Transcript
Page 1: Sappres Netweaver Identity Management

Bonn � Boston

Peter Gergen, Loren Heilig, Andreas Müller

SAP NetWeaver® Identity Management

1348.book Seite 3 Dienstag, 8. September 2009 9:32 09

Page 2: Sappres Netweaver Identity Management

Auf einen Blick

1 Einleitung ............................................................................ 17

2 Identity Management in Unternehmen .............................. 23

3 SAP NetWeaver Identity Management im Kontext von SAP NetWeaver ........................................ 65

4 SAP NetWeaver Identity Management im Überblick ........ 79

5 Tipps und Tricks im Identity-Management-Projekt ........... 119

6 Identity Management bei der Industrie GmbH .................. 145

7 Identity Management bei Mechatronic .............................. 197

8 Installation und Setup ........................................................ 249

9 Grundlegende Konzepte von SAP NetWeaver Identity Management ....................................................................... 265

10 Datenmodellierung ............................................................. 297

11 Modellierung von Provisionierungstasks ........................... 335

12 Frontend-Gestaltung des SAP NetWeaver IdM User Interfaces .................................................................... 373

13 Prozessmodellierung ........................................................... 391

14 SAP Provisioning Framework ............................................. 433

15 Weiterführende Integrationsthemen ................................. 491

16 Betrieb von SAP NetWeaver IdM ....................................... 545

17 Reporting ............................................................................ 577

18 Zusammenfassung und Ausblick ........................................ 599

A Weiterführende Literatur ................................................... 609

B Die Autoren ......................................................................... 619

1348.book Seite 5 Dienstag, 8. September 2009 9:32 09

Page 3: Sappres Netweaver Identity Management

7

Inhalt

1 Einleitung ............................................................................. 17

1.1 Überblick und Einordnung ....................................................... 181.2 Projektvorgehensmethoden und Fallbeispiele .......................... 201.3 Technische Details und Referenzen .......................................... 20

2 Identity Management in Unternehmen ............................... 23

2.1 Motivationen für die Einführung von Identity Management ..... 252.1.1 Gesetzeskonformität und Wirtschaftsprüfung .............. 252.1.2 Sicherheitsrisiken reduzieren ....................................... 272.1.3 Kostenreduktion durch Automatisierung und

Prozessoptimierung ..................................................... 302.2 Lifecycle einer Identität im Unternehmen ................................ 322.3 Sammelkonten und priorisierte Accounts ................................. 352.4 Vergabe von Systemberechtigungen ........................................ 372.5 Identity-Management-Lösungen .............................................. 41

2.5.1 Anforderungen an das Identity Management .............. 422.5.2 Leistungen einer Identity-Management-Lösung .......... 442.5.3 Abgrenzung des Identity Managements vom

Systemmanagement .................................................... 552.5.4 Organisatorische Integration von Identity

Management .............................................................. 552.6 Aspekte der Projektierung ....................................................... 56

2.6.1 Modelle der Herangehensweise .................................. 572.6.2 Fragestellungen in Bezug auf die Zielarchitektur .......... 592.6.3 Betriebskonzept .......................................................... 60

2.7 Zusammenfassung ................................................................... 64

3 SAP NetWeaver Identity Management im Kontext von SAP NetWeaver .................................................................... 65

3.1 Von der SAP-Basis zu SAP NetWeaver ..................................... 663.2 Verwaltung von Identitäten in SAP NetWeaver ........................ 693.3 SAP NetWeaver Application Server Java .................................. 693.4 User Management Engine ........................................................ 703.5 SAP NetWeaver Administrator ................................................. 713.6 SAP NetWeaver Portal ............................................................. 723.7 Zentrale Benutzerverwaltung ................................................... 74

1348.book Seite 7 Dienstag, 8. September 2009 9:32 09

Page 4: Sappres Netweaver Identity Management

Inhalt

8

3.8 SAP NetWeaver Process Integration ........................................ 743.8.1 System Landscape Directory ........................................ 753.8.2 Enterprise Services Repository ..................................... 763.8.3 Enterprise Services Directory ....................................... 76

3.9 SAP Human Capital Management ............................................ 763.9.1 Personalmanagement .................................................. 773.9.2 Organisationsmanagement .......................................... 77

4 SAP NetWeaver Identity Management im Überblick .......... 79

4.1 Historie ................................................................................... 794.2 Architektur .............................................................................. 82

4.2.1 Identity Center ............................................................ 834.2.2 SAP Virtual Directory Server ........................................ 894.2.3 Gesamtarchitektur – Identity Center und SAP VDS ...... 90

4.3 Daten- und Rollenmodell ........................................................ 914.3.1 Daten- und Rollenmodell im Identity Store ................. 934.3.2 Datenmodellierung und Workflows ............................. 974.3.3 Datenmodellierung und Reporting .............................. 98

4.4 Datensynchronisation und Provisioning ................................... 984.4.1 Prinzipien der Datensynchronisation ........................... 994.4.2 Quell- und Zielsysteme ............................................... 1004.4.3 Technische Adapter .................................................... 1014.4.4 Provisionierungslogik und Workflows .......................... 1034.4.5 Provisionierungscontent .............................................. 1054.4.6 Password Management ............................................... 106

4.5 Weitere Integrationsthemen .................................................... 1074.5.1 Business-Suite-Integration ........................................... 1084.5.2 Integration mit SAP BusinessObjects Access

Control ....................................................................... 1104.5.3 Middleware zum Austausch von Daten ....................... 1114.5.4 UI-Integration ............................................................. 113

4.6 Monitoring .............................................................................. 1144.7 Reporting ................................................................................ 116

5 Tipps und Tricks im Identity-Management-Projekt ............ 119

5.1 Organisatorische Fallstricke ..................................................... 1215.1.1 Vielzahl von Beteiligten und Betroffenen ..................... 1215.1.2 Zielkonflikte ................................................................ 1275.1.3 Persönliche Widerstände ............................................. 1295.1.4 Organisatorisch begründete Widerstände .................... 1315.1.5 Mangelnde organisatorische Reife ............................... 134

1348.book Seite 8 Dienstag, 8. September 2009 9:32 09

Page 5: Sappres Netweaver Identity Management

Inhalt

9

5.2 Komplexitätsrisiken ................................................................. 1355.2.1 Ungeklärte Begriffe ..................................................... 1355.2.2 Dynamisches Umfeld ................................................... 1365.2.3 Unklare Abgrenzung des Projektumfangs .................... 1405.2.4 Viele Schnittstellen ..................................................... 1415.2.5 Komplexe Prozesse ..................................................... 143

6 Identity Management bei der Industrie GmbH ................... 145

6.1 Ausgangssituation .................................................................... 1466.2 Systemlandschaft ..................................................................... 150

6.2.1 SAP-Umgebung .......................................................... 1516.2.2 Windows-Umgebung .................................................. 154

6.3 Anforderungen ........................................................................ 1556.3.1 Stammdaten ............................................................... 1556.3.2 Prozesse und Antragswesen ........................................ 1556.3.3 Berechtigungsverwaltung ............................................ 1566.3.4 Reporting .................................................................... 1576.3.5 Provisionierung ........................................................... 1576.3.6 Authentisierung/Single Sign-on ................................... 157

6.4 Herausforderungen .................................................................. 1586.5 Integriertes Projektvorgehen .................................................... 160

6.5.1 Roadmap und Phasenansatz ........................................ 1616.5.2 Kick-off-Workshop ...................................................... 1656.5.3 Installation einer zweistufigen Systemlandschaft ......... 1656.5.4 Detaillierung des Fachkonzepts ................................... 1676.5.5 Vorbetrachtung des Zielprozesses zur Anlage neuer

Identitäten .................................................................. 1676.5.6 Vorbereitende Maßnahmen zur

Datenkonsolidierung ................................................... 1686.5.7 Geplante Nutzung des Organisationsmanagements in

SAP HCM .................................................................... 1706.5.8 Erstellung der Feinkonzeption ..................................... 171

6.6 Umsetzung der Identity-Management-Lösung ......................... 1726.6.1 Phase 1: Aufbau einer konsistenten Datenbasis ........... 1726.6.2 Phase 2: Self-Services und Genehmigungsprozesse ...... 182

6.7 Zusammenfassung und Ausblick .............................................. 1916.7.1 Phase 3: Vollständige Integration der

Berechtigungsverwaltung ............................................ 1926.7.2 Phase 4: Integration von SAP BusinessObjects

Access Control ............................................................ 1946.8 Wertbetrachtung der Einführung von SAP NetWeaver IdM ...... 195

1348.book Seite 9 Dienstag, 8. September 2009 9:32 09

Page 6: Sappres Netweaver Identity Management

Inhalt

10

7 Identity Management bei Mechatronic ............................... 197

7.1 Entwicklung der IT bei Mechatronic ........................................ 1997.2 Projektinitiierung ..................................................................... 2047.3 Projektvorbereitungen ............................................................. 2077.4 Erste Schritte – Meilenstein 1.0 ............................................... 211

7.4.1 Konzeptionsphase ....................................................... 2117.4.2 Implementierungsphase .............................................. 2137.4.3 Stabilisierungsphase .................................................... 218

7.5 Weitere Integrationen – Meilenstein 2.0 .................................. 2197.5.1 Anforderungen der Fachbereiche nach Meilenstein 1.0 2207.5.2 Implementierung von Meilenstein 2.0 ......................... 2227.5.3 Stabilisierungsphase .................................................... 226

7.6 Zwischenphase – Meilenstein 2.1 ............................................ 2277.6.1 Erfassung der Folgeanforderungen .............................. 2287.6.2 Implementierung von Meilenstein 2.1 ......................... 2307.6.3 Stabilisierung .............................................................. 234

7.7 Zwischenphase – Meilenstein 2.2 ............................................ 2367.7.1 Implementierung von Meilenstein 2.2 ......................... 2387.7.2 Stabilisierungsphase .................................................... 243

7.8 Projektende mit Meilenstein 3 ................................................. 2447.9 Lessons Learned ...................................................................... 246

8 Installation und Setup ......................................................... 249

8.1 Vorbereitungen ....................................................................... 2498.1.1 Planung der Systemumgebung .................................... 2498.1.2 Bereitstellung des AS Java ........................................... 2518.1.3 Bereitstellung der IC-Datenbank ................................. 251

8.2 Installation .............................................................................. 2528.2.1 Installation der IC-Datenbank ..................................... 2538.2.2 Installation der IC Runtime ......................................... 2558.2.3 Installation der IC Console .......................................... 2568.2.4 Installation des SAP NetWeaver Identity

Management User Interfaces ....................................... 2578.2.5 Installation des SAP Virtual Directory Servers .............. 258

8.3 Einrichtung und Bereitstellung ................................................. 2608.3.1 Einrichtung der Identity-Center-Konfiguration ............ 2608.3.2 Einrichtung von Dispatcher und Event Agent

Service ........................................................................ 2618.3.3 Bereitstellung des SAP NetWeaver Identity

Management UIs in SAP NetWeaver Portal ................. 262

1348.book Seite 10 Dienstag, 8. September 2009 9:32 09

Page 7: Sappres Netweaver Identity Management

Inhalt

11

9 Grundlegende Konzepte von SAP NetWeaver Identity Management ........................................................................ 265

9.1 Datenhaltung .......................................................................... 2659.1.1 Datenmodell des Identity Centers ............................... 2669.1.2 Globale Konfiguration: Repositorys, Konstanten und

Variablen .................................................................... 2739.2 Rollen und Berechtigungen ...................................................... 275

9.2.1 Berechtigungen im Identity Center .............................. 2759.2.2 Rollen ......................................................................... 2779.2.3 Aufbau von Rollenhierarchien ..................................... 2819.2.4 Änderung von Rollen oder Rollenhierarchien .............. 283

9.3 Regelbasierte Rollenzuweisung ................................................ 2839.4 Tasks und Prozesse .................................................................. 286

9.4.1 Passes ......................................................................... 2899.4.2 Scripting ..................................................................... 2929.4.3 Jobs ............................................................................ 2929.4.4 Tasks ........................................................................... 2939.4.5 Scheduling von Standardjobs ...................................... 296

10 Datenmodellierung ............................................................... 297

10.1 Standard-Schema ..................................................................... 29710.1.1 Allgemein verwendete Attribute ................................. 29810.1.2 Entry Type »MX_PERSON« .......................................... 30210.1.3 Entry Type »MX_PRIVILEGE« ...................................... 30510.1.4 Entry Type »MX_ROLE« .............................................. 30810.1.5 Entry Type »MX_DYNAMIC_GROUP« ......................... 31110.1.6 Entry Type »MX_PENDING_VALUE« ........................... 31210.1.7 Entry Type »MX_REPORT« .......................................... 313

10.2 Erweiterung des Datenmodells ................................................ 31310.2.1 Datenmodellierung für SAP NetWeaver IdM ............... 31410.2.2 Definition neuer Attribute ........................................... 31710.2.3 Definition neuer Entry Types ....................................... 32210.2.4 Attributdefinitionen anpassen ..................................... 32410.2.5 Tipps zur Datenmodellierung ...................................... 325

10.3 Tabellen in der IC-Datenbank .................................................. 32610.3.1 Repräsentation von Nutzdaten und

Systemkonfiguration ................................................... 32710.3.2 Tabellen für Laufzeitinformationen .............................. 33010.3.3 Besonderheiten für das Reporting ............................... 332

1348.book Seite 11 Dienstag, 8. September 2009 9:32 09

Page 8: Sappres Netweaver Identity Management

Inhalt

12

11 Modellierung von Provisionierungstasks ............................ 335

11.1 Pass-Konfiguration ................................................................... 33511.1.1 Vorlagen und Platzhalter ............................................. 33811.1.2 Repositorys, Variablen und Konstanten ....................... 33911.1.3 Source konfigurieren ................................................... 34011.1.4 Destination konfigurieren ............................................ 34011.1.5 ToIdentityStore-Pass ................................................... 34511.1.6 Ablauf einer Jobausführung ......................................... 34711.1.7 Einsatz von Skripten .................................................... 34811.1.8 ToGeneric-Pass ........................................................... 353

11.2 Jobkonfiguration ...................................................................... 35611.2.1 Einstellungen .............................................................. 35611.2.2 Ergebnisbehandlung .................................................... 358

11.3 Task-Konfiguration .................................................................. 35911.3.1 Ablaufsteuerung .......................................................... 36011.3.2 Ergebnisbehandlung .................................................... 36111.3.3 Repository .................................................................. 362

11.4 Fehlerbehandlung und Ausfallsicherheit ................................... 36311.4.1 Wiederholungen von Tasks ......................................... 36511.4.2 Fehlerskripte ............................................................... 36511.4.3 Tasks bei Fehlern aufrufen ........................................... 367

11.5 Ausgewählte eingebaute Funktionen für Skripte ...................... 36711.5.1 Informationen über die Laufzeitumgebung

ermitteln ..................................................................... 36811.5.2 Zugriff auf Entrys im Identity Store .............................. 36811.5.3 Steuerung der Jobausführung ...................................... 37011.5.4 Hilfsfunktionen ........................................................... 37011.5.5 Zugriff auf Konstanten und Variablen .......................... 372

12 Frontend-Gestaltung des SAP NetWeaver IdM User Interfaces ..................................................................... 373

12.1 Konfiguration im Frontend ...................................................... 37312.1.1 Generelle Konfiguration von Task Groups .................... 37412.1.2 Direkter Aufruf von Task Groups und Approval

Tasks ........................................................................... 37812.2 Anordnung von Attributen und Elementen .............................. 37912.3 Darstellung von Werten ........................................................... 38212.4 Zugriffssteuerung ..................................................................... 387

12.4.1 Zugreifende Identität festlegen .................................... 38712.4.2 Zugriff auf Identitäten festlegen .................................. 389

1348.book Seite 12 Dienstag, 8. September 2009 9:32 09

Page 9: Sappres Netweaver Identity Management

Inhalt

13

13 Prozessmodellierung ............................................................ 391

13.1 Modellierung von Provisionierungsprozessen ........................... 39113.1.1 Gruppieren von Provisionierungstasks ......................... 39213.1.2 Verzweigungen ........................................................... 39613.1.3 Genehmigungsschritte in Prozesse einfügen ................ 40113.1.4 Member Events ........................................................... 40713.1.5 Starten von (Sub-)Prozessen ........................................ 412

13.2 Modellierung von Batch-Prozessen .......................................... 41513.2.1 Importprozesse ........................................................... 41613.2.2 Exportprozesse ............................................................ 42313.2.3 Zeitabhängige Prozesse ............................................... 42413.2.4 Scheduling .................................................................. 42513.2.5 Delta-Mechanismus .................................................... 428

14 SAP Provisioning Framework ............................................... 433

14.1 Überblick über das SAP Provisioning Framework ..................... 43414.1.1 Bestandteile des SAP Provisioning Frameworks ........... 43414.1.2 SAP Provisioning Framework in den Projektphasen ..... 436

14.2 Importprozesse ........................................................................ 43714.2.1 Importprozesse erstellen ............................................. 43714.2.2 Übersicht der Templates für Importjobs ...................... 44014.2.3 Aufbau und Funktionsweise von Initial Load

Templates ................................................................... 44214.2.4 Aufbau und Funktionsweise von Update Templates .... 45214.2.5 Datenkonsolidierung mit Importprozessen .................. 45514.2.6 Weitere Standardjob-Templates .................................. 460

14.3 Provisionierungsprozesse ......................................................... 46214.3.1 Konfiguration der Provsionierungsprozesse ................. 46214.3.2 Ablauf von Provisionierungsprozessen ......................... 46314.3.3 Task-Struktur des SAP Provisioning Frameworks .......... 46614.3.4 Rule-Based Provisioning mit dem SAP Provisioning

Framework .................................................................. 46814.3.5 Provisionierung in die Zielsysteme ............................... 47314.3.6 Vordefinierte Frontend-Masken .................................. 48214.3.7 Erweitern der Provisionierungsprozesse ....................... 484

15 Weiterführende Integrationsthemen ................................... 491

15.1 Typische Anwendungsfälle für die Anbindung von Systemen ... 49215.1.1 SAP HCM-Integration ................................................. 494

1348.book Seite 13 Dienstag, 8. September 2009 9:32 09

Page 10: Sappres Netweaver Identity Management

Inhalt

14

15.1.2 SAP NetWeaver Portal-Umgebung .............................. 49515.1.3 Erweiterte SAP Business Suite-Integration ................... 496

15.2 Stammdatenverteilung und Synchronisation ............................ 49715.2.1 SAP HCM-Standardintegration .................................... 49715.2.2 Erweiterte SAP Business Suite-Integration ................... 50715.2.3 Nutzung von SAP NetWeaver Process Integration ....... 511

15.3 SAP Virtual Directory Server und Identity Services ................... 51415.3.1 Standardprotokolle und Identity Services .................... 51415.3.2 Konfiguration und Deployment ................................... 51615.3.3 Identity Services – Beispiele ........................................ 521

15.4 SAP BusinessObjects GRC-Integration ...................................... 52415.4.1 Überblick über die GRC-Produkte der SAP .................. 52415.4.2 Compliance-Phasen des

Berechtigungsmanagements ........................................ 52815.4.3 Compliant Identity Management ................................. 53215.4.4 Kommunikation zwischen den Komponenten ............. 53615.4.5 Compliant Identity Management – Konfiguration der

Komponenten ............................................................. 540

16 Betrieb von SAP NetWeaver IdM ........................................ 545

16.1 Infrastruktur ............................................................................ 54516.1.1 Sizing und Hochverfügbarkeit ...................................... 54516.1.2 Sicherheit .................................................................... 55116.1.3 Upgrades .................................................................... 553

16.2 Transportwesen ....................................................................... 55416.2.1 Transport der IC-Datenbank ........................................ 55416.2.2 Transport der Identity-Center-Konfiguration ............... 55616.2.3 Transport der SAP Virtual Directory Server-

Konfiguration .............................................................. 56016.3 Monitoring .............................................................................. 562

16.3.1 Jobprotokoll ................................................................ 56216.3.2 Systemprotokoll und Trace-Protokoll .......................... 56616.3.3 Genehmigungswarteschlange, Provisionierungs-

warteschlange und Provisionierungsaudit .................... 56816.3.4 Historie von Einträgen ................................................. 57116.3.5 Monitoring des SAP Virtual Directory Servers .............. 573

