Weg von On-Premise-Systemen hin zu Cloud-Anwendungen – die Systemlandschaft der Unternehmen befindet sich im Umbruch. Daraus ergeben sich immense Herausforderungen für die Prozesse und die IT-Sicherheit. Unternehmen stehen vor der Aufgabe, ihre Cloud-Systeme, die sich außerhalb des Unternehmensnetzwerks befinden, abzusichern. Als passende Software-Lösungen hat SAP den SAP Identity Authentication Service (IAS) und die On-Premise-Variante SAP Single Sign-On im Portfolio.

 

Single Sign-On: Einmal anmelden, vielfach zugreifen

Für die Authentifizierung stehen unterschiedliche Login-Verfahren zur Verfügung. Single Sign-On bedeutet, dass eine einmalige Authentifizierung genügt, um Zugriff auf mehrere Systeme und Anwendungen zu erhalten. Dabei erweist es sich als großer Vorteil, dass vorhandene Identity Provider weiterverwendet werden können. Single Sign-On schafft eine zentrale Authentifizierungsstelle und erlaubt die Etablierung eines standardisierten Verfahrens für die Authentifizierung im Einklang mit den im Unternehmen geltenden Sicherheitsrichtlinien. Nach der Authentifizierung am Corporate Identity Provider ist der Anwender berechtigt, auch auf weitere konfigurierte Anwendungen zuzugreifen.

 

Single Sign-On

 

MFA sorgt für höhere Sicherheit

Die Multi-Faktor-Authentifizierung (MFA) erhöht die Sicherheit, indem die Zugriffsberechtigung anhand einer zusätzlichen Komponente überprüft wird. Hierfür kommen beispielsweise ein Soft Token (Generierung eines einmaligen Passworts über eine mobile App auf dem Smartphone), die Versendung eines Passcodes per SMS, biometrische Merkmale wie der Fingerabdruck oder ein verschlüsselter USB-Stick infrage. Nicht jedes System benötigt diesen erhöhten Sicherheitsstandard, zu empfehlen ist er insbesondere für sicherheitskritische Anwendungen.

 

Multi-Faktor Authentifizierung

 

Die Lösungen von SAP

 

SAP Identity Authentication Service

Beim SAP Identity Authentication Service (IAS) handelt es sich um eine Cloud-Lösung auf der SAP Business Technology Platform. SAP IAS läuft also außerhalb des Unternehmensnetzwerks. Zu den Vorteilen von SAP IAS gehören die einfache Konfiguration und die native Integration von Cloud-Anwendungen. Es ist nahezu kein Custom Coding erforderlich. Da der Service aus der Cloud bezogen wird, müssen sich Unternehmen nicht um Infrastruktur und Wartung kümmern. Mit Embedded MFA stellt SAP IAS einen nativen Service bereit, um Multi-Faktor-Authentifizierungen einzurichten. Zu den Nachteilen gehören die begrenzte Auswahl an Single-Sign-On-Technologien und die fehlende SAP GUI-Integration.

 

SAP IAS

 

SAP Single Sign-On

SAP Single Sign-On ist die On-Premise-Lösung für die Authentifizierung und basiert auf dem NetWeaver-Stack. Im Vergleich zu SAP IAS bietet die Software mehr kundenindividuelle Möglichkeiten für die MFA-Anbindung, sofern das erforderliche Know-how im Unternehmen vorhanden ist. Die SAP GUI-Integration bildet die Basis für die Pflege von On-Premise-Systemen. Allerdings ist das Setup von SAP Single Sign-On deutlich komplizierter und die Maintenance aufwendiger.

 

Zugangskontrolle bei Cloud-Systemen

In der reinen On-Premise-Welt muss sich der Nutzer für den Zugriff auf ein System innerhalb des Firmennetzwerks befinden. Bei Cloud-Systemen gestaltet sich die Zugangskontrolle komplizierter. Aus diesem Grund gibt es die sogenannte Risk-based Authentication. Sie dient dazu, kritische Systeme und Anwendungen in der Cloud bestmöglich abzusichern. Das gelingt beispielsweise durch eine zwingende MFA-Authentifizierung, wenn sich ein Anwender von außerhalb des Unternehmensnetzwerks anmelden möchte, oder durch die Definition von Logging-Funktionalitäten auf der Basis spezieller Merkmale. So sind Unternehmen in der Lage, Zugriffe entweder spezifisch zuzulassen oder zu blockieren.

 

Risk-based Authentication

 

Zusammenspiel von SAP IAS und Identity Provider

Die Authentifizierung ist ein unternehmensspezifisches Thema. Jedes Unternehmen hat eigene Sicherheitsrichtlinien, die eingehalten werden müssen. Eine gängige Empfehlung lautet, SAP IAS im Zusammenspiel mit einem Corporate Identity Provider zu nutzen. In diesem Fall werden sämtliche Cloud-Applikationen mit SAP IPS und nicht direkt mit Active Directory angebunden. Neben der Authentifizierung spielt die Provisionierung eine Rolle für ein funktionierendes User-Management. Es ist wichtig, dass die User auch in den Systemen vorhanden sind. Hierfür lässt sich das Active Directory als Quellsystem nutzen, sodass über den SAP Identity Provisioning Service (IPS) in die Cloud-Systeme geschrieben werden kann.

 

Nutzen Sie vorhandene Identity Provider für eine sichere Authentifizierung

Zum SAP Identity Authentication Service (IAS)

 

Weitere interessante Beiträge: