SAP Cloud Identity Services

Alter Wein in neuen Schläuchen oder die nächste Stufe der Evolution ?

SAP bietet im Bereich Security unteschiedliche Services in der SAP Cloud Platform an. Die wichtigesten davon sind der SAP Cloud Platform Identity Authentication Service (SAP IAS) und der SAP Cloud Platform Identity Provisioning Service (SAP IPS). Daneben gibt es u.a. auch noch den SAP IAG Service. Der SAP IAS und der SAP IPS sind eine perfekte Kombination, die aus unserer Erfahrung anfangs jedoch aufgrund des Lizenzmodells nur wenig Bedeutung hatte. Mittlerweile hat sich die Lizenzierung geändert und beide Services erfreuen sich großer Beliebtheit. Diese beiden Services werden nun als Teil der SAP Cloud Identity Services bereitgestellt.

Infos zum WDECPS (SAP Standard Training)

Der SAP WDECPS bietet Ihnen eine 5-tägige praxisnahe Einführung in alle Sicherheitsaspekte der SAP Cloud Platform. Es werden sowohl die Neo als auch die Cloud Foundry Umgebung ausführlich behandelt 

Platform Identity Provider vs. Application Identity Provider

SAP kennt in der SAP Cloud Platform das Konzept des Platform Identity Provider (Platform IdP) und des Application Identity Provider (Application IdP). Der Platform Identity Provider authentifiziert die Benutzer des Subaccount der SAP Cloud Platform. Dabei handelt es sich typischerweise um Administratoren, Entwickler und Support. Im Standard werden die Benutzer gegen den SAP ID Service authentifiziert. Dazu ist es erforderlich dass Sie entsprechende S-User im SAP Service Marketplace anlegen. 

SAP Cloud Platform Identity Authentication Service

Der SAP IAS ist ein Identity Provider der im Kontext der SAP Cloud Platform sehr viele Funktionen wahrnimmt. Er kann selbst als Identity Provider fungieren und die Benutzer zentral verwalten. Er kann alternativ aber auch als Proxy zu anderen Corporate Identity Providern wie ADFS, AzureAD oder auch LDAP-Servern. Jeder Kunden bekommt zwei Tenants am IAS, die sogenannten SAP Identity Authentication Tenants. Einer dient für Entwicklungs- und Testzwecke, der andere ist für die produktive Nutzung gedacht. Der IAS bietet folgende Funktionen:

  • Zentrale Verwaltung der Benutzer
  • Risikobasierte Authentifizierung
  • 2-Faktor Authentifizierung
  • Social Login (Twitter, Facebook, LinkedIn, Google)
  • Branding
  • Proxy zu Corporate Identity Providern
  • Identity Föderation

Um den IAS im Kontext der SAP Cloud Platform zu verwenden ist keine Konfiguration erforderlich. Er muss im Trust Management der SAP Cloud Platform lediglich aktiviert werden. Er kann sowohl die Rolle des Application Identity Provider als auch die des Platform Identity Provider einnehmen.

SAP IAS

SAP Cloud Platform Identity Provisioning Service 

Der SAP Cloud Platform Identity Provisioning Service (IPS) ermöglicht es, den gesamten Lebenszyklus einen Benutzers zu verwalten. Der IAS sorgt für die Authentizierung der Benutzer, der IPS sorgt dafür, dass die Benutzer in allen Systemen angelegt und mit den erforderlichen Berechtigungen und Rollen versehen werden. Er kann Daten aus ein oder mehreren Datenquellen beziehen und in beliebig viele Zielssystem verteilen. Der IPS ist prädestiniert für den Einsatz in hybriden Systemlandschaften. Er kann neben SAP System und SAP Software As A Service Angeboten (SaaS) auch nicht SAP System anbinden. Er kann Attribute so transformieren und aufbereiten, dass sie vom Zielsystem verstanden werden.