vollständige Präsentation IdM
Transcrição
vollständige Präsentation IdM
SAP Compliant Identity Management Vertiefungsworkshop IdM Volker Perkuhn SAP Senior Consultant Jens Sauer Consulting Manager t Agenda Einführung in das Thema 13:15 – 13-45 SAP Identity Management (IdM) im Überblick 13:45 – 14:30 Pause für Erfrischungen & Expertengespräche 14:30 – 15:00 Architektur und Konnektoren 15:00 – 15:30 SAP Identity Management (IdM) in der Praxis 15:30 – 16:15 Herangehensweise und Erfahrungsbericht 16:15 – 16:45 Q&A 16:45 – 17:00 Abschluss und gemeinsamer Apéro Ab 17:00 © 2014 SAP AG. All rights reserved. 2 Einführung in das Thema • Allgemeine Begriffsdefinition und thematische Einordnung Lebenszyklus einer Identität im Unternehmen Onboarding Re-Boarding Einarbeitung Kündigung Wiedereinstieg Identity Life Cycle Karriere © 2014 SAP AG. All rights reserved. Abteilungswechsel Elternzeit 4 Lebenszyklus einer Identität im Unternehmen Account UnternehmensDaten Access SAP Rolle LDAP-Eintrag Gruppenzugehörigkeit Mitarbeiter © 2014 SAP AG. All rights reserved. 5 Lebenszyklus einer Identität im Unternehmen HCM Active Directory Offene Fragen: Wer hat Zugang zum System? - Accounting Corporate Wozu ist er berechtigt? - Autorisierung Directory Wer hat ihm das Recht gegeben? - Administration Was geschah in der Vergangenheit? - Audit Lotus Notes LagerbestandsDatenbank © 2014 SAP AG. All rights reserved. 6 Lebenszyklus einer Identität im Unternehmen SAP Rolle Berechtigungsvielfalt des Anwenders darf kein Risiko für das Unternehmen erzeugen Anwender benötigt im Sonderfall Ausnahmerechte Gegebenenfalls muss der Anwender „kontrolliert“ werden Risiko-Kontrolle und Mitigation © 2014 SAP AG. All rights reserved. Anwender benötigt ein Anwenderkonto Anwender benötigt ganz bestimmte Berechtigungen, um produktiv zu sein Der Identitäts-Lebenszyklus des Anwenders muss auditierbar sein Datenkommunikation muss eigens verschlüsselt werden Anwender muss auf Authentizität überprüft werden Die Authentizität des Anwenders darf nicht „gekapert“ werden Genehmiger müssen über die Freigabe des Benutzerkontos entscheiden Management der Identität Single Sign-On und Verschlüsselung 7 Identity Management Compliant Identity Management und Single Sign-On Berechtigungsvielfalt des Anwenders darf kein Risiko für das Unternehmen erzeugen Anwender benötigt im Sonderfall Ausnahmerechte Gegebenenfalls muss der Anwender „kontrolliert“ werden Risiko-Kontrolle und Mitigation Anwender benötigt ein Anwenderkonto Anwender benötigt ganz bestimmte Berechtigungen, um produktiv zu sein Der Identitäts-Lebenszyklus des Anwenders muss auditierbar sein Datenkommunikation muss eigens verschlüsselt werden Anwender muss auf Authentizität überprüft werden Die Authentizität des Anwenders darf nicht „gekapert“ werden Genehmiger müssen über die Freigabe des Benutzerkontos entscheiden Management der Identität Single Sign-On und Verschlüsselung Compliant Identity Management © 2014 SAP AG. All rights reserved. 8 Identity Management Compliant Identity Management und Single Sign-On Compliant Identity Management Compliance Governance Identity Management Authentication und Single Sign-On SAP Business Object Access Control SAP NetWeaver Identity Management SAP NetWeaver Single Sign-On SAP: komplette und integrierte Suite von Compliance, Governance, Identity und Single Sign-On Compliant Identity Management © 2014 SAP AG. All rights reserved. 9 Identity Management Compliant Identity Management und Single Sign-On Compliant Identity Management Compliance Governance Identity Management Authentication und Single Sign-On SAP Business Object Access Control SAP NetWeaver Identity Management SAP NetWeaver Single Sign-On SAP: komplette und integrierte Suite von Compliance, Governance, Identity und Single Sign-On Compliant Identity Management © 2014 SAP AG. All rights reserved. 