Tobias Harmes
 - 3. Oktober 2018

SAP Identity Management FAQ

sap_identity_management_faq_beitragsbild2 SAP IDM vs. Zentrale Benutzerverwaltung vs. SAP GRC Access Control. Ich hatte in der letzten Zeit mehrere Gespräche und Expert Sessions zum Thema SAP Identity Management. Zeit mal wieder einen "neuesten Stand" zu ziehen: ein SAP Identity Management FAQ mit den häufigsten Fragen zum Thema zentrale Benutzerverwaltung und Berechtigungsmanagement im SAP.

Hinweis: Hier sind häufig gestellte Fragen zusammengefasst, über die ich im Rahmen meiner Beratungstätigkeit gesprochen habe. Wer zu SAP Identity Management selbst Grundlagen wissen will, dem empfehle ich diesen Artikel.

Was kostet SAP IDM?

SAP Identity Management ist für das Management von SAP Produkten in den Wartungsgebühren enthalten. Es kann also jeder mit SAP Lizenz auch SAP Identity Management einsetzen. Erst wenn ich Non-SAP Produkte managen will (z.B. Microsoft Active Directory oder die Benutzerverwaltung meiner Zutrittskontrolle) müssen Lizenzen gekauft werden.

Ist SAP IDM geeignet als zentrales IDM?

Ja, SAP IDM zielt eindeutig auch auf das Management von Non-SAP Systemen ab. Bei einer Entscheidung kann z.B. eine Rolle spielen, ob ein größerer Anteil von Servern und Applikationen SAP oder Non-SAP ist. Bei einem überwiegenden SAP Anteil ist SAP IDM ein ernsthafter Kandidat. Es ist aber auch denkbar SAP IDM nur als Identity Management System für die SAP Welt zu verwenden.

Ist für uns SAP IDM oder SAP GRC Access Control besser geeignet?

Das ist ohne Analyse der Umgebung nicht leicht zu sagen. Generell gilt: wenn die Anforderung für eine Identity Management stärker aus den Reihen der IT und des Managements kommt, dann ist eher SAP IDM der geeignete Kandidat. Hier spielen Funktionen wie Multi-User – Multi-System-Management, Skalierbarkeit über viele Systeme und Unterstützung von Mobile und Cloud-Szenarien eine gewichtige Rolle. Wenn dagegen die Anforderungen eher aus dem Bereich der Compliance kommt, dann spielen Themen wie Mehr-Wege-Zugriff, Funktionstrennung (Segregation of Duties, SoD) und Data-Loss-Prevention eine größere Rolle. Und da spielt SAP GRC Access Control seine Stärken aus. Dieses Produkt ist wie IDM auch in der Lage, Benutzeranforderungsprozesse abzubilden. Nur das diese dann auch zusätzliche Compliance-Prüfungen durchlaufen. Wer diesbezüglich mehr wissen will, siehe den Beitrag Potentielle Sicherheitsrisiken bei Antragsprozessen in IDM-Systemen. SAP betont, dass diese beiden Produkte komplementär sind, das heißt sie ergänzen sich gegenseitig. Einen parallelen Betrieb beider Lösungen kommt aus meiner Erfahrung nur für große Umgebungen bzw. sehr hohen Compliance-Anforderungen in Frage.

Kann ich die Berechtigungsvergabe und das Berechtigungsmanagement zentral aus dem SAP IDM durchführen?

Ja, das geht. Mit SAP IDM kann ich zentral bestimmen, was ein Anwender für Berechtigungen in den angeschlossenen Systemen hat. Allerdings ist es wichtig zu wissen: genauso wie die zentrale Benutzerverwaltung kann ich mit dem SAP IDM nicht die Berechtigungen selbst zentral verwalten. Ich kann also nicht z.B. eine SAP PFCG-Rolle auf mehrere Systeme übertragen. Sowohl die zentrale Benutzerverwaltung als auch SAP IDM können nur das auf dem Satellitensystem vergeben, was auch dort an Berechtigungen zur Verfügung steht.

Kann ich mit dem SAP IDM einen User zentral stilllegen?

