用于IAM的SAP参考体系结构-使用SAP IAS的员工配置

这是关于身份和访问管理场景的参考体系结构的3篇博文的第2部分:

• 用于IAM的SAP参考架构- Azure AD的员工配置
• 用于IAM的SAP参考体系结构-使用SAP IAS的员工配置(这篇文章)
• 用于IAM的SAP参考架构-人力资源驱动的身份生命周期管理-招聘到退休

在上一篇文章中，我们讨论了将SAP SuccessFactors与标识提供者(IDP)集成的不同方法，以及这种集成将如何启用3个重要的数据流:

• 通过SAML进行身份验证和单点登录的用户标识
• 用户从SAP SuccessFactors配置到其他系统
• 从AD回写到SAP SuccessFactors / HCM(例如Infotype 0105 / email)

我们描述了SAP SuccessFactors + Azure AD用户配置如何通过SAML和人力资源驱动的用户配置启用身份验证/单点登录，但它不提供授权管理、访问控制和端到端集成。

在第二篇文章中，我们将描述一个类似的场景(SSO +员工配置)，但使用SAP云身份服务-身份和认证服务(IAS)独立或作为企业IDP的代理。

如果我已经有Azure AD(或任何其他IDP)，为什么我需要SAP IAS ?

这是许多客户经常问的问题，当我们开始一个新项目时，SAP项目团队和IT安全团队之间会进行大量讨论。

首先，从技术角度来看，Azure AD和SAP IAS非常相似。这两种解决方案都提供了类似的身份验证、与其他idp的身份联合、2因素身份验证(2FA)、基于风险/条件访问等功能，所以这不是一个技术决策。

对于微软来说，Azure AD是Azure的关键和战略性服务。所有Azure资源、新万博苹果版服务和订阅都必须链接到一个Azure AD租户。Azure AD支持身份验证和SSO，还支持Azure(和非Azure)服务之间的无缝集成。微软提供Azure无AD许可证作为创建Azure订阅的最低要求，不过如果需要其他特性，还可以使用其他许可证模型。

同样，SAP IAS对于SAP来说是战略性的。SAP IAS是我们在SAP内部所称的SAP内核服务SAP BTP技术服务被所有SAP云解决方案所使用，为我们的客户实现集成的智能企业战略。SAP IAS是这一战略中的一个关键组件，所有SAP云应用程序和SAP BTP服务都被设计为与SAP IAS集成，这支持最终用户的身份验证和单点登录，而且还支持不同SAP应用程序的无缝集成。

这就是为什么SAP IAS被包括(捆绑)在许多SAP云产品中(如SAP SuccessFactors)，尽管如果您需要额外的功能，它可以被独立授权。

如果您已经有Azure AD或任何其他IDP，您可以继续使用它作为您的主要企业IDP，并集成SAP IAS作为企业IDP的代理，以简化SAP到SAP的集成。

目前，已经有一些场景需要使用SAP IAS才能工作。场景就像SAP SuccessFactors人员分析或SAP人力资源工作区没有SAP IAS是无法配置的，未来越来越多的业务场景将需要SAP IAS。

事实上，这种不同SAP产品的端到端集成是智能企业战略的一个关键特征。客户不再需要单一的ERP系统，这就是为什么SAP提供了一套新的ERP系统端到端流程跨多种SAP产品和SAP技术运行，客户可以使用这些产品和技术作为构建模块来实现、定制和调整其业务流程。

SAP智能企业和端到端流程

所有这些新的集成的端到端流程“支付来源”，“从招聘到退休”作为智能企业战略的一部分，SAP交付的产品必须满足一系列“质量”或技术要求，以提供无缝的用户体验。最终用户不需要知道这些流程背后的技术复杂性。

端到端过程的套件质量

因此，为了提供透明和无缝的用户体验，所有这些跨多个SAP产品运行的E2E业务流程(例如招聘到退休跨S/4HANA, Concur, Fieldglass和SuccessFactors)必须提供一致的安全和身份管理，但也必须提供嵌入式和跨产品分析，一个中央工作流收件箱，一个一致的域模型和协调的生命周期管理。

智能套房的重要套房品质之一是“一个工作流收件箱，它允许跨多个SAP产品进行中央任务管理。这个“一个工作流收件箱”需要跨多个SAP产品的用户持久性，t他同样用户ID应(通过主体传播)共享给E2E过程中涉及的所有SAP产品:

通过SAP IAS获取SAP UUID

对于这个新的中央任务管理特性，必须使用SAP IAS来管理SAP UUID持久性和SAP将提供不同SAP产品之间的自动化集成:

SAP UUID通过SAP IAS -中央收件箱

那么……如果你已经有Azure AD(或任何其他IDP)，为什么还需要SAP IAS呢?因为它是SAP Intelligent Suite的核心服务，可以帮助您跨SAP产品构建真正的端到端业务流程。这种深度的、开箱即用的集成无法通过Azure AD或任何其他IDP完成。对于Azure AD，您有身份验证和SSO，这是一个很好的起点，但如果您希望在SAP产品之间建立真正的集成，则需要单独使用SAP IAS或作为Azure AD的代理。

