SAP Identity Management – Jetzt und in Zukunft – Steffen Schatto [AUDIO-PODCAST]

SAP Identity Management – Jetzt und in Zukunft – Steffen Schatto [AUDIO-PODCAST]


– Hallo und Herzlich Willkommen! Mein Name
ist Tobias Harmes. Ich bin Experte für SAP Basis und Security bei der mindsquare und Chefredakteur von RZ10.de. Heute geht es um das Thema Identity Management. Ist es tot oder besteht noch Hoffnung? Mit mir dabei, ich habe
einen Experten eingeladen, ist Steffen Schatto. Steffen, du bist Head of IDM Services bei der Xiting. Was macht man als Head of IDM Services?
– Als Head of IDM Services leitet man den Bereich IDM Beratung bei der Xiting und dazu bin ich auch noch beim Kunden vor Ort im Einsatz und implementiere SAP IDM.
– Jetzt habe ich aus meiner Vergangenheit schon viel Erfahrung sammeln dürfen mit Produkten
von der Firma Xiting, nämlich im Bereich SAP Berechtigung Redesigns, Identity
Management ist ein ganz anderes Feld. Heute geht es ja um SAP Identity Management. Für diejenigen, die jetzt
nicht so tief drin stecken: Was ist denn SAP Identity Management?
– Ich brauche SAP Identity Management, wenn ich zum Beispiel eine COA ablösen möchte.
– Also eine zentrale Benutzerverwaltung?
-Genau, weil mit SAP Identity Management habe ich viel mehr
Möglichkeiten, um Workflows abzubilden. Ich kann komplette Mitarbeiter-Prozesse,
meinen kompletten User Lifecycle mit dem IDM abbilden.
Da geht es dann um Dinge wie Eintrittsprozesse, Austrittsprozesse,
Wechsel der Organisationseinheit, ich habe eine Integration in das Human Capital
Management von der SAP oder ich kann Success Factors als Quellsystem
anbinden, kann in jegliche Systeme provisionieren, habe also eine COA,
die mir viel viel mehr Möglichkeiten gibt und viel dynamischer und flexibler ist.
– Jetzt nur zur Sicherheit: Brauche ich eine ZBV,
also eine Zentrale Benutzerverwaltung, COA, Central User Administration? Brauche ich das, damit ich IDM einführen kann? – Nein, braucht man nicht.
– Also es geht letztlich um irgendein Tool, mit dem ich meine Benutzer managen kann?
– Genau, stell dir einfach ein zentrales Tool vor, in dem alle deine Mitarbeiter-Prozesse ablaufen. Die Mitarbeiter von HCM wissen meistens als allererstes, dass
ein Mitarbeiter eintritt. Die pflegen den in HCM ein, dort wird der automatisch
exportiert ins IDM, bekommt gewisse Attribute aus dem HCM mitgeliefert ins
IDM. Basierend darauf kann man dann Prozesse aufbauen.
Ein Eintrittsprozess kann Attribute generieren wie eine E-Mail Adresse, einen
SEM-Account nehmen und dann kann ich alle möglichen Systeme anbieten von AS Java, AS ABAP, Active Directory, HANA oder auch irgendwelche Third-Party
Systeme, auch Cloud Systeme – da kommen wir vielleicht später noch drauf. Ich kann es
aber natürlich auch einfach nur als Workflow-Tool nehmen für die Beantragung
von SAP Berechtigungen, wenn ich das möchte. Ich kann auch nur SAP-Systeme dort
dranhängen und kann dort dann Freigabe Workflows realisieren,
die dann EKS-konform dokumentiert werden in der Datenbank und
reportet werden können. – Also von den Features her würde ich es jetzt sofort nehmen. Jetzt weiß ich aber auch von meinen
Terminen bei SAP Kunden, das hat nicht jeder. Warum nicht?
– Das ist schwer zu sagen. Viele kommen mit der COA recht gut klar, also zumindest für die Verwaltung von SAP Systemen.
– Vielleicht sagst du nochmal: Was sind so die Features der Zentralen Benutzerverwaltung? Wofür
wird das eingesetzt bei Kunden? – Ich kann zentral für alle meine SAP-Systeme meine Benutzer pflegen, kann Massendaten-Pflege machen, kann
Berechtigungen in einem zentralen System in alle Systeme vergeben und habe aber
dabei den Nachteil, dass ich keine Workflows realisieren kann und auch
keine Non-SAP Systeme anhängen kann wie zum Beispiel ein Active Directory.
– Das heißt also: Die Zentrale Benutzerverwaltung ist ja quasi die Schmalspurvariante von Benutzermanagement. Wenn ich gar
kein Benutzermanagement habe, muss ich halt jeden User einzeln auf jedem SAP-System anlegen. Wenn ich eine Zentrale Benutzerverwaltung
habe, habe ich schon mal diesen einen Schritt, dass ich wenigstens an einer
zentralen Stelle User anlegen kann, Passwörter vergeben kann, Berechtigungen vergeben kann. Aber ich habe halt nicht das, was
für so vollständigen Benutzer Lifecycle notwendig ist. Was wäre denn ein typischer Workflow, der zum Tragen kommt? – Ein typischer Workflow ist ein Eintrittsprozesse. HCM pflegt den neuen Mitarbeiter ein
in das System und an seinem ersten Arbeitstag kann er automatisch in allen
seinen Systemen arbeiten, er hat einen AD-Account, hat eine E-Mail-Adresse, hat –
abhängig von den Business Rollen – auch die Accounts in den Zielsystemen. Das
heißt: Der Mitarbeiter kommt montags in die Firma, setzt sich an seinen Rechner,
bekommt von seinem Vorgesetzten oder von irgendjemand Anderem sein Passwort, loggt sich ein und kann arbeiten. Das ist das Ziel. Was da aber auch noch ein sehr wichtiger Prozess ist, ist der Austritt natürlich. Wenn man den Sicherheitsaspekt betrachtet, ist es fast noch wichtiger als der Eintritt, nämlich dass zum Austrittsdatum der Benutzer seine
Berechtigung verliert, gesperrt wird und – je nach Compliance-Richtlinien – auch
irgendwann gelöscht wird in den Zielsystemen.
