SAP Cloud Identity Services

SAP Cloud Identity Services

Gregor Wolf

SAP Cloud Identity Services

  • Überblick
  • Einrichtung und SAP BTP Verbindung
  • Anbindung an Entra ID
  • Benutzer Authentifizierung
  • Benutzer- und Gruppen-Provisionierung

Architektur

SAP Cloud Identity Services Architektur

Regionale Verfügbarkeit

SAP Cloud Identity Services Regionale Verfügbarkeit

Welche SAP Cloud Identity Services Tenants existieren?

SAP Cloud Identity Services Tenants

iamtenants.accounts.cloud.sap

Empfehlungen

  • Möglichst wenige CIS Tenants
  • Nur einen produktiven CIS Tenant
  • Mit SuccessFactors: Eigene CIS Tenants für Dev, QA, Preprod sind OK
  • CIS Test nur an Sandbox
  • BTP Dev Subaccount ist für Entwickler produktiv

Einrichtung

mit Terraform

Entitlement

              
resource "btp_subaccount_entitlement" "identity_service" {
  subaccount_id = btp_subaccount.trial.id
  service_name  = "sap-identity-services-onboarding"
  plan_name     = "default"
}

Subscription

              
resource "btp_subaccount_subscription" "identity_instance" {
  subaccount_id = btp_subaccount.trial.id
  app_name      = "sap-identity-services-onboarding"
  plan_name     = "default"
  parameters = jsonencode({
    cloud_service = "TEST"
  })
  depends_on = [btp_subaccount_entitlement.identity_service]
}

Trust zum BTP Subaccount herstellen

              
resource "btp_subaccount_trust_configuration" "customized" {
  subaccount_id     = btp_subaccount.trial.id
  identity_provider = element(split("/", 
    btp_subaccount_subscription.identity_instance
      .subscription_url), 2)
}

Terraform Konfiguration anwenden

              
                terraform login
                terraform init
                terraform plan
                terraform apply

github.com/gregorwolf/terraform-trial

Ergebnis

SAP Cloud Identity Services Subaccount Instance

Anbindung an Entra ID

Identity Provider Proxy
Corporate Identity Providers

Konfigurationsschritte (1/5)

Configure SAP Cloud Identity Services for Single sign-on with Microsoft Entra ID

  • Download SAML Metadaten aus IAS -> Applications & Resources -> Single Sign On -> SAML 2.0 Configuration
  • In Entra ID -> Enterprise Applications -> Neue Anwendung -> SAP -> SAP Cloud Identity Services
  • SSO -> SAML -> Upload IAS Metadata

Konfigurationsschritte (2/5)

  • Attribute für SAP anpassen

Identity Provider Proxy

Konfigurationsschritte (3/5)

  • Download Federation Metadata XML aus IAS Enterprise Application
  • Anlage Corporate Identity Provider in SAP Cloud Identity Services -> Identity Providers
  • Import Federation Metadata XML
  • Aktivierung Identity Federation

Konfigurationsschritte (4/5)

  • Subject Name Identifier anpassen

Subject Name Identifier

Konfigurationsschritte (5/5)

  • Attribute anpassen

Self-defined Attributes
Supported Attributes

Benutzer Authentifizierung

  • Zwischen BTP und IAS zukünftig nur noch OpenID Connect
  • Neue Instanzen von SAP Build Work Zone authentifizieren direkt am IAS (XSUAA wird nicht mehr verwendet)
  • Zu Entra ID ist SAML und OpenID Connect möglich

Tipps

Benutzer- und Gruppen-Provisionierung

SAP Cloud Identity Provisioning Services

Quellsystem

Entra ID als Quellsystem
Microsoft Entra ID

Zielsystem

Local Identity Directory als Zielsystem
Local Identity Directory

Resultat

Resultat des Provisioning

Quellsystem

Local Identity Directory als Quellsystem
Local Identity Directory

Voraussetzung für das Zielsystem

SAP BTP XS Advanced UAA Service Plan apiacces

Zielsystem

SAP BTP XS Advanced UAA (Cloud Foundry) als Zielsystem
SAP BTP XS Advanced UAA (Cloud Foundry)

Resultat

Resultat des Provisioning

Kontakt

Gregor Wolf, Computerservice Wolf
gregor@computerservice-wolf.com

Präsentation     Visitenkarte
Link to Presentation Visitenkarte
GitHub