Embed Size (px)
Citation preview
• 1 ... Einleitung ... 17 • 1.1 ... Überblick und Einordnung ... 18 • 1.2 ... Projektvorgehensmethoden und Fallbeispiele ... 20 • 1.3 ... Technische Details und Referenzen ... 20
• 2 ... Identity Management in Unternehmen ... 23 • 2.1 ... Motivationen für die Einführung von Identity Management ... 25
• 2.1.1 ... Gesetzeskonformität und Wirtschaftsprüfung ... 25 • 2.1.2 ... Sicherheitsrisiken reduzieren ... 27 • 2.1.3 ... Kostenreduktion durch Automatisierung und Prozessoptimierung ... 30
• 2.2 ... Lifecycle einer Identität im Unternehmen ... 32 • 2.3 ... Sammelkonten und priorisierte Accounts ... 35 • 2.4 ... Vergabe von Systemberechtigungen ... 37 • 2.5 ... Identity-Management-Lösungen ... 41
• 2.5.1 ... Anforderungen an das Identity Management ... 42 • 2.5.2 ... Leistungen einer Identity-Management-Lösung ... 44 • 2.5.3 ... Abgrenzung des Identity Managements vom Systemmanagement ... 55 • 2.5.4 ... Organisatorische Integration von Identity Management ... 55
• 2.6 ... Aspekte der Projektierung ... 56 • 2.6.1 ... Modelle der Herangehensweise ... 57 • 2.6.2 ... Fragestellungen in Bezug auf die Zielarchitektur ... 59 • 2.6.3 ... Betriebskonzept ... 60
• 2.7 ... Zusammenfassung ... 64
• 3 ... SAP NetWeaver Identity Management im Kontext von SAP NetWeaver ... 65 • 3.1 ... Von der SAP-Basis zu SAP NetWeaver ... 66 • 3.2 ... Verwaltung von Identitäten in SAP NetWeaver ... 69 • 3.3 ... SAP NetWeaver Application Server Java ... 69 • 3.4 ... User Management Engine ... 70 • 3.5 ... SAP NetWeaver Administrator ... 71 • 3.6 ... SAP NetWeaver Portal ... 72 • 3.7 ... Zentrale Benutzerverwaltung ... 74 • 3.8 ... SAP NetWeaver Process Integration ... 74
• 3.8.1 ... System Landscape Directory ... 75 • 3.8.2 ... Enterprise Services Repository ... 76 • 3.8.3 ... Enterprise Services Directory ... 76
• 3.9 ... SAP Human Capital Management ... 76 • 3.9.1 ... Personalmanagement ... 77 • 3.9.2 ... Organisationsmanagement ... 77
• 4 ... SAP NetWeaver Identity Management im Überblick ... 79 • 4.1 ... Historie ... 79 • 4.2 ... Architektur ... 82
• 4.2.1 ... Identity Center ... 83 • 4.2.2 ... SAP Virtual Directory Server ... 89 • 4.2.3 ... Gesamtarchitektur – Identity Center und SAP VDS ... 90
• 4.3 ... Daten- und Rollenmodell ... 91 • 4.3.1 ... Daten-und Rollenmodell im Identity Store ... 93 • 4.3.2 ... Datenmodellierung und Workflows ... 97 • 4.3.3 ... Datenmodellierung und Reporting ... 98
• 4.4 ... Datensynchronisation und Provisioning ... 98 • 4.4.1 ... Prinzipien der Datensynchronisation ... 99
• 4.4.2 ... Quell-und Zielsysteme ... 100 • 4.4.3 ... Technische Adapter ... 101 • 4.4.4 ... Provisionierungslogik und Workflows ... 103 • 4.4.5 ... Provisionierungscontent ... 105 • 4.4.6 ... Password Management ... 106
• 4.5 ... Weitere Integrationsthemen ... 107 • 4.5.1 ... Business-Suite-Integration ... 108 • 4.5.2 ... Integration mit SAP BusinessObjects Access Control ... 110 • 4.5.3 ... Middleware zum Austausch von Daten ... 111 • 4.5.4 ... UI-Integration ... 113
• 4.6 ... Monitoring ... 114 • 4.7 ... Reporting ... 116
• 5 ... Tipps und Tricks im Identity-Management-Projekt ... 119 • 5.1 ... Organisatorische Fallstricke ... 121
