Die Rolle des SAP Identity Authentication Service

Der SAP Identity Authentication Service (SAP IAS) ist ein zentraler Sicherheitsbestandteil in Cloud- und hybriden Architekturen. Er ist eine SAML Identity Provider, der für den Einsatz in SAP-Systemlandschaften optimiert ist. In diesem Artikel bringen wir Ihnen die Funktionsweise des IAS näher. Es kann für eine Vielzahl an Szenarien verwendet werden. Wenn Sie ein Single-Sign-On (SSO) in hybriden SAP-Systemlandschaften realisieren möchten, führt (meist) kein Weg am SAP IAS vorbei.

Inhalt

• Single-Sign-On
• SAML
  • Analogie aus dem täglichen Leben
• SAP IAS im Kontext der SAP BTP
  • Platform Identity Provider (Platform IdP)
  • Application Identity Provider (Application IdP)
• SAML Service Provider vs. Identity Provider
• Vertrauensbeziehung SAP IAS / SAP BTP Subaccount 
• SAP IAS als Proxy (3rd Party IdP, LDAP, Social IdP)
• CloudDNA Expert Talk Video SAP IAS

Aufgabenstellung: Single-Sign-On (SSO)

Sie haben SAP Software-as-a-Service (SaaS) Produkte im Einsatz. Ausserdem Services und Subskriptionen der SAP BTP  in Verwendung um beispielsweise die Integration der SaaS-Produkte mit OnPremise Lösungen herzustellen. Jetzt stelle ich Ihnen die einige Fragen. An welcher und wievielen Stelle Sie Benutzer pflegen, Rollen zuordnen und die Authentifizierung konfigurieren müssen? Die Antwort lautet hoffentlich „in jedem beteiligtem System“. Wenn Sie eine Systemlandschaft mit unterschiedlichen Systemen verwenden, kann der Aufwand dafür enorm sein. Von Single-Sign-On (SSO) sprechen wir an dieser Stelle noch gar nicht. Natürlich möchten Sie Ihren Benutzern, Kollegen, Mitarbeitern und Geschäftspartnern ermöglichen, sich nach einer einmaligen Anmeldung frei in der Systemlandschaft zu bewegen ohne sich auf jedem System erneut anzumelden. In diesem Fall sprechen wir von Single-Sign-On.

SAML – Der Retter in der Not

Wir haben Ihnen SAML bereits in unserem Blog zum Single-Sign-On in der SAP BTP vorgestellt. Darin haben wir die grundlegenden Konzepte erklärt. SAML kennt die Rollen des Identity Providers und jene des Service Providers. Der SAP IAS nimmt im SAML-Kontext die Rolle des Identity Provider ein. Er kennt alle Benutzeridentitäten und authentifiziert die Benutzer. Jedes SAP SaaS-Produkt kann die Rolle des Service Provider einnehmen, genau wie auch Subaccounts innerhalb der SAP BTP oder Services und Subskriptionen die in diesen Subaccounts bereitgestellt werden. Zwischen den Service Providern und dem Identity Provider wird eine Vertrauensbeziehung aufgebaut. Der Identity Provider kennt alle Service Provider. Die einzelnen Service Provider müssen sich untereinander jedoch nicht kennen. Beim Aufbau der Vertrauensbeziehung werden Metadaten ausgetauscht.

Analogie aus dem täglichen Leben

Sie können SAML auf Basis einer Analogie aus dem täglichen Leben einfach verstehen. Wenn Sie einen neuen Mobilfunkvertrag abschließen oder ein Auto anmieten möchten, müssen Sie sich beim jeweiligen Serviceanbieter ausweisen. Als Ausweis könnte ich beispielsweise einen Schüler- oder Studentenausweis verwenden. Jedoch ist dieser nicht besonders vertrauenswürdig und kann leicht gefälscht oder manipuliert werden. Mit einem Reisepass, einem Personalausweis oder einem Führerschein sieht es schon anders aus. Dabei handelt es sich um Dokumente die vom jeweiligen Land über Ministerien, Behörden oder beliehene Unternehmen nach vorhergehender Prüfung der Identität der betroffenen Person ausgestellt werden. Diese Dokumente weisen besondere Sicherheitsmerkmale auf und können nur mit hohem Aufwand gefälscht werden. Im SAML-Kontext entspricht die ausstellende Stelle des Identitätsdokuments dem Identity Provider und alle Serviceanbieter die diesen Dokumenten vertrauen dem Service Provider. Sie geben uns bestimmt recht, dass die Analogie perfekt passt.

Der SAP IAS im Kontext der SAP BTP

Der SAP IAS kann als Identity Provider für die Subaccounts der SAP BTP fungieren. Dabei ist zwischen Administratoren und Entwicklern des Subaccounts sowie klassischen Endbenutzern der Services zu unterscheiden. Die Administratoren und Entwickler, sogenannten Subaccount-Member werden im Standard gegen den SAP ID Service authentifiziert. D.h. Sie können für jeden Benutzer im SAP Service Marktplatz einen S-User anlegen und diesen im Subaccount als Member hinzufügen. Der Aufwand ist vor allem bei größeren Benutzergruppen enorm und der SAP ID Service bietet Ihnen keine Anpassungsmöglichkeiten. Daher können Sie den SAP IAS als Platform Identity Provider verwenden.

