ORG - Das Berechtigungsmanagement: Technische und fachliche Details

30.10.2013

FSP GmbH | Produktpräsentation

Kurzvorstellung FSP

Das Produkt ORG

Access Governance Suite

Live Demo

Diskussion

30.10.2013 ORG Produktpräsentation 2

Agenda


Unternehmenssitz: Köln

Seit 2002 erfolgreich am Markt

40 Mitarbeiter

Kurzvorstellung FSP

Business Consulting

• Access Governance Konzepte

• Prozessoptimierung

• Projekt-/ Testmanagement

IT Consulting & Development

• Softwareentwicklung

• IT-Security

• IT-Projekt- / Testmanagement


Kurzvorstellung FSP: Software & Consulting

Software

Kurzvorstellung FSP:Unsere Kunden


Kurzvorstellung FSP

Das Produkt ORG


Live Demo

Diskussion


Agenda


Berechtigungsmanagement:Herkömmliches Verfahren

Mitarbeiter

Neuzugang, Fluktuation,

Abteilungswechsel

Einzelsysteme häufig mit IndividualrechtevergabeZahlreiche System-Administratoren

SAP HR SAP-Rolle

RACF Gruppe

Eigene Systeme Gruppen / individuelle Rechte

Leben Bestand Individuelle Rechte

Partnersystem Individuelle Rechte

Notes/Outlook Gruppe

LDAP z.B. Gruppenzugehörigkeit

Datenbanken Indiv. / Rolle


Lösung: ORGZentrale, rollenbasierte Berechtigungsvergabe

Zentrale, schlanke AdministrationMitarbeiter

Neuzugang,

Abteilungswechsel

Fluktuation

Externe Person

Kunde

Interessent

…

Schnittstellen:

SPML-Systeme:- Novell Identity Manager

- IBM Tivoli Directory Integrator

- openSPML

Directory Systeme‐ Microsoft AD

‐ IBM Tivoli Directory Server

‐ openLDAP

- Novell eDirectory

- SUN one Directory Server

- …

Andere Systeme‐ SAP R3

‐ RACF

‐ INTERFLEX

APIs- Java (SE & EE)

- Windows / Unix (C)

- z/OS (Cobol, PL/1, C)

Benutzerrechte basieren auf:

- Rollen/Rechte-Modell

- Attributen

Automatische Rechteverteilung

auf die Systeme


ORG Architektur:Basis für die USPs


Model: Entitäten

Stelle

Mandant

Benutzer

Standort

Berechtigungen

Kompetenzschema

Kompetenz

Rollenmodell

Rolle

Rollengruppe

Rollenkonflikt

Organisations-

einheit

Aufbauorganisation


Model: Historisierung und Lebenszyklus

abgelaufen oder gelöscht

Objektstatus:

aktuell

Historisierung aller Änderungeneines Objekts oder einer Relation

zwischen Objekten inklusive des

Initiators und Zeitpunktes

Objektstatus:

historisiert

Keine physische

Löschung: Der Datensatz

wird als “gelöscht” markiert

ändern oder löschenZe

itabla

uf

anlegenObjektstatus:

zukünftig


SPML Webservice

Schnittstellen zu Genehmigungsworkflows:

• ORG Approve

• Lotus Notes

• SharePoint

• etc.

Schnittstelle zu übergeordneten Systemen:

• HR-Systeme (z.B. SAP HR, …)

• IDM-Systeme (z.B. IBM TIM, Novell IDM, …)

• etc.

