Technische Zusammenhänge der SAP Identity Services für Admins und Architekten

Eigentlich wollte ich nur einem SAP Cloud Neukunden eine Email schreiben um die wichtigsten NIC&IPS Themen zusammen zufassen. Aus meiner SAP Rolle her raus habe ich dieses Thema sehr oft mit den unterschiedlichsten Kunden besprochen und bei der ersten Orientierung geholfen. Und bevor ich jetzt die X-te Email zu dem Thema schreibe, dachte ich mir packe es doch gleich in ein Blog. Es mag sich hier und da also ein wenig Hemdsärmelig lesen, aber dafür isses erst mal aus der Tür.

Significado:

• Auch wenn hier technische Themen angesprochen werden, ist dies nur mein persönlicher Eindruck. Wo immer möglich, habe ich Verweise auf die Quellen als Links eingebaut. Unterm Strich sollte hier también eigentlich nichts neues drin stehen, es ist vielleicht einfach nur etwas zugänglicher zusammen gestellt.
• Einen Anspruch auf Deutungshoheit der offiziellen SAP Aussagen (wie Lizenztexte, etc.) erhebe ich nicht – también bitte immer in den Quellen nachlesen.
• Ich bin auch kein Consultant, der jeden Tag seine Finger in solchen Systemen hat. Empfehlungen kann und werde ich también gar nicht aussprechen.
• Um den Text leserlich zu halten, verwende ich viele Abkürzungen. Ein Abkürzungsverzeichnis (so wie damals an der Uni) habe ich unten dran gehängt.

Mit dem «Move to the Cloud» geht auch immer die Frage nach der Authentifizierung, und Rechtemanagement einher. Was bisher beim Usermanagement vieler Firmen für die einigen wenigen im Einsatz befindlichen Cloud Sonderlocken per Hand-am-Arm, Email und Exceltabellen funktioniert hat, muss jetzt in die bestehenden administrativon Prozesse integriert und vor allem automatisiert werden.

Das große Buzzword ist hier das User Life Cycle Management. Dabei spielen die SAP Identity Services eine gewissen Rolle sobald es um SAP Cloud Lösungen geht. Die Nutzung und den Aufbau von IAS&IPS sollte man aber wenn möglich in einem Projekt für ein Cloud orientiertes User-Life-Cycle-Management sehen. Stichworte wie SAP Universal ID, UUID, Zero Trust Network, etc. werden auf Jahre die treibenden Buzzwords sein, die man neben der Architektur und dem Daily Business im Blick behalten will.

Der Servicio de autenticación de identidad ist teil der Servicios de identidad de SAP (IAS+IPS). Es ist ein Identity Provider (IDP) den SAP zur Nutzung mit den SAP Cloud Services nahelegt. Strategisch ist angedacht die Nutzung des IAS als primärer IDP für SAP Cloud Lösungen über die nächsten Jahre hinweg für immer mehr SAP Cloud Produkte zwingend vorgesehen werden

Ganz wichtig: Der IAS kann als Authentication-Proxy konfiguriert werden. Sehr viele Kunden haben zB den IAS als IDP für BTP konfiguriert. Im IAS wird dann zur Authentifizierung auf den Unternehmens IDP (typischerweise AD, Azure AD, etc.) gezeigt.

Características destacadas de IAS

• Proxy de proveedor de identidad corporativa – IAS kann als proxy konfiguriert werden. Die eigentlich Authentifizierung wird dann nach wie vor vom Corp IDP durch geführt und die User Credentials werden auch dort und nicht im IAS verwaltet.
• Autenticación multifactor – OTP (One-Time-Password) Multifaktorauthentifizierung über Softtokens, FIDO2 y Email kann konfiguriert werden.
• Autenticación condicional – Hinterlegen von Regel um zB Multifaktorauthentication für externe IP Adressen zu erzwingen aber für interne IP Adressen es doch einfacher zu gestalten. Oder externe ()zB Partner) Usuario nicht über AD sondern die IAS interne Autenticación laufen zu lassen.
• API para proyectos de integración – Über die verfügbaren Schnittstellen ergibt sich eine sehr große Flexibilität. zB Könnte man auf BTP ein Selbstregistrierungsportal mit Freigabeworkflow für Partner implementieren. Oder den IAS über die SCIM Schnittstelle mit dem Corporate User Life Cycle Management integrieren.

IAS actuando como proxy para un IDP corporativo como MS Azure AD

IAS – Kleine (aber dokumentierte) Geheimnisse

• IAS & IPS kommen historisch aus dem BTP Umfeld. Entsprechend «benehmen» sich IAS & IPS eben nicht wie die vielen anderen BTP Services. Es gibt zwar Verknüpfungspunkte – man kann neue Identity Service Instanzen über das Cloud Cockpit (zB Bei CPEA Lizensierung) leicht aktivieren. Die Nutzung und Verwaltung ist aber eigentlich selbstständig und erfolgt nicht über das BTP Admin Cockpit.
• Ein SAP Kunde kann auch selber sehen, welche Servicios de identidad Inquilinos bereits für ihn existieren (wurden desplegado). Dazu gibt es dieses Interfaz https://iamtenants.accounts.cloud.sap/
• Zu jedem SAP Identity Service Tenant (IAS&IPS) gehört auch immer ein Test-Tenant dazu. Wenn die Lizensierung también einen kostenfreien “IAS” Tenant pro SAP Kunden beschreibt, sind eigentlich ein Produktiver- und ein Test-Tenant gemeint.
• NIC Kann eine UUID para jeden User anlegen und pflegenkann aber auch eine bestehende UUID für die User übernehmen (a través de IPS / SCIM API). UUID werden bei unseren SAP Cloud Produkten immer wichtiger, für manche Produkte (zB Centro de tareas de SAP) ist eine UUID sogar Voraussetzung.

