Identity und Access Management mit SAP NetWeaver IdM bei der BLANCO GmbH & Co. KG

| 1.7.2009 | IdM Infotag Walldorf 20091

Identity und Access Management

mit SAP NetWeaver IdM bei der

BLANCO GmbH + Co KG

Basierend auf der Synchronisation von Daten aus

dem SAP Human Capital Management

Werner Gassner, stellv. Leiter IT, BLANCO GmbH & Co. KG

Loren Heilig, IBSolution GmbH

Walldorf, 1.7.2008


Agenda – Teil 1

Aktuelle Situation und Anforderungen

Überblick BLANCO KT und BLANCO CS

Vision BLANCO Bits

BLANCO Infrastruktur

Die Rolle von SAP NetWeaver Identity Management

Zusammenfassung Argumente und Beweggründe


Mitarbeiter ca. 1300

Umsatz 2008: 260 Mio. €

Auslandsanteil über 2/3

Produktion an mehreren Standorten

in Deutschland und in Kanada

11 Tochtergesellschaften

USA, Kanada, Großbritannien, Frankreich,

Belgien, Niederlande, Schweiz, Österreich,

Tschechien, Russland, Ukraine

weltweites Vertriebsnetz - etwa 80 Staaten

BLANCO Küchentechnik (KT)


Mitarbeiter ca. 610

Umsatz 2008: 93 Mio. €

Produktion an zwei Standorten in Deutschland

sowie in Tschechien

Tochtergesellschaften in Belgien, Großbritannien,

Frankreich, Österreich, Schweiz und Tschechien

BLANCO CS ist ein international tätiges Unternehmen und

vertreibt seine Produkte zurzeit schwerpunktmäßig in Europa,

im Mittleren Osten und in Asien.

BLANCO CS

Ca

teri

ng

Sys

tem

e

(CA

)

Me

dic

al C

are

Sys

tem

e

(MC

)

Ind

us

tria

l C

om

po

ne

nts

(IC

)


Wir entwickeln und gestalten als Systemanbieter mit unseren

Geschäftsfreunden attraktive und arbeitserleichternde Lösungen

für Arbeitsplätze in der Haushaltsküche, der

Gemeinschaftsverpflegung und in medizinischen

Funktionsbereichen.

Wir erkennen, wecken und erfüllen Kundenwünsche.

Wir schaffen innovative, flexible Lösungen, die in Design,

Funktion, Qualität und Service vorbildlich sind.

Wir setzen auf Kompetenz, Engagement und Kreativität

unserer Mitarbeiter sowie fortschrittliche und

umweltfreundliche Technologien, um immer einen

Schritt voraus und weltweit der attraktivste Anbieter

zu sein.

Wir wollen ein “5 Sterne-Unternehmen” sein und unsere

Kunden begeistern.

Vision BLANCO / BITS


BLANCO Standorte und Anbindung

SAP

ERP

Planung/Optimizer

APO

Buchhaltung

Controlling

FI / CO

Vertrieb

SD

Qualitätssicherung

QM

$

$ $

Einkauf

Kisscat

Kontakte/Aktionen

CRM

Logistik

MM / WM

Aussenhandel

GTS

Fertigung

PP

Internet/HTML

Webshop

Service / Instandhaltung

CS / PM

Berichtswesen

BW

Personalmanagement

HR

Electronic Data Xchange

BIS / Tangro

Produktinformationssystem

Heiler PM

Archivierung

IXOS

Rückmeldesysteme

Solquest/Siemens/Trumatic/Salvagnini

BDE / MDE

Informationssysteme

ES / EP

ERP


http://upload.wikimedia.org/wikipedia/de/8/8f/SAP-Logo.svg








Idee des zentralen Applikationsportals

Organisation

Vera

ntw

ortu

ng /

Pfle

ge

Tele

fonbuch

BV

W…

…..

Unstrukturierte

Daten

FIL

E

MA

IL

KM

C3

UK

DE

FRUK

DE

FR

Strukturierte Daten

ERP CRM APO BW…

DE FR CAN …

Suche

BLANCO - InformationsWELT

1 (!) PORTAL (mit SSO)


IST: dezentrale User-Datenpflege pro System durch jew. ADMINS

Organisation

Ve

ran

two

rtung

/

Pfle

ge

Te

lefo

nb

uch

BV

W…

…..