10 SAP Identity Management (IdM) im Überblick • • • • • Überblick Identity Lifecycle Management Rollen- und regelbasiertes Provisionieren Compliance und IT Risk Management Genehmigungs-Workflows Idealbild einer zentralisierten Benutzerverwaltung HCM Active Directory Compliant Identity Management Corporate Directory Lotus Notes LagerbestandsDatenbank © 2014 SAP AG. All rights reserved. 12 Idealbild einer zentralisierten Benutzerverwaltung HRinitiiert HCM Active Directory Compliant Identity Management Corporate Directory Lotus Notes LagerbestandsDatenbank © 2014 SAP AG. All rights reserved. 13 Idealbild einer zentralisierten Benutzerverwaltung HCM ITinitiiert Active Directory Compliant Identity Management Corporate Directory Lotus Notes LagerbestandsDatenbank © 2014 SAP AG. All rights reserved. 14 Idealbild einer zentralisierten Benutzerverwaltung HCM Active Directory Initiiert Compliant Identity durch Management Fachbereich Corporate Directory Lotus Notes LagerbestandsDatenbank © 2014 SAP AG. All rights reserved. 15 Zentrale Benutzerverwaltung mit SAP IdM GenehmigungsWorkflow e.g. on-boarding Compliance Checks SAP Business Suite Integration SAP BusinessObjects Access Control (GRC) SAP NetWeaver Identity Management Passwordmanagement Reporting Regelbasierte Zuweisung von Businessrollen © 2014 SAP AG. All rights reserved. Zentrale Identitätsablage Provisionierung SAP und nicht-SAP Systeme Web-basierend Single Sign-On 16 Die vier Segmente des Identity Managements Identity Lifecycle Management Rollen & Regel-basiertes Provisioning Identity-Erstellung, Synchronisation und Administration Wem ist wann was gestattet? Accounting Compliance & IT Risk Management Audit & Reporting, Interfacing mit Risiko-Analyse Audit © 2014 SAP AG. All rights reserved. Autorisierung SAP Netweaver Identity Management GenehmigungsWorkflows Beantragung von Berechtigungen, Genehmigung / Ablehnung Administration 17 Die vier Segmente des Identity Managements Identity Lifecycle Management Identity-Erstellung, Synchronisation und Administration Accounting Kontrollierte Benutzerkonten-Verwaltung Automatische Daten-Synchronisation SAP Netweaver Identity Management SAP Netweaver Kontrolliertes und verlässliches Identity Management Provisionieren Kontrolliertes und verlässliches Deprovisionieren User-Selbstadministration inklusive Password-Verteilung und HelpdeskFunktionalität © 2014 SAP AG. All rights reserved. 18 Die vier Segmente des Identity Managements Identity Lifecycle Management Rollen & Regel-basiertes Provisioning Identity-Erstellung, Synchronisation und Administration Wem ist wann was gestattet? Accounting Autorisierung SAP Netweaver Identity Management © 2014 SAP AG. All rights reserved. 19 Identity Management: Rolle vs. Berechtigung SAP NetWeaver Identity Management Rollen-Management Zielsystem System Management TechnischeRolle Rolle Technische Rolle Technische Business Rolle Technische Technische Technische Rolle Rolle Rolle BerechtigungsObjekt Hat Zugriff auf… Kann ausführen … Darf lesen… Konnektor © 2014 SAP AG. All rights reserved. 20 Rollendefinition und Berechtigungsprovisionierung SAP NetWeaver Identity Management Lohnbuchhaltung Business-Rollen Vertrieb Wenige Business-Rollen Abteilungsleiter Bestellwesen Mitarbeiter FinanzBuchhaltung Viele Einzel-Rollen © 2014 SAP AG. All rights reserved. Manager Technische Rollen EmailEmail Email User User User Act. DirEmail Email Gruppen User User Portal Email Email Mitarb.Rolle User User Kostenst. Email Email Portalrolle User User Manager Email Email ABAP-Rolle User User 21 Kontextbasiertes Rollenmanagement Zusätzlicher Kontext auf Attribut Ebene für die Userrollen-Vergabe SAP NetWeaver Identity Management Kontext B User Business Rolle Position Lokation Kostenstelle … Technische Rolle A Technische