17 Reporting .............................................................................. 577

17.1 Report Samples ....................................................................... 57817.1.1 Entry Report ............................................................... 578

1348.book Seite 14 Dienstag, 8. September 2009 9:32 09

Page 11: Sappres Netweaver Identity Management

Inhalt

15

17.1.2 Line Manager Report .................................................. 58017.1.3 Privilege Report .......................................................... 58117.1.4 Role Report ................................................................ 582

17.2 Setup der Reporting-Funktionalität .......................................... 58317.2.1 Installation und Konfiguration der Runtime Library ..... 58317.2.2 Erstellen eines Report Tasks im Identity Center ........... 58417.2.3 Anfordern von Reports im IdM UI ............................... 58817.2.4 Anzeigen von Reports ................................................. 589

17.3 Eigene Reports erstellen .......................................................... 59117.3.1 Corporate Identity Report ........................................... 59217.3.2 Conditional Format Report .......................................... 59417.3.3 Data Transformation Report ........................................ 59617.3.4 Query Report .............................................................. 598

18 Zusammenfassung und Ausblick .......................................... 599

18.1 Aktueller Stand ........................................................................ 59918.1.1 Identity Center ............................................................ 60018.1.2 SAP Virtual Directory Server ........................................ 60018.1.3 SAP NetWeaver IdM User Interface ............................ 60118.1.4 SAP NetWeaver IdM und SAP BusinessObjects

Access Control ............................................................ 60118.1.5 SAP NetWeaver IdM und SAP BusinessObjects

Crystal Reports ............................................................ 60218.1.6 Verfügbare Konnektoren im Identity Center ................ 60218.1.7 SAP NetWeaver IdM und SAP HCM ............................ 603

18.2 Ausblick und »Wunschliste« für zukünftige Produktversionen .................................................................... 60318.2.1 Integration in den SAP Solution Manager .................... 60318.2.2 Verschmelzung mit SAP BusinessObjects Access

Control ....................................................................... 60418.2.3 SAP NetWeaver Composition Environment und

Business Process Management .................................... 60418.2.4 Vorgefertigtes, sofort einsatzbereites Berichtswesen .... 605

18.3 Organisatorische Herausforderungen ....................................... 60518.3.1 Schaffung der organisatorischen Akzeptanz von

SAP NetWeaver IdM ................................................... 60518.3.2 Etablierung eines durchgängigen und aktuellen

Fachrollenmodells ....................................................... 60618.4 Schluss .................................................................................... 606

1348.book Seite 15 Dienstag, 8. September 2009 9:32 09

Page 12: Sappres Netweaver Identity Management

Inhalt

16

Anhang ................................................................................. 607

A Weiterführende Literatur .................................................................... 609A.1 Bücher und Artikel ................................................................... 609A.2 Onlinequellen nach Kapiteln .................................................... 610

B Die Autoren ....................................................................................... 619

Index ......................................................................................................... 623

1348.book Seite 16 Dienstag, 8. September 2009 9:32 09

Page 13: Sappres Netweaver Identity Management

79

SAP NetWeaver IdM ist zentraler Bestandteil der SAP NetWeaver-Plattform. Es wird zur Verwaltung von Identitäten und deren Berech-tigungen in SAP- sowie Nicht-SAP-Systemlandschaften verwendet. Die-ses Kapitel gibt einen Überblick über die zugrundeliegende Architektur von SAP NetWeaver IdM sowie die damit verbundenen Konzepte und Funktionalitäten.

4 SAP NetWeaver Identity Management im Überblick

Dieses Kapitel vermittelt einen Überblick über die Funktionen, Komponenten undBesonderheiten von SAP NetWeaver Identity Management (SAP NetWeaver IdM)und ist damit in erster Linie an Architekten und Projektleiter gerichtet. Es eignetsich aber auch grundsätzlich zum Einstieg, um einen ersten Überblick über die Ein-satzmöglichkeiten dieser Komponente zu bekommen. Um die Hintergründe fürdie Integration einer Identity-Management-Lösung in das SAP NetWeaver-Portfo-lio näher zu beleuchten, gehen wir zunächst kurz auf die Historie der Benutzer-verwaltung in SAP-Umgebungen ein. Anschließend werden die Systemkompo-nenten im Rahmen der SAP NetWeaver IdM-Architektur beschrieben undgrundlegende Konzepte der Datenmodellierung in Verbindung mit dem Standard-datenmodell betrachtet, um dann wiederum im Rahmen der Datensynchronisa-tion und Provisionierung auf die Verfügbarkeit und Funktionsweise mitgelieferterAdapter einzugehen. Alle in diesem Kapitel aufgegriffenen Aspekte werden imtechnischen Teil des Buches, beginnend mit der Installation in Kapitel 8, detail-lierter beschrieben.

4.1 Historie

Mit der Zentralen Benutzerverwaltung (ZBV) steht in SAP-Landschaften bereits seitdem R/3-Release 4.5B bzw. 4.6C ein Werkzeug zur Verfügung, mit dem eine zen-trale Verwaltung von Benutzer- und damit verbundenen Berechtigungsinformati-onen in einer SAP-ABAP-Landschaft möglich ist. Die ZBV nutzt dabei die zur Daten-verteilung mithilfe von IDocs vorhandenen ALE-Mechanismen. Mithilfe von ALEkönnen Benutzerdaten sowie deren zugewiesene Berechtigungsrollen in dafür

1348.book Seite 79 Dienstag, 8. September 2009 9:32 09

Page 14: Sappres Netweaver Identity Management

80

SAP NetWeaver Identity Management im Überblick4

definierten Nachrichtentypen an die angebundenen ZBV-Tochtersysteme übertra-gen und – je nach den Customizing-Einstellungen – kann ein Rückfluss von lokalgepflegten Attributen aus den Tochtersystemen ermöglicht werden.

Die Nutzung der ALE-Technologie hat neben einigen Vorteilen allerdings aucheinen zentralen Nachteil: Der Mechanismus ist grundsätzlich Systemen vorbehal-ten, die in der Lage sind, über entsprechende ALE-Verteilungsmodelle Daten aus-zutauschen. Somit ist eine Nutzung der ZBV zur Verwaltung von Benutzer- undBerechtigungsinformationen in ihrem vollen Funktionsumfang auf den AS ABAPbeschränkt, sofern nicht weitere R/3-Basisfunktionalitäten wie beispielsweise derLDAP-Adapter genutzt werden. In Abhängigkeit von der Konfiguration eines ASJava-Systems können auch dessen Berechtigungen durch die ZBV verwaltet wer-den. Allerdings sind hierfür manuelle Zusatzarbeiten notwendig, um die Berech-tigungsobjekte des Java-Systems mit den im angebundenen ABAP-User-Store ver-fügbaren Rollen zu verknüpfen. Neben den technischen Restriktionen bei derVerwaltung unterschiedlicher Zielsystemtypen legt die ZBV außerdem den Fokusauf die in der ABAP-Benutzerpflege (Transaktion SU01 � Benutzerpflege � Ein-

stieg) pflegbaren Attribute und Daten und unterstützt dabei keinerlei Prozesssteu-erung zur Beantragung und/oder Genehmigung von Berechtigungsoperationen.

Betrachtet man das Thema Identity Management im Kontext einer zunächst sys-temunabhängigen zentralen Verwaltung von Identitäts- und Zugriffsdaten (sieheKapitel 2), ist der Schritt der SAP nur konsequent, ein Werkzeug zu entwickeln,das eine historisch gewachsene und heterogene Systemlandschaft, bestehend ausSAP-Systemen, Verzeichnisdiensten, Windows-Anwendungen sowie Datenbank-anwendungen und sonstigen Eigenentwicklungen mit Identitäts- und Berechti-gungsinformationen versorgen kann. Bis zu diesem Zeitpunkt gab es für SAP-Kun-den, die ihre Identitäten zentral verwalten wollten, letztlich nur zwei Alternativen:entweder ein Third-Party-Tool1 für die Verwaltung der kompletten Systemumge-bung einzusetzen oder die ZBV für die SAP-Umgebung zu nutzen und für die rest-lichen Systeme ein anderes Werkzeug zu integrieren.

Die Erweiterung des SAP NetWeaver-Portfolios durch ein Identity-Management-Werkzeug für heterogene System- und Anwendungslandschaften wurde mit derAkquisition von MaxWare in die Tat umgesetzt – mit dem Anspruch, weiterhindie komplexer werdende SAP-Umgebung hinsichtlich Identitätsdaten verwaltenund zusätzlich auch Nicht-SAP-Systeme an dieselbe zentrale Identity-Manage-ment-Infrastruktur anbinden zu können.

1 Perkins, Earl; Carpenter, Perry: Magic Quadrant for User Provisioning. Gartner RAS CoreResearch Note G00159740. http://mediaproducts.gartner.com/reprints/novell/159740.html(1.06.2009)

1348.book Seite 80 Dienstag, 8. September 2009 9:32 09

Page 15: Sappres Netweaver Identity Management

81

Historie 4.1

Die Computerwoche schrieb am 14. Mai 2007: »Identity-Management-Systeme die-nen in komplexen Applikationsumgebungen dazu, Benutzer- und Zugriffsrechteübergreifend zu verwalten. Einerseits senkt dies die Verwaltungskosten, anderer-seits erhöht es die Sicherheit. Da in serviceorientierten Umgebungen eine Vielzahlunterschiedlicher Softwarekomponenten, Unternehmen (Lieferanten, Kunden undPartner) sowie Endanwender miteinander interagieren, steigt dort der Bedarf anIdentity-Management.«2 SAP NetWeaver IdM nimmt damit in Zukunft mit einemerweiterten Funktionsumfang durch Genehmigungsworkflows, Reporting-Funkti-onalität, die Nutzung komplexer Rollenmodelle und Regelwerke zur Automatisie-rung der Berechtigungsverwaltung sowie zusätzlicher Adapter für die Anbindungweiterer Anwendungen die Position der ZBV ein. Die von SAP NetWeaver IdMbereitgestellten Funktionalitäten lassen sich wie folgt zusammenfassen:

� MetaverzeichnisSynchronisation, Konsolidierung und zentrale Datenhaltung der zu verwalten-den Identitätsdaten in einem auf einer relationalen Datenbank basierenden Me-taverzeichnis, dessen Datenmodell flexibel erweitert werden kann.

� ProzesssteuerungAufbau komplexer Workflows zur Verwaltung der Identitätsdaten und Bean-tragung von Berechtigungen mit Workflow-Mechanismen wie beispielsweiseder Umsetzung mehrstufiger Genehmigungsstrategien auf Basis paralleler undsequenzieller Verarbeitung von Anträgen durch Budgetverantwortliche, Vor-gesetzte, Daten- oder Systemverantwortliche inklusive der dynamischen Ermitt-lung von Prozessbeteiligten sowie der Konfiguration von Eskalations- und Be-nachrichtigungsmechanismen. SAP NetWeaver IdM erlaubt zusätzlich sowohldie Nutzung von Self-Services als auch die Möglichkeit delegierter Administra-tionsaufgaben in Abhängigkeit von Organisation, Zuständigkeit oder anderengepflegten Attributen.

� Automatisierte und regelbasierte ProvisionierungAuf Regelwerken basierende Anlage, Modifikation und Sperrung/Löschungvon Benutzern in den angebundenen und verwalteten Systemen. Durch die Ab-bildung hierarchischer Rollenmodelle ist sowohl eine explizite (direkte) alsauch eine implizite (vererbbare) Zuweisung von Berechtigungen unter Berück-sichtigung von gepflegten SoD-Konflikten (Segregation of Duties) durch SAPNetWeaver IdM möglich.

� Password ManagementZentrale Verwaltung und Provisionierung von Passwörtern in SAP NetWeaverIdM inklusive der Abbildung von Szenarien zur Passwortrücksetzung.

2 Niemann, Frank: Update: SAP füllt mit MaxWare eine lange klaffende Lücke in NetWeaver.http://www.computerwoche.de/knowledge_center/enterprise_resource_planning/592733/(14.05.2007)

1348.book Seite 81 Dienstag, 8. September 2009 9:32 09

Page 16: Sappres Netweaver Identity Management

82

SAP NetWeaver Identity Management im Überblick4

� Reporting und AuditErzeugung von Berichten auf den aktuellen und den historischen Datenbestandmithilfe von SAP BusinessObjects Crystal Reports.

Die Abschnitte dieses Kapitels beschreiben die Architektur, die zentralen Kompo-nenten sowie die Hauptfunktionalitäten und Prinzipien von SAP NetWeaver IdM.Ziel ist es, einen grundsätzlichen Überblick zu geben und die wichtigsten Begriffeund Möglichkeiten in den Bereichen Datenmodellierung inklusive Rollenmodel-len (siehe Kapitel 10) und Workflow-Steuerung (siehe Kapitel 13), Provisionierung(siehe Kapitel 11 und Kapitel 14), Monitoring (siehe Kapitel 16) und Reporting(siehe Kapitel 17) einführend zu erläutern.

4.2 Architektur

SAP NetWeaver IdM besteht aus zwei zunächst unabhängigen Komponenten: demIdentity Center (IC) und dem SAP Virtual Directory Server (SAP VDS). Das IdentityCenter bildet mit seinem Datenmodell auf Basis einer relationalen Datenbank, dasmithilfe der Administrationskonsole ohne Programmieraufwand erweitert wer-den kann, das »Herzstück« des eigentlichen Identity-Management-Systems undstellt somit die im letzten Abschnitt beschriebenen grundlegenden Funktionalitä-ten zur Verfügung. Die Verwendung einer relationalen Datenbank bietet dabei,verglichen mit einem reinen Verzeichnisdienst, zusätzlich den Vorteil der trans-aktionalen Sicherheit. Während in einem Verzeichnisdienst immer die aktuelleRepräsentation eines Objekts in Form einer flachen Liste von Attributen abgelegtwird, erlaubt die Nutzung einer relationalen Datenbank außerdem die Speiche-rung historischer Werte sowie die Verknüpfung weiterer Daten beispielsweise zuReporting-Zwecken.

Der SAP Virtual Directory Server hingegen stellt die Funktionalität für den zentra-len und virtualisierten Echtzeitzugriff auf mehrere Datenquellen im Sinne einerMiddleware mit speziellen Transformationsfunktionen – wie beispielsweise derTransformation von Attributwerten oder der Anreicherung aus anderen Daten-quellen zum Zeitpunkt der Abfrage – und der Unterstützung bestimmter, im IdM-Umfeld gängiger Protokolle wie LDAP oder SPML3 (Service Provisioning MarkupLanguage) zur Verfügung. Dies gilt sowohl für den Zugriff auf externe Datenquel-len (aus Sicht des Identity Centers) als auch für den Zugriff auf die im Identity Cen-

3 SPML ist ein offener Standard für die Integration und Übermittlung von Service-Provisio-nierungsanfragen. SPML Version 1.0 wurde im Oktober 2003 von OASIS (Organization forthe Advancement of Structured Information Standards) als Standard freigegeben. Aktuelle In-formationen finden Sie unter http://www.oasis-open.org/specs/index.php#spmlv2.0 (Stand: Au-gust 2009).

1348.book Seite 82 Dienstag, 8. September 2009 9:32 09

Page 17: Sappres Netweaver Identity Management

83

Architektur 4.2

ter verwalteten Identitätsdaten (für Beispiele relevanter Anwendungsfälle sieheAbschnitt 4.2.2).

4.2.1 Identity Center

Das Identity Center lässt sich in drei Ebenen (siehe Abbildung 4.1) unterteilen:

� UI-Komponenten

� Datenbank und Identity Store(s)

� Laufzeitkomponenten (IC Runtime)

In den folgenden Abschnitten werden die oben dargestellten Bestandteile desIdentity Centers näher erläutert. Eine vierte Ebene bilden die Quell- und Zielsys-teme, auf die wir in Abschnitt 4.4 eingehen werden.

Abbildung 4.1 Bestandteile des Identity Centers

In Bezug auf die UI-Komponenten besteht das Identity Center (IC) aus zwei Teilen:dem SAP NetWeaver IdM UI, das auf dem Java-basierten Teil des AS Java instal-liert wird4, und der Administrationskonsole (IC Console) für Entwicklungs- sowie

4 Die unterstützten Versionen können Sie – wie auch für andere SAP NetWeaver-Komponen-ten – der Product Availability Matrix (PAM) unter http://service.sap.com/pam entnehmen(Stand: August 2009).

UI-Komponenten (1)

Microsoft Management Console (MMC) SAP NetWeaver Application Server Java

Überwachung/Workflow und End-User-InterfaceAdministrator Console

IC-Datenbank (2)

IC Runtime (3)

Quell- und Zielsysteme (4)

SAP NetWeaverABAP

SAP NetWeaverJava

Verzeichnis-dienste Datenbanken

SonstigeNicht-SAP

EventAgent(s)

(De-)ZentraleDispatcher

1348.book Seite 83 Dienstag, 8. September 2009 9:32 09

Page 18: Sappres Netweaver Identity Management

84

SAP NetWeaver Identity Management im Überblick4

Konfigurations- und Customizing-Arbeiten, die mithilfe eines Plug-ins in der Mi-crosoft Management Console (MMC) zur Verfügung gestellt wird.

Auf dem SAP NetWeaver AS werden neben dem Monitoring-Interface die Kom-ponenten für den Zugriff auf das zentrale End-User-Interface und die damit ver-fügbaren Workflow-Masken bereitgestellt. Die Benutzerverwaltung eines ange-bundenen AS Java (UME) zur Bereitstellung der UI-Komponenten enthält dieBenutzer, die später Zugriff auf Identity-Management-Inhalte in Form von Em-ployee- oder Manager-Self-Services haben sollen. Dabei gelten bei der UME-Konfi-guration keine Einschränkungen bezüglich nutzbarer Authentisierungsquellen. Inallen Fällen gilt, dass das Identity Center für die Anlage, Änderung und Verteilungder Benutzer in dem entsprechenden User Store sorgt und somit den verwaltetenIdentitäten einen Zugang zum IdM UI zur Änderung persönlicher Daten oderBeantragung von Zugriffsrechten bzw. sonstigen Ressourcen gestattet.

Die Web-Dynpro-Komponenten für die Workflow-Masken werden zumeist aufeiner bestehenden SAP NetWeaver-Portal-Landschaft aktiviert. Ein zentralesUnternehmensportal stellt in vielen Unternehmen bereits heute den Einstieg inzahlreiche Applikationen dar, beispielsweise Anwendungen aus dem Personalbe-reich wie das Zeit- und Reisemanagement, eine Vielzahl von Reporting- und Pla-nungsanwendungen oder Kollaborationswerkzeuge. Steht kein solches Unterneh-mensportal auf SAP NetWeaver-Basis zur Verfügung, kann das SAP NetWeaverIdM UI auf einem eigenen AS Java-System als Bestandteil des SAP NetWeaver IdM-Systems installiert werden. In beiden Fällen gilt, dass im UI keinerlei Programm-bzw. Provisionierungslogik abläuft und somit auch keine Beeinträchtigung des ver-wendeten AS Java – mit Ausnahme der eventuell steigenden Benutzerzahl – zuerwarten ist. Abbildung 4.2 zeigt die Sicht auf das SAP NetWeaver IdM UI in derVersion 7.1.

Abbildung 4.2 End-User-Interface – Self-Services

1348.book Seite 84 Dienstag, 8. September 2009 9:32 09

Page 19: Sappres Netweaver Identity Management

85

Architektur 4.2

Das UI teilt sich in fünf Bereiche, die in Abhängigkeit von der SAP NetWeaverIdM-Rolle der angemeldeten Benutzer sichtbar sind (siehe auch Kapitel 12):

� Self-Services

� Zu erledigen

� Verwalten

� Historie

� Überwachung

Die Registerkarte Self-Services enthält eine Liste von Links, mit denen der ange-meldete Benutzer beispielsweise Berechtigungen für sich anfordern oder den Teilseiner eigenen Daten ändern kann, der für die direkte Änderung im Rahmen desentsprechenden Self-Services freigegeben ist. Alle Aktionen betreffen immer sei-nen eigenen Benutzerstammsatz. Diese Registerkarte ist für jeden Benutzer sicht-bar, der im Identity Store erfasst und als aktiv gekennzeichnet ist.

