SAP Identity Management – Jetzt und in Zukunft

Autor: Tobias Harmes | 12. April 2019

1 | #podcast

Ich spreche mit Steffen Schatto, Head of IDM Services bei der Firma Xiting, über seine Praxiserfahrungen beim Einsatz des Produktes SAP Identity Management. Ist es jetzt und in Zukunft sinnvoll für Unternehmen? Und was wünschen sich bestehende Kunden?

… als Podcast

Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast

… auf YouTube

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

Feedback? harmes@rz10.de

Was ist SAP Identity Management und wofür wird es benötigt?

Das SAP IdM kann an vielen Stellen nützlich sein. Die CUA (Central User Administration / Zentrale Benutzerverwaltung) kann durch das SAP IdM abgelöst werden, denn zusätzlich zur CUA bietet das IdM mehr Möglichkeiten zur Abbildung von Workflows und zur Anbindung von weiteren Anwendungen. Diese können sowohl SAP als auch Non-SAP sein. Weiterhin können ganze User-Lifecycle abgebildet werden. Das bedeutet, dass Einstiegs- und Ausstiegsprozesse oder Positionswechsel zentral verwaltet werden können. Eine CUA wird nicht benötigt, um das SAP Identity Management einzuführen.

SAP Identity Management Best Practice – Wie ein IDM-Projekt erfolgreich wird

 SAP Identity Management - Xiting Best Practice - Wie ein IDM-Projekt erfolgreich wird [PDF]

Was ist der Unterschied zwischen CUA und SAP IDM?

Die Praxis zeigt, dass viele Firmen nicht auf ein IdM zurückgreifen. Zum einen liegt das daran, dass eine reguläre CUA in diesen Fällen oft ausreicht. Mit der CUA können die Benutzer für alle angehängten SAP-Systeme gepflegt werden. Dabei kann sowohl Massendatenpflege betrieben werden, als auch Berechtigungen zentral vergeben werden. Mit der CUA können allerdings keine Workflows realisiert werden und es können auch keine Non-SAP-Systeme wie zum Beispiel Active Directory angehängt werden.

Ein Vorteil des SAP IDM ist aber die Sicherheit. Ein Problem in vielen Unternehmen ist, dass Berechtigungen und Benutzerkonten bei Austritten von Mitarbeitern aus dem Unternehmen nicht zwingend gelöscht werden. Eben dann, wenn diese administrativen Prozesse manuell getätigt werden, können schnell Fehler entstehen. Falls diese Nutzerkonten dann noch Zugriffsrechte und Berechtigungen haben, kann dieser Umstand in einigen Branchen zu Audit Findings führen. Will man solche Sicherheitsschwierigkeiten umgehen, kann das IdM helfen und diese Prozesse automatisieren. Zusammengefasst bedeutet das: SAP IDM bietet eine flexiblere und dynamischere Anwendung als eine reguläre zentrale Benutzerverwaltung und schließt potenzielle Sicherheitslücken.

Ein klassischer Workflow für Eintritts- und Austrittsprozesse

Das SAP Identity Management ist ein zentrales Tool, in dem alle Mitarbeiterprozesse ablaufen. Ein Beispiel: In eine Firma tritt ein neuer Mitarbeiter ein. Die Personalabteilung weiß in der Regel zuerst davon und trägt die neue Identität ins HCM ein. Hier werden direkt bestimmte Attribute für den neuen Mitarbeiter festgelegt. Das wird wiederum automatisch ins IdM übertragen und bestimmte Prozesse können aufgebaut werden. Der neue Mitarbeiter erhält Accounts und Berechtigungen zugewiesen. Das geht über die Funktionsweise einer zentralen Benutzerverwaltung hinaus. Das Ziel ist, dass der neue Mitarbeiter an seinem ersten Tag alle individuellen Berechtigungen und Zugangsdaten hat und direkt mit der Arbeit starten kann. Fast wichtiger ist jedoch der Sicherheitsaspekt, der beim Austritt eines Mitarbeiters zustande kommt. Mit einem IdM können mit dem Austrittsdatum alle Zugänge und Berechtigungen des ehemaligen Mitarbeiters zentral abgeschaltet werden, sodass ein Zugriff von außen nicht möglich ist.

