初心者のためのSAP Identity Management

今回のブログでは、SAPのID管理ソリューションであるSAP Identity Managementをご紹介します。

SAP Identity Managementの必要性

ビジネスがますますグローバル化し、M&A、ビジネスプロセス変革が急激に発生する現在においては、様々な立場の個人が様々なアプリケーションにアクセスしデータを活用する必要があります。オンプレミス環境だけでなくクラウドにもITが展開していく時代の流れと相まって、ユーザーIDと権限の管理は、複雑化する一方です。同時に不正なアクセスによる架空発注や情報漏えいなどの事例も枚挙にいとまがありません。

以下のような課題があれば、SAP Identity Managementが必要であると言えます。

• ユーザーはアクセス権の許可を直ぐに得ることが出来ず、生産性が損なわれている（これは、採用時だけでなく、部署移動、代理、昇格、退職などを含むIDのライフサイクルの全体にわたって言えることです）。
• 退職者のアクセス権は即座に無効化されず、セキュリティ上の高いリスクとなっている。
• ユーザーIDと権限割当の管理に、大きな工数が費やされている。
• コンプライアンス（職務分掌）や監査要件に適合できていない。

上記の課題に対応するSAP Identity Managementの主要機能は以下です。

• 異機種環境において、ユーザーID登録と権限割当（プロビジョニング）とユーザーID無効化あるいは権限はく奪（デプロビジョニング）を自動化
• アクセス権の申請、自身のデータの変更、パスワードリセットなどのセルフサービス機能
• コンプライアンス（職務分掌）のためのSAP Access Controlとの連携

IDのライフサイクルにおける典型的な課題

SAP Identity Managementとは?

SAP Identity Management によって、企業は、複雑で異機種混在のシステム環境において、ユーザーIDとそのIDへの権限の割当を集中管理できます。例えば、複数のシステムに分散した、本社、関連会社、契約社員のユーザーIDを一元管理できます。

SAPおよびSAP以外のアプリケーションにユーザーIDと権限割当を自動的に配信できます。また、SAP Access Controlソリューションと連携することで、職務分掌に適合したコンプライアンス対応のID管理を実現できます。

ワークフロー、レポート、セルフサービス機能を提供します。SAPのシングルサインオンソリューションと連携することで、ITシステム全体に対するシングルサインを、アクセスセキュリティを確保したうえで安全に提供できます。

SAP Identity Management の主な機能

SAP Identity Managementの差別化要因

• SAPアプリケーションとの技術的連携
  • SAP S/4HANA、SAP Business Suite、SAP HANA、SAP BusinessObjects、SAP SuccessFactorsを含むSAPアプリケーションとの連携
• ビジネスプロセスレベルの連携
  • SAP HCM、SAP SuccessFactorsとの連携（従業員情報）
  • SAP CRMとの連携（ビジネスパートナー情報）
• SAP Access Controlとの連携 -> コンプライアンス（職務分掌）
• 多くのSAPおよびSAP以外とのコネクタを標準装備（例： Active Directory、Outlook、Lotus Notes、データベース、ファイル、他）

SAP Identity Managementの利用シナリオ

統制されたID管理の代表例としてユーザーによるロール（権限）割当申請のシナリオと、ビジネスプロセスの効率化に有効な人事ビジネスプロセスとの連携によるプロビジョニングのシナリオを紹介します。

(1) ユーザーによるロール（権限）割当申請のシナリオ

1. ユーザーがSAP Identity Managementにログインし、Web UIを使って、ロール割当を申請
2. SAP Identity Managementのワークフロー機能により、マネージャーにワークフローのタスクが通知され、マネージャーは申請を承認
   （3から6はオプション）
3. SAP Identity ManagementはSAP Access Controlのリスク分析へ依頼を転送
4. SAP Access Controlはリスクを分性（職務分掌に適合することをチェック）
5. リスクがある場合は適切な担当者が緩和処置を実行
6. SAP Access ControlはリスクステータスをSAP Identity Managementに転送
7. SAP Identity Managementは、ターゲットシステムへ配信（例えば、SAP ERPの請求処理ロールの申請のケースでは、SAP ERPのユーザIDに請求処理ロールを割当てる。ユーザーIDが未登録であればそのIDを登録する。）
8. SAP Identity Managementは、ユーザーとマネージャーへメールで完了を通知

ロール割当申請から配信までのプロセスフロー

(2)人事プロセス主導のIDとロール割当のシナリオ（採用時）

1. 採用前フェーズ: 人事は、ポジションや入社日などの彼女の社員データを入力
2. イベント起動で個人データを抽出
3. SAP HCMでのポジションに基づき、IDMは、ビジネスロール “Marketing Specialist” を自動的に割当て
4. 彼女の上司が割当を承認
5. 仕事の初日: 関連システムにロールと権限情報を配信

ビジネスプロセス主導のID管理（採用時）

SAP Identity Managementのコネクタ

SAP Identity Managementの標準コネクタの一覧を示します。多くのコネクタが提供されていることを確認いただけると思います。これら以外に、パートナー企業から提供されているコネクタもあります。必要に応じて、コネクタを独自に開発することも可能です。

SAP Identity Management のコネクタ一覧

まとめ

今回のブログでは、SAPのID管理ソリューションSAP Identity Managementについて、概要、必要性、差別化要因、利用シナリオとコネクタをご紹介しました。SAP Identity Managementのご検討の第一歩となれば幸いです。

また、SAPのシングルサインオンソリューション SAP Single Sign-Onについてもブログでご紹介する予定です。

ご質問はチャットやWebからも受け付けております。お気軽にお問い合わせください。

●お問い合わせ先
チャットで質問する
Web問い合わせフォーム
電話: 0120-554-881（受付時間：平日 9:00～18:00）