– Und zwar dann stell ich mir das so vor: Ich kann an einer Stelle dann einen Knopf drücken und dann sind die dann systematisch auf allen System auch stillgelegt. Das heißt also: Ich
habe dann auch nicht mehr die Möglichkeit vielleicht als
Mitarbeiter, Dinge zu machen auf den letzten Metern, wenn man sich
vielleicht doch nicht einvernehmlich getrennt hat.
– Genau, das wäre so ein typischer Notaus-Prozess. Ich kann auch dafür sorgen, dass schon vor dem Austrittsdatum, was über das HCM gepflegt wird, zum Beispiel zwei Wochen vorher der Benutzer schon ausgetreten wird, weil der vielleicht noch 2 Wochen Resturlaub hat. Das sind Prozesse, die müssen definiert werden und dann kann ich die flexibel dort implementieren.
– Jetzt waren wir eben auf diesen Punkt gekommen: Warum hat eigentlich nicht jeder SAP IDM?
Dann sind wir kurz abgebogen über die Zentrale Benutzerverwaltung. Jetzt will
ich trotzdem noch mal gerne zu dem Punkt zurück, warum denn nicht jeder IDM hat? Wenn ich jetzt die Zentrale Benutzerverwaltung habe, dann habe
ich halt nicht das mit den Workflows und das ist ja schon ein Ding, was ganz
nützlich wäre. Sonst ist die Zentrale Benutzerverwaltung tendenziell eher
ein Tool für den Admin, dass der es ein bisschen leichter hat, er muss nicht auf
jedes System springen, es ist etwas konsistenter, aber es ist entfernt von: Da
stößt irgendein Fachbereich zum Beispiel HR irgendetwas an und dann passieren Dinge
optimalerweise automatisch im System, also der Roboter macht dann irgendwas
mit den Workflows. Warum haben denn nicht alle SAP IDM?
– Das müsste man wahrscheinlich die Kunden fragen, die eben kein SAP IDM
haben. Vielleicht haben die eben ein anderes Tool für die Identitätsverwaltung. Vielleicht machen die das noch manuell auf dem Papierweg. Also wir haben da auch schon die verrücktesten Sachen gesehen.
– Welche? Das finde ich spannend. – Vor allem bei den Austrittsprozessen
ist es oft so, dass wenn die manuell getriggert werden über den HCM Report, ein HCM Mitarbeiter gibt einen Report raus und sagt: Diese Mitarbeiter
müssen jetzt in allen bekannten System abgegrenzt werden.
Dann werden die in allen bekannten Systemen abgegrenzt von Menschen, also manuell und wir wissen
alle: Menschen machen Fehler und dann ist es oft so, dass man zum Kunden kommt und
wir wissen mittlerweile schon, welche Fragen wir stellen müssen, wo wir nachgucken
müssen, wo dann immer wieder rauskommt, dass eben auch Benutzer
vergessen werden, die noch aktiv in dem System rumliegen und einfach noch
Zugriff und Berechtigungen haben und das kann eben in gewissen Branchen
auch zu Audit Findings führen, die dann eben gemeldet werden müssen und deswegen
macht das schon Sinn, diese Prozesse zu automatisieren.
Warum viele jetzt kein IDM-System haben,
das ist wahrscheinlich wirklich von Kunde zu Kunde verschieden. Vielleicht
fehlt bei manchen das Budget, vielleicht fehlt bei manchen auch einfach dieses Wissen, dass man einfach solche möglichen Audit Findings im System
hat, diese Awareness, dass man ein IDM- System heutzutage braucht – meiner Meinung nach – oder es fehlt einfach der Mut,
so ein Projekt durchzuführen, weil so ein SAP IDM Projekt durchzuführen von A
bis Z ist jetzt nichts, was man auf die leichte Schulter nehmen sollte. – Also die
Zentrale Benutzerverwaltung kenne ich als etwas, wo man was konfigurieren muss, dann muss man ein bisschen Liebe investieren und an der
richtigen Stelle auch den richtigen Klick machen, damit man seine Stammdaten nicht zerlegt. Und bei SAP IDM? Wie aufwändig ist denn so eine SAP IDM Installation?
– Da gebe ich immer meine Lieblingsantwort, nämlich: Das kommt
drauf an. – Ja das ist die Lieblingsberaterantwort. Worauf kommt es denn an? – Ja, aber es ist tatsächlich so. Es kommt darauf an, was der Kunde benötigt. – Reden wir hier über etwas, was nur was für
Großkunden ist? Wie viel tausend Mitarbeiter musst du haben
oder ist das auch was für kleine Unternehmen? Wie viele Mitarbeiter hat denn so ein typischer SAP IDM Kunde?
– Ein typischer SAP IDM Kunde hat auf jeden Fall mindestens Mitarbeiter im vierstelligen Bereich, also ab 1000. Das heißt aber nicht, dass es für Firmen, die weniger Mitarbeiter haben, keinen Sinn macht, IDM einzuführen, weil ich kann auch
als kleine Firma gewissen Compliance Anforderungen unterliegen, die ich mit dem IDM abdecken kan. Von daher ist das schwer zu sagen, aber
du hast gefragt, mit was der Kunde rechnen muss, was für
Komponenten er braucht und so weiter und das kommt wirklich darauf an, denn ich
kann mit dem IDM – das ist so komplex und so facettenreich – sehr viel
umsetzen. Ich kann zum Beispiel einfach nur die
COA ablösen. Das heißt: Ich habe statt meiner COA das SAP IDM und kann dann
nach und nach Workflows einbauen. Dann kann ich das IDM nutzen, um zum Beispiel
Rezertifizierung durchzuführen. Alle 6 Monate zum Beispiel muss der
Vorgesetzte die Berechtigungen seiner Mitarbeiter überprüfen.
