of 26 /26
SAP NetWeaver Identity Management Dr. Peter Gergen Presales Specialist Identity Management Platform Solutions SAP Deutschland

SAP NetWeaver Identity Management - Procatsprocats.de/akNord/images/cm/SAP_NW_IdM4DSAG_Demo_Extern.pdf · SAP NetWeaver Identity Management 7.0 Web App. Legacy App. Lotus Notes Databanken

  • Author
    others

  • View
    5

  • Download
    1

Embed Size (px)

Text of SAP NetWeaver Identity Management -...

  • SAP NetWeaverIdentity Management

    Dr. Peter Gergen

    Presales Specialist Identity ManagementPlatform Solutions

    SAP Deutschland

  • © SAP 2007 / Page 2

    Agenda

    1. Überblick2. Features, Funktionen, Architektur3. Typische Szenarien4. Demo

  • © SAP 2007 / Page 3

    Compliance &IT Risk Management

    Audit & Reporting,Interfacing mit Risiko-

    Analyse

    Rollen & Regel-basiertesProvisioning

    Wem ist wann wasgestattet?

    Identity LifecycleManagementIdentity-Erstellung,Synchronisation undAdministration

    eSOAIdentity Kontext imZusammenhang mitGeschäftsprozessen

    Identity Management – Key benefits

  • © SAP 2007 / Page 4

    Lebenszyklus einer Identität im Unternehmen

    Einstellungsdatum:Erster Arbeitstag von Tim KrügerVerügfbar:temp. E-Mail-Account

    1 Jahr später:Tim Krüger wechselt in den VertriebManuelle Anträge auf Berechtigungen durch neuenManagerVerfügbar:Portal, E-Mail, Internet, Siebel, Gehaltsliste,Marketing (west)

    3 Wochen später:Tim Krüger arbeitet bei der LohnbuchhaltungVerfügbar:Portal, E-Mail, Internet, Gehaltsliste

    7 Jahre später:Tim Krüger wird neuer Vice President Sales.

    Er fordert neue Berechtigungen an:Verfügbar:

    Portal, E-Mail, Internet, Gehaltsliste,Siebel, Marketing (global)

    8 Jahre später:Tim Krüger verläßt das Unternehmen

    10 Jahre später :Revision entdeckt: TKRUEGERHatte wiederholten Zugriff auf

    Sales-Information innerhalb derLetzten 2 Jahre

  • © SAP 2007 / Page 5

    Herausforderungen

    Administration von Benutzern undBerechtigungen in heterogenenSystemlandschaften

    Administration von Benutzern undBerechtigungen in heterogenenSystemlandschaften

    Verschiedene Konzepte für User-und Rollenmanagement (SAP,Portal, LDAP, ADS)

    Verschiedene Konzepte für User-und Rollenmanagement (SAP,Portal, LDAP, ADS)

    Keine unternehmensweite zentraleAdministrationsinstanz fürBenutzerdatenverwaltung

    Keine unternehmensweite zentraleAdministrationsinstanz fürBenutzerdatenverwaltung

    Bedarf von systemübergreifendenWorkflows zum Beantragen undGenehmigen von Berechtigungen

    Bedarf von systemübergreifendenWorkflows zum Beantragen undGenehmigen von Berechtigungen

    Geschäftsmodell erfordert prozess-orientiertes RollenmanagementGeschäftsmodell erfordert prozess-orientiertes Rollenmanagement

    Revision verlangt Protokolleinträgeund Berichte von Aktivitäten über alleSysteme und Prozessesdf sdf

    Revision verlangt Protokolleinträgeund Berichte von Aktivitäten über alleSysteme und Prozessesdf

    SOA –Architekturen erfordern IdM-Datenaustausch über System-Grenzen hinweg

    SOA –Architekturen erfordern IdM-Datenaustausch über System-Grenzen hinweg

    Kostenoptimierung durchAutomatisierung besser integrierterGeschäftsprozesse

    Kostenoptimierung durchAutomatisierung besser integrierterGeschäftsprozesse

    Security

    Compliance

    Transparenz

    Kosten

    Qualität

    SAP NetweaverIdentity Management

  • © SAP 2007 / Page 6

    Agenda

    1. Überblick2. Features, Funktionen, Architektur3. Typische Szenarien4. Demo

  • © SAP 2007 / Page 7

    Positionierung in SAP NetWeaver

    SAP NetWeaver Identity Management:

