Die SAP Business AI Platform verändert die Art und Weise, wie Unternehmen künftig mit ihren SAP-Systemen arbeiten. Wer sich in die Welt der KI-Agenten begibt, kommt an einer entscheidenden Frage nicht vorbei: Wer darf was – und wer entscheidet das? Dieser Blogbeitrag erklärt, warum der SAP Authorization Management Service (AMS), ein Bestandteil der SAP Cloud Identity Services, in diesem Kontext vom technischen Detail zur strategischen Voraussetzung wird.
Auf der Kunden- und Partnerkonferenz Sapphire 2026 hat SAP die Vision des autonomen Unternehmens (Autonomous Enterprise) vorgestellt: Der Begriff bezieht sich auf Organisationen, in denen KI-Agenten eigenständig Aufgaben übernehmen, die bisher von Menschen in ihren gewohnten (Benutzer-)Oberflächen ausgeführt wurden. Die technische Basis für das autonome Unternehmen ist die SAP Business AI Platform (BAIP), welche die SAP Business Technology Platform (BTP), die SAP Business Data Cloud (BDC) und SAP Business AI zu einer Plattform zusammenführt. SAP Joule wandelt sich vom digitalen Assistenten in einzelnen Anwendungen zum zentralen Einstieg für künstliche Intelligenz über alle SAP-Lösungen hinweg.
In der Zielarchitektur, auch als North-Star-Architektur bezeichnet, sind Identity Management und Security keine Zusatzfunktionen, sondern Querschnittseigenschaften, welche die gesamte SAP Business AI Platform zusammenhalten. Die Aussage dahinter ist eindeutig: Ohne saubere Berechtigungen kann das autonome Unternehmen nicht funktionieren.
Solange ein Mensch ein System bedient, ist die Frage der Berechtigung klar: Der Anwender meldet sich an, sieht und ändert, was seine Rolle erlaubt. Mit dem Einsatz von KI-Agenten verschiebt sich dieses Prinzip. Ein KI-Agent handelt im Namen eines Menschen und greift über Schnittstellen auf Daten und Funktionen zu. Daraus ergeben sich drei Konsequenzen:
Ein Agent darf nur das tun, was der dahinterstehende Nutzer darf – nicht mehr. Ohne eine verlässliche Autorisierung wird die Automatisierung zum Risiko.
Wenn SAP Joule als zentraler Zugang über alle Anwendungen dient, bedarf es einer konsistenten, zentralen Berechtigungsschicht statt vieler getrennter Modelle je Anwendung.
SAP setzt konsequent auf vertrauenswürdige Datenzugriffe. Zugriffe laufen kontrolliert über definierte Schnittstellen, nicht-autorisierte Wege werden versperrt. Das setzt jedoch voraus, dass jeder Zugriff einer Identität und einer Berechtigung zugeordnet ist.
Genau an dieser Stelle kommt der SAP Authorization Management Service ins Spiel.
Der SAP Authorization Management Service ist die Komponente der SAP Cloud Identity Services, mit der Administratoren Berechtigungen für Applikationen anwendungsübergreifend und zentral verwalten — in Form von Authorization Policies, die sie anpassen und über Gruppen zuweisen. Vier Merkmale sind hierbei entscheidend:
Zentral statt verteilt: Berechtigungen werden an einer zentralen Stelle definiert, verfeinert und über Gruppen zugewiesen, nicht in jeder Anwendung einzeln.
Policy-basiert: Entwickler beschreiben Berechtigungen in der Data Control Language (DCL), einer SQL-artigen Sprache. Diese Policies werden zur Laufzeit ausgewertet, wenn eine Anwendung einen Zugriff prüft.
Instanzbasiert: Eine Policy regelt nicht nur, ob jemand lesen darf, sondern auch, welche konkreten Datensätze gelesen werden dürfen.
An die Identität gebunden: Jede Authorization Policy wird im zentralen Identity Directory als Gruppe abgebildet. Nutzer erhalten ihre Berechtigungen über die Gruppenmitgliedschaft, die aus dem führenden Identity-Management-System gepflegt wird — konsistent über alle angebundenen Services. Auch das Onboarding von SAP Joule nutzt diesen Mechanismus.
Damit löst der SAP AMS das bisherige, gröbere Berechtigungsmodell (XSUAA via SAP Authorization and Trust Management Service, scope-basiert) ab und ermöglicht feingranulare, datenbezogene Entscheidungen – genau das, was vertrauenswürdige KI-Agenten und Datenzugriffe benötigen.
Der SAP Authorization Management Service ist kein optionales Add-on, sondern die Stelle, an der das Versprechen des autonomen Unternehmens eingelöst oder verfehlt wird:
Vertrauen: Agenten und KI-Funktionen sind nur so vertrauenswürdig wie die Berechtigungen dahinter. Eine zentrale, nachvollziehbare Autorisierung ist die Bedingung dafür, dass Automatisierung überhaupt realisiert werden kann.
Compliance: Wer auf welche Daten zugreift, muss prüfbar und steuerbar sein. Eine zentrale Policy-Verwaltung ist die Grundlage für Audits und regulatorische Nachweise.
Skalierung: Mit jeder neuen Anwendung und jedem neuen KI-Agenten wächst die Zahl der Zugriffe. Ein zentrales, policy-basiertes Modell skaliert, viele getrennte Berechtigungssilos tun das nicht.
Voraussetzung für Business-Mehrwerte: Die produktiven Effekte der SAP Business AI Platform – mit KI-Agenten, die ganze Prozesse eigenständig ausführen – lassen sich nur erzielen, wenn die Berechtigungsschicht trägt. Insofern ist der SAP Authorization Management Service kein Bremsklotz, sondern der Wegbereiter für das autonome Unternehmen.
Der Einstieg in die neue SAP-Welt muss nicht groß sein, aber er sollte frühzeitig erfolgen. Zu den sinnvollen ersten Schritten gehören:
Die eigene SAP-Landschaft auf die SAP Cloud Identity Services als zentrale Identitäts- und Berechtigungsschicht ausrichten
Das bestehende Berechtigungsmodell analysieren und den Übergang von scope-basierten zu policy-basierten, instanzbezogenen Berechtigungen planen
Berechtigungen von Anfang an als untrennbaren Teil eines jeden KI-Vorhabens mitdenken und nicht als nachgelagerte Aufgabe betrachten
Das ganzheitliche Beratungsportfolio von IBsolution umfasst sämtliche Themen und Technologien, die für die SAP Business AI Platform relevant sind – von der SAP BTP über die SAP BDC bis hin zu Security und KI. Wir unterstützen Sie dabei, die verschiedenen Ebenen des autonomen Unternehmens zu etablieren und die Voraussetzungen für einen gewinnbringenden Einsatz von KI-Agenten in Ihrer SAP-Landschaft zu schaffen. Die Berechtigungsschicht mit dem SAP Authorization Management Service stellt in diesem Zusammenhang einen klar abgegrenzten, gut planbaren Einstieg in die neue SAP-Welt dar — und bildet zugleich deren Fundament.