type here...

Technische Zusammenhänge der SAP Identity Services für Admins und Architekten

Eigentlich wollte ich nur einem SAP Cloud Neukunden eine Email schreiben um die wichtigsten IAS&IPS Themen zusammen zu fassen. Aus meiner SAP Rolle her raus habe ich dieses Thema sehr oft mit den unterschiedlichsten Kunden besprochen und bei der ersten Orientierung geholfen. Und bevor ich jetzt die X-te Email zu dem Thema schreibe, dachte ich mir packe es doch gleich in ein Blog. Es mag sich hier und da also ein wenig Hemdsärmelig lesen, aber dafür isses erst mal aus der Tür.

Wichtig:

  • Auch wenn hier technische Themen angesprochen werden, ist dies nur mein persönlicher Eindruck.  Wo immer möglich, habe ich Verweise auf die Quellen als Links eingebaut. Unterm Strich sollte hier also eigentlich nichts neues drin stehen, es ist vielleicht einfach nur etwas zugänglicher zusammen gestellt.
  • Einen Anspruch auf Deutungshoheit der offiziellen SAP Aussagen (wie Lizenztexte etc) erhebe ich nicht – also bitte immer in den Quellen nachlesen.
  • Ich bin auch kein Consultant, der jeden Tag seine Finger in solchen Systemen hat. Empfehlungen kann und werde ich also gar nicht aussprechen.
  • Um den Text leserlich zu halten, verwende ich viele Abkürzungen. Ein Abkürzungsverzeichnis (so wie damals an der Uni) habe ich unten dran gehängt.

 

Das große Ganze

Mit dem “Move to the Cloud” geht auch immer die Frage nach der Authentifizierung, und Rechtemanagement einher. Was bisher beim Usermanagement vieler Firmen für die einigen wenigen im Einsatz befindlichen Cloud Sonderlocken per Hand-am-Arm, Email und Exceltabellen funktioniert hat, muss jetzt in die bestehenden administrativen Prozesse integriert und vor allem automatisiert werden.

Das große Buzzword ist hier das User Life Cycle Management. Dabei spielen die SAP Identity Services eine gewissen Rolle sobald es um SAP Cloud Lösungen geht. Die Nutzung und den Aufbau von IAS&IPS sollte man aber wenn möglich in einem Projekt für ein Cloud orientiertes User-Life-Cycle-Management sehen. Stichworte wie SAP Universal ID, UUID, Zero Trust Network, etc werden auf Jahre die treibenden Buzzwords sein, die man neben der Architektur und dem Daily Business im Blick behalten will.

 

IAS Kurzbeschreibung

Der Identity Authentication Service ist Teil der SAP Identity Services (IAS+IPS). Es ist ein Identity Provider (IDP) den SAP zur Nutzung mit den SAP Cloud Services nahelegt. Strategisch ist angedacht  die Nutzung des IAS als primärer IDP für SAP Cloud Lösungen über die nächsten Jahre hinweg für immer mehr SAP Cloud Produkte zwingend vorgesehen werden.

Ganz wichtig: Der IAS kann als Authentication-Proxy konfiguriert werden. Sehr viele Kunden haben z.B. den IAS als IDP für BTP konfiguriert. Im IAS wird dann zur Authentifizierung auf den Unternehmens IDP (typischerweise AD, Azure AD, etc) gezeigt.

 

IAS Feature Highlights

  • Proxy zu Corporate Identity Providern – IAS kann als proxy konfiguriert werden. Die eigentlich Authentifizierung wird dann nach wie vor vom Corp IDP durch geführt und die User Credentials werden auch dort und nicht im IAS verwaltet.
  • Multifaktor Authentication – OTP (One-Time-Password) Multifaktorauthentifizierung über Softtokens, FIDO2 und Email kann konfiguriert werden.
  • Conditional Authentication – Hinterlegen von Regel um z.B. Multifaktorauthentication für externe IP Adressen zu erzwingen aber für interne IP Adressen es doch einfacher zu gestalten. Oder externe ()z.B. Partner) User nicht über AD sondern die IAS interne Authentication laufen zu lassen.
  • API`s für Integrationsprojekte – Über die verfügbaren Schnittstellen ergibt sich eine sehr große Flexibilität. z.B. Könnte man auf BTP ein Selbstregistrierungsportal mit Freigabeworkflow für Partner implementieren. Oder den IAS über die SCIM Schnittstelle mit dem Corporate User Life Cycle Management integrieren.

IAS%20acting%20as%20proxy%20for%20a%20corporate%20IDP%20like%20MS%20Azure%20AD

IAS acting as proxy for a corporate IDP like MS Azure AD

 

IAS – Kleine (aber dokumentierte) Geheimnisse

  • IAS & IPS kommen historisch aus dem BTP Umfeld. Entsprechend “benehmen” sich IAS & IPS eben nicht wie die vielen anderen BTP Services. Es gibt zwar Verknüpfungspunkte – man kann neue Identity Service Instanzen über das Cloud Cockpit (z.B. Bei CPEA Lizensierung) leicht aktivieren. Die Nutzung und Verwaltung ist aber eigentlich selbstständig und erfolgt nicht über das BTP Admin Cockpit.
  • Ein SAP Kunde kann auch selber sehen, welche Identity Services Tenants bereits für ihn existieren (deployed wurden). Dazu gibt es dieses Interface https://iamtenants.accounts.cloud.sap/
  • Zu jedem SAP Identity Service Tenant (IAS&IPS) gehört auch immer ein Test-Tenant dazu. Wenn die Lizensierung also einen kostenfreien “IAS” Tenant pro SAP Kunden beschreibt, sind eigentlich ein Produktiver- und ein Test-Tenant gemeint.
  • IAS kann eine UUID für jeden User anlegen und pflegen, kann aber auch eine bestehende UUID für die User übernehmen (via IPS / SCIM API). UUID werden bei unseren SAP Cloud Produkten immer wichtiger, für manche Produkte (z.B. SAP Task Center) ist eine UUID sogar Voraussetzung.

