SAP NetWeaver Identity Management

Die ASCONSIT GmbH gehört mit ihrer Expertise zu den Pionieren im Umfeld des SAP NetWeaver Identity Management. Bereits im Jahre 2007 wurden die ersten Workshops, Machbarkeitsstudien (Proof of Concept – PoC) und Implementierungen von Mitarbeitern erfolgreich durchgeführt.

Warum sollten auch Sie sich mit diesem Thema befassen und mit uns zusammen arbeiten? Es gibt zahlreiche Gründe dafür, doch zunächst eine kurze Beschreibung, was Ihnen allein SAP NetWeaver Identity Management bieten kann:

Einordnung in Compliant Identity Management (CIM):

SAP NetWeaver Identity Management stellt in Ihrem Unternehmen eine zentrale Plattform für die Verwaltung von Benutzerprofilen und Berechtigungen dar, die den Zugriff auf verschiede Objekte und Ressourcen ermöglicht und kontrolliert. Dabei bietet SAP NetWeaver Identity Management auf Basis der SAP NetWeaver Plattform eine zukunftssichere Infrastruktur, mit der sich SAP Systeme und Applikationen, aber auch Systeme anderer Hersteller, mit überschaubarem Aufwand integrieren lassen.

Stammdaten-Verwaltung:

SAP NetWeaver Identity Management speichert sämtliche Stammdaten an einem zentralen Ort und gibt Änderungen so direkt an alle angeschlossenen Systeme weiter. Voraussetzung dafür ist, dass es in Ihrem Unternehmen ein führendes System gibt, mit dem das Identitätsmanagement (IdM) versorgt wird. SAP NetWeaver IdM kann wahlweise diese zentrale Rolle auch selber einnehmen. Dabei verfügt es über eine ausführliche Historie sämtlicher Vorgänge um Änderungen an Daten nachvollziehbar überprüfen zu können und gegebenenfalls auch Änderungsprozesse auszulösen.

Damit ist beispielsweise ein Bestätigungsvorgang möglich, falls automatische Änderungen an Daten nicht erwünscht sind. Alle angeschlossenen Systeme erhalten in Echtzeit die aktuellsten Informationen über Mitarbeiter bzw. weitere Ressourcen inklusive deren Berechtigungen im Unternehmen und werden vollständig aktualisiert.

Rollen-Modell und Abbildung:

In Ihrem Unternehmen werden in allen Systemen Berechtigungen gepflegt. Hierbei spricht man meist von Rollen oder Berechtigungsobjekten. Durch SAP NetWeaver Identity Management können diese Berechtigungen zentral verwaltet werden. Ein sinnvolles Einsatzgebiet für IdM sind dabei Anträge auf neue Berechtigungen bzw. Änderungen derer. Vorgesetzte bzw. Rollenbesitzer (z.B. aus der Finanzabteilung) müssen diese bestätigten. Damit wird ein Audit-Vorgang gespeichert, der eine Nachvollziehbarkeit ermöglicht. Es ist jederzeit bestimmbar, wer wann welche Rollen bzw. Berechtigungen hat und hatte. Weiterhin sind Berechtigungen zeitlich abgrenzbar, was eine dauerhafte Zuweisung verhindert und z.B. bei externen Mitarbeitern einen sicheren und planbaren Prozess bietet.

Ein weiterer wichtiger Pluspunkt sind die Verwaltung von Berechtigungen und Rollen über Systemgrenzen hinweg. SAP NetWeaver Identity Management bietet die Möglichkeit Berechtigungen aus SAP-Systemen und aus verschiedenen Non-SAP-Systemen (z.B. Microsoft SharePoint) in einer IdM Business Rolle zusammenzufassen. Weiterhin erlauben es Business Rollen ein überschaubares und pflegbares, hierarchisches Business-Rollen-Modell aufzubauen. Durch eine Vererbung und Beziehungsrelation zwischen Rollen können übergeordnete Rollen lediglich mit den höherwertigen Berechtigungen ergänzt werden. Die Berechtigungen z.B. einer „Mitarbeiter“-Rolle ergänzen automatisch die Berechtigungen einer „Abteilungsleiter“-Rolle, also erbt die „Abteilungsleiter“-Rolle alle Berechtigungen der „Mitarbeiter“-Rolle.

Self-Service Funktionen:

Neben den automatischen Geschäftsprozessen ist es auch möglich, den Mitarbeiter selber in die Prozesse einzubinden, um kosteneffizient und schnell Anträge für Berechtigungen oder Stammdatenänderungen zu übernehmen. Falls Räume dynamisch belegt werden, so können hier Durchwahlen für Telefonnummern, Adresse etc. direkt angepasst werden, die binnen weniger Sekunden im ganzen Unternehmen verfügbar sind. Mitarbeiter können selber nach bestimmten Berechtigungen suchen und diese beantragen. Viele weitere Szenarien sind denkbar, wie die Beantragung von Ressourcen wie Laptops, Mobilfunkgeräte. Wir beraten Sie gerne.