Rolle D Technische Rolle B Technische Rolle E Kontextbasiertes Provisionieren von Rollen Technische Rolle C Kontext-basierte Zuweisung • Managed System • • • Reduktion der Anzahl von Rollen Reduzierte Komplexität Höhere Granualität Höhere Datenverlässlichkeit Business Rolle Technische Rolle D Technische Rolle B © 2014 SAP AG. All rights reserved. Technische Rolle E 22 Beispiel Kontext-Zuweisung Kontext-Zuweisung auf Basis der Länder-Kennung SAP NetWeaver Identity Management Land Mitarbeiter Kontext Mitarbeiter © 2014 SAP AG. All rights reserved. Mitarbeiter Mitarbeiter 23 Businesscase-Betrachtung Rollenmanagement Rollen & Regel-basiertes Provisioning Wem ist wann was gestattet? Kontrollierte BerechtigungsVergabe durch Rollen Autorisierung Rollenmodellierung über kontextbasierte Businessrollen Zentrale Verwaltung von Berechtigungen Funktionale bzw. organisatorische Rollenmodellierung Organisation der Berechtigungen © 2014 SAP AG. All rights reserved. 24 Die vier Segmente des Identity Managements Identity Lifecycle Management Rollen & Regel-basiertes Provisioning Identity-Erstellung, Synchronisation und Administration Wem ist wann was gestattet? Accounting Autorisierung SAP Netweaver Identity Management GenehmigungsWorkflows Beantragung von Berechtigungen, Genehmigung / Ablehnung Administration © 2014 SAP AG. All rights reserved. 25 Workflow in der Identity Management Architektur ? ? Provisionierung Archivierung und Protokollierung Beantragen Analysieren Genehmigen Provisionieren Protokollieren © 2014 SAP AG. All rights reserved. 26 Workflow in der Identity Management Architektur Beantragen Analysieren Genehmigen Provisionieren Start Workflow „Beantragen“, z.B. Datenänderungen, z.B. Änderungen von eigenen/fremden Stammdaten, Passwörtern usw. Berechtigungsvergabe, z.B. Zugriff auf ein Dokumenten-Share oder eine SAP-Transaktion Erweiterter Berechtigungsvergabe, z.B. Notfalluser Erstellung eines Reports, z.B. Wo hat der Mitarbeiter überall einen Account IDM-System-Trigger, z.B. Erreichen eines Verfalls-Datums Zielsystem-Trigger, z.B. Anlage eines neuen Mitarbeiters im HR Lizenz-Trigger, z.B. „Last-Login exceeds period“ Organisations-Trigger, z.B. einzelner Umorganisation im Unternehmen Bulk-Änderungen, z.B. Massen-Änderung bei größerer Umorganisation im Unternehmen © 2014 SAP AG. All rights reserved. 27 Workflow in der Identity Management Architektur Beantragen Analysieren Genehmigen Provisionieren Control Workflow „Analyse“, z.B. Gültige Rollen-Kombination, z.B Darf Rolle A mit Rolle B vergeben werden?. Gültige Berechtigungs-Kombination*, z.B. Darf Berechtigung A mit Berechtigung B vergeben werden? Gültige Transaktions-Kombination*, z.B. Darf Transaktion A mit Transaktion B vergeben werden? Untersuchung auf Risiko*, z.B. Ergibt die Vergabe der Rolle eine Kritikalität? Generische Unternehmens-Policy, z.B. Müssen Lizenzen gekauft werden? * Grün: GRC Access Control © 2014 SAP AG. All rights reserved. 28 Workflow in der Identity Management Architektur Beantragen Analysieren Genehmigen Provisionieren Control Workflow „Genehmigen“, z.B. Null- bis X-stufiger Prozess, z.B Durchwinken vs. Prüfen. Vertreter-Regelung, z.B. Urlaubs-Vertretung Weiterleitungs-Möglichkeit, z.B. „nicht sicher, ob das so stimmt!“ Eskalations-Regelung, z.B. Task bleibt liegen – wird automatisch eskaliert Whitelist/Blacklist-Szenarien, z.B. „Order Mufti“ vs. „Veto“-Regel Ablauf-Genehmigung, z.B. Automatischer Prozess nach Ablaufdatum Attestierungs-Genehmigung z.B. Wiedervorlage nach Ablaufdatum © 2014 SAP AG. All rights reserved. 29 Workflow in der Identity Management Architektur Beantragen Analysieren Genehmigen Provisionieren Process Workflow „Provisioning“, z.B. Einrichten, Modifizieren, Deaktivieren, z.B Richte Identität auf AD ein. Vergabe von Berechtigungen, z.B. Bekommt Rolle A Deprovisionieren, z.B. Stillegen eines Mitarbeiter über HR-Prozess Notfall-Lock, z.B. Direktes Deaktivieren eines Mitarbeiters über „Notfall-Knopf“ © 2014 SAP AG. All rights reserved. 