Author
others
View
5
Download
1
Embed Size (px)
SAP NetWeaverIdentity Management
Dr. Peter Gergen
Presales Specialist Identity ManagementPlatform Solutions
SAP Deutschland
© SAP 2007 / Page 2
Agenda
1. Überblick2. Features, Funktionen, Architektur3. Typische Szenarien4. Demo
© SAP 2007 / Page 3
Compliance &IT Risk Management
Audit & Reporting,Interfacing mit Risiko-
Analyse
Rollen & Regel-basiertesProvisioning
Wem ist wann wasgestattet?
Identity LifecycleManagementIdentity-Erstellung,Synchronisation undAdministration
eSOAIdentity Kontext imZusammenhang mitGeschäftsprozessen
Identity Management – Key benefits
© SAP 2007 / Page 4
Lebenszyklus einer Identität im Unternehmen
Einstellungsdatum:Erster Arbeitstag von Tim KrügerVerügfbar:temp. E-Mail-Account
1 Jahr später:Tim Krüger wechselt in den VertriebManuelle Anträge auf Berechtigungen durch neuenManagerVerfügbar:Portal, E-Mail, Internet, Siebel, Gehaltsliste,Marketing (west)
3 Wochen später:Tim Krüger arbeitet bei der LohnbuchhaltungVerfügbar:Portal, E-Mail, Internet, Gehaltsliste
7 Jahre später:Tim Krüger wird neuer Vice President Sales.
Er fordert neue Berechtigungen an:Verfügbar:
Portal, E-Mail, Internet, Gehaltsliste,Siebel, Marketing (global)
8 Jahre später:Tim Krüger verläßt das Unternehmen
10 Jahre später :Revision entdeckt: TKRUEGERHatte wiederholten Zugriff auf
Sales-Information innerhalb derLetzten 2 Jahre
© SAP 2007 / Page 5
Herausforderungen
Administration von Benutzern undBerechtigungen in heterogenenSystemlandschaften
Administration von Benutzern undBerechtigungen in heterogenenSystemlandschaften
Verschiedene Konzepte für User-und Rollenmanagement (SAP,Portal, LDAP, ADS)
Verschiedene Konzepte für User-und Rollenmanagement (SAP,Portal, LDAP, ADS)
Keine unternehmensweite zentraleAdministrationsinstanz fürBenutzerdatenverwaltung
Keine unternehmensweite zentraleAdministrationsinstanz fürBenutzerdatenverwaltung
Bedarf von systemübergreifendenWorkflows zum Beantragen undGenehmigen von Berechtigungen
Bedarf von systemübergreifendenWorkflows zum Beantragen undGenehmigen von Berechtigungen
Geschäftsmodell erfordert prozess-orientiertes RollenmanagementGeschäftsmodell erfordert prozess-orientiertes Rollenmanagement
Revision verlangt Protokolleinträgeund Berichte von Aktivitäten über alleSysteme und Prozessesdf sdf
Revision verlangt Protokolleinträgeund Berichte von Aktivitäten über alleSysteme und Prozessesdf
SOA –Architekturen erfordern IdM-Datenaustausch über System-Grenzen hinweg
SOA –Architekturen erfordern IdM-Datenaustausch über System-Grenzen hinweg
Kostenoptimierung durchAutomatisierung besser integrierterGeschäftsprozesse
Kostenoptimierung durchAutomatisierung besser integrierterGeschäftsprozesse
Security
Compliance
Transparenz
Kosten
Qualität
SAP NetweaverIdentity Management
© SAP 2007 / Page 6
Agenda
1. Überblick2. Features, Funktionen, Architektur3. Typische Szenarien4. Demo
© SAP 2007 / Page 7
Positionierung in SAP NetWeaver
SAP NetWeaver Identity Management:
Integraler Bestandteil der SAP NetWeaver Technology-Plattform
Management personenbezogener Daten
SAP Welt + heterogene Systemlandschaften
integriert in NetWeaver Plattform und in
Business Applikationen
Ergänzt SAP NetWeaver Security
Frameworks
© SAP 2007 / Page 8
SAP NetWeaver Identity ManagementKomponenten
SAP NetWeaver Identity Management:
Komponenten:
1. Identity Center2. Virtual Directory Server
© SAP 2007 / Page 9
Identity Center: Architektur
Identity Center DatenbankIdentiten/Konfigurations/Rollen-Speicher,Prozess-Logik
Workflow BenutzerschnittstelleHaupt-Interface für User und Manager
Monitoring BenutzerschnittstelleMonitoring und Audit Interface fürAdministratoren
Konfigurations-OberflächeKonfigurations-Schnittstelle
Laufzeitsystem und DispatcherProzess- und Provisioning-Logikinklusive Konnektoren
EreignisüberwachungÜberwacht angeschlossene Systeme und initiiertDatensynchronization bei Feststellung vonÄnderungen
Datensynchronisation
MS Active Directory
CorporateDirectory
SAP HCM
Private und “shared” Attribute, Datenhoheit
SAP NetweaverIdentity Management
Lagerbestands-DB
© SAP 2007 / Page 11
Workflows in der IdM-Architektur
Manuelle Interaktion durch BrowserStarte ProvisionierungsaufgabenGenehmige BerechtigungszuweisungenStatuskontrolle
Workflows startbar überWebschnittstelle (Browser)Ereignissteuerung im IdMÄnderung von Berechtigungszuweisungen
ProzesslogikSequenziellParallelKonditionalGenehmigungsschritte
© SAP 2007 / Page 12
Rollendefinitionund Berechtigungsprovisionierung
BusinessrollenWerden im Identity Center definiertRepräsentieren die Aufgaben einesMitarbeitersWerden oft im Rahmen einesOrganisationsprozesses beschriebenKönnen hierarchisch strukturiert seinSind