Technology Blogs by SAP
Learn how to extend and personalize SAP applications. Follow the SAP technology blog for insights into SAP BTP, ABAP, SAP Analytics Cloud, SAP HANA, and more.
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

Technische Zusammenhänge der SAP Identity Services für Admins und Architekten

D_Olderdissen
Advisor
Advisor
‎02-08-2023 1:31 PM
Eigentlich wollte ich nur einem SAP Cloud Neukunden eine Email schreiben um die wichtigsten IAS&IPS Themen zusammen zu fassen. Aus meiner SAP Rolle her raus habe ich dieses Thema sehr oft mit den unterschiedlichsten Kunden besprochen und bei der ersten Orientierung geholfen. Und bevor ich jetzt die X-te Email zu dem Thema schreibe, dachte ich mir packe es doch gleich in ein Blog. Es mag sich hier und da also ein wenig Hemdsärmelig lesen, aber dafür isses erst mal aus der Tür.

Wichtig:

  • Auch wenn hier technische Themen angesprochen werden, ist dies nur mein persönlicher Eindruck.  Wo immer möglich, habe ich Verweise auf die Quellen als Links eingebaut. Unterm Strich sollte hier also eigentlich nichts neues drin stehen, es ist vielleicht einfach nur etwas zugänglicher zusammen gestellt.

  • Einen Anspruch auf Deutungshoheit der offiziellen SAP Aussagen (wie Lizenztexte etc) erhebe ich nicht - also bitte immer in den Quellen nachlesen.

  • Ich bin auch kein Consultant, der jeden Tag seine Finger in solchen Systemen hat. Empfehlungen kann und werde ich also gar nicht aussprechen.

  • Um den Text leserlich zu halten, verwende ich viele Abkürzungen. Ein Abkürzungsverzeichnis (so wie damals an der Uni) habe ich unten dran gehängt.


 

Das große Ganze


Mit dem "Move to the Cloud" geht auch immer die Frage nach der Authentifizierung, und Rechtemanagement einher. Was bisher beim Usermanagement vieler Firmen für die einigen wenigen im Einsatz befindlichen Cloud Sonderlocken per Hand-am-Arm, Email und Exceltabellen funktioniert hat, muss jetzt in die bestehenden administrativen Prozesse integriert und vor allem automatisiert werden.

Das große Buzzword ist hier das User Life Cycle Management. Dabei spielen die SAP Identity Services eine gewissen Rolle sobald es um SAP Cloud Lösungen geht. Die Nutzung und den Aufbau von IAS&IPS sollte man aber wenn möglich in einem Projekt für ein Cloud orientiertes User-Life-Cycle-Management sehen. Stichworte wie SAP Universal ID, UUID, Zero Trust Network, etc werden auf Jahre die treibenden Buzzwords sein, die man neben der Architektur und dem Daily Business im Blick behalten will.

 

IAS Kurzbeschreibung


Der Identity Authentication Service ist Teil der SAP Identity Services (IAS+IPS). Es ist ein Identity Provider (IDP) den SAP zur Nutzung mit den SAP Cloud Services nahelegt. Strategisch ist angedacht  die Nutzung des IAS als primärer IDP für SAP Cloud Lösungen über die nächsten Jahre hinweg für immer mehr SAP Cloud Produkte zwingend vorgesehen werden.

Ganz wichtig: Der IAS kann als Authentication-Proxy konfiguriert werden. Sehr viele Kunden haben z.B. den IAS als IDP für BTP konfiguriert. Im IAS wird dann zur Authentifizierung auf den Unternehmens IDP (typischerweise AD, Azure AD, etc) gezeigt.

 

IAS Feature Highlights



  • Proxy zu Corporate Identity Providern - IAS kann als proxy konfiguriert werden. Die eigentlich Authentifizierung wird dann nach wie vor vom Corp IDP durch geführt und die User Credentials werden auch dort und nicht im IAS verwaltet.

  • Multifaktor Authentication - OTP (One-Time-Password) Multifaktorauthentifizierung über Softtokens, FIDO2 und Email kann konfiguriert werden.

  • Conditional Authentication - Hinterlegen von Regel um z.B. Multifaktorauthentication für externe IP Adressen zu erzwingen aber für interne IP Adressen es doch einfacher zu gestalten. Oder externe ()z.B. Partner) User nicht über AD sondern die IAS interne Authentication laufen zu lassen.

  • API`s für Integrationsprojekte - Über die verfügbaren Schnittstellen ergibt sich eine sehr große Flexibilität. z.B. Könnte man auf BTP ein Selbstregistrierungsportal mit Freigabeworkflow für Partner implementieren. Oder den IAS über die SCIM Schnittstelle mit dem Corporate User Life Cycle Management integrieren.