Dann kann ich das IDM nutzen, um Non SAP- Systeme anzubinden, um automatisch zum
Beispiel E-Mail-Konten zu generieren oder Active Directory Konten. Dann kann
ich das IDM nutzen, um eine komplette SAP Cloud zu provisionieren über den Identity Provisioning Service. Also der Aufwand für das IDM Projekt
ergibt sich einfach aus den Anforderungen des Kunden
und das ist eigentlich das Schöne gleichzeitig das Schwierige an IDM
Projekten. Was mich auch so ein bisschen antreibt und was mir Spaß macht an den Projekten ist, dass du niemals beim Kunden A das
gleiche implementierst wie beim Kunden B, du hast immer individuelle Lösungen.
– Jetzt ist so: Wenn ich mit Kunden spreche und man auch auf der strategischen Ebene unterwegs ist und man dann überlegt: Was nimmt man? Make or buy und diese ganzen Geschichten und was nimmt man
für ein Tool? Dann ist es natürlich so, dass das manchmal auch ein bisschen Angst auslöst bei Kunden, wenn Sie hören: Wir haben
für Sie was total Individuelles gemacht, weil sie dann überlegen: Wer wartet mir das in 2 Jahren, wer supportet mir das? Das ist zwar individuell an die
Landschaft angepasst, aber trotzdem Standard oder? Könnte ich ein
Standard SAP IDM Paket beauftragen und dann kriege ich das und dann
funktioniert das bei mir? Was ist, wenn ich sage: Ich möchte gerne den
Standard haben. Bei uns ist nichts Besonderes, wir sind wie alle
anderen ich will nur den Standard haben – ist es dann einfacher?
– Nein.
– Warum nicht?
– Weil die Kunden selbst nicht den Standard haben. Natürlich kann ich standardmäßig IDM installieren, kann die Konnektoren
implementieren. Nehmen wir mal an: Wir wollen eine COA ablösen.
Dann stellt sich dann die Frage, wenn ich die COA abhänge und dann
alle Systeme einzeln an des IDM anschließe, stellt sich dann die Frage: Will ich
zum Beispiel SSO nutzen oder nutze ich Passwörter? Will ich vielleicht systemspezifisch Passwörter setzen oder soll der User auf jedem System das
gleiche Passwort haben? Das sind Fragen, die stelle ich im Vorein und die
sorgen dafür, dass ich die Standard- Konnektoren anpassen muss. Das bedeutet aber nicht, dass ich den Source Code von diesem System anpasse. Das ist Standard. Wir installieren diese
Komponenten als Standard. Das, was individuell bearbeitet werden muss, sind eben die
Prozesse. Typisches Beispiel ist immer der Eintrittsprozess. Jeder Kunde, jedes
Unternehmen hat verschiedene User Typen: Interne, Externe, Contractors, Azubis,
Praktikanten – die müssen alle beim Eintrittsprozess unterschiedlich
behandelt werden. Also das muss nicht immer so sein, ist aber meistens so. Die kriegen verschiedene E-Mail-Adressen generiert, die kriegen verschiedene
Gültigkeiten, kriegen verschiedenen Rollen zugewiesen – das ist das, was dann individuell bearbeitet werden muss.
– Das heißt: Es ist normal installiert. Da müssen jetzt keine extra Sachen gemacht werden, dass man da jetzt noch
irgendwie einen Z-Code oder sonst was noch mit reinbringt, sondern es geht dann um das Customizing, also das Anpassen an die jeweilige
Systemumgebung oder Landschaft auch mit den Sicherheitsleveln, die
man erreichen wie SSO, also dass ich kein Passwort eingeben
muss oder dass das Passwort von Windows wieder genutzt werden
kann. Das heißt: Das ist das Individuelle. Jetzt mal kurz technisch
gesehen: Was ist IDM, wenn ich jetzt in der Warp-Kernspule hinten
links unterwegs bin und sage jetzt: Was ist denn das? Was für eine
Datenbank, was für ein Applikationsserver ist das. Das ist ja ein SAP Produkt, aber was ist denn? – Also das ist eine sehr gute Frage, weil
Kunden sind noch immer sehr überrascht, wenn sie das SAP IDM dann mal in Aktion
sehen und vor allem auch die Entwicklungsumgebung sehen, denn das
SAP IDM ist ein dazu gekauftes Produkt. Das wurde in den 90er Jahren damals von
Maxware für Nokia entwickelt und SAP hat dann das Tool gekauft und ständig
weiterentwickelt. Momentan sind wir beim IDM Release 8.0. Was ich dazu brauche, ist
ein Applikationsserver Java. Da laufen die IDM Komponenten wie zum Beispiel
das User Interface oder die Services, die zu der Entwicklungsumgebung, zur Eclipse,
verbinden und dann brauche ich eben eine Datenbank dazu und da bietet IDM, also die SAP
momentan MSSQL, Oracle, DB2 und SAP ASE an. Kein HANA. Das bedeutet aber nicht, dass wir HANA
Systeme nicht anbinden können, dafür gibt es einen Connector.
– Also was die Provisionierung angeht, dass ich Benutzerverwaltung,
Berechtigungsverwaltung dann HANA DB machen, nur das ist nicht das
Fundament des Systems selber, des SAP IDMs. – Das SAP IDM braucht eine eigene Datenbank, dort laufen die ganzen Logiken ab, die Stored Procedures und dort habe ich auch den kompletten Audit Trail und mein ganzes Log gespeichert.