30 Businesscase-Betrachtung Genehmigungs-Workflow Kontrollierte BerechtigungsVergabe über Genehmiger Verantwortliche übernehmen Verantwortung IT-gestützter und dokumentierter Workflow Antrags- und GenehmigungsVerfahren GenehmigungsWorkflows Beantragung von Berechtigungen, Genehmigung / Ablehnung Automatisierung durch zeitliche Trigger Administration © 2014 SAP AG. All rights reserved. 31 Die vier Segmente des Identity Managements Identity Lifecycle Management Rollen & Regel-basiertes Provisioning Identity-Erstellung, Synchronisation und Administration Wem ist wann was gestattet? Accounting Compliance & IT Risk Management Audit & Reporting, Interfacing mit Risiko-Analyse Audit © 2014 SAP AG. All rights reserved. Autorisierung SAP Netweaver Identity Management GenehmigungsWorkflows Beantragung von Berechtigungen, Genehmigung / Ablehnung Administration 32 Audit und Reporting Erfassung von Daten-Istbeständen, historischen Daten Vollständige Erfassung von Genehmigungs-Prozessen bis hin zu atomaren Entscheidungen Erstellung von maßgeschneiderten Berichten über vordefinierte Templates Risiko-Analyse mit externem SAP BO Access Control System-Logs der Zielsyteme sind separat zu betrachten © 2014 SAP AG. All rights reserved. 33 Businesscase-Betrachtung Audit und Reporting Revisionssichere Protokollierung aller Prozess-Schritte Kompletter Audit-Trail Compliance & IT Risk Management Audit & Reporting, Interfacing mit Risiko-Analyse Berichte „on demand“ Integration mit SBO Access Control Deutliche Verbesserung der Datensicherheit Audit © 2014 SAP AG. All rights reserved. 34 Die vier Segmente des Identity Managements Identity Lifecycle Management Rollen & Regel-basiertes Provisioning Identity-Erstellung, Synchronisation und Administration Wem ist wann was gestattet? Accounting Compliance & IT Risk Management Audit & Reporting, Interfacing mit Risiko-Analyse Audit © 2014 SAP AG. All rights reserved. Autorisierung SAP Netweaver Identity Management GenehmigungsWorkflows Beantragung von Berechtigungen, Genehmigung / Ablehnung Administration 35 Umfassendes Identity Management SAP Netweaver Identity Management Vier-Säulen-Prinzip Identity Management Identity Lifecycle Management Accounting Rollen & Regel-basiertes Provisioning Autorisierung Genehmigungs-Workflows Administration Antworten zu den Fragen: Wer hat Zugang zum System? - Accounting Wozu ist er berechtigt? - Autorisierung Wer hat ihm das Recht gegeben? - Administration Was geschah in der Vergangenheit? - Audit Compliance & IT Risk Management Audit © 2014 SAP AG. All rights reserved. 36 Pause für Erfrischungen & Expertengespräche 14:30 – 15:00 Architektur und Konnektoren Architektur und Integration in SAP NetWeaver • Konnektivität in die heterogene Systemlandschaft • SAP Business Suite Konnektoren • Techniken beim User Interface • Idealbild einer zentralisierten Benutzerverwaltung HCM Active Directory Compliant Identity Management Corporate Directory Lotus Notes LagerbestandsDatenbank © 2014 SAP AG. All rights reserved. 39 Architektur Identity Center Datenbank Workflow Benutzerschnittstelle Management Console Identity Center Database Laufzeitsystem und Dispatcher Dispatcher Runtime Engine Event Agent Service … Prozess- und Provisioning-Logik inklusive Konnektoren … Konfigurations-Schnittstelle Workflow and Monitoring UI (AS Java) Web services Konfigurations-Oberfläche Identity Center Virtual Directory Server Haupt-Interface für User und Manager, Monitorung und Audit Interface für Administratoren SAP GRC Identitäten/Konfigurations/Rollen-Speicher, Prozess-Logik SAP NetWeaver Identity Management 7.2 Ereignisüberwachung Überwacht