Die Registerkarte Zu erledigen (Abbildung 4.3) stellt den Arbeitsvorrat im Hin-blick auf anstehende Aktivitäten, wie die Genehmigung von Anträgen oder dieErfassung zusätzlicher Daten, des angemeldeten Benutzers im Identity Center dar.Eine Integration in die Universal Worklist (UWL) in SAP NetWeaver Portal ist mög-lich (für weiterführende Informationen siehe Literaturverzeichnis).

Abbildung 4.3 End-User-Interface – Arbeitsvorrat

Die Registerkarte Verwalten (Abbildung 4.4) bietet die Möglichkeit, delegierteAufgaben durchzuführen, also beispielsweise die Daten von anderen Personen zuändern oder als Vorgesetzter Berechtigungen für die eigenen Mitarbeiter zu bean-tragen. Die Registerkarten Historie und Überwachung sind technischer Naturund bleiben im Normalfall berechtigten Administratoren vorbehalten. In der His-torie werden abgearbeitete Genehmigungsaufgaben angezeigt (Abbildung 4.5).

1348.book Seite 85 Dienstag, 8. September 2009 9:32 09

Page 20: Sappres Netweaver Identity Management

86

SAP NetWeaver Identity Management im Überblick4

Abbildung 4.4 End-User-Interface – Verwalten

Abbildung 4.5 End-User-Interface – Historie

Die Informationen auf der Registerkarte Überwachung gestatten sowohl Einblickin Job- und Systemlog als auch eine Sicht auf die Warteschlange für Genehmi-gungsaufgaben und Provisionierungstasks (siehe Abbildung 4.6).

Mit der eingangs erwähnten IC Console kommt der Endanwender und Prozess-beteiligte nicht in Berührung. Sie ist somit Entwicklern und Systemadministrato-ren vorbehalten. Die IC Console spielt vor allem bei der Implementierung unddem Betrieb der SAP NetWeaver IdM-Lösung eine zentrale Rolle. Details zu ihrerNutzung sind deshalb auch ab Kapitel 8 zu finden. Über die IC Console wird derBereich der Datenbank gepflegt, der die Entwicklungs- und Customizing-Einstel-lungen enthält.

1348.book Seite 86 Dienstag, 8. September 2009 9:32 09

Page 21: Sappres Netweaver Identity Management

87

Architektur 4.2

Hier werden u. a. folgende Informationen gespeichert:

� Datenmodellbeschreibungen (siehe Kapitel 10)

� Konfigurationsdaten von angebundenen Systemen (siehe Abschnitte 4.4.2 und9.1.2)

� Konfiguration für Workflow-Abläufe (siehe Kapitel 13)

� Einstellungen für Masken (siehe Kapitel 12)

� Regeln zu Datensynchronisation und -transformation sowie zu zeitgesteuertenLadevorgängen und Skripten (siehe Kapitel 11)

Abbildung 4.6 End-User-Interface – Überwachung

Neben den Customizing-Einstellungen bilden die konfigurierbaren IdentityStore(s) den zweiten zentralen Bestandteil einer SAP NetWeaver IdM-Datenbank-instanz. In einem Identity Store werden die eigentlichen Identitätsdaten – basie-rend auf dem zugrunde liegenden Datenmodell – verwaltet. Dazu gehören injedem Fall:

� Benutzerstammsätze (siehe Abschnitte 4.3.1 und 10.1.2)

� technische Rollen (siehe Abschnitte 4.3.1 und 10.1.3)

� Geschäftsrollen (siehe Abschnitte 4.3.1 und 10.1.4)

� (dynamische) Gruppen (siehe Abschnitte 4.3.1 und 10.1.5)

� Objekte für noch zu genehmigende oder zeitlich abgegrenzte Identitätsinfor-mationen (siehe Abschnitte 4.3.1 und 10.1.6)

� Anträge und kundenspezifische Objekte (siehe Abschnitt 10.2)

1348.book Seite 87 Dienstag, 8. September 2009 9:32 09

Page 22: Sappres Netweaver Identity Management

88

SAP NetWeaver Identity Management im Überblick4

Zusätzlich zu den eigentlichen Daten gehören auch die Regelwerke zur Reaktionauf Ereignisse (Hinzufügen/Ändern/Löschen) zum jeweiligen Identity Store.

Neben den aktuellen Datenbeständen werden in den dafür vorgesehenen Daten-banktabellen (siehe Abschnitt 10.3) die historischen Werte der verwaltetenObjektklassen sowie Audit-Informationen über beantragte und genehmigte Res-sourcen für Auswertungszwecke vorgehalten. Mit Ausnahme sogenannter Job,Pass und Repository Templates, die der Anbindung zusätzlicher Systeme sowie derKonfiguration von Standardjobs und Provisionierungsaufgaben im Rahmen vonEntwicklungs- und Konfigurationstätigkeiten dienen, stehen alle Daten für denBetrieb von SAP NetWeaver IdM in der zentralen Datenbankinstanz zur Verfü-gung. Templates werden dagegen auf dem Filesystem abgelegt und können bei denKonfigurationsarbeiten in der Administrationskonsole als Vorlage genutzt werden.

Die Laufzeitkomponenten (IC Runtime) bilden neben den UI-Komponenten undder Datenbank die dritte Schicht der Identity-Center-Architektur. Grundsätzlichlassen sich zwei Laufzeitkomponenten unterscheiden: Dispatcher und EventAgents. Dispatcher werden konfiguriert, um Warteschlangen mit Jobs, Workflow-und Provisionierungsaufgaben abzuarbeiten, und sind somit das »ausführende Or-gan« innerhalb von SAP NetWeaver IdM. Es können in jedem Unternehmen einoder mehrere Dispatcher in der Systemlandschaft verteilt konfiguriert werden.Dabei kann u. a. festgelegt werden, welche Art von Aufgaben ein bestimmter Dis-patcher erfüllt und in welchen Intervallen er dies tun soll. Eine verteilte Installationvon mehreren Dispatchern kann aus Gründen der Lastverteilung sinnvoll, aberauch unter netzwerktopologischen Gesichtspunkten (Sicherheit, Firewall, Ge-schwindigkeit etc.) notwendig sein. Außerdem besteht die Möglichkeit, eine Ent-kopplung bestimmter hoch priorisierter oder eher unkritischer Aufgaben zu er-reichen (siehe Kapitel 16).

In Release 7.1 von SAP NetWeaver IdM wird der Dispatcher noch immer für diebeiden Laufzeitumgebungen Windows und Java ausgeliefert. Das hat u. a. denGrund, dass es auch im SAP Provisioning Framework (siehe Kapitel 14) noch aus-gelieferte Bestandteile der Instrumentierung gibt – beispielsweise für das UserManagement des Microsoft Active Directorys –, die die Windows-Laufzeit voraus-setzen, da sie Windows-spezifische Funktionalitäten wie beispielsweise das ActiveDirectory Services Interface (ADSI) nutzen. Das Ziel von SAP ist aber, in Zukunftmit der Java-Laufzeitumgebung auszukommen und die Windows-Laufzeit nichtmehr zu nutzen, um eine entsprechende Plattformunabhängigkeit der IC-Runtime-Komponenten zu gewährleisten.

Event Agents, die zweite Laufzeitkomponente, werden verwendet, um in Quell-und/oder Zielsystemen Ereignisse abzufangen, die im Identity Center wiederumdie Ausführung von Jobs oder Tasks initiieren können (für weiterführende Infor-mationen siehe Literaturverzeichnis). Ein einfaches Beispiel ist die Überwachung

1348.book Seite 88 Dienstag, 8. September 2009 9:32 09

Page 23: Sappres Netweaver Identity Management

89

Architektur 4.2

einer Datei durch einen Event Agent, der ein Ereignis auslöst, sobald die Datei aktu-alisiert wurde. Daraufhin kann im Identity Center eine Aktion angestoßen werden,die in Verbindung mit dem Delta-Handling die geänderten Datensätze aus der über-wachten Datei in den Identity Store lädt. Event Agents stehen im Auslieferungs-zustand lediglich für die folgenden wenigen Anwendungsfälle zur Verfügung:

� Überwachung von Anlage, Änderung oder Löschung von Objekten im Micro-soft Active Directory

� Überwachung von Änderungen in Datenbanken

� Überwachung von Dateien und Verzeichnissen

� Überwachung von Änderungen in weiteren LDAP-Verzeichnissen

Mithilfe einer Java-API können weitere Vorlagen für die Aktivierung von EventAgents für den jeweiligen Anwendungsfall gebaut werden. Die Nutzung von Javagarantiert, wie oben beschrieben, auch hier die Plattformunabhängigkeit. Genauwie der Dispatcher kann ein Event Agent in der Systemlandschaft auf unterschied-lichen Systemen verteilt werden und so die auf den relevanten Systemen lokal auf-tretenden Ereignisse abfangen bzw. weiterleiten, um weitere Aktionen auszulö-sen. Sowohl Dispatcher als auch Event Agents lassen sich als lauffähige Serviceskonfigurieren, die in die Startup-Sequenzen der unterstützten Systemplattformeneingebunden werden können.

Die Java-Laufzeitkomponenten nutzen unterschiedliche Klassen, um die Konnek-tivität zu den Quell- und Zielsystemen herzustellen. Eine zentrale Klasse ermöglichtdabei den Zugriff mithilfe von LDAP. Dieses Protokoll zum Zugriff auf Verzeich-nisdienste wird – neben anderen Protokollen wie SPML und Webservice – auch vomVirtual Directory Server unterstützt. Dieser spielt eine wichtige Rolle für verschie-dene Schnittstellen (beispielsweise bei der GRC-Integration oder der Kommuni-kation mit dem LDAP-Adapter im Rahmen der SAP Business Suite-Integration) undwird in Zukunft durch die Verfügbarkeit der genannten Identity Services immermehr in den Mittelpunkt der Kommunikation mit dem Identity Center rücken.

4.2.2 SAP Virtual Directory Server

Der SAP Virtual Directory Server (SAP VDS) stellt grundsätzlich Funktionalitätenfür den virtualisierten und standardisierten Zugriff auf Datenquellen im Sinneeiner Middleware zur Verfügung. Er liefert damit spezielle Transformationsfunk-tionen und unterstützt bestimmte, im Identity-Management-Umfeld gängige Pro-tokolle wie LDAP oder SPML. Obwohl der SAP VDS im Rahmen der SAP NetWea-ver IdM-Architektur zunächst eine optionale Komponente darstellt, nimmt er vorallem hinsichtlich der Integration mit anderen Systemen sowie der Anreicherungvon Informationen aus unterschiedlichen Quellen eine zentrale Rolle ein. So wird

1348.book Seite 89 Dienstag, 8. September 2009 9:32 09

Page 24: Sappres Netweaver Identity Management

90

SAP NetWeaver Identity Management im Überblick4

der SAP VDS beispielsweise für die HCM-Integration (siehe Abschnitte 4.5.1 und15.2.1) sowie zur Integration mit SAP BusinessObjects Access Control (sieheAbschnitt 15.4) verwendet. SAP liefert hierzu die nötige Instrumentierung sowohlfür das Identity Center als auch für den SAP VDS aus. Einige Beispiele für Anwen-dungsfälle einer Verwendung des SAP VDS sind neben den bereits genannten Inte-grationen:

� virtualisierter Zugriff auf unterschiedliche Datenquellen, wie Identity Storesdes Identity Centers, Datenbanken oder Directory Services Markup Languagev2 (DSMLv2), über LDAP und SPML

� Mapping und Transformation von einzelnen Attributwerten während des Zu-griffs, um den Anforderungen an Datenformate unterschiedlicher Quell- undZielsysteme gerecht werden zu können

� Zusammenfassung von Attributen unterschiedlicher Systeme in einer Anfrage.Für die anfragende Anwendung ist nur eine Datenquelle sichtbar.

� Einschränkung von verfügbaren Attributen und Filterung der Wertemenge vonDaten in Abhängigkeit von den Anmeldeinformationen des anfragenden Be-nutzers

� dynamische Ermittlung der Verbindungsdaten in Abhängigkeit von Attributendes Anwenders (beispielsweise E-Mail-Adresse)

Zusätzlich zur grundlegenden Funktionalität für die Umsetzung der beschriebe-nen Anwendungsfälle übernimmt der SAP VDS durch die Unterstützung von Pro-tokollen wie LDAP, HTTP, SOAP und SPML im Zusammenspiel mit anderen SAPNetWeaver-Komponenten die Bereitstellung sogenannter Identity Services. Iden-tity Services stellen im Kontext von SAP NetWeaver IdM einen zentralen und stan-dardisierten Zugriffspunkt über Webservices und SPML für die Abfrage und dieVerwaltung von Identitätsinformationen der kompletten Systemumgebung zurVerfügung. Außerdem ist mit dem SAP VDS ein Werkzeug vorhanden, das durchNutzung der integrierten API die flexible Anbindung weiterer Systeme verein-facht. Weitere Informationen zur detaillierten Architektur, den Identity Servicessowie weiteren Use Cases erhalten Sie in Abschnitt 15.3.

4.2.3 Gesamtarchitektur – Identity Center und SAP VDS

Kombiniert man die beiden Komponenten Identity Center und SAP VDS, entstehteine Gesamtarchitektur mit einer sehr umfangreichen Schnittstelle für den einfa-chen Zugriff. Dies dient letztlich der Verwaltung, Verteilung und Bereitstellungder Identitätsdaten in der kompletten Unternehmenssystemlandschaft über einenzentralen Einstiegspunkt: SAP NetWeaver IdM.

1348.book Seite 90 Dienstag, 8. September 2009 9:32 09

Page 25: Sappres Netweaver Identity Management

91

Daten- und Rollenmodell 4.3

Wie aus Abbildung 4.7 ersichtlich ist, können in der aktuellen Version Anwen-dungen und Systeme sowohl direkt über die technischen Adapter des IdentityCenters als auch über den VDS angebunden werden. Allerdings wird die Anbin-dung weiterer Systeme in Zukunft mithilfe des SAP VDS erfolgen. Zum einen han-delt es sich um angebotene Schnittstellen, die auf einem offiziellen Standard basie-ren, und zum anderen lässt der SAP VDS direkte Anfragen zum Lesen, Ändern undLöschen von Identitätsdaten zu. Im Gegensatz dazu müssen die Adapter des Iden-tity Centers immer vom Identity Center selbst – beispielsweise durch erzeugteEreignisse der Event Agents – getriggert werden, um Daten abzuholen, zu vertei-len oder Benutzerkonten und Berechtigungen zu provisionieren.

Abbildung 4.7 Gesamtarchitektur – Identity Center und SAP VDS

4.3 Daten- und Rollenmodell

Dieser Abschnitt gibt einen Überblick über die Möglichkeiten der Datenmodellie-rung im Identity Center. Eine genaue Beschreibung aller benannten Komponentenund Bestandteile sowie deren Funktionen finden Sie in den Kapiteln 9 und 10. Inder IC-Datenbank wird mithilfe der Administrationskonsole das Datenmodell füreinen oder mehrere Identity Stores definiert und verwaltet – das sogenannte Iden-

Identity Center (IC)

Quell- und Zielsysteme

SAP HCM

SAP Virtual DirectoryServer (SAP VDS)

IC-DatenbankEvent

Agent(s)(De-)ZentraleDispatcher

End-User-Inferface

Connector Framework

SAP GRCSonstige

(Nicht-SAP)

Quell- und Zielsysteme

SAP ABAP SAP JavaSonstige

(Nicht-SAP)

Sonstige Systeme und Anwendungen

Identity Services

IdentityServices

1348.book Seite 91 Dienstag, 8. September 2009 9:32 09

Page 26: Sappres Netweaver Identity Management

92

SAP NetWeaver Identity Management im Überblick4

tity-Store-Schema5. Das Datenmodell ist dabei die Grundlage einer SAP NetWeaverIdM-Installation und -Konfiguration und bildet damit die Basis für eine erfolgrei-che Implementierung. Im Rahmen einer Standardinstallation werden alle im Stan-darddatenmodell definierten Objektklassen sowie deren Eigenschaften in einemIdentity Store angelegt, die für die grundsätzliche Funktionsweise des Systems,vordefinierte Funktionen (beispielsweise der abgrenzbaren Zuweisung vonBerechtigungen) sowie für das von SAP ausgelieferte SAP Provisioning Framework(siehe Kapitel 14) benötigt werden. Die Anpassung im Identity Center auf die spe-ziellen Anforderungen in der Systemlandschaft – vor allem bezogen auf die umzu-setzenden Prozesse – setzt allerdings in den meisten Fällen auch die Erweiterungdes bestehenden Datenmodells voraus und damit die Ausarbeitung eines solidenKonzepts. Grundsätzlich sollte das Konzept für ein Datenmodell die folgendenEinflussfaktoren und Fragestellungen berücksichtigen:

� Welche Informationen sollen mit welchem Detailgrad im Identity Store abge-bildet werden, und für welche Anwendungsfälle werden die Daten benötigt?

� Welche Objektklassen werden dafür benötigt?

� Welche Attribute sind Bestandteil dieser Objektklassen?

� Werden Attribute mehrsprachig oder einsprachig gepflegt?

� Stehen die Objekte miteinander in Beziehung? Handelt es sich dabei um eine1:1-, 1:n- oder eine m:n-Beziehung?

� Reicht es eventuell aus, Informationen als Wert eines bestimmten Attributs ei-ner Entität zu speichern, oder muss die Information mithilfe einer Objektklasseabgebildet werden, zu der dann entsprechende Relationen aufgebaut werden?

� Welche Attribute und Objekte haben Steuerungsfunktionen in späteren An-trags- und Genehmigungsprozessen?

� Welche Attribute sind führend in welchem System? Können Prioritäten festge-legt werden?

� In welcher Form sollen die Informationen im User Interface präsentiert wer-den? Welche Validierungen sollen bei der Eingabe der Attributwerte angewen-det werden?

� Welche Quellen (angebundene Quell- und Zielsysteme oder manuelle Eingabe-prozesse) sind führend für die verwendeten Attribute?

� Welche Transformationen müssen beim Beziehen der Daten aus den Quellendurchgeführt werden?

5 Eine detaillierte Beschreibung des ausgelieferten Datenmodells finden Sie im Dokumentmit dem Titel SAP NetWeaver Identity Management Identity Center Identity Store Schema –Technical Reference im SDN unter https://www.sdn.sap.com/irj/sdn/nw-identitymanagement(Stand: August 2009).

1348.book Seite 92 Dienstag, 8. September 2009 9:32 09

Page 27: Sappres Netweaver Identity Management

93

Daten- und Rollenmodell 4.3

� Wie lange müssen (historische) Daten im Rahmen geltender Audit-Anforderun-gen im System vorgehalten werden?

Die Liste der Fragestellungen könnte an dieser Stelle noch fortgesetzt werden.Wichtig ist, dass letztlich genau die Informationen abgebildet werden, die zur Ver-waltung der Identitäten und Steuerung der dafür notwendigen Prozesse benötigtwerden – nicht weniger, aber auch nicht mehr.

4.3.1 Daten- und Rollenmodell im Identity Store

Das Datenmodell mit Objektklassen und deren Eigenschaften definiert sich imIdentity Center über sogenannte Entry Types und die dazugehörenden Attribute.Ein Entry Type entspricht dabei einer Objektklasse für die Abbildung von ausge-wählten Informationen der jeweiligen Entität, beispielsweise einer Person mit denAttributen Vorname und Nachname. Attribute werden zunächst unabhängig vomEntry Type definiert. Anschließend wird festgelegt, welches Attribut für welchenEntry Type genutzt werden kann. Ein Attribut hat verschiedene Eigenschaften, diegepflegt werden müssen. Dazu gehören:

� Datentyp für die Speicherung des Attributwerts im Identity Store

� Anzeigetyp im UI (Checkbox, Radio Button, Dropdown-Liste etc.)

� Anzeigenamen im UI (dieser kann mehrsprachig gepflegt werden)

� ein- oder mehrsprachig hinterlegte gültige Wertelisten

� Validierungsfunktionen in Form regulärer Ausdrücke6

� führende Systeme für dieses Attribut

� Festlegung von Aktionen, die bei Anlage, Änderung oder Löschung des Attri-buts ausgeführt werden sollen. Mit diesen Aktionen können beispielsweiseVerteilungsvorgänge in Zielsysteme gestartet werden, sobald sich das jeweiligeAttribut ändert.

