Identity Management mit SAP und Microsoftprocats.de/akNord/images/cm/IdM beim DLR.pdf · 2017. 6....
Transcript of Identity Management mit SAP und Microsoftprocats.de/akNord/images/cm/IdM beim DLR.pdf · 2017. 6....
-
Identity Management mit SAP und Microsoft
Dr. Hans-Joachim Popp, IT-Manager, CIO
-
Folie 2 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
Agenda
Das DLR als Anwenderunternehmen.
Legacysysteme: Architektur und Problematik.
Zielvorgaben und Ansatz: Die „2-System“-Strategie.
Ausgestaltung und Migrationswege.
Fazit.
-
Folie 3 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
Schwerpunkte
LuftfahrtWeltraumRaumfahrtmanagementVerkehrEnergie
-
Folie 4 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
Köln
Lampoldshausen
Stuttgart
Oberpfaffenhofen
Braunschweig
Göttingen
Berlin-
Bonn
Trauen
HamburgNeustrelitz
Weilheim
Standorte, Mitarbeiter, Budget
Bremen-
6.000 Mitarbeiter arbeiten in 28 Forschungsinstituten und Einrichtungen in
13 Standorten.
Büros in Brüssel, Paris und Washington.
Gesamtbudget: 1,3 Mrd €
-
Folie 5 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
(IT)-Management-Situation / Organisatorische Herausforderungen
Weite geografische Verteilung in Deutschland / mehrere Auslands-NL.
Strukturanpassung / Fusion von Standorten.
extrem schnelle Reaktion auf Änderungen der Förderlandschaft (z.B. Tsunami -> Zentrum für Krisenintervention).
Autonomie der Institute (analog GmbHs im Konzern).
Mitarbeiter-Compliance: starke Autonomie, Spieltrieb ist „gewollte Kreativität“.
Alle gängigen Herausforderungen eines Dienstleistungsunternehmens
-
Folie 6 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
-
Folie 7 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
Example: Integrated Simulation Cycle
-
Folie 8 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
C²A²S²E: HPC-Power für Aerodynamik.
GPFS Storage
-
Folie 9 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
-
Folie 10 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
Agenda
Das DLR als Anwenderunternehmen.
Legacysysteme: Architektur und Problematik.
Zielvorgaben und Ansatz: Die „2-System“-Strategie.
Ausgestaltung und Migrationswege.
Fazit.
-
Folie 11 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
DLR-Administration
SAP R3 FI/CO/HR
ext. Katalogdaten
loose coupling,asynchron, batch
tight coupling,synchron
Legacystruktur
ext. Kaufhaussysteme
Mailservice
VorsystemeBeschaffung etc. DB
Rollen und Rechte
VorsystemTime & Expenses DB
DB Persistenzsystem
Intranet
Endanwender
DLR
-IT-In
fras
truk
tur
Vorsysteme Kreditorenabwicklung
DB
-
Folie 12 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
Legacy-Situation: die Schwierigkeiten
Systemlokale Benutzerverwaltung => Aufwand
Legacy-bedingte Fehler im Datenfluss
Kein Lebenszyklus-Management für Identity-Items (vor allem Schwäche beim Ausphasen von Rechten)
-
Folie 13 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
Komplexitätstreiber: wie entsteht der „Zoo“ ?
Hersteller A bringt das „bessere“ Modul zuerst heraus, ist aber „noch nicht AD-fähig“.
Hersteller B ist preiswerter (z.B. Lizenzen) als das entspr. Modul der Standardlösung.
Hersteller D liefert nur komplette vertikale Applikationen.
Ein eigener Server pro Anwendung (oder CPU pro User) ist „sicherer“.
2,5
-
Folie 14 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
Agenda
Das DLR als Anwenderunternehmen.
Legacysysteme: Architektur und Problematik.
Zielvorgaben und Ansatz: Die „2-System“-Strategie.
Ausgestaltung und Migrationswege.
Fazit.
-
Folie 15 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
Ansatz: Die „2-System“-Strategie
SAP HR: Revisionssicherheit.HR-Stammsatz als Quelle der „Wahrheit“.
MS Active Directory / MIIS als „natürlicher“ Kristallisationspunkt Unternehmensverzeichnis für alle IT-Ressourcen.Kopplungs-APIs für gängige Drittsysteme. ausgeprägte MS-Produktbasis (Exchange, Sharepoint etc.) bereits im Einsatz.
