 2701851 – SAP Cloud Platform Identity Authentication service (IAS) – Guided Answers

IAS-Handbuch für Benutzer, Partner und Mitarbeiter

SAP Cloud Platform Security

SAP Cloud Platform Identity Provisioning Service (IPS)

SAP Cloud Platform Identity Authentication


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support