angeschlossene Systeme und initiiert Datensynchronization bei Feststellung von Änderungen © 2014 SAP AG. All rights reserved. Read / write Detect changes 40 Konnektivität in die heterogene Systemlandschaft Generische Schnittstellen Directory Servers SPML (Services Provisioning Markup Language) LDAP ODBC / JDBC / OLE-DB RFC LDIF Datei XML Datei CSV Datei Datenbanken Microsoft SQL Server Microsoft Access Oracle Databank IBM UDB (DB2) MySQL Sybase Anwendungen Partner Konnektoren * SAP Business Suite SAP Access Control (GRC) SAP HANA Lotus Domino / Notes Microsoft Exchange RSA ClearTrust RSA SecurID Andere SAP Application Server Microsoft Windows NT MS-ILM (vorm. MIIS) Unix/Linux Shell Execution Custom Java Konnektor API Script-basierte Konnektor API ENDRA (Kogit) Blackberry Ent. Server (Kogit) IBM–Cognos (Kogit) IBM–i5 (Identity Forge) CA-ACF2 (Identity Forge) CA-Top Secret (Identity Forge) Cisco Call Manager (Conet) FlexiTrust CA (FlexSecure) IBM–RACF (Kogit) IBM–RACF (Identity Forge) Sharepoint (Asconsit) Sharepoint (Kogit) Secure TrustManager (Secude) Peoplesoft (Asconsit) * Nicht Bestandteil des SAP NetWeaver Identity Management Lieferumfangs Directory Server Microsoft Active Directory IBM Tivoli Directory Novell eDirectory SunONE Java Directory © 2014 SAP AG. All rights reserved. Oracle Internet Directory Microsoft Active Directory Application Mode (ADAM) Siemens DirX OpenLDAP eB2Bcom View500 Directory Server CA eTrust Directory SAP NetWeaver IDM Virtual Directory Server Jeder LDAP v3 compliant Directory Server 41 SAP Business Suite Konnektoren SAP Supplier Relationship Management Key Benefits Automated creation of Business Partner in SAP CRM, SAP SCM Link from Business Partner to user SAP Supplier Customer Management SAP ERP Financials SAP Portfolio and Product Management SAP Transportation Management SAP Product Lifecycle Management SAP Extended Warehouse Management SAP Service Parts Planning © 2014 SAP AG. All rights reserved. SAP Human Capital Management SAP Supply Network Collaboration 42 Compliant Identity Management GRC Integration SAP NetWeaver Identity Management Provisioning Workflow Trigger Approval Workflow Non-SAP & SAP OR Risk Analysis Remediation SAP Anwendungen SAP GRC © 2014 SAP AG. All rights reserved. 43 Compliant Identity Management GRC Integration SAP Netweaver Identity Management SAP Business Objects Access Control Genehmiger ComplianceBeauftragter 1 1. 2. 3. 4. © 2014 SAP AG. All rights reserved. Anforderung Risiko-Prüfung Genehmigungsprozess Provisionierung 44 Compliant Identity Management GRC Integration SAP Netweaver Identity Management SAP Business Objects Access Control 2 Genehmiger ComplianceBeauftragter 1 1. 2. 3. 4. © 2014 SAP AG. All rights reserved. Anforderung Risiko-Prüfung Genehmigungsprozess Provisionierung 45 Compliant Identity Management GRC Integration SAP Netweaver Identity Management SAP Business Objects Access Control 3 2 Genehmiger ComplianceBeauftragter 1 1. 2. 3. 4. © 2014 SAP AG. All rights reserved. Anforderung Risiko-Prüfung Genehmigungsprozess Provisionierung 46 Compliant Identity Management GRC Integration SAP Netweaver Identity Management SAP Business Objects Access Control 3 2 Genehmiger ComplianceBeauftragter 1 4 1. 2. 3. 4. © 2014 SAP AG. All rights reserved. Anforderung Risiko-Prüfung Genehmigungsprozess Provisionierung 47 SAP Identity Management (IdM) in der Praxis Anwendungsszenarien • Live-Demo • Kundenbeispiel • Idealbild einer zentralisierten Benutzerverwaltung HCM Active Directory Compliant Identity Management Corporate Directory Lotus Notes LagerbestandsDatenbank © 2014 SAP AG. All rights reserved. 49 Demo-Szenario 1: “Onboarding-Szenario” Personalabteilung Neuer Mitarbeiter Stammdatenerfassung PersonalSachbearbeiter HRSystem © 2014 SAP AG. All rights reserved. 