Flexibel arbeiten, von wo aus auch immer: Die Ansprüche von Mitarbeitenden haben sich in den letzten Jahren stark verändert – und mit ihnen die Herausforderungen für die IT-Landschaft. [...]
Denn das Identity- und Access Management betrifft nicht mehr nur das Unternehmen intern, auch von externen Arbeitsplätzen aus brauchen Mitarbeitende einen gesicherten Zugang zu Systemen und Daten im Unternehmen. Um das Identitäts- und Zugriffsmanagement zu vereinfachen, bietet sich eine externe User Lifecycle Management Software mit vordefinierten, leicht handhabbaren Benutzeroberflächen und unkomplizierten Prozessabläufen an.
In der Ära des modernen digitalen Fortschritts, in der die Identitäts- und Zugriffsverwaltung einen maßgeblichen Eckpfeiler bildet, sehen sich die Verantwortlichen im IT-Bereich mit eminenten Herausforderungen konfrontiert. Beschäftigte sind längst nicht mehr nur vor Ort tätig, sondern arbeiten remote von unterschiedlichen Standorten aus. Von wo auch immer sie ihrer Arbeit nachgehen: Sie brauchen einen sicheren Zugriff auf Unternehmensressourcen. Erschwerend hinzu kommt in vielen Unternehmen die S/4HANA Transition, sprich, der Umstieg von der Business Suite auf SAP S/4HANA und der Wechsel von den abgekündigten SAP-Produkten auf die Nachfolgerprodukte des SAP-Portfolios in der Cloud. Dass ausgerechnet hierbei eine solch gewichtige Problematik entsteht, hat einen zweifachen Grund: Zum einen liegt die Schwierigkeit in der inhärenten Komplexität von S/4HANA selbst, zum anderen kommt auch eine Vielzahl neuer konzeptioneller Berechtigungselemente dazu: die Front-End- und Back-End-Gewährungen, die nativen HANA-Berechtigungen, die AD-Integration und die Erweiterung durch mannigfaltige SaaS-Lösungen (sei es SAP- oder non-SAP-bezogen).
SAP Cloud Identity Access Governance für viele Unternehmen unzureichend
SAP bietet für ein derartiges Szenario eine eigene Cloud Identity Access Governance (IAG) –der Nachfolger des an SAP Identity Managements. Es zeigt sich aber, dass diese Lösungsvariante für eine Fülle von Unternehmungen bis dato unzureichend ausgereift ist, wodurch sich speziell das Einleiten und Durchführen dazugehöriger Projekte als sehr zeitintensiv und somit kaum zu bewältigen erweist. Zugleich zeigt sich, dass im Vorfeld einer S/4HANA-Transition viele IT-Verantwortliche auf ganz verschiedene Technologien gesetzt haben und dadurch nun heterogene Systemlandschaften vorhanden sind. Dieses Vorgehen bringt bei der Anfangsphase der Transition zwei übergeordnete Schwierigkeiten mit sich: Einerseits verharren Projekte noch in der Durchführung, andererseits finden Technologien und Systeme noch keine angemessene Konzertierung zueinander. Bei dieser Thematik wird oftmals von aufgebauten technologischen Schulden gesprochen. Dieses Spannungsfeld, gepaart mit der anspruchsvollen Beschaffenheit der S/4HANA-Technologie als Standard-Software, bewirkt eine verschärfte Komplexität sowie mühevolle Verfahrensweisen –insbesondere im Kontext des Identitäts- und Zugriffsmanagements. Denn mit fortschreitender Integration von diversen weiteren Systemen und Services sowie der zunehmenden Hybridisierung der Umgebungen steigert sich die Schwierigkeitsstufe weiterhin. In Anbetracht dieser Sachverhalte und insbesondere unter Berücksichtigung der wachsenden Cloudnutzung, wird ein sauberer, durchgängiger User Lifecycle Management-Prozess im Zusammenspiel mit S/4HANA notwendig.
