SAP Identity Management FAQ
Autor: Tobias Harmes | 3. Oktober 2018
SAP IDM vs. Zentrale Benutzerverwaltung vs. SAP GRC Access Control. Ich hatte in der letzten Zeit mehrere Gespräche und Expert Sessions zum Thema SAP Identity Management. Zeit mal wieder einen "neuesten Stand" zu ziehen: ein SAP Identity Management FAQ mit den häufigsten Fragen zum Thema zentrale Benutzerverwaltung und Berechtigungsmanagement im SAP.
Hinweis: Hier sind häufig gestellte Fragen zusammengefasst, über die ich im Rahmen meiner Beratungstätigkeit gesprochen habe. Das SAP Identity Management ist das zentrale Tool zur Verwaltung von Berechtigungen und Benutzern.
Was kostet SAP IDM?
SAP Identity Management ist für das Management von SAP Produkten in den Wartungsgebühren enthalten. Es kann also jeder mit SAP Lizenz auch SAP Identity Management einsetzen. Erst wenn ich Non-SAP Produkte managen will (z.B. Microsoft Active Directory oder die Benutzerverwaltung meiner Zutrittskontrolle) müssen Lizenzen gekauft werden.
Ist SAP IDM geeignet als zentrales IDM?
Ja, SAP IDM zielt eindeutig auch auf das Management von Non-SAP Systemen ab. Bei einer Entscheidung kann z.B. eine Rolle spielen, ob ein größerer Anteil von Servern und Applikationen SAP oder Non-SAP ist. Bei einem überwiegenden SAP Anteil ist SAP IDM ein ernsthafter Kandidat. Es ist aber auch denkbar SAP IDM nur als Identity Management System für die SAP Welt zu verwenden.
Ist für uns SAP IDM oder SAP GRC Access Control besser geeignet?
Das ist ohne Analyse der Umgebung nicht leicht zu sagen. Generell gilt: wenn die Anforderung für eine Identity Management stärker aus den Reihen der IT und des Managements kommt, dann ist eher SAP IDM der geeignete Kandidat. Hier spielen Funktionen wie Multi-User – Multi-System-Management, Skalierbarkeit über viele Systeme und Unterstützung von Mobile und Cloud-Szenarien eine gewichtige Rolle. Wenn dagegen die Anforderungen eher aus dem Bereich der Compliance kommt, dann spielen Themen wie Mehr-Wege-Zugriff, Funktionstrennung (Segregation of Duties, SoD) und Data-Loss-Prevention eine größere Rolle. Und da spielt SAP GRC Access Control seine Stärken aus. Dieses Produkt ist wie IDM auch in der Lage, Benutzeranforderungsprozesse abzubilden. Nur das diese dann auch zusätzliche Compliance-Prüfungen durchlaufen. Wer diesbezüglich mehr wissen will, siehe den Beitrag Potentielle Sicherheitsrisiken bei Antragsprozessen in IDM-Systemen. SAP betont, dass diese beiden Produkte komplementär sind, das heißt sie ergänzen sich gegenseitig. Einen parallelen Betrieb beider Lösungen kommt aus meiner Erfahrung nur für große Umgebungen bzw. sehr hohen Compliance-Anforderungen in Frage.
Kann ich die Berechtigungsvergabe und das Berechtigungsmanagement zentral aus dem SAP IDM durchführen?
Ja, das geht. Mit SAP IDM kann ich zentral bestimmen, was ein Anwender für Berechtigungen in den angeschlossenen Systemen hat. Allerdings ist es wichtig zu wissen: genauso wie die zentrale Benutzerverwaltung kann ich mit dem SAP IDM nicht die Berechtigungen selbst zentral verwalten. Ich kann also nicht z.B. eine SAP PFCG-Rolle auf mehrere Systeme übertragen. Sowohl die zentrale Benutzerverwaltung als auch SAP IDM können nur das auf dem Satellitensystem vergeben, was auch dort an Berechtigungen zur Verfügung steht.
Kann ich mit dem SAP IDM einen User zentral stilllegen?
