-
SAP NetWeaverIdentity Management
Dr. Peter Gergen
Presales Specialist Identity ManagementPlatform Solutions
SAP Deutschland
-
© SAP 2007 / Page 2
Agenda
1. Überblick2. Features, Funktionen, Architektur3. Typische
Szenarien4. Demo
-
© SAP 2007 / Page 3
Compliance &IT Risk Management
Audit & Reporting,Interfacing mit Risiko-
Analyse
Rollen & Regel-basiertesProvisioning
Wem ist wann wasgestattet?
Identity LifecycleManagementIdentity-Erstellung,Synchronisation
undAdministration
eSOAIdentity Kontext imZusammenhang mitGeschäftsprozessen
Identity Management – Key benefits
-
© SAP 2007 / Page 4
Lebenszyklus einer Identität im Unternehmen
Einstellungsdatum:Erster Arbeitstag von Tim
KrügerVerügfbar:temp. E-Mail-Account
1 Jahr später:Tim Krüger wechselt in den VertriebManuelle
Anträge auf Berechtigungen durch neuenManagerVerfügbar:Portal,
E-Mail, Internet, Siebel, Gehaltsliste,Marketing (west)
3 Wochen später:Tim Krüger arbeitet bei der
LohnbuchhaltungVerfügbar:Portal, E-Mail, Internet, Gehaltsliste
7 Jahre später:Tim Krüger wird neuer Vice President Sales.
Er fordert neue Berechtigungen an:Verfügbar:
Portal, E-Mail, Internet, Gehaltsliste,Siebel, Marketing
(global)
8 Jahre später:Tim Krüger verläßt das Unternehmen
10 Jahre später :Revision entdeckt: TKRUEGERHatte wiederholten
Zugriff auf
Sales-Information innerhalb derLetzten 2 Jahre
-
© SAP 2007 / Page 5
Herausforderungen
Administration von Benutzern undBerechtigungen in
heterogenenSystemlandschaften
Administration von Benutzern undBerechtigungen in
heterogenenSystemlandschaften
Verschiedene Konzepte für User-und Rollenmanagement (SAP,Portal,
LDAP, ADS)
Verschiedene Konzepte für User-und Rollenmanagement (SAP,Portal,
LDAP, ADS)
Keine unternehmensweite zentraleAdministrationsinstanz
fürBenutzerdatenverwaltung
Keine unternehmensweite zentraleAdministrationsinstanz
fürBenutzerdatenverwaltung
Bedarf von systemübergreifendenWorkflows zum Beantragen
undGenehmigen von Berechtigungen
Bedarf von systemübergreifendenWorkflows zum Beantragen
undGenehmigen von Berechtigungen
Geschäftsmodell erfordert prozess-orientiertes
RollenmanagementGeschäftsmodell erfordert prozess-orientiertes
Rollenmanagement
Revision verlangt Protokolleinträgeund Berichte von Aktivitäten
über alleSysteme und Prozessesdf sdf
Revision verlangt Protokolleinträgeund Berichte von Aktivitäten
über alleSysteme und Prozessesdf
SOA –Architekturen erfordern IdM-Datenaustausch über
System-Grenzen hinweg
SOA –Architekturen erfordern IdM-Datenaustausch über
System-Grenzen hinweg
Kostenoptimierung durchAutomatisierung besser
integrierterGeschäftsprozesse
Kostenoptimierung durchAutomatisierung besser
integrierterGeschäftsprozesse
Security
Compliance
Transparenz
Kosten
Qualität
SAP NetweaverIdentity Management
-
© SAP 2007 / Page 6
Agenda
1. Überblick2. Features, Funktionen, Architektur3. Typische
Szenarien4. Demo
-