50 Demo-Szenario 1: “Onboarding-Szenario” Personalabteilung Neuer Mitarbeiter PersonalSachbearbeiter HRSystem Bekanntgabe im Unternehmen © 2014 SAP AG. All rights reserved. 51 Demo-Szenario 1: “Onboarding-Szenario” Personalabteilung Active Directory Exchange Neuer Mitarbeiter PersonalSachbearbeiter HRSystem 2 1 Mailadress und GUID im HR eintragen © 2014 SAP AG. All rights reserved. GUID-Erzeugung MailaddressErzeugung 52 Demo-Szenario 1: “Onboarding-Szenario” Personalabteilung Active Directory Exchange Neuer Mitarbeiter PersonalSachbearbeiter HRSystem Virtual PC Bekanntgabe im Unternehmen Portal CRM © 2014 SAP AG. All rights reserved. LDAPDirectory 53 Demo-Szenario 1: “Onboarding-Szenario” Personalabteilung Active Directory Exchange Neuer Mitarbeiter Stammdatenerfassung PersonalSachbearbeiter HRSystem Virtual PC Bekanntgabe im Unternehmen Portal manuell CRM © 2014 SAP AG. All rights reserved. LDAPDirectory 54 Demo Compliant Identity Management in einer Life-Umgebung Demo-Szenario 2: Abteilungswechsel Personalabteilung Active Directory Exchange Neuer Mitarbeiter Stammdatenerfassung PersonalSachbearbeiter HRSystem Virtual PC Bekanntgabe im Unternehmen Portal manuell Risiko-Prüfung CRM LDAPDirectory ERP © 2014 SAP AG. All rights reserved. 56 Demo Compliant Identity Management in einer Life-Umgebung Demo-Szenario 3: Beantragung auf Berechtigung HR-System Active Directory Exchange Außenstelle Virtual PC Mitarbeiter (Order Management) Portal Order Management LieferantenstammdatenPflege ??? © 2014 SAP AG. All rights reserved. CRM LDAPDirectory ERP 58 Demo-Szenario 3: Beantragung auf Berechtigung HR-System Active Directory Zentrale Exchange Außenstelle Abteilungsleiter 1: Beantragen 3: Genehmigen Virtual PC Mitarbeiter (Order Management) 4: Provisionieren Portal 2: Risiko-Prüfung CRM LDAPDirectory ERP © 2014 SAP AG. All rights reserved. 59 Demo Compliant Identity Management in einer Life-Umgebung Demo-Szenario 4: Neuer externer Mitarbeiter HR-System Active Directory Abteilung XY Exchange Abteilungsleiter Virtual PC Neuer externer Mitarbeiter Portal ABAPDeveloper System CRM LDAPDirectory ERP © 2014 SAP AG. All rights reserved. 61 Demo Compliant Identity Management in einer Life-Umgebung Herangehensweise und Erfahrungsbericht Zielsetzungen & Vorgehen • Phasen • Lessons Learned • Datenaufbereitung • Datenbereinigung • Datenharmonisierung • Attribute-Mapping © 2014 SAP AG. All rights reserved. 64 Rollenmodellierung • Bestandsaufnahme • Role Mining • OrganisationsAbbildung © 2014 SAP AG. All rights reserved. 65 Genehmigungskonzept • Prozessanalyse • Prozessmodellierung • Genehmigungsworkflow © 2014 SAP AG. All rights reserved. 66 Businesscase-Erstellung Identity Lifecycle Management Identity-Erstellung, Synchronisation und Administration Accounting Fachbereich • Öffnen der Abteilungen für administrative Prozesse Infrastruktur • Harmonisierung der Daten • Datenbereinigung • Einrichten von Provisionierungs-Prozessen Fachbereichsübergreifend • Administration (Sicherung/Protokolle…) Infrastruktur © 2014 SAP AG. All rights reserved. 67 Businesscase-Erstellung Rollen & Regel-basiertes Provisioning Fachbereich • Festlegung eines abgestimmten Rollenkonzeptes Wem ist wann was gestattet? • Fachbereichsübergreifende Abstimmung von Berechtigungsvorgaben • Ausarbeitung von Governance-Richtlinien Autorisierung Infrastruktur • Technische Umsetzung der BerechtigungsVorgaben Fachbereichsübergreifend Infrastruktur © 2014 SAP AG. All rights reserved. 68 Businesscase-Erstellung Fachbereich Fachbereichsübergreifend • Fachbereichsübergreifende Abstimmung von Prozessen für Genehmigungen, Reports, Datenschutz Infrastruktur • Einbeziehung von Betriebsrat, Anwendern, Prozess-Beauftragten, Applikationsbeauftragten • Ausarbeitung von Compliance-Richtlinien Infrastruktur • Umsetzung der Prozess-Vorgaben in technische Flowcharts • Technische Realisierung der Prozess-Integration GenehmigungsWorkflows Beantragung von Berechtigungen, Genehmigung / Ablehnung Administration © 2014 SAP AG. All rights reserved. 