SAP und AD: Schnittstelle schaffen via Access Management
Firmen und Organisationen ab einer gewissen Mitarbeiterzahl setzen in der Regelย ERP-Softwareย ein, um ihreย Geschรคftsablรคufe zu optimieren. Absoluter Marktfรผhrer in diesem Bereich ist derย deutsche Hersteller SAP, der mittlerweileย mehr als 100 Lรถsungenย fรผr verschiedene Geschรคftsbereiche anbietet. Viele Firmen haben sogarย mehrere SAP-Systemeย parallel im Einsatz.
In groรen Unternehmen ist SAP fรผr die zentrale Verwaltung und Steuerung von Geschรคftsressourcen unerlรคsslich. Allerdings muss sie Software selbst auch verwaltet werden. Wer nicht jeden Benutzer hรคndisch vom Active Directory ins SAP รผbertragen und alle รnderungen doppelt durchfรผhren mรถchte, profitiert von einer Schnittstelle zwischen SAP und AD. Wir schauen uns an, wie die SAP Active Directory Integration mithilfe einer Software fรผr Berechtigungsmanagement gelingt.
SAP Active Directory Anbindung
Der Wunsch nach einer Schnittstelle zwischen AD und SAP resultiert nicht daraus, dass IT-Administratoren keine Zeit haben, einen neuen User jeweils im Active Directory und im SAP anzulegen. Wenn es pro Mitarbeiter bei diesem einzigen doppelten Arbeitsvorgang bleiben wรผrde, bestรผnde kaum die Notwendigkeit fรผr eine Verbindung der beiden Systeme. Das Problem ist jedoch: Mit der doppelten Anlage ist es noch lange nicht getan.
Solange es keine SAP AD Anbindung gibt, muss jede รnderung im Active Directory hรคndisch ins SAP รผbertragen werden. Der Admin muss also jedes Mal, wenn ein Mitarbeiter die Abteilung wechselt, einen neuen Nachnamen annimmt, in Karenz geht, oder jemand aus dem Unternehmen austritt, diese รnderungen sowohl im AD als auch im SAP vornehmen.
Unmรถglich? Sicher nicht! Aber es erfordert ein hohes Maร an Genauigkeit und Disziplin. Insbesondere bei Unternehmen mit mehreren Hundert oder Tausend Mitarbeitern. Irgendwann kann die fehlende Integration also zu einem echten Ressourcenproblem werden.
SAP AD Integration via Cloud Connector
Tatsรคchlich bietet SAP selbst eine Schnittstelle zum Active Directory an. Bzw. gibt es die Mรถglichkeit, AD als Informationsquelle fรผr SAP zu konfigurieren. Voraussetzung dafรผr ist, dass auch der SAP Cloud Connector in der Unternehmensumgebung installiert ist.
Diese Schnittstelle sorgt allerdings nur dafรผr, dass Benutzerinformationen aus dem AD (Gruppenzugehรถrigkeiten, Zugriffsrechte auf Objekte usw.) auch via SAP einsehbar sind. Die doppelte Durchfรผhrung der รnderungen erspart sie dem Admin nicht. Mehr Informationen zu dieser Lรถsung finden Sie hier.
SAP AD Integration realisieren mit Access Management
Dass die Vernetzung zwischen SAP und AD u.a. eine Ressourcen-Frage ist, haben wir bereits gesehen. Sie ist aber auch eine sicherheitstechnische Frage. Unternehmen sind durch interne und externe Compliance-Richtlinien dazu verpflichtet, รnderungen an personenbezogenen Daten zeitnahe und vollstรคndig in sรคmtlichen Systemen umzusetzen und diese Vorgรคnge zu dokumentieren.
Sie kรถnnen sรคmtliche Fehlerquellen aufgrund hรคndischer Administration eliminieren, indem Sie die SAP AD Integration mithilfe einer IAM-Software wie tenfold umsetzen. Das Zauberwort in diesem Zusammenhang lautet: Zentrale Benutzerverwaltung (ZBV).
Dadurch, dass alle physischen IT-User in tenfold zentral verwaltet werden, bewirkt eine Datenรคnderung in tenfold automatisch die gleichen รnderungen im Active Directoy, im SAP und allen anderen angeschlossenen Systemen.
Wie realisiertย tenfoldย die SAP AD Schnittstelle?
Die Software verfรผgt รผber einen out-of-the-box SAP-Connector, das sogenannte SAP ERPยฎ Plugin. Fรผr die technische Integration nutzt tenfold ausschlieรlich von der SAP AG bereitgestellte Funktionen (BAPIs). Diese BAPIs unterstรผtzen sowohl die Ansprache von Einzelsystemen, als auch von Systemen, die sich in einem ZBV-Verbund befinden.
