Identity Governance: So automatisieren Sie SAC-Zugänge auf Basis von Microsoft Entra ID

Identity Governance

So automatisieren Sie SAC-Zugänge auf Basis von Microsoft Entra ID und SAP Cloud Identity Services

In modernen SAC-Landschaften spielt nicht nur das Dashboard eine Rolle, sondern vor allem, wer darauf Zugriff hat und wie dieser Zugriff gesteuert wird. Viele Kunden starten mit der SAP Analytics Cloud pragmatisch: Benutzer und Teams werden manuell angelegt, Stories direkt zugewiesen. Was kurzfristig funktioniert, wird mittelfristig zum Governance-Problem mit manuellen Prozessen, Sicherheitsrisiken und hohen Betriebsaufwänden.

Analytics-Plattformen sind die Datenquelle für Entscheidungen und damit besonders sensibel. Wenn identitätsbezogene Zugriffsrechte nicht automatisiert gesteuert werden, entstehen Fehlerquellen:

verwaiste Benutzerkonten und Berechtigungen nach Rollen- oder Teamwechseln
inkonsistente Zugriffsrechte über unterschiedliche Analytics-Anwendungen hinweg
fehlende Transparenz darüber, wer Zugriff auf welche Daten hat

Keine manuelle Zugriffssteuerung

Wie wir das bei Teamfact lösen

Unser bewährter Ansatz nutzt Microsoft Entra ID als „Source of Truth“ für User und Gruppen. Die Identity-Steuerung erfolgt über die SAP Cloud Identity Services mit klarer Aufgabentrennung:

Identity Authentication Service (IAS): Übernimmt die Authentifizierung
Identity Provisioning Service (IPS): Steuert die Provisionierung zur SAC

Wichtig: Berechtigungen werden nicht manuell in der SAC vergeben, sondern durch die Gruppenzugehörigkeit in Microsoft EntraID gesteuert und mit der SAC synchronisiert. Dieses Modell ist robust, auditfähig und skalierbar.

Die Bausteine der Automatisierung

Klare Team-Struktur: Teamnamen wie SAC_LogisticDashboardViewer machen klar, wofür ein Team steht.
Rollen an Teams binden: Rollen wie Admin, Enduser oder Story Designer werden einmalig an Teams gebunden.
Provisionierung über SCIM: Provisionierung, Deprovisionierung und SSO über IAS sorgen für einen geschlossenen Identity-Kreislauf

Erfahrungen aus der Praxis

In Kundenprojekten sehen wir immer wieder, dass die Zuordnung der User zu den Teams und Rollen der zentrale Hebel für skalierbare SAC-Governance ist. Einmal etabliert, reduziert dies Fehler um ein Vielfaches und schafft Transparenz darüber, wer Zugriff hat und warum dieser Zugriff besteht. Auch der typische Lebenszyklus von Benutzern (Joiner, Mover, Leaver) kann hiermit abgebildet werden.

Fazit

Automatisierte Identity Governance für die SAP Analytics Cloud ist kein Nice-to-have, sondern eine betriebliche Notwendigkeit. Nur wenn Benutzer, Teams und Rollen zentral über die Identity-Plattform gesteuert werden, lassen sich Sicherheit, Nachvollziehbarkeit und Skalierbarkeit nachhaltig gewährleisten. Mit Microsoft Entra ID als „Source of Truth“ und der Integration über SAP Cloud Identity Services entsteht ein konsistenter Ende-zu-Ende-Prozess - von der Authentifizierung über die Provisionierung bis zur sauberen Deprovisionierung. Dieses Modell reduziert manuelle Eingriffe, minimiert Risiken und schafft Transparenz darüber, wer warum Zugriff auf analytische Inhalte hat. Der Ansatz ist dabei nicht auf die SAP Analytics Cloud beschränkt. Die User-Provisionierung über SAP Cloud Identity Services kann ebenso für weitere SAP- und Non-SAP-Lösungen genutzt werden, etwa für SAP Datasphere, und bildet damit die Grundlage für eine ganzheitliche Identity-Strategie. Sie möchten Ihre SAC-Landschaft governancefähig und zukunftssicher aufstellen? Wir unterstützen Sie bei der Konzeption und Umsetzung einer automatisierten Identity-Governance-Architektur - von der Zielstruktur bis zum produktiven Betrieb. Sprechen Sie uns gerne an.

Datenplattform

Integration

Analytics

Planung

nach Branche

nach Fachbereich

Schulungen