69 Businesscase-Erstellung Fachbereichsübergreifend Infrastruktur Fachbereich • Vorgaben von der Revision • Mitwirkungspflicht der Fachabteilungen • Ausarbeitung von Compliance-Richtlinien Compliance & IT Risk Management Infrastruktur • Sicherung und Restore Audit & Reporting, Interfacing mit Risiko-Analyse • Technische Realisierung der Berichtserfassung und Verteilung Audit © 2014 SAP AG. All rights reserved. 70 Projekt-Aktivitäten Datenbereinigung Planung, Konzeption Implementierung © 2014 SAP AG. All rights reserved. 71 Automatisierung Projektumfang Y-realistisch Der Umfang von Identity & Access Management Projekten wird maßgeblich durch drei Dimensionen bestimmt: Z-realistisch X-realistisch Anzahl der Benutzer Initialer Scope • Umfang Rollen & Workflows • Integrierte Benutzer/Fachbereiche • Anzahl der Systeme Empfehlung: Identity Management Scope Workshop Finaler Scope © 2014 SAP AG. All rights reserved. 72 Was ist eine SAP Rapid Deployment Solution? Vor-definierte Szenarien schnell und einfach implementiert Software • Schnelle Lösung für die wichtigsten Prozesse SAP Rapid Deployment Solutions Content • SAP Best Practices mit Vorlagen und Werkzeugen um die Lösung schnell produktiv zu nutzen Software Enablement • Anleitungen und Schulungsmaterial unterstützen die Benutzer und Administratoren Service Content Enablement Service • Festgelegter Umfang und Preis schützen vor unkalkulierbaren Risiken im Projekt SAP NetWeaver Identity Management Rapid Deployment Solution Die paketierte Lösung reduziert die Einführungs- und die Betriebskosten durch vorkonfigurierte Einstellungen, die das einfache Zuordnen von Rollen und Rechten zu Benutzern erlauben. Dazu kommen Standard Reports und weitere Funktionalitäten. © 2014 SAP AG. All rights reserved. 73 Bestandteile der Rapid Deployment Solution Beispielhafte Geschäftsvorfälle Lösung: Anforderung: Verfügbarkeit von automatisierter, positionsbezogener und gesetzkonformer Berechtigungsvergabe Reduzierte Betriebskosten durch automatisierte Benutzerdatenanlage und Berechtigungsvergabe basiert auf Daten aus dem Personal-Verwaltungssystem Reduzierte Risiken durch Compliance Checks und Segregation-of-Duty Kontrolle Manuelle Prozesse werden automatisiert durch Integration mit SAP Business Suite Applikationen Neueinstellung Positionsbasierte Zuweisung von Berechtigungen Compliance check Automatisierter Genehmigungsprozess Ja Erzeuge Benutzer und Vergabe von Berechtigungen Erzeuge Benutzer und Vergabe von Berechtigungen Nein SAP ERP Human Capital Management Solution © 2014 SAP AG. All rights reserved. SAP NetWeaver Identity Management Komponente SAP Access Control (nicht Teil der RDS) Vorgesetzter Erzeuge Benutzer und Vergabe von Berechtigungen System Landschaft 74 Die Evolution des Liefermodells von SAP Services Liefermodelle im Vergleich Experten-Basiert Design-Basiert Assemble-to-Order Industrialisiert Hoch qualifizierte Experten liefern einzigartige Resultate Traditionelles Projektvorgehen mit starker Bindung zum Business Blueprint Vordefinierten Servicebausteine helfen die Anforderung umzusetzen Hoch standardisierte Servicepakete mit fixem Scope & Preis Lokal, Nearshore, Offshore REMOTE LIEFERANTEIL LIEFERMODELL ASPIRATION 10% 50% 70% Build to Order 90% Assemble to Order Evolution von SAP Services 75 © 2014 SAP AG. All rights reserved. 75 Die Evolution des Liefermodells von SAP Services “Assemble to Order” als Projekt-Beschleuniger Design-Basiert Assemble 2 Order Projektvorb, Projektvorb. Start Lean Delta Blueprint Umsetzung Produktionsvorbereitung Umsetzung Deploy RDS Start Industrialisiert Blueprint Deploy Run Paketierter Aufwand Nicht-Paketierter Aufwand Go Live & Support Kostensenkungspotentiale in der Realisierungsphase können durch Hinzunahme unserer Near- & Offshore SAP Experten erreicht werden. © 2014 SAP AG. All rights reserved. 