SAP und AD: Schnittstelle schaffen via Access Management

Firmen und Organisationen ab einer gewissen Mitarbeiterzahl setzen in der Regel ERP-Software ein, um ihre Geschäftsabläufe zu optimieren. Absoluter Marktführer in diesem Bereich ist der deutsche Hersteller SAP, der mittlerweile mehr als 100 Lösungen für verschiedene Geschäftsbereiche anbietet. Viele Firmen haben sogar mehrere SAP-Systeme parallel im Einsatz.

In großen Unternehmen ist SAP für die zentrale Verwaltung und Steuerung von Geschäftsressourcen unerlässlich. Allerdings muss sie Software selbst auch verwaltet werden. Wer nicht jeden Benutzer händisch vom Active Directory ins SAP übertragen und alle Änderungen doppelt durchführen möchte, profitiert von einer Schnittstelle zwischen SAP und AD. Wir schauen uns an, wie die SAP Active Directory Integration mithilfe einer Software für Berechtigungsmanagement gelingt.

SAP Active Directory Anbindung

Der Wunsch nach einer Schnittstelle zwischen AD und SAP resultiert nicht daraus, dass IT-Administratoren keine Zeit haben, einen neuen User jeweils im Active Directory und im SAP anzulegen. Wenn es pro Mitarbeiter bei diesem einzigen doppelten Arbeitsvorgang bleiben würde, bestünde kaum die Notwendigkeit für eine Verbindung der beiden Systeme. Das Problem ist jedoch: Mit der doppelten Anlage ist es noch lange nicht getan.

Solange es keine SAP AD Anbindung gibt, muss jede Änderung im Active Directory händisch ins SAP übertragen werden. Der Admin muss also jedes Mal, wenn ein Mitarbeiter die Abteilung wechselt, einen neuen Nachnamen annimmt, in Karenz geht, oder jemand aus dem Unternehmen austritt, diese Änderungen sowohl im AD als auch im SAP vornehmen.

Unmöglich? Sicher nicht! Aber es erfordert ein hohes Maß an Genauigkeit und Disziplin. Insbesondere bei Unternehmen mit mehreren Hundert oder Tausend Mitarbeitern. Irgendwann kann die fehlende Integration also zu einem echten Ressourcenproblem werden.

SAP AD Integration via Cloud Connector

Tatsächlich bietet SAP selbst eine Schnittstelle zum Active Directory an. Bzw. gibt es die Möglichkeit, AD als Informationsquelle für SAP zu konfigurieren. Voraussetzung dafür ist, dass auch der SAP Cloud Connector in der Unternehmensumgebung installiert ist.

Diese Schnittstelle sorgt allerdings nur dafür, dass Benutzerinformationen aus dem AD (Gruppenzugehörigkeiten, Zugriffsrechte auf Objekte usw.) auch via SAP einsehbar sind. Die doppelte Durchführung der Änderungen erspart sie dem Admin nicht. Mehr Informationen zu dieser Lösung finden Sie hier.

SAP AD Integration realisieren mit Access Management

Dass die Vernetzung zwischen SAP und AD u.a. eine Ressourcen-Frage ist, haben wir bereits gesehen. Sie ist aber auch eine sicherheitstechnische Frage. Unternehmen sind durch interne und externe Compliance-Richtlinien dazu verpflichtet, Änderungen an personenbezogenen Daten zeitnahe und vollständig in sämtlichen Systemen umzusetzen und diese Vorgänge zu dokumentieren.

Sie können sämtliche Fehlerquellen aufgrund händischer Administration eliminieren, indem Sie die SAP AD Integration mithilfe einer IAM-Software wie tenfold umsetzen. Das Zauberwort in diesem Zusammenhang lautet: Zentrale Benutzerverwaltung (ZBV).

Dadurch, dass alle physischen IT-User in tenfold zentral verwaltet werden, bewirkt eine Datenänderung in tenfold automatisch die gleichen Änderungen im Active Directoy, im SAP und allen anderen angeschlossenen Systemen.

Wie realisiert tenfold die SAP AD Schnittstelle?

Die Software verfügt über einen out-of-the-box SAP-Connector, das sogenannte SAP ERP® Plugin. Für die technische Integration nutzt tenfold ausschließlich von der SAP AG bereitgestellte Funktionen (BAPIs). Diese BAPIs unterstützen sowohl die Ansprache von Einzelsystemen, als auch von Systemen, die sich in einem ZBV-Verbund befinden.

Die Basis für die SAP-Integration ist der RFC-Connector von tenfold. Mithilfe dieses Connectors ist es möglich, vollkommen frei RFCs durchzuführen: Die Einbindung von Prozessen aus dem SAP Solution Manager wird ebenso möglich wie z.B. das Anstoßen von Beschaffungsprozessen in MM für die Anforderung von Hardware für einen Benutzer.