Ja, das ist eines der wichtigen Kern-Features. Und hier bietet SAP IDM auch einen Mehrwert gegenüber der zentralen Benutzerverwaltung: es werden neben JAVA-Applikationsservern auch Cloud-Applikationen unterstützt. So kann sichergestellt werden, dass ein Benutzer schnell und effektiv deaktiviert wird. Viele Unternehmen verlassen sich dort noch zu sehr auf den Grundsatz: wer keinen Zugang von außen mehr hat (VPN, Citrix, …) der kommt erst mal nicht mehr rein. Das stimmt aber nicht mehr für Cloud Applikationen, die im Internet weiterhin erreichbar sein.

Kann ich mit SAP IDM Genehmigungsworkflows realisieren?

Ja, das geht. Entsprechend berechtigte Benutzer können Benutzer- und Berechtigungsänderungen anfordern. Dies kann relativ frei konfigurierbare Genehmigungsworkflows auslösen, die dann von den Genehmigern per Mail bzw. Web Frontend abgearbeitet werden können.

Kann ich SAP HCM / HR als Auslöser verwenden?

Ja, auch das ist möglich. Typische Join, Move, Leave Szenarien können mit dem SAP IDM gekoppelt werden, so dass die HR-Abteilung grundlegende Benutzer-Änderungen sogar unabhängig von der IT auslösen kann.

Welche Adapter stehen zur Verfügung bzw. mit was kann sich SAP IDM alles verbinden?

SAP stellt dafür einen SAP IDM Connector Overview bereit (Link auf sap.com, bei der letzten Prüfung war das Seite 9). An Betriebssystemen, Verzeichnisdiensten und Datenbanken sind alle großen Namen dabei. Generell kann man sagen: alles was Text (ASCII) versteht kann gekoppelt werden. Wenn es möglich ist, z.B. über Textdateien Steuerbefehle an das Zielsystem zu übermitteln, dann ist auch eine Anbindung an das SAP IDM möglich.

Kann ich die Rechte-Hierarchie eines Benutzer reporten (z.B. für Rezertifizierungen und für Wirtschaftsprüfer)?

SAP IDM unterstützt verschiedenste Report-Funktionalitäten. Neben den eingebauten Reports ist es auch möglich via Chrystal Reports und SAP Lumira / SAP BW eigene Abfragen und Analysereports zu erstellen.

Erst zentrale Benutzerverwaltung und dann SAP IDM oder gleich SAP IDM?

Für viele wirkt es so, als ob die zentrale Benutzerverwaltung (ZBV, englisch: CUA) nicht mehr funktioniert und nicht mehr installiert werden sollte. Das ist nicht der Fall. Es ist ohne Probleme möglich, zunächst die zentrale Benutzerverwaltung einzuführen, damit überhaupt ein zentrales Management von Benutzern ermöglicht wird. Das hat auch den Charme, dass dafür nicht gleich zusätzliche Server notwendig werden. Aber die zentrale Benutzerverwaltung bietet keine Unterstützung bei Workflows. Und sie wird durch die Einführung von SAP IDM auch vollständig abgelöst. Weitere Infos dazu gibt es auch in einem FAQ der SAP.

Bietet SAP IDM Self-Service-Funktionalitäten?

Ja, ich kann z.B. über SAP IDM Passwort-Reset als Self-Service realisieren.

Fehlt Ihre Frage?

Ich freue mich über einen Kommentar. :)

Haben Sie Unterstützungsbedarf in diesem Thema?

Schicken Sie mir eine email an harmes@rz10.de. Wenn Sie schon ein Schritt weiter sind, und über Ihre Ausgangssituation sprechen wollen (ohne gleich einen Workshop machen zu müssen) – fordern Sie eine Expert Session an. Ich freue mich von Ihnen zu hören.

Tobias Harmes

Mein Name ist Tobias Harmes und ich bin Senior Architect für SAP Basis & Security bei der mindsquare GmbH sowie Chefredakteur von RZ10.de. Als Berater und Dozent helfe ich anderen dabei, Unternehmensdaten und Geschäftsprozesse in SAP wirksam abzusichern.

Sie haben Fragen? Kontaktieren Sie mich!

Kostenloses E-Book zum Thema SAP GRC als Download:

Kostenloses E-Book zum Thema SAP Berechtigungskonzept als Download:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:





Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support