76 Step-by-step Migrations-Szenario Beispiel SAP NW IdM ZBV LDAP-Directory Provisionierung für ABAP-Systeme UserdatenAbgleich SAP Portal mit UME © 2014 SAP AG. All rights reserved. FI ABAP HR ABAP ERP ABAP 77 Step-by-step Migrations-Szenario Beispiel Schritt 1: Wichtigste drei Applikationen integrieren: HR Active-Directory Corp-Directory Schritt 2: zwei strategische Applikationen integrieren: ZBV Portal Schritt 3: Usability für Anwender verbessern: Passwort-Mgmt. SSO Schritt 4: Rollen u.Genehm.prozesse optimieren: Org-Modell Autom. Prozesse © 2014 SAP AG. All rights reserved. Schritt 5: Integration weiterer Personengruppen: Externe MA Praktikanten 78 Fragen und Antworten • Fragerunde, Summary und Abschluss Vielen Dank! Jens Sauer Consulting Manager SAP (Schweiz) AG Volker Perkuhn Senior Consultant SAP (Schweiz) AG M +41 79 202 7517 [email protected] M +41 79 257 3286 [email protected] Appendix © 2014 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte vorbehalten. Weitergabe und Vervielfältigung dieser Publikation oder von Teilen daraus sind, zu welchem Zweck und in welcher Form auch immer, ohne die ausdrückliche schriftliche Genehmigung durch SAP AG oder ein SAP-Konzernunternehmen nicht gestattet. SAP und andere in diesem Dokument erwähnte Produkte und Dienstleistungen von SAP sowie die dazugehörigen Logos sind Marken oder eingetragene Marken der SAP AG (oder von einem SAP-Konzernunternehmen) in Deutschland und verschiedenen anderen Ländern weltweit. Weitere Hinweise und Informationen zum Markenrecht finden Sie unter http://global.sap.com/corporate-de/legal/copyright/index.epx. Die von SAP AG oder deren Vertriebsfirmen angebotenen Softwareprodukte können Softwarekomponenten auch anderer Softwarehersteller enthalten. Produkte können länderspezifische Unterschiede aufweisen. Die vorliegenden Unterlagen werden von der SAP AG oder einem SAP-Konzernunternehmen bereitgestellt und dienen ausschließlich zu Informationszwecken. Die SAP AG oder ihre Konzernunternehmen übernehmen keinerlei Haftung oder Gewährleistung für Fehler oder Unvollständigkeiten in dieser Publikation. Die SAP AG oder ein SAP-Konzernunternehmen steht lediglich für Produkte und Dienstleistungen nach der Maßgabe ein, die in der Vereinbarung über die jeweiligen Produkte und Dienstleistungen ausdrücklich geregelt ist. Keine der hierin enthaltenen Informationen ist als zusätzliche Garantie zu interpretieren. Insbesondere sind die SAP AG oder ihre Konzernunternehmen in keiner Weise verpflichtet, in dieser Publikation oder einer zugehörigen Präsentation dargestellte Geschäftsabläufe zu verfolgen oder hierin wiedergegebene Funktionen zu entwickeln oder zu veröffentlichen. Diese Publikation oder eine zugehörige Präsentation, die Strategie und etwaige künftige Entwicklungen, Produkte und/oder Plattformen der SAP AG oder ihrer Konzernunternehmen können von der SAP AG oder ihren Konzernunternehmen jederzeit und ohne Angabe von Gründen unangekündigt geändert werden. Die in dieser Publikation enthaltenen Informationen stellen keine Zusage, kein Versprechen und keine rechtliche Verpflichtung zur Lieferung von Material, Code oder Funktionen dar. Sämtliche vorausschauenden Aussagen unterliegen unterschiedlichen Risiken und Unsicherheiten, durch die die tatsächlichen Ergebnisse von den Erwartungen abweichen können. Die vorausschauenden Aussagen geben die Sicht zu dem Zeitpunkt wieder, zu dem sie getätigt wurden. Dem Leser wird empfohlen, diesen Aussagen kein übertriebenes Vertrauen zu schenken und sich bei Kaufentscheidungen nicht auf sie zu stützen. © 2014 SAP AG. All rights reserved. 82