Auf den Entry Types basierende Objekte können miteinander – auch hierarchisch– in Beziehung stehen. Dabei sorgt das Identity Center für die Integrität der Daten,sodass eine Beziehung zwischen Objekten immer bidirektional angelegt, modifi-ziert oder entfernt wird. Jedes angelegte Objekt wird in Form von Attribut-name/Attributwert-Paaren anhand des gültigen Schemas im Identity Store abgelegtund hat immer ein eindeutiges Schlüsselattribut (MSKEYVALUE). Dieses Attribut istinnerhalb des kompletten Identity Stores und über alle Entry Types eindeutig undein Pflichtfeld. Deshalb gehört neben der Klärung zuvor genannter Fragestellungen

6 Ein regulärer Ausdruck ist eine Zeichenkette, die der Beschreibung von Mengen bezie-hungsweise Untermengen von Zeichenketten mithilfe bestimmter syntaktischer Regelndient.

1348.book Seite 93 Dienstag, 8. September 2009 9:32 09

Page 28: Sappres Netweaver Identity Management

94

SAP NetWeaver Identity Management im Überblick4

auch die Definition eines Namenskonzepts für dieses Schlüsselattribut zu den Auf-gaben der Datenmodellierung. Neben dem Schlüsselattribut MSKEYVALUE ist auchdas Attribut MX_ENTRYTYPE ein Pflichtfeld für alle Objekte und definiert, zu welcherObjektklasse ein bestimmter Eintrag gehört. Die folgenden Entry Types – immermit dem Namensraum MX_ als von SAP definierte Objekte gekennzeichnet – wer-den im Rahmen einer Standardinstallation im Identity Store angelegt (Tabelle 4.1).

Entry Type Kurze Beschreibung

Identität/Person

(MX_PERSON)

Zentrale Objektklasse zur Verwaltung einer digitalen Identität. Dies sind meist Personen, also interne oder externe Mitarbei-ter oder Geschäftspartner (siehe Abschnitt 10.1.2).

Berechtigung/technische Rolle

(MX_PRIVILEGE)

Objektklasse zur Verwaltung und Pflege von Berechtigungsob-jekten angebundener Systeme. Objekte vom Typ MX_PRIVI-LEGE können beispielsweise Einzel- oder Sammelrollen aus ABAP-Systemen, Java-Rollen oder Java-Gruppen aus SAP-Java-Systemen, Sicherheitsgruppen aus dem Active Directory etc. sein. In der Identity-Center-Dokumentation wird von technischen Rollen gesprochen (siehe Abschnitt 10.1.3).

Rolle/Business-Rolle

(MX_ROLE)

Im Gegensatz zum Typ MX_PRIVILEGE können mit dem Entry Type MX_ROLE Rollen verwaltet werden, die Objekte vom Typ MX_PRIVILEGE aus unterschiedlichen Systemen enthalten. In der Identity-Center-Dokumentation wird von Fachrollen oder Business-Rollen gesprochen. Objekte vom Typ MX_ROLE erlau-ben Vater/Kind-Beziehungen und somit den Aufbau von kom-plexen hierarchischen, aber nicht zyklischen Rollenmodellen mit beeinflussbarer Vererbungsfunktion (siehe Abschnitt 10.1.4).

Dynamische Gruppe

(MX_DYNAMIC_GROUP)

Der Entry Type MX_DYNAMIC_GROUP erlaubt die Verwaltung von Regelwerken zur Ermittlung von Gruppenmitgliedern auf Basis bestimmter Filterkriterien (Attributkombinationen). Durch die Zugehörigkeit zu einer dynamischen Gruppe können beispielsweise Rechte vergeben werden, die wieder automa-tisch entzogen werden, sobald die entsprechende Person nicht mehr den Filterkriterien entspricht (siehe Abschnitt 10.1.5).

Wert in Bearbeitung

(MX_PENDING_VALUE)

Die Objektklasse MX_PENDING_VALUE gestattet es, Attribute, die zeitlich abgegrenzt bzw. deren Gültigkeit zeitlich befristet ist oder für die noch eine Genehmigung aussteht, so im Sys-tem abzulegen, dass das System am Anfang bzw. am Ende des Gültigkeitszeitraums für die Änderung des Wertes an der ent-sprechenden Person sorgt (siehe Abschnitt 10.1.6).

Tabelle 4.1 Objektklassen im Standarddatenmodell

1348.book Seite 94 Dienstag, 8. September 2009 9:32 09

Page 29: Sappres Netweaver Identity Management

95

Daten- und Rollenmodell 4.3

Das ausgelieferte Standarddatenmodell und die eingebaute Anwendungslogikerlauben durch die Nutzung der dargestellten Objektklassen den Aufbau umfang-reicher Rollenmodelle, mit deren Hilfe sowohl eine explizite (direkte) als auch eineimplizite Vergabe von Rollen und Rechten, basierend auf Attributwerten der ver-walteten Identitäten, möglich ist (für mehr Details siehe Kapitel 10). Durch die sys-temübergreifende Zusammenfassung von Berechtigungsobjekten aus angebunde-nen Systemen in hierarchisch strukturierbare Business-Rollen lassen sichRollenmodelle realisieren, wie in Abbildung 4.8 dargestellt. Neben den in derAbbildung aufgezeigten Verknüpfungen können zusätzliche Eigenschaften für dieRollen definiert werden, die u. a. das Verhalten bei der Beantragung oder Zuwei-sung steuern. Ein Beispiel ist der gegenseitige Ausschluss von Rollen. Wird ein sol-cher Ausschluss definiert, verhindert das System die Zuweisung einer Rolle, sofern

Gruppe

(MX_GROUP)

Der Entry Type MX_GROUP dient zum Aufbau von Gruppen-hierarchien im Identity Store. Aus einer Gruppenmitgliedschaft kann wiederum die Zuweisung einer Berechtigungsrolle resul-tieren. So werden beispielsweise bei der Anbindung eines Active Directorys Gruppen sowohl als MX_PRIVILEGE als auch als MX_GROUP abgebildet. Über die Gruppenzugehörigkeit kön-nen somit wiederum implizit beispielsweise weitere Berechti-gungen vergeben werden (siehe Kapitel 10 und Abschnitt 14.3).

Firmenadresse

(MX_COMPANY_ADDRESS)

Entry Type zur Verwaltung und Pflege der Adressattribute einer Firmenadresse. Die Attribute dieses Entry Types sind an die im ABAP-Stack verfügbaren Firmenadressattribute ange-lehnt (siehe Kapitel 10 und Abschnitt 14.3).

Anwendung

(MX_APPLICATION)

Der Entry Type MX_APPLICATION wird im Rahmen der Identity Services sowie der SAP Business Objects GRC-Integration zur Gruppierung von Berechtigungsrollen auf Anwendungsebene verwendet (siehe Abschnitte 15.3 und 15.4).

Asynchroner Request vom VDS

(MX_ASYNC_REQUEST)

Dieser Entry Type wird im Rahmen der Nutzung des SAP VDS genutzt, um Objekte nicht synchron im Identity Store zu ändern, sondern zunächst einen »temporären« Eintrag anzule-gen, der dann auch die Nutzung des Delta-Mechanismus beim Fortschreiben der Werte gestattet (siehe Kapitel 10 und Abschnitt 15.3).

Beantragter/erzeug-ter Report

(MX_REPORT)

Der Entry Type MX_REPORT wurde mit der Version 7.1. SP02 eingeführt und enthält beantragte, in Bearbeitung befindliche oder erzeugte Reports (siehe Kapitel 10 und Ábschnitt 17.2.2).

Entry Type Kurze Beschreibung

Tabelle 4.1 Objektklassen im Standarddatenmodell (Forts.)

1348.book Seite 95 Dienstag, 8. September 2009 9:32 09

Page 30: Sappres Netweaver Identity Management

96

SAP NetWeaver Identity Management im Überblick4

die damit in Konflikt stehende Rolle der entsprechenden Identität bereits zuge-wiesen wurde. Im Gegensatz zum SAP BusinessObjects Access Control (sieheAbschnitte 4.5.2 und 15.4) können im Identity Center allerdings nur statische Aus-schlüsse hinterlegt werden. Zudem lassen sich Positiv- und Negativlisten für Rol-len definieren, die die Zuweisung für die Zielidentität ausdrücklich erlauben odereben ausdrücklich verbieten. Genehmigungsstrategien können – einstufig odermehrstufig mit dynamisch ermittelten oder in Rollen und Prozessen festgelegtenBeteiligten – durch Definition unterschiedlicher Genehmigungsaufgaben (sieheAbschnitte 4.4.4 und 13.1.3) für einzelne Rollen hinterlegt werden. Attribute zurFestlegung des Rollenbesitzers können wiederum bei der Ermittlung von gültigenGenehmigern verwendet werden.

Abbildung 4.8 Rollenmodell im Identity Center

Die Zuweisung der dargestellten technischen Rollen und Business-Rollen kanndurch dedizierte Beantragung im Rahmen von Self-Services und anschließenderGenehmigung erfolgen. Außerdem ist die automatisierte Zuweisung aufgrund vondefinierbaren Regelwerken eine Möglichkeit, Rollen über die Filterung von Attri-butausprägungen – beispielsweise der Zugehörigkeit zu einer Organisationsein-heit oder der Besetzung einer Planstelle – zu vergeben.

In vielen Projekten besteht die Anforderung, die Verwaltung von Rechten anhandvon Regeln zu gestalten, die beispielsweise auf Basis der organisatorischen Zuord-nung und des im letzten Abschnitt erläuterten Rollenmodells automatisch Rechte

Zielsysteme

Business-Rollen

Manager

Technische Rollen

Windows-User

Abteilungsleiter

Mitarbeiter

E-Mail-User

PortalzugriffESS

PortalzugriffMSS

ZugriffManager-Cockpit

Microsoft AD Lotus NotesSAP NetWeaver

PortalSAP NetWeaver

PortalSAP NetWeaver

BW

1348.book Seite 96 Dienstag, 8. September 2009 9:32 09

Page 31: Sappres Netweaver Identity Management

97

Daten- und Rollenmodell 4.3

für entsprechende Personen vergeben. Die Abbildung der Organisationsstrukturin zusätzlichen Datenobjekten ist ein sinnvolles Beispiel für die Einführung wei-terer Objektklassen für Objekte wie Organisationseinheiten, Planstellen etc.Durch die Nutzung von Entry Types kann nämlich auch die Organisationshierar-chie im Identity Store mithilfe von entsprechenden Beziehungen abgebildet wer-den und damit – im Vergleich zu anderen IdM-Lösungen – ein mächtiges Modellfür die Verwaltung von Berechtigungen anhand der im Organisationsmodellgepflegten Struktur entstehen.

4.3.2 Datenmodellierung und Workflows

Die Datenmodellierung spielt nicht nur im Rahmen der Verwaltung von Identi-tätsdaten eine wesentliche Rolle, sondern hat ganz besonders auf die abgebildeteWorkflow-Steuerung in SAP NetWeaver IdM Einfluss. Grundsätzlich lassen sichdazu die folgenden relevanten Gesichtspunkte in Verbindung mit dem Datenmo-dell zur Workflow-Steuerung aufzeigen:

� BerechtigungsprüfungenBerechnung/Auflösung von Rechten in Workflows, basierend auf gesetzten At-tributwerten. Dies erfolgt auf Basis der sogenannten Berechtigungsregeln derentsprechenden Workflow-Komponenten. Grundsätzlich kann damit dieFrage, wer welche Aktion mit welchem Objekt durchführen darf, zur Laufzeitunter Einbeziehung der relevanten Umgebungsparameter und Attributwertebeantwortet werden.

� WertefilterungFilterung von gültigen Werten in Auswahllisten, basierend auf Attributwertender angemeldeten Person sowie des momentan bearbeiteten Objekts

� Workflow-SteuerungAuswertung von speziellen Attributen zum Start von Genehmigungsaufgabenund -strategien, die mit dem beantragten Objekt (beispielsweise einer Berech-tigungsrolle) verknüpft sind. Dazu gehören Attribute wie MX_APPROVAL_TASKoder MX_APPROVERS.

� StatuswerteSpeicherung von Statuswerten in dafür vorgesehenen Attributen wie MX_APPROVALS (Status der für ein Objekt aktiven Workflows) oder MX_STATE (Statuseines in Bearbeitung befindlichen Wertes)

� Temporäre AttributeSpeicherung temporärer Attribute für die Steuerung von Workflow-Aufgaben

� Entry Typesganze Entry Types – wie beispielsweise MX_PENDING_VALUE – die letztlich»Werte in Bearbeitung« darstellen und von Workflow-Aufgaben erzeugt bzw.ausgewertet werden

1348.book Seite 97 Dienstag, 8. September 2009 9:32 09

Page 32: Sappres Netweaver Identity Management

98

SAP NetWeaver Identity Management im Überblick4

Details zur Relevanz der genannten Attribute im Rahmen des Identity-Center-Berechtigungskonzepts sowie zur Steuerung der implementierten Workflows fin-den Sie ab Kapitel 9.

4.3.3 Datenmodellierung und Reporting

Neben der konsistenten Informationsspeicherung der Identitätsdaten sowie derWorkflow-Steuerung sind die Anforderungen im Bereich des Reportings ebenfallsein wichtiger Einflussfaktor für die Definition des Datenmodells. Bisher lag derFokus der Betrachtung bei der Datenmodellierung auf den abgebildeten Objekt-klassen und deren Eigenschaften. Bei der Datenmodellierung für das Reportinggeht es zusätzlich darum, wie lange bestimmte Informationen im System vorge-halten werden müssen und wie deren Historisierung gewährleistet werden kann.SAP NetWeaver IdM gestattet hierzu die Festlegung der Aufbewahrungszeit bzw.der Anzahl von Versionen auf Attributebene. Mit diesen Informationen werdenjegliche Änderungen der verwalteten Objekte (Personen, Rollen, Berechtigungs-objekte etc.) in der Datenbank fortgeschrieben und stehen in speziellen Daten-banktabellen und -views (siehe Abschnitt 10.3) für Auswertungen zur Verfügung.Werden die historischen Daten mit den vorhandenen Audit-Daten über die Aus-führung von Workflows verknüpft, besteht die Möglichkeit, mithilfe entsprechen-der Abfragen Fragen im Rahmen des IdM wie »Wer hat wann welche Berechti-gungsrolle bekommen, und wer hat die Zuweisung genehmigt?« zu beantworten.Bei der Datenmodellierung hinsichtlich des Berichtswesens muss also letztlich dar-auf geachtet werden, dass alle Daten für die benötigten Auswertungen für dengeforderten Zeitraum zur Verfügung stehen, da alle Informationen im IdentityStore in Form von einwertigen und mehrwertigen Attributen abgelegt werdenkönnen.

4.4 Datensynchronisation und Provisioning

Die Verwaltung digitaler Identitäten setzt eine konsistente Datenbasis voraus,weswegen die in Abschnitt 4.3 beschriebene Datenmodellierung zentralerBestandteil von Konzeption und Implementierung einer Identity-Management-Lösung sein sollte. Dieser Abschnitt beschreibt die grundlegenden Mechanismen,die in SAP NetWeaver IdM für die Synchronisation von Daten und somit für denAufbau und Abgleich des Identity Stores mit den angeschlossenen Quell- und Ziel-systemen zur Verfügung stehen. Neben der Synchronisation und Verteilung derwesentlichen Identitätsstammdaten besteht die zweite Hauptaufgabe einer Iden-tity-Management-Lösung in der weitestgehend automatisierten Provisionierungvon Benutzerdaten und deren – durch Antrags- und Genehmigungsprozesse zuge-wiesenen – Berechtigungsinformationen in die angebundenen Zielsysteme.

1348.book Seite 98 Dienstag, 8. September 2009 9:32 09

Page 33: Sappres Netweaver Identity Management

99

Datensynchronisation und Provisioning 4.4

4.4.1 Prinzipien der Datensynchronisation

Bei der Synchronisation von Daten sind – zunächst unabhängig vom betrachtetenDatenobjekt – einige Regeln zu beachten. Dies gilt auch für den Aufbau eines Iden-tity Stores in SAP NetWeaver IdM und die anschließende Verteilung der darin ver-walteten Identitätsdaten. In den meisten Fällen sind die benötigten Daten bereitsin unterschiedlichen Datenquellen eines Unternehmens vorhanden. Daraus ergibtsich aber auch, dass verschiedene Systeme zunächst führenden Charakter für ein-zelne Bestandteile eines zentral zu verwaltenden Benutzerstammsatzes haben. Einsehr vereinfachtes Beispiel zeigt Abbildung 4.9.

Abbildung 4.9 Prinzipien der Datensynchronisation

In diesem Beispiel wird davon ausgegangen, dass sich der Stammsatz einer Iden-tität vom Typ Interner Mitarbeiter aus Daten vier verschiedener Datenquellenzusammensetzt:

� einem Personalsystem als führende Datenquelle für die Personendaten wie Vor-name, Nachname, Anrede, Titel etc. und Informationen zur organisatorischenZuordnung sowie Eintritts- und Austrittsinformationen

� einem System (beispielsweise einer Telefonanlage) mit Informationen zu Tele-kommunikationsdaten der Mitarbeiter

Identity Store

Personalsystem Telefonanlage

SAP NetWeaver IdM UI

Messaging

Vorname

Nachname

Organisationseinheit

Vorname

Nachname

Organisationseinheit

Telefon/Fax

E-Mail-Adresse

Berechtigungsrollen

Telefon/Fax

Vorname

Nachname

Organisationseinheit

Telefon/Fax

E-Mail-Adresse

Berechtigungsrollen

Vorname

Nachname

Organisationseinheit

E-Mail-Adresse

Berechtigungsrollen

Telefon/Fax

E-Mail-Adresse

Berechtigungsrollen

Führendes Systemfür Attribut

1348.book Seite 99 Dienstag, 8. September 2009 9:32 09

Page 34: Sappres Netweaver Identity Management

100

SAP NetWeaver Identity Management im Überblick4

� einem Messaging-System (beispielsweise Lotus Notes oder Exchange Server),führend für vergebene E-Mail-Adressen

� das SAP NetWeaver IdM-System selbst, führend für die Verwaltung von Berech-tigungsinformationen

Die exemplarisch dargestellten Datenquellen liefern Informationen, die den Iden-titätsdatensatz im Identity Store komplettieren. Auch nach der erstmaligen Befül-lung eines Identity Stores aus unterschiedlichen Quellen würde für dieses Beispielein regelmäßiger Transfer ausgewählter (führender) Attribute aus den jeweiligenDatenquellen erfolgen – ereignisbasiert oder nach einem eingerichteten Zeitplan.

Die Synchronisation von Daten (sowohl die erste Befüllung als auch die fortlau-fende Aktualisierung) inklusive definierter Regeln muss vom eingesetzten Werk-zeug unterstützt werden. So unterstützt SAP NetWeaver IdM beispielsweise nichtnur die Definition von führenden Systemen für bestimmte Identitätsinformatio-nen, sondern erlaubt u. a. auch eine Befüllung bzw. einen Update eines bestimm-ten Attributs unter Berücksichtigung festgelegter Prioritäten. Liegt beispielsweisekeine Telefonnummer aus der Telefonanlage für einen Mitarbeiter vor, erlaubt dasSystem die Pflege über das User Interface oder den Import aus anderen Daten-quellen. Wurde die Telefonnummer aber einmal aus der Telefonanlage und somitaus dem führenden System importiert, kann sie nicht mehr durch Daten aus nied-riger priorisierten Datenquellen überschrieben werden.

Wie in Abbildung 4.9 zu sehen war, kann auch das User Interface selbst das »füh-rende System« für unterschiedliche Bestandteile des Identitätsstammsatzes sein.Die folgenden Abschnitte erläutern die Begrifflichkeiten, die mit der Datensyn-chronisation in Zusammenhang stehen. Darüber hinaus geben wir Ihnen einenkurzen Überblick über die SAP NetWeaver IdM-Standardadapter für SAP- undNicht-SAP-Systeme/-Anwendungen und gehen auf die von SAP ausgeliefertenPakete für die Provisionierung von Standardkomponenten einer Infrastruktur,wie beispielsweise einem Windows Active Directory, ein.

