Identity Authentication Services op het BTP platform
In een voorgaand blog heb ik het SAP Business Technology Platform (BTP) benoemd en een kleine tip van de sluiter opgelicht wat betreft de mogelijkheden die het SAP BTP Platform jou als SAP gebruiker kan bieden. In dit blog wil ik daar graag op verder gaan.
In het kort is het BTP platform de SaaS oplossing van SAP. Oplossingen zoals Ariba en SuccesFactors, hoewel pure SaaS oplossingen, draaien hier nog niet. Dit zijn oplossingen die ooit van andere bedrijven waren en zijn ingelijfd door SAP. Maar de diensten die SAP zelf ontwikkeld, denk bijvoorbeeld aan CPI (Cloud Platform Integration) worden allemaal uitgerold op het BTP platform. De diensten en oplossingen op het SAP BTP platform zijn uitgebreid. Te uitgebreid om hier te beschrijven. Wat ik persoonlijk altijd een heel goed startpunt vind om de mogelijkheden van dit platform te onderzoeken is het SAP Discovery Center (https://discovery-center.cloud.sap/). Hier eenmaal aangekomen kan je kiezen tussen “Missions” en “Services”. De “mission catalog” geeft je een stap-voor-stap handleiding hoe je bepaalde functionaliteit kan uitrollen. De “service catalog” geeft je een overzicht van alle services die op het BTP Platform draaien en wat daar de kosten van zijn. In dit blog wil ik verder inzoomen op de SAP Identity Authentication Services. Dit is een oplossing van SAP die jou kan helpen om alle verschillende oplossingen van SAP te ontsluiten met slechts 1 keer aanloggen. Oftewel Single Sign On (SSO). SSO is een zegen voor je gebruikers, een zegen voor security (want geen tientallen wachtwoorden die op een briefje onder het toetsenbord liggen….) maar soms een harde noot om te kraken voor je IT-afdeling.
De IAS van SAP, draaiend op het BTP platform, maakt een einde aan die harde noot. Je hoeft slechts eenmaal een koppeling te maken met jouw Corporate IdP, bijvoorbeeld Azure AD, en handelt daarna alles eenvoudig af in de IAS. Dit werkt eenvoudig en intuïtief. Zelfs het werken met meerdere Corporate IdP’s, niet ongebruikelijk na bijvoorbeeld een overname of fusie, is ondersteund en werkt eenvoudig. SAP IAS zien we telkens vaker ook als nieuwe “standaard” voor SSO-koppelingen met SAP SAAS producten zoals SuccessFactors, SAC, etc. Koppelingen met overige SAML2 Identity Providers is nog wel mogelijk binnen dit soort diensten, maar worden telkens vaker weggedrukt door een koppeling met SAP IAS.
Multi-factor Authentication (MFA) is een authenticatiemethode waarbij de gebruiker twee of meer verificatiefactoren moet opgeven om toegang te krijgen tot een applicatie. MFA is een kerncomponent van een sterk beleid voor identiteits- en toegangsbeheer (IAM).. is MFA voor jou een eis? Heel waarschijnlijk wel. Dit dwing je eenmalig af in je corporate IdP en vervolgens is dit gelijk ingericht voor al je applicaties die zijn gekoppeld aan de SAP IAS. De SAP IAS werkt hierbij als een Proxy. Snel, simpel, veilig.
Hierboven een voorbeeld van hoe dit op een SAP landschap ingericht zou kunnen zijn. De SAP IAS is hier het middelpunt waaraan vervolgens alle web gebaseerde applicaties gekoppeld kunnen worden. Of deze nou On-Premise, SaaS of Public Cloud zijn maakt niet uit. Ook integratie met een SNC oplossing t.b.v. SSO van de SAP GUI is hierbij mogelijk. De koppeling ten behoeve van een SSO voor de SAPGui is gebaseerd op het on-premise product “SAP NetWeaver Single Sign-On”. Deze kan aan iedere (willekeurige) IdP worden gekoppeld, waaronder IAS. Maar dit kan potentieel een dure oplossing zijn qua licenties.