Ja, das ist eines der wichtigen Kern-Features. Und hier bietet SAP IDM auch einen Mehrwert gegenüber der zentralen Benutzerverwaltung: es werden neben JAVA-Applikationsservern auch Cloud-Applikationen unterstützt. So kann sichergestellt werden, dass ein Benutzer schnell und effektiv deaktiviert wird. Viele Unternehmen verlassen sich dort noch zu sehr auf den Grundsatz: wer keinen Zugang von außen mehr hat (VPN, Citrix, …) der kommt erst mal nicht mehr rein. Das stimmt aber nicht mehr für Cloud Applikationen, die im Internet weiterhin erreichbar sein.
Kann ich mit SAP IDM Genehmigungsworkflows realisieren?
Ja, das geht. Entsprechend berechtigte Benutzer können Benutzer- und Berechtigungsänderungen anfordern. Dies kann relativ frei konfigurierbare Genehmigungsworkflows auslösen, die dann von den Genehmigern per Mail bzw. Web Frontend abgearbeitet werden können.
Kann ich SAP HCM / HR als Auslöser verwenden?
Ja, auch das ist möglich. Typische Join, Move, Leave Szenarien können mit dem SAP IDM gekoppelt werden, so dass die HR-Abteilung grundlegende Benutzer-Änderungen sogar unabhängig von der IT auslösen kann.
Welche Adapter stehen zur Verfügung bzw. mit was kann sich SAP IDM alles verbinden?
SAP stellt dafür einen SAP IDM Connector Overview bereit (Link auf sap.com, bei der letzten Prüfung war das Seite 9). An Betriebssystemen, Verzeichnisdiensten und Datenbanken sind alle großen Namen dabei. Generell kann man sagen: alles was Text (ASCII) versteht kann gekoppelt werden. Wenn es möglich ist, z.B. über Textdateien Steuerbefehle an das Zielsystem zu übermitteln, dann ist auch eine Anbindung an das SAP IDM möglich.
Kann ich die Rechte-Hierarchie eines Benutzer reporten (z.B. für Rezertifizierungen und für Wirtschaftsprüfer)?
SAP IDM unterstützt verschiedenste Report-Funktionalitäten. Neben den eingebauten Reports ist es auch möglich via Chrystal Reports und SAP Lumira / SAP BW eigene Abfragen und Analysereports zu erstellen.
Erst zentrale Benutzerverwaltung und dann SAP IDM oder gleich SAP IDM?
Für viele wirkt es so, als ob die zentrale Benutzerverwaltung (ZBV, englisch: CUA) nicht mehr funktioniert und nicht mehr installiert werden sollte. Das ist nicht der Fall. Es ist ohne Probleme möglich, zunächst die zentrale Benutzerverwaltung einzuführen, damit überhaupt ein zentrales Management von Benutzern ermöglicht wird. Das hat auch den Charme, dass dafür nicht gleich zusätzliche Server notwendig werden. Aber die zentrale Benutzerverwaltung bietet keine Unterstützung bei Workflows. Und sie wird durch die Einführung von SAP IDM auch vollständig abgelöst. Weitere Infos dazu gibt es auch in einem FAQ der SAP.
Bietet SAP IDM Self-Service-Funktionalitäten?
Ja, ich kann z.B. über SAP IDM Passwort-Reset als Self-Service realisieren.
Weiterführende Links
- RZ10.de Partnerprodukt SAP Identity Mangement als Lösung: https://rz10.de/angebot/sap-identity-management-solution/
- SAP Benutzerverwaltung on-premise und cloud – worauf achten?: https://rz10.de/sap-identity-management/sap-benutzerverwaltung-on-premise-und-cloud/
- Know-How SAP Identity Management: https://rz10.de/knowhow/sap-netweaver-identity-management/
- SAP Identity Management – Jetzt und in Zukunft: https://rz10.de/sap-identity-management/sap-identity-management-jetzt-und-in-zukunft/
- Identity Management System: Tipps zur Einführung: https://rz10.de/sap-identity-management/identity-management-system-tipps-zur-einfuehrung/
- SAP IDM Transport und Release Planung – SAP Identity Management HowTo: https://rz10.de/sap-identity-management/sap-idm-transport-und-release-planung-sap-identity-management-howto/
- SAP Identity Management – Übersicht, E-Books, Webinare, Produkte: https://rz10.de/category/sap-berechtigungen/sap-identity-management/
Update 17.05.2019: Aktualisierung Bilder und Quellen.