5 SAP Fiori Launchpad Login-Möglichkeiten: Welcher Prozess ist der Richtige für Ihr Unternehmen?
Das SAP Fiori Launchpad stellt den zentralen Einstiegspunkt für alle Unternehmensanwendungen dar – entsprechend häufig erfolgt hier ein Login der Anwender. Grund genug, sich über die verschiedenen Login-Möglichkeiten Gedanken zu machen. Im heutigen Beitrag möchte ich Ihnen 5 verschiedene Möglichkeiten des SAP Fiori Launchpad Logins aufzeigen und Sie über jeweilige Vor- und Nachteile informieren.
Warum über den Login Gedanken machen?
Das SAP Fiori Launchpad spielt eine entscheidende Rolle dabei, Ihre Anwendungen den Endanwendern zur Verfügung zu stellen – egal, ob auf mobilen Endgeräten oder Desktop-PCs. Die Strategie der SAP ist klar: In Zukunft soll möglichst jeder Zugriff auf das SAP-System und die darin laufenden Geschäftsprozesse über das Fiori Launchpad erfolgen.
Lediglich einige weniger Power User werden wohl weiterhin die SAP GUI oder andere Möglichkeiten des Zugriffs benötigen. Daher werden Ihre Anwender die Login-Maske des SAP Fiori Launchpads auch des Öfteren zu Gesicht bekommen – oder auch nicht, wenn Sie z. B. Mechanismen wie Single-Sign-On (SSO) einsetzen. Aus diesem Grund allein ist es schon sinnvoll, sich über die verschiedenen Möglichkeiten des Logins Gedanken zu machen. Hinzu kommt, dass ein undurchdachter Launchpad-Login Prozess, als zentraler Einstiegspunkt für alle Unternehmensanwendungen, eine mögliche Sicherheitslücke für Ihr System darstellt.
Ihre 5 Login-Möglichkeiten
Heute möchte ich Ihnen 5 Möglichkeiten zur SAP Fiori Launchpad Login-Gestaltung aufzeigen. Alle haben ihre Vor- und Nachteile, die ich jeweils kurz mit anspreche.
Login via Nutzername und Passwort
Die einfachste und vermutlich auch weithin bekannteste Möglichkeit ist die Anmeldung via Nutzername und Passwort. Hier werden die Zugangsdaten des Nutzers für das SAP Gateway System benötigt, nicht etwa die der Backend-Systeme, auf denen die eigentlichen Daten liegen.
Der Vorteil dieser Variante liegt klar auf der Hand: Ihre Einfachheit. Für diese Art des Logins müssen Sie nichts weiter tun, sie funktioniert ohne zusätzliche Konfiguration. Der Nachteil: Zum einen ist diese Anmeldung mehr oder weniger unsicher – je nachdem, wie gut Ihre Passwortrichtlinien sind. Zum anderen ist es aus Usability-Sicht lästig für die Anwender, immer wieder ihre Zugangsdaten eingeben zu müssen. Insbesondere bei längeren Passwörtern und bei mehrmaligen Anmeldungen am Tag.
Vereinfachter Login mit Hilfe eines Pin-Codes
Zur Vereinfachung der Anmeldung via Nutzername und Passwort können Sie das Fiori Launchpad entsprechend erweitern, um eine Anmeldung mit Hilfe eines Pin-Codes zu realisieren. Die Idee dahinter: Bei der erstmaligen Anmeldung gibt der Anwender seinen vollen Nutzername und das Passwort ein. Anschließend vergibt er selbst einen Pin-Code. Bei allen folgenden Anmeldungen wird dann nur noch dieser Pin-Code abgefragt und die Anmeldung geht so schneller. Hierfür haben wir bereits eine passende Lösung entwickelt, auf die ich an dieser Stelle gerne verweise.
Vorteil ist eine bessere Usability. Der Nachteil besteht darin, dass der Pin-Code lokal auf dem Gerät abgespeichert wird. Erfolgt die Anmeldung also über ein anderes Gerät, müssen dort wieder die vollen Zugangsdaten eingegeben werden. Anschließend wird ein weiterer Pin-Code vergeben.
Login per Single-Sign-On (SSO)
SSO erlaubt Anwendern, sich einmal zu authentifizieren und dann auf mehrere Systeme zuzugreifen. Dafür wird zwischen Systemen die Information weitergegeben, dass der Nutzer bereits angemeldet ist. Dieser Vorgang nennt sich dann Principal Propagation. SAP unterstützt mehrere SSO Mechanismen. Dazu zählen unter anderem Kerberos/SPNEGO sowie SAML (Security Assertion Markup Language).
