SAP NetWeaver Identity Management an der Freien … · elektronische Administration und Services...
Transcript of SAP NetWeaver Identity Management an der Freien … · elektronische Administration und Services...
elektronische Administration und Services
Andreas Schlüter
Marina Kuszynski
Berlin, 14.09.2010
SAP NetWeaver Identity Management an der Freien Universität
2
SAP NetWeaver Identity Management
eAS-B
• Rollenmodell
• Berechtigungsworkflow
• Abhängigkeiten zwischenbeiden
3
Berechtigungsworkflow bisher…
eAS-B
Berechtigung
Berechtigung
Berechtigung
Berechtigung
BerechtigungBerechtigung
BerechtigungBerechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
BerechtigungBerechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
BerechtigungBerechtigung
Berechtigung
5
Einführung Rollenmodell
eAS-B
Berechtigung
Berechtigung
Berechtigung
Berechtigung
BerechtigungBerechtigung
BerechtigungBerechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
BerechtigungBerechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
BerechtigungBerechtigung
Berechtigung
6
Einführung Rollenmodell
eAS-B
Berechtigung
Berechtigung
Berechtigung
Berechtigung
BerechtigungBerechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
BerechtigungBerechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung
Berechtigung Berechtigung
BerechtigungBerechtigung
Berechtigung
Gruppe 1
Gruppe 2
Gruppe 3
7
Einführung Rollenmodell
eAS-B
Gruppe 1
Gruppe 2
Gruppe 3
Geschäftsrolle 1
Geschäftsrolle 2
Geschäftsrolle 3
9
Die „Rolle“ im IdM
eAS-B
Geschäftsrolle
Rolle als Sammel-Berechtigung
Berechtigung
Berechtigung
Berechtigung
10
Die „Rolle“ im IdM
eAS-B
Geschäftsrolle
BerechtigungenBerechtigungen
Berechtigungen
Mitglieder
Gruppe 1 Gruppe 2
sichtbarfür
Genehmiger
11
Vererbung
eAS-B
Geschäftsrolle
Vererbung
Zwei Anwendungsfälle•Berechtigungs-Akkumulation
•Von „Nichts dürfen“•Zu „Alles dürfen“
•Hierarchische Gliederung•Vom Allgemeinen•Zum Speziellen
12
Vererbung: Berechtigungs-Akkumulation
eAS-B
Boss
Sachbearbeiter
Hausmeister
Lesen
Schreiben
Löschen
erbt
erbt
13
Vererbung: hierarchische Gliederung
eAS-B
Bäckererbterbt
erbt erbterbt erbt
Konditor Brotbäcker Aushilfe zum Brotauftauen
Moderner Bäcker
Kuchenschneider
Traditioneller Bäcker
Anfragen der Art: SELECT * FROM idstore WHERE role=„Traditioneller Bäcker“
14
Anforderungen Rollenmodell
Verringerung Administrationsaufwand Anzahl Geschäftsrollen < 100 Geschäftsrollen / User <= 5 User / Geschäftsrollen >= 5 Minimierung Redundanzen
Planung Geschäftsrolle - per Visio
- Gemeinsame Vorlage: Rollenmodell.vst
Erstellung Geschäftsrolle- Sichtbarkeit
- Liste der Genehmigenden
eAS, SAP Systemwelt
17
Datenblatt zur RolleGeschäftsrolle: HR-SB-IA1Eindeutige ID: ROLE:HR-SB-A1Name der Rolle: HR-SB-Rolle für Referat IA1Bezeichnung der Rolle: HR-Sachbearbeiter-Rolle für Referat IA1 (Buchhaltung 100-199)Zugeordnete Berechtigungen in den SAP-Systemen:
Z_HR_ORG_IA1-Role (P01CLT101)Z_HR_ORG_IA1-Role (Q01CLT101)ZZ_HR-SB-Role (P01CLT101)ZZ_HR-SB-Role (Q01CLT101)Z_REWE_ORG_ZENTRAL_INFO (Q01CLT101)Z_REWE_ORG_ZENTRAL_INFO (P01CLT101)ZZ_REWE_DMS_INFO (P01CLT101)ZZ_REWE_DMS_INFO (Q01CLT101)ZZ_REWE_INFO (P01CLT101)ZZ_REWE_INFO (Q01CLT101)
Anwendergruppe (Mitglieder): HR-Sachbearbeiter aus Referat IA1Kurzbeschreibung: Berechtigungen für organisatorische Zuordnung und für
die Abrechnung entsprechend den Zuständigkeiten (Buchhaltung 100-199)Antragsteller: Kaminski, Utecht, Marquardt, PostGenehmigunger: Adolphs, Kaminski, Utecht
eAS, SAP Systemwelt
19
Berechtigungsworkflow
eAS-B
Drei Akteure
•SAP Anwender•„Mir fehlen Berechtigungen!“
•Antragsteller•„Ich weiß, welche Berechtigungen meine Leute brauchen, um arbeiten zu können.“•i.d.R. dezentral
•Genehmiger•„Ich kenne mich im Berechtigungswesen aus und entscheide über zulässige Kombinationen.“•i.d.R. zentral
22
Notwendige Informationen von unseren Anwendern
eAS-B
1. Wer sind die Antragsteller?• zB. Keyuser
2. Wer sind jeweils deren Anwender?
3. Um welche Berechtigungen geht es dabei?
4. Wer sind die Genehmiger?• Wem obligt die Verantwortung über Berechtigungen
BerechtigungenBerechtigungenBerechtigungen
24
Szenario 1: Berechtigungsworkflow und Rollenmodell
eAS, SAP Systemwelt
GenehmigerOtto
GenehmigerMiguel
Rolle 1.1
AnwenderMichel
Rolle 1.2
1. Genehmigung von Paolo
GenehmigerPaolo
Berechtigung1
In welcher Reihenfolge erfolgt der Workflow ?
2. Genehmigung von Miguel3. Genehmigung von Otto
25
Szenario 2: Berechtigungsworkflow und Rollenmodell
eAS, SAP Systemwelt
GenehmigerPaolo
GenehmigerMiguel
Berechtigung2
Rolle 1.1
Berechtigung1
Rolle 2.1
AnwenderMichel
Rolle 1.2
Ergebnis:
AnwenderMichel
Status „Teilweise o.k.“
Mitglied der Rollen 1.2 und 2.1 Nicht Rolle 1.1Berechtigung 2 ist zugewiesen
26
SAP NetWeaver Identity Management
eAS-B
Vorteil:
• Möglichkeiten des mehrstufigen Genehmigungsworkflow • teilweise Genehmigungen möglich, ohne dass man viel
konfigurieren muss
Nachteil:
• Kann ein Rollenmodell kaputtmachen• Verkomplizierung des Workflows• Nebeneffekte, die man an anderer Stelle nicht haben
möchte