Passwort Zurücksetzung:

Die Kosten für den Help Desk, der Passwörter zurücksetzt, sind in den meisten Unternehmen sehr hoch. Oft sind es bis zu 70% der ausgeführten Operationen. Dies lässt sich durch die Einführung von SAP NetWeaver Identity Management sehr schnell reduzieren. Durch die Integration eines Passwort Self Services können Mitarbeiter auf Basis von persönlichen Fragen und entsprechenden Antworten ein neues Passwort vergeben, was entweder in allen Systemen geändert wird, nur in bestimmten Systemen oder zum Beispiel in einem Microsoft® ActiveDirectory® geändert wird. Diese Implementierungsvarianten können Sie bei uns erhalten, da nicht alle Prozesse in allen Unternehmen gleich oder Standards anwendbar sind

Genehmigungsworkflows

Für angefragte Rollenobjekte mit entsprechenden Berechtigungen bietet IdM die Möglichkeit, diese nicht direkt in den angeschlossenen Systemen zuzuweisen, sondern durch Bestätigungen legitimieren zu lassen. Ein Vorgesetzter eines Mitarbeiters könnte die erste Bestätigung vornehmen und anschließend entsprechende Rollenbesitzer den Antragsprozess abschließend genehmigen. In diesem Zusammenhang ist eine Integration mit SAP GRC AccessControl sinnvoll mit der auch „Segregation of Duty“ Prüfungen als Abschluss des Vorgang stehen. Hierbei wird geprüft, ob bestimmte schon zugewiesene SAP Berechtigungen mit zukünftigen Berechtigungen ein Risiko darstellen. Falls beispielsweise ein Mitarbeiter eine Beauftragung erstellen und auslösen kann, so stellt dies potentielles Risiko dar, was entweder „abgeschwächt“ und überwacht oder abgelehnt werden kann. Dieser ganze Vorgang kann individuell auf Sie zugeschnitten werden und wird in einer Design-Phase ausführlich geplant.

Konnektoren / SOA Schnittstellen

Durch eine Reihe von SAP Konnektoren kann eine Vielzahl von Systemen verbunden werden. Weitere 3rd Party Konnektoren können eine Vielzahl weiterer (Non-SAP) Systeme integrieren. Dazu zählt auch das ASCONSIT Provisioning Framework der ASCONSIT, mit der die Microsoft-Welt passgenau integriert werden kann, für die Zukunft schnell erweiterbar und durch die SAP geprüft und zertifiziert worden ist. Ein weiterer Pilot- Konnektor für Oracle® PeopleSoft® ist bei uns verfügbar und eignet sich für eine projektbasierte Integration, bei dem Ihre Funktionen so implementiert werden können, wie Sie sie brauchen. Eine Übersicht aller Konnektoren kann hier gefunden werden.

Reporting:

SAP NetWeaver IdM lässt sich aktuell in SAP Reporting-Systeme integrieren, allerdings lassen sich auch andere Systeme in einem überschaubaren Zeitraum integrieren. Standard Reports haben aber meist einen begrenzten Umfang und sollten durch eigene und angepasste Reports ergänzt oder ersetzt werden, damit ein guter Nutzen daraus entsteht. Falls kein Reporting System integriert werden soll, so können Emails mit Attachments verschickt werden. Dabei können wir durch ein eigenes Microsoft® Excel® Framework Ihnen beliebige Arbeitsmappen erstellen mit dem Inhalt, den Sie benötigen. Fragen Sie uns, falls Sie weitere Informationen benötigen.

Reconcilierung (Abgleich):

Zentrale IdM Stammdaten sind in einer richtigen Implementierung immer aktuell und auf dem neusten Stand. Die angeschlossenen Systeme sollten dabei in Echtzeit diese Änderungen mitbekommen und mit dem aktuellsten Stand aktualisiert werden. In der Praxis ist dies der angenommene Zustand, der allerdings nicht immer auf Ihr Unternehmen passen kann. Daher gibt es drei Möglichkeiten für einen Abgleich mit den entsprechenden angeschlossenen Systemen:

  • IdM überschreibt den Datenbestand in den angeschlossenen Systemen
  • Die angeschlossenen Systeme überschreiben den Stand von IdM
  • Es gibt einen Unterschied zwischen IdM und den angeschlossenen Systemen mit einem Bestätigungsvorgang, der die Unterschiede visuell aufbereitet:
    • Bestätigung wird angenommen: IdM wird durch den Inhalt des angeschlossenen Systems überschrieben
    • Bestätigung wird abgelehnt: IdM überschreibt den Inhalt des angeschlossenen Systems

Best Practice-Ansatz:

Aus unserer mehrjährigen Erfahrung haben wir bestimmte Implementierungsmuster und technische getestete Module verfügbar, die wir Ihnen gerne vorstellen möchten. Dadurch ist die Möglichkeit gegeben, Projekte stabil und sicher und in überschaubare Zeit zum Ziel zu führen.

Scoping Workshop

Wenn Sie ein Projekt mit uns durchführen, so empfehlen wir auf jeden Fall zu Beginn einen Scoping Workshop durchzuführen. Dabei steht im Vordergrund die IST- und SOLL-Situation der Phase 1 zu skizzieren und festzulegen. Auf Basis dieser Informationen können wir Ihnen ein solides und gutes Angebot erstellen, was den Kostenpunkt des Projekts sehr gut abgrenzt. Dies ist aus der langjährigen Expertise unseres Hauses her sehr zuverlässig möglich.

Warum sollten Sie SAP NetWeaver Identity Management einführen?

  • Geringere Betriebskosten
  • Erfüllung von Compliance Anforderungen
  • Harmonisierte Stammdaten
  • Zentrales Management von Entitlements und Berechtigungen
  • Einbeziehung Mitarbeiter in den elektronischen Workflow
  • Automatisierter Abgleich aller angeschlossenen System zur Vermeidung von manuellen Aktivitäten und deren potentiellen Fehlern

Weitere Informationen finden auf den Seiten der SAP zu dem Thema IdM.