• 5.1.1 ... Vielzahl von Beteiligten und Betroffenen ... 121 • 5.1.2 ... Zielkonflikte ... 127 • 5.1.3 ... Persönliche Widerstände ... 129 • 5.1.4 ... Organisatorisch begründete Widerstände ... 131 • 5.1.5 ... Mangelnde organisatorische Reife ... 134
• 5.2 ... Komplexitätsrisiken ... 135 • 5.2.1 ... Ungeklärte Begriffe ... 135 • 5.2.2 ... Dynamisches Umfeld ... 136 • 5.2.3 ... Unklare Abgrenzung des Projektumfangs ... 140 • 5.2.4 ... Viele Schnittstellen ... 141 • 5.2.5 ... Komplexe Prozesse ... 143
• 6 ... Identity Management bei der Industrie GmbH ... 145 • 6.1 ... Ausgangssituation ... 146 • 6.2 ... Systemlandschaft ... 150
• 6.2.1 ... SAP-Umgebung ... 151 • 6.2.2 ... Windows-Umgebung ... 154
• 6.3 ... Anforderungen ... 155 • 6.3.1 ... Stammdaten ... 155 • 6.3.2 ... Prozesse und Antragswesen ... 155 • 6.3.3 ... Berechtigungsverwaltung ... 156 • 6.3.4 ... Reporting ... 157 • 6.3.5 ... Provisionierung ... 157 • 6.3.6 ... Authentisierung/Single Sign-on ... 157
• 6.4 ... Herausforderungen ... 158 • 6.5 ... Integriertes Projektvorgehen ... 160
• 6.5.1 ... Roadmap und Phasenansatz ... 161 • 6.5.2 ... Kick-off-Workshop ... 165 • 6.5.3 ... Installation einer zweistufigen Systemlandschaft ... 165 • 6.5.4 ... Detaillierung des Fachkonzepts ... 167 • 6.5.5 ... Vorbetrachtung des Zielprozesses zur Anlage neuer Identitäten ... 167 • 6.5.6 ... Vorbereitende Maßnahmen zur Datenkonsolidierung ... 168 • 6.5.7 ... Geplante Nutzung des Organisationsmanagements in SAP HCM ... 170 • 6.5.8 ... Erstellung der Feinkonzeption ... 171
• 6.6 ... Umsetzung der Identity-Management-Lösung ... 172 • 6.6.1 ... Phase 1: Aufbau einer konsistenten Datenbasis ... 172 • 6.6.2 ... Phase 2: Self-Services und Genehmigungsprozesse ... 182
• 6.7 ... Zusammenfassung und Ausblick ... 191 • 6.7.1 ... Phase 3: Vollständige Integration der Berechtigungsverwaltung ... 192 • 6.7.2 ... Phase 4: Integration von SAP BusinessObjects Access Control ... 194
• 6.8 ... Wertbetrachtung der Einführung von SAP NetWeaver IdM ... 195
• 7 ... Identity Management bei Mechatronic ... 197 • 7.1 ... Entwicklung der IT bei Mechatronic ... 199 • 7.2 ... Projektinitiierung ... 204 • 7.3 ... Projektvorbereitungen ... 207 • 7.4 ... Erste Schritte – Meilenstein 1.0 ... 211
• 7.4.1 ... Konzeptionsphase ... 211 • 7.4.2 ... Implementierungsphase ... 213 • 7.4.3 ... Stabilisierungsphase ... 218
• 7.5 ... Weitere Integrationen – Meilenstein 2.0 ... 219 • 7.5.1 ... Anforderungen der Fachbereiche nach Meilenstein 1.0 ... 220 • 7.5.2 ... Implementierung von Meilenstein 2.0 ... 222 • 7.5.3 ... Stabilisierungsphase ... 226
• 7.6 ... Zwischenphase – Meilenstein 2.1 ... 227 • 7.6.1 ... Erfassung der Folgeanforderungen ... 228 • 7.6.2 ... Implementierung von Meilenstein 2.1 ... 230 • 7.6.3 ... Stabilisierung ... 234
• 7.7 ... Zwischenphase – Meilenstein 2.2 ... 236 • 7.7.1 ... Implementierung von Meilenstein 2.2 ... 238 • 7.7.2 ... Stabilisierungsphase ... 243
• 7.8 ... Projektende mit Meilenstein 3 ... 244 • 7.9 ... Lessons Learned ... 246
• 8 ... Installation und Setup ... 249 • 8.1 ... Vorbereitungen ... 249
• 8.1.1 ... Planung der Systemumgebung ... 249 • 8.1.2 ... Bereitstellung des AS Java ... 251 • 8.1.3 ... Bereitstellung der IC-Datenbank ... 251
