SAP Identity Management – Jetzt und in Zukunft
Autor: Tobias Harmes | 12. November 2021
Ich spreche mit Steffen Schatto, Head of IDM Services bei der Firma Xiting, über seine Praxiserfahrungen beim Einsatz des Produktes SAP Identity Management. Ist es jetzt und in Zukunft sinnvoll für Unternehmen? Und was wünschen sich bestehende Kunden?
Episode
… auf YouTube
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms
Feedback? harmes@rz10.de
… als Podcast
Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast
Was ist SAP Identity Management und wofür wird es benötigt?
Das SAP IdM kann an vielen Stellen nützlich sein. Die CUA (Central User Administration / Zentrale Benutzerverwaltung) kann durch das SAP IdM abgelöst werden, denn zusätzlich zur CUA bietet das IdM mehr Möglichkeiten zur Abbildung von Workflows und zur Anbindung von weiteren Anwendungen. Diese können sowohl SAP als auch Non-SAP sein. Weiterhin können ganze User-Lifecycle abgebildet werden. Das bedeutet, dass Einstiegs- und Ausstiegsprozesse oder Positionswechsel zentral verwaltet werden können. Eine CUA wird nicht benötigt, um das SAP Identity Management einzuführen.
SAP Identity Management
SAP Identity Management unterstützt Sie bei der zentralen Verwaltung von Benutzern, Berechtigungen und Genehmigungs-Workflows im Unternehmen.
Was ist der Unterschied zwischen CUA und SAP IDM?
Die Praxis zeigt, dass viele Firmen nicht auf ein IdM zurückgreifen. Zum einen liegt das daran, dass eine reguläre CUA in diesen Fällen oft ausreicht. Mit der CUA können die Benutzer für alle angehängten SAP-Systeme gepflegt werden. Dabei kann sowohl Massendatenpflege betrieben werden, als auch Berechtigungen zentral vergeben werden. Mit der CUA können allerdings keine Workflows realisiert werden und es können auch keine Non-SAP-Systeme wie zum Beispiel Active Directory angehängt werden.
Ein Vorteil des SAP IDM ist aber die Sicherheit. Ein Problem in vielen Unternehmen ist, dass Berechtigungen und Benutzerkonten bei Austritten von Mitarbeitern aus dem Unternehmen nicht zwingend gelöscht werden. Eben dann, wenn diese administrativen Prozesse manuell getätigt werden, können schnell Fehler entstehen. Falls diese Nutzerkonten dann noch Zugriffsrechte und Berechtigungen haben, kann dieser Umstand in einigen Branchen zu Audit Findings führen. Will man solche Sicherheitsschwierigkeiten umgehen, kann das IdM helfen und diese Prozesse automatisieren. Zusammengefasst bedeutet das: SAP IDM bietet eine flexiblere und dynamischere Anwendung als eine reguläre zentrale Benutzerverwaltung und schließt potenzielle Sicherheitslücken.
Ein klassischer Workflow für Eintritts- und Austrittsprozesse
Das SAP Identity Management ist ein zentrales Tool, in dem alle Mitarbeiterprozesse ablaufen. Ein Beispiel: In eine Firma tritt ein neuer Mitarbeiter ein. Die Personalabteilung weiß in der Regel zuerst davon und trägt die neue Identität ins HCM ein. Hier werden direkt bestimmte Attribute für den neuen Mitarbeiter festgelegt. Das wird wiederum automatisch ins IdM übertragen und bestimmte Prozesse können aufgebaut werden. Der neue Mitarbeiter erhält Accounts und Berechtigungen zugewiesen. Das geht über die Funktionsweise einer zentralen Benutzerverwaltung hinaus. Das Ziel ist, dass der neue Mitarbeiter an seinem ersten Tag alle individuellen Berechtigungen und Zugangsdaten hat und direkt mit der Arbeit starten kann. Fast wichtiger ist jedoch der Sicherheitsaspekt, der beim Austritt eines Mitarbeiters zustande kommt. Mit einem IdM können mit dem Austrittsdatum alle Zugänge und Berechtigungen des ehemaligen Mitarbeiters zentral abgeschaltet werden, sodass ein Zugriff von außen nicht möglich ist.
Wie aufwendig ist die Installation eines Identity Managements und was kann es?
Das kommt drauf an! Die Größe des Unternehmens ist dabei nicht unbedingt ausschlaggebend. Für gewöhnlich nehmen Unternehmen ab einer Größe von 1.000 Mitarbeitern das SAP Identity Management in Anspruch. Aber auch kleinere Firmen, die bestimmten Compliance-Anforderungen unterliegen, können diese mit dem IdM abdecken.
Das IdM ist jedoch sehr komplex, sodass der Aufwand der Umsetzung davon abhängt, welche Komponenten das Unternehmen benötigt.
Einerseits kann das IdM als Ablösung der CUA fungieren. Nach und nach können dann relevante Workflows eingebaut werden. Außerdem kann das SAP IdM auch zur Rezertifizierung genutzt werden. Ein Beispiel hierfür wäre, wenn der Vorgesetze alle sechs Monate die Berechtigungen seines Teams überprüfen und erneut bestätigen muss. Zusätzlich kann das IdM auch die SAP Cloud oder sogar Non-SAP-Anwendungen einbinden, mit denen man z.B. automatisch E-Mail-Konten generieren kann. Der Aufwand für die Einrichtung eines SAP Identity Managements ergibt sich also aus den konkreten Anforderungen des Kunden.