• Selfservice

• Beantragbare Berechtigungen sind abhängig von eigener Rolle (z.B. „normaler“ Mitarbeiter kann keine Vorstandsberechtigungen beantragen)

• 4-Augenprinzip wird unterstützt (parallel und sequenziell)

• MaRisk AT 7.2 konform


Genehmigungsworkflow (mit ORG Approve)


Standard: RBAC


Model: Standardsoftware

Modellierung

• Benutzer und Rolle sind immer vorhanden

• Stelle, Rollengruppe und Organisationseinheit sind optional

Typische Verwendung

• Systeme mit eigener Ablage von Detailberechtigungen

• Das System muss z.B. Rollen oder Gruppen als Berechtigungsträger unterstützen

Beispiele

• LDAP-Directory (z.B. Active Directory)

• SAP

• RACF

Einzelrechte

Organisations

-einheit

Benutzer

Rolle oder Gruppe

Fremdsystem

Benutzer

Stelle

Rollengruppe

Rolle


ORG Connector: Architektur


ORG Connector: Attributabbildungen

Attributabbildungen sind frei konfigurierbar

Quelle in ORG können sein:Attribute des Benutzers

Werte aus einer Kompetenz des Benutzers zu einem beliebigen Kompetenzschema

Zusammengesetzte Werte über Bildungsregel


USP: FeingranularAttributbasiert, mehr als rollenbasiert


Model: Eigenentwicklungen

Modellierung

• Benutzer und Kompetenzschema sind immer vorhanden.

• Stelle, Rollengruppe, Rolle und Organisationseinheit sind optional.

• Kompetenzen können für Benutzer, Stellen oder Rollen definiert werden.

Typische Verwendung

• Eigenentwicklungen

• Systeme, in denen ein Exit zur Beschaffung von Berechtigungen vorgesehen ist.

Organisations-

einheit

Kompetenzschema

Benutzer

Stelle

Rollengruppe

Rolle

Kompetenz


ORG APIs: Zugriff auf die Laufzeitdatenbanken


Ablauflogik: Zugriff auf die Laufzeitdatenbanken

• Ablauflogik ist in allen APIs prinzipiell gleich

• Sinnvoll ist die Zusammenfassung aller fachlicher Berechtigungen einer Anwendung in einer

anwendungsspezifischen, fachlichen Berechtigungskapsel.

Auszahlung prüfen

Ergebnis (Ja oder Nein)

hasCompetence(userid,“VertragAuszahlen“,

“Leben“,“Betrag“)

Ergebnis (Ja oder Nein)

Datenbank-Abfrage

Fachliche

Berechtigungskapsel

istAuszahlungErlaubt(userid,betrag)

Anwendung

“Leben”ORG

API

Schnittstellen

SPML Systeme:

• Novell Identity Manager

• IBM Tivoli Directory Integrator

• openSPML

Directory Systeme:

• Microsoft Active Directory

• IBM Tivoli Directory Server

• openLDAP

• Novell eDirectory

• SUN one Directory Server

• ApacheDS

• RACF LDAP-Server

• andere Systeme

Weitere Connectoren:

• SAP

• RACF

• SharePoint

• INTERFLEX

APIs für folgende Plattformen:

• Java (SE & EE)

• Windows / Unix (C)

• z/OS (Cobol, PL/1, C)


• Single Point of Administration and Control

• Reduktion von Zeit, Kosten und Komplexität

• Historisierung / Revisionssicher

• Unterstützt RBAC / ABAC

• Integration in heterogene Systemlandschaft ist gesichert

• Informationen über Organisationsstruktur integrierbar

• Dezentrale und delegierte Administration (konfigurierbar)

• Mandantenfähig

• Hohe Performance und ausfallsicher

• Corporate Design integrierbar


Zusammenfassung


Agenda

Kurzvorstellung FSP

Das Produkt ORG


Live Demo

Diskussion




Agenda

Kurzvorstellung FSP

Das Produkt ORG


Live Demo

Diskussion


Live Demo

FSP GmbH

Consulting & IT-Services

Albin-Köbis Straße 8

D-51147 Cologne

Tel.: +49 (0) 2203 / 371 000 – 0

www.fsp-org.com

Documents

ORG - Das Berechtigungsmanagement: Technische und fachliche Details