Wie aufwendig ist die Installation eines Identity Managements und was kann es?

Das kommt drauf an! Die Größe des Unternehmens ist dabei nicht unbedingt ausschlaggebend. Für gewöhnlich nehmen Unternehmen ab einer Größe von 1.000 Mitarbeitern das SAP Identity Management in Anspruch. Aber auch kleinere Firmen, die bestimmten Compliance-Anforderungen unterliegen, können diese mit dem IdM abdecken.
Das IdM ist jedoch sehr komplex, sodass der Aufwand der Umsetzung davon abhängt, welche Komponenten das Unternehmen benötigt.
Einerseits kann das IdM als Ablösung der CUA fungieren. Nach und nach können dann relevante Workflows eingebaut werden. Außerdem kann das SAP IdM auch zur Rezertifizierung genutzt werden. Ein Beispiel hierfür wäre, wenn der Vorgesetze alle sechs Monate die Berechtigungen seines Teams überprüfen und erneut bestätigen muss. Zusätzlich kann das IdM auch die SAP Cloud oder sogar Non-SAP-Anwendungen einbinden, mit denen man z.B. automatisch E-Mail-Konten generieren kann. Der Aufwand für die Einrichtung eines SAP Identity Managements ergibt sich also aus den konkreten Anforderungen des Kunden.

Standard oder Individuell? SAP Identity Management im Customizing

Das SAP Identity Management wird immer in der Standardversion implementiert. Im Vorhinein werden dann wesentliche Fragen mit dem Kunden erörtert: Will der Kunde beispielsweise Single-Sign-On oder diverse Passwörter?
Der eigentliche Source Code des IdM-Systems wird nicht angepasst, höchstens durch zusätzliche Connectoren erweitert. Das System wird nach dem Standard installiert und die individuellen Prozesse werden dann individuell angepasst. Das zeigt sich exemplarisch in der Verteilung von diversen Rollen. Vom Praktikanten bis zum Geschäftsführer werden unterschiedliche Gültigkeiten und Berechtigungen verteilt. So wird das SAP Identity Management als Serienprodukt an die spezifischen Wünsche des Kunden angepasst.

Die Technik hinter SAP Identity Management

SAP IdM ist ursprünglich ein zugekauftes Produkt, das SAP 2007 aufgekauft hat. Die SAP entwickelte das IdM weiter, sodass man aktuell beim IdM Release 8.0 ist.
Was benötigt man, damit das SAP IdM funktioniert? Einen Applikationsserver JAVA. Dort laufen die verschiedenen Komponenten wie das User-interface oder Services, die zur Entwicklungsumgebung verbinden. Zusätzlich wird eine eigene Datenbank benötigt. Dafür bietet die SAP derzeit Unterstützung: MSSQL, Oracle, DB2 und SAP ASE an. SAP HANA DB wird derzeit nur als Ziel für die Provisionierung unterstützt. Eigene Server werden für das SAP IdM je nach Größe des Systems auch benötigt.

harmes_180x227
Zu zweit schneller zum Ergebnis 🙂
Expert Session mit dem Autor Tobias Harmes anfragen
Vier Augen sehen mehr als zwei! Wenn Sie die Inhalte aus diesem Artikel schnell umsetzen wollen, kann ich Ihnen gerne dabei helfen.
Autoren Expert Session

Lizenzen und Kosten

Das Lizenzmodell stellt sich nach Managed Users auf. Das heißt es wird pro verwalteten User im IdM gezahlt. Die Lizenz stellt SAP im Rahmen der Wartung kostenfrei zur Verfügung.

Wie zukunftsfähig ist SAP IDM?

