Die SAP Identity Services sind einen Sammlung von Tools, mit denen Sie die wichtigsten Identity Management Prozesse abbilden können.
Konkret gehören dazu:
- Identity Directory Service (SAP IDDS)
- Identity Provisioning Service (SAP IPS)
- Identity Authentication Service (SAP IAS)
Identity Directory Service
Ein Verzeichnisdienst der SAP, in dem alle User- und Gruppenzuweisungen gespeichert werden (analog zu z.B. AD/AAD)
Identity Provisioning Service
Ein Service, der Gruppenzuweisungen ins Backend-System provisioniert, inkl. Attributmappings und Transformationen
Identity Authentication Service
Der IdP von der SAP. Hiermit können MFA-, SSO-Szenarien umgesetzt werden oder aber auch als Proxy an den Cooperate IdP weitergeleitet werden.
Variante 1: Customer IAM im Einsatz
- Personalstammdaten aus dem SAP SuccessFactors (oder auch ein anderes HR-System) werden an das beim Kunden eingesetzte IDM-System gesendet.
- IDM sendet die Useraccounts bzw. Gruppenzuweisungen für alle SAP-Cloud-Systeme an den SAP-IdDS.
- IDM sendet die Useraccounts bzw. Gruppenzuweisungen für alle NON-SAP-Cloud-Systeme direkt an das betroffene System.
- Mit Hilfe des SAP-IPS werden die Userattribute auf das Backend-Attribute des jeweiligen Systems transformiert und gemappt.
- Der IPS provisioniert die passenden Attribute ins Backend-System.
Variante 2: Ohne Customer IAM
- Personalstammdaten werden aus dem SAP SuccessFactors (oder auch ein anderes HR-System) an den SAP-BTP-Service „SAP Master Integration“ gesendet.
- SAP Master Data Integration legt die entsprechenden Useraccounts auf dem SAP IdDS an.
- Geänderte Masterdaten bzw. Gruppenzuweisungen werden automatisch im SAP IPS zur Provisionierung getriggert.
- Mit Hilfe von Mappings werden die Attribute vom SAP-IPS für (SAP-)Cloud-Systeme direkt ins Backend provisioniert.
- On-Premise-SAP-Systeme werden über den SAP-Cloud-Connector mit Attributänderung bzw. Gruppen-/Berechtigungszuweisungen versorgt.
- Bei Non-on-Premise-SAP-Systeme müssen entsprechende Schnittstellen spezifisch untersucht werden..