– Und das ist dann also vom Aufbau her auch ein extra Server, es ist nicht im SAP
irgendwo in meinem ERP mit drin. Die Zentrale
Benutzerverwaltung ist zum Beispiel mit im ERP drin, da ist dann irgendjemand und setzt sich die Krone auf und sagt: Ich bin jetzt der Chef. Beim SAP IDM es ist
ein extra Server oder mehrere extra Server, je nachdem, wie man das aufteilt mit Applikationsserver, Datenbankserver. Da unterstelle
ich schon mal, dass der Fußabdruck vielleicht nicht ganz so schlank ist,
aber ist das jetzt was Verrücktes, also ist das jetzt was, was mich ressourcentechnisch viel kostet? Wenn ich gerne ein S4- System hier haben möchte, muss ich dann
schon mal sparen für die Hardware oder ist das normal? Also wie groß muss das sein? – Auch das kommt natürlich auf die Größe von vom System an. Wenn ich jetzt ein System habe, wo ich über
400 SAP Mandanten anbinde und brauche High Availability, dann brauche ich natürlich
mehrere Server, Runtime Server, dass ich eine Ausfallsicherheit habe. Ich
sollte auch meine Datenbank vielleicht in ein Cluster packen, dass ich
auch da eine Ausfallsicherheit habe und brauche halt ein gewisses Sizing,
das ist was, was man vor dem Projekt einfach macht. Aber zum Beispiel für eine
Entwicklungsumgebung oder um einfach mal das Tool runterzuladen und damit
herumzuspielen, da reicht eigentlich ein Server. Da kann
ich auch einen vorhandenen Datenbankserver nehmen, da kann ich einen vorhandenen AS Java nehmen, kann es dort installieren und kann einfach ein mal
bisschen rumspielen, das kann ich ja von der SAP vom Marketplace kostenlos
runterladen. – Wir haben ja über Gründe, warum man das nicht hat, gesprochen. Wie ist das denn mit den Kosten? Mit den Lizenzen? Lizenztechnisch ist das natürlich ein schwieriges Thema. Aber ich habe irgendwann mal gehört, es ist der Nachfolger der Zentralen
Benutzerverwaltung und für SAP kann man es frei verwenden. Wie stellt sich die SAP denn da auf?
– Also das Lizenzmodell bezieht sich auf Managed
Users. Das heißt: Sie zahlen pro verwalteten User im IDM,
allerdings ist – und das ist mein letzter Stand, ich weiß nicht, ob die SAP das
immer noch so handhabt – es so, dass sie alle ABAP alle SAP Systeme kostenlos
provisionieren, lizenzkostenfrei. – Wie immer, liebe Hörer, wenn ihr das hört, wendet euch vertrauensvoll an euren Vertriebler von der SAP. Aber das ist natürlich eigentlich auch ein Pro-Argument, das da genutzt werden kann. Du hast ja eben das Thema gesagt: Die aktuelle Version ist IDM 8.0. Das sind ja so Fragen, die wir auch kriegen, wenn es um SAP IDM geht. SAP IDM taugt das was, braucht man das, kann man das verwenden? Aber dann kommt die Aussage: Moment mal, IDM 8.0. Das ist ja schon eine ganze Weile auf dem Markt und
irgendwie steht in der Produktverfügbarkeits- Matrix sowas wie 2023.
Was ist denn da los? Das war auch ein bisschen die überschrift für heute: Wie zukunftsfähig ist
SAP IDM, also wo geht die Reise hin mit SAP IDM?
– Also zukunftsfähig von der Technologie her ist es auf jeden Fall, denn wir haben mit dem Identity
Provisioning Service einen Service in der SAP Cloud, den ich mit dem On-Premise IDM bedienen kann. Das heißt: Ich kann in Zukunft über eine
hybride Landschaft auch meine Cloud Systeme mit SAP IDM provisionieren.
– Cloud Services wären sowas wie Success Factors? – Success Factors, und ich kann auch ein Azure Active Directory dranhängen oder einen Hybris, also alles Mögliche. Die Liste der Sap Cloud Systeme, die dort angebunden werden können an diesen Identity Provisioning Service, ist sehr
umfangreich. Ich weiß jetzt nicht alle auswendig, aber das ist eine ziemlich
lange Liste und das heißt insofern kann ich mein On-Premise Identity Management System insofern erweitern, wenn ich schon eins habe, dass ich auch Cloud Systeme provisionieren kann
mit dem SCIM Connector, also Cross Domain Identity Management Protokoll und die Frage, warum
das bis 2023 in der Mainstream Wartung ist – das sind 4 Jahre – ist natürlich
eine, die sich SAP stellen muss, weil auch wir kriegen von Kunden die
Frage: Hier in der PAM steht: Das ist nur bis 2023 supportet. Was mache ich da jetzt? Lohnt es sich jetzt
noch, ein neues SAP IDM einzuführen? Muss ich mir vielleicht schon Gedanken
machen, wie ich mein On-Premise SAP IDM irgendwo anders hin migriere? Brauche ich
vielleicht ein Konkurrenz-Tool? Da wird die SAP – da bin ich mir ganz sicher – in naher Zukunft Antworten liefern. Meine persönliche Meinung dazu ist, dass
es bei über 1000 aktiven On-Premise SAP IDM Installationen, die aktiv laufen,
nicht realistisch ist, dass diese alle bis 2023 entweder in die Cloud migrieren
oder auf ein anderes Tool switchen, weil – ich hab es eingangs schon gesagt – das
SAP IDM einfach ein sehr komplexes und mächtiges Tool ist und das kann ich nicht
einfach von A nach B switchen. Meine ganzen Mitarbeiterprozesse laufen dort
drin oder die ganzen Rezertifizierungsprozesse. Ich habe mit vielen Leuten gesprochen, mit Entwicklern, mit
Leuten von der SAP und ich sehe auch momentan kein Alternativ-Tool in der SAP Cloud, was ein On-Premise IDM ablösen könnte. Klar
wir haben den Identity Provisioning Service. Der kann Identitäten provisionieren in die Cloud
Systeme und zurück in das On-Premise IDM, aber ich habe dort momentan noch nicht
die Möglichkeit, Workflows abzubilden, einen Audit Trail zu haben, Rezertifizierungen zu machen, Eintrittsprozesse, Austrittsprozess und
so weiter auszubilden und ich weiß auch von keiner Arbeitsgruppe
oder von keinem Projekt der SAP, die daran arbeiten. Das mag sein, dass die SAP daran
arbeitet, aber ich wüsste es nicht, deswegen ist meine persönliche Meinung:
Es wird das SAP IDM noch eine ganze Weile On-Premise bleiben, was auch nicht
schlecht ist, weil ich werde immer irgendwelche Systeme On-Premise haben,
die ich provisionieren will und ich will vielleicht meine kompletten Mitarbeiter
Workflows – da reden wir auch dann von Datenschutz – On-Premise haben, die ganzen Mitarbeiterdaten will ich bei mir auf einem eigenen Server
haben und will die vielleicht nicht in die Cloud geben. Ich kann aber trotzdem dann Benutzer in die Cloud provisionieren und kann dann
aber auch sagen, welche Daten ich dort mitgebe. Das heißt aus meiner
persönlichen Sicht wird sich in Zukunft das hybride Szenario mit SAP IDM On-Premise und dem Cloud Identity Provisioning Service durchsetzen. [Tobias Harmes:] Ihr führt ja auch Gespräche mit Kunden, die das einführen
wollen. Manche haben schon SAP IDM, manche wollen es Erstmal diejenigen, die es jetzt schon haben: Du hast jetzt
gerade deine Einschätzung geteilt, was sagen denn deine kunden dazu?