4.4.2 Quell- und Zielsysteme

Jede Anwendung, die an SAP NetWeaver IdM angebunden wird, wird als soge-nanntes Repository angelegt. Ein Repository repräsentiert somit eine Anwendung,die entweder Daten im Rahmen der Synchronisation von Identitätsdaten an SAPNetWeaver IdM liefert oder Empfänger von veränderten Daten ist – oder beides.Die im letzten Abschnitt angesprochene Prioritätensteuerung führender Systemefür einzelne Attribute basiert auf der Zuweisung sogenannter Owner Repositorys.Diese können auf Attributebene im Identity Center definiert werden. Durch dieseInformation sowie die Tatsache, dass für jedes gespeicherte Attribut im IdentityStore neben dem Anlage- bzw. Änderungszeitpunkt auch die Herkunft in Form des

1348.book Seite 100 Dienstag, 8. September 2009 9:32 09

Page 35: Sappres Netweaver Identity Management

101

Datensynchronisation und Provisioning 4.4

Repository-Namens abgelegt wird, kann das System die Priorität entsprechendsteuern und verhindert, dass ein Wert aus dem führenden System durch einenqualitativ niederwertigeren Wert überschrieben wird. In den angelegten Reposi-torys werden mithilfe der Definition von Konstanten notwendige Informationenzu einem Repository abgelegt, um u. a. die Verbindungsdaten nicht redundant anunterschiedlichen Stellen vorhalten zu müssen:

� Typ der angebundenen Anwendung (LDAP, DB, ABAP, XML etc.)

� Verbindungsdaten für den Zugriff auf die relevanten Daten der Anwendung

� Repository-Konstanten, die die eindeutige ID der Identity-Center-Instrumen-tierung enthalten, die im Rahmen der Provisionierung aufgerufen werden müs-sen, wenn sich für eine verwaltete Identität auf dem mit diesem Repository ver-knüpften Zielsystem ein relevantes Attribut ändert

Alle Komponenten, die im Rahmen der Datensynchronisation und Provisionie-rung genutzt werden, beziehen sich immer auf ein bestimmtes – teilweise zurLaufzeit ermitteltes – Repository und werden aus der Repository-Definition mitallen notwendigen Daten versorgt, damit zum einen der Zugriff auf die Anwen-dung in technischer Hinsicht möglich ist (Verbindungsdaten) und zum anderenbei den durchzuführenden Datenmanipulationsaufgaben die korrekte Logik fürdiese Anwendung angewendet wird. So werden beispielsweise bei der Zuweisungvon Berechtigungsrollen in einem SAP-ABAP-System dem betroffenen Benutzerdie Rollen zugewiesen. Ein Benutzer in einem Microsoft Active Directory mussaber in die ihm zugeordneten berechtigungsrelevanten Sicherheitsgruppen aufge-nommen werden. Neben der Tatsache, dass jeweils ein entsprechender techni-scher Adapter verwendet werden muss, ist somit auch die Logik der Berechti-gungszuweisung vom Repository-Typ abhängig.

4.4.3 Technische Adapter

SAP NetWeaver IdM besitzt verschiedene Adapter, mit denen bereits ein Großteilder Systeme und Anwendungen in einer Unternehmensinfrastruktur an SAP Net-Weaver IdM angebunden werden kann.7 Tabelle 4.2 zeigt eine Übersicht. Mit die-sen technischen Adaptern lassen sich verschiedene Anwendungen und Systemeanbinden, die die jeweiligen Protokolle oder Zugriffsmechanismen unterstützen.

7 SAP stellt im SDN ein laufend aktualisiertes Slideset zur Verfügung, das Informationen überIDM-Adapter und die damit unterstützten Anwendungen enthält. Es ist zu finden unter:SAP NetWeaver Product • Complementary Offerings • SAP NetWeaver Identity Ma-

nagement • Product Overview: SAP NetWeaver Identity Management • IDM Connec-

tor Overview (Stand: Juni 2009).

1348.book Seite 101 Dienstag, 8. September 2009 9:32 09

Page 36: Sappres Netweaver Identity Management

102

SAP NetWeaver Identity Management im Überblick4

Technischer Adapter Kurze Beschreibung

LDAP-Adapter Adapter für die Anbindung von Anwendungen, die LDAP unterstützen. In der Unternehmensinfrastruktur können mit-hilfe des LDAP-Adapters Verzeichnisdienste, Telefonanlagen etc. angebunden werden. Die bekanntesten Vertreter sind Novell eDirectory, Sun ONE Directory und Microsoft Active Directory.

LDIF-Adapter Der LDIF-Adapter (LDAP Data Interchange Format) gestattet den Austausch von Informationen mit einem LDAP-Verzeich-nis auf Basis eines lesbaren ASCII-Austauschformats.

Datenbankadapter Mithilfe des Datenbankadapters lassen sich über ODBC/JDBC alle Datenbanken anbinden. Der Datenbankadapter erlaubt somit das Auslesen sowie die Manipulation jeglicher Tabellen der angebundenen Datenbank in Abhängigkeit von den Zugriffsrechten des verwendeten Benutzers. Auch der Aufruf von Stored Procedures wird unterstützt.

File-Adapter Der File-Adapter erlaubt das Lesen und Schreiben von Dateien mit Feldtrennzeichen oder fester Feldlänge. Mit die-sem Adapter wird der dateibasierte Datenaustausch realisiert. Aufgrund des Datenschutzes und der Zugriffsbeschränkungen auf die Personalverwaltungssysteme werden beispielsweise häufig ausgewählte Attribute aus diesen Systemen über ent-sprechend formatierte Dateien ausgetauscht.

SPML-Adapter Der SPML-Adapter bindet Systeme an, die in der Lage sind, SPML Requests zu verarbeiten. So wird beispielsweise bei der Anbindung des SAP NetWeaver NetWeaver AS Java von der SPML-Adapter-Funktionalität Gebrauch gemacht.

SAP-ABAP-Adapter JCo-Adapter (SAP Java Connector) für das Lesen und Schrei-ben von Daten in ein SAP-ABAP-System. Anbindung der SAP-ABAP-User-Store-basierten Systeme.

SAP-Java-Adapter Hierfür wird der SPML-Adapter genutzt.

XML-Adapter Lesen und Schreiben von gültigen XML-Dateien

JMS-Adapter Der JMS-Adapter (Java Message Service) erlaubt die Kommu-nikation mit einem JMS-Provider zur Integration mit Middle-ware-Komponenten, die JMS unterstützen. So können geän-derte Identitätsdaten beispielsweise per JMS an die Middle-ware zur weiteren Verteilung übergeben werden.

Tabelle 4.2 Technische Adapter in SAP NetWeaver IdM

1348.book Seite 102 Dienstag, 8. September 2009 9:32 09

Page 37: Sappres Netweaver Identity Management

103

Datensynchronisation und Provisioning 4.4

Neben den verfügbaren Identity-Center-Adaptern bietet der SAP VDS weitereMöglichkeiten, Systeme und Anwendungen an SAP NetWeaver IdM anzubinden.Der Virtual Directory Server nimmt vor allem im Rahmen der Integration (sieheAbschnitt 4.5 und Kapitel 15) eine wichtige Stellung ein und wird Dreh- undAngelpunkt für die Integration mit anderen Anwendungen sein. Die technischeAnbindung allein reicht allerdings für die Provisionierung der angebundenen Sys-teme nicht aus, da nicht nur die Verbindung zu den Systemen gewährleistet, son-dern auch die spezifische Vorgehensweise bei der Anlage, Änderung undLöschung von Objekten des jeweiligen Systems beachtet werden muss. Somit wer-den die technischen Adapter genutzt, um in SAP NetWeaver IdM Instrumentie-rungen zu entwickeln, die auch die Logik für eine konsistente und automatisierteVerwaltung der Zielapplikation abbilden.8

4.4.4 Provisionierungslogik und Workflows

Um die Provisionierungslogik zu implementieren, werden in SAP NetWeaver IdMsogenannte Jobs (siehe Abschnitt 9.4.2) und Tasks (Abschnitt 9.4.3) erstellt. Jobskönnen entweder auf ausgelieferten und vorkonfigurierten Job Templates füreinen bestimmten Anwendungsfall basieren oder im Rahmen eines Projekts neuerstellt werden. Ein Job führt dabei eine Reihe von Aktionen aus. Eine einzelneAktion wird in SAP NetWeaver IdM als Pass bezeichnet. Ein Pass nutzt im Nor-malfall einen der in Tabelle 4.2 in Abschnitt 4.4.3 aufgelisteten Adapter, um Datenaus einem angebundenen Repository zu lesen, Daten in ein angebundenes Repo-sitory zu schreiben oder um – im Rahmen sogenannter generischer Passes – Daten-

JNDI-Adapter JNDI-Adapter (Java Naming and Directory Interface8). Mit-hilfe dieser Schnittstelle können Daten und Objektreferenzen anhand eines Namens abgelegt und von Nutzern der Schnitt-stelle abgerufen werden.

Shell-Adapter Der Shell-Adapter erlaubt die Ausführung von Kommando-zeilen-Tools. So können beispielsweise auf Unix-Systemendie Kommandos für die Benutzeranlage bzw. Änderung und Löschung in der /etc/passwd aufgerufen werden.

SAP VDS Der SAP VDS bietet mit seinem Connector Framework Zugriff auf weitere Systeme. Details und Beispiele zum SAP VDS fin-den Sie in den Abschnitten 4.2.2 und 15.3.

8 JNDI ist eine Programmierschnittstelle innerhalb der Programmiersprache Java für Na-mensdienste und Verzeichnisdienste.

Technischer Adapter Kurze Beschreibung

Tabelle 4.2 Technische Adapter in SAP NetWeaver IdM (Forts.)

1348.book Seite 103 Dienstag, 8. September 2009 9:32 09

Page 38: Sappres Netweaver Identity Management

104

SAP NetWeaver Identity Management im Überblick4

manipulationen im Identity Store mithilfe von Built-in-Funktionalitäten durchzu-führen. Die Ausführung eines Jobs kann durch unterschiedliche Aktionenausgelöst werden:

� durch den in SAP NetWeaver IdM integrierten Scheduler zu eingeplanten Zeit-punkten, beispielsweise zum Laden von geänderten Daten aus angebundenenSystemen einmal täglich.

� manuell durch einen Administrator, beispielsweise zur Initialbefüllung einesIdentity Stores oder zur Erstellung von Reports

� durch (die erfolgreiche) Ausführung eines anderen Jobs. So können beispiels-weise mehrere Jobs nacheinander ausgeführt werden – auch in Abhängigkeitvom Ausführungsstatus des vorangegangenen Jobs

� durch Tasks, die aufgrund eines bestimmten Ereignisses gestartet werden – einsolches Ereignis kann beispielsweise die Änderung bestimmter im IdentityStore verwalteter Objekte oder deren Attribute sein, beispielsweise ausgelöstdurch einen Datenabgleich mit einem verwalteten System

Ob ein Job manuell, durch einen Scheduler oder im Rahmen von durch Ereignisseinitiierten Provisionierungsaufgaben – also der Ausführung einer bestimmtenAktion für ein ausgewähltes Objekt des Identity Stores – gestartet werden kann,wird durch die sogenannte Scheduling Rule in der Konfiguration festgelegt (sieheKapitel 11).

Neben den Jobs, die für die Ausführung einer bestimmten Aktion verwendet wer-den, gibt es in der Identity-Center-Konfiguration die Tasks. Tasks beziehen sichimmer auf Einträge bzw. Objekte in einem Identity Store. Mithilfe von Tasks kön-nen alle im Identity Store verwalteten Einträge im End-User-UI für Änderungenzur Anzeige gebracht (Details siehe Kapitel 12) und somit die End-User in die im-plementierten Prozesse einbezogen werden. Es gibt unterschiedliche Typen vonTasks, die ineinandergeschachtelt werden können. Ein Typ – nämlich der ActionTask – wurde bereits in Verbindung mit den Jobs erwähnt. Tasks erlauben darüberhinaus, notwendige Prozesse für interaktive Genehmigungsworkflows und Provi-sionierungsabläufe zu implementieren. Deshalb stehen neben dem Action Taskdie Task-Typen aus Tabelle 4.3 zur Verfügung.

Die strukturierte Ausführung von Tasks, die Auswertung von Bedingungen sowiedie Anzeige der durch die Tasks verarbeiteten Objekte erlauben letztlich sowohldie Abbildung von interaktiven Workflows zur Beantragung und Genehmigungvon Berechtigungen als auch die Implementierung von komplexen Provisionie-rungsabläufen. Eine ausführliche Beschreibung der Elemente, die für die Entwick-lung von Provisionierungsworkflows zur Verfügung stehen, ist in Kapitel 13 zufinden.

1348.book Seite 104 Dienstag, 8. September 2009 9:32 09

Page 39: Sappres Netweaver Identity Management

105

Datensynchronisation und Provisioning 4.4

4.4.5 Provisionierungscontent

Die Kombination von technischen Adaptern zur Sicherstellung der Connectivityeinerseits und konfigurierter und angepasster Jobs und Tasks im Identity Centerandererseits erlaubt also die schnelle Anbindung von Anwendungen in der jewei-ligen Zielinfrastruktur. SAP liefert diesen Content für die Verwaltung von Identi-täten auf typischen Systemen der Systemumgebung in Form von Templates unddem Provisioning Framework für SAP- und Nicht-SAP-Systeme aus. Die Templateskönnen bei der Entwicklung der Instrumentierung als einzelne Bestandteile beider Anbindung der eigenen Systeme genutzt werden. So gibt es beispielsweise Jobund Task Templates für die Anbindung von RSA Clear Trust oder einer MicrosoftSQL Server-Datenbank, die in das Identity Center und die kundenspezifische Ver-arbeitungslogik integriert werden können.

Das SAP Provisioning Framework geht allerdings noch einen Schritt weiter. Es lie-fert nicht nur Job und Task Templates aus, die für einzelne Aktionen wie beispiels-weise die Zuweisung von Rollen, die Anpassung von Benutzerattributen oder das

Task-Typ Beschreibung

Ordered Task Group Gruppierung untergeordneter Tasks, bei deren Ausführung die Reihenfolge beachtet wird

Unordered Task Group Gruppierung untergeordneter Tasks, bei deren Ausführung die Reihenfolge nicht beachtet wird

Conditional Task Der Task erlaubt die Definition einer Bedingung, bezogen auf das bearbeitete Objekt. Zum Beispiel kann hier eine Ent-scheidung über den weiteren Prozessablauf, basierend auf dem Entry Type oder der Existenz eines Accounts, getroffen werden.

Switch Task Der Switch Task erlaubt genau wie der Conditional Task die Auswertung einer Bedingung. Die Auswertung kann aller-dings mehrere Werte zurückliefern, von denen die weitere Bearbeitung des Objekts abhängt.

Approval Task Der Approval Task bringt das in Bearbeitung befindliche Objekt in der Liste Zu erledigen (siehe Abschnitt 4.2) zur Anzeige. Je nach Berechtigung hat der Benutzer nun die Möglichkeit, den Antrag zu genehmigen oder abzulehnen. In Abhängigkeit von der gewählten Aktion läuft der Prozess weiter.

Action Task Ausführung genau eines Jobs, basierend auf den in Bearbei-tung befindlichen Entrys

Tabelle 4.3 Task-Typen zur Workflow-Steuerung

1348.book Seite 105 Dienstag, 8. September 2009 9:32 09

Page 40: Sappres Netweaver Identity Management

106

SAP NetWeaver Identity Management im Überblick4

Setzen des Passworts notwendig sind, sondern die komplette Struktur, umbestimmte Systeme nach einem Schema zu verwalten, das wiederum innerhalbdes Provisioning Frameworks unabhängig vom Systemtyp Gültigkeit besitzt. DasSAP Provisioning Framework mit seinen Job und Task Templates deckt in der Ver-sion 7.1 SP01 die folgenden Zielsystemtypen ab:

� SAP NetWeaver AS ABAP – Standalone und ZBV

� SAP NetWeaver AS Java – User Store UME und LDAP

� SAP NetWeaver AS – Double-Stack

� Microsoft Active Directory

� Sun ONE LDAP Directory

� Lotus Notes

� SAP BusinessObjects Access Control Integration

Das Provisioning Framework für Lotus sowie die SAP BusinessObjects Access Con-trol-Integrationskomponenten werden in eigenen Paketen im SDN unterhttp://www.sdn.sap.com/irj/sdn/nw-identitymanagement zum Download zur Verfü-gung gestellt. Mehr Informationen zu den einzelnen Bestandteilen des Provisio-ning Frameworks und der generellen bzw. systemspezifischen Funktionsweiseder einzelnen Integrationspakete finden Sie in Kapitel 14.

4.4.6 Password Management

Schlagworte wie Single Sign-on (SSO)9 und Password Recovery tauchen in Verbin-dung mit der Einführung einer Identity-Management-Lösung immer wieder auf.Das liegt u. a. daran, dass die Vereinfachung der Anmeldung an Systemen undAnwendungen durch die Vereinheitlichung des Passworts oder die Einführungvon SSO-Mechanismen einer der sichtbarsten Vorteile für den Endanwender dar-stellen.

Einerseits unterstützt SAP NetWeaver IdM durch die zentrale und sichere Verwal-tung von Passwörtern im Identity Store die Möglichkeit, Passwörter im Rahmenvon Self-Services mit anschließender Verteilung in die Zielsysteme zurücksetzenzu lassen. Andererseits muss an dieser Stelle darauf hingewiesen werden, dass jedeAnwendung und jedes System die Einhaltung eigener Regeln und Restriktionen –sogenannte Password Policys – erfordert. Dies kann in Abhängigkeit von der Anzahlangebundener Anwendungen durch Konflikte bei den Password Policys (Länge,Sonderzeichen etc.) zu Problemen führen. Außerdem entsprechen manche

9 Single Sign-on bedeutet, dass ein Anwender nach der einmaligen Eingabe der Anmelde-informationen auf alle Systeme, Anwendungen und Dienste, für die er berechtigt ist, zu-greifen kann, ohne sich jedes Mal von Neuem authentisieren zu müssen.

1348.book Seite 106 Dienstag, 8. September 2009 9:32 09

Page 41: Sappres Netweaver Identity Management

107

Weitere Integrationsthemen 4.5

Anwendungen nicht mehr dem Sicherheitsstandard, der die Verteilung eines Pass-worts erlaubt, das dann auch für andere kritische Anwendungen Gültigkeit besitzt.Diese Faktoren sollten bei der Konzeption von Passwort-Management-Funktionenberücksichtigt werden.

Neben der zentralen Verwaltung eines einheitlichen Passworts unterstützt SAPNetWeaver IdM auch die Umsetzung von Single Sign-on mithilfe anerkannterStandardmechanismen, wie beispielsweise der integrierten Windows-Authentifi-zierung. So können die SAP NetWeaver IdM-Oberflächen zum einen von derjeweiligen Technologie Gebrauch machen und so konfiguriert werden, dass eineerneute Anmeldung am IdM UI nach erfolgter Windows-Anmeldung nicht nötigist. Zum anderen verteilt SAP NetWeaver IdM wiederum Daten, die für die Akti-vierung von Single Sign-on in den Zielanwendungen benötigt werden. Als Beispielsei an dieser Stelle der SNC-Name (Secure Network Communications) im ABAP-Sys-tem genannt, der bei der integrierten Windows-Authentifizierung mit dem Prin-cipal Name aus dem bei der Windows-Anmeldung ausgestellten Kerberos-Ticket10

gefüllt werden muss, um eine Verbindung zwischen dem Ticket und Benutzerein-trag im Zielsystem herzustellen. SAP NetWeaver IdM ist allerdings keine Anwen-dung, die zum Aufbau von speziellen SSO-Infrastrukturen, beispielsweise Public-Key-Infrastrukturen (PKI), genutzt wird. Dafür gibt es auf dem Markt andereWerkzeuge, die diese speziellen Funktionen zur Verfügung stellen.

