Identity Management mit SAP und Microsoftprocats.de/akNord/images/cm/IdM beim DLR.pdf · 2017. 6....

Identity Management mit SAP und Microsoft

Dr. Hans-Joachim Popp, IT-Manager, CIO

Folie 2 VDI Dr. Hans-Joachim Popp, DLR, 26.05.2009

Agenda

Das DLR als Anwenderunternehmen.

Legacysysteme: Architektur und Problematik.

Zielvorgaben und Ansatz: Die „2-System“-Strategie.

Ausgestaltung und Migrationswege.

Fazit.


Schwerpunkte

LuftfahrtWeltraumRaumfahrtmanagementVerkehrEnergie


Köln

Lampoldshausen

Stuttgart

Oberpfaffenhofen

Braunschweig

Göttingen

Berlin-

Bonn

Trauen

HamburgNeustrelitz

Weilheim

Standorte, Mitarbeiter, Budget

Bremen-

6.000 Mitarbeiter arbeiten in 28 Forschungsinstituten und Einrichtungen in

13 Standorten.

Büros in Brüssel, Paris und Washington.

Gesamtbudget: 1,3 Mrd €


(IT)-Management-Situation / Organisatorische Herausforderungen

Weite geografische Verteilung in Deutschland / mehrere Auslands-NL.

Strukturanpassung / Fusion von Standorten.

extrem schnelle Reaktion auf Änderungen der Förderlandschaft (z.B. Tsunami -> Zentrum für Krisenintervention).

Autonomie der Institute (analog GmbHs im Konzern).

Mitarbeiter-Compliance: starke Autonomie, Spieltrieb ist „gewollte Kreativität“.

Alle gängigen Herausforderungen eines Dienstleistungsunternehmens


Example: Integrated Simulation Cycle


C²A²S²E: HPC-Power für Aerodynamik.

GPFS Storage


Agenda





Fazit.


DLR-Administration

SAP R3 FI/CO/HR

ext. Katalogdaten

loose coupling,asynchron, batch

tight coupling,synchron

Legacystruktur

ext. Kaufhaussysteme

Mailservice

VorsystemeBeschaffung etc. DB

Rollen und Rechte

VorsystemTime & Expenses DB

DB Persistenzsystem

Intranet

Endanwender

DLR

-IT-In

fras

truk

tur

Vorsysteme Kreditorenabwicklung

DB


Legacy-Situation: die Schwierigkeiten

Systemlokale Benutzerverwaltung => Aufwand

Legacy-bedingte Fehler im Datenfluss

Kein Lebenszyklus-Management für Identity-Items (vor allem Schwäche beim Ausphasen von Rechten)


Komplexitätstreiber: wie entsteht der „Zoo“ ?

Hersteller A bringt das „bessere“ Modul zuerst heraus, ist aber „noch nicht AD-fähig“.

Hersteller B ist preiswerter (z.B. Lizenzen) als das entspr. Modul der Standardlösung.

Hersteller D liefert nur komplette vertikale Applikationen.

Ein eigener Server pro Anwendung (oder CPU pro User) ist „sicherer“.

2,5


Agenda





Fazit.


Ansatz: Die „2-System“-Strategie

SAP HR: Revisionssicherheit.HR-Stammsatz als Quelle der „Wahrheit“.

MS Active Directory / MIIS als „natürlicher“ Kristallisationspunkt Unternehmensverzeichnis für alle IT-Ressourcen.Kopplungs-APIs für gängige Drittsysteme. ausgeprägte MS-Produktbasis (Exchange, Sharepoint etc.) bereits im Einsatz.


Identity Management: Zielvorgaben

Provisioning mit kurzer Vorlaufzeit (Richtwert: 1 Tag), überwiegend durch Anwender selbst.Verlässliches Deprovisioning bei Einhaltung Datenschutz und Archivierungspflichten bzw. praxisgerechten Rückkehrmöglichkeiten.Single Sign-On mit hoher Durchgängigkeit.Weitgehende Kopplung von Rechtesystemen, die sich gegenseitig logisch bedingen. Transparenz über alle Zugriffsrechte für den/die Autorisierungsberechtigten.„need-to-know“-Prinzip: jeder hat nur genau diejenigen Rechte die er/sie benötigt.Kontrollierter Zugriff auf die Informationen des Corporate Directory durch Peripheriesysteme.


Agenda





Fazit.


Technischer Umsetzung:

SAP• Kostenstellen

• Leitungsrollen

• Mitarbeiterinformationen

Corporate Meta Dir• Nutzerkonten

• Aufbauorganisation

• Rollen


Sync.

Sync.

MS Active Directory• Nutzerkonten

• Gruppen von Mitarbeitern

• Berechtigungsgruppen


Eigenentwicklungen mit hierarchischem

Workflow

Microsoft Komponenten

„AD-fähige“Komponenten

Service Interface

PolicyClient

Semantic Adapter

Technical Adapter

Service Description

Functional Implementation

SOA-Verbindungsstellen

GUI


Service Interface

PolicyClient

Quelle: Gartner / Tibco 2004

SOA: Schichtenmodell der Verbindungsstellen

Semantic Adapter

Technical Adapter

Service Description

Functional ImplementationHost System

Adapters


Umsetzung


Team

Site

Bere

chtig

ungs

grup

pen

Ben

utze

rdie

nste

Mita

rbei

terk

onte

nA

bfra

gen

(nur

AP

I)

Funk

tions

kont

enC

R U

D (n

ur A

PI)

Kon

tenL

IMB

uS

Prof

ilePr

ozes

sier

er

Taba

k

Auf

tr. S

fR-W

F

Bes

uche

rleits

yste

m

Men

geng

rupp

enty

p 2

Men

geng

rupp

enty

p 1

Subv

ersi

on

Kon

tove

rwal

tung

Gru

ppen

Gesamtarchitektur IDM-System


GUI Provisioning

Aktuelles Modul

Variabler Inhaltsbereich

Liste der Diensttypen


MS / .net / SPPS

ext. Katalogdaten

DLR-Intranet

ext. Kaufhaussysteme

HR

DLR-Administration

SAP

FI/CO

loose coupling,asynchron, XML

tight coupling,synchron, DB-Access

Resultierende Zielarchitektur

Workflow Engine/ Formularsystem

DB

Active Directory

Corporate Meta Directory (CoMet) DB

Rollen und Rechte

DB Persistenzsystem


Agenda





Fazit.

AgendaSchwerpunkte(IT)-Management-Situation / Organisatorische HerausforderungenC²A²S²E: HPC-Power für Aerodynamik.�AgendaLegacy-Situation: die Schwierigkeiten Komplexitätstreiber: wie entsteht der „Zoo“ ? AgendaAnsatz: Die „2-System“-Strategie Identity Management: Zielvorgaben AgendaTechnischer Umsetzung:SOA: Schichtenmodell der VerbindungsstellenUmsetzungGesamtarchitektur IDM-SystemGUI Provisioning DLR-IntranetAgenda

Identity Management mit SAP und Microsoftprocats.de/akNord/images/cm/IdM beim DLR.pdf · 2017. 6....

Documents

Transcript of Identity Management mit SAP und Microsoftprocats.de/akNord/images/cm/IdM beim DLR.pdf · 2017. 6....