Sagen die das Gleiche? Spiegelt sich das wider oder ist es schon so, dass sie Angst kriegen? Was sind vielleicht auch Gründe, das wäre dann zu SAP hin gewandt: Was
könnten die ändern, damit die Leute da etwas entspannter in die Zukunft blicken
können? [Steffen Schatto:] Manche kunden sind wirklich verunsichert, das muss man ganz
klar sagen, aber ich kann denen auch nur das sagen, was ich dir jetzt gesagt
habe, weil wir keine klaren Aussagen haben und da wäre es mit Sicherheit von der SAP sinnvoll, entweder die
Mainstream Wartung zu verlängern oder eben diese Kunden zu informieren, wie es denn mit dem Produkt weitergeht. Ob das
was ich jetzt gerade gesagt habe, Wahrheit wird oder ob die SAP sagt: Nein,
wir haben jetzt das IDM komplett in der Cloud als Service
… [Tobias Harmes:] und das ist die Strategie und jetzt macht euch keine Sorgen, wir bauen noch die Brücke, den Migrator. [Steffen Schatto:] Genau. Und da wäre es mit Sicherheit auch für die Berater hilfreich, einfach mal eine klare Aussage zu
bekommen oder zumindest eine Tendenz, was die Strategie angeht ,weil das
ist momentan wirklich ein bisschen schwierig und die Kunden sind
wirklich verunsichert teilweise. [Tobias Harmes:] Und ist das jetzt nur wegen der PAM? Ich meine: Es gibt ja auch andere Produkte wie den Solution Manager 7.1 zum Beispiel. Der ist mehr als 5 Jahre gelaufen, bevor sie den dann
jetzt gegen den 7.2 ausgetauscht haben und der ist jetzt sogar noch länger
unter der Wartung. Das heißt also die Versionsnummern nicht zu erhöhen ist jetzt nicht völlig verrückt, das kann
doch nicht der einzige Grund sein, warum es da Unruhe gibt. Siehst du da irgendwo Probleme, wo SAP
was besser machen kann? [Steffen Schatto:] Ja. Die strategie von SAP ist natürlich gerade: Wir gehen auf HANA um und wir gehen an die Cloud und ich habe das
Gefühl, dass da die On-Premise Lösungen einfach ein bisschen vernachlässigt
werden. Und wie gesagt, wir haben über 1000
aktive IDM On-Premise Installationen. Da sind auch wirklich riesen Systeme dabei. Die SAP selbst nutzt zum Beispiel das sap IDM und wir haben auch Kunden mit
tausenden von Benutzern, mit hunderten von Systemen an das SAP IDM angeschlossen und
auch dort wird wahrscheinlich eine Migration bis 2023 nicht möglich sein.
Das Interessante ist, dass vor ein paar Jahren die Version IDM 8.0 auf den Markt
kam. Dort hat es ein paar strukturelle
Änderungen gegeben, deswegen sollte IDM 7.2 auf IDM 8.0 migriert werden – die
Entwicklungsumgebung wurde neu gebaut und so weiter. Dort hat die SAP auch die Mainstream Wartung noch mal um ein Jahr verlängert
bis 31.12.2019 und dennoch gibt es jetzt immer noch
viele Kunden, die auf IDM 7.2 sind. Das heißt: Die haben noch nicht upgegradet auf IDM 8.0 und da ist natürlich auch die Frage:
Warum tun die das nicht? Fehlt da das Budget? Fehlt da einfach der Wille? Ist denen egal,
auf welcher Version sie sind? Oder sind die vielleicht auch verunsichert, weil
sie sagen: Jetzt stecke ich vielleicht viel Geld in ein Upgrade Projekt… [Tobias Harmes:] und bekomme keine Zusicherung, ob ich einen Investitionsschutz bekomme. [Steffen Schatto:] Genau, das ist die Frage. Und das das hört man momentan relativ oft auch auf den Events, auf denen ich unterwegs bin
dass die Kunden wirklich einfach fragen: Ich habe gehört das Gerücht gehört, dass das IDM nicht mehr weiterentwickelt wird. [Tobias Harmes:] Aber diese Aussage gibt es ja nicht offiziell, also das ist auch nichts, was ein SAPler gesagt. Also es gibt diese Aussage nicht. Eigentlich kann man sie so nicht stehen lassen. Also die
Wahrscheinlichkeit ist im Moment – von dem was du sagst – dass die Wartung auf jeden Fall verlängert wird, weil es einfach so eine große
Installationsbasis gibt in Deutschland und der Welt. Ich meinte da riskieren
die Kunden schon aus der Wartung zu laufen, wenn sie jetzt auf 7.2 bleiben.
