Best Practice für die Einführung einer IdM-Lösung mit Compliance Prüfung

Jürgen von den Berken

Vibracoustic GmbH&Co.KG

Nils Sibold

IBSolution GmbH

Best Practice für die

Einführung einer IdM Lösung

mit Compliance Prüfung

214.10.2011 | Alle Rechte bei Vibracoustic GmbH & Co. KG | Höhnerweg 2-4 | 69469 Weinheim

info@vibracoustic.de | www.vibracoustic.de

Agenda

1. Unternehmensprofil der Vibracoustic

2. Ausgangssituation, IT-Systeme

3. Anlass

4. Analyse, Lösungsansätze

5. Kurzfristig ergriffene Maßnahmen

6. Langfristige Maßnahmen

7. Take Aways

Automobil - Lieferant

2300 Mitarbeiter in Europa

360 Mio € Umsatz (2009)

2001 Gründung als Joint Venture

(Freudenberg und Phoenix)

… mit Weinheim als Hauptstandort

… seit 2005 ein Unternehmen

der Freudenberg-Gruppe

Vibracoustic, Unternehmensprofil

Unsere Kunden

Vibracoustic, Standorte

Technology Center Production Partner

Manchester, NH - USA

Plymouth, MI - USA

Ligonier, IN - USA

Taubaté - Brasil

Hamburg - D

Nyíregyháza - HU

Melnik - CZ

Hradec Králové - CZ

Sroda Slaska - PL I + II

Chandigarh - India

Tianjin - China

Daegu - Korea

Tottori - Japan

Wuxi - China

Cuautla - Mexico

Bursa - TR

Lerma - Mexico

Bangkok - Thailand

Yokosuka - Japan

Neuenburg - D

Weinheim - D

Trebechovice - CZTrebechovice - CZ

Yantai - China

Vibracoustic, Produkte

Hydro MountAll-terrain Vehicle

MountMulti Function

MountElectrically Switchable

Hydro Mount

Torsional

Vibration

Damper

Decoupled

Pulley

Drive Shaft

DamperCompression

Arm Bush

Suspension Link

Conventional BushIntegral Link

Tie Blade

Air Spring

Damper

Engine Mounts

Torsional VibrationDampers

Air Spring/MCU

Chassis Parts

We convert noise and vibration into sound and comfort

Air Spring CV

MCU Jounce Bumper

Agenda

3. Anlass

Active Directory

1000 Benutzer

ca. 2000 Gruppen

SAP (R/3, BW, GRC, IdM)

530 Benutzer

ca. 210 SAP Sammelrollen

Restliche Systeme

22 IT Syteme mit User-Administration

Restliche Rollen : 20 x 3 – 10 Rollen bis zu + 200 Rollen

Kundenportale

Kundenportale (SupplyOn, COVISINT, VW, …)

Anzahl User ? / Anzahl Rollen ? … COVISINT: 150 Applikationen

Ausgangssituation

IT Systeme

Ausgangssituation, Kundenportale, Beispiele

Ausgangssituation

IT Systeme

Erhöhter Support- Koordinationsaufwandaufwand,

intransparent, Mitarbeiterlöschung nur per inventur-

ähnlicher Suche …

Agenda

3. Anlass

7. Take Aways

Hinweis bei der Jahresabschlussprüfung

Zu viele Berechtigungen je Person

Fehlende Dokumentation

Die IT Security fordert …

Dokumentation aller Berechtigungsprozesse und -vergaben

Sofortiger, zeitnaher Entzug von Rechten

Transparenz

Regelmäßige Überprüfung der vergebenen Rechte

Anlass

Agenda

3. Anlass

Analyse

Prozesse Risikoanalyse

Fehlende Prozesse

Fehlende Dokumentation

Fehlende Transparenz

Zu umfangreiche

Berechtigungen

Fehlende Transparenz

Analyse, Lösungsansätze

Etablierung von

ordnungs-

gemäßen

Prozessen

Etablierung von

ordnungs-

gemäßen

Prozessen

Aufbau eines

Rollenkonzeptes

Etablierung von

ordnungs-

gemäßen

Prozessen

Fachbereich hat

Verantwortung

für Rolleninhalte

Aufbau eines

Rollenkonzeptes

Etablierung von

ordnungs-

gemäßen

Prozessen

Fachbereich hat

Verantwortung

für Rolleninhalte

Aufbau eines

Rollenkonzeptes

SAP Access Control

(GRC) Einführung

SAP Identity Management

Einführung

Agenda

3. Anlass

Prozess Rollengestaltung

Berechtigungsprozess

7. Take Aways

Kurzfristig ergriffene Maßnahmen

Verantwortung

in den

Fachabteilungen

Freigabe /

Genehmigung der

Rollengestaltung

Rollenkonzept

auf Basis der

SAP-Empfehlung

ca. 700 Einzelrollen

Aufbau eines SAP Aufgabenkatalogs (SAP Einzelrollen)