SAP ERP® Plugin konfigurieren

Auf Seite des SAP-Systems ist lediglich ein RFC-Benutzer einzurichten, der über entsprechende administrative Berechtigungen für die Benutzerpflege verfügt. Es müssen keine zusätzlichen, benutzerspezifischen BAPIs im Z-Space eingespielt werden (einzige Ausnahme: Zurücksetzen des Passworts). Der SAP-Connector bietet folgende Funktionen, um Benutzer im SAP zu verwalten:

1

Anlage neuer Benutzer

Neue Benutzer können Sie im SAP direkt durch tenfold anlegen. Als Basis dienen die Personenstammdaten, die im tenfold Personenstammsatz gepflegt werden. Eine andere Möglichkeit besteht darin, tenfold mit der Personaldatenbank (SAP HCM) zu verbinden. In diesem Fall aktualisiert die Software bei jeder vorgenommenen händischen Änderung im SAP HCM auch die Daten in allen anderen Systemen. Erfolgt zusätzlich eine Anbindung an Active Directory, dann wird der Einsatz von SAP Identity Management in vielen Szenarien obsolet.

2

Bearbeiten von Benutzerdaten

Wann immer der Admin Benutzerdaten bearbeitet, sei es durch Handeingabe oder durch eine automatische Aktualisierung aus SAP HCM, triggert tenfold automatisch eine Aktualisierung des SAP ERP Benutzerstammsatzes. Es werden also gleichzeitig automatisch die Daten im Active Directory und im SAP aktualisiert.

3

Sperrung/Löschung bei Austritt

Mithilfe von tenfold ist es möglich, den gesamten User Lifecycle (vom Eintritt ins Unternehmen über etwaige Abteilungswechsel und Karenzen bis hin zum Austritt) eines Mitarbeiters abzubilden. Steht der Austritt eines Mitarbeiters an, dann sperrt oder löscht die Software automatisch auch den SAP Benutzer sowie das verknüpfte Active-Directory-Konto.

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

4

Access Management/Rollenmanagement

Neben den oben genannten Funktionen im Bereich Identity Management, also der Verwaltung der Benutzerkonten selbst, bietet der SAP-Connector auch die Möglichkeit, dem Benutzer im SAP Rollen zuzuordnen. Natürlich ist es ebenso möglich, Rollenzuordnungen wieder zu löschen.

5

Self Service Password Reset

Der SAP Connector wird auch in der Self Service Password Reset Funktion von tenfold genutzt. Diese Funktion ermöglicht es Endanwendern, über das Webportal ein vergessenes SAP-Passwort eigenständig zurückzusetzen. Voraussetzung hierfür ist die Authentifizierung über alternative Methoden (Geheimfragen, SMS PINs, alternative E-Mail-Adressen u.ä.)

6

Synchronisierung

SAP hat eine Funktion für die Benutzerpflege (Transaktion SU01), über die der Admin theoretisch “an tenfold vorbei” direkt ins SAP-System arbeiten kann. Um zu verhindern, dass der Datenbestand in tenfold aufgrund solcher “Umwege” irgendwann nicht mehr der Realität entspricht, bietet der SAP-Connector eine Rücksynchronisation der Informationen aus dem SAP an.

Hierbei werden alle Benutzer, alle verfügbaren Rollen und alle Rollenzuordnungen aller Benutzer überprüft und nach tenfold rücksynchronisiert. Auf diese Weise stellen wir sicher, dass die Software immer auf dem aktuellen Stand ist und zuverlässig als Basis für diverse Auswertungen verwendet werden kann.

SAP AD Integration mit IAM: Vorteile

Wenn Sie eine Software für Berechtigungsmanagement einsetzen, um eine Schnittstelle zwischen SAP und Active Directory herzustellen, profitieren Sie von folgenden Vorteilen:

  • keine doppelte Administration der Benutzerkonten für Active Directory und SAP ERP

  • enorme Entlastung des Helpdesk durch Self Service Passwort Reset

  • Nachvollziehbarkeit durch Audit Logs und Workflows bei der Zuordnung von SAP Rollen

  • Historisierung der Berechtigungen erlaubt jederzeit den Blick in die Vergangenheit

  • Erhöhte Datensicherheit durch automatisch richtige Zuordnung und Löschung von Rechten

Unverbindlich testen

Überzeugen Sie sich selbst: Zugriffsmanagement leicht gemacht mit No-Code IAM!

Verfasst von: Nele Nikolaisen

Nele Nikolaisen ist Spezialistin für Conversion-Content und Suchmaschinenoptimierung. Außerdem ist sie Bücherfreundin mit Thomas-Mann-Faible, Cineastin mit Horror-Spleen und leidenschaftliche Kuriositätensammlerin.