[Steffen Schatto:] Die sind schon aus der Wartung. Entschuldigung, ich habe eben 2019 gesagt, aber Ende 2018 ist die
Mainstream Wartung abgelaufen. [Tobias Harmes:] Okay, also ist 7.2 aus der
Wartung, das heißt, wer jetzt auf 7.2 ist, ist ein bisschen im luftleeren Raum ja und da müsste man jetzt entscheiden: Wie macht man weiter
und geht man auf IDM 8.0. Das heißt die SAP könnte da an der Stelle mit
einer Aussage wie: Wir committen uns darauf, dass wir das wir das weiter
supporten. Das könnte auch vielen Leuten erleichtern von 7.2 auf 8.0 zu ändern. Für die Leute, die SAP IDM 7.2 im Einsatz haben, ist das Thema SAP IDM eigentlich gesetzt, weil man hat ja SAP IDM 7.2 schon im Haus. Für diejenigen, die es jetzt noch gar nicht haben, ist das ja dann noch eine größere Frage, weil es natürlich
einfacher ist, um sich für ein anderes Produkt zu
entscheiden. Bräuchten die auch einfach nur die Aussage von der SAP? Es geht ja auch so ein bisschen um die Zukunft. Du hast gesagt: Eines der besten Features aus
deiner Sicht für SAP IDM ist, dass es so flexibel ist, es kann sich an jeden
Prozess anpassen. Gibt es auch noch was, was in SAP IDM noch fehlt, wo man sagen würde das ist etwas, was der Markt liefert, was SAP IDM vielleicht nicht liefert und wo die SAP mal Gas geben sollte? [Steffen Schatto:] Also was auf jeden Fall fehlt, in der Standardlösung, sind User Interfaces, die zeitgemäß sind,
denn die Standardlösung, die ausgeliefert wird, ist Web-Dynpro-basiert und es gibt zum Beispiel keine Fiori- Applikation standardmäßig von der SAP.
Sie finden allerdings auf den Markt jede Menge selbst gestrickte Sachen. Also wir
haben auch Fiori Applikationen für IDM entwickelt. Andere Marktteilnehmer haben das Gleiche gemacht. Das heißt: Wenn Sie als Kunde dort suchen, dann wären sie auch fündig. Das ist mit Sicherheit etwas,
was fehlt. Viele Marktteilnehmer, die IDM Beratung machen, haben dann auch kleine ergänzende Programme oder Features dazu gebaut wie eine Massenverwaltung oder eben ein Launch Pad zur Kontrolle, ob die Runtime
läuft und so weiter und so fort. Das bieten wir auch an. Das ist sehr
interessant, wie die verschiedenen Marktteilnehmer immer auf die gleichen
Lösungen kommen, weil das eben die Dinge sind, die eigentlich an dem Produkt fehlen. Also das ist natürlich wie jedes Produkt nicht
perfekt. Es sind ehrlich gesagt Kleinigkeiten, die dort fehlen,
die ist einfach von einem guten Produkt zu einem
wirklich tollen Produkt mit neuer User Experience machen wie zum
Beispiel Fiori Applikationen. [Tobias Harmes:] Das Auge isst ja immer mit. Also das ist auch eines der ersten Sachen, die ich oft höre,
wenn es um SAP IDM geht, dass die Oberfläche im Standard jedenfalls nicht
so mega sexy ist. Das ist dann manchmal so, dass ich dann damit nicht sofort Herzen
gewinne, wohingegen diese Sache mit: Das Unternehmen muss sich an das Tool anpassen oder andere Tools, die
vielleicht bessere Oberflächen liefern, aber sich dann nicht so ans SAP
anschmiegen, dann andere Probleme mit sich bringen.
Was würdest du denn sagen in deinen Projekten: Was ist denn das größere tThema?
User Interface oder Flexibilität in den Prozessen? Also was wiegt schwerer? [Steffen Schatto:] Also um den Fuß mal in die Tür zu kriegen: Wenn wir das vorstellen
beim Kunden, dann wiegt mit Sicherheit das User
Interface, das einfach Web-Dynpro- basiert ist. Das wiegt schwerer.
Die sehen das und sagen: Das kann ich jetzt nicht als Self-Service anbieten,
weil es auch einfach nicht diese Dynamik bietet, die ein Fiori oder ein UI5 ermöglicht.
Ich kann das nicht auf den mobilen Applikationen responsive nutzen.