-
Folie 16 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
Identity Management: Zielvorgaben
Provisioning mit kurzer Vorlaufzeit (Richtwert: 1 Tag), überwiegend durch Anwender selbst.Verlässliches Deprovisioning bei Einhaltung Datenschutz und Archivierungspflichten bzw. praxisgerechten Rückkehrmöglichkeiten.Single Sign-On mit hoher Durchgängigkeit.Weitgehende Kopplung von Rechtesystemen, die sich gegenseitig logisch bedingen. Transparenz über alle Zugriffsrechte für den/die Autorisierungsberechtigten.„need-to-know“-Prinzip: jeder hat nur genau diejenigen Rechte die er/sie benötigt.Kontrollierter Zugriff auf die Informationen des Corporate Directory durch Peripheriesysteme.
-
Folie 17 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
Agenda
Das DLR als Anwenderunternehmen.
Legacysysteme: Architektur und Problematik.
Zielvorgaben und Ansatz: Die „2-System“-Strategie.
Ausgestaltung und Migrationswege.
Fazit.
-
Folie 18 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
Technischer Umsetzung:
SAP• Kostenstellen
• Leitungsrollen
• Mitarbeiterinformationen
Corporate Meta Dir• Nutzerkonten
• Aufbauorganisation
• Rollen
• Mitarbeiterinformationen
Sync.
Sync.
MS Active Directory• Nutzerkonten
• Gruppen von Mitarbeitern
• Berechtigungsgruppen
• Mitarbeiterinformationen
Eigenentwicklungen mit hierarchischem
Workflow
Microsoft Komponenten
„AD-fähige“Komponenten
Service Interface
PolicyClient
Semantic Adapter
Technical Adapter
Service Description
Functional Implementation
SOA-Verbindungsstellen
GUI
-
Folie 19 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
Service Interface
PolicyClient
Quelle: Gartner / Tibco 2004
SOA: Schichtenmodell der Verbindungsstellen
Semantic Adapter
Technical Adapter
Service Description
Functional ImplementationHost System
Adapters
-
Folie 20 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
Umsetzung
-
Folie 21 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
Team
Site
Bere
chtig
ungs
grup
pen
Ben
utze
rdie
nste
Mita
rbei
terk
onte
nA
bfra
gen
(nur
AP
I)
Funk
tions
kont
enC
R U
D (n
ur A
PI)
Kon
tenL
IMB
uS
Prof
ilePr
ozes
sier
er
Taba
k
Auf
tr. S
fR-W
F
Bes
uche
rleits
yste
m
Men
geng
rupp
enty
p 2
Men
geng
rupp
enty
p 1
Subv
ersi
on
Kon
tove
rwal
tung
Gru
ppen
Gesamtarchitektur IDM-System
-
Folie 22 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
GUI Provisioning
Aktuelles Modul
Variabler Inhaltsbereich
Liste der Diensttypen
-
Folie 23 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
MS / .net / SPPS
ext. Katalogdaten
DLR-Intranet
ext. Kaufhaussysteme
HR
DLR-Administration
SAP
FI/CO
loose coupling,asynchron, XML
tight coupling,synchron, DB-Access
Resultierende Zielarchitektur
Workflow Engine/ Formularsystem
DB
Active Directory
Corporate Meta Directory (CoMet) DB
Rollen und Rechte
DB Persistenzsystem
-
Folie 24 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009
Agenda
Das DLR als Anwenderunternehmen.
Legacysysteme: Architektur und Problematik.
Zielvorgaben und Ansatz: Die „2-System“-Strategie.
Ausgestaltung und Migrationswege.
Fazit.
AgendaSchwerpunkte(IT)-Management-Situation / Organisatorische HerausforderungenC²A²S²E: HPC-Power für Aerodynamik.�AgendaLegacy-Situation: die Schwierigkeiten Komplexitätstreiber: wie entsteht der „Zoo“ ? AgendaAnsatz: Die „2-System“-Strategie Identity Management: Zielvorgaben AgendaTechnischer Umsetzung:SOA: Schichtenmodell der VerbindungsstellenUmsetzungGesamtarchitektur IDM-SystemGUI Provisioning DLR-IntranetAgenda