Doch was, wenn die hauseigene SAP-IAG-Lösung als unzweckmäßig erachtet wird? Angesichts der komplexen Beschaffenheit von S/4HANA nährt sich der Wunsch vieler Unternehmen nach einer schlichteren, weniger komplexen Lösungsvariante für ihr Identity und Access Management. Für den Fall, dass beispielsweise Cloud-Lösungen mit dem SAP-Ökosystem verbunden werden sollen, tendieren Unternehmen vermehrt dazu, auf externe SAP-Softwarelösungen oder Add-Ons zurückzugreifen. Denn diese ermöglichen eine nahtlose Integration mit SAP und bieten zugleich die erforderliche Flexibilität, um auch Nicht-SAP-Systeme in zukünftige Berechtigungsprozesse einzubeziehen. Lösungen wie beispielsweise DSS-DUR (Dynamic User Request von nexQuent) fokussieren sich infolgedessen auf REST-Services. Zudem können mittels eigener APIs (Application Programming Interfaces) sämtliche Anwendungen der Lösung auch von externen Instanzen (nicht SAP-bezogen) angesprochen und angestoßen werden. Zusätzlich eröffnen sich vielseitige Schnittstellenmöglichkeiten. Auch der SCIM2-Standard – der Identity Provider Service zur Handhabung von Identitäten in der Cloud – wird reibungslos bedient, und zwar inbound und outbound.
Antragsprozesse mühelos und einfach gestalten
Genau diese unkomplizierte und direkte Kommunikation via Inbound- und Outbound-Schnittstellen sowie REST-Services und APIs, ebnet IT-Verantwortlichen den Weg zu einem offenen und wirkungsvollen Berechtigungsverfahren. Zur Verdeutlichung: Wenn ein neuer User in das System eintritt, liegt die Herausforderung darin, diesen Prozess möglichst mühelos, übersichtlich und adaptiv zu gestalten. Bisher jedoch veranlassten die Personalverantwortlichen in der Regel die Erstellung eines Tickets oder eines Formulars (in Word oder Excel), welches sie per E-Mail an die zuständige Person schickten, die dann über Zugriffsrechte und Berechtigungen entschied. Abhängig von der verwendeten E-Mail-Adresse gelangte dieses Formular entweder zu einer Einzelperson oder einem Verteiler. Dort verharrte das Dokument in der Regel eine Weile bis zur Bearbeitung, die dann entweder direkt im Formular oder abermals per E-Mail erfolgte. Im Zuge dieser Bearbeitung entstanden mitunter Unklarheiten oder gar Fehler, was eine mehrfache E-Mail-Korrespondenz zwischen den Verantwortlichen zur Folge hatte und den finalen Genehmigungsvorgang verzögerte. Zusätzlich war der Prozess nicht standardisiert, sprich: Es war oftmals nicht geregelt, ob die Genehmigung per E-Mail, innerhalb des Word- bzw. Excel-Formulars oder per externem Servicedesk durchgeführt werden sollte. Zum Abschluss des teils langwierigen Prozesses landete schließlich eine To-Do-Liste beim Administrator, der sämtliche Zugriffsrechte und Berechtigungen manuell in die jeweiligen Systeme einspielte.
Diese durchaus komplexe Vorgehensweise führt einerseits zu einer deutlich erhöhten Fehleranfälligkeit, andererseits benötigen die Verantwortlichen in der Regel beträchtlich viel Zeit, um sämtliche Anträge zu bewältigen. Die Genehmigungsabläufe sind undurchsichtig, ihre Verifizierung gestaltet sich äußerst schwierig bis unmöglich und automatisierte Überprüfungen bezüglich Funktionstrennungskonflikten und kritischen Zugriffsberechtigungen finden gar nicht erst statt.
Vollautomatische Verwaltung von Nutzern und Zugriffsrechten
Um dies zu vermeiden, ist eine Software für das User Lifecycle Management vonnöten, die den Zuständigen von Haus aus fertige, intuitiv bedienbare Benutzeroberflächen sowie vordefinierte Abläufe und Prozesse im Hintergrund bereitstellt. Dadurch gestaltet sich die Schaffung und Verwaltung von Nutzern und deren Zugriffsrechten wesentlich einfacher und zeiteffizienter – und kann zudem vollautomatisch erfolgen: sei es die Neuanlage, die Änderung von Berechtigungen, die Aktualisierung von Stammdateninformationen, die Deaktivierung oder Wiederaktivierung von Berechtigungen. Bezogen auf das Szenario, dass ein neuer User in das Unternehmen eintritt, reagiert die Anwendung beispielhafterweise folgendermaßen: In der Personalmanagement-Software SAP Human Capital Management, kurz HCM, hinterlegen die Personalverantwortlichen die Information, dass das Unternehmen einen neuen Nutzer erhält. Dies wird als auslösende Information (Trigger) über bereits vorbereitete Schnittstellen an die Software für das User Lifecycle Management weitergeleitet – zum Beispiel als Flatfile oder bidirektionale Schnittstelle – und initiiert daraufhin einen automatischen Prozess zur Neuanlage. Anhand dieser Auslöser-Information wird beispielsweise ein Antrag erstellt, welcher mehrere aufeinanderfolgende Schritte bis zur Freigabe im Hintergrund durchläuft. Dies kann manuell mittels Apps, halbautomatisch oder gänzlich automatisiert erfolgen. So übernimmt die Technologie das Versenden von Nachrichten, die Erinnerungen, die Anforderungen und das Speichern von Informationen und reguliert dabei im Hintergrund sämtliche erforderlichen Vorgänge bis hin zur Einrichtung und Überprüfung in den entsprechenden Backend-Systemen.