    Integraler Bestandteil der SAP NetWeaver Technology-Plattform

    Management personenbezogener Daten

    SAP Welt + heterogene Systemlandschaften

    integriert in NetWeaver Plattform und in

    Business Applikationen

    Ergänzt SAP NetWeaver Security

    Frameworks

  • © SAP 2007 / Page 8

    SAP NetWeaver Identity ManagementKomponenten

    SAP NetWeaver Identity Management:

    Komponenten:

    1. Identity Center2. Virtual Directory Server

  • © SAP 2007 / Page 9

    Identity Center: Architektur

    Identity Center DatenbankIdentiten/Konfigurations/Rollen-Speicher,Prozess-Logik

    Workflow BenutzerschnittstelleHaupt-Interface für User und Manager

    Monitoring BenutzerschnittstelleMonitoring und Audit Interface fürAdministratoren

    Konfigurations-OberflächeKonfigurations-Schnittstelle

    Laufzeitsystem und DispatcherProzess- und Provisioning-Logikinklusive Konnektoren

    EreignisüberwachungÜberwacht angeschlossene Systeme und initiiertDatensynchronization bei Feststellung vonÄnderungen

  • Datensynchronisation

    MS Active Directory

    CorporateDirectory

    SAP HCM

    Private und “shared” Attribute, Datenhoheit

    SAP NetweaverIdentity Management

    Lagerbestands-DB

  • © SAP 2007 / Page 11

    Workflows in der IdM-Architektur

    Manuelle Interaktion durch BrowserStarte ProvisionierungsaufgabenGenehmige BerechtigungszuweisungenStatuskontrolle

    Workflows startbar überWebschnittstelle (Browser)Ereignissteuerung im IdMÄnderung von Berechtigungszuweisungen

    ProzesslogikSequenziellParallelKonditionalGenehmigungsschritte

  • © SAP 2007 / Page 12

    Rollendefinitionund Berechtigungsprovisionierung

    BusinessrollenWerden im Identity Center definiertRepräsentieren die Aufgaben einesMitarbeitersWerden oft im Rahmen einesOrganisationsprozesses beschriebenKönnen hierarchisch strukturiert seinSind eine Kombination von technischeRollen und/oder untergeordnetenBusinessrollenWerden Benutzern zugewiesen

    Technische RollenRepräsentieren die Rollen aus demZielsystem (bzw. TechnischeBerechtigungen)Werden von den Zielsystemen importiertSind systemspezifisch

    E-mailE-mail AD-UserAD-User

    Business-Rollen ManagerManager

    Abrechngs-abteilung

    Abrechngs-abteilung

    MitarbeiterMitarbeiter

    Technische RollenMitarbeiter(Portalrolle)Mitarbeiter(Portalrolle)

    Abrechnung(ABAP-Rolle)Abrechnung(ABAP-Rolle)

    Manager(ABAP-Rolle)

    Manager(ABAP-Rolle)

    SAP HRActiveDirectory

    SAP FIE-MailSystem

    SAPPortal

  • © SAP 2007 / Page 13

    Protokollierung und Auditing

    Bezogen auf Applikationen/PrivilegienWer hat Zugriff auf welches System?

    Bezogen auf NutzerWelche Berechtigungen/Rollen hat einNutzer?

    Berichte können regelmäßig oder auf Anfragegeneriert werden

    Stammdatenstand und -änderungenDerzeitiger Stand, früherer Stand,Änderungshistorie, Prüfkennzeichen

    GenehmigungsdatenWer hat wann was genehmigt?

    Prozess/AufgabenaufzeichnnugenWelcher IdM-Prozess wurde wann durchwelchen Benutzer aufgerufen?

