Warum Identitätsmanagement (IDM) und SAP sinnvoll sind?

Christian Rinner
4 Min
24.05.22
SAP  
##Administration  ##Benutzer  ##IDM-System  ##Kommunikation  ##Rechte  ##SOD  #S4HANA  #SAP  

ITSysteme allgemein und SAPSysteme im Speziellen werden immer größer und komplexer in der Administration von Rollen und Rechten. Dies führt bei allen Betroffenen meist zu Frust. Aber wer sind eigentlich diese Betroffenen? 

Betroffen sind im Prinzip alle im Unternehmen:  

  • Die Beschäftigten, weil diese lange auf System-Zugänge warten müssen und die Prozesse nicht transparent sind. 
  • Die Führungskräfte, da Zuständigkeiten und Ansprechpartner:innen nicht klar sind. 
  • Die IT-Abteilung, weil diese lediglich die Hütenden des Systems, aber nicht die Verantwortlichen sind. 
  • Die Kunden, weil … zu lange dauert. 

Was spricht gegen die Einführung eines IDM-Systems im Unternehmen? 

Die Einführung eines IDM-Systems kostet natürlich Aufwände in Form von Geld und Zeit. Diesen Aufwänden steht allerdings der große Vorteil gegenüber, dass die Einführung die oben aufgeführten Herausforderungen reduziert bzw. neutralisiert. 

Wo und wie fängt man da an? 

Egal aus welcher Intention heraus man über die Einführung eines IDM nachdenkt, der erste Schritt ist das Einholen des Einvernehmens der Geschäftsführung bzw. des C-Level-Managements. Auch wenn diese Projekte häufig IT-Projekte sind, ist ein IDM ein unternehmensweites Projekt – selbst wenn es “nur” für SAP eingeführt wird.
Der Grund, warum es bei der Einführung oft hakt, ist, dass Vorschläge von anderen häufig skeptisch gesehen werden. 

Als sehr einfache Gegenargumente gegen allgemeine Widerstände haben sich folgende Punkte bewährt: 

  1. Es hilft auch Dir/Ihnen den organisatorischen/bürokratischen Aufwand zu reduzieren. 
  2. Es verbessert die Gesamtperformance des Unternehmens.

Grünes Licht  – wie geht es weiter? 

Ist das Go für die Einführung eingeholt, fängt der steinige Weg an. Jetzt gilt es die internen Strukturen und Prozesse zu durchsuchen und schriftlich zu fixieren. Hier ein nicht ganz uneigennütziger Berater-Tipp: Holen Sie sich externe Hilfe.
Um die Frage vorwegzunehmen:  

Wofür brauche ich externe Hilfe, mein Team und ich kenne mein Unternehmen doch am besten? 

  1. Dem Propheten im eigenen Land wird leider nur im seltensten Fall Gehör geschenkt. 
  2. Jeder Mensch filtert seine Umgebung, somit stellt sich bei jedem auch eine gewisse Betriebsblindheit ein. 

Noch ein kleiner Hinweis:

Ein Lösungsanbieter ist kein Berater, sondern letztendlich auch nur ein Verkäufer seiner eigenen Lösung. Diese Lösung kann die richtige in der jeweiligen Situation sein, muss es aber nicht. 

Berater:innen sind engagiert – wann kommen wir zu SAP? 

Nachdem die ersten Workshops durchgeführt wurden und die Organisation sowie die ermittelten Funktionen in einer Matrix festgehalten wurden, kann nun mit einer Evaluierung einer möglichen Lösung begonnen werden. Im besten Fall weiß man nun folgende Dinge über das eigene Unternehmen: 

  • Welche hierarchischen- bzw. Entscheidungsebenen sind in der Organisation vorhanden? 
  • Wie ist der kleinste mögliche Nenner an IT-Rechten, die Beschäftigte benötigen? 
  • Welche Softwareprodukte sind im Einsatz? 
  • Wer benötigt für SAP-Prozesse welche Rechte? 

Erst an diesem Punkt kann man die Gewichtung des IDM-Systems vornehmen. Im Fall, dass nur ein kleiner Teil der Geschäftsprozesse über SAP läuft, wird wahrscheinlich eine Lösung mit Fokus auf Active Directory, wie sie die meisten Anbieter im Portfolio haben, ausreichen.  

Hier kann das IDM-System entweder als Trigger-Geber für eine nachgelagerte automatisierte SAP-Lösung oder das Starten eines manuellen Prozesses genutzt werden. 

Im umgekehrten Fall braucht man eine der wenigen am Markt erhältlichen SAP-spezifischen Lösungen – entweder von SAP direkt oder auch von 3rd-Party-Anbietern.  

Was sind die Vorteile einer SAP-spezifischen Lösung? 

Ein Standard IDM behandelt jede Zuweisung im SAP als Gruppe, unabhängig davon, ob es sich um eine Einzel- oder Sammelrolle handelt. Diese Systeme können auch den Status einer Rolle nicht auslesen. Dies ist insofern problematisch, wenn dem Mitarbeitenden eine Rolle zugeordnet wurde, diese aber kein aktuell generiertes Profil besitzt, da sie dann inaktiv ist. Ein auf SAP spezialisiertes IDM-System erkennt dies ebenso wie eine oder mehrere funktionsunfähige Rollen innerhalb einer Sammelrolle.
Ein gutes System bietet zudem Unterstützung bei der SAP-Lizenzvermessung, die auf lange Sicht immense Kosten einsparen kann – gerade bei größeren Landschaften. 

Ebenso ist eine Funktionstrennungsanalyse (SOD) mit einem Standard-IDM zwar rudimentär möglich, allerdings ohne die Berücksichtigung der internen Änderungsbelege nicht zuverlässig. 

Fazit: 

Egal welche Situation vorliegt, es ist immer notwendig sowohl die Ist- als auch die Soll-Situation vorab zu betrachten. Das Unternehmen im Gesamten muss das Projekt mittragen, da es sonst zu kostspieligen Verzögerungen kommt. Die Einführung eines IDM-Systems ist schließlich kein IT-Projekt, sondern ein Vorhaben mit einem Auftraggeber aus dem organisatorischen und einem Auftragnehmer aus dem technischen Bereich (interne oder externe IT). Es gibt am Anfang immer unvorhergesehene Probleme, ehrliche Kommunikation ist hier der Schlüssel, um Vertrauen in das System aufzubauen. 

Christian Rinner

System Engineer

Christian Rinner ist SAP Certified System Security Architect bei SVA. Er beschäftigt sich seit ca. 20 Jahren mit den Themen SAP Berechtigungen, Compliance und Identity Management. Mit Begeisterung geht er auf neue Themen zu und setzt sich mit SAP Cloud Security auseinander.

Weitere Themen

Big Data Analytics

Container

Digital Workspace

Internet Of Things