We believe in trust. SecurIntegration Success Story

Success Story 

SecurIntegration 

Software-Lizenz-Compliance für SAP 

Das Lizenzmanagement für SAP-User ist häufig sehr komplex und 

undurchsichtig. In Verbindung mit dem SAP Identity Management- 

System hat SecurIntegration die SAP-Systemvermessung automatisiert 

und optimiert. Durch diesen Einsatz konnte Cognis die Lizenzvermessung 

mit minimalem Aufwand durchführen und den tatsächlichen 

Lizenzbedarf ermitteln. 

We believe in trust.

Cognis 

Cognis ist ein führender, weltweit 

tätiger Anbieter von innovativen 

Produkten der Spezialchemie und 

von Inhaltsstoffen für Nahrungsmittel 

mit Fokus auf die Trends 

Wellness und Sustainability. Das 

Unternehmen beschäftigt rund 

5.600 Mitarbeiter und verfügt über 

Produktionsstätten und Servicecenter 

in 30 Ländern. Im Jahr 2009 

erzielte Cognis einen Gesamtumsatz 

von 2.584 Mrd. Euro und ein 

EBITDA von 364 Mio. Euro. 

Cognis setzt weltweit in 21 Ländern SAP- 

Systeme ein. Diese werden von drei regionalen 

Competence-Centern (USA, Europa 

und Asien) betreut. 

Multi-Channel Access 

Portal X 

Business Intelligence X 

Integration 

Broker 

Master Data Management 

DB and OS Abstraction 

Business Process 

Management 

J2EE A BAP 

... .NET Web Sphere 

Die Cognis-Systemlandschaft beinhaltet die 

unterschiedlichsten Produkte aus dem SAP 

NetWeaver Portfolio. Zum Einsatz kommen 

Systeme wie Process Integration (PI) im 

Bereich E-Business sowie Stammdatenverteilung, 

Master Data Management (MDM) 

für die zentrale Stammdatenpflege, Enterprise 

Portal (EP), Business Warehouse (BW), 

Global Trade Services (GTS), Produkte aus 

dem Life Cycle Management sowie mehrere 

Produkte aus dem ERP-Bereich mit den 

unterschiedlichsten Release-Ständen (von 

R/3 4.6c bis zu ERP 6.0 unicode). 

Bei der letzten SAP-Systemvermessung 

Anfang 2009 hatte Cognis auf jedem seiner 

SAP-Systeme die Vermessung (USMM) 

separat durchgeführt. Der Einsatz der LAW 

(License Administration Workbench) war 

aufgrund des damaligen Release-Standes 

des zentralen Systems nicht möglich (ein 

Update konnte nicht durchgeführt werden). 

Das Ergebnis der Systemvermessung, das 

die SAP lieferte, war für Cognis sehr überraschend. 

Statt 4.500 SAP-User-Lizenzen, 

die die Vermessungen der Vorjahre ergeben 

hatten, sollte Cognis nun 7.100 SAP-User- 

Lizenzen erwerben. Dieses Ergebnis war für 

Cognis nicht nachvollziehbar, da dies 1.500 

Lizenzen mehr waren als Mitarbeiter bei 

Cognis insgesamt beschäftigt sind. 

Cognis entschied sich eine alternative 

SAP-Systemvermessung zu suchen, da die 

SAP AG ihnen kein geeignetes Tool für die 

Systemvermessung bereitstellen konnte. Die 

Firma SecurIntegration, welche bereits für 

Cognis im Einsatz war, bot an, die klassische 

SAP-Systemvermessung auf Basis des SAP 

IDM-Systems nachzubauen. 

„Bei der Systemvermessung arbeiten wir mit 

einem SAP-System, um unsere Vorgehensweise 

für SAP nachvollziehbar und transparent 

zu halten“ (Günter Wahl, Director Corporate 

Information Technology, Cognis).

Die alternative SAP-Systemvermessung 

erfolgte in zwei Phasen 

1. Phase 

Nach der Installation des SAP IDM- 

Systems und dem Anschluss aller weltweiten 

SAP-Systeme wurden die SAP-Benutzer- 

Accounts – zumeist automatisiert – mit einer 

eigens erstellten Mitarbeiterliste abgeglichen. 

