Webinar: Compliant Identity Management im Energiesektor: SAP IdM, GRC und SSO

www.ibsolution.de © IBSolution GmbH

Revisionssichere Systemzugriffe für mehr Energie

11. Oktober 2012

Nils Sibold

IBSolution GmbH

Webinar-Reihe 2012


IBSolution GmbH - Webinar-Reihe 2012

Willkommen zum Webinar „Revisionssichere Systemzugriffe für mehr Energie“

Die Unterlagen finden Sie nach dem Webinar unter: http://www.slideshare.net/IBSolutionGmbH http://www.youtube.com/IBSolution

Weitere Webinar-Termine:

15.10.2012 // Integrierte Planung mit Stammdatenpflege in SAP BW

22.10.2012 // SAP NetWeaver IdM: Performance optimieren

Infos und Anmeldung über www.ibsolution.de/veranstaltungen

http://www.slideshare.net/IBSolutionGmbH


http://www.ibsolution.de/veranstaltungen


Ihre Moderatoren

Nils Sibold Chat-Moderatorin: Natascha Unger


IBSolution GmbH: Beratungsschwerpunkte

Business Intelligence

Prozess-optimierung

Technologie Beratung


IBSolution GmbH: Unsere Standorte

Nordrhein-Westfalen

Neuss

Baden-Württemberg

Heilbronn

Bayern

München

Schweiz

Zürich

Bulgarien

Sofia


IBSolution Compliant Identity Management Expertise

Die meisten SAP IdM Projekte seit 2007 mit 800 – 100.000 Identitäten, von der Toolauswahl bis zum globalen Rollout und Support

Einer der ersten SAP Special Expertise Partner für SAP IdM seit 2008

Compliant Identity Management (CIM) durch die Integration mit SAP GRC Access Control

Individuelle Single Sign-On Szenarien für SAP & Non-SAP

Unsere Kunden erzählen über ihren Erfolg in Success-Stories, Best-Practices, DSAG- und TechEd-Vorträgen

Autorenteam SAP IdM Buch der SAP Press, SDN Blogs, IT Fachmagazine


Chat-Funktion für Fragen / Einstellungen

Teilnehmer sind während der Präsentation stumm geschaltet

Bitte nutzen Sie für Fragen die Chat-Funktion

Zum Ende des Webinars wird gesammelt auf die Fragen eingegangen


AGENDA

1. Begrüßung und Einführung

2. Identity Management im Energiesektor

3. GRC Access Control im Energiesektor

4. Single Sign On im Energiesektor

5. Kundenszenario aus dem Energiesektor

6. Einführungsszenarien Identity Management, Access Control und Single Sign On

7. ROI-Betrachtung

8. Diskussion


Compliant Identity Management

Identity Management im Energiesektor

SAP Single Sign-On

SAP GRC Access Control

SAP Identity Management



Reduzierung Aufwand für Berechtigungsadministration

Teil-Automatisierung der Berechtigungsvergabe

Vermeidung Mehrfacherfassung & Medienbrüche

Genehmigungsverfahren bei der Vergabe von Berechtigungen

Automatische Protokollierung und vereinfachtes Reporting

Trennung von Netz und Betrieb einfach möglich

Etablierung Employee Self Services

Berechtigungsantrag

Rücksetzen Passwort

Konsistente Verteilung in heterogene Systemlandschaft

Integration SAP-Systeme & ZBV-Ablösung

Integration Verzeichnisse (Active Directory), RACF, Datenbanken, Eigenentwicklungen etc.

Angepasste Regeln für SAP IS-U umsetzbar



Geschäftsprozesse machen nicht vor Systemgrenzen Halt!

Anwender arbeiten auf unterschiedlichen Business Systemen – ERP, BW, Portal, Verzeichnissen...

Zusammenfassung technischer Rollen nach fachlichen Prozessen

Vereinfachung von Antragsprozessen durch Fachrollen

HR getrieben Prozesse

Interne Mitarbeiterstammdaten und organisatorische Einordnungen werden häufig im (SAP) HR gepflegt

Einsparung von Lizenzen und bessere Datenqualität durch Abgleich der Benutzer- und Personalstämme

Automatische Anlage-, Wechsel- und Austrittsprozesse für die Vergabe und Wegnahme von Zugriffen


AGENDA







7. ROI-Betrachtung

8. Diskussion



SAP GRC Access Control im Energiesektor

SAP Single Sign-On




Vorstellung SAP GRC Access Control 10

Risikofrei werden Risikofrei bleiben


Risikoanalyse und

Bereinigung

Unternehmensweites

Rollenmanagement

Regel- und gesetztes-

konforme Vergabe von

Berechtigungen

Management von

Superuser-Berechtigungen


Vorstellung SAP GRC Access Control 10

Risikostrukturen

Regelwerk A „Global“

Geschäftsprozess „HR & Personalabrechnung“

Geschäftsprozess „Rechnungswesen“

Geschäftsprozess „n“

Risiko H001 Personalabrechnungsstammdaten

ändern und anschließend Personalabrechnung verarbeiten

Risiko B Benutzer kann fiktives Sachkonto anlegen und

Journalaktivitäten erzeugen

Funktion HR03: Mitarbeiterstammdaten (PA)

bearbeiten – 0008 - 0009 (Grundbezüge

und Bank)

Aktionen/Berechtigungen SAP ERP





Funktion PY04: Personalabrechnung

verarbeiten

Funktion 3: Pflege von Sachkonten-

stammsätzen

Funktion 4: Buchen von

Journaleinträgen

Funktion 5: …

Risiko C Benutzer kann …


GRC Access Control 10

Funktionstrennungen bei SAP IS-U:

Vertrieb

Abrechnung

Netznutzung

Geschäftspartner

Energy Data Management

Intercompany Data Exchange

…

Beispielrisiko bei SAP IS-U:

Vertragskontenanlage und Rechnungsbelegbuchung


AGENDA







7. ROI-Betrachtung

8. Diskussion



SAP Single Sign On im Energiesektor

SAP Single Sign-On




Benutzer / Passwort

SAP Logon Tickets

Cookies im Webbrowser

Kerberos

Zum Beispiel Anbindung an den AD Kerberos Service

SNC (Secure Network Communication)

SAP GUI Logon

Zertifikate (auch smartcards)

Zum Beispiel vom AD ausgestellte Zertifikate im Browser

SAML (Security Assertion Markup Language)

Identity und Service Provider

OpenID

Vgl. mit SAML ‚nur‘ in übergreifenden Szenarien.