Neben den bereits erwähnten Funktionalitäten wird mit SAP NetWeaver IdMauch ein sogenannter Active Directory Password Hook ausgeliefert. Bei der Anmel-dung an der Windows-Umgebung »erzwingt« die Password Policy normalerweisenach einer gewissen Zeit (meistens 60 oder 90 Tage) die Änderung des Domänen-passworts. Wird SAP NetWeaver IdM zur zentralen Passwortverwaltung und -ver-teilung genutzt, kann der Password Hook verwendet werden, um das bei derAnmeldung in der Windows-Domäne geänderte Passwort verschlüsselt an dasIdentity Center weiterzuleiten und für die Verteilung des Passworts in andereAnwendungen zu sorgen.

4.5 Weitere Integrationsthemen

Wurden im vorangegangenen Kapitel allgemeine Prinzipien der Datensynchroni-sation sowie die verfügbaren technischen Adapter von SAP NetWeaver IdM inVerbindung mit der von SAP ausgelieferten Provisionierungslogik erörtert, wer-den in diesem Abschnitt ausgewählte Anwendungsfälle in SAP-Umgebungenbetrachtet, für die entsprechende Integrationspakete ausgeliefert werden. Außer-dem gehen wir auf die Integration der SAP NetWeaver IdM UI-Komponente in

10 http://de.wikipedia.org/wiki/Kerberos_(Informatik) (Stand: August 2009)

1348.book Seite 107 Dienstag, 8. September 2009 9:32 09

Page 42: Sappres Netweaver Identity Management

108

SAP NetWeaver Identity Management im Überblick4

einer bereits existierenden Portalumgebung ein. Weitere Integrationsmöglichkei-ten durch die Nutzung von Middleware-Komponenten wie SAP NetWeaver Pro-cess Integration (SAP NetWeaver PI) oder das bereits beschriebene SAP VDS sindebenso Bestandteil wie die Integration von SAP BusinessObjects Governance Riskand Compliance (SAP BusinessObjects GRC). Weiterführende Details zur konkre-ten Umsetzung dieser Szenarien erfahren Sie in Kapitel 15.

SAP liefert zu den wichtigsten Anwendungsfällen Dokumentation in Form einesgenerellen Architekturüberblicks sowie eines detaillierten Konfigurationsleitfa-dens aus, um diese Anwendungsfälle in der eigenen Landschaft mithilfe von vor-konfigurierten Inhalten schnell umsetzen zu können. Während sich einige Teiledieser Anwendungsfälle, wie beispielsweise die Anbindung des SAP NetWeaverPortals oder die Anbindung gängiger Verzeichnisdienste, mit Standardmechanis-men beschäftigen und sich deshalb die Nutzung der Tasks und Templates aus demProvisioning Framework anbietet, lohnt sich die nähere Betrachtung der SAPHCM-Integration, der erweiterten Business-Suite-Integration sowie der SAP Busi-nessObjects GRC-Integration, da diese Besonderheiten aufweisen, die über diereine Provisionierung von Benutzern in Zielsystemen hinausgehen.

4.5.1 Business-Suite-Integration

Personalverwaltungs- und Abrechnungssysteme wie SAP HCM sind meistens vonzentraler Bedeutung für den Aufbau einer Identity-Management-Lösung, da in derPersonalabteilung bereits eine Vielzahl von Informationen über (zukünftige oderbereits ausgeschiedene) Mitarbeiter zu einem frühen Zeitpunkt verfügbar sind.Neben den Mitarbeiterdaten werden in SAP HCM auch Organisationsdaten inklu-sive der Zuordnung zu den Mitarbeitern gepflegt. Oftmals werden im Personalbe-reich außerdem Employee Self-Services (ESS) zur Verfügung gestellt, um beispiels-weise Urlaubsanträge im Rahmen des Zeitmanagements elektronisch abzugebenoder Reisekostenabrechnungen einzureichen. Um diese Prozesse sowie die regel-mäßigen Abrechnungsläufe ausreichend unterstützen zu können, wird eine mehroder weniger gut gepflegte Organisationsstruktur inklusive weiterführender Infor-mationen zu Leitungsfunktion, Vertreterregelungen etc. benötigt. Neben den rei-nen Mitarbeiterdaten sind auch diese Daten zur Organisationsstruktur relevant füreine Identity-Management-Lösung, um einerseits, basierend auf der organisatori-schen Zuordnung eines Mitarbeiters, (Basis-)Berechtigungen vergeben zu könnenund andererseits Prozesse durch Ermittlung von Vorgesetzten steuern zu können.Damit Mitarbeiterdaten sowie Organisationsdaten in SAP NetWeaver IdM für dieAnlage und Pflege von Identitäten und deren Benutzern sowie für die Initiierungund Steuerung relevanter Prozesse verwendet werden können, müssen diese imIdentity Store des Identity Centers zur Verfügung stehen. Hierzu werden in deraktuellen Version 7.1 folgende Komponenten verwendet:

1348.book Seite 108 Dienstag, 8. September 2009 9:32 09

Page 43: Sappres Netweaver Identity Management

109

Weitere Integrationsthemen 4.5

� SAP Querys im SAP HCM-System zur Rückgabe von Feldwerten relevanter In-fotypen, beispielsweise IT 0001 für die organisatorische Zuordnung, IT 0002für die personenbezogenen Daten und IT 0105 für Kommunikationsdaten und– sofern in SAP HCM gepflegt – den SAP-Login des Mitarbeiters

� der LDAP-Konnektor des SAP HCM-Systems zur Übergabe der über die Queryangefragten Daten an den SAP VDS

� der SAP VDS selbst zur Verarbeitung der aus der Query resultierenden und überden LDAP-Konnektor versendeten Daten

� SAP NetWeaver IdM-Content für die weitere Verarbeitung und Fortschreibungder übertragenen Daten aus SAP HCM in den zentralen Identity Store

Die Mitarbeiterdaten werden in SAP NetWeaver IdM zunächst in einen eigenenIdentity Store geschrieben, der wiederum als Reaktion auf neu ankommende odersich ändernde Daten eine Fortschreibung unter Berücksichtigung relevanterÄnderungen (Delta Handling) in den eigentlichen Master Identity Store anstößt.Sowohl für die SAP HCM-Integration als auch für die Business-Suite-Integrationwurde das Identity-Store-Schema erweitert. Eine Liste mit relevanten Attributenund deren Mapping finden Sie in Anhang B des Konfigurationsleitfadens.

Die aktuelle SAP HCM-Integration erlaubt die Übertragung von Informationen derin SAP HCM gepflegten Mitarbeiter. Im Rahmen der Standardintegration werdenallerdings keine SAP OM-Objekte (SAP Organisationsmanagement) übertragen.Das heißt letztlich, dass beim Mitarbeiter zwar beispielsweise die Information vor-liegt, zu welcher Organisationseinheit er gehört und welche Planstelle er besetzt.Weiterführende Informationen über die zugeordnete Organisationseinheit oderPlanstelle selbst, wie beispielsweise übergeordnete oder untergeordnete Organi-sationseinheiten, werden mit der Standardintegration in der Version 7.1 aber(noch) nicht geliefert.

Um diese Limitation zu umgehen, kann hier die bereits erwähnte Prozessintegra-tionskomponente SAP NetWeaver PI in Verbindung mit der Standard-HR-Stamm-datenextraktion auf Basis der ALE-Funktionalität zur Übertragung von entspre-chenden IDoc-Dateien verwendet werden. Die HCM-Integration kann allerdingsgenutzt werden, um im Mitarbeiterstamm eines SAP HCM-Systems oder im dar-aus resultierenden Ministamm (einer Auswahl an gepflegten Infotypen des Mit-arbeiterstammes) eines beliebigen SAP ERP-Systems Daten der dort gepflegtenMitarbeiter zu exportieren, und als Grundlage für personenbezogene Daten die-nen.

Bisher wurden SAP ERP-Systeme unabhängig vom jeweiligen Modul an SAP Net-Weaver IdM durch die zur Verfügung stehende Instrumentierung für ABAP-Sys-teme angebunden. Diese Instrumentierung sorgte letztlich »lediglich« für die auto-matisierte Anlage, Änderung, Sperrung bzw. Löschung von Benutzern im ABAP

1348.book Seite 109 Dienstag, 8. September 2009 9:32 09

Page 44: Sappres Netweaver Identity Management

110

SAP NetWeaver Identity Management im Überblick4

User Store (respektive Transaktion SU01) ohne Verbindungen zur Business-Logikdes jeweiligen Moduls zu knüpfen, Verknüpfungen zu Geschäftspartnern herzu-stellen oder modulspezifische berechtigungsrelevante Informationen zu pflegen.Mit der erweiterten Business-Suite-Integration stehen diese Funktionalitäten inSAP NetWeaver IdM Release 7.1 SP02 nun für die Integration in folgende SAPBusiness Suite-Module zur Verfügung:

� Identity Management für Audit-Management

� Identity Management für Buchhaltungssachbearbeiter

� Identity Management für SAP Transportation Management

� Identity Management für SAP Extended Warehouse Management

� Identity Management für SAP Supply Network Collaboration

� Identity Management für die Ersatzteilplanung

� Identity Management für SAP Product Lifecycle Management

� Identity Management für SAP Portfolio and Project Management

� Identity Management für SAP Customer Relationship Management

� Identity Management für SAP Supplier Relationship Management

Die Voraussetzung ist in den meisten Fällen weiterhin die Replikation der Mitar-beiterdaten aus SAP HCM. Eine genaue Beschreibung der modulspezifischenFunktionen kann in der SAP-Bibliothek nachgelesen werden.11

4.5.2 Integration mit SAP BusinessObjects Access Control

SAP BusinessObjects Governance Risk and Compliance (SAP BusinessObjectsGRC) ist eine Suite von Werkzeugen mit Funktionalitäten und Regelwerken ausdem Bereich des Risiko-Managements. Neben Branchenlösungen und weiterenBestandteilen ist die Komponente SAP BusinessObjects Access Control in Bezugauf SAP NetWeaver IdM von zentraler Bedeutung. Während SAP NetWeaver IdMden Schwerpunkt auf die konsistente und nachvollziehbare Verwaltung desLebenszyklus von Identitäten legt, liefert SAP BusinessObjects Access Control wei-tere Funktionalitäten im Bereich Rollenmanagement, Segregation of Duties (SoD)und Superuser Management. SAP spricht beim kombinierten Einsatz von SAP Net-Weaver IdM und SAP BusinessObjects Access Control von Compliant IdentityManagement. Weitere Details zu SAP BusinessObjects GRC im Allgemeinen undSAP BusinessObjects Access Control im Speziellen finden Sie in Abschnitt 15.4.

11 Benutzerverwaltung und -verteilung mit SAP NetWeaver Identity Management: http://help.sap.com/erp2005_ehp_04/helpdata/de/43/f49dbbe47a4cd290f04ac607d6a799/frameset.htm(Stand: August 2009)

1348.book Seite 110 Dienstag, 8. September 2009 9:32 09

Page 45: Sappres Netweaver Identity Management

111

Weitere Integrationsthemen 4.5

Besteht beispielsweise die Notwendigkeit, zum Zeitpunkt der Rollenbeantragungund anschließenden Genehmigung eine Prüfung auf kritische Rechtekombinatio-nen vorzunehmen und – im Falle einer SoD-Verletzung – korrigierende Maßnah-men einzuleiten, kommt SAP BusinessObjects Access Control ins Spiel. Da sowohlSAP BusinessObjects Access Control als auch SAP NetWeaver IdM die Provisio-nierung von Benutzerkonten in SAP-ABAP-Zielsystemen unterstützen, gibt es beider Integration der beiden Werkzeuge generell zwei unterschiedliche Vorgehens-weisen. Ist SAP NetWeaver IdM das führende System für den Lebenszyklus ver-walteter Identitäten, startet der Beantragungsworkflow in SAP NetWeaver IdMund verzweigt – im Falle der Beantragung von Berechtigungsrollen in relevantenSAP Business Suite-Modulen – in den Workflow von SAP BusinessObjects AccessControl. Dort werden die beantragten Rollen unter Berücksichtigung der bereitsgenehmigten und zugewiesenen Rollen gegen die aktuelle SoD-Matrix zur Laufzeitgeprüft. Treten Verletzungen auf, werden Korrekturprozesse, wie beispielsweisedie Genehmigung nach dem Vier-Augen-Prinzip, eingeleitet. Nach eventuelldurchgeführten Korrekturen und nachträglich erfolgter Genehmigung provisio-niert BusinessObjects Access Control die Änderungen am entsprechenden Benut-zerkonto in das Zielsystem und teilt SAP NetWeaver IdM den Status der erfolgtenProvisionierung mit. Wurde aufgrund einer stark SAP-zentrischen Anwendungs-landschaft BusinessObjects Access Control als führendes Werkzeug für die Bean-tragung von Rollen in der Architekturphase gewählt, startet der Workflow in Busi-nessObjects Access Control und nutzt die von SAP NetWeaver IdM zur Verfügunggestellten Identity Services zur Übergabe von Aufträgen zur Provisionierung vonBenutzerkonten in Nicht-SAP-Systemen.

In beiden Fällen tritt der SAP VDS als Integrationskomponente auf den Plan. SAPliefert für die Integration von SAP NetWeaver IdM und BusinessObjects AccessControl Content für das Identity Center sowie für den SAP VDS aus. Das GRC Pro-visioning Framework kommuniziert mit dem SAP NetWeaver IdM mithilfe vonWebservices. So stellt BusinessObjects Access Control Webservices zur Verfü-gung, die durch den SAP VDS aufgerufen werden können. Im SAP VDS stehen wie-derum Identity Services zur Verfügung, die von BusinessObjects Access Controlgenutzt werden, um entweder Statusinformationen oder Provisionierungsauf-träge an SAP NetWeaver IdM zu übergeben. Detaillierte Informationen zur Inte-gration finden Sie in Abschnitt 15.4.

4.5.3 Middleware zum Austausch von Daten

Reicht der Funktionsumfang der in der aktuellen Produktversion geliefertenAdapter und Integrationsinhalte (siehe Abschnitt 5.4) zur Datensynchronisationund Provisionierung für die Anforderungen im Projekt nicht aus oder bietet sich

1348.book Seite 111 Dienstag, 8. September 2009 9:32 09

Page 46: Sappres Netweaver Identity Management

112

SAP NetWeaver Identity Management im Überblick4

die Nutzung einer bestehenden Schnittstelle an, gibt es weitere Möglichkeiten,Daten mit dem SAP NetWeaver IdM-System auszutauschen:

� Nutzung einer Middleware-Komponente wie SAP NetWeaver PI zur Übertra-gung und Transformation von Daten durch von der Middleware unterstützteStandardadapter und -protokolle

� Nutzung des SAP VDS zur Erweiterung des Connector Frameworks sowie derBereitstellung von Identity Services zur Anlage, Änderung und Löschung vonIdentitätsdaten

Einsatzschwerpunkte können Sie den Anwendungsfällen in Tabelle 4.4 entneh-men.

Während der SAP VDS (siehe Abschnitt 4.2) Bestandteil der SAP NetWeaver IdM-Infrastruktur ist, stellt SAP NetWeaver PI die zentrale Prozessintegrationskompo-nente der gesamten SAP NetWeaver-Plattform dar. SAP NetWeaver PI besitzt meh-rere Adapter, die auch im Rahmen einer SAP NetWeaver IdM-Implementierungvon Nutzen sein können.

Das sind u. a.:

� IDoc- und RFC-Adapter

� Webservice-Adapter

� Datenbank-/JDBC-Adapter

� File-Adapter

Während der Webservice-Adapter, der Datenbankadapter und der File-Adapterfür die Kommunikation mit SAP NetWeaver IdM genutzt werden können, stellen

Anwendungsfall Passende Middleware

Nutzung vorhandener Schnittstellen beteiligter Kommuni-kationspartner, die eventuell bereits zur Übertragung von relevanten Daten mit anderen Systemen genutzt werden. Keine Provisionierung von Benutzerkonten (Adapter und Beispiele siehe unten).

Nutzung der Standard-adapter von SAP Net-Weaver PI

Nutzung von SPML und LDAP als Schnittstellentechnologie für den bidirektionalen Datenaustausch mit dem Quell-/Zielsystem sowie zur Anlage/Änderung und Löschung von Benutzerkonten

Standardanbindung über den SAP VDS (sowohl lesend als auch schreibend)

Anbindung von nicht durch SAP NetWeaver IdM-Standar-dadapter unterstützen Anwendungen, die eine Java API für den Datenaustausch zur Verfügung stellen

Erweiterung des Con-nector Frameworks im SAP VDS

Tabelle 4.4 Mögliche Einsatzschwerpunkte von SAP VDS und SAP NetWeaver PI

1348.book Seite 112 Dienstag, 8. September 2009 9:32 09

Page 47: Sappres Netweaver Identity Management

113

Weitere Integrationsthemen 4.5

der IDoc- und der RFC-Adapter Funktionalitäten zur Verfügung, die die Nutzungschon lange im SAP-Umfeld bestehender und hinreichend geprüfter Schnittstellenermöglichen. In Abschnitt 4.5.1 wurde bereits die Übertragung von Daten ausdem SAP Organisationsmanagement (SAP OM) aus einem SAP ERP-System ange-sprochen. Für die Verteilung dieser Daten im ERP-Umfeld wird der ALE-Mecha-nismus zur Übertragung eines dafür vorgesehenen IDoc-Nachrichtentyps genutzt.Die vorhandene Schnittstelle kann dabei alle SAP OM-Objekte inklusive zeitab-hängiger Daten und Verknüpfungen extrahieren und per ALE an entfernte Sys-teme senden.

SAP NetWeaver PI ist durch Nutzung des IDoc-Adapters in der Lage, die versen-deten IDocs entgegenzunehmen und in ein Format umzuwandeln, das vom Ziel-system – im vorliegenden Fall SAP NetWeaver IdM – verarbeitet werden kann.Die Integrationslogik ist damit an zentraler Stelle in der Middleware verfügbar,und die Schnittstellen sind voneinander entkoppelt. Es lohnt sich also immer, vor-handene Schnittstellen zu prüfen und dabei auch den Einsatz anderer Infrastruk-turkomponenten wie SAP NetWeaver PI in Betracht zu ziehen, wenn dadurchzusätzliche Eigenentwicklungen durch das Customizing von Systemen ersetzt wer-den können. Die Vorteile liegen dabei vor allem in der besseren Wartbarkeit undSchnittstellenstandardisierung.

4.5.4 UI-Integration

Eine IdM-Lösung beinhaltet in vielen Fällen sogenannte Self-Services (sieheAbschnitt 12.1), die die Änderung von Teilen der eigenen Identitätsdaten gestat-ten oder die Beantragung von zusätzlichen Rechten für sich selbst oder andereMitarbeiter beinhalten. Somit ist die Integration der entsprechenden UI-Kompo-nenten in das Intranet-Portal des Kunden ein wichtiger Bestandteil der Integra-tionsarbeiten.

In Abschnitt 4.2 wurde bereits die Architektur von SAP NetWeaver IdentityManagement 7.1 beschrieben. Die Komponente für das End-User-Interface wirddemnach auf einem beliebigen SAP NetWeaver AS Java-Stack zur Verfügunggestellt, der entweder dediziert für die Zugriffe auf die SAP NetWeaver IdM-Inhalte genutzt wird oder aber bereits als SAP NetWeaver Portal oder für andereSAP NetWeaver-Komponenten im Einsatz ist. Unabhängig davon, welcher Wegbeschritten wird, kann das zentrale Workflow-UI-Element mit den in Abschnitt4.2.1 dargestellten Registerkarten in eine bestehende Portalnavigation über denImport eines entsprechenden iViews sowie die Definition von Portalrollen bereit-gestellt werden. Dieser vorkonfigurierte iView wird mit den Installationsdateiengeliefert. Zusätzlich besteht bei einer SAP NetWeaver Portal-Integration natürlichdie Möglichkeit, für Erweiterungen weitere Standard-iViews zu nutzen, um bei-spielsweise einem Endanwender zusätzlich eine Startseite mit Erklärungen zu den

1348.book Seite 113 Dienstag, 8. September 2009 9:32 09

Page 48: Sappres Netweaver Identity Management

114

SAP NetWeaver Identity Management im Überblick4

verfügbaren SAP NetWeaver IdM-Funktionen oder eine Liste mit Links zu verfüg-baren Antragsformularen im Rahmen der IdM-Navigationsstruktur im Portal zurVerfügung zu stellen.

