Die steigende Anzahl der digitalen Technologien verändern die Landschaft von Unternehmen und bringen eine Reihe von Sicherheitsproblemen mit sich, mit denen sich sowohl mittelständische als auch große Konzerne sich gezwungenermaßen befassen müssen. Insbesondere wenn es um die Verwaltung von Benutzeridentitäten und den Zugriff auf Geschäftslösungen geht. Um diese Herausforderungen zu bewältigen, benötigen Unternehmen einen einheitlichen, umfassenden und zentralisierten Ansatz für das Identitätsmanagement und die Zugriffssteuerung. In diesem Artikel befassen wir uns mit dem SAP Identity Authentication Service (IAS) und machen uns einen Überblick über dessen Kernfunktionen und Integrationsmöglichkeiten.
SAP Cloud Identity Services
Die SAP hat angekündigt, 2020 stark in die Integration zu investieren. Security ist nur ein Aspekt der Integration, aber einer von hoher Bedeutung. Die Cloud Identity Services bieten hierbei die Kern- Sicherheitsfunktionen an: Benutzerauthentifizierung und Benutzerbereitstellung.
Derzeit umfasst die SAP Cloud Identity Services folgende zwei Dienste:
- Identity Authentication
- Identity Provisioning
Beide Services sind über den Service Catalog in der SAP Cloud Platform (weitere Infos zu SCP hier) verfügbar.
Oft wird der Frage nach der Authentifizierungsmethode in einer hybriden Systemlandschaft nicht die nötige Beachtung geschenkt. Wobei die Frage essentiell für die Gewährleistung der Zugriffssicherheit ist. Viele Unternehmen haben hybride Systemlandschaften bestehend aus SAP / Non-SAP Anwendungen, Standardsoftware, Eigenentwicklungen usw. die in der Cloud oder On-Premise laufen. Mit der Anzahl der Systeme erhöht sich auch die Anzahl der Zugangsdaten und somit auch der Aufwand für die Systeme. Hierbei kann es für den Anwender mal schnell unübersichtlich werden.
Ein einfacher Zugriff über einen Single Sign-On stellt in so einem Fall eine erhebliche Erleichterung dar.
Um die Benutzerverwaltung zu vereinfachen, lagern einige Cloudanwendungen ihren Authentifizierungsprozess an ein zentrales System aus. Der User wird dort authentifiziert und bekommt dann einen Sicherheits-Token. Mit diesem Token wird dann der Login-Prozess abgeschlossen. Eine ähnliche Funktion übernimmt auch der SAP Identity Authentication Service (IAS).
Doch was genau macht der Service?
SAP Identity Authentication Service (IAS)
Der Service fungiert als zentraler Identity Provider für die angeschlossenen Anwendungen. Die Hauptaufgabe ist es, Sicherheitstoken für authentifizierte Anwender für bestimmte Zielanwendungen bereitzustellen. Sie dient als zentrale Schnittstelle, die verschiedene Authentifizierungsmethoden für Benutzer implementiert. Gleichzeitig ermöglicht sie den Zugriff auf angeschlossene Systeme, unabhängig davon ob die Anwendungen in der Cloud oder On-Premise laufen.
Dies sind die Hauptfunktionen des Services:
- Standardisierte Authentifizierungsmethoden für Cloud- und On-Premise Anwendungen
- Zentralisierte Verwaltung
- Risikobasierte Authentifizierungsregeln
- Zwei-Faktor-Authentifizierung
- Single-Sign-On-Funktionalität
- Integrationsszenarien mit bereits vorhandenen IdPs
- Einheitliche Benutzererfahrung
- Flexible Option für die Benutzerverwaltung
Beispielszenario:
Mitarbeiter XY braucht für seine tägliche Arbeit Zugang zu einer bestimmten Geschäftsanwendung. Er öffnet den Web-Browser und ruft über das SAP Fiori Launchpad eine Anwendung auf. Daraufhin prüft die Anwendung ob bereits eine offene Sitzung für den Benutzer vorhanden ist oder ob ein Sicherheitstoken existiert. Falls kein Sicherheitstoken existiert, fragt die Anwendung beim Identity Authentication Service an und der Mitarbeiter kann sich authentifizieren.