Standard oder Individuell? SAP Identity Management im Customizing
Das SAP Identity Management wird immer in der Standardversion implementiert. Im Vorhinein werden dann wesentliche Fragen mit dem Kunden erörtert: Will der Kunde beispielsweise Single-Sign-On oder diverse Passwörter?
Der eigentliche Source Code des IdM-Systems wird nicht angepasst, höchstens durch zusätzliche Connectoren erweitert. Das System wird nach dem Standard installiert und die individuellen Prozesse werden dann individuell angepasst. Das zeigt sich exemplarisch in der Verteilung von diversen Rollen. Vom Praktikanten bis zum Geschäftsführer werden unterschiedliche Gültigkeiten und Berechtigungen verteilt. So wird das SAP Identity Management als Serienprodukt an die spezifischen Wünsche des Kunden angepasst.
Die Technik hinter SAP Identity Management
SAP IdM ist ursprünglich ein zugekauftes Produkt, das SAP 2007 aufgekauft hat. Die SAP entwickelte das IdM weiter, sodass man aktuell beim IdM Release 8.0 ist.
Was benötigt man, damit das SAP IdM funktioniert? Einen Applikationsserver JAVA. Dort laufen die verschiedenen Komponenten wie das User-interface oder Services, die zur Entwicklungsumgebung verbinden. Zusätzlich wird eine eigene Datenbank benötigt. Dafür bietet die SAP derzeit Unterstützung: MSSQL, Oracle, DB2 und SAP ASE an. SAP HANA DB wird derzeit nur als Ziel für die Provisionierung unterstützt. Eigene Server werden für das SAP IdM je nach Größe des Systems auch benötigt.
Lizenzen und Kosten
Das Lizenzmodell stellt sich nach Managed Users auf. Das heißt es wird pro verwalteten User im IdM gezahlt. Die Lizenz stellt SAP im Rahmen der Wartung kostenfrei zur Verfügung.
Wie zukunftsfähig ist SAP IDM?
In der Produktverfügbarkeitsmatrix der SAP steht derzeit, dass das SAP Identity Management bis zum 31.12.2027 supportet wird. SAP Kunden müssen sich über die Zukunftsfähigkeit von SAP IDM deshalb keine Sorgen machen. Die reine Technologie bewertet unser Experte Steffen Schatto ebenfalls als zukunftsfähig. Das On-Premise-Identity Management-System kann außerdem insofern erweitert werden, sodass auch Cloud-Systeme provisioniert werden können.
Was fehlt dem SAP Identity Management derzeit noch?
Nachholbedarf gibt es unter anderem beim Stichpunkt User Interface. Die Standardlösung wird webdynpro-basiert geliefert. Es gibt standardmäßig keine Fiori-Applikation. Diese und weitere Features wurden aber von den einzelnen Dienstleistern auf Vertriebsseite entwickelt und können mittlerweile angeboten werden. An der User Experience könnte SAP selbst also noch arbeiten.
SAP IDM in der Praxis
Wollen Unternehmen das SAP IDM installieren, stellt sich zunächst die Frage: Was brauche ich? Hier kann die Beratungsfirma beantworten, was technisch möglich wäre. Welche Lösungen für das Unternehmen jedoch sinnvoll sind, ergibt sich immer individuell. Vergleichbar ist das mit dem Bau eines Hauses. Wie viele Zimmer – wie viel Platz brauche ich? Welche Baurichtlinien muss ich eventuell einhalten?
Augenscheinlich einfache Prozesse innerhalb des Unternehmens können hierbei für Herausforderungen sorgen. Ein Beispiel: Es soll ein Freigabeworkflow für Berechtigungen implementiert werden. Der Manager des Benutzers soll diesen freigeben. Doch an welcher Stelle ist hinterlegt, wer der Manager ist? Gibt es ein Organigramm auf Papier oder ist diese Information im HCM hinterlegt? Gibt es einen Stellvertreter oder sogar keinen direkten Vorgesetzten? Wie ist die Hierarchie, wenn der Manager selbst eine Berechtigungsfreigabe braucht?
Solche internen Prozesse und Abläufe müssen im Vorhinein geklärt werden. Wird ein SAP IDM installiert, sollten Unternehmensprozesse klar strukturiert sein. In der Praxis zeigt sich, dass durch diese Bestandsaufnahme Prozesse sogar verschlankt werden können.
Fazit
Insbesondere die Automatisierung der Ein- und Austrittsprozesse erleichtert das Tagesgeschäft enorm. Unter der Devise „Ich drücke auf einen Knopf und es läuft“ melden sich Kunden oftmals zufrieden zurück. Obwohl die Implementierung einen gewissen Aufwand erfordert, ist der Benefit für das Unternehmen sehr hoch.
Weiterführende Links
SAP Identity Management anfragen: https://rz10.de/angebot/sap-identity-management-solution/
SAP Identity Management Informationen: https://rz10.de/knowhow/sap-netweaver-identity-management/
Weitere Artikel: https://rz10.de/category/sap-berechtigungen/sap-identity-management/
2 Kommentare zu "SAP Identity Management – Jetzt und in Zukunft"
Wird der Artikel nicht angepasst? SAP IdM ist mittlerweile – wie der NetWeaver AS Java – bis Ende 2027 im Support und wird weiter entwickelt und bis Ende 2029 im erweiterten Support.
Danke für die Ergänzung!
Viele Grüße
Tobias Harmes