Identity Management

SAP IDM 8.0 – was kommt danach?

Mit dem Ende der SAP Netweaver Plattform wird auch das Ende von SAP IDM 8.0 eingeläutet.
Die Maintenancephase endet 2027 mit der Option auf Verlängerung bis 2030.
Die SAP wird keinen offiziellen IDM-Nachfolger bereitstellen.
Wir geben Ihnen einen ersten Überblick welche Möglichkeiten man hat und ob es nicht
doch möglich ist, alles aus einer Hand aus dem SAP-Universum zu erhalten.

Identity Services – das Tor zur SAP-Cloud-Welt


Die SAP Identity Services sind einen Sammlung von Tools, mit denen Sie die wichtigsten Identity Management Prozesse abbilden können.

Konkret gehören dazu:

  • Identity Directory Service (SAP IDDS)
  • Identity Provisioning Service (SAP IPS)
  • Identity Authentication Service (SAP IAS)

Identity Directory Service
Ein Verzeichnisdienst der SAP, in dem alle User- und Gruppenzuweisungen gespeichert werden (analog zu z.B. AD/AAD)  

Identity Provisioning Service
Ein Service, der Gruppenzuweisungen ins Backend-System provisioniert, inkl. Attributmappings und Transformationen

Identity Authentication Service
Der IdP von der SAP. Hiermit können MFA-, SSO-Szenarien umgesetzt werden oder aber auch als Proxy an den Cooperate IdP weitergeleitet werden.

Variante 1: Customer IAM im Einsatz

  1. Personalstammdaten aus dem SAP SuccessFactors (oder auch ein anderes HR-System) werden an das beim Kunden eingesetzte IDM-System gesendet.
  2. IDM sendet die Useraccounts bzw. Gruppenzuweisungen für alle SAP-Cloud-Systeme an den SAP-IdDS.
  3. IDM sendet die Useraccounts bzw. Gruppenzuweisungen für alle NON-SAP-Cloud-Systeme direkt an das betroffene System.
  4. Mit Hilfe des SAP-IPS werden die Userattribute auf das Backend-Attribute des jeweiligen Systems transformiert und gemappt.
  5. Der IPS provisioniert die passenden Attribute ins Backend-System.

Variante 2: Ohne Customer IAM

  1. Personalstammdaten werden aus dem SAP SuccessFactors (oder auch ein anderes HR-System) an den SAP-BTP-Service „SAP Master Integration“ gesendet.
  2. SAP Master Data Integration legt die entsprechenden Useraccounts auf dem SAP IdDS an.
  3. Geänderte Masterdaten bzw. Gruppenzuweisungen werden automatisch im SAP IPS zur Provisionierung getriggert.
  4. Mit Hilfe von Mappings werden die Attribute vom SAP-IPS für (SAP-)Cloud-Systeme direkt ins Backend provisioniert.
  5. On-Premise-SAP-Systeme werden über den SAP-Cloud-Connector mit Attributänderung bzw. Gruppen-/Berechtigungszuweisungen versorgt.
  6. Bei Non-on-Premise-SAP-Systeme müssen entsprechende Schnittstellen spezifisch untersucht werden..