    Allgemeine Aufzeichnungsdaten zu IdM-Prozessen

  • © SAP 2007 / Page 14

    Konnektoren

    Microsoft Active DirectoryMicrosoft ADAM

    IBM Tivoli DirectoryNovell eDirectory

    SunONE Java DirectoryOracle Internet Directory

    Siemens DirXOpenLDAP

    CA eTrust DirectorySAP NetWeaver Virtual Directory Server

    Any LDAP v3 compliant Directory

    Microsoft AccessMicrosoft SQL Server

    SybaseIBM UDB (DB2)

    MySQLOracle Database

    Any JDBC-enabled database

    Microsoft ExchangeLotus Domino

    SPML (Services Provisioning MarkupLanguage)

    DSML (Directory Services MarkupLanguage)CSV filesLDIF filesXML files

    Shell executeCustom Java Connector API

    RSA CleartrustRSA SecureID

    Microsoft Windows NTMicrosoft MIIS

    Unix/Linux

    SAP (ABAP, Java including Portal)

    Connectors as of November 2007

  • © SAP 2007 / Page 15

    SAP NW IdM Komponenten

    SAP NW Identity Management:

    Komponenten:

    1. Identity Center

    2. Virtual Directory Server

  • © SAP 2007 / Page 16

    Virtual Directory Server

    Der Virtual Directory Server (VDS) bietetEine konsistente Sicht auf viele, verteilteIdentitätsdatenquellenNutzerinformation als ,,Dienst” für Applikationenmittels Standardprotokollen (LDAP, DSMLv2)Abstraktionsschicht

    Anwender sieht nur Standardschnittstelle (LDAP)Transformiere einkommende LDAP-Anfragen undleite diese direkt an die richtigen Datenquellen weiter

    Datensätze verbleiben in Quellsystemen(anders als IC)Effizientes Caching

    EigenschaftenEchtzeitzugriff auf Nutzerdaten (anders als IC)Datenquellen bleiben separiert, keine KonsolidierungnotwendigKein extra Datenspeicher/Datenbank

    Schnelle Integration über LDAPEinfache Wartung

    AttributmanipulationNamensraumänderungen

  • © SAP 2007 / Page 17 Q4/2007 20092008

    Business ProcessIntegration

    Management ofidentities and roles

    concerning businessaspects of identity

    SAP NetWeaverIntegration

    Tight integration of IdMas part of SAP

    NetWeaverplatform/frameworks

    ExtendNetWeaverintegration

    Businessprocess drivenidentity& business rolemanagement

    Heterogeneouslandscape supportIntegration with non-

    SAP systems andapplications

    NW IDM 7.0 SP1

    H1/2008

    SSO infrastructureintegrationPortal UI integration

    Out-of-the-boxconnectors andextension frameworkfor non-SAP systemsOpen interface fornon-SAP businessapplications

    Extension via additional standard support,partner eco-system or customer projects

    Workflow NetWeaver UIAdditional

    NetWeaver AdminUniversal Work ListFurther to be finalized

    GRCintegrationscenariosImproved HCMintegration

    Event-driven HCM importExtended GRCintegrationApplication and industryspecific identity aspectsSAP integrationframework extensions

    Extended identity servicesAPI Identityenterprise

    services

    Provisioning toapplications based onNW AS ABAP andNW AS JavaSAP integrationframework (templates)HCM integration (batch)

    Additionalstandardservices(DSML, SPML)

    Standard serviceinterface support (LDAP)

    CUAconnectivity

    This presentation and SAP's strategyand possible future developments aresubject to change and may bechanged by SAP at any time for anyreason without notice

    SAP NW IdM – vorläufige Roadmap

  • © SAP 2007 / Page 18

    Agenda

    1. Überblick2. Features, Funktionen, Architektur3. Typische Szenarien4. Demo

  • ZentraleBenutzer-

    verwaltung

    Provisionierung fürABAP-Systeme

    Identity Management (IdM)– bisher

    z.B. Personaladministration

    DatenAufnahme

    HCMSeparates

    IdentityManagement

    Produkt

    • Identitätsprovisionierungfür SAP and nicht-SAP-Systeme

    • Identity-Management-Workflows

    • Meta-Rollen• HR-Integration

    Prozesse und Tätigkeitenbenötigen korrekte Benutzer-und Rechte- zuweisungen fürSysteme

    IDM sollte durch beteiligteOrganisationsprozessegesteuert werden

    WebApp.