IAS acting as proxy for a corporate IDP like MS Azure AD


 

IAS - Kleine (aber dokumentierte) Geheimnisse



  • IAS & IPS kommen historisch aus dem BTP Umfeld. Entsprechend "benehmen" sich IAS & IPS eben nicht wie die vielen anderen BTP Services. Es gibt zwar Verknüpfungspunkte - man kann neue Identity Service Instanzen über das Cloud Cockpit (z.B. Bei CPEA Lizensierung) leicht aktivieren. Die Nutzung und Verwaltung ist aber eigentlich selbstständig und erfolgt nicht über das BTP Admin Cockpit.

  • Ein SAP Kunde kann auch selber sehen, welche Identity Services Tenants bereits für ihn existieren (deployed wurden). Dazu gibt es dieses Interface https://iamtenants.accounts.cloud.sap/

  • Zu jedem SAP Identity Service Tenant (IAS&IPS) gehört auch immer ein Test-Tenant dazu. Wenn die Lizensierung also einen kostenfreien "IAS" Tenant pro SAP Kunden beschreibt, sind eigentlich ein Produktiver- und ein Test-Tenant gemeint.

  • IAS kann eine UUID für jeden User anlegen und pflegen, kann aber auch eine bestehende UUID für die User übernehmen (via IPS / SCIM API). UUID werden bei unseren SAP Cloud Produkten immer wichtiger, für manche Produkte (z.B. SAP Task Center) ist eine UUID sogar Voraussetzung.



IAS as proxy with AAD handling 3rd party auth directly



IPS Kurzbeschreibung


Der Identity Provisioning Service ist Teil der SAP Identity Services (IAS+IPS). Der Dienst transportiert User Identities und deren Rollen zwischen Systemen. Durch seine verschiedenen Connectoren zu vielen der SAP Cloud Systemen kann er die noch teilweise unterschiedlichen Systemschnittstellen auf den SCIM Standard normalisieren. Auch liefert er eine Basiskonfiguration je Cloud Service Connector mit um die Integration zu erleichtern. Eine Anpassung der jeweiligen zu übertragenen Datenfelder ist aber trotzdem möglich.

 

IPS Feature Highlights



IPS - Kleine (aber dokumentierte) Geheimnisse



  • IAS & IPS kommen historisch aus dem BTP Umfeld. Alte IPS Tenants sind sogar BTP NEO Services. Neue IPS Tenants laufen auf der SAP Identity Service Infrastruktur. Entsprechend "benehmen" sich IAS & IPS eben nicht wie die vielen anderen BTP Services. Siehe auch nächster Punkt.

  • IPS Tenants gibt es auf zwei verschiedenen Infrastrukturen. Seit dem 15 März 2022 werden neue IPS Tenants auf der Identity Services Infrastruktur deployed. Vor diesem Datum erstellte Tenants sind BTP NEO Services.

  • Neue Tenants haben schon im Standard mehr Connectoren. Die neuen, auf der SAP Cloud Identity Services Infrastructure laufenden, IPS Tenants enthalten fast alle verfügbaren Connectoren gleich von vornherein.

  • Connectoren Bundles gelten vor allem für IPS Tenants auf NEO. Vor März 2022 wurden die IPS Connectoren nur über die jeweiligen Produkt-Bundles verfügbar gemacht. Damit sollten Kunden die zu ihrem jeweilig lizensierten SAP Cloud Lösung gehörenden Connectoren bekommen (über die IPS-Produkt-Bundles). Für IPS Tenants auf NEO gilt das auch heute noch. Nur die neuen IPS Tenants auf der SAP Cloud Identity Services Infrastruktur stellen Connectoren auch außerhalb der Bundles zur Verfügung.

  • IPS-NEO Tenants auf die IAS&IPS Infrastruktur migrieren. Wenn man will, kann man einen bestehenden IPS-NEO Tenant auf einen neuen IPS Tenant migrieren. Das mag, gerade wenn man einen Connector außerhalb der verfügbaren Bundles benötigt, sinnvoll sein. Bevor man eine productive IPS Instanz aber anfasst, auf jeden Fall gründlich die Motivation und die Konsequenzen ausarbeiten. “Never touch a running system” gilt eben auch in der Cloud.