Unstrukturierte

Daten

FIL

E

MA

IL

KM

C3

UK

DE

FRUK

DE

FR

Strukturierte Daten

ERP CRM APO BW…

DE FR CAN …

• schlechte Datenqualität da nur menschlisch abgestimmt (Meldung immer nur wenn was nicht mehr geht)

• hoher Administrationsaufwand

• Compliance-Anforderungen nicht vernünftig erfüllbar

• Berechtigungen sind personen- nicht rollen- oder prozessbezogen

Suche


SAP NW IDM als stabiles Fundament der Userdaten und Berechtigungen

Organisation

Ve

ran

two

rtung

/

Pfle

ge

Te

lefo

nb

uch

BV

W…

…..

Unstrukturierte

Daten

FIL

E

MA

IL

KM

C3

UK

DE

FRUK

DE

FR

Strukturierte Daten

ERP CRM APO BW…

DE FR CAN …

• Stammdaten werden dort erfasst wo sie entstehen und durchgängig verwendet (also richtig)

• IT ist für Systeme und nicht mehr für Inhalte verantwortlich

• neuer Ansatz => Einführung rollenbasiertes Berechtigungswesen wesentlich leichter

• Return nicht mehr nur für IT, sondern für jeden User (IDM nicht mehr reines IT-Projekt)

• Basis für alle Workflows

Suche


=> Personendaten

=> Räume

=> Externe

Identitäten bei BLANCO


Absprung auf User Datenbild

Weiterverwendung von korrekten Daten

‚die bisherige Insel Personalabteilung wird ans Festland angebunden‘


Agenda – Teil 2

Umsetzung mit SAP NetWeaver Identity Management 7.0

Ziele der ersten Projektphase

Aktuelle Architektur – Schaffen einer konsistenten Datenbasis

Übernahme von Mitarbeitern (SAP HCM) und Geschäftspartnern (SAP ERP)

Übername von Organisationsdaten

Prinzipien der Datensynchronisation

Prozesssteuerung mit Hilfe von Daten aus dem Org Management

Verwaltung von Berechtigungen basierend auf den OM Daten

Schrittweise Migration der bestehenden Benutzerdaten


Ziele in der ersten Projektphase

Schaffen einer konsistenten und zentralen Datenbasis für Identitätsdaten

Errichtung der technische Grundlage für eine automatisierte Berechtigungsverwaltung

Migration der bestehenden Benutzer auf eine neue einheitliche Benutzer ID

Prozess / Workflow für die Genehmigung von Basisberechtigungen (bspw. Internet,

VPN, PC-Fax, etc.) durch den jeweiligen Vorgesetzten

Zentrale Vergabe von Berechtigungen auf den angebundenen Systemen

Verbesserung der Datenqualität in den angebundenen Systemen

Anbindung der folgenden Systeme / Systemtypen:

Microsoft Active Directory

SAP Web AS ABAP (ERP, APO, CRM, GTS, BW, etc.)