Die reine Technologie bewertet unser Experte Steffen Schatto als zukunftsfähig. Das On-Premise-Identity Management-System kann insofern erweitert werden, sodass auch Cloud-Systeme provisioniert werden können.
In der Produktverfügbarkeitsmatrix der SAP steht derzeit, dass das SAP Identity Management nur bis 2023 supportet wird.  Da kommt auf Kundenseite die Frage: Wie viel Sinn macht es jetzt noch ein SAP IdM einzuführen? Da muss in erster Linie die SAP Antworten liefern. Steffen glaubt, dass es bei über 1.000 aktuell laufenden On-Premise-Installationen des SAP Idenity Managements eher unrealistisch ist, dass diese bis 2023 in eine Cloud migrieren oder auf ein anderes Tool gewechselt wird. Dafür ist das SAP IdM zu komplex, um es von A nach B zu schieben. Außerdem sieht Steffen derzeit kein Alternativprodukt in der SAP-Cloud, welches On-Premise-IdM ablösen könnte. Die Frage ist hierbei vielmehr, ob bestimmte Daten und Prozesse aus Datenschutzgründen On-Premise bleiben werden? Zukunftsfähiger wäre eine Hybridlösung aus SAP Identity Management On-Premise und dem Cloud Identity Provisioning Service durchsetzen.

Aus Sicht der Kunden wäre es sinnvoll, dass die Mainstream-Wartung über 2023 hinaus verlängert wird oder dass SAP die Kunden informiert, inwiefern es mit dem Produkt weitergeht. Steffens Einschätzung ist, dass die On-Premise-Lösungen möglicherweise etwas vernachlässigt werden. Die großen Unternehmen, die das SAP IDM nutzen, haben Tausende von Nutzern und Hunderte angeschlossene Systeme. Gerade bei dieser großen Menge an Daten wird eine Migration in einen Cloud-basierten Service bis 2023 nicht möglich sein. Auf Kundenseite führt das zu großer Verunsicherung. Es gibt derzeit noch keine sichere Aussage, dass das IDM nach 2023 weiterentwickelt wird.

Was fehlt dem SAP Identity Management derzeit noch?

Nachholbedarf gibt es unter anderem beim Stichpunkt User Interface. Die Standardlösung wird webdynpro-basiert geliefert. Es gibt standardmäßig keine Fiori-Applikation. Diese und weitere Features wurden aber von den einzelnen Dienstleistern auf Vertriebsseite entwickelt und können mittlerweile angeboten werden. An der User Experience könnte SAP selbst also noch arbeiten.

SAP IDM in der Praxis

Wollen Unternehmen das SAP IDM installieren, stellt sich zunächst die Frage: Was brauche ich? Hier kann die Beratungsfirma beantworten, was technisch möglich wäre. Welche Lösungen für das Unternehmen jedoch sinnvoll sind, ergibt sich immer individuell. Vergleichbar ist das mit dem Bau eines Hauses. Wie viele Zimmer – wie viel Platz brauche ich? Welche Baurichtlinien muss ich eventuell einhalten?

Augenscheinlich einfache Prozesse innerhalb des Unternehmens können hierbei für Herausforderungen sorgen. Ein Beispiel: Es soll ein Freigabeworkflow für Berechtigungen implementiert werden. Der Manager des Benutzers soll diesen freigeben. Doch an welcher Stelle ist hinterlegt, wer der Manager ist? Gibt es ein Organigramm auf Papier oder ist diese Information im HCM hinterlegt? Gibt es einen Stellvertreter oder sogar keinen direkten Vorgesetzten? Wie ist die Hierarchie, wenn der Manager selbst eine Berechtigungsfreigabe braucht?
Solche internen Prozesse und Abläufe müssen im Vorhinein geklärt werden. Wird ein SAP IDM installiert, sollten Unternehmensprozesse klar strukturiert sein. In der Praxis zeigt sich, dass durch diese Bestandsaufnahme Prozesse sogar verschlankt werden können.

Kostenloses Whitepaper:

Fazit

Insbesondere die Automatisierung der Ein- und Austrittsprozesse erleichtert das Tagesgeschäft enorm. Unter der Devise „Ich drücke auf einen Knopf und es läuft“ melden sich Kunden oftmals zufrieden zurück. Obwohl die Implementierung einen gewissen Aufwand erfordert, ist der Benefit für das Unternehmen sehr hoch.

SAP Identity Management anfragen: https://rz10.de/angebot/sap-identity-management-solution/

SAP Identity Management Informationen: https://rz10.de/knowhow/sap-netweaver-identity-management/

Weitere Artikel: https://rz10.de/category/sap-berechtigungen/sap-identity-management/


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
ToDO

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support