 

Lizensierung


Die Lizensierung der SAP Identity Services (IAS & IPS) wird im BTP Service Description Guide (auch im SAP Trust Center) beschrieben. Zusammenfassend ist ein Tenant (Prod+Test) für jeden SAP Cloud Kunden kostenfrei enthalten. Auch wenn man mehrere SAP Cloud Produkte im Einsatz hat, es ist erst mal nur ein IAS/IPS Tenant kostenfrei.

Ein paar wenige SAP Cloud Produkte bieten die Möglichkeit, zusätzliche IAS/IPS Tenants zu generieren (z.B. SuccessFactors) - hier gelten die Lizenzbedingungen des jeweiligen Produktes. Bei SFSF sollte ein IAS/IPS je SFSF Tenant enthalten sein sofern man die passenden SFSF Module einsetzt.

Die Nutzung (Logins) ist nur bei Anmeldung an SAP Cloud oder SAP on-prem Systeme kostenfrei. Die genauen Details bitte dem Lizenztext entnehmen.

 

Fragen und Antworten (Q&A) (EDIT 14.02.23)


Zu diesem Blog sind ein paar Fragen in den Kommentaren gestellt worden, die ich hier versuche mit meiner persönlichen Meinung zu beleuchten.


  1. Was bedeutet es technisch, wenn die neuen Tenants auf der 
    
"SAP Cloud Identity Services Infrastructure" laufen. Ist das weiterhin eine 
    
SAP-managed oder Multi-Cloud Umgebung? Gibt es dazu von SAP ein paar mehr 
    
Details außer hier?


    • Technisch sind IAS&IPS natürlich auf einem System und wir (SAP) können da die beiden Lösungen weiter zusammen wachsen lassen. Und IPS ist kein BTP NEO Service mehr.  Wie sich die Integration von IPS in die verschiedenen Sources and Destinations verändert hat, weiß ich nicht genau, da ich selber nicht implementiere.

    • Auf welchem Infrastrukturprovider die Services laufen kann ich anhand öffentlicher Quellen auch nicht nachvollziehen. Frage mich aber was der Mehrwert wäre, das zu wissen. Es ist halt mal "nen Cloud Service"? In anderen Worten, was ändert es, wenn man das weiß bzw nicht weiß?

    • Gefühlt (meine pers. Meinung aus der Salesecke) ist unter der Haube vor allem Multi-Cloud. Wobei es wohl interne Projekte gibt, neue Instanzen auch auf den üblichen "Hyperscalern" auf zu bauen. Hier ist die treibende Kraft vor allem die Kundennachfrage solcher Instanzen in Geo-Locations zu haben, wo wir (SAP) keine Multi-Cloud Infrastruktur sondern nur auf "Hyperscalern" anbieten können.




  2. Ist SCI ist die korrekte offizielle SAP Abkürzung für die SAP Cloud Identity Services?


    • Gute Frage - ich habe intern noch keine gelebte oder sogar offizielle Abkürzung gesehen. Ich selber assoziere mit SCI halt SAP Cloud Integration. 🙂






  1. Kleinere Unternehmen die bspw. SAP Analytics Cloud und Ariba einsetzen und nun 
    
so langsam auch mit der Entwicklung in der BTP starten. SCI Tenants sind keine
    
vorhanden (laut Prüfung via IAMTENANTS) und mit SAC/Ariba kommt ja auch kein IAS mit.


    • Hier am besten in den oben verlinkte Lizenztext und den Lizenz-Blog reinschauen. Der Gedanke ist da eigentlich, dass SAP Kunde mit einem SAP Cloud Vertrag auf jeden Fall einen IAS/IPS (Prod+Test) kostenfrei bekommt. Das ist eine gewisse Minimalausstattung, aber man kann damit durch aus schon alle seine SAP Cloud Produkte an einen zentralen IAS \IPS dranhängen und hat noch mal mit dem Test Tenant ne praktische Spielwiese.

    • Sprich auch wenn ein Kunde bisher von uns (SAP) nur ein Cloud Produkt einsetzt, kann er eigentlich so einen kostenfreien IAS/IPS Tenant bekommen. Wichtig, auch wer 10 SAP Cloud Produkte von uns hat, bekommt nur diesen einen ersten IAS/IPS Tenant kostenfrei.

    • Wie man dann so einen IAS/IPS Tenant bekommt, steht in der Dokumentation. Ich habe von Fällen gehört, wo ein einzelner Kunde wirklich nur ein SAP Cloud Produkt hatte und noch KEINE BTP. Das kann, wenn es doof läuft, eventuell zu einen Support-Ping-Pong führen. Mein pragmatischer Gedanke wäre in so einem Fall auf eine Pay-As-You-Go BTP Lizenz zu gehen. Dadurch hat man einen BTP Global Account, man kann alles IAS/IPS Features die BTP Accounts brauchen nutzen und solange man die kleinen Knubbelfinger von den Kostenpflichtigen Services läßt, sollten auch keine Kosten anfallen. Und für die allermeisten SAP Kunden wird BTP sowieso früher oder später zum unerlässlichen Werkzeug.