SAP Web AS Java (Portal)SAP

ERP

Planung/Optimizer

APO

Buchhaltung

Controlling

FI / CO

Vertrieb

SD

Qualitätssicherung

QM

$

$ $

Einkauf

Kisscat

Kontakte/Aktionen

CRM

Logistik

MM / WM

Aussenhandel

GTS

Fertigung

PP

Internet/HTML

Webshop


CS / PM

Berichtswesen

BW

Personalmanagement

HR


BIS / Tangro


Heiler PM

Archivierung

IXOS

Rückmeldesysteme


BDE / MDE

Informationssysteme

ES / EP


SAP Web AS Java

SAP HCMSAP ERP

MS Active Directory

MS ADMS Exchange

Telefonbuch-DB

SAP Portal

JDBC / LDAP

SAP IdM

Nachname, Geburtsname, Zweiter Name,

Vorname, Vollständiger Name, Rufname,

Anrede, Geschlechtsschlüssel, Titel, Titel2,

Vorsatzwort2, Zusatzwort, Organisationsdaten

SAP Systemname, SAP 2

Kzl., Interne PLZ, Telefax,

PC-Fax, Standard

Telefonnr. Weitere

Telefonnr / Tel. Privat,

Mobil, Mobil Privat,

Strasse und Hausnr., Ort,

Ortsteil, Länderschlüssel,

Stockwerk im Gebäude,

Gebäude

Personalabteilung

Telefonservice

IT-Abteilung + Fachbereiche

Fax-Server

SAP Web AS ABAPGTS

CRM

BW

APO

ERP

2

1a

1b

HRMD_A07

IDOC

8

7

3

4

5

Andere Drittsysteme

9

6

BUPA

PI

Aktuelle Architektur – Konsistente Datenbasis

SAP

ERP

Planung/Optimizer

APO

Buchhaltung

Controlling

FI / CO

Vertrieb

SD

Qualitätssicherung

QM

$

$ $

Einkauf

Kisscat

Kontakte/Aktionen

CRM

Logistik

MM / WM

Aussenhandel

GTS

Fertigung

PP

Internet/HTML

Webshop


CS / PM

Berichtswesen

BW

Personalmanagement

HR


BIS / Tangro


Heiler PM

Archivierung

IXOS

Rückmeldesysteme


BDE / MDE

Informationssysteme

ES / EP


Übernahme von Mitarbeitern aus SAP HCM

Der Ministamm aus dem SAP HCM wird über ALE/IDOC inkl. OM in das zentrale SAP ERP System übernommen.

Im ERP System werden mit Hilfe der Verknüpfung über die Central Person aus den Mitarbeiterdatensätzen Geschäftspartner erzeugt.

Externe Mitarbeiter und Geschäftspartner können ebenfalls als Geschäftspartner im ERP angelegt werden.

Alle Geschäftspartner können über entsprechende Verknüpfungen den verfügbaren Planstellen im Organisationsmanagement zugeordnet werden.

Sowohl die Kopplung zwischen SAP HCM und SAP ERP als auch die Schnittstelle zwischen SAP ERP und SAP IDM beruhen auf der Nutzung von Standardschnittstellen und Extraktionsroutinen in den jeweiligen Systemen.


Übernahme der Geschäftspartner und OM Daten aus SAP ERP

Übernahme der Geschäftspartner

Standardschnittstelle ABABusinessPartner (Bestandteil SAP_APPL)

Übernahme wichtiger Prüftabellen mit Hilfe des Generischen Extraktors für MDM (MDMGX)

Nutzung von ESR Content / SAP PI Schnittstellencontent

Übernahme der OM Daten

Organisationseinheiten und Planstellen

Personalbereich / Personalteilbereich

Übernahme von Verknüpfungen

Hierarchie der Organisationseinheiten

Planstellen Organisationseinheiten

Leitungsfunktion einer Planstelle für eine Organisationseinheiten

Zuordnung Mitarbeiter / Geschäftspartner Planstelle


Prinzipien der Datensynchronisation in SAP NW IdM

SAP HR / SAP ERPDatenhoheit

SAP Netweaver

Identity Management

Telefonbuch

Zielsysteme, bspw. MS Active Directory

Berechtigungen / Rollen

Vollständiger Name

Vorname

Nachname

Telefonnummer

Mobilnummer

Faxnummer


Displayname

Attribute 1

Attribute 2

Telefonnummer

Mobilnummer

Faxnummer


Vollständiger Name

Vorname

Nachname

Telefnonnummer

Mobilnummer

Faxnummer

GP Nummer: Unique ID GP Nummer: Unique ID

GP Nummer: Unique ID


Übernahme der Geschäftpartner aus SAP ERP (1)

Die Übernahme der Geschäftspartner

aus dem ERP wird über in

regelmäßigen Intervallen über einen

Standardreport gestartet.

Bei diesem Extrakt werden zunächst

lediglich die Geschäftpartnerdaten,

nicht aber die OM Daten an SAP NW

IdM weitergegeben.

Die Übergabe erfolgt über eine in der

SAP_APPL Komponente definierte

Standardschnittstelle durch Nutzung

des SAP PI ABAP Proxy Frameworks

und den von der SAP ausgelieferten

Standard ESR Content.



Durch die Replikation des Ministamms aus HR werden Geschäftspartner generiert.

Dieses werden bei der Übernahme automatisch den Organisationseinheiten im OM zugewiesen.

Somit ist im OM die Information vorhanden, welcher Geschäftspartner welcher Planstelle und somit welcher Organisationseinheit zugewiesen ist.

Außerdem wird durch die Relation Planstelle Orgeinheit auch die Information zu Leitungsfunktion im entsprechenden Verknüpfungstyp abgelegt.

Planstelle

Org Unit

MA

aus

HCM

GP



Extraktion der Geschäftspartnerdaten

über Standardreport:

ABA_BUSINESS_PARTNER_SEND

1

2

3


Übernahme der replizierten OM Daten aus SAP ERP

Aktivierung von Änderungszeigern zur regelmäßigen Übertragung von geänderten Infotypen.