© SAP 2007 / Page 7
Positionierung in SAP NetWeaver
SAP NetWeaver Identity Management:
Integraler Bestandteil der SAP NetWeaver
Technology-Plattform
Management personenbezogener Daten
SAP Welt + heterogene Systemlandschaften
integriert in NetWeaver Plattform und in
Business Applikationen
Ergänzt SAP NetWeaver Security
Frameworks
-
© SAP 2007 / Page 8
SAP NetWeaver Identity ManagementKomponenten
SAP NetWeaver Identity Management:
Komponenten:
1. Identity Center2. Virtual Directory Server
-
© SAP 2007 / Page 9
Identity Center: Architektur
Identity Center
DatenbankIdentiten/Konfigurations/Rollen-Speicher,Prozess-Logik
Workflow BenutzerschnittstelleHaupt-Interface für User und
Manager
Monitoring BenutzerschnittstelleMonitoring und Audit Interface
fürAdministratoren
Konfigurations-OberflächeKonfigurations-Schnittstelle
Laufzeitsystem und DispatcherProzess- und
Provisioning-Logikinklusive Konnektoren
EreignisüberwachungÜberwacht angeschlossene Systeme und
initiiertDatensynchronization bei Feststellung vonÄnderungen
-
Datensynchronisation
MS Active Directory
CorporateDirectory
SAP HCM
Private und “shared” Attribute, Datenhoheit
SAP NetweaverIdentity Management
Lagerbestands-DB
-
© SAP 2007 / Page 11
Workflows in der IdM-Architektur
Manuelle Interaktion durch BrowserStarte
ProvisionierungsaufgabenGenehmige
BerechtigungszuweisungenStatuskontrolle
Workflows startbar überWebschnittstelle
(Browser)Ereignissteuerung im IdMÄnderung von
Berechtigungszuweisungen
ProzesslogikSequenziellParallelKonditionalGenehmigungsschritte
-
© SAP 2007 / Page 12
Rollendefinitionund Berechtigungsprovisionierung
BusinessrollenWerden im Identity Center definiertRepräsentieren
die Aufgaben einesMitarbeitersWerden oft im Rahmen
einesOrganisationsprozesses beschriebenKönnen hierarchisch
strukturiert seinSind eine Kombination von technischeRollen
und/oder untergeordnetenBusinessrollenWerden Benutzern
zugewiesen
Technische RollenRepräsentieren die Rollen aus demZielsystem
(bzw. TechnischeBerechtigungen)Werden von den Zielsystemen
importiertSind systemspezifisch
E-mailE-mail AD-UserAD-User
Business-Rollen ManagerManager
Abrechngs-abteilung
Abrechngs-abteilung
MitarbeiterMitarbeiter
Technische
RollenMitarbeiter(Portalrolle)Mitarbeiter(Portalrolle)
Abrechnung(ABAP-Rolle)Abrechnung(ABAP-Rolle)
Manager(ABAP-Rolle)
Manager(ABAP-Rolle)
SAP HRActiveDirectory
SAP FIE-MailSystem
SAPPortal
-
© SAP 2007 / Page 13
Protokollierung und Auditing
Bezogen auf Applikationen/PrivilegienWer hat Zugriff auf welches
System?
Bezogen auf NutzerWelche Berechtigungen/Rollen hat
einNutzer?
Berichte können regelmäßig oder auf Anfragegeneriert werden
Stammdatenstand und -änderungenDerzeitiger Stand, früherer
Stand,Änderungshistorie, Prüfkennzeichen
GenehmigungsdatenWer hat wann was genehmigt?
Prozess/AufgabenaufzeichnnugenWelcher IdM-Prozess wurde wann
durchwelchen Benutzer aufgerufen?