• 8.2 ... Installation ... 252 • 8.2.1 ... Installation der IC-Datenbank ... 253 • 8.2.2 ... Installation der IC Runtime ... 255 • 8.2.3 ... Installation der IC Console ... 256 • 8.2.4 ... Installation des SAP NetWeaver Identity Management User Interfaces ... 257 • 8.2.5 ... Installation des SAP Virtual Directory Servers ... 258
• 8.3 ... Einrichtung und Bereitstellung ... 260 • 8.3.1 ... Einrichtung der Identity-Center-Konfiguration ... 260 • 8.3.2 ... Einrichtung von Dispatcher und Event Agent Service ... 261 • 8.3.3 ... Bereitstellung des SAP NetWeaver Identity Management UIs in SAP NetWeaver Portal
... 262
• 9 ... Grundlegende Konzepte von SAP NetWeaver Identity Management ... 265 • 9.1 ... Datenhaltung ... 265
• 9.1.1 ... Datenmodell des Identity Centers ... 266 • 9.1.2 ... Globale Konfiguration: Repositorys, Konstanten und Variablen ... 273
• 9.2 ... Rollen und Berechtigungen ... 275 • 9.2.1 ... Berechtigungen im Identity Center ... 275 • 9.2.2 ... Rollen ... 277 • 9.2.3 ... Aufbau von Rollenhierarchien ... 281 • 9.2.4 ... Änderung von Rollen oder Rollenhierarchien ... 283
• 9.3 ... Regelbasierte Rollenzuweisung ... 283 • 9.4 ... Tasks und Prozesse ... 286
• 9.4.1 ... Passes ... 289 • 9.4.2 ... Scripting ... 292 • 9.4.3 ... Jobs ... 292 • 9.4.4 ... Tasks ... 293 • 9.4.5 ... Scheduling von Standardjobs ... 296
• 10 ... Datenmodellierung ... 297 • 10.1 ... Standard-Schema ... 297
• 10.1.1 ... Allgemein verwendete Attribute ... 298 • 10.1.2 ... Entry Type »MX_PERSON« ... 302 • 10.1.3 ... Entry Type »MX_PRIVILEGE« ... 305 • 10.1.4 ... Entry Type »MX_ROLE« ... 308 • 10.1.5 ... Entry Type »MX_DYNAMIC_GROUP« ... 311 • 10.1.6 ... Entry Type »MX_PENDING_VALUE« ... 312 • 10.1.7 ... Entry Type »MX_REPORT« ... 313
• 10.2 ... Erweiterung des Datenmodells ... 313 • 10.2.1 ... Datenmodellierung für SAP NetWeaver IdM ... 314 • 10.2.2 ... Definition neuer Attribute ... 317 • 10.2.3 ... Definition neuer Entry Types ... 322 • 10.2.4 ... Attributdefinitionen anpassen ... 324 • 10.2.5 ... Tipps zur Datenmodellierung ... 325
• 10.3 ... Tabellen in der IC-Datenbank ... 326 • 10.3.1 ... Repräsentation von Nutzdaten und Systemkonfiguration ... 327 • 10.3.2 ... Tabellen für Laufzeitinformationen ... 330 • 10.3.3 ... Besonderheiten für das Reporting ... 332
• 11 ... Modellierung von Provisionierungstasks ... 335 • 11.1 ... Pass-Konfiguration ... 335
• 11.1.1 ... Vorlagen und Platzhalter ... 338 • 11.1.2 ... Repositorys, Variablen und Konstanten ... 339 • 11.1.3 ... Source konfigurieren ... 340 • 11.1.4 ... Destination konfigurieren ... 340 • 11.1.5 ... ToIdentityStore-Pass ... 345 • 11.1.6 ... Ablauf einer Jobausführung ... 347 • 11.1.7 ... Einsatz von Skripten ... 348 • 11.1.8 ... ToGeneric-Pass ... 353
• 11.2 ... Jobkonfiguration ... 356 • 11.2.1 ... Einstellungen ... 356 • 11.2.2 ... Ergebnisbehandlung ... 358
• 11.3 ... Task-Konfiguration ... 359 • 11.3.1 ... Ablaufsteuerung ... 360 • 11.3.2 ... Ergebnisbehandlung ... 361 • 11.3.3 ... Repository ... 362
• 11.4 ... Fehlerbehandlung und Ausfallsicherheit ... 363 • 11.4.1 ... Wiederholungen von Tasks ... 365 • 11.4.2 ... Fehlerskripte ... 365 • 11.4.3 ... Tasks bei Fehlern aufrufen ... 367