Reduzierte Fehlerquote, weniger Zeitaufwand
Das maschinelle Identity- und Access Management hat gleich mehrere Vorteile: Die Fehlerquote sinkt drastisch, ebenso der (zeitliche) Aufwand. Der Antragsprozess, der einst Tage oder Woche dauerte, gewinnt an Dynamik und reduziert sich auf Stunden. Da die Technologie im Verborgenen sämtliche Etappen und Phasen des Berechtigungsverfahrens durchläuft, werden diese Vorgänge dokumentiert und sämtliche Nachweise sowie Zustimmungen bezüglich Berechtigungen festgehalten – eine Antragshistorie entsteht. Bei anstehenden Wirtschaftsüberprüfungen bedarf es lediglich des Abrufs dieser Daten aus dem System, eine mühsame Durchsuchung von E-Mail-Verläufen oder separaten Formularen entfällt. Ein weiterer Mehrwert sind die Aktualität und Sicherheit von Berichtigungen: Da eine Software für das User Lifecycle Management eng an bewährte SAP-Interface-Technologien gekoppelt ist, werden alle Identitätsprozesse in einem standardisierten System abgebildet. Dadurch treten historisch gewachsene Berechtigungen ans Licht, mögliche Fehler und Konflikte werden entlarvt und gegen dezentrale Änderungen abgesichert.
Nun drängt sich die Frage auf, wann der Einsatz einer solch umfassenden Software für das User Lifecycle Management tatsächlich sinnvoll ist. Gegenteilig der weit verbreiteten Annahme, dass Unternehmen bereits S/4HANA in Gebrauch haben müssen, lässt sich bereits beim Einsatz von Lösungen aus der SAP-Business-Suite ein offenes und leistungsfähiges Berechtigungssystem etablieren. Hierbei ist von Bedeutung, dass Unternehmen grundsätzlich auf SAP setzen – ob sie nun noch auf ERP ECC zurückgreifen und die Migration zu S/4HANA ansteht oder ob der Übergang zu S/4HANA bereits vollzogen ist, ist von sekundärer Wichtigkeit. Darüber hinaus gestaltet sich aufgrund der SAP-Basis der Integrationsprozess eines Berechtigungssystems in einem Unternehmen unkompliziert, weil im Idealfall die Software als SAP-Transport bereitgestellt wird. SAP bleibt also das Trägersystem, sodass keine zusätzlichen Infrastrukturen errichtet und keine Hardware- oder Softwareprodukte eingeführt werden müssen. Dadurch erhalten Unternehmen eine effiziente Lösung, die bereits innerhalb weniger Stunden einsatzbereit ist. Im Vergleich beispielsweise zur Einbindung in das SAP Identity Management, die teilweise mehrere Monate beansprucht, ist die Zeitersparnis mit einer Software für das User Lifecycle Management enorm.
Fazit
Die Identitäts- und Zugriffsverwaltung spielt inzwischen eine entscheidende Rolle, insbesondere während der S/4HANA-Transformation. Die Herausforderungen in diesem Zusammenhang sind jedoch vielfältig und mit der SAP IAG nur unzureichend zu lösen. Unternehmen suchen daher nach einfacheren Lösungen für das Identitäts- und Zugriffsmanagement. Externe Lösungen ermöglichen eine nahtlose Integration, unkomplizierte Kommunikation über APIs und REST-Services sowie automatisierte User Lifecycle Management-Prozesse. Dadurch reduziert sich die Fehleranfälligkeit, wohingegen die Zeitersparnis und die Transparenz bei Genehmigungsabläufen und Prüfungen ansteigen. Der Einsatz einer solchen Software ist sinnvoll, unabhängig davon, ob Unternehmen bereits auf S/4HANA migriert sind oder nicht, da sie auf der bestehenden SAP-Basis aufbaut und eine schnelle Implementierung ermöglicht.
*Der Autor Frank Hasemann ist Geschäftsführer nexQuent GmbH.
Be the first to comment