Allgemeine Aufzeichnungsdaten zu IdM-Prozessen
-
© SAP 2007 / Page 14
Konnektoren
Microsoft Active DirectoryMicrosoft ADAM
IBM Tivoli DirectoryNovell eDirectory
SunONE Java DirectoryOracle Internet Directory
Siemens DirXOpenLDAP
CA eTrust DirectorySAP NetWeaver Virtual Directory Server
Any LDAP v3 compliant Directory
Microsoft AccessMicrosoft SQL Server
SybaseIBM UDB (DB2)
MySQLOracle Database
Any JDBC-enabled database
Microsoft ExchangeLotus Domino
SPML (Services Provisioning MarkupLanguage)
DSML (Directory Services MarkupLanguage)CSV filesLDIF filesXML
files
Shell executeCustom Java Connector API
RSA CleartrustRSA SecureID
Microsoft Windows NTMicrosoft MIIS
Unix/Linux
SAP (ABAP, Java including Portal)
Connectors as of November 2007
-
© SAP 2007 / Page 15
SAP NW IdM Komponenten
SAP NW Identity Management:
Komponenten:
1. Identity Center
2. Virtual Directory Server
-
© SAP 2007 / Page 16
Virtual Directory Server
Der Virtual Directory Server (VDS) bietetEine konsistente Sicht
auf viele, verteilteIdentitätsdatenquellenNutzerinformation als
,,Dienst” für Applikationenmittels Standardprotokollen (LDAP,
DSMLv2)Abstraktionsschicht
Anwender sieht nur Standardschnittstelle (LDAP)Transformiere
einkommende LDAP-Anfragen undleite diese direkt an die richtigen
Datenquellen weiter
Datensätze verbleiben in Quellsystemen(anders als IC)Effizientes
Caching
EigenschaftenEchtzeitzugriff auf Nutzerdaten (anders als
IC)Datenquellen bleiben separiert, keine
KonsolidierungnotwendigKein extra Datenspeicher/Datenbank
Schnelle Integration über LDAPEinfache Wartung
AttributmanipulationNamensraumänderungen
-
© SAP 2007 / Page 17 Q4/2007 20092008
Business ProcessIntegration
Management ofidentities and roles
concerning businessaspects of identity
SAP NetWeaverIntegration
Tight integration of IdMas part of SAP
NetWeaverplatform/frameworks
ExtendNetWeaverintegration
Businessprocess drivenidentity& business rolemanagement
Heterogeneouslandscape supportIntegration with non-
SAP systems andapplications
NW IDM 7.0 SP1
H1/2008
SSO infrastructureintegrationPortal UI integration
Out-of-the-boxconnectors andextension frameworkfor non-SAP
systemsOpen interface fornon-SAP businessapplications
Extension via additional standard support,partner eco-system or
customer projects
Workflow NetWeaver UIAdditional
NetWeaver AdminUniversal Work ListFurther to be finalized
GRCintegrationscenariosImproved HCMintegration
Event-driven HCM importExtended GRCintegrationApplication and
industryspecific identity aspectsSAP integrationframework
extensions
Extended identity servicesAPI Identityenterprise
services
Provisioning toapplications based onNW AS ABAP andNW AS JavaSAP
integrationframework (templates)HCM integration (batch)
Additionalstandardservices(DSML, SPML)
Standard serviceinterface support (LDAP)
CUAconnectivity
This presentation and SAP's strategyand possible future
developments aresubject to change and may bechanged by SAP at any
time for anyreason without notice
SAP NW IdM – vorläufige Roadmap
-
© SAP 2007 / Page 18
Agenda
1. Überblick2. Features, Funktionen, Architektur3. Typische
Szenarien4. Demo
-
ZentraleBenutzer-
verwaltung
Provisionierung fürABAP-Systeme
Identity Management (IdM)– bisher
z.B. Personaladministration
DatenAufnahme
HCMSeparates
IdentityManagement
Produkt
• Identitätsprovisionierungfür SAP and nicht-SAP-Systeme
• Identity-Management-Workflows
• Meta-Rollen• HR-Integration
Prozesse und Tätigkeitenbenötigen korrekte Benutzer-und Rechte-
zuweisungen fürSysteme
IDM sollte durch beteiligteOrganisationsprozessegesteuert
werden
WebApp.
LegacyApp.