Vorteil dieser Variante ist auch die gesteigerte Usability für die Endanwender. Sie müssen sich nicht mehr so viele verschiedene Passwörter merken. Der Nachteil hingegen ist, dass zusätzliche Infrastruktur, wie beispielsweise ein Identity Provider im Fall von SAML, sowie zusätzliche Konfiguration im SAP-System notwendig werden.
Login mit Hilfe von NFC-Chips auf Mitarbeiterausweisen
Etwas komplexer wird es, wenn Sie beispielsweise Mitarbeiterausweise in den Anmeldeprozess mit einbeziehen. Dieses Verfahren funktioniert nur auf mobilen Endgeräten, die über einen NFC-Leser verfügen. Der Ansatz sieht vor, dass über das Mobilgerät zunächst der NFC-Chip auf dem Mitarbeiterausweis ausgelesen wird. Auf diesem ist ein Zertifikat gespeichert, mit dem sich der Anwender am SAP-System oder einem Identity Provider authentifizieren kann. Auch hierfür haben wir eine Lösung entwickelt – kontaktieren Sie mich gerne, wenn Sie mehr dazu erfahren möchten.
Nachteil dieser Variante ist die Bindung an Geräte mit NFC-Leser. Vorteil ist hingegen auch hier eine verbesserte Usability, da auf die Eingabe von langen Zugangsdaten verzichtet werden kann.
Multi-Faktor-Authentifizierung zum Login
Die letzte Möglichkeit, die ich Ihnen vorstellen möchte, ist der Einsatz einer Multi-Faktor-Authentifizierung. Hierfür ergänzen Sie andere Anmeldeverfahren durch einen zweiten Faktor, beispielsweise einem One-Time-Token, das nach der Anmeldung zusätzlich eingegeben werden muss.
Hier liegt der Fokus auf einer Verbesserung der Sicherheit, was zugleich den Vorteil darstellt. Auf der anderen Seite dauert der Anmeldeprozess damit länger und mindert somit die Usability. Zudem kommt, dass zusätzliche Konfigurationsschritte erforderlich sind.
Wie sieht Ihr optimaler Login-Prozess aus?
Wie Sie sehen, sind die Möglichkeiten zur Realisierung des Logins am SAP Fiori Launchpad sehr vielfältig. Die verschiedenen Möglichkeiten sind im Hinblick auf Ihre Sicherheit sowie die Usability unterschiedlich zu bewerten. Welche Variante für Sie und Ihr Unternehmen am besten geeignet ist, hängt von Ihren Anforderungen ab. Eventuell sind auch mehrere Möglichkeiten in unterschiedlichen Bereichen des Unternehmens sinnvoll.
Websession: SAP Fiori Launchpad Login
Wie sieht Ihr optimaler Login-Prozess am SAP Fiori Launchpad aus? In einer kostenlosen Websession können wir gemeinsam die Antwort darauf finden. Ich freue mich, von Ihnen zu hören!
2 Kommentare zu "5 SAP Fiori Launchpad Login-Möglichkeiten: Welcher Prozess ist der Richtige für Ihr Unternehmen?"
Hallo Herr Schießl,
wie hoch schätzen Sie denn den Implementierungsaufwand für SSO wie SAML ein?
Hallo Herr Wirtz,
danke für Ihre Frage. Es richtet sich natürlich ein wenig nach den Rahmenbedingungen, sprich ob die benötigte Infrastruktur wie ein SAML Identity Provider bereits installiert und konfiguriert ist oder nicht (beispielsweise Mircosoft Active Directory mit Federation Services, Microsoft Azure AD, SAP Cloud Platform Identity & Authentication Service, etc.).
Die Konfiguration auf der Seite des SAP Fiori Launchpads zur Anbindung an den Identity Provider ist dann meist recht überschaubar. Hier geht es im Grundsatz darum, den Identity Provider beim SAP System bekannt zu machen, sodass diesem vertraut wird.
Je nach bereits vorhandenen Voraussetzungen und mit dem passenden Know-How kann SAML in wenigen Tagen eingerichtet werden. Je mehr Infrastruktur noch zu beschaffen und aufzubauen ist, desto aufwendiger wird es. Haben Sie ein konkretes Szenario im Sinn, um das es Ihnen geht?
Viele Grüße,
Tobias Schießl