Die Basis fรผr die SAP-Integration ist der RFC-Connector von tenfold. Mithilfe dieses Connectors ist es mรถglich, vollkommen frei RFCs durchzufรผhren: Die Einbindung von Prozessen aus dem SAP Solution Manager wird ebenso mรถglich wie z.B. das Anstoรen von Beschaffungsprozessen in MM fรผr die Anforderung von Hardware fรผr einen Benutzer.
SAP ERPยฎ Plugin konfigurieren
Auf Seite des SAP-Systems ist lediglich ein RFC-Benutzer einzurichten, der รผber entsprechende administrative Berechtigungen fรผr die Benutzerpflege verfรผgt. Es mรผssen keine zusรคtzlichen, benutzerspezifischen BAPIs im Z-Space eingespielt werden (einzige Ausnahme: Zurรผcksetzen des Passworts). Der SAP-Connector bietet folgende Funktionen, um Benutzer im SAP zu verwalten:
Anlage neuer Benutzer
Neue Benutzer kรถnnen Sie im SAP direkt durch tenfold anlegen. Als Basis dienen die Personenstammdaten, die im tenfold Personenstammsatz gepflegt werden. Eine andere Mรถglichkeit besteht darin, tenfold mit der Personaldatenbank (SAP HCM) zu verbinden. In diesem Fall aktualisiert die Software bei jeder vorgenommenen hรคndischen รnderung im SAP HCM auch die Daten in allen anderen Systemen. Erfolgt zusรคtzlich eine Anbindung an Active Directory, dann wird der Einsatz von SAP Identity Management in vielen Szenarien obsolet.
Bearbeiten von Benutzerdaten
Wann immer der Admin Benutzerdaten bearbeitet, sei es durch Handeingabe oder durch eine automatische Aktualisierung aus SAP HCM, triggert tenfold automatisch eine Aktualisierung des SAP ERP Benutzerstammsatzes. Es werden also gleichzeitig automatisch die Daten im Active Directory und im SAP aktualisiert.
Sperrung/Lรถschung bei Austritt
Mithilfe von tenfold ist es mรถglich, den gesamten User Lifecycle (vom Eintritt ins Unternehmen รผber etwaige Abteilungswechsel und Karenzen bis hin zum Austritt) eines Mitarbeiters abzubilden. Steht der Austritt eines Mitarbeiters an, dann sperrt oder lรถscht die Software automatisch auch den SAP Benutzer sowie das verknรผpfte Active-Directory-Konto.
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthรคlt eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.
Access Management/Rollenmanagement
Neben den oben genannten Funktionen im Bereich Identity Management, also der Verwaltung der Benutzerkonten selbst, bietet der SAP-Connector auch die Mรถglichkeit, dem Benutzer im SAP Rollen zuzuordnen. Natรผrlich ist es ebenso mรถglich, Rollenzuordnungen wieder zu lรถschen.
Self Service Password Reset
Der SAP Connector wird auch in der Self Service Password Reset Funktion von tenfold genutzt. Diese Funktion ermรถglicht es Endanwendern, รผber das Webportal ein vergessenes SAP-Passwort eigenstรคndig zurรผckzusetzen. Voraussetzung hierfรผr ist die Authentifizierung รผber alternative Methoden (Geheimfragen, SMS PINs, alternative E-Mail-Adressen u.รค.)
Synchronisierung
SAP hat eine Funktion fรผr die Benutzerpflege (Transaktion SU01), รผber die der Admin theoretisch โan tenfold vorbeiโ direkt ins SAP-System arbeiten kann. Um zu verhindern, dass der Datenbestand in tenfold aufgrund solcher โUmwegeโ irgendwann nicht mehr der Realitรคt entspricht, bietet der SAP-Connector eine Rรผcksynchronisation der Informationen aus dem SAP an.
Hierbei werden alle Benutzer, alle verfรผgbaren Rollen und alle Rollenzuordnungen aller Benutzer รผberprรผft und nach tenfold rรผcksynchronisiert. Auf diese Weise stellen wir sicher, dass die Software immer auf dem aktuellen Stand ist und zuverlรคssig als Basis fรผr diverse Auswertungen verwendet werden kann.
SAP AD Integration mit IAM: Vorteile
Wenn Sie eine Software fรผr Berechtigungsmanagement einsetzen, um eine Schnittstelle zwischen SAP und Active Directory herzustellen, profitieren Sie von folgenden Vorteilen:
keine doppelte Administrationย der Benutzerkonten fรผr Active Directory und SAP ERP
enormeย Entlastungย des Helpdesk durchย Self Service Passwort Reset
Nachvollziehbarkeitย durch Audit Logs und Workflows bei der Zuordnung von SAP Rollen
Historisierungย der Berechtigungen erlaubt jederzeit den Blick in die Vergangenheit
Erhรถhte Datensicherheit durchย automatisch richtige Zuordnungย und Lรถschung von Rechten
รberzeugen Sie sich selbst: Zugriffsmanagement leicht gemacht mit No-Code IAM!