• 11.5 ... Ausgewählte eingebaute Funktionen für Skripte ... 367 • 11.5.1 ... Informationen über die Laufzeitumgebung ermitteln ... 368 • 11.5.2 ... Zugriff auf Entrys im Identity Store ... 368
• 11.5.3 ... Steuerung der Jobausführung ... 370 • 11.5.4 ... Hilfsfunktionen ... 370 • 11.5.5 ... Zugriff auf Konstanten und Variablen ... 372
• 12 ... Frontend-Gestaltung des SAP NetWeaver IdM User Interfaces ... 373 • 12.1 ... Konfiguration im Frontend ... 373
• 12.1.1 ... Generelle Konfiguration von Task Groups ... 374 • 12.1.2 ... Direkter Aufruf von Task Groups und Approval Tasks ... 378
• 12.2 ... Anordnung von Attributen und Elementen ... 379 • 12.3 ... Darstellung von Werten ... 382 • 12.4 ... Zugriffssteuerung ... 387
• 12.4.1 ... Zugreifende Identität festlegen ... 387 • 12.4.2 ... Zugriff auf Identitäten festlegen ... 389
• 13 ... Prozessmodellierung ... 391 • 13.1 ... Modellierung von Provisionierungsprozessen ... 391
• 13.1.1 ... Gruppieren von Provisionierungstasks ... 392 • 13.1.2 ... Verzweigungen ... 396 • 13.1.3 ... Genehmigungsschritte in Prozesse einfügen ... 401 • 13.1.4 ... Member Events ... 407 • 13.1.5 ... Starten von (Sub-)Prozessen ... 412
• 13.2 ... Modellierung von Batch-Prozessen ... 415 • 13.2.1 ... Importprozesse ... 416 • 13.2.2 ... Exportprozesse ... 423 • 13.2.3 ... Zeitabhängige Prozesse ... 424 • 13.2.4 ... Scheduling ... 425 • 13.2.5 ... Delta-Mechanismus ... 428
• 14 ... SAP Provisioning Framework ... 433 • 14.1 ... Überblick über das SAP Provisioning Framework ... 434
• 14.1.1 ... Bestandteile des SAP Provisioning Frameworks ... 434 • 14.1.2 ... SAP Provisioning Framework in den Projektphasen ... 436
• 14.2 ... Importprozesse ... 437 • 14.2.1 ... Importprozesse erstellen ... 437 • 14.2.2 ... Übersicht der Templates für Importjobs ... 440 • 14.2.3 ... Aufbau und Funktionsweise von Initial Load Templates ... 442 • 14.2.4 ... Aufbau und Funktionsweise von Update Templates ... 452 • 14.2.5 ... Datenkonsolidierung mit Importprozessen ... 455 • 14.2.6 ... Weitere Standardjob-Templates ... 460
• 14.3 ... Provisionierungsprozesse ... 462 • 14.3.1 ... Konfiguration der Provsionierungsprozesse ... 462 • 14.3.2 ... Ablauf von Provisionierungsprozessen ... 463 • 14.3.3 ... Task-Struktur des SAP Provisioning Frameworks ... 466 • 14.3.4 ... Rule-Based Provisioning mit dem SAP Provisioning Framework ... 468 • 14.3.5 ... Provisionierung in die Zielsysteme ... 473 • 14.3.6 ... Vordefinierte Frontend-Masken ... 482 • 14.3.7 ... Erweitern der Provisionierungsprozesse ... 484
• 15 ... Weiterführende Integrationsthemen ... 491 • 15.1 ... Typische Anwendungsfälle für die Anbindung von Systemen ... 492
• 15.1.1 ... SAP HCM-Integration ... 494 • 15.1.2 ... SAP NetWeaver Portal-Umgebung ... 495 • 15.1.3 ... Erweiterte SAP Business Suite-Integration ... 496
• 15.2 ... Stammdatenverteilung und Synchronisation ... 497 • 15.2.1 ... SAP HCM-Standardintegration ... 497 • 15.2.2 ... Erweiterte SAP Business Suite-Integration ... 507 • 15.2.3 ... Nutzung von SAP NetWeaver Process Integration ... 511
• 15.3 ... SAP Virtual Directory Server und Identity Services ... 514 • 15.3.1 ... Standardprotokolle und Identity Services ... 514 • 15.3.2 ... Konfiguration und Deployment ... 516 • 15.3.3 ... Identity Services – Beispiele ... 521