Das heißt: Dort ist das schon ein bisschen der Stolperstein. allerdings zeigen wir dann bei diesen
Präsentationen auch schon, was möglich ist mit Fiori
Applikation, die ja auch zum Beispiel Inhouse entwickelt werden können. Das IDM
kommt mit einer Standard Rest API Schnittstelle und die kann ich nutzen um eine eigene Fiori Applikation zu
bauen und IDM Beratungshäuser können dann natürlich unterstützen. [Tobias Harmes:] Das heißt also: Ich kann die Flexibilität von einem IDM System nutzen, aber das mit
den schönen Oberflächen muss man dann noch mal extra einplanen. Einplanen bringt mich auf das Thema: Was muss ich denn eigentlich tun oder worauf sollte ich achten, wenn ich ein SAP IDM in Angriff nehme? Also mal angenommen ich habe mich jetzt
dazu entschieden, mit SAP IDM den Deal einzugehen und zu sagen: Ich nutze das als mein Identity Management System. Das Projekt kann durchaus komplex sein und es gibt einige Fragen, die vorher gestellt werden sollten, um die richtigen Weichen zu nehmen. Was kann ich machen, wenn ich jetzt SAP IDM in Angriff nehmen will? Worauf sollte ich achten? [Steffen Schatto:]
Grundsätzlich sollte man sich zu Beginn fragen: Was will ich damit eigentlich
erreichen? Was ist mein Problem, das ich lösen will mit dem IDM? Zum Beispiel, will ich einfach nur die zentrale Benutzerverwaltung ablösen? Brauche ich einen Prozess zur
Rezertifizierung? Brauche ich vielleicht Audit-konforme Berechtigungsfreigabe-Workflows? Will ich meinen User Lifecycle komplett abbilden von HCM bis Zielsystem? Das sind die fragen, die man sich am Anfang stellen muss. Was will ich überhaupt? Man muss das Big Picture haben. Das ist manchmal auch sehr interessant: Wir kamen schon zu Kunden, die das SAP IDM gekauft haben und hatten dann die ersten Workshops und dann haben wir versucht ein Big Picture zu erarbeiten und dann haben die Kunden gesagt: Sie sind doch der IDM Berater, sagen Sie uns doch, was wir brauchen.
[Tobias Harmes:] Nach dem Motto: Wir möchten gerne profitieren vom SAP IDM, wir wissen selber noch nicht ganz
genau, was wir wollen, aber wir nehmen einfach alles, was das IDM hergibt, wir wollen die Maximalinstallation. [Steffen Schatto:] Wir wollen nächste Woche anfangen, zu implementieren und jetzt bauen sie uns mal was. [Tobias Harmes:] Darf man das nicht? Also aus Kundensicht würde ich auch sagen: Wir haben doch Lizenzen bezahlt, jetzt möchte ich aber auch das meiste rausholen
aus der Lizenz. [Steffen Schatto:] Natürlich Wir können da alle möglichen Achterbahnen
bauen, nur die Frage ist, ob der Kunde damit glücklich ist und ob es das
ist, was der Kunde. Das ist wie, wenn ich dich jetzt frage: Bau
mir mal bitte ein Haus, was denkst du was das kostet? [Tobias Harmes:] Ich kann dir das übrigens
sagen, ich habe letztes Jahr eins gebaut, aber ich weiß nicht, was es bei
dir kostet. [Steffen Schatto:] Eben. Also mach mir ein Angebot, ich will nächste Woche anfangen zu bauen.
Was kostet mein Haus? Dann geht es nämlich los, dann muss ich
nämlich die Fragen stellen: Mit wie vielen Leuten willst du da einziehen?
Was brauchst du für Zimmer? Wie sollen die Zimmer aussehen? Willst du eine
Terrasse? Kann es vielleicht sein, dass du deine Familie vergrößern willst, dass du
vielleicht noch anbauen musst? Das heißt: Du brauchst ein größeres Grundstück, wir
müssen dir das Gebäude so bauen, dass man noch anbauen kann. Wir
versuchen dann immer auch solche Fragen zu klären wie: Hast du auch daran gedacht,
dass du die Umweltrichtlinien einbaust, die Baurichtlinie da in dem Baugebiet? Also auch alles was drum herum ist muss beachtet werden. Dann hat man die Nachbarn und die Anwohner, die sich vielleicht an Baulärm stören. Das heißt: Das IDM Projekt ist auch immer ein politisches Projekt. Ich muss die
ganze Fachbereiche zusammenbringen. Das heißt: Ohne einen Plan, den der Kunde hat, ohne dass er sich selbst fragt, was er überhaupt will, kann
ich als IDM Berater eigentlich auch nicht das Tool entwickeln, was der Kunde
möchte. [Tobias Harmes:] Wie viel Prozent ist Tool konfigurieren, installieren und aufsetzen und wie viel Prozent ist
Prozesse, Absprachen, Fachkonzeption. [Steffen Schatto:] Ich würde das wirklich fast 50/50 einschätzen. [Tobias Harmes:] Also ist es nicht einfach nur das Tool installieren und: Hier bitte,
ein Standard IDM? [Steffen Schatto:] Das kann sein, wenn der Kunde sagt: Das ist das, was ich möchte, dann
kann das natürlich auch so sein, aber wenn der Kunde natürlich da größere Herausforderungen angehen will und
Probleme lösen will, dann braucht man natürlich klare Definitionen.
Ich will einfach mal ein Beispiel nennen: Wenn man sagt: Ich will einfach
einen Freigabe-Workflow für Berechtigungen. Die soll immer der
Manager freigeben von dem Benutzer. Dann hört sich das eigentlich erst mal
als ein Prozess an der ganz easy ist, ganz einfach. Dann komme ich hin und frage: Der Manager? Wie wird der denn ermittelt? Wer ist denn der Manager? Ist das einfach
au irgendeinem Organigramm auf Papier oder sind das Organisationsdaten aus dem HCN, wo dann der Organisationseinheiten- Leiter praktisch der Manager von
allen der Organisationseinheit ist? Was passiert denn, wenn es einen Manager und
einen Stellvertreter gibt? Wer wird dann der Manager? Was ist, wenn es zum Beispiel auf der Organisationseinheit keinen Manager gibt? Wer bekommt dann die
Freigabe? Was ist, wenn der Manager selbst für sich
was beantragt? Das sind alles so Detailfragen, die mir jetzt einfach aus dem Kopf kommen für einen einzigen, easy Prozess und die geklärt werden müssen, weil wenn Sie dann live gehen mit dem Tool und dann im Nachgang, wenn Sie produktiv sind, solche
Dinge merken, dann haben Sie verloren. [Tobias Harmes:] Das ist dann wahrscheinlich das Thema: Wenn wir so einen Fall haben, dann fragen wir den Herrn Müller. Das muss man irgendwie dem Roboter beibringen, das muss man irgendwie in diesen Prozess reingießen, damit es dann skaliert. [Steffen Schatto:] Wenn sich die Unternehmen einfach mal ihre Prozesse anschauen, ist auch
immer sehr interessant , dass sie dann manchmal auf Dinge kommen oder merken, dass diese Prozesse, die sie in ihrem Unternehmen seit Jahren haben, einfach
total abwegig sind oder viel schlanker gestaltet werden können oder
Prozessschritte enthalten, die einfach komplett unnötig sind.