    LegacyApp.

    Lotus Notes

    Databanken Betriebs-systeme

    Verzeichnis-dienst

    Synchronisation

    Benutzerdatenquellefür Portal (UME)

    SAP ERPABAP

    SAP XIABAPJava

    SAPJava

    SAP HRABAP

    SAP FIABAP

    SAPPortalJava

  • SAP NetWeaver Identity Management 7.0

    WebApp.

    LegacyApp.

    Lotus Notes

    Databanken Betriebs-systeme

    Daten

    SAP NetWeaverIdentity

    ManagementVerteilung vonNutzerIds und Rollen-/Rechtezuweisungenfür SAP und Nicht-SAP-Systeme

    Definition undregelgesteuerteZuweisung von,,Business-Roles”

    Zentraler Identitätsspeicher

    Genehmigungs- prozesse

    Monitoring & Audit

    HCM-Integration

    AufnahmeHCM

    Identitätsvirtualisierung undIdentitätsdienste mittelsStandardschnittstellen

    SAP ERPABAP

    SAP XIABAPJava

    SAPJava

    SAP HRABAP

    SAP FIABAP

    SAPPortalJava

    Passwort-Verwaltung

    DatenAufnahme

    HCM

    z.B. Personaladministration

    Prozesse und Tätigkeitenbenötigen korrekte Benutzer-und Rechte- zuweisungen fürSysteme

    IDM sollte durch beteiligteOrganisationsprozessegesteuert werden

  • Agenda

    1. Überblick2. Features, Funktionen, Architektur3. Typische Szenarien4. Demo

  • © SAP 2007 / Page 22

    Demo Setup

    SAP HCM

    SAPABAP

    800

    001 100

    DIP

    NWD100

    SAP NetWeaverIdentity Management

    (NW IdM)

    Virtual DirectoryServer (VDS)

    NWDemoIDM

    Identity Center(IC)

    SAPPortal(Java)

    DirSunOne

  • © SAP 2007 / Page 23

    Links zum SAP NetWeaver IdentityManagement

    Informationen auf http://www.SAP.com

    PlattformSAP NetWeaverComponent & ToolsSAP NetWeaver Identity Management

    Detailliertere Informationen auf http://sdn.SAP.com/Security

    Identity und Access ManagementSAP NetWeaver Identity Management 7.0High level ÜbersichtsdokumenteWhitepapers

    SAP NetWeaver Identity Management FAQWiki-like FAQ

    http://www.SAP.com/http://sdn.SAP.com/

  • © SAP 2007 / Page 24

    Vielen Dank

  • © SAP 2007 / Page 25

    Kontakt SAP Presales Identity Management

    NameDr. Peter GergenPresales Specialist SAP NW IdMNW Platform Solutions

    SAP DeutschlandZeppelinstrasse 285399 Hallbergmoos, Germany

    T +49 6227 7-70544E [email protected] www.sap.com

    mailto:[email protected]://www.sap.com/

  • © SAP 2007 / Page 26

    Copyright 2007 SAP AGAll rights reserved

    No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP AG. The information contained herein may be changedwithout prior notice.Some software products marketed by SAP AG and its distributors contain proprietary software components of other software vendors.SAP, R/3, mySAP, mySAP.com, xApps, xApp, SAP NetWeaver, Duet, Business ByDesign, ByDesign, PartnerEdge and other SAP products and services mentioned herein as well as theirrespective logos are trademarks or registered trademarks of SAP AG in Germany and in several other countries all over the world. All other product and service names mentioned andassociated logos displayed are the trademarks of their respective companies. Data contained in this document serves informational purposes only. National product specifications may vary.