Diese Benutzerkonsolidierung nahm 

einige Zeit in Anspruch, da auf Grund der 

verteilten SAP-Systemlandschaften keine 

konsolidierte Liste aller SAP-Accounts existierte 

und erst erstellt werden musste. 

Zum anderen musste wegen der dezentralen 

Administration die Klärung, welcher 

SAP-Account zu welchem Mitarbeiter gehört 

(= mapping), in den einzelnen Ländern 

erfolgen. Durch die Zusammenfassung der 

Benutzer ergaben sich drei Ergebnisse: 

• Automatisch gemappte Benutzer 

• Nicht gemappte Benutzer 

• Multi-gemappte Benutzer 

Bei den automatisch gemappten Benutzern 

wurden unterschiedliche Regeln angewendet, 

so dass alle SAP-Accounts zu 97% 

automatisch – also eindeutig – gemappt 

werden konnten. D.h. über die automatische 

Zusammenführung wurden einem 

Mitarbeiter alle seine SAP-Accounts – zum 

Teil mit unterschiedlichen Account-Namen 

– zugeordnet. Für die „nicht gemappten 

Accounts“ (keine Zuordnung zu einem Mitarbeiter) 

und die „multi-gemappten Accounts“ 

(unterschiedliche und damit nicht eindeutige 

Zuordnungen zu einem Mitarbeiter) wurde im 

SAP IDM über Weboberflächen das manuelle 

Mapping erleichtert. 

Dimitri Lerner 

(Projektleiter bei Cognis) 

„Ich freue mich, dass wir auf Basis des 

SAP IDM-Systems und zusammen mit 

SecurIntegration eine Alternative zur 

klassischen SAP-Systemvermessung 

bei uns eingeführt haben. Durch diesen 

Einsatz können wir die Lizenzvermessung 

mit minimalem Aufwand durchführen 

und den tatsächlichen Lizenzbedarf 

ermitteln.“ 

2. Phase 

Nach der Benutzerkonsolidierung sollten 

zum einen die nicht mehr benötigten 

Accounts (valid / non-valid) aus der Vermessung 

genommen werden, und zum anderen 

sollten die SAP-User-Lizenztypen pro Mitarbeiter 

konsolidiert werden. Von allen konsolidierten 

Accounts wurde dem Mitarbeiter der 

teuerste Lizenztyp zugeordnet. Dies erfolgte 

durch das Add-On von SecurIntegration. 

Beispiel 

Nach dem Mapping in Phase 1 ergibt sich 

für den Mitarbeiter Dimitri Lerner das in 

der Tabelle dargestellte Ergebnis. Er verfügt 

über insgesamt acht Accounts in allen 

HR ID First Name Last Name System User Name User Type Validity License 

'00005616' Dimitri Lerner GL_BWP_100 LERNER Dialog valid empty 

'00005616' Dimitri Lerner EU_PC2_500 LERNER Dialog valid 55 

'00005616' Dimitri Lerner EU_GP1_500 LERNER Dialog valid 52 

'00005616' Dimitri Lerner HP_P74_880 LERNER Dialog valid 52 

'00005616' Dimitri Lerner EU_LP1_500 LERNER Dialog valid 55 

'00005616' Dimitri Lerner EU_THP_010 LERNER Dialog valid 52 

'00005616' Dimitri Lerner GL_PC3_500 LERNER Dialog valid 55 

'00005616' Dimitri Lerner EU_AXP_010 LERNERD Dialog valid 55 

Software-Lizenz-Compliance (SLC) 

Organisatorische, technische und strategische 

Hindernisse stehen in der alltäglichen 

Praxis einer optimalen Lizenzierung 

von Standard-Business-Software entgegen. 

Nur mit viel Erfahrung und Know-how kann 

die Herausforderung gemeistert werden, so 

dass Lizenzbestimmungen eingehalten und 

finanzielle Mittel dennoch so wirtschaftlich 

wie möglich eingesetzt werden. 