IAS%20as%20proxy%20with%20AAD%20handling%203rd%20party%20auth%20directly

IAS as proxy with AAD handling 3rd party auth directly

IPS Kurzbeschreibung

Der Identity Provisioning Service ist Teil der SAP Identity Services (IAS+IPS). Der Dienst transportiert User Identities und deren Rollen zwischen Systemen. Durch seine verschiedenen Connectoren zu vielen der SAP Cloud Systemen kann er die noch teilweise unterschiedlichen Systemschnittstellen auf den SCIM Standard normalisieren. Auch liefert er eine Basiskonfiguration je Cloud Service Connector mit um die Integration zu erleichtern. Eine Anpassung der jeweiligen zu übertragenen Datenfelder ist aber trotzdem möglich.

 

IPS Feature Highlights

IPS – Kleine (aber dokumentierte) Geheimnisse

  • IAS & IPS kommen historisch aus dem BTP Umfeld. Alte IPS Tenants sind sogar BTP NEO Services. Neue IPS Tenants laufen auf der SAP Identity Service Infrastruktur. Entsprechend “benehmen” sich IAS & IPS eben nicht wie die vielen anderen BTP Services. Siehe auch nächster Punkt.
  • IPS Tenants gibt es auf zwei verschiedenen Infrastrukturen. Seit dem 15 März 2022 werden neue IPS Tenants auf der Identity Services Infrastruktur deployed. Vor diesem Datum erstellte Tenants sind BTP NEO Services.
  • Neue Tenants haben schon im Standard mehr Connectoren. Die neuen, auf der SAP Cloud Identity Services Infrastructure laufenden, IPS Tenants enthalten fast alle verfügbaren Connectoren gleich von vornherein.
  • Connectoren Bundles gelten vor allem für IPS Tenants auf NEO. Vor März 2022 wurden die IPS Connectoren nur über die jeweiligen Produkt-Bundles verfügbar gemacht. Damit sollten Kunden die zu ihrem jeweilig lizensierten SAP Cloud Lösung gehörenden Connectoren bekommen (über die IPS-Produkt-Bundles). Für IPS Tenants auf NEO gilt das auch heute noch. Nur die neuen IPS Tenants auf der SAP Cloud Identity Services Infrastruktur stellen Connectoren auch außerhalb der Bundles zur Verfügung.
  • IPS-NEO Tenants auf die IAS&IPS Infrastruktur migrieren. Wenn man will, kann man einen bestehenden IPS-NEO Tenant auf einen neuen IPS Tenant migrieren. Das mag, gerade wenn man einen Connector außerhalb der verfügbaren Bundles benötigt, sinnvoll sein. Bevor man eine productive IPS Instanz aber anfasst, auf jeden Fall gründlich die Motivation und die Konsequenzen ausarbeiten. “Never touch a running system” gilt eben auch in der Cloud.

 

Lizensierung

Die Lizensierung der SAP Identity Services (IAS & IPS) wird im BTP Service Description Guide (auch im SAP Trust Center) beschrieben. Zusammenfassend ist ein Tenant (Prod+Test) für jeden SAP Cloud Kunden kostenfrei enthalten. Auch wenn man mehrere SAP Cloud Produkte im Einsatz hat, es ist erst mal nur ein IAS/IPS Tenant kostenfrei.

Ein paar wenige SAP Cloud Produkte bieten die Möglichkeit, zusätzliche IAS/IPS Tenants zu generieren (z.B. SuccessFactors) – hier gelten die Lizenzbedingungen des jeweiligen Produktes. Bei SFSF sollte ein IAS/IPS je SFSF Tenant enthalten sein sofern man die passenden SFSF Module einsetzt.

Die Nutzung (Logins) ist nur bei Anmeldung an SAP Cloud oder SAP on-prem Systeme kostenfrei. Die genauen Details bitte dem Lizenztext entnehmen.

 

Blogs

 

Abkürzungsverzeichnis

  • BTP: SAP Business Technology Platform
  • BTP NEO: SAP Business Technology Platform NEO
  • BTP CF: SAP Business Technology Platform Cloud Foundry
  • IAS: SAP Cloud Identity Services – Identity Authentication
  • IPS: SAP Cloud Identity Services – Identity Provisioning
  • CPEA: Cloud Platform Enterprise Agreement
  • IDP: Identity Provider
  • AD: Active Directory aka Microsoft Active Directory
  • AAD: Microsoft Azure Active Directory
  • UUID: Universal Unique Identifier
  • On-prem: On-premise aka klassische Systembetrieb in einem Rechenzentrum
  • aka: Also known as – auch bekannt als
  • SCIM: System for Cross-domain Identity Management
  • SAP: Systemanalyse Programmentwicklung
  • SFSF: SAP SuccessFactors

Original Article:
https://blogs.sap.com/2023/02/08/technische-zusammenhange-der-sap-identity-services-fur-admins-und-architekten/

ASK SAP EXPERTS ONLINE
Related blogs

LEAVE A REPLY

Please enter your comment!
Please enter your name here

© SAPIN APP. ALL RIGHTS RESERVED.