Da die UI-Komponenten als Web Dynpro im Java-Stack lauffähig sind und überHTTP-Anfragen direkt angesprochen werden können, kann auch eine Integrationin andere Unternehmensportale und Intranet-Technologien erfolgen, solangediese webbasiert sind und die vom SAP NetWeaver Application Server Java zurVerfügung gestellten Authentisierungsmechanismen unterstützen und somit einSingle Sign-on (SSO) vom Unternehmensportal zur SAP NetWeaver IdM-Infra-struktur möglich ist. Beachtet werden muss bei der UI-Integration in jedem Fall,dass letztlich alle potenziellen SAP NetWeaver IdM-Benutzer – und das sind beider Einführung inklusive Self-Services alle im Identity Store aktiv geführten Iden-titäten – einen Benutzer-Account auf dem jeweiligen Intranet-Portal oder dem fürdie Authentisierung genutzten Verzeichnisdienst benötigen (für Informationenzur UI-Konfiguration siehe Kapitel 8 und 12).

4.6 Monitoring

Wie jede produktiv genutzte Anwendung im Unternehmen erfordert auch derEinsatz von SAP NetWeaver IdM eine Überwachung der durch das System ausge-führten Funktionen. Dieser Abschnitt gibt einen kurzen Überblick über die Mög-lichkeiten und Ansatzpunkte für das Monitoring der SAP NetWeaver IdM-Kom-ponenten. Detaillierte Informationen zur Interpretation von Job- und Systemlogsoder zentralen Datenbanktabellen mit verwertbaren Überwachungsinformatio-nen finden Sie in Kapitel 16. Basierend auf der in Abschnitt 4.2 dargestelltenArchitektur, lassen sich die Überwachungsaktivitäten für SAP NetWeaver IdM indie folgenden Teilbereiche aufteilen:

� Überwachung von Betriebssystem und DateisystemUnabhängig von der Anwendung sollten die genutzten Server hinsichtlich derCPU-Auslastung, Dateisystemauslastung, Plattenkapazitäten, der ausgeführtenProzesse etc. überwacht werden.

� Überwachung der genutzten DatenbankenDie zentrale Komponente der SAP NetWeaver IdM-Architektur bildet die Da-tenbank. Auch die Datenbank kann im Rahmen bereits vorhandener Überwa-chungsmechanismen überwacht werden.

� Überwachung des End-User UIsDer SAP NetWeaver AS Java, auf dem die Frontend-Komponenten gehostetwerden, sollte mit den Standardmitteln – beispielsweise Computing Center Ma-

1348.book Seite 114 Dienstag, 8. September 2009 9:32 09

Page 49: Sappres Netweaver Identity Management

115

Monitoring 4.6

nagement System (CCMS) oder Generic Request and Message Generator (GRMG)für SAP-Systeme – überwacht werden.

� Überwachung spezieller SAP NetWeaver IdM- und VDS-ProzesseZusätzlich zu Betriebssystem, Datenbank und Java-Stack kann die Überwa-chung der Prozesse für Dispatcher und Event Agents aktiviert werden. Die Pro-zesse sind in Windows-Umgebungen als Windows Service registriert und aufUnix-Plattformen in deren Startup-Sequenz eingebunden. Die Überwachungund der Neustart dieser Prozesse im Fehlerfall können mit Standardüberwa-chungsmechanismen realisiert werden.

� Überwachung von Identity Center System Logs und Job LogsAlle vom Dispatcher ausgeführten Aufgaben und Funktionen zur Synchronisa-tion und Verteilung von Daten sowie zur Provisionierung von Benutzerkontenoder Generierung von Berichten produzieren Einträge in Job und System Logs.Für Jobs kann ein Zielverzeichnis für die Ablage der Log-Dateien für die letzteAusführung angegeben werden. Außerdem werden sowohl Job Logs als auchSystem Logs in entsprechende Datenbanktabellen geschrieben, die somit aufFehler – unter Berücksichtigung der Log-Levels – überwacht werden können.Außerdem kann in allen Jobs und Tasks ein Skript oder ein weiterer Task hin-terlegt werden, der im Fehlerfall ausgeführt wird. Zusätzlich kann der Versandvon SNMP Traps (Simple Network Management Protocol) konfiguriert werden.Durch den Versand von SNMP Traps (standardisierte Datenpakete/Nachrich-ten) kann eine Integration in gängige Überwachungswerkzeuge erfolgen, die inder Lage sind, diese Nachrichten zu interpretieren.

� Überwachung von VDS LogsAuch der VDS schreibt – je nach Konfiguration – Log-Dateien in Abhängigkeitvom konfigurierten Log-Level. Diese Logfiles können mithilfe von Standard-Monitoring-Werkzeugen ausgewertet werden. Wird der VDS für den Zugriffanderer Anwendungen auf den Identity Store mittels LDAP oder SPML genutzt,wird er zur kritischen Komponente und muss unbedingt ausreichend über-wacht werden. Durch das Deployment der SPML-Services auf einen AS Javakönnen auch die dort integrierten Überwachungsfunktionen genutzt werden.

� Überwachung der Provisionierungswarteschlange und der ProvisionierungstasksDie korrekte Funktion von SAP NetWeaver IdM basiert auf der asynchronenAusführung von anstehenden Provisionierungstasks durch die konfiguriertenDispatcher. Diese Provisionierungstasks werden gestartet, um auf Basis einesim Identity Store verwalteten Objekts bestimmte Funktionen anzustoßen undauszuführen. Hier können bereits Fehler auftreten, bevor Jobs gestartet wer-den. Diese Fehler sind zunächst ausschließlich im Provisioning Audit (siehe Re-gisterkarte Überwachung in Abschnitt 4.2) zu finden. Zur automatisiertenÜberwachung der ausgeführten und auszuführenden Provisionierungstasks

1348.book Seite 115 Dienstag, 8. September 2009 9:32 09

Page 50: Sappres Netweaver Identity Management

116

SAP NetWeaver Identity Management im Überblick4

empfiehlt es sich, die Provisioning-Audit-Tabellen in der IC-Datenbank in re-gelmäßigen Abständen zu lesen und auszuwerten.

Zur Ausführung der aufgelisteten Monitoring-Aktivitäten können verfügbareWerkzeuge genutzt werden (Beispiele sind: HP Operations Manager, IBM Tivoliund CA Unicenter). Diese Werkzeuge sind in der Lage, Logfiles auf Muster zuuntersuchen, Prozesse zu überwachen, SNMP Traps auszuwerten sowie spezielleÜberwachungsaktionen auszuführen und eventuell auftretende Fehler an zentra-ler Stelle zu melden. Meist erlauben diese Tools auch die Konfiguration von Akti-onen, die den Fehler beispielsweise durch den Neustart des fehlgeschlagenen Pro-zesses automatisch beheben. Neben den Third-Party-Tools kann auch eineIntegration in das CCMS oder den SAP Solution Manager Diagnostics erfolgen.Allerdings gibt es in der aktuellen Version hierfür keine vorgefertigten Integrati-onsvorlagen.

4.7 Reporting

Ein weiterer Grund für die Einführung einer IdM-Lösung ist das Berichtswesen.Denn was nützt die Verwaltung der Identitätsdaten über ihren Lebenszyklus mit-hilfe eines ausgefeilten Antragswesens, der regelbasierten Rollenzuordnung undnicht zuletzt der automatisierten Verteilung der Daten, wenn die Nachvollzieh-barkeit trotzdem nicht gegeben ist? Um relevante Fragestellungen für Wirtschafts-prüfer und Auditoren zufriedenstellend beantworten zu können, müssen sowohldie im System anfallenden Stamm- als auch die Bewegungsdaten über die Zeit vor-gehalten werden.

Stammdaten sind im Bereich des Identity Managements alle Daten, die die ver-walteten Identitäten beschreiben. Das sind also sowohl einfache Attribute wieVorname, Nachname, Kommunikationsdaten, Eintritts- und Austrittsdatum alsauch zugewiesene Berechtigungen und Verknüpfungen mit Organisationsobjek-ten. Für diese Daten gibt es für jeden Zeitpunkt einen bestimmten Zustand. DieserZustand kann mithilfe von Datenbankabfragen sowohl aktuell als auch für Zeit-punkte in der Vergangenheit ermittelt werden, sofern bei der Definition desDatenmodells (siehe Abschnitt 4.3) auf eine ausreichende Aufbewahrungszeit zurHistorisierung von Daten geachtet wurde.

Bewegungsdaten beziehen sich einerseits auf die durch das System verwaltetenAnträge und andererseits auf zusätzliche Audit-Informationen, mit denen Infor-mationen über Änderungen festgehalten werden. Durch die Auswertung derAntragsdaten und der erweiterten Audit-Daten wird die Nachvollziehbarkeitgewährleistet, die im Rahmen von Gesetzen und Richtlinien zur Einhaltung derCompliance gefordert wird. Somit lässt sich nicht nur die Frage beantworten, wer

1348.book Seite 116 Dienstag, 8. September 2009 9:32 09

Page 51: Sappres Netweaver Identity Management

117

Reporting 4.7

wann welche Rechte hatte, sondern auch die Frage, wer die Änderung beantragt,genehmigt oder durchgeführt hat.

Da SAP NetWeaver IdM, wie eingangs beschrieben, auf einer relationalen Daten-bank basiert und letztlich alle gesammelten Informationen über konfigurierbareZeitintervalle in dieser Datenbank vorgehalten werden, können mit entsprechen-den Werkzeugen zur Reportgenerierung die benötigten Berichte durch Zugriff aufdie IC-Datenbank erstellt werden. Das Werkzeug Crystal Reports ist der ReportDesigner für das Berichtswesen in SAP NetWeaver IdM. Mit seiner Hilfe könnensogenannte Report Templates erzeugt werden (Dateien mit der Endung .rpt), diein den Identity-Center-Jobs oder Tasks zu Reportdateien in unterstützten Output-Formaten wie PDF und HTML verarbeitet werden. So kann beispielsweise aufAnforderung eines Endanwenders ein Report über seinen eigenen Identitätsda-tensatz erzeugt worden. Ebenso kann ein Vorgesetzter zu jedem Zeitpunkt Berech-tigungsreports über seine Teammitglieder erzeugen lassen, um die bewilligtenRechte in regelmäßigen Abständen zu kontrollieren und gegebenenfalls Gegen-maßnahmen, wie den Entzug von Rollen, einleiten zu können. Details zu dengenannten Report Templates sowie zur Anpassung, Erweiterung und Erstellungeigener Templates finden Sie in Kapitel 17.

1348.book Seite 117 Dienstag, 8. September 2009 9:32 09

Page 52: Sappres Netweaver Identity Management

623

Index

A

Access Control � siehe SAP BusinessOb-jects Access Control

Account 41, 43priorisierter 35, 36

Action Task 293, 336, 359, 391, 475, 478, 480

Active Directory � siehe Microsoft Active Directory

AD � siehe Microsoft Active DirectoryAdministrationskonsole � siehe IC Con-

soleAdministrationskosten 27Admin-Task 181, 485, 486AIX 200ALE 79, 152, 603

Replikation 493Verteilungsmodell 80, 176

Algorithmus 170Altsystem 129Änderungsantrag 53, 186, 187Antragsprozess 182Antragswesen 149, 155Anwendungsfall 314Application Link Enabling � siehe ALEApplikationsbetreuer 51Approval Queue 568Approval Task 105, 288, 295, 373, 378,

396, 401, 402, 403, 404, 407, 410Arbeitsverhältnis 34ARIS for SAP NetWeaver 75AS Java 65, 69, 251, 258, 478Attestation 287Attribut 53, 54, 93, 269, 314, 317, 327

Anzeigename 318Datenfeldtyp 269, 315, 321DISPLAYNAME 298Eindeutige Kennung 314, 350Entry Reference 271, 272, 320, 343führendes 100Gruppe 174Historie 270, 328Lebensdauer 318Mapping 290

Attribut (Forts.)mehrwertiges 269, 344, 446MSKEYVALUE 268, 299, 340, 343MX_ADD_MEMBER_TASK 302, 408MX_APPROVALS 301MX_APPROVERS 302, 405, 408, 410MX_ATTR_STATE 411MX_ENTRYTYPE 268, 298MX_INACTIVE 299MX_PENDING_VALUE 401, 408MX_OWNER 300MX_VALIDFROM 299MX_VALIDTO 299MXMEMBER 272MXREF 271Name 269, 325Personalnummer 314Value Help 319, 329Verschlüsselung 270zeitliche Abgrenzung 272, 299, 312

Audit-Flag 301, 360, 361, 362, 398Audit-ID 368, 415, 569, 570Auditing 60Audit Log 575Aufgabentrennung 38Ausfallsicherheit 550Ausfallszenario 61Ausscheiden, temporäres 34Authentifizierung 551Authentisierung 150, 157, 496, 551Authentizität 44Autorisierung 43

B

Backup 61BAPI 76BASEL II 38Basistechnologie 66Batch-Prozess 336Benutzer

Gruppe 73Konto 26, 27, 34, 35, 42, 51, 150, 276Name 179Verwaltungssystem 56

1348.book Seite 623 Dienstag, 8. September 2009 9:32 09

Page 53: Sappres Netweaver Identity Management

624

Index

Berechtigung 27, 31, 33, 34, 51, 275, 305Antrag 30Eintrag 47Konzept 28, 529kritische 533Management 38Steuerung 300Vererbung 281Vergabe 27, 31, 39, 40, 41, 47Zuordnung 278, 304, 306, 312

Best Practice 55, 433Bestandsaufnahme 57Betriebskonzept 60Bilanzskandal 26Blacklist-Szenario 52Bottom up 57, 58, 127BPM 604Brute Force 201Bugfixing 553Built-in-Function 104, 471Business Application Programming Inter-

face 76Business Case 57, 59Business Package 73Business Process Management 604Business-Suite � siehe SAP Business

Suite

C

CAD 200CCMS 116Challenge-/Response-Frage 230Change and Transport System, erweiter-

tes 600Change-Log-Datenbank 46Cluster-Verbund 550Compliance 24, 26, 31, 38Compliant Identity Management 110,

164, 195, 532, 534, 540Computer-Aided Design 200Computing Center Management System

116Conditional Task 295, 396, 397, 398,

476Corporate Directory 495Corporate Identity 60, 592

Crystal Reports � siehe SAP Business-Objects Crystal Reports

CTS+ 600

D

Data Security Officer 245Daten

Analyse 29, 43Änderung 30, 46, 53historische 31, 35, 43Hoheit 315, 324Konsolidierung 168Modell 174, 177, 266Modellierung 91, 94, 97, 98, 269, 297,

314, 325personenbezogene 28Qualität 27, 30, 31, 45, 121, 127, 159,

171Quelle 99, 159, 172, 315, 418Schiefstand 555Sicherheit 31Synchronisation 59, 98, 100, 125, 141,

142, 324, 391, 428Transformation 290, 341, 343, 349,

352, 419, 421Datenbankmanagementsystem (DBMS)

252Delta-Datenbank 428, 430Delta-Ermittlung 176Delta-Mechanismus 416, 428, 429, 506Demosystem 546Deprovisionierung 29, 35, 52

Task 276Destination Script 406Dienst, zentraler 146Digitale Identität 32, 42, 46Dispatcher 88, 255, 261, 357Distinguished Name 179, 516Dokumentenmanagementsystem (DMS)

199Domäne 154Dynamische Gruppe 284, 311

E

EAI 511EAR 520Effizienz 31

1348.book Seite 624 Dienstag, 8. September 2009 9:32 09

Page 54: Sappres Netweaver Identity Management

625

Index

E-Government 23Einarbeitungszeit 33Eingabevalidierung 319, 384Eingebaute Funktion 104, 367, 471Eintrag, Historie 571, 572Elternzeit 25, 34E-Mail 43, 190, 371Employee Self-Service 108, 196Enterprise Application Integration 511Enterprise Archive 520Enterprise Services Directory 76Enterprise Services Repository 76Enterprise Single Sign-on 244Entgelt-Rahmenabkommen 194Entity-Relationship-Modell 314Entry

anlegen 345löschen 345

Entry Report Sample 578Entry Type 93, 298, 314, 325, 374

Hierarchie 322MX_APPLICATION 95MX_ASYNC_REQUEST 95MX_COMPANY_ADDRESS 95, 471MX_DYNAMIC_GROUP 94, 284, 311MX_GROUP 95, 472MX_PENDING_VALUE 94, 300, 302,

312MX_PERSON 94, 263, 302MX_PRIVILEGE 94, 275, 305MX_REPORT 95, 313, 586MX_REPOSITORYNAME 465MX_ROLE 94, 278, 308ORG_UNIT 322

Entscheidungsprozess 66Entwicklungssystem 546ERA 194Eskalationsroutine 52ESS 108, 196ESSO 244EuroSOX 26Event

Agent 46, 255Scheduling 427Task 412, 413

Exchange Server 154

F

Fachbereich 56Fachkonzept 167Fehler

Behandlung 363, 393Quelle 363Skript 359, 362vorübergehender 363, 365

Feinkonzept 171Firmenbuchhaltung 25, 26Formatierung 170From-Pass 417, 418, 419Frontend-Gestaltung 293Function-Set-Rolle 511Funktion

eingebaute 104, 367, 471uError 364, 371uGetErrorInfo 366, 368uProvision 471uSkip 364, 370

Funktionalrolle 50

G

Genehmigung 406, 408anstehende 570Konzept 38Prozess 57, 272, 302, 404, 406, 408Sammelgenehmigung 52Workflow 43, 60

Generic Task 469Geschäftsmodell 57Geschäftsprozess 24, 66Geschäftsrolle 49, 51, 57, 96, 128, 278Gesetzesanforderung 26Global Event Task 468Global Unique Identifier 210, 557Governance, Risk und Compliance (GRC)

24, 31, 281GRC Provisioning Framework 411, 537,

542Gruppe 27, 40

dynamische 284, 311GUID 210, 557

1348.book Seite 625 Dienstag, 8. September 2009 9:32 09

Page 55: Sappres Netweaver Identity Management

626

Index

H

Handlungsanweisung 26Hash 239Hochverfügbarkeit 550Human Resources (HR) 44Hypertext Preprocessor 238

I

IC 82, 83, 600Action Task 475, 478, 480Adapter 101, 141Änderung anzeigen 386Anzeigeelement 383Arbeitsvorrat 85Attribut darstellen 382Attribut platzieren 380Benutzeroberfläche 373Bestandteile 249Best Practice 433Caching-Einstellung 377Client Library 253Datei bereitstellen 383dynamischer Filter 389eindeutiger Schlüssel 251Eingabefeld 383Eintrag ändern 378Eintrag erstellen 375Enable Trace 571erweiterte Suche 377Fehlerbehandlung 564grafische Hierarchie 385Gültigkeit von Zuweisungen 385Historie 85Historische Werte anzeigen 386Import 559JDBC-Treiber 253Konfiguration 260Layout 379LinkGroup 473Log auf Task-Ebene 568Maske direkt aufrufen 378Mehrsprachigkeit 382Meldungstext 567Monitoring 85, 114Objekt updaten 557Optionsfeld 383Passworteingabe 384

IC (Forts.)Passwortrücksetzung 388Pflichtattribut 376Provisionierungswarteschlange 461Rechenintensität 548Referenz 557regulärer Ausdruck 238, 385Releasewechsel 485Repository 100, 273Rule-Based Provisioning 468Suchergebnis einschränken 374Template 105Überwachung 85, 114Verwalten 85, 374Wert vorgeben 384Wizard 435Zu erledigen 85, 373Zugriffssteuerung 387

IC Console 83, 86, 206, 392Connection String 260Konfiguration einrichten 260Fehlersuche und Test 259, 261Installation 256, 552Manager Privilege 263Runtime-Komponente einrichten 261Verbindung einrichten 260Voraussetzungen 256Warnung 563

IC Runtime 88, 292, 356Installation 256Produktivumgebung 547Voraussetzungen 255

IC-DatenbankBenutzer und Datenbankrollen 254Bereitstellung 251Fehlersuche und Test 255Installation 253Oracle-Client-Paket 253Sicht MXIV_ALL_SENTRIES 328Sicht MXIV_SENTRIES 328, 333Sicht MXPV_AUDIT 331Transport 555Voraussetzungen 253