Das war auch immer sehr interessant. Wir haben noch keine einzige IDM Komponente installiert, da merkt der Kunde schon: Hier müssen wir vielleicht den Prozess
mal ein bisschen anpassen. Das heißt ein Teil des Projektes ist
dann auch immer so eine Bestandsaufnahme: Wie läuft es
jetzt gerade, sodass man das vielleicht zu einem
etwas schlankeren und graderen Weg machen kann. Also ist es nicht unbedingt so, dass ein IDM System die Prozesse verkompliziert? [Steffen Schatto:] Nein, überhaupt nicht. Ein IDM System bildet ja nur die Prozesse ab. Die fachlichen
Prozesse werden vom IDM technisch abgebildet. [Tobias Harmes:] Aber wenn man schon mal dabei ist, muss man ja nicht verrückte Sachen dann abbilden, sondern
man kann ggf. sagen: Hier könnte man auch etwas gerader
werden im Weg. [Steffen Schatto:] Genau und das ist sehr interessant, wie oft das einfach
beim Kunden auftritt, wenn die sich selbst ihre Prozesse anschauen.
Wir arbeiten gerade in dem konzeptionellen Bereich auch mit
Partnern zusammen wie deron zum Beispiel, die das einfach viel besser
können als wir. Die nehmen den Kunden an der Hand, wir sind dann begleitend
dabei, weil wir den Kunden immer ein bisschen dahin führen müssen, was technisch möglich ist oder was sinnvoll ist. Die erarbeiten dann fachliche
Konzepte, die wir dann in technische Konzepte überarbeiten und dann hat man
einfach mal einen Stand. Dann hat man ein Big Picture. Dann weiß man: Da will ich hin und dann kann man mal loslegen. [Tobias Harmes:] Wie starte ich ein IDM Projekt? Da hast du mir freundlicherweise auch eine
Unterlage mitgebracht, die wir auch in den Shownotes verlinken werden, das heißt: Die kann man sich da auch herunterladen, da gibt es dann noch mal ein paar
Stichpunkte zum Nachlesen, was ihr empfehlt, worauf man achten sollte, wie man IDM starten sollte. Zum Abschluss: Was sind Aussagen von zufriedenen SAP IDM Kunden, die sagen: An der Stelle hat uns das SAP mal so richtig weiter geholfen oder das ist besser als vorher? [Steffen Schatto:] Also wir haben einen sehr großen Kunden in der Schweiz. Der hat seine kompletten SAP Systeme damit gerade gezogen und die laufen dort sehr stabil – auch
mit Austritten und Eintritten. Die Daten sind sehr konsistent. Dann haben wir Kunden, die sehr zufrieden mit der
Konnektivität sind. Wir haben zum Beispiel auch einige Systeme bei Kunden
implementiert, die ServiceNow als Single Point of Entry nutzen und haben dann dort das ServiceNow angebunden. Das heißt: Der kunde und der Enduser
merkt überhaupt gar nicht, dass sich irgendwas geändert hat und trotzdem sind
im Hintergrund die Prozesse automatisiert worden und das ist auch
das Stichwort für Automatisierung also das Anforderungs-Front-End ist so geblieben, wie es ist. Der Kunde hat gar nicht
gemerkt, dass man SAP IDM druntergehängt hat. [Steffen Schatto:] Es kamen ein paar Prozesse dazu, aber das User Interface, das Look and Feel ist genau gleich geblieben. Das ist eben der große Vorteil für die Konnektivität. Wir haben jetzt auch
ein Cloud Connector dafür entworfen, aber der Hauptfaktor ist einfach die
Automatisierung. Dass man bei Eintrittsprozessen, sobald jemand im HCM eingegeben wurde, automatisch alles generiert kriegt. Von E-Mail- Adresse bis Active Directory Account und es wird automatisch ein SAP System angelegt. Da konnte man schon sagen: Wow, ich
drücke auf den Knopf und es läuft und es kommt an. Dahin zu kommen – da machen wir auch nie ein Geheimnis draus – das ist mit Sicherheit eine
Herausforderung und nicht einfach, aber der Benefit, den ich einfach daraus habe, ist riesig. [Tobias Harmes:] Super. Steffen, ganz vielen lieben Dank für deine Insides beim Thema IDM. Ich höre mal so ein bisschen raus: Für dich ist IDM nicht tot. Es wäre schön, wenn die SAP das auch
noch mal an die große Glocke hängen würde, dass sie das weiterhin supporten
werden – auch nach 2023, bis dahin ist noch viel Musik drin. Wir bestimmt auch noch mal dazu sprechen. Vielen Dank. Vielen Dank an Steffen.
Vielen Dank euch für eure Aufmerksamkeit. Ich hoffe, das war interessant für euch. Wenn
ihr noch mehr wissen wollt, in den Shownotes habe ich noch ein paar Sachen, paar Themen, paar Inofrmationen verlinkt. Wenn ihr Feedback habt zu dieser Folge
würde ich mich freuen. Ihr könnt mir eine E-Mail senden an [email protected] Ich
lese jede Mail und beantwortete sie auch und dann Danke und ich wünsche euch
noch einen schönen Tag bis dahin. Ciao.

1 thought on “SAP Identity Management – Jetzt und in Zukunft – Steffen Schatto [AUDIO-PODCAST]

Leave a Reply

Your email address will not be published. Required fields are marked *