4. Identity Management Übersicht
Aus dem Leben eines Benutzers und seiner Berechtigungen
Der erste Tag:
Ernst F. ist gerade in die Firma eingetreten
Zugriffsmöglichkeiten: 3 Jahre später:
über den Benutzer eines Kollegen Ernst F. ist nach mehreren internen
Wechseln Vertriebsleiter
Zugriffsmöglichkeiten:
MS-Exchange, Fileserver, Internet, SAP-FI,
SAP-MM, SAP-PS, SAP-CRM, Siebel, Einwahl
2 Wochen später:
Ernst F. kann wirklich als Buchhalter arbeiten
Zugriffsmöglichkeiten:
MS-Exchange, Fileserver, Internet, SAP-FI
5 Jahre später:
Ernst F. kündigt
1 Jahr später:
Ernst F. wechselt in den Einkauf
Sein Vorgesetzer beantragt zusätzliche
Zugriffsmöglichkeiten 3 Jahre später:
Zugriffsmöglichkeiten:
MS-Exchange, Fileserver, Internet, SAP-FI, Wirtschaftsprüfer stellen fest,
SAP-MM, Einwahl dass ein User ErnstF wiederholt …
6. Explosion der User ID
# of
Digital IDs Business
Automation Partners
(B2B)
Company
(B2E)
Customers
(B2C)
Mobility
Internet
Client Server
Mainframe
Zeit
Vor 1980’s 1980’s 1990’s 2000’s
7. Die eigentliche Wahrheit
•Authentication SAP HR
•Authorization
•Identity Data System
•Authentication
•Authorization
SAP FI
•Identity Data System
•Authentication
•Authorization Mail
•Identity Data
•Authentication
Enterprise Directory •Authorization MS AD
•Identity Data
•Authentication
•Authorization In-House
•Identity Data Application
•Authentication In-House
•Authorization
•Identity Data Application
“Identity Chaos” •Authentication In-House
– Viele Benutzer in vielen Systemen •Authorization
– Multiple repositories of identity information; Multiple user IDs, •Identity Data Application
multiple passwords
– Dezentralisiertes User Management
9. Was ist Identity Management?
Management des kompletten Lebenszyklus eines Benutzers
Einer Identität
Bereitstellen von Mechanismen und festlegen der Prozesse zur
Authentifizierung
Single Sign On
Autorisierung
User und Profil Management
10. Identity Management
Identity Management und Prozesse
Personen
– Werden in Organisationen aufgenommen
– Agieren in ihrer Rolle
– Wechseln die Organisation
– Verlassen die Organisation
Organisationen bzw. Organisationseinheiten
– Werden gegründet
– Agieren in Arbeitsprozessen
– Werden zusammengefügt (merge)
– Werden aufgeteilt (split)
– Werden aufgelöst
Positionen und Aufgaben
– Bleiben (weitgehend) erhalten
11. Identity Management
Business ist nicht Technik Die Business-Treiber für IDM
Business Need
Compliance
Prozesse flexibilisieren
Interne Kontrollen verbessern
„den Markt ins Unternehmen holen“
Revisionssicherheit schaffen
Identity
Management
Kostensenkung Effektivität
Kostensenken durch Automatisierung Anwenderproduktivität erhöhen
Kostenkontrolle durch Transparenz Administrationsprozesse verbessern
Security
12. Identity Management
Wann fängt/ hört ein Mitarbeiter im Unternehmen an / auf zu
existieren?
Im Personalwesen
Arbeitsvertrag
Live & Work Events
Wer liefert die Benutzerdaten?
Das Personalwesen
Wer (Name)
Wo (Aufbau Organisation)
Was (Aufgaben PD)
Das HR System ist der Kreißsaal
der Identität
13. Vorteile von Identity Management
Identity Lifecycle Rollen & Regel-basiertes
Management Provisioning
Identity-Erstellung, Wem ist wann was
Synchronisation und gestattet?