Aufgabenliste

Aufbau eines SAP Aufgabenlisten (SAP Sammelrollen)

ca. 210 Sammelrollen

Zuordnung neuer Einzelrollen / Transaktionen wird

durch den Owner veranlasst

Die Freigabe von Sammelrollen für einen Benutzer

wird ebenfalls vom Owner freigegeben (Unterschrift)

Etablierung eines Berechtigungsprozesses

Elektronisches

Antragsformular

Antrags- und Genehmigungs-

prozesse via User Help Desk

Genehmigung der

Rollenzuordnung

zu Usern

Verantwortung

in den

Fachabteilungen

Freigabe /

Genehmigung der

Rollengestaltung

Rollenkonzept

auf Basis der

SAP-Empfehlung

Etablierung eines Berechtigungsprozesses

Dokumentation mittels Antragsformular, Ablage

Agenda

3. Anlass

GRC Superuser Einführung

SAP Identity Management Einführung

GRC Risikoanalyse Einführung

7. Take Aways

Langfristige Maßnahmen

GRC Superuser Einführung

Nutzung des

Superuser –

Konzepts

Rollenkonzept

auf Basis der

SAP-Empfehlung

Verantwortung

in den

Fachabteilungen

Freigabe /

Genehmigung der

Rollengestaltung

Elektronisches

Antragsformular

Genehmigung der

Rollenzuordnung

zu Usern

Nutzung des

Superuser –

Konzepts

Rollenkonzept

auf Basis der

SAP-Empfehlung

Verantwortung

in den

Fachabteilungen

Freigabe /

Genehmigung der

Rollengestaltung

Elektronisches

Antragsformular

Genehmigung der

Rollenzuordnung

zu Usern

Einführung

Ziele des Identity Management - Projekts

Ablösung der bisherigen Prozesse und Formulare

Weiterentwicklung des Rollenverständnisses

Einbeziehung der Kundenportalberechtigungen

Reduktion der Prozesskosten und externe Kosten

Zügigere Prozessabwicklung, Zeiteinsparung bei den Mitarbeitern

Zeitnaher Entzug vergebener Rechte

Zentrale Dokumentation der vergebenen Rechte (IST-Zustand)

Dokumentation der Vergabeprozessse

Selfservices für die eigenen Stammdaten (Provisionierung in alle Systeme!)

Erfüllung aller IT-Security-Anforderungen

Abgebildete Workflows

Abgebildete Synchronisationen und Massenpflege

06. ‘10

Projektmanagement

11.2010: Schulung, Dokumentation & Go-Live

09.2010: kompl. Usermanagement & Reporting

08.2010: Rollen- u. Berechtigungs-Mgmt & Usermanagement Basis

06.2010: Infrastruktur E + Q & Quell- und Zielsysteme angebunden

Legende:

Meilenstein Analysephase Realisierungsphase Test & Abnahme

Kick-Off

IBSolution-interneQualitätsprüfung

Testfreigabe für Vibracoustic

08. ‘10 10. ‘10 12. ‘10 02. ‘11 04. ‘11 07. ‘11

07.2011: Resynchronisation, stabiler Betrieb

Drei Typen von Rechten

AD-Rechte (glob. Gruppen) > provisioniert

SAP-Systeme (R/3, BW, Dispute-M., GRC, IdM) > provisioniert

Alle anderen Systeme (eMAIL-Case - Fälle) > manuell (Admin)

Besonderheit … Lebenszyklus für Berechtigungen

Zusatzattribute

bei der Ressourcenauswahl- System- Bereich- Abteilung- Verantwortlicher- Funktion- …

eMAIL-

N/ Neu

L/ geLöscht

A/ Aktiv

Beantragungs- und

Genehmigungsprozess

Antrag

Genehmigung

D/ Deaktiviert

Wertevorgaben für „Standort“, „Firma“ und „Abteilung“

Automatische Initiierung von

Rechtebeantragungen auf

Basis von Zugehörigkeiten

(Standort, Abteilung, …),

jeweils mit oder ohne

Genehmigungsvorgang

zugeordnete

Rollen

Standard (Rollen) zugeordnet zu - Firma

- Standort

- Abteilung

Companies

locations

departments

Weiterentwicklung von den Einzelrechten zum Rollenkonzept:

Einzelrechte( AD, SAP/ GRC, eMAIL –Case )

Standards (Rollen) - Firma

- Standort

- Abteilung

Business Rollen

z.B.:- Logistik, SCM- Abteilung: Rechte für die Ausübung einer Funktion- Konstrukteur- Controlling …

IST-Situation: unsystematische Zuordnung von GLOBALEN GRUPPEN zu Verzeichnissen

Hier bedarf es noch einiger

Schritte bis zu einem

Rollenverständnis

(Ablagesystematik,

Zusammenfassung,

Rollensystematik, … )

Wertevorgaben für „Standort“, „Firma“ und „Abteilung“

Abteilung

Person

Besonderheit.. Vererbung von Stammdaten

Beispiel Abteilung:

Share folder

Rollengenehmiger

Beispiel Standort:

Intern / Extern Flag

SAP: Firmenadresse, Zeitzone und Benutzergruppe

AD: Benutzereinordnung, Postfachspeicher, Anmeldescript und Maildomäne

Beispiel Firma:

SAP: Kommunikationstyp und Lizenzdaten

Demo Mitarbeitereintritt

- Person master data for SAP and AD- Organizational data- Name change (2nd mail address)- Business Roles-Privileges (SAP roles and AD groups)- …

Active Directory- Person master data- Name change (2nd mail address)- Group assignments

SAP Prod- SAP specific attributes

-Role assignments

SAP Dev etc.- Role assignments

Beispiel Resynchronisation:

Risikoanalyse

Einführung

Rollenkonzept

auf Basis der

SAP-Empfehlung

Verantwortung

in den

Fachabteilungen

Freigabe /

Genehmigung der

Rollengestaltung

Elektronisches

Antragsformular

Genehmigung der

Rollenzuordnung

zu Usern

Nutzung des

Superuser –

Konzepts

Einführung

Strategien der Entflechtung

Vorgehensweise

Agenda

3. Anlass

7. Take Aways

Take Aways

Phasenweises Vorgehen statt Big Bang

Lifecycle von Personen und Berechtigungen beachten

Früher Einbezug von Key Usern und Systemverantwortliche hilfreich

Detailkonzept für Synchronisationsregeln, Workflows etc. ist ein Must-Have

Verbesserung der Datenqualität und Entlastung der IT durch

Ownerschaften und Self-Services

Auditing „Wer hat wann was gemacht und warum“

Erst mit Access Control risikofrei werden, um dann einen Compliance Chek

für das IdM anzubieten

Best Practice für die Einführung einer IdM Lösung

Jürgen von den Berken

Business Processes and Information Technology

Vibracoustic GmbH & Co. KG

Höhnerweg 2-4 . 69465 Weinheim, Germany

Phone +49 (0) 6201 80 2123. Fax +49 (0) 6201 88 2123

Mobile +49 (0) 172 633 2301

Juergen.vondenBerken@vibracoustic.de www.vibracoustic.de

A company of the Freudenberg Group

Best Practice für die Einführung einer IdM Lösung

Nils Sibold

Solution Consultant

IBSolution GmbH

Salzstraße 140

74076 Heilbronn

Mobile (+49) 151 / 526 24 731

Nils.Sibold@ibsolution.de

Best Practice für die Einführung einer IdM-Lösung mit Compliance Prüfung

Technology

CIM Infotag: IdM - Kundenspezifische UI's

Compliance als Hilfsmittel für eine risikobewusste ... Inhalt I. Compliance als Begrifflichkeit II. Bedeutung von Compliance III. Integriertes Compliance Management System IV. Fazit

Compliance Case Study Compliance & Verhaltenskodex

BENUTZERDOKUMENTATION ZENTRALE IDM-LDAP … · Einführung 5 Abb. 001 – Verteilung der IDM Direktanbindungen in Bezug auf das OpenLDAP Zielsystem Zentrale IDM-LDAP Serverfarm –

SAP NetWeaver IdM - Ablösung der ZBV

IDM Berlin 2011

Webinar: SAP IdM im heterogenen Konzernumfeld

SUPERBIKE-IDM V5-Schleizresultscdn.getraceresults.com/idm/2016/IDM... · SUPERBIKE-IDM V5-Schleiz HMP MotorEvents GMBH IDM Superstock 1000 - Rennen 2 29 - 31 July 2016 Schleiz - 3805

Compliance Szene - Rückblick Bundeskongress Compliance Management 2013

The Future of Compliance 2017 - Der Compliance Manager · The Future of Compliance 2017 Aktuelle Herausforderungen und zukünftige Trends im Compliance-Management Diese Veröffentlichung

Compliance Management und Compliance Regeln Broschüre (PDF

Best practice Eine Wägelösung erschließt die FDA-Compliance · Key Facts Der globale Hersteller LABORATORI DERIVATI ORGANICI (LDO) ist auf die Gewinnung pharmazeutischer Wirkstoffe

CIM Infotag: IdM Berechtigungsreporting mit SAP Netweaver BW

Webinar: SAP NetWeaver IdM: Performance optimieren

IDM Bilanz2016 DE - idm-suedtirol.com · 2017-07-03 · IDM | Bilanz 2016 5 Werte Eigentümer, es freut mich Ihnen den Jahresabschluss zum 31.12.2016 von IDM Südtirol – Alto Adige

Webinar: SAP IdM - schneller zum ROI durch Quick-Wins

Christian Krause, URZ FSU Jena, IDM-Arbeitsgruppe

Idm et ihm

IDM - Fanartikel, Merchandising & Eventartikel | Katalog komplett

Sebastian Lach Sebastian Polly Produkt- Compliance · Zertifikatskurs: Compliance Manager Der Zertifikatskurs „Compliance Manager“ umfasst die rechtlichen und betriebswirtschaftlichen