Cookie

< zur Übersicht

10.02.2022
Identity and Access Management
Mirko Golze | Software Architekt

Ein Zentrales Identitätsmanagement Für Partner und Kunden – SAP Customer Data Cloud B2B

Im ersten Teil zum Identitätsmanagement mit der SAP Customer Data Cloud haben wir die Funktionen zur Verwaltung von Kundenprofilen im B2C-Bereich beleuchtet.

Basierend auf den vielfältigen Funktionen der Profil- und Consent-Verwaltung ermöglicht die SAP Customer Data Cloud die Zugangs- und Berechtigungskontrolle auch für den Zugriff von Partnern auf ihre IT-Systeme. So erhalten die Partner den Zugriff auf z.B. ein Dokumentenmanagement-System für Anleitungen oder Produktbeschreibungen, ein Shopsystem, ein Portal zur Einsicht und Download von Lieferscheinen und Rechnungen, ein Ticketsystem für Problemmeldungen und Störungen und vieles mehr.

Damit können Sie ein System schaffen, welches die Zugänge und Berechtigungen zu allen Systemen verwalten kann. SAP bietet hierzu eine Identity and Access Management-Lösung, mit der Sie die Zugriffsverwaltung dem Partner selbst in die Hand geben können:

Die Customer Data Cloud - B2B

Der klassische Weg

Viele Firmen wollen ihre Partner mehr und mehr in ihre digitalen Prozesse einbinden. Dazu werden Portale entwickelt, die auf traditionellen Berechtigungskonzepten basieren, eigene Nutzerverwaltungen besitzen und zeitaufwendig durch IT-Administratoren verwaltet werden. Da kann es schon mal ein paar Tage dauern, bis ein Partner Zugang zum entsprechenden System hat. Handelt es sich um mehrere Systeme, wo sich der Nutzer jeweils ein Passwort vergeben muss, kann dies schnell zu Frust führen.

Ebenfalls werden Nutzer nicht wieder gelöscht, wenn z.B. ein Mitarbeiter eine Partnerfirma verlässt.

Wie funktioniert CIAM für B2B mit der Customer Data Cloud

Um all die problematischen Belange zu lösen, die sich über die Jahre bei Legacy-System gezeigt haben, wurde die Customer Data Cloud mit den Belangen des B2B erweitert. Die Struktur von Partnern können modelliert und die Verwaltung der Nutzer in die Hände eines Partneradministrators gelegt werden.

CIAM for B2B Demo

Organisationsmanagement

Die CDC bietet für die Verwaltung von Kunden- und Partnerorganisationen verschiedene Möglichkeiten. Dabei soll nicht etwa ein CRM-System ersetzt werden, sondern können die Daten aus diesem wieder verwendet werden und etwa mithilfe der CDC REST-API in die CDC übertragen und synchron gehalten werden.

Natürlich ist eine manuelle Pflege über die Oberfläche genauso möglich wie die Registrierung eines neuen Partners über ein Self-Service Portal. Möchte ein Partner gar Nutzer über das eigene SSO-System anbinden, bietet die CDC dies in Form von SAML als Identity Provider ebenfalls an.

Jeder Partner bestimmt einen Partneradministrator, der von nun an die Nutzer für seine Firma verwalten, also Anlegen und auch wieder Entfernen kann. Dieser ist viel besser in der Lage, die notwendigen Rollen und Berechtigungen für seine Kollegen zu vergeben, als dies ein IT-Administrator in Legacy-Systemen je konnte.

Für jeden Partner können speziell für die entsprechende Organisationsstruktur eigene Rollen angelegt werden, sodass der Partneradministrator sie hier leicht wieder finden kann und seine Mitarbeiter leicht zur korrekten Rolle zuweisen kann. Mit dieser Rollenzuweisung sind sofort alle Zugänge zu den Partnersystemen möglich, für die entsprechende Rolle einen Zugang hat.

Geschäftsmodelle

Je nach Komplexität der Struktur eines Geschäftspartners lassen sich verschiedene Geschäftsstrukturen z.B. mit verschiedenen Regionen, Verkaufsbereichen und Hierarchiestufen abbilden, denen dann gezielt verschiedene Berechtigungen zuordnen lassen.

Zugriffsteuerung

In der CDC wird mit einer richtlinienbasierten Zugriffskontrolle gearbeitet. Dies bedeutet, die beiden traditionellen Ansätze der rollenbasierten und attributbasierten Zugriffskontrolle werden vereint. PBAC (Policy Based Access Control) ermöglicht ein einfaches Verständnis und Ausdruck der zugrunde liegenden Geschäftslogik von Zugriffsentscheidungen. PBAC reduziert die Menge der zu steuernden, zu genehmigenden und zu verwaltenden Regeln erheblich und ermöglicht einen effizienten und skalierbaren Zugriffskontrollprozess. PBAC unterstützt sowohl grobkörnige als auch feinkörnige Autorisierungen.

Integration

Nachdem die CDC mit verwaltbaren Anwendungen, wie z.B. ein Portal zur Bereitstellung von Produktbeschreibungen oder einem Shopsystem, konfiguriert wurde und die Rollen und Zugriffssteuerungsregeln erstellt wurden, können Partnerorganisationen eingeladen werden.

Damit das angebundene System von dem definierten Regelwerk profitieren kann, muss dieses Regelwerk von der Customer-Data-Cloud abgefragt werden. Dazu bietet die CDC ein breit gefächertes Angebot an REST-Services. Alle Berechtigungsprüfungen innerhalb einer Anwendung müssen auf diesen Regeln basieren.

Betritt nun ein Nutzer eines Partners die angebundene Anwendung, wird er zum Login aufgefordert oder besitzt bereits eine aktive Session aus einer anderen Anwendung, die im SSO-Verbund vorhanden ist. Der Login findet jedoch nicht direkt durch die Anwendung statt, sondern durch eine frontendseitige Integration der CDC in die Anwendung. Damit wird die Authentifizierung gegen die Customer Data Cloud vorgenommen. Hier profitiert man von den zahlreichen, von der CDC bereits implementierten Anmeldemechanismen wie Login mit E-Mail und Passwort oder Social Login, passwortlosem Login per Telefon und verschieden 2-Faktor-Mechanismen. Hat sich ein Nutzer erfolgreich angemeldet, kann die angebundene Anwendung von der CDC alle Rollen und Berechtigungen abfragen und somit dem Nutzer einen Zugriff auf alle Bereiche gewähren, die ihm aufgrund der in der CDC zugeordneten Berechtigungen und Rollen gewährt wurden.

Eine Nutzeradministration in verschiedenen Systemen ist nicht mehr notwendig. Der Partneradministrator kann seinen Kollegen direkt und ohne zeitlichen Verzug Zugang zu ihren Systemen gewähren.


< zur Übersicht