Es geht ans Eingemachte. - DSAG
Es geht ans Eingemachte. - DSAG
Es geht ans Eingemachte. - DSAG
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
usiness-rollen<br />
technische rollen<br />
E-Mail<br />
E-Mail-<br />
System<br />
rolleNMoDelle reGelN zuGrIFFSrechte<br />
Mitarbeiter<br />
AD<br />
Benutzer<br />
Active<br />
Directory<br />
Die Administrationstätigkeiten sind vordefiniert<br />
und laufen weitgehend automatisch ab:<br />
Legt beispielsweise die Personalverwaltung<br />
einen Datensatz für einen neuen Mitarbeiter<br />
an, so bekommt dieser gleichzeitig ein<br />
E-Mail-Konto und – entsprechend seiner<br />
Rol le – Zugang zu anderen benötigten fachlichen<br />
Anwendungen. Im Unterschied zu her -<br />
kömmlichen Benutzerverwaltungen unterstützt<br />
das SAP Identity Management automatisch<br />
den gesamten Lebenszyklus des<br />
Mitarbeiters im Unternehmen. Ändert ein<br />
An gestellter seine Position oder verlässt er<br />
das Unternehmen, können seine Berechtigungen<br />
automatisch angepasst oder gelöscht<br />
werden.<br />
Anwendungen von Drittherstellern, beispielsweise<br />
Da tenbanken von Oracle, IBM<br />
oder Microsoft, bzw. Verzeichnisse wie Active<br />
Directory werden über Konnektoren<br />
eingebunden. Außerdem synchronisiert SAP<br />
NetWeaver Identity Management die Benutzerverwaltung<br />
zwischen SAP ERP und dem<br />
SAP-NetWeaver-Portal.<br />
SAP beabsichtigt, die Identity-Management-<br />
Lösung nach und nach in alle hauseigenen<br />
Buchhaltung<br />
End-User<br />
(Portal-Rolle)<br />
SAP-Portal<br />
Buchhaltung<br />
(ABAP-Rolle)<br />
SAP FI<br />
Manager<br />
HR Manager<br />
(ABAP-Rolle)<br />
SAP HR<br />
g SAP NetWeaver Identity Management verwaltet die Zugriffsrechte eines Mitarbeiters in allen IT-<br />
Systemen wie E-Mail-System, Portal, Buchhaltung und Personalverwaltung anhand seiner Rollen<br />
im entsprechenden Fachbereich (Angestellter, Buchhaltung, Manager).<br />
Produkte einzubetten. Damit können Anwender<br />
künftig die bestehende „Zentrale Benutzerverwaltung“<br />
(ZBV) ablösen oder –<br />
falls gewünscht – in SAP NetWeaver Identity<br />
Management ein binden. Die ZBV stellt ein<br />
Werkzeug für die Benutzerverwaltung in<br />
SAP R/3 ab Version 4.5 dar und wird auch<br />
weiterhin von SAP unterstützt.<br />
tipps zur Vorgehensweise<br />
im Projekt<br />
Als Vorbereitung für ein Identity-Management-Projekt<br />
empfiehlt Kristian Lehment,<br />
Produktmanager für SAP NetWeaver<br />
Identity Management und Produktsicherheit,<br />
mehrere Schritte: „Zunächst sollten die Unternehmen<br />
organisatorisch und technisch<br />
festlegen, wie sie die Benutzer von IT-Systemen<br />
eindeutig kennzeichnen. Technisch<br />
werden dabei alle Benutzerkonten eines<br />
Benutzers in den unterschiedlichen IT-Systemen<br />
miteinander verknüpft. Im nächsten<br />
Schritt <strong>geht</strong> es darum, diese Daten zu konsolidieren<br />
und zu harmonisieren, sodass nur<br />
noch ein Eintrag pro Benutzer im SAP Net-<br />
Weaver Identity Management übrig bleibt,<br />
der dann mit den Datensätzen in den angeschlossenen<br />
Systemen verbunden ist.“<br />
21<br />
Ausgangspunkt: hr-System<br />
Als technischen Ausgangspunkt für die<br />
Identitätsverwaltung empfiehlt Kristian Lehment<br />
das HR-System. „Hier werden nämlich<br />
sämtliche Statusänderungen eines Angestellten<br />
ohnehin verwaltet und eingegeben.<br />
SAP NetWeaver Identity Management liest<br />
diese Informationen ständig aus und gleicht<br />
eventuell veränderte Zugangsrechte in allen<br />
IT-Systemen ab. Ideal ist die zusätzliche<br />
Verwendung eines Systems zur Verwaltung<br />
der betrieblichen Organisationsstruktur wie<br />
z.B. das SAP-HR-Organizational-Management-System.<br />
Aus diesem System kann die<br />
zugewiesene Position eines Mitarbeiters<br />
aus gelesen werden und abhängig davon<br />
können die richtigen Berechtigungen im<br />
SAP NetWeaver Identity Management automatisch<br />
vergeben werden.“<br />
Ist die Benutzerverwaltung eindeutig und<br />
vollständig eingerichtet, so kann die IT-Abteilung<br />
weitere Abläufe definieren, die darauf<br />
aufbauen. Infrage kommen hier beispielsweise<br />
Workflows, die einen Antrag auf<br />
Erweiterung der Zugangsrechte definieren,<br />
Passwort-Änderungen im Rahmen der Selbst -<br />
verwaltung sowie die vollautomatische Anpassung<br />
der Zugriffsrechte an die jeweils<br />
ausgeübte Funktion eines Mitarbeiters.<br />
DIe It-ABteIluNG wIrD eNtlAStet<br />
Die zentrale Verwaltung von Zugriffsrechten<br />
genießt in den IT-Abteilungen aus<br />
mehreren Gründen eine hohe Priorität:<br />
• Steigender Druck, die Kosten für IT-<br />
Betrieb und Helpdesk zu reduzieren<br />
• Das IT-Personal ist zu häufig mit<br />
Trivial aufgaben wie etwa Passwort-<br />
Wiederherstellung oder Benutzer-<br />
Manage ment beschäftigt<br />
• Zunehmend verteilte IT-Systeme<br />
• Gesetzliche Vorgaben für die Vergabe,<br />
die Verwaltung und die Nachvollziehbarkeit<br />
bei der Änderung von Zugriffsrechten<br />
<strong>DSAG</strong> blaupause 01-09