    The information in this document is proprietary to SAP. This document is a preliminary version and not subject to your license agreement or any other agreement with SAP. This documentcontains only intended strategies, developments, and functionalities of the SAP® product and is not intended to be binding upon SAP to any particular course of business, product strategy,and/or development. SAP assumes no responsibility for errors or omissions in this document. SAP does not warrant the accuracy or completeness of the information, text, graphics, links, orother items contained within this material. This document is provided without a warranty of any kind, either express or implied, including but not limited to the implied warranties ofmerchantability, fitness for a particular purpose, or non-infringement.SAP shall have no liability for damages of any kind including without limitation direct, special, indirect, or consequential damages that may result from the use of these materials. This limitationshall not apply in cases of intent or gross negligence.The statutory liability for personal injury and defective products is not affected. SAP has no control over the information that you may access through the use of hot links contained in thesematerials and does not endorse your use of third-party Web pages nor provide any warranty whatsoever relating to third-party Web pages

    Weitergabe und Vervielfältigung dieser Publikation oder von Teilen daraus sind, zu welchem Zweck und in welcher Form auch immer, ohne die ausdrückliche schriftliche Genehmigung durchSAP AG nicht gestattet. In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden.Einige von der SAP AG und deren Vertriebspartnern vertriebene Softwareprodukte können Softwarekomponenten umfassen, die Eigentum anderer Softwarehersteller sind.SAP, R/3, mySAP, mySAP.com, xApps, xApp, SAP NetWeaver, Duet, Business ByDesign, ByDesign, PartnerEdge und andere in diesem Dokument erwähnte SAP-Produkte und Servicessowie die dazugehörigen Logos sind Marken oder eingetragene Marken der SAP AG in Deutschland und in mehreren anderen Ländern weltweit. Alle anderen in diesem Dokument erwähntenNamen von Produkten und Services sowie die damit verbundenen Firmenlogos sind Marken der jeweiligen Unternehmen. Die Angaben im Text sind unverbindlich und dienen lediglich zuInformationszwecken. Produkte können länderspezifische Unterschiede aufweisen.

    Die in diesem Dokument enthaltenen Informationen sind Eigentum von SAP. Dieses Dokument ist eine Vorabversion und unterliegt nicht Ihrer Lizenzvereinbarung oder einer anderenVereinbarung mit SAP. Dieses Dokument enthält nur vorgesehene Strategien, Entwicklungen und Funktionen des SAP®-Produkts und ist für SAP nicht bindend, einen bestimmtenGeschäftsweg, eine Produktstrategie bzw. -entwicklung einzuschlagen. SAP übernimmt keine Verantwortung für Fehler oder Auslassungen in diesen Materialien. SAP garantiert nicht dieRichtigkeit oder Vollständigkeit der Informationen, Texte, Grafiken, Links oder anderer in diesen Materialien enthaltenen Elemente. Diese Publikation wird ohne jegliche Gewähr, wederausdrücklich noch stillschweigend, bereitgestellt. Dies gilt u. a., aber nicht ausschließlich, hinsichtlich der Gewährleistung der Marktgängigkeit und der Eignung für einen bestimmten Zwecksowie für die Gewährleistung der Nichtverletzung geltenden Rechts.SAP übernimmt keine Haftung für Schäden jeglicher Art, einschließlich und ohne Einschränkung für direkte, spezielle, indirekte oder Folgeschäden im Zusammenhang mit der Verwendungdieser Unterlagen. Diese Einschränkung gilt nicht bei Vorsatz oder grober Fahrlässigkeit.Die gesetzliche Haftung bei Personenschäden oder die Produkthaftung bleibt unberührt. Die Informationen, auf die Sie möglicherweise über die in diesem Material enthaltenen Hotlinkszugreifen, unterliegen nicht dem Einfluss von SAP, und SAP unterstützt nicht die Nutzung von Internetseiten Dritter durch Sie und gibt keinerlei Gewährleistungen oder Zusagen überInternetseiten Dritter ab.Alle Rechte vorbehalten.