Übernahmen, Fusionen, Änderungen der 

Lizenzrichtlinien, Upgrades und vieles 

mehr führen in der täglichen Praxis dazu, 

dass Software-Landschaften nicht compliant 

sind. Die betroffenen Unternehmen 

bewegen sich am Rande der Legalität und 

werden häufig von den Ergebnissen einer 

Systemvermessung überrascht und empfindlich 

getroffen. Denn nicht selten stehen 

Ausgleichsforderungen oder Geldstrafen 

ins Haus. Mit einer passgenau implementierten 

SLC-Lösung hingegen können Software-Landschaften 

compliant gemacht und 

gehalten werden. Die SLC-Lösung verschafft 

einen perfekten Überblick über bestehende 

und tatsächlich erforderliche Lizenzen und 

bietet zusätzlich Ansätze zur Kostenreduzierung: 

• Einführung von Prozessen zur 

Lizenzverwaltung 

• Konsolidierung und Optimierung von 

Lizenzverträgen 

• Umschichtung von vorhandenen 

Lizenzen innerhalb des Unternehmens 

SAP-Systemen seines Unternehmens. Die 

Lösung von SecurIntegration analysiert alle 

acht Accounts hinsichtlich der zugewiesenen 

Lizenzen. Der konsolidierte Lizenztyp entspricht 

der teuersten Lizenz aus der Analyse. 

In diesem Fall ist das der Lizenztyp 55.

Ergebnis 

valid + different + dialog accounts 

License type Number 

52 3126 

53 331 

55 6 

56 252 

91 320 

empty 3 

Sum 4038 

Sum without 3718 

Test-User (91) (4038 - 320) 

Anstelle der 7.100 Lizenzen, wie von der 

SAP nach der letzten Systemvermessung 

gefordert, stellte sich heraus, dass Cognis 

insgesamt nur 3.718 SAP-User-Lizenzen für 

den Betrieb aller weltweiten SAP-Systeme 

benötigt. 

Das Wichtigste bei der SAP-Systemvermessung 

ist eine gute Benutzerkonsolidierung. 

Ohne sie ist eine korrekte Vermessung 

unmöglich. Die nicht mehr benötigten 

Lizenzen dürfen auch bei der Vermessung 

nicht mehr gezählt werden. Die Zusammenfassung 

der Benutzer und die Verwaltung 

der „gültigen“ Accounts sollten möglichst 

automatisiert erfolgen, damit die SAP- 

Systemvermessung nicht wie bei Cognis zu 

einem überraschenden Ergebnis führt. Das 

SAP IDM-System ist bestens dafür geeignet, 

neben diesen beiden Funktionen auch 

die richtigen SAP-User-Lizenztypen zu verwalten. 

Erst mit einer zentralen Lösung, die 

das Unternehmen selbst unter Kontrolle 

hat, kann sicher ermittelt werden, wie viele 

Lizenzen von welchem Typ wirklich benötigt 

werden. 

Ausblick 

Nach der erfolgreichen SAP IDM-Einführung 

zur Verwaltung der SAP-Lizenzen möchte 

Cognis sein System für vier weitere Bereiche 

einsetzen: 

• 

• 

• 

• 

In Version „Software-Lizenz-Compliance 

2.0“ von SecurIntegration erfolgt 

zusätzlich die Überprüfung der richtigen 

Lizenztypen anhand der SAP- 

Berechtigungen. Dafür wird in allen 

SAP-Systemen (zentral im SAP IDM 

gepflegt) für alle SAP-Rollen der entsprechende 

Lizenztyp hinterlegt und 

mit den SAP-Accounts abgeglichen. So 

kann festgestellt werden, ob ein Mitarbeiter 

mit einer „Professional“-Lizenz 

auch über die Berechtigungen verfügt, 

die diese Lizenz erfordert oder ob eine 

„Limited Professional“-Lizenz ausreichend 

ist. 

Da Cognis nun eine zentrale Lösung für 

die Verwaltung der SAP-User-Lizenzen 

im Einsatz hat, steht zur Option, die 

dezentrale Administration aller SAP- 

Systeme zentral über das SAP IDM zu 

realisieren – gleichzeitig könnte so eine 

zentrale Benutzerverwaltung auch für 

die Verwaltung der SAP-Rollen eingeführt 

werden. 