    • [NEW 2023-03-07] Die Ariba Connectoren scheinen da zu sein und auch zu funktionieren. Siehe Ariba Applications Source und auch Targets." This system is available for ... and bundle tenants running on SAP Cloud Identity infrastructure"




  2. Die beiden SAP SaaS-Anwendungen sind dann SAML-technisch bereits meist am 
    
ADFS/Azure etc. angebunden. Nun kommen im Rahmen der SSO-Einführung On-Premise
    
Systeme dazu (S/4HANA etc.) und gerade im Kontext BTP Subaccounts und
    
Appl./Plattform Benutzer kommt dann der IAS als ganz neue Anforderung ins
    
Spiel. Welches Bundle wäre hier empfehlenswert, nehme an das BTP Bundle? 
    
Dieses wäre dann in in diesem konkreten Szenario in der Nutzung kostenfrei?


    • Für mich stellt sich die Frage nach den Bundles nicht mehr. Über den IPS auf der SAP Cloud Identity Services Infrastruktur (der neue IPS Tenant) bekommt man schon fast alles was man braucht und da ist dann auch ein IPS SAC Connector dabei (Doku hat nur ein inverse unvollständige Liste und Ariba ist da erst in der Connector Doku ausgeschlossen).

    • Mein Gedanke (keine Empfehlung) wäre bei Neukonfigurationen gleich den neuen IPS Tenant zu nehmen. Damit bekommt die meisten Connectors und ist auch auf dem aktuellen Technologiezug.

    • Als gedankliche Ausrichtung spreche ich hier gerne über die zwischen den Zeilen zu findende SAP interne Planung den IAS immer mehr als verpflichtenden primary IDP mit den SAP Cloud Produkten zu verheiraten. Wenn es also keine triftigen Gründe gibt die gegen IAS sprechen, den IAS einfach reinnehmen. Die Liste der SAP Cloud Produkte wo es ohne IAS nicht geht, wird halt immer länger.




  3. Was die Authentifizierung betrifft mit dem IAS wäre es mir klar, das ist kein
    
Thema. Beim IPS wäre ich mir nicht sicher, was die beiden Targets Ariba und SAC
    
betrifft, da das BTP Bundle angeblich diese Targets nicht unterstützt, 
    
oder nun doch? Da ja die auf der SAP Cloud Identity Services Infrastructure 
    
laufenden IPS Tenants fast alle verfügbaren Connectoren gleich von vornherein 
    
beinhalten? Braucht der Kunde dann das IAG Bundle oder doch nicht?

    [EDIT 13.03.2023]

    • Für Ariba hat IPS inzwischen einen Source and Target connector.

    • Über einen IPS Tenant auf der SAP Cloud Identity Infrastructure sollten die Ariba Connectoren auch "allgemein" verfügbar sein.

    • Die zugrunde liegende Ariba API ist noch recht frisch und die Kollegen müssen wohl noch ein paar scharfe Ecken rund klopfen. SAP Note 3228340 beschreibt die API und schränkt die offiziell unterstützte Nutzung aktuell leider auf das SAP Task Center ein. Sprich ein Anbindung anderer Systeme wie das SAP Task Center über IPS kann gehen, muss aber nicht und der Ariba Support kann nur bei der Anbindung vom Task Center helfen.




 

Blogs



 

Abkürzungsverzeichnis



  • BTP: SAP Business Technology Platform

  • BTP NEO: SAP Business Technology Platform NEO

  • BTP CF: SAP Business Technology Platform Cloud Foundry

  • IAS: SAP Cloud Identity Services - Identity Authentication

  • IPS: SAP Cloud Identity Services - Identity Provisioning

  • CPEA: Cloud Platform Enterprise Agreement

  • IDP: Identity Provider

  • AD: Active Directory aka Microsoft Active Directory

  • AAD: Microsoft Azure Active Directory

  • UUID: Universal Unique Identifier

  • On-prem: On-premise aka klassische Systembetrieb in einem Rechenzentrum

  • aka: Also known as - auch bekannt als

  • SCIM: System for Cross-domain Identity Management

  • SAP: Systemanalyse Programmentwicklung

  • SFSF: SAP SuccessFactors

Labels:
5 Comments
Labels in this area
Popular Blog Posts