Novinky

Více než 30 IDM realizací v České republice i zahraničí

AMI Praha Integrace IdM se systémem SAP
Integrace IdM se systémem SAP

Integrace IdM se systémem SAP

Cílem správy uživatelů v koncovém systému SAP je řízení životního cyklu účtů, jejich atributů a přiřazených rolí. Alternativně se může jednat o plnění různých číselníků (například adresy firem) či čtení drobných oprávnění na úrovni autorizačních objektů a transakcí. Výhodou integrace SAP na IdM je napojení na procesy identity managementu v celé organizaci, čímž je dosaženo vyšší míry automatizace a bezpečnosti. Systém SAP patří mezi složitější koncové systémy z pohledu atributů uživatele, řídí se zde například komplexní struktury licenčních atributů, časová platnost účtu a přiřazených rolí či může být třeba rozeznat, zda je role tzv. kompozitní či single.

Základní odlišností u různých IdM produktů je především to, zda již mají SAP integraci implementovanou v některém ze svých konektorů a rovněž to, v jakém detailu dokáží účty SAP řídit.

SAP XI

Způsob integrace přes SAP XI je vhodný především pokud SAP (typicky SAP HR) slouží jako tzv. autoritativní zdroj identit pro systém IdM. Identity proudí směrem ze SAP do IdM, kde je zpracovává další logika – například jsou uživateli založeny účty na koncové systémy.

Způsob integrace přes XI není příliš vhodný pro situace, kdy je třeba načíst informaci zcela v reálném čase. Rovněž se tento způsob nedá využít pro zápis dat z IdM do SAP, kdy je vyžadována synchronní zpětná vazba o výsledku volané operace (např. výsledek změny hesla).

SAP BAPI

BAPI je standardní API rozhraní systému SAP pro komunikaci s externími systémy. BAPI je na rozdíl od XI synchronní rozhraní, to znamená, že poskytuje okamžitou odezvu o výsledku operace. Výhodou BAPI je fakt, že se jedná o již vyladěné, dlouho existující SAP API nabízející téměř kompletní spektrum operací s účty a oprávněními. K BAPI existuje SAP knihovna JCo, která jej umožňuje volat z Java prostředí.

Nevýhoda BAPI je především na technické úrovni, kdy struktura interface již nesplňuje všechny požadavky na moderní rozhraní (jednoduchost, bezstavovost). V určitých operacích je na úrovni BAPI/ABAP modulu zakomponována business logika, která může být pro některé implementace IdM nežádoucí. Rozhraní BAPI je nejčastěji využívané rozhraní pro integraci s IdM u „velkých“ výrobců IdM.

Webové služby

Integrace IdM se SAP pomocí webových služeb (WS) je z technického pohledu nejelegantnější řešení. Webové služby, zvláště standard REST, jsou jednoduché a přímočaré rozhraní, které umožňuje volat kompletní spektrum operací na straně SAP.  Definice webových služeb může být nastavena pro každé prostředí individuálně, čímž je dosaženo ideálního mapování procesů IdM na operace v SAP. Nad rámec BAPI rozhraní je možné díky WS například docílit lepšího řízení speciálních oprávnění –  autorizačních objektů, transakcí, analytických oprávnění či různých číselníků.

Nevýhodou této metody integrace mohou být mírně vyšší náklady oproti BAPI rozhraní, které jsou typicky vyvolány potřebou vytvoření zákaznických WS na straně SAP.

Autor: Martin Lízner působí ve společnosti AMI Praha jako solution architect a specialista v oblasti identity managementu.