Lotus Notes
Databanken Betriebs-systeme
Verzeichnis-dienst
Synchronisation
Benutzerdatenquellefür Portal (UME)
SAP ERPABAP
SAP XIABAPJava
SAPJava
SAP HRABAP
SAP FIABAP
SAPPortalJava
-
SAP NetWeaver Identity Management 7.0
WebApp.
LegacyApp.
Lotus Notes
Databanken Betriebs-systeme
Daten
SAP NetWeaverIdentity
ManagementVerteilung vonNutzerIds und
Rollen-/Rechtezuweisungenfür SAP und Nicht-SAP-Systeme
Definition undregelgesteuerteZuweisung von,,Business-Roles”
Zentraler Identitätsspeicher
Genehmigungs- prozesse
Monitoring & Audit
HCM-Integration
AufnahmeHCM
Identitätsvirtualisierung undIdentitätsdienste
mittelsStandardschnittstellen
SAP ERPABAP
SAP XIABAPJava
SAPJava
SAP HRABAP
SAP FIABAP
SAPPortalJava
Passwort-Verwaltung
DatenAufnahme
HCM
z.B. Personaladministration
Prozesse und Tätigkeitenbenötigen korrekte Benutzer-und Rechte-
zuweisungen fürSysteme
IDM sollte durch beteiligteOrganisationsprozessegesteuert
werden
-
Agenda
1. Überblick2. Features, Funktionen, Architektur3. Typische
Szenarien4. Demo
-
© SAP 2007 / Page 22
Demo Setup
SAP HCM
SAPABAP
800
001 100
DIP
NWD100
SAP NetWeaverIdentity Management
(NW IdM)
Virtual DirectoryServer (VDS)
NWDemoIDM
Identity Center(IC)
SAPPortal(Java)
DirSunOne
-
© SAP 2007 / Page 23
Links zum SAP NetWeaver IdentityManagement
Informationen auf http://www.SAP.com
PlattformSAP NetWeaverComponent & ToolsSAP NetWeaver
Identity Management
Detailliertere Informationen auf http://sdn.SAP.com/Security
Identity und Access ManagementSAP NetWeaver Identity Management
7.0High level ÜbersichtsdokumenteWhitepapers
SAP NetWeaver Identity Management FAQWiki-like FAQ
http://www.SAP.com/http://sdn.SAP.com/
-
© SAP 2007 / Page 24
Vielen Dank
-
© SAP 2007 / Page 25
Kontakt SAP Presales Identity Management
NameDr. Peter GergenPresales Specialist SAP NW IdMNW Platform
Solutions
SAP DeutschlandZeppelinstrasse 285399 Hallbergmoos, Germany
T +49 6227 7-70544E [email protected] www.sap.com
mailto:[email protected]://www.sap.com/
-
© SAP 2007 / Page 26
Copyright 2007 SAP AGAll rights reserved
No part of this publication may be reproduced or transmitted in
any form or for any purpose without the express permission of SAP
AG. The information contained herein may be changedwithout prior
notice.Some software products marketed by SAP AG and its
distributors contain proprietary software components of other
software vendors.SAP, R/3, mySAP, mySAP.com, xApps, xApp, SAP
NetWeaver, Duet, Business ByDesign, ByDesign, PartnerEdge and other
SAP products and services mentioned herein as well as
theirrespective logos are trademarks or registered trademarks of
SAP AG in Germany and in several other countries all over the
world. All other product and service names mentioned andassociated
logos displayed are the trademarks of their respective companies.
Data contained in this document serves informational purposes only.
National product specifications may vary.
The information in this document is proprietary to SAP. This
document is a preliminary version and not subject to your license
agreement or any other agreement with SAP. This documentcontains
only intended strategies, developments, and functionalities of the
SAP® product and is not intended to be binding upon SAP to any
particular course of business, product strategy,and/or development.