Nutzung des Reports RHALEINI

Extraktion verschiedener Objekttypen Organisationseinheit

Planstelle

Personalbereich

Personalteilbereich

etc.

Übertragung von Attributen mit steuerndem Charakter

Bei BLANCO werden momentan die folgenden Daten aus dem OM übernommen:

OrgEinheit

Planstelle

Leitungsfunktion

Kostenstelle


Übernahme von OM Informationen und GP => Ergebnis


Modellierung der Daten im Identity Store

Datenmodell des Identity Stores ist erweiterbar

Objektklassen => ENTRY_TYPES

Attribute (Relevant für bestimmte ENTRY_TYPES)

Relationen können zwischen den ENTRY_TYPES aufgebaut und gepflegt werden. Dabei sind

sowohl 1:n als auch m:n Beziehungen möglich.

Die Datenhoheit von Attributen kann anhand so genannter Owner Repositories festgelegt

werden.

Erweitertes Datenmodell kann mit Hilfe von Standardfunktionalität in das Workflow

Portal mit aufgenommen werden.


Modellierung der Daten im Identity Store – Beispiel

Beispiel:

Verknüpfung von

Orgeinheit und

MS AD DN


Prozesssteuerung mit Hilfe von Daten aus dem

Organisationsmanagement

Genehmigung von Basisberechtigungen bei Eintritt und Organisationswechsel durch

den jeweiligen Vorgesetzten

Automatisierte Zuweisung von Grundberechtigungen durch Zugehörigkeit zu einer

bestimmten Organisationseinheit (Vererbbar durch gepflegte Hierarchie)

Einordnung des Mitarbeiters in die im Workflow UI festgelegte OU basierend auf der

Organisationseinheit

Zuweisung von Standortadressen auf Basis des Personalteilbereichs

…


Beispiel Prozesssteuerung: Genehmigung von Basisberechtigungen

Basisberechtigungen

Setzen durch

Genehmigungsschritt

bei Neuanlage oder

Orgwechsel


Beispiel Prozesssteuerung: Automatische Zuweisung von FachrollenVerwaltung von Berechtigungen basierend auf den OM Daten

Neben der Steuerung von Workflows mit Hilfe der OM Daten werden diese auch

genutzt, um teilweise automatisiert Fachrollen zuzuweisen.

Bspw. könnte eine Fachrolle für Führungskräfte zugewiesen werden aufgrund er

Tatsache, dass der Mitarbeiter eine Planstelle besetzt, die ihn als Leiter einer

Organisationseinheit ausweist.

Die automatische Zuweisung erfolgt im SAP NW IdM dabei über so genannte

Dynamische Gruppen. Diese Dynamischen Gruppen erlauben die Definition von

Regeln, wann eine mit der Dynamischen Gruppe verknüpfte Fachrolle einer Person

zugewiesen wird.


Schrittweise Migration der bestehenden Benutzerdaten (1)

Ziel der Migration

Vereinheitlichung der Benutzer ID in

unterschiedlichen Systemen

Schritte bei der Benutzermigration

Festlegung, ob die Benutzer für den

entsprechenden Mitarbeiter / Geschäftspartner

bereits existiert hat und somit migriert werden

muss.

Pflege von Attributen, die den Namen des

bisherigen Accounts pro Zielsystem zulassen.

Flag, das den Migrationsstatus pro Repository

repräsentiert

Flag, das den Start der Migration steuert


Schrittweise Migration der bestehenden Benutzerdaten (2)

Schritte bei der Benutzermigration - Fortsetzung

Durchführung der Migration für ein bestimmtes

Zielsystem, falls

Bisheriger Benutzername gepflegt

Flag für den Migrationsstatus = NICHT MIGRIERT

Flag für den Start der Migration = TRUE

Im MS Active Directory:

Umbenennung des sAMAccountName

Verschiebung in von der Organisationseinheit

abgeleitete OU

Übernahme der bisher zugewiesenen AD Gruppen

Im SAP Web AS ABAP

Umbenennung des Accounts

Übernahme der bisher zugwiesenen Einzel- und

Sammelrollen

Ihre Fragen?

Herzlichen Dank für Ihre Aufmerksamkeit

Werner Gassner ([email protected]), BLANCO IT Services

und

Loren Heilig ( [email protected] ), IBSolution GmbH


mailto:[email protected]

mailto:[email protected]

Documents

Identity und Access Management mit SAP NetWeaver IdM bei der BLANCO GmbH & Co. KG