Seit dem Feature Pack 2208 steht den Benutzern von SAP Business One der Service Identity and Authentication Management (IAM) zur Verfügung. Mit diesem Dienst können sich Anwender bei der Anmeldung in SAP Business One mit dem Benutzer ihres Identity Providers (IDP) authentifizieren und über einen zuverlässigen und sicheren Single Sign-On (SSO) Zugriff auf andere Websites zugreifen. Gleichzeitig können Benutzerzugriffe sicher verwaltet werden, ohne die Benutzerfreundlichkeit bei der Anmeldung in SAP Business One zu beeinträchtigen.
Dieser Artikel basiert auf den folgenden SAP Blog-Beiträgen von Guy Sujetzki, einem der verantwortlichen Produktmanager bei SAP:
Was sind die Hauptvorteile der IAM-Lösung in SAP Business One?
- Nahtloses Single Sign-On (SSO) Erlebnis
- Reduziert die Anzahl der Passwörter und vereinfachte Passwortverwaltung
- Reduziert das Risiko menschlicher Fehler
- Erhöht die Anmeldesicherheit durch …
- den Einsatz der Multi-Faktor-Authentifizierung von IDP
- Verringerung der potenziellen Angriffsfläche
- Administratoren haben eine zentrale Kontrolle über die Zugriffsrechte und können Benutzerrechte bei Bedarf schnell anpassen oder deaktivieren
Identity Provider (IDP) Management
Die Aktivierung des IAM erfolgt im SAP Business One System Landscape Directory (SLD) Control Center. Dazu werden IDPs und Benutzer auf den neu hinzugekommenen Registerkarten "Identity Provider" und "Benutzer“ konfiguriert.
Die folgenden Identity Provider sind bereits im Standard auf der Registerkarte "Identity Provider" im SLD verfügbar:
- SAP Business One Authentication Server - integrierter Authentifizierungsdienst
- Active Directory-Domänendienste - integrierter Authentifizierungsdienst.
Mit einem Klick auf „Hinzufügen“ ist es außerdem möglich, OIDC (Open ID Connect) IDPs hinzuzufügen:
"AD FS", "Azure Active Directory" (FP2208) sowie SAP „IAS (Beta)“ und „Okta) (FP2305) können als externe Identitätsanbieter in OIDC registriert werden.
IDP Tab in SAP B1
Um die Abwärtskompatibilität zu wahren, werden Identity Provider nach dem Upgrade standardmäßig auf "inaktiv" gesetzt. Die Anmeldefunktion für SAP Business One-Benutzer ändert sich nicht, es sei denn, eine IDP wird aktiviert.
Bevor ein IDP aktiviert werden kann, müssen folgende Voraussetzungen erfüllt sein:
- Mindestens ein verantwortlicher Landscape Admin Benutzer muss im SLD auf der Registerkarte "Benutzer" konfiguriert sein
- IDP-Benutzer wurden in allen Unternehmen angelegt und mit dem entsprechenden SAP Business One-Unternehmensbenutzer verknüpft
- Die IDP-Eigenschaft für Add-ons wurde übernommen
Benutzerverwaltung
Über die neu hinzugefügte Registerkarte "Benutzer" im SLD können Sie folgende Aktivitäten/Funktionen steuern:
- Hinzufügen oder Entfernen von IDP-Usern
- Verknüpfung von IDP-User und SAP Business One-User über Unternehmensdatenbanken hinweg
- Zentrale Userverwaltungslösung:
- Ändern von PwD und Aktivieren/Deaktivieren von Unified Usern (Benutzer, die unter SAP Business One Authentication Server IDP erstellt wurden)
- Zuweisen von Usern mit der Rolle Landscape Admin
Hinweis: Die Lizenzen, die den Unternehmensusern von SAP Business One zugewiesen wurden, bleiben nach der Aktivierung des Identitäts- und Authentifizierungsmanagements unverändert.
Anmeldung bei SAP Business One mit einem IDP
Sobald eine IDP im SLD aktiviert ist, wird den SAP Business One-Usern ein neues Anmeldefenster angezeigt. Abhängig von der IDP-Konfiguration der Landschaft (IDP-Typ, Anzahl der aktivierten IDPs) werden die Benutzer innerhalb des Anmeldefensters von SAP Business One zu ihrer IDP weitergeleitet, um sich zu authentifizieren.
Sehen Sie sich in diesem kurzen Demovideo (Youtube), wie Sie Microsoft Azure als IDP in SAP Business One einrichten und sich mit einem Azure-Konto am SAP Business One Web-Client anmelden.
https://youtu.be/lDRsKz-4Z4c
Erweiterungen mit dem FP 2305
Nach der positiven Resonanz hebt SAP das IAM mit dem neuen FP 2305 auf die nächste Stufe. Mit diesen neuen Funktionen wird die Implementierung und die Nutzung von IAM in SAP Business One nun noch einfacher:
- Mehr Sicherheit durch Zwei-Faktor-Authentifizierung: Die Zwei-Faktor-Authentifizierung ist ein Verfahren, das zwei verschiedene Authentifizierungsfaktoren erfordert, um eine Identität festzustellen. Sie können sie jetzt für Benutzer des Authentifizierungsservers von SAP Business One aktivieren.
- IAM unterstützt Single Logout: Mit dieser Funktion können Sie sich von allen webbasierten Anwendungen von SAP Business One in derselben Sitzung und demselben Webbrowser abmelden.
- Wenn Sie sich im SAP Business One Client, Mobile Service und IMCC anmelden, werden im Fenster "Unternehmen auswählen" die aktuellen Lokalisierungs- und Versionsinformationen angezeigt.
- Einführung der Option "Passwort ändern" auf der Anmeldeseite, wenn Sie sich mit dem gebundenen Benutzerkonto bei SAP Business One anmelden.
- Verknüpfung mehrerer Firmenbenutzer: Wählen Sie mehr als eine Firma aus, wenn Sie einen IDP-Benutzer mit einem Firmenbenutzer verknüpfen.
- Wenn Sie einen IDP-Benutzer mit einem Unternehmensbenutzercode verknüpfen und der Benutzercode für alle ausgewählten Unternehmen neu definiert wird, erscheint hinter dem Benutzercode die Bezeichnung (Neu). Der Standard-Benutzercode ist der IDP-Benutzername.
Sehen Sie sich das folgende Video (06:46 min) an, um eine Demo der neuesten IAM-Funktionen zu sehen, die mit FP 2305 eingeführt wurden
https://youtu.be/3tsGpAHHTL4?si=jwejwOl7YY-kDgzH
Haben wir Ihr Interesse geweckt? Dann sprechen Sie uns gern an.
Unser COSIB Berater-Team freut sich auf Sie.