Hierbei sind folgende Authentifizierungsmethoden möglich:
- Benutzername / Passwort (Standard)
- 509-Zertifikat
- SPNEGO / Kerberos
- 2-Faktor-Authentifizierung
- Weiterleiten der Anfrage an einen vom Kunden konfigurierten Corporate Identity Provider (IdP)
Nach der erfolgreichen Authentifizierung erhält der Nutzer dann einen Sicherheitstoken vom Service. Dieser Token wird nun verwendet, um eine Verbindung mit der Anwendung herzustellen. Hierbei erstellt die Anwendung einen Sitzungstoken, der nur für die Anwendung gültig ist.
Hierbei sind folgende Typen möglich:
- SAML 2.0 assertion
- OpenID Connect (OIDC)
Sobald der Sicherheitstoken vom SAP IAS ausgestellt wurde, kann der Nutzer weitere verschiedene Geschäftsanwendungen aufrufen. Der Zugriff ist dann so lange möglich, bis der Webbrowser geschlossen wurde oder die Gültigkeitsdauer des Tokens überschritten ist.
Folgende Abbildung zeigt den Ablauf der Authentifizierung über SAP IAS:
Anschließend stellt sich die Frage: Wo werden die Benutzerdaten denn nun gespeichert? Irgendwo muss ja der Abgleich zwischen den eingegebenen Werten und den Benutzerdaten stattfinden.
Hier bietet SAP IAS folgende 3 Optionen:
1. Nutzung des Standard IAS Benutzerspeichers
IAS nutzt den hierbei den eigenen Benutzerspeicher. Über eine Web UI kann der Admin dann User anlegen und verwalten. Es besteht die Möglichkeit Massenimports mithilfe von CSV Dateien durchzuführen.
2. Anbindung eines bereits bestehenden Benutzerspeichers
Falls es bereits einen Benutzerspeicher gibt, kann er mit SAP IAS gekoppelt werden. Beispiel: Active Directory (LDAP) oder ein HCM System. Bei dieser Variante gleicht SAP IAS die Anmeldedaten mit den Daten des Benutzerspeichers ab, um den Benutzer zu Authentifizieren.
3. Integration mit einem bereits existierendem Identity Provider
Hier ist ein bereits bestehender Identity Provider mit in den Authentifizierungsprozess integriert. In diesem Fall fungiert der SAP IAS als eine Art Proxy, welcher die Authentifizierungsanfragen an den hervorgesehenen Identity Provider weiterleitet. Der SAP IAS transformiert die Authentifizierungs-Token und leitet sie an die Zielanwendungen weiter.
Fazit und Ausblick
Abschließend kann man sagen, dass mit Hilfe von SAP Authentication Service, der Authentifizierungsprozess in einer hybriden Systemlandschaft zentralisiert und vereinfacht werden kann. Die Benutzerverwaltung wird durch einen einheitlichen Benutzerspeicher vereinfacht. Die Tatsache, dass mit SAP IAS sowohl SAP, als auch Non-SAP Systeme integriert werden können, hebt das Produkt von herkömmlichen Identity Providern ab.
Weitere Links zum Thema:
SAP Community Topics – SAP Cloud Identity Services (SAP IAS):
https://community.sap.com/topics/cloud-identity-services/identity-authentication
Blog-Artikel der SAP:
https://blogs.sap.com/2020/02/19/the-cloud-enterprise-security-suite-cloud-identity-services/
Bei weiteren Fragen könnt ihr gerne die Kommentarfunktion nutzen oder mich direkt anschreiben über elkhan.aliyev@cgi.com.
alaska31 sagt:
Sehr interessanter und hilfreicher Beitrag für einen SAP Software Nutzer wie mich!