Platform Identity Provider (Neo only)

In der SAP BTP Neo-Umgebung haben Sie die Möglichkeit einen Plattform IdP und einen Application IdP zu konfigurieren. Der Platform IdP ist für die Authentifizierung der Benutzer auf Ebene des Subaccounts verantwortlich. Dabei handelt es sich um Entwickler, Administratoren, Supportmitarbeiter und Auditoren. Im Standard verwendet die SAP BTP den SAP ID Service als Platform IdP. Daher können Sie sich mit Ihrem S-User wie gewohnt anmelden. Der SAP ID Service ist mit einigen Einschränkungen verbunden. Sie haben daher auch die Möglichkeit den SAP Identity Authentication Service (SAP IAS) als Platform IdP zu verwenden. Damit haben Sie die Verwaltung und Pflege der Benutzer selbst in der Hand. Der SAP IAS ist in vielen SAP Cloud Lizenzen enthalten und kann daher lizenzkostenfrei verwendet werden. Als Platform Identity Provider ist der SAP IAS aktuell nur in der Neo-Umgebung unterstützt. In der Cloud-Foundry-Umgebung gibt es aktuell keine Unterstütztung. 

Sie haben für den Platform IdP folgende Optionen:

• SAP ID Service (S-User)
• SAP Identity Authentication Services (SAP IAS)

Application Identity Provider (Neo und Cloud Foundry)

Der Application Identity Provider hat die Aufgaben die Benutzer (Fachbenutzer / Enduser) Ihrer bereitgestellten Anwendungen zu authentifizieren. Er kann sowohl in der Neo– als auch in der Cloud-Foundry-Umgebung verwendet werden. Falls Sie beispielsweise die Mobile Services verwenden, werden die Benutzer der Apps gegen den Application IdP authentifiziert. Sie haben für den Application IdP folgende Optionen:

• SAP ID Service (S-User)
• SAP Identity Authentication Services (SAP IAS)
• 3rd Party SAML Identity Provider (z.B. Azure AD)

SAML Service Provider vs. Identity Provider

Der SAP BTP Subaccount fungiert sowohl im Falle des Platform IdP als auch in der Rolle des Application IdP als SAML Service Provider (SAML SP) und der SAP IAS als SAML Identity Provider. Der IAS bietet Ihnen einen Vielzahl an Möglichkeiten. In der nachfolgenden Abbildung sehen Sie, wo der IAS als Platform Identity Provider aktivert werden kann.

Vertrauensbeziehung SAP IAS / SAP BTP Subaccount 

Die Vertrauensbeziehung zwischen SAP IAS und SAP BTP Subaccount wird automatisch hergestellt. Ein manueller Austausch der SAML-Metadaten ist nicht erforderlich. Der Subaccount wird im IAS als Application registriert. Dort haben Sie die Möglichkeit eine erweiterte Konfiguration durchzuführen. So können Sie beispielsweise das Aussehen der Anmeldemaske anpassen, Privacy Policies hinterlegen oder die SAML Konfiguration anzupassen. Im IAS werden Benutzer nicht pro Applikation angelegt sondern zentral und damit für alle Applikationen sichtbar. Damit der Benutzer im Subaccount verwendet werden kann, müssen Sie ihn noch als Member im Subaccount hinzufügen und im Subaccount mit entsprechenden Berechtigungen versehen. Die Anmeldung der Benutzer erfolgt ab diesem Zeitpunkt gegen der SAP IAS. In einem anderen Artikel gehen wir auf den SAP Identity Provisioning Service ein. Damit können Sie die Verteilung der Benutzer in die einzelnen Service Provider automatisieren.

SAP IAS als Proxy

Der SAP IAS kann auch die Rolle eines Proxy einnehmen und die Authentifizierung zu einem anderen Identity Provider delegieren. Dabei kann u.a. ein 3rd Party SAML Identity Provider verwendet werden. Er kann aber auch als Proxy zu einem Corporate LDAP dienen. Das geschieht im Zusammenspiel mit dem SAP Cloud Connector. Damit können Sie Ihren bestehenden LDAP Server wiederverwenden. Der SAP IAS ermöglich Ihnen auch die Verwendung und Integration von Social Identity Providern. Damit könenn Sie auf die Authentifizierung beliebter Sozialer Netzwerke zurückgreifen. Aktuell sind folgende Social IdPs unterstützt:

• Facebook
• Twitter
• Google
• LinkedIn

CloudDNA Expert Talk Video zum IAS

Sehen Sie sich unseren Expert Talk an und überzeugen Sie sich selbts – der IAS spielt eine zentrale Rolle. Im Video sehen Sie auf unserem legendären Lightboard wie alle Komponenten zusammenspielen.

Literaturhinweis und WDECPS SAP Training - Vom CloudDNA Autorenteam

Im Juni 2021 ist unter dem Rheinwerk Verlag (SAP Press) ein Buch zum Thema SAP BTP Sicherheit und Berechtigungen mit Martin Koch als Autor erscheinen. Sie können das Buch bereits bestellen. Wir garantieren Ihnen - Sie werden nicht enttäuscht sein!  Ausserdem haben wir die SAP von unserem Kurs mit mindestens 2o Praxisbeispielen überzeugt und sind im SAP Schulungskatalog gelistet:

Link zum WDECPS Training

Link zum Buch

FAQ und FAKTEN

Wie funktioniert Vertrauensbeziehung zwischen SAP IAS / SAP BTP Subaccount? 

Die Vertrauensbeziehung zwischen SAP IAS und SAP BTP Subaccount wird automatisch hergestellt. Ein manueller Austausch der SAML-Metadaten ist nicht erforderlich.

Kann der SAP IAS als Proxy fungieren?

Der SAP IAS kann auch die Rolle eines Proxy einnehmen und die Authentifizierung zu einem anderen Identity Provider delegieren

Über den Autor