IAS como proxy con AAD que maneja la autenticación de terceros directamente

Der Servicio de aprovisionamiento de identidad ist teil der Servicios de identidad de SAP (IAS+IPS). Der Dienst transportiert User Identities und deren Rollen zwischen Systemen. Durch seine verschiedenen Connectoren zu vielen der SAP Cloud Systemen kann er die noch teilweise unterschiedlichen Systemschnittstellen auf den SCIM Standard normalisieren. Auch liefert er eine Basiskonfiguration je Cloud Service Connector mit um die Integration zu erleichtern. Eine Anpassung der jeweiligen zu übertragenen Datenfelder ist aber trotzdem möglich.

Características destacadas de IPS

IPS – Kleine (aber dokumentierte) Geheimnisse

• IAS & IPS kommen historisch aus dem BTP Umfeld. Alte IPS Tenants y Sogar BTP NEO Services. Neue IPS Tenants laufen auf der SAP Identity Service Infrastruktur. Entsprechend «benehmen» sich IAS & IPS eben nicht wie die vielen anderen BTP Services. Siehe auch nächster Punkt.
• IPS Tenants gibt es auf zwei verschiedenen Infrastrukturen. Seit dem 15 März 2022 werden neue IPS Tenants auf der Identity Services Infrastruktur implementada. Vor diesem Datum erstellte Tenants sind BTP NEO Services.
• Neue Tenants haben schon im Standard mehr Connectoren. Die neuen, auf der SAP Cloud Identity Services Infrastructure laufenden, IPS Tenants enthalten fast alle verfügbaren Connectoren gleich von vornherein.
• Connectoren Bundles gelten vor allem für IPS Tenants auf NEO. Vor März 2022 wurden die IPS Connectoren nur über die jeweiligen Produkt-Bundles verfügbar gemacht. Damit sollten Kunden die zu ihrem jeweilig lizensierten SAP Cloud Lösung gehörenden Connectoren bekommen (über die IPS-Produkt-Bundles). Für IPS Tenants auf NEO gilt das auch heute noch. Nur die neuen IPS Tenants auf der SAP Cloud Identity Services Infrastruktur stellen Connectoren auch außerhalb der Bundles zur Verfügung.
• IPS-NEO Tenants auf die IAS&IPS Infrastruktur migrieren. Wenn man will, kann man einen bestehenden IPS-NEO Tenant auf einen neuen IPS Tenant migrieren. Das mag, gerade wenn man einen Connector außerhalb der verfügbaren Bundles benötigt, sinnvoll sein. Bevor man eine IPS productivo Instanz aber anfasst, auf jeden Fall gründlich die Motivation und die Konsequenzen ausarbeiten. “Nunca toques un sistema en ejecución” gilt eben auch in der Cloud.

Die Lizensierung der SAP Identity Services (IAS & IPS) wird im Guía de descripción del servicio BTP (auch im SAP Trust Center) beschrieben. Zusammenfassend ist ein Tenant (Prod+Test) für jeden SAP Cloud Kunden kostenfrei enthalten. Auch wenn man mehrere SAP Cloud Produkte im Einsatz hat, es ist erst mal nur ein IAS/IPS Tenant kostenfrei.

Ein paar wenige SAP Cloud Produkte bieten die Möglichkeit, zusätzliche IAS/IPS Tenants zu generieren (zB SuccessFactors) – hier gelten die Lizenzbedingungen des jeweiligen Produktes. Bei SFSF solte ein IAS/IPS je SFSF Tenant enthalten sein sofern man die passenden SFSF Module einsetzt.

Die Nutzung (Inicios de sesión) es nur bei Anmeldung an SAP Cloud o SAP on-prem Systeme kostenfrei. Die genauen Details bitte dem Lizenztext entnehmen.

• BTP: plataforma de tecnología empresarial de SAP
• BTP NEO: plataforma de tecnología empresarial de SAP NEO
• BTP CF: Fundición en la nube de la plataforma de tecnología empresarial de SAP
• IAS: SAP Cloud Identity Services: autenticación de identidad
• IPS: SAP Cloud Identity Services: aprovisionamiento de identidad
• CPEA: Acuerdo empresarial de plataforma en la nube
• IDP: proveedor de identidad
• AD: Active Directory, también conocido como Microsoft Active Directory
• AAD: directorio activo de Microsoft Azure
• UUID: Identificador único universal
• Local: local, también conocido como klassische Systembetrieb in einem Rechenzentrum
• alias: También conocido como – auch bekannt als
• SCIM: Sistema para la gestión de identidades entre dominios
• SAP: Systemanalyse Programmentwicklung
• SFSF: factores de éxito de SAP