Identität 26, 53, 135, 302digitale 32, 35, 46, 53, 136, 204

Identity Center � siehe ICIdentity Lifecycle 32, 493Identity Store 87, 266, 346, 368

Audit-Flag 301, 360, 361, 398

1348.book Seite 626 Dienstag, 8. September 2009 9:32 09

Page 56: Sappres Netweaver Identity Management

627

Index

Identity Store (Forts.)Entry löschen 345inaktiver Entry 401löschen 556MSKEY 268, 272, 299, 355Sichtbarkeit von Entrys 300Transport 557

Identity-Store-Schema 91, 92, 266, 267, 326, 329, 374Anzeigename 298Anzeigetext 268Entry Type 267Mehrsprachigkeit 268Standardschema 271, 297, 317, 324

IdM UI 84, 262, 265, 601Fehlersuche und Test 258, 263keys.ini 258Voraussetzungen 257, 258Wertehilfe 451

IdM-ProjektAbhängigkeiten 136agile Methode 138Altsystem ablösen 129Anforderungsanalyse 132, 137, 144Begriffsdefinition 128, 135Benutzerfreundlichkeit 125Change Management 131dynamisches Umfeld 136Ebenenmodell 141Erfolgsfaktoren 123iteratives Vorgehen 137, 138, 139Kernprojekt 120Kosten-Nutzen-Rechnung 123Phase 120, 126, 140Programm 119, 128Proof of Concept 135Roadmap 128, 140Schnittstelle 141Stakeholder 126, 130Steuerungskomitee 133Team 144Umfang 140, 141Verantwortung 119, 133Voraussetzungen 134, 135Vorgehensmodell 131, 137, 160, 161,

172Widerstand 122, 127, 129Zieldefinition 127, 128

IDoc 76, 176

Implementierung 55Incident Management 125Informationshoheit 45Information Integration 68Init Task 295, 361, 406, 412Initial Load 172, 180, 215, 438, 440,

442Insellösung 27Installation 165Integration 108

ALE-Replikation 507BAdI-Implementierung 496, 508Identity Lifecycle Management 493Middleware 111, 142SAP BusinessObjects Access Control 110SAP BusinessObjects GRC 110SAP Business Suite 108, 302, 493, 496,

497, 507, 508, 510SAP HCM 90, 108, 493, 494, 497SAP NetWeaver PI 108, 497SAP NetWeaver Portal 493, 495User Interface 113Verzeichnis 142

Interessengruppe 126Intermediate Document 76, 176Issue-Tracker 226, 228IT-Administration 25ITIL 55, 125IT Infrastructure Library � siehe ITILIT Practice 67IT-Service-Level 55IT-Szenario 67iView 73

J

Java Database Connectivity � siehe JDBCJava Runtime Environment 255JCo � siehe SAP Java ConnectorJDBC 552

Adapter 511Konnektor 176Treiber 253, 258URL 258

Job 292, 356, 394Ausführung 347Definition 24Fehler 358Kette 296

1348.book Seite 627 Dienstag, 8. September 2009 9:32 09

Page 57: Sappres Netweaver Identity Management

628

Index

Job (Forts.)Logging 293, 331, 366, 562, 565Provisionierung 335Standardjob 287, 296, 348, 415Status 565Template 292, 416, 438, 560Update-Job 181

JRE 255

K

Kennung, eindeutige 350Kerberos 107, 551Kick-off-Workshop 165Klasse

DSEEntry 353, 366FromSAPIdentify 444

Kompensierende Kontrolle 525, 530Komplexität 27, 66, 72Komponente 562Konfiguration 260, 261, 500, 502, 519,

540, 556Konnektor 46, 47, 49, 176, 443, 511,

602FromCustom 444FromSAP/FromSAPIdentity 444FromSPML 444ToLDAP 479ToSAP/ToSAPIdentity 474ToSPML 478

Konsolidierung 168Konstante 292

globale 273lokale 274, 339MX_RECONCILE 283Repository 101, 273, 306, 338, 465,

470, 587Verschlüsselung 274

Konzeptionierung 55Kosten 27, 30, 123

L

Lasttest 546Laufzettel 30, 53LDAP 142, 259, 267, 602

Feld-Mapping 503Konnektor 498, 501LDAP Listener 561

LDAP (Forts.)Server-Konfiguration 502Transaktion LDAP 502

LDAP Data Interchange Format (LDIF) 102

Least Privilege 39Level of Trust 45, 231Lightweight Directory Access Protocol �

siehe LDAPLine Manager Report Sample 578Lizenz 25, 31, 36, 54, 61Log-Level 568, 574LOT 45, 231Lotus Notes/Domino 433

M

Mailsystem 43Management-Support 158Manager Self-Service 196Mandantenfähigkeit 266Master Data Management � siehe SAP

NetWeaver Master Data ManagementMechatronic Corporate Directory (MCD)

200Mehrfach-Account 41Mehrsprachigkeit 190, 235, 268, 382Member Event 408, 411, 412Metaverzeichnis 81, 162, 324Microsoft

Active Directory 27, 88, 178, 179, 287, 391, 445, 479

Exchange 154Ministamm 152Mitarbeiter 43, 183Mitigating Control 525, 530Mitigation 195Modifikation 565Monitoring 114, 562MSS 196Mutterschutz 34

N

Neueinstellung 33New Economy 25Non-Person 211NWA 71, 257NWDI 603

1348.book Seite 628 Dienstag, 8. September 2009 9:32 09

Page 58: Sappres Netweaver Identity Management

629

Index

O

Objekt DSEEntry 351Klasse 92, 93

On-Boarding-Prozess 171Open Database Connectivity (ODBC)

552Ordered Task Group 105, 294, 373, 392,

393, 397Organisation 27

Einheit 171, 494, 512Hierarchie 175, 176Modell 59

Organisationsmanagement 77, 152, 170, 494Arbeitsplatzbeschreibung 512, 534Infotyp 497, 513Modell 508Personalbereich 497Planstelle 50, 171, 494, 512Stelle 497, 512

Organizational Unit (OU) 233Owner Repository 100

P

Pass 289, 335, 348aktivieren 416changeType 342, 345Destination 340, 418, 421FromCustom-Pass 443, 451FromLDAP-Pass 290, 444From-Pass 289, 417, 418, 419Leerstring 344NULLATTR 345Parameter 586Platzhalter 338, 341Präfix 420Quelldatensatz 348, 351Read-Pass 443Source 421, 423Template 336, 346ToCustom-Pass 337, 474ToGeneric-Pass 292, 353, 450ToIdentityStore-Pass 289, 337, 340,

345, 353, 424ToLDAPDirectory-Pass 423To-Pass 289, 420, 423

Pass (Forts.)Typ 336Verify-Pass 450Write-Pass 447Zieldatensatz 348

Password Management 42, 59, 81, 106, 397, 552integrierte Windows-Authentifizierung

107Kerberos-Ticket 107Password Hook 107, 239Password Policy 106, 205Password Recovery 106Secure Network Communications 107Self-Service 59, 106Single Sign-on 106Synchronisation 30

People Integration 67, 68Personalabteilung 44Personalstammdaten 34, 124Personenobjekt 49PHP 238PKI 107Priorisierter Account 35, 36Privilege 47Privilege Sample 578Produktivität 28, 33Produktivumgebung 547Projektmanagement, agiles 136Projektvorgehen 131, 136, 160, 161,

172Protokollierung 25, 26, 53, 330Prototyping 166, 172Provisionierung 29, 47, 52, 53, 81, 103,

105, 141, 142, 157, 335, 391, 416Prozess 287, 306, 335, 412, 462Task 335, 336von Attributen 464von Berechtigungen 465Warteschlange 332, 348

Provisioning Audit 569, 570Provisioning Framework � siehe SAP

Provisioning FrameworkProvisioning Queue 569Prozess 287

Antragsbegründung 272Antragswesen 149, 155Attestation 287Batch-Prozess 336

1348.book Seite 629 Dienstag, 8. September 2009 9:32 09

Page 59: Sappres Netweaver Identity Management

630

Index

Prozess (Forts.)Effizienz 31Genehmigungsprozess 57, 272, 302,

404, 406, 408Instanz 288, 330Integration 67Personaladministration 34, 124Reconciliation 44, 287Standardisierung 144Standardjob 287, 296, 348, 415Steuerung 81

Pull 46Push 46

Q

Qualitätssicherung 25, 61, 546Quellsystem 173Quick Win 59, 140, 246

R

Read-Pass 443Rechte

Akkumulation 28, 34, 127Deaktivierung 28Trennung � siehe Segregation of Duties

Reconciliation 44, 287Regular Expression 238, 385Regularien 25Relation 271, 272, 316, 320

Containerbeziehung 271, 275, 304, 316, 322

Kardinalität 316, 320, 323Remote Function Call 76, 502Reporting 26, 54, 60, 82, 98, 116, 149,

157, 332, 577Report Sample 578, 584, 598Report Task 584Sub-Report 578SQL-Anfrage 333, 334

Repository 305, 339, 362, 417Konstante 101, 273, 306, 338, 465,

470, 587Return on Investment � siehe ROIRevision 31Rezertifizierung 143, 144RFC 76

Destination 502

Risikopotenzial 41Roadmap 128, 140, 162ROI 31, 206, 606Role Report 582Role Sample 578Role Tree 583Rolle 277, 278, 308

Berechtigungsrolle 262Berechtigungsvererbung 281Definition 41, 134Einschränkung 309Geschäftsrolle 49, 51, 57, 96, 128, 278Hierarchie 281, 283Kombination 38Konzept 41Modell 59Role-based Access Control (RBAC) 277,

281SAP-Rolle 27technische 40, 47, 96, 275, 305Zuweisung 194, 282, 283, 308

Rolling-Wave-Verfahren 236Runtime Library 583

S

Sabbatical 34Salted Hash 201, 240Sammelkonto 35SAP Business Suite 153, 478, 507, 508,

510Integration 108, 302, 493, 496, 497,

507, 508, 510SAP BusinessObjects

Compliant User Provisioning (CUP) 525Enterprise Role Management (ERM)

526, 529GRC 110, 524Risk Analysis & Remediation (RAR) 525,

529Standardregelsatz 532Superuser Privilege Management (SPM)

526SAP BusinessObjects Access Control 90,

110, 411, 525, 604Live-Risikoanalyse 544Mitigating Control 525, 530Webservice-API 539

1348.book Seite 630 Dienstag, 8. September 2009 9:32 09

Page 60: Sappres Netweaver Identity Management

631

Index

SAP BusinessObjects Crystal ReportsCrystal Reports 2008 591, 592, 593,

598Entry Report 578Line Manager Report 578, 580PDF 585Privilege Report 581Registerkarte »Report« anzeigen 589Report Sample 578, 584, 598Role Report 582Role Tree 583Runtime Library 583Server 598Sub-Report 578

SAP Customer Relationship Management (CRM) 32, 602

SAP Enterprise Resource Planning (ERP) 150

SAP Human Capital Management (HCM) 108, 147, 152, 493, 494, 497, 603Extraktionsreport 506HCM Staging Identity Store 499, 500HR LDAP-Interface 497ID-Generierung 504Initialpasswort 505Integration 497Master Identity Store 499Rückverteilung 499Zuordnungstabelle 498

SAP Java Connector (SAP JCo) 68, 70, 256

SAP NetWeaver Administrator 71, 257SAP NetWeaver Application Server Java

� siehe AS JavaSAP NetWeaver Application Server ABAP

475, 526SAP NetWeaver Business Warehouse

(BW) 153SAP NetWeaver Composition Environ-

ment (CE) 604SAP NetWeaver Developer Workplace

251SAP NetWeaver Development Infrastruc-

ture 603SAP NetWeaver Identity Management 79

Architektur 82, 90Datenbankplattform 252Download der Pakete 253Funktionstrennung 530

SAP NetWeaver Identity Management (Forts.)Installationshilfe 252MaxWare 80Mindestanforderungen 250Releasewechsel 437Risikoanalyse 539

SAP NetWeaver Master Data Manage-ment (MDM) 68, 146, 434, 511

SAP NetWeaver Portal 50, 65, 72, 73, 153, 179Integration 493, 495

SAP NetWeaver Process Integration (PI) 67, 74, 108, 153, 497, 511, 512, 513, 603

SAP NetWeaver Rapid Installer 251SAP Provisioning Framework 105, 177,

274, 277, 305, 324, 393, 394, 416, 421, 433Adressattribut 472Anpassung 484Attribut »Account« 457Clean IS MS-SQL with Delta 461Clean Staging Area 461Datentyp 447Delta-Handling 453Erweiterung 485Event Task »Modify« 464Event Task »ModifyUser« 464, 470Exchange Server 481Externer Mitarbeiter 484Firmenadresse 471, 472Importprozess 437Komponenten 434LDAP-basiertes Directory 479MX_COMPANY_ADDRESS 471MX_REPOSITORYNAME 465Projektphase 436Provision Job Template 440Reset Delta Job 461Scheduling 453Service Job Template 440, 460Template 435Update Job Template 440, 441Update Template 452Zwischentabelle 446

SAP Query 497, 498, 503SAP Solution Manager 152, 603SAP Standalone Log Viewer 573

1348.book Seite 631 Dienstag, 8. September 2009 9:32 09

Page 61: Sappres Netweaver Identity Management

632

Index

SAP Supplier Relationship Management (SRM) 32

SAP Virtual Directory Server (VDS) 82, 89, 176, 500, 514, 548, 600, 604Classpath 259Console 576Datenquelle 561Fehlersuche und Test 259GRC-Template 541Identity Service 90, 111, 491, 514, 515,

516, 517Installation 258Keystore 552Konfiguration 519Konnektor 515Monitoring 259MX_ASYNC_REQUEST 518Operation Log 574Passwortschutz 552Persistenzschicht 515Produktivumgebung 547Standardprotokoll 514Statistik 575Synchrone Kommunikation 515Test Mode 576Transport 560Überwachungsmöglichkeit 573Voraussetzungen 258Web Services Client 521

Sarbanes-Oxley Act 26, 38Scheduling Rule 425, 426Schlüsselattribut 93Scope Creep 140SDM 68, 257, 520, 554Secure Network Communications 107,

551Security Identifier 169Segregation of Duties (SoD) 38, 110,

164, 195, 278, 280, 525Selbstadministration 59Self-Service 85, 106, 127, 182, 190, 378,

483, 579, 585Servertechnologie 68Service Pack 553Serviceorientierte Architektur (SOA) 76Service Provisioning Markup Language

� siehe SPMLSicherheit 25, 26, 134

Lücke 34

Sicherheit (Forts.)Risiko 27

SID 169Simple and Protected GSSAPI Negotiation

Mechanism 551Simple Network Management Protocol

� siehe SNMPSingle Sign-on � siehe SSOSizing 545Skript 292, 338, 367, 423, 487

Destination Script 353, 355Entry Script 347, 348, 351, 353, 354Fehlerskript 365, 367globales 292, 349Init Script 347JavaScript 292, 349, 356Parameterübergabe 350Termination Script 347, 348Visual Basic Script (VBScript) 292, 356,

481Skriptfunktion 348

uApplyPending() 410uGetApprovers 406uProvision() 415uSendSMTPMessage 406

SLD 71SNC 107, 551SNMP 115, 565, 566, 576SOA 76Software Deployment Manager � siehe

SDMSolution Support 62Solvency II 38SOX 26, 38SPML 142, 259, 514, 561, 604SPNEGO 551Sponsor 121SQL

Anfrage 333, 334Filter 388Prozedur 398

SQL-Anweisung%MSKEY% 399für Delta-Mechanismus 431Hilfsdialog 401in Conditional Tasks 398in Switch Tasks 400in To-Passes 423, 424Spaltenname 421

1348.book Seite 632 Dienstag, 8. September 2009 9:32 09

Page 62: Sappres Netweaver Identity Management

633

Index

SSL 551SSO 68, 73, 106, 114, 150, 157Staging

Area 461Konzept 499

Stakeholder 121, 130, 140Analyse 126Anwendungsbetreuung 123Betriebsrat 124Datenschutz 124Fachabteilung 120, 123IT-Architektur 143IT-Sicherheit 125Key User 123Personalabteilung 124Priorisierung 122, 126Senior Management 122User Helpdesk 125

Stammdaten 149, 155, 176Standalone Log 573Standardjob 287, 296, 348, 415

Event Scheduling 427Exportprozess 423Importprozess 416Repository 417zeitabhängiger Prozess 424

Stellvertreter 42, 52Stored Procedure 102, 398Sub-Report 578Switch Task 105, 295, 396, 398, 399,

476Sync Utility 463, 556Synchronisation 28, 30, 44System Landscape Directory 71System Log 566, 568System

Berechtigung 33, 53Heterogenität 66Management 25Performance 37Protokoll 566, 568Wiederherstellung 550

T

Tabellelogentries 430MXI_VALUES 327temporäre 418

Task 293, 360, 392, 412Action Task 293, 336, 359, 391, 475,

478, 480Admin-Task 181, 485, 486Approval Task 288, 295, 301, 373,

396, 401, 402, 404, 407, 410Ausführungsergebnis 367Case-Zweig 396, 399, 400Conditional Task 295, 396, 397, 398,

476Else-Zweig 399Ergebnis 571Fehlerbehandlung 295, 361, 367Generic Task 467, 469Global Event Task 464, 467, 468Historie 571Init Task 295, 361, 406, 412löschen 395Lost and Found 396Ordered Task Group 105, 294, 373,

392, 393, 397Provisionierungstask 104, 276, 278,

335, 336, 412Report Task 584Switch Task 105, 295, 476Struktur 463, 466System Type Specific Task 467, 473Task Group 294, 373, 392, 393Task-ID 392, 406Task-Ordner 396Timeout 402Unordered Task Group 105, 294, 373,

392, 394Verlinkung 395Verzögerung 360Vorübergehender Fehler 363, 365Web-Enabled Task 467, 482, 486Wiederholung 295, 365Wiederverwendung 294

Tätigkeitsprofil 36Technische Rolle 40, 47, 275, 305Technischer Adapter 102, 103Testsystem 546Tier-1-Lieferant 197Timeboxing 126, 139To-Pass 289, 420, 423Top down 57, 58, 127Trace Log 566, 568Transparenz 27

1348.book Seite 633 Dienstag, 8. September 2009 9:32 09

Page 63: Sappres Netweaver Identity Management

634

Index

Transportsystem 166Transportwesen 554Triple DES 270

U

UDDI 76UI 66, 68, 83, 189, 392, 403, 412UME 70, 142, 150, 179UML 314Umorganisation 33Umzug, initialer 555Universal Description, Discovery and

Integration 76Universal Worklist 85Unordered Task Group 105, 294, 373,

392, 394Unternehmensportal 146Unternehmensrichtlinien 42Upgrade 553Usability 60, 160Use Case 314User Interface � siehe UIUser Management Engine � siehe UMEUser Store 547UWL 85

V

Variable 274, 292, 339, 350, 372VDS � siehe SAP VDSVerbindungssicherheit 551Verify-Pass 450Verknüpfung 171Versionskontrolle 560, 561Verteilungsparameter 458 Verwaltungskonzept 28

Vier-Augen-Prinzip 38Virtual Directory Server � siehe SAP VDSVisual Administrator 72, 257Visual Basic Script (VBScript) 292, 356,

481

W

WAM 204Warenwirtschaftssystem 66Wartung 61Web Access Management 204Web-Enabled Task 467, 482, 486Web Service Definition Language 76Webservice-Adapter 511Webservice-API 539Wertbetrachtung 195Whitelist-Szenario 52Widerstand 122Wiederaufnahmebericht 231Wirtschaftsprüfung 25Workflow 43, 186, 190, 191

Prozess 51Steuerung 97

Write-Pass 447WSDL 76

Z

ZBV 59, 66, 74, 79, 80, 146, 150, 152, 177, 204, 243, 458Master 74, 79, 152Ablösung 59

Zeitplan 296, 357, 425, 426, 427Zentrale Benutzerverwaltung � siehe

ZBVZentraler Dienst 146Zielsystem 275Zugriff 26

Anforderung 24Berechtigung 24, 41Regel 389

Zuverlässigkeit 26

1348.book Seite 634 Dienstag, 8. September 2009 9:32 09


Recommended