SAP assumes no responsibility for errors or omissions in this
document. SAP does not warrant the accuracy or completeness of the
information, text, graphics, links, orother items contained within
this material. This document is provided without a warranty of any
kind, either express or implied, including but not limited to the
implied warranties ofmerchantability, fitness for a particular
purpose, or non-infringement.SAP shall have no liability for
damages of any kind including without limitation direct, special,
indirect, or consequential damages that may result from the use of
these materials. This limitationshall not apply in cases of intent
or gross negligence.The statutory liability for personal injury and
defective products is not affected. SAP has no control over the
information that you may access through the use of hot links
contained in thesematerials and does not endorse your use of
third-party Web pages nor provide any warranty whatsoever relating
to third-party Web pages
Weitergabe und Vervielfältigung dieser Publikation oder von
Teilen daraus sind, zu welchem Zweck und in welcher Form auch
immer, ohne die ausdrückliche schriftliche Genehmigung durchSAP AG
nicht gestattet. In dieser Publikation enthaltene Informationen
können ohne vorherige Ankündigung geändert werden.Einige von der
SAP AG und deren Vertriebspartnern vertriebene Softwareprodukte
können Softwarekomponenten umfassen, die Eigentum anderer
Softwarehersteller sind.SAP, R/3, mySAP, mySAP.com, xApps, xApp,
SAP NetWeaver, Duet, Business ByDesign, ByDesign, PartnerEdge und
andere in diesem Dokument erwähnte SAP-Produkte und Servicessowie
die dazugehörigen Logos sind Marken oder eingetragene Marken der
SAP AG in Deutschland und in mehreren anderen Ländern weltweit.
Alle anderen in diesem Dokument erwähntenNamen von Produkten und
Services sowie die damit verbundenen Firmenlogos sind Marken der
jeweiligen Unternehmen. Die Angaben im Text sind unverbindlich und
dienen lediglich zuInformationszwecken. Produkte können
länderspezifische Unterschiede aufweisen.
Die in diesem Dokument enthaltenen Informationen sind Eigentum
von SAP. Dieses Dokument ist eine Vorabversion und unterliegt nicht
Ihrer Lizenzvereinbarung oder einer anderenVereinbarung mit SAP.
Dieses Dokument enthält nur vorgesehene Strategien, Entwicklungen
und Funktionen des SAP®-Produkts und ist für SAP nicht bindend,
einen bestimmtenGeschäftsweg, eine Produktstrategie bzw.
-entwicklung einzuschlagen. SAP übernimmt keine Verantwortung für
Fehler oder Auslassungen in diesen Materialien. SAP garantiert
nicht dieRichtigkeit oder Vollständigkeit der Informationen, Texte,
Grafiken, Links oder anderer in diesen Materialien enthaltenen
Elemente. Diese Publikation wird ohne jegliche Gewähr,
wederausdrücklich noch stillschweigend, bereitgestellt. Dies gilt
u. a., aber nicht ausschließlich, hinsichtlich der Gewährleistung
der Marktgängigkeit und der Eignung für einen bestimmten Zwecksowie
für die Gewährleistung der Nichtverletzung geltenden Rechts.SAP
übernimmt keine Haftung für Schäden jeglicher Art, einschließlich
und ohne Einschränkung für direkte, spezielle, indirekte oder
Folgeschäden im Zusammenhang mit der Verwendungdieser Unterlagen.
Diese Einschränkung gilt nicht bei Vorsatz oder grober
Fahrlässigkeit.Die gesetzliche Haftung bei Personenschäden oder die
Produkthaftung bleibt unberührt. Die Informationen, auf die Sie
möglicherweise über die in diesem Material enthaltenen
Hotlinkszugreifen, unterliegen nicht dem Einfluss von SAP, und SAP
unterstützt nicht die Nutzung von Internetseiten Dritter durch Sie
und gibt keinerlei Gewährleistungen oder Zusagen überInternetseiten
Dritter ab.Alle Rechte vorbehalten.