Administration
Compliance & Genehmigungs-Workflows
IT Risk Management Beantragung von
Audit & Reporting, Berechtigungen,
Interfacing mit Risiko- Genehmigung / Ablehnung
Analyse
14. Identity Management
Herausforderungen
Administration von Benutzern und
Security Geschäftsmodell erfordert prozess-
Berechtigungen in heterogenen orientiertes Rollenmanagement
Systemlandschaften
Compliance Revision verlangt Protokolleinträge
Verschiedene Konzepte für User-
und Rollenmanagement (SAP, und Berichte von Aktivitäten über alle
Portal, LDAP, ADS) Systeme und Prozesse
Transparenz SOA –Architekturen erfordern IdM-
Keine unternehmensweite zentrale
Administrationsinstanz für Datenaustausch über System-
Benutzerdatenverwaltung Grenzen hinweg
Bedarf von systemübergreifenden Kostenoptimierung durch
Workflows zum Beantragen und Qualität Automatisierung besser integrierter
Genehmigen von Berechtigungen Geschäftsprozesse
Kosten
15. Identity Center: Worflow
Manuelle Interaktion durch Browser
Starte Provisionierungsaufgaben
Genehmige Berechtigungszuweisungen
Statuskontrolle
Workflows startbar über
Webschnittstelle (Browser)
Ereignissteuerung im IdM
Änderung von Berechtigungszuweisungen
Prozesslogik
Sequenziell
Parallel
Konditional
Genehmigungsschritte
16. Identity Center: Rollendefinition
Organisationsrollen Business-
Werden im Identity Center definiert Rollen
Repräsentieren die Aufgaben eines Manager
Mitarbeiters
Werden oft im Rahmen eines Abrechngs-
Organisationsprozesses beschrieben abteilung
Können hierarchisch strukturiert sein
Sind eine Kombination von technische Mitarbeiter
Rollen und/oder untergeordneten
Businessrollen
Werden Benutzern zugewiesen
Technische Rollen Technische Rollen
Repräsentieren die Zugriffsinformation E-mail AD-User Mitarbeiter Abrechnung Manager
(Portalrolle) (ABAP-Rolle) (ABAP-Rolle)
bzw. technische Berechtigungen auf
(Teil) Systeme und Applikationen
(ABAP-Berechtigungen, UME-
Gruppen, Portalrollen, AD-Gruppen, …) E-Mail Active
SAP
System Directory SAP FI SAP HR
Werden von den Zielsystemen Portal
importiert
Sind systemspezifisch
17. Identity Center: Berechtigungsprovisionierung
Rollendefinition Business-
Lese Systemzugriffsberechtigungen Rollen
(Rollen, Gruppen, Berechtigungen, … Manager
von Zielsystemen)
Weise technische Rollen Abrechngs-
Organisationsrollen zu abteilung
Beschreibe
Organisationsrollenhierarchie
Mitarbeiter
Entwickeln von Regeln für die
Zuweisung
Provisionierung
Weist Rollen Mitarbeitern zu / Entzieht Technische Rollen
(manuell über Workflow oder E-mail AD-User Mitarbeiter Abrechnung Manager
Automatisch). (Portalrolle) (ABAP-Rolle) (ABAP-Rolle)
Automatische Anpassung der
Stammdaten und Zuweisung von
technischen Berechtigungen in E-Mail Active
SAP
System Directory SAP FI SAP HR
Zielsystemen Portal
19. Identity heute
IDM sollte durch beteiligte Prozesse und Tätigkeiten
Organisationsprozesse benötigen korrekte
gesteuert werden Benutzer- und Rechte-
z.B. Personaladministration zuweisungen für Systeme
Aufnahme
Daten HCM Identitätsprovisionierung für SAP
und nicht-SAP-Systeme
Separates
Identity-Management- Workflows
Identity Meta-Rollen
Management HR-Integration
Zentrale Synchronisation Verzeichnis- Produkt
Benutzer- dienst
verwaltung
Provisionierung für
ABAP-Systeme
Legacy Lotus Notes
App.
SAP FI SAP HR SAP ERP SAP SAP Web
ABAP ABAP ABAP Java Portal App.
Java Betriebs-
Datenbanken
SAP XI systeme
ABAP Benutzerdatenquelle
für Portal (UME)
Java
21. Identity Management Zukunft
IDM sollte durch beteiligte Prozesse und Tätigkeiten
Organisationsprozesse benötigen korrekte
gesteuert werden z.B. Personaladministration Benutzer- und Rechte-
zuweisungen für Systeme
Identitätsvirtualisierung und
Identitätsdienste mittels
Aufnahme Standardschnittstellen Genehmigungs-
Daten
HCM prozesse
HCM-
Integration
SAP NetWeaver Zentraler Identitätsspeicher
Identity Management
Definition und
regelgesteuerte
SAP FI Zuweisung von Verteilung von NutzerIds
ABAP ,,Business-Roles” und Rollen-/
Rechtezuweisungen für
Passwort- SAP und Nicht-SAP-
SAP XI Verwaltung Systeme
Monitoring & Audit
ABAP
Java
Legacy Lotus Notes
App.
SAP HR SAP ERP
ABAP ABAP SAP SAP Web
Java Portal App.
Java Betriebs-
Datenbanken
systeme