Nachdem SecurIntegration das „Software-Lizenz-Compliance“-Add-On 

für 

Cognis entwickelt hatte, hat Cognis 

SecurIntegration beauftragt, die SoD- 

Konflikterkennung auf Rollenebene 

ebenfalls über ein Add-On zu lösen. 

Dieses neue Add-On soll im Jahr 2010 

entwickelt und produktiv eingesetzt 

werden. 

SecurIntegration bietet mit seinem „SI 

WebLogonPad“-Add-on eine Lösung, 

die sowohl die Verteilung der saplogon. 

ini- Datei unnötig macht als auch eine 

Single Sign-On-Lösung für alle SAP- 

Systeme und Web-Anwendungen ermöglicht. 

In Verbindung mit dem SAP 

IDM-System werden in dem Web- 

LogonPad nur noch die SAP-Systeme 

angezeigt, in denen der Mitarbeiter 

auch einen SAP-Account hat. 

We believe in trust. 

Guido Schneider 

(Gründer und Geschäftsführer 

von SecurIntegration) 

„Mit unserer neuen Lösung „Software- 

Lizenz-Compliance für SAP“ ergänzen 

wir unsere Compliance-Beratung um 

ein wichtiges und nützliches Werkzeug. 

Bisher konnten wir sicherstellen, dass 

die SAP-Benutzer innerhalb der einzelnen 

SAP-Systeme genau die Berechtigungen 

haben, die sie für ihre tägliche 

Arbeit benötigen. Jetzt bieten wir 

darüber hinaus den SAP-Kunden eine 

Lösung, mit der sie immer die richtigen 

SAP-Lizenzen im Einsatz haben. Das ist 

nicht nur für den CEO und den CFO – 

im Falle der Überlizenzierung – wichtig, 

sondern auch für den Chief Compliance 

Officer (CCO). Der CCO kann mit 

unserer Lösung eine Unterlizenzierung 

frühzeitig erkennen und zusammen mit 

der SAP AG die richtige Anzahl der 

benötigen Lizenzen bereitstellen. Aus 

diesem Grund ist unsere Lösung nicht 

nur für SAP-Kunden, sondern auch für 

die SAP AG selbst sehr interessant.

Ideen, Erfahrungen, Know-how 

Das Team von SecurIntegration 

Für die Einführung der SAP-Systemvermessung auf Basis des SAP IDM- 

Systems hat Cognis sein Vertrauen in SecurIntegration gesetzt. 

Das hat viele Gründe: 

Seit 2008 implementieren unsere Experten SAP NetWeaver IDM bei Kunden in 

die unterschiedlichsten Systemlandschaften. Trotz der Heterogenität der Projekte 

und Anforderungen haben sich häufig ähnliche Probleme und identische 

Bedürfnisse herauskristallisiert. Vor dem Hintergrund unserer fundierten Projekt- 

und Produkterfahrungen haben wir daher Add-ons für SAP NetWeaver 

IDM entwickelt, die diese Schwierigkeiten meistern, den Bedürfnissen gerecht 

werden und den Nutzen der Lösung optimieren. Von der Konzepterstellung und 

Implementierung bis hin zur Anbindung von SAP- und Nicht-SAP-Systemen an 

das SAP NetWeaver IDM stehen Ihnen unsere Berater mit Rat und Tat zur Seite 

und erarbeiten eine individuell für Ihre Systemumgebung und auf Ihr Unternehmen 

zugeschnittene IDM-Lösung. 

Unser gesamtes Dienstleistungsportfolio beinhaltet: 

• 

• 

• 

• 

• 

SAP Berechtigungskonzepte 

SAP BusinessObjects Access Control (GRC) 

SAP IDM-GRC-Integration 

SAP Identity Management (IDM) 

SAP Identity Management (IDM) Add-Ons 

• Software-Lizenz-Compliance für SAP 

• SoD-Konflikterkennung auf Rollenebene 

• SI WebLogonPad

The Compliant Identity Management Company. 

SecurIntegration GmbH 

Rösrather Straße 702 

51107 Köln 

Fon: +49 (221) 71 99 00 - 0 

Fax: +49 (221) 71 99 00 - 23 

www.SecurIntegration.com

We believe in trust. SecurIntegration Success Story

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?