• 15.4 ... SAP BusinessObjects GRC-Integration ... 524 • 15.4.1 ... Überblick über die GRC-Produkte der SAP ... 524 • 15.4.2 ... Compliance-Phasen des Berechtigungsmanagements ... 528 • 15.4.3 ... Compliant Identity Management ... 532 • 15.4.4 ... Kommunikation zwischen den Komponenten ... 536 • 15.4.5 ... Compliant Identity Management –Konfiguration der Komponenten ... 540
• 16 ... Betrieb von SAP NetWeaver IdM ... 545 • 16.1 ... Infrastruktur ... 545
• 16.1.1 ... Sizing und Hochverfügbarkeit ... 545 • 16.1.2 ... Sicherheit ... 551 • 16.1.3 ... Upgrades ... 553
• 16.2 ... Transportwesen ... 554 • 16.2.1 ... Transport der IC-Datenbank ... 554 • 16.2.2 ... Transport der Identity-Center-Konfiguration ... 556 • 16.2.3 ... Transport der SAP Virtual Directory Server-Konfiguration ... 560
• 16.3 ... Monitoring ... 562 • 16.3.1 ... Jobprotokoll ... 562 • 16.3.2 ... Systemprotokoll und Trace-Protokoll ... 566 • 16.3.3 ... Genehmigungswarteschlange, Provisionierungswarteschlange und
Provisionierungsaudit ... 568 • 16.3.4 ... Historie von Einträgen ... 571 • 16.3.5 ... Monitoring des SAP Virtual Directory Servers ... 573
• 17 ... Reporting ... 577 • 17.1 ... Report Samples ... 578
• 17.1.1 ... Entry Report ... 578 • 17.1.2 ... Line Manager Report ... 580 • 17.1.3 ... Privilege Report ... 581 • 17.1.4 ... Role Report ... 582
• 17.2 ... Setup der Reporting-Funktionalität ... 583 • 17.2.1 ... Installation und Konfiguration der Runtime Library ... 583 • 17.2.2 ... Erstellen eines Report Tasks im Identity Center ... 584 • 17.2.3 ... Anfordern von Reports im IdM UI ... 588 • 17.2.4 ... Anzeigen von Reports ... 589
• 17.3 ... Eigene Reports erstellen ... 591 • 17.3.1 ... Corporate Identity Report ... 592 • 17.3.2 ... Conditional Format Report ... 594 • 17.3.3 ... Data Transformation Report ... 596 • 17.3.4 ... Query Report ... 598
• 18 ... Zusammenfassung und Ausblick ... 599 • 18.1 ... Aktueller Stand ... 599
• 18.1.1 ... Identity Center ... 600 • 18.1.2 ... SAP Virtual Directory Server ... 600
• 18.1.3 ... SAP NetWeaver IdM User Interface ... 601 • 18.1.4 ... SAP NetWeaver IdM und SAP BusinessObjects Access Control ... 601 • 18.1.5 ... SAP NetWeaver IdM und SAP BusinessObjects Crystal Reports ... 602 • 18.1.6 ... Verfügbare Konnektoren im Identity Center ... 602 • 18.1.7 ... SAP NetWeaver IdM und SAP HCM ... 603
• 18.2 ... Ausblick und »Wunschliste« für zukünftige Produktversionen ... 603 • 18.2.1 ... Integration in den SAP Solution Manager ... 603 • 18.2.2 ... Verschmelzung mit SAP BusinessObjects Access Control ... 604 • 18.2.3 ... SAP NetWeaver Composition Environment und Business Process Management ...
604 • 18.2.4 ... Vorgefertigtes, sofort einsatzbereites Berichtswesen ... 605
• 18.3 ... Organisatorische Herausforderungen ... 605 • 18.3.1 ... Schaffung der organisatorischen Akzeptanz von SAP NetWeaver IdM ... 605 • 18.3.2 ... Etablierung eines durchgängigen und aktuellen Fachrollenmodells ... 606
• 18.4 ... Schluss ... 606
• A ... Weiterführende Literatur ... 609 • A.1 ... Bücher und Artikel ... 609 • A.2 ... Onlinequellen nach Kapiteln ... 610
• B ... Die Autoren ... 619
• ... Index ... 623