Single Sign On im Energiesektor

SAP NW SSO

Secure Login

Enterprise SSO

Identity Federation (SAML 2.0)

Web Access Management (WAM)


Kundenbeispiel für SSO im Energiesektor

Der Kunde • 450 SAP Benutzer • MS Active Directory • SAP Netweaver

Ausgangslage • Einführung IdM & Portal • Verschiedene Benutzerkennungen in verschiedenen SAP Systemen

Architektur • Verwendung von Zertifikaten für Single Sign On • Eigene ‘einfache’ Certificate Authority (CA) auf Basis Windows 2003

Nutzen • Kein Passwort Rollout • Verwendung der Zertifikaten auch in existierenden SAP Systemen • Stufenweise Einführung von SSO


AGENDA







7. ROI-Betrachtung

8. Diskussion

Ausgangssituation

14 SAP-Systeme mit 58 Mandanten

davon 6 Systeme mit 18 Mandanten bei externem Dienstleister

ca. 520 Benutzer davon 100 extern SAP

ca. 1.200 Benutzer davon 80 extern

Active

Directory

Ausgangssituation

ca. 80 Berechtigungsanträge pro Monat in Papierform

davon ca. 60 für durchschnittlich 9 SAP-Mandanten + Active Directory

nur zwei hauptverantwortliche Benutzeradministratoren

unterschiedliche Regeln zur Bildung des Benutzernamens in SAP intern,

SAP extern und Active Directory

kein Single Sign-on im Einsatz

gleiche Vorgehensweise für die Vergabe von SAP- und

Active Directory Rechten

Ablösung der papierbasierten Berechtigungsanträge und

Integration der Rollen-Owner durch Genehmigungsworkflows

systemübergreifende Passwortresets, Sperren, Entsperren

Massenänderungen

Integration des SAP IdM ins SAP Portal und Realisierung von

Single Sign-on ans Portal über Benutzer-Zertifikate

Nachvollziehbarkeit von Änderungen durch SAP IdM

Standardprotokollierung

revisionssichere Vergabe von Berechtigungen durch

Genehmigungsworkflows

Entlastung der Benutzeradministration

Was wurde realisiert?

Berechtigungsantrag in SAP IdM

1

2

3

4

5

Berechtigungsantrag in SAP IdM

6

7

8 9

Genehmigung durch Führungskraft

1

2

Einführung SAP IdM – Was ist wichtig?

Welche Systeme sollen angebunden werden?

Wie ist der Ablauf bei der Vergabe von Berechtigungen im

Unternehmen?

Auswahl des richtigen Partners

Auswahl einer Strategie für die Einführung im Unternehmen

Weiterentwicklung


AGENDA







7. ROI-Betrachtung

8. Diskussion


Einführungsszenarien Compliant Identity Management

• Beantragung Benutzer

und Rollenzuweisungen für

SAP & Non-SAP Systeme

Antragssteller

•Einholung von

Genehmigungen

Vorgesetzter / Rollenowner / …

• Abschwächung von

Risiken

Compliance Beauftragter

SAP NW SSO


Einführungsszenarien


AGENDA







7. ROI-Betrachtung

8. Diskussion


ROI Betrachtung

Wie gehe ich bei der Berechnung des Wertbeitrags vor?

Berechnung anhand Kennzahlen

Priorisierung

Validierung


ROI Betrachtung

Beispiel SAP Value Management


ROI Betrachtung – Häufige Einsparpotenziale

Identity Management:

Einsparungen bei der IT durch Delegation an die Fachbereiche

Einsparungen durch automatisierte Berechtigungsvergaben und -entzüge

Einsparungen durch Vermeidung von Mehrfacherfassungen

Einsparung von Lizenzen durch Zusammenführung und rechtzeitige Deaktivierung

…

GRC Access Control:

Weniger Aufwendungen für Audits mit Nacharbeiten

Sicherheitsgewinn durch das Verhindern von risikobehafteten Zugriffen in IS-U

…

Single Sign-On:

Einsparung bei bisheriger Anzahl Passwortresets * Zeitbedarf

Vermeidung von verlorener Arbeitszeit durch Warten auf Zugriff

Sicherheitsgewinn durch Vermeidung von Kennwörtern

…


AGENDA







7. ROI-Betrachtung

8. Diskussion


IBSolution GmbH - Webinar-Reihe 2012

Vielen Dank für Ihre Teilnahme!

Die Unterlagen finden Sie nach dem Webinar unter: http://www.slideshare.net/IBSolutionGmbH http://www.youtube.com/IBSolution

Weitere Webinar-Termine:

15.10.2012 // Integrierte Planung mit Stammdatenpflege in SAP BW

22.10.2012 // SAP NetWeaver IdM: Performance optimieren

Infos und Anmeldung über www.ibsolution.de/veranstaltungen



http://www.ibsolution.de/veranstaltungen


IBSolution GmbH

Im Zukunftspark 8 D - 74076 Heilbronn

www.ibsolution.de