SAP BTP Governance – Access und Identity Management (IAM)

In klassischen IT-Umgebungen führt die Silo-basierte Zusammenarbeit häufig zu fragmentierten Verantwortlichkeiten. Teams für Entwicklung, Betrieb und Sicherheit agieren oft isoliert, was Unklarheiten bei der Verwaltung von Cloud-Ressourcen verstärkt. Typische Probleme umfassen die Verwaltung mehrerer globaler Konten, ungesicherte Anwendungen aufgrund fehlender Berechtigungen oder intransparente Kostenverteilung. Ein DevOps-Ansatz, der Entwicklung und Betrieb vereint, kann hier Abhilfe schaffen. Durch die Integration von Verantwortlichkeiten entsteht eine ganzheitliche Sicht auf Cloud-Anwendungen, was die Governance vereinfacht und die Reaktionsfähigkeit auf Sicherheitsvorfälle erhöht.

Die Architektur der SAP BTP basiert auf einer hierarchischen Struktur, die eine präzise Steuerung von Zugriffsrechten ermöglicht. An oberster Stelle stehen globale Konten, die als Vertragseinheiten mit SAP fungieren und Subkonten, Mitglieder sowie Ressourcenkontingente verwalten. Untergeordnete Directories dienen der logischen Gruppierung von Subkonten, um administrative Prozesse zu optimieren. Subaccounts selbst sind eigenständige Einheiten, in denen Anwendungen bereitgestellt und Dienste genutzt werden. Jeder Subaccount verfügt über eigene Sicherheitsrichtlinien und eine eigene Benutzerverwaltung, was eine klare Trennung der Verantwortungsbereiche gewährleistet. Innerhalb dieser Strukturen bilden Umgebungen wie Cloud Foundry, Kyma oder ABAP die technische Grundlage für die Anwendungsentwicklung und -bereitstellung.

In SAP BTP werden Benutzer in zwei Kategorien unterteilt: Plattformbenutzer und Geschäftsbenutzer. Plattformbenutzer, oft Entwickler oder Administratoren, verwalten technische Aspekte wie die Bereitstellung von Diensten oder die Fehlerbehebung. Geschäftsbenutzer hingegen nutzen die auf der Plattform gehosteten Anwendungen, etwa SaaS-Lösungen oder individuelle Entwicklungen. Diese Trennung ermöglicht es, Berechtigungen gezielt zuzuweisen und den Prinzipien der geringsten Rechte sowie der Aufgabentrennung zu folgen.

Die Authentifizierung in der SAP BTP basiert auf der Integration von Identity Providern (IdP), die eine nahtlose Anmeldung über bestehende Unternehmenssysteme ermöglichen. Der SAP ID Service fungiert als Standard-IdP, wird jedoch für produktive Umgebungen durch SAP Cloud Identity Services – Identity Authentication ergänzt. Dieser Dienst bietet erweiterte Sicherheitsfunktionen wie Multi-Faktor-Authentifizierung und eine zentrale Benutzerverwaltung. Unternehmen können zudem Drittanbieter-IdPs wie Microsoft Entra ID einbinden, wobei der SAP Cloud Identity Services als Hub empfohlen wird, um die Komplexität der Integration zu reduzieren. Durch Identity Federation werden Benutzerdaten nicht redundant gespeichert, sondern über vertrauenswürdige IdPs validiert, was die Sicherheit erhöht.

Die Autorisierung in der SAP BTP wird durch Rollen (Roles) und Rollensammlungen (Role Collections) gesteuert, die Berechtigungen für Ressourcen bündeln. Rollensammlungen sind dabei containerisierte Gruppen von Einzelrollen, die je nach Ebene des globalen Kontos oder Subaccounts variieren. Ein zentraler Aspekt ist die Trennung der Rollenverwaltung: Rollensammlungen auf globaler Ebene gelten nicht automatisch für Subaccounts und umgekehrt. Diese Isolation verhindert ungewollte Berechtigungsausweitungen und unterstützt eine dezentrale, aber kontrollierte Verwaltung.

Je nach genutzter Umgebung innerhalb der SAP BTP kommen unterschiedliche Autorisierungsmechanismen zum Einsatz. In der Cloud Foundry-Umgebung werden Benutzer über Organisationen (Orgs) und Spaces verwaltet, wobei Standardrollen wie „Auditor“ oder „Developer“ grundlegende Zugriffsrechte definieren. Die Kyma-Umgebung basiert auf Kubernetes und nutzt ein Role-Based Access Control (RBAC)-System. Hier werden Berechtigungen durch Clusterrollen und Namespaces gesteuert, die Zugriffe auf API-Ebene granular festlegen. In der ABAP-Umgebung kommt ein eigenständiges IAM-Konzept zum Tragen, das zwischen Business Usern und Technical Usern unterscheidet. Business Roles und Business Catalogs strukturieren hier die Zugriffsrechte, während Launchpad Spaces die Benutzeroberfläche organisieren.

Um die Governance in der SAP BTP nachhaltig zu stärken, sollten Unternehmen mehrere Leitlinien beachten. Die Nutzung von SAP Cloud Identity Services als zentralem IdP vereinheitlicht die Benutzerverwaltung und integriert Sicherheitsfeatures. Rollensammlungen sollten konsequent eingesetzt werden, um Berechtigungen gebündelt und übersichtlich zuzuweisen. Automatisierungstools wie SAP Cloud Identity Services – Identity Provisioning reduzieren manuelle Fehler bei der Benutzerverwaltung. Die Implementierung von Multi-Faktor-Authentifizierung schützt kritische Zugänge, während kontinuierliches Monitoring verdächtige Aktivitäten frühzeitig aufdeckt.

Ein durchdachtes Zugangs- und Identitätsmanagement ist kein Hindernis, sondern ein Enabler für agile Cloud-Entwicklung in der SAP BTP. Indem Unternehmen die hierarchische Struktur der Plattform nutzen, rollenbasierte Berechtigungen konsequent umsetzen und moderne Authentifizierungsmethoden integrieren, schaffen sie eine sichere Grundlage für Innovation. Die Besonderheiten der einzelnen Umgebungen – von Kubernetes-basiertem RBAC in Kyma bis zu ABAP-spezifischen Business Roles – erfordern dabei eine differenzierte Betrachtung. Letztlich liegt der Erfolg einer IAM-Strategie in der Balance zwischen Sicherheit, Benutzerfreundlichkeit und administrativer Effizienz.

Dieses Modell lässt sich natürlich an individuelle Unternehmensgrößen und -anforderungen anpassen. Selbstverständlich stehen wir Ihnen auch jederzeit gerne persönlich zur Verfügung und unterstützen Sie bei der Umsetzung einer effektiven BTP Governance.

Unsere Angebote zu Beratung und Schulungen zum Thema SAP Business Technology Platform finden Sie auf unserer Website.

Nützliche weiterführende Informationen aus dem Bereich SAP finden Sie in unserem Blog und im Bereich Fachwissen auf unserer Webseite.