使用SAP IAS作为企业IDP(有或没有Azure AD)的员工供应场景的参考体系结构

没有企业IDP的客户可以使用SAP SuccessFactors或其他SAP云产品中包含(捆绑)的SAP IAS作为默认IDP:

以SAP IAS作为默认IDP的SAP SuccessFactors参考体系结构

类似地，已经拥有Azure AD(或任何其他IDP)的客户可以将SAP IAS作为代理集成，并在不更改现有架构的情况下利用SAP IAS的好处:

使用SAP IAS作为代理IDP的SAP SuccessFactors参考体系结构

如前所述，这两种架构与我上一篇文章中描述的基于Azure AD的架构非常相似，并提供类似的功能:

• 使用SAP IAS作为默认IDP，通过SAML进行身份验证和SSO。
• 用户从SAP SuccessFactors配置到其他SAP系统

但是，正如您在本文中所看到的，使用SAP IAS可以实现更好的SAP端到端集成，并且它是Intelligent Suite的核心组件。一些场景已经要求使用SAP IAS (年代AP SSFF人物分析而且SAPWorkZone人力资源)在不久的将来，还会有更多的人需要它。

此外，当我们分析用户配置功能时，SAP IAS与Azure AD相比具有一些优势。使用Azure AD供应服务，您可以从SAP SuccessFactors中设置人力资源驱动的用户供应，因此无论何时在SAP SuccessFactors中创建、更新、启用、禁用员工，更改都可以顺流到您的企业目录服务器和所有企业SaaS应用程序。

但是对于Azure AD，您仍然没有授权管理，用户将被配置为默认/通用角色，如果这还不够，您需要手动或通过第三方工具更改角色和授权。

使用SAP云身份服务-身份发放服务(IPS)结合SAP IAS使您能够实现更灵活和量身定制的用户供应和角色管理。

首先，SAP IAS可以实现SAML断言丰富。来自企业IDP的原始SAML断言增加了额外的属性，从而支持混合场景，例如通过企业IDP进行身份验证，但通过SAP IAS管理角色和组:

SAP云身份服务- SAML断言丰富

此外，使用SAP身份配置服务(IPS)在SAP Cloud Identity Services中，您拥有灵活而强大的机制，可以在目标系统中提供用户，并执行属性转换以满足您的需求。

SAP IPS还与一些SAP云产品(如SAP SuccessFactors)捆绑在一起，并提供一组源和目标系统连接器。这些连接器允许您在不同的系统之间进行开箱即用的用户配置。

SAP IPS -从源到目标的供应

不同系统之间的用户配置具有挑战性，因为每个系统都有不同的授权和角色机制、不同的属性和不同的字段格式。例如，在Active Directory中我们有“mail”属性，但在SAP SuccessFactors中你有“email”属性。SAP IPS实现了标准的转换和映射，因此您不需要担心不同的属性或字段格式。

SAP IPS将邮件属性从AD更改为SAP SSFF中的email属性

如果默认转换不够灵活，您总是可以采用默认转换并包含表达式，功能，条件。例如，您可以根据某些属性或条件在目标系统中分配特定于SAP的角色。如果用户名包含“Sales”分配集团/授权财务)

SAP IPS -转换-自定义条件，函数，表达式

总结和后续步骤

在上一篇文章中，我们讨论了SAP SuccessFactors和Azure AD / Microsoft AD如何为您提供一个很好的身份验证/SSO解决方案，并且还可以通过SAP SuccessFactors实现人力资源驱动的用户配置。但是使用Azure AD，您仍然没有角色管理、访问治理或SAP流程的端到端集成。

在第二篇文章中，我们描述了SAP IAS如何提供相同的身份验证/SSO功能，但从SAP SuccessFactors提供了更好的人力资源驱动的用户配置。事实上，SAP IAS是SAP集成的智能企业战略中的关键服务，支持更深入的端到端集成。

因此，无论您正在开始一个新项目，还是您已经拥有Azure AD / Microsoft AD(或任何其他IDP)，您都应该将SAP IAS作为您IAM策略的关键元素。不需要替换现有的IDP，您可以将SAP IAS配置为现有企业IDP的代理，只需对现有配置进行最小的更改。

在我的下一篇文章中，我们将更详细地讨论SAP云身份服务与其他SAP BTP服务结合如何让您超越身份验证和人力资源驱动的用户供应，并允许您实现真正的人力资源驱动的身份生命周期管理，从而在SAP应用程序之间提供更好的端到端集成:

• 用于IAM的SAP参考架构- Azure AD的员工配置
• 用于IAM的SAP参考体系结构-使用SAP IAS的员工配置(这篇文章)
• 用于IAM的SAP参考架构-人力资源驱动的身份生命周期管理-招聘到退休

请继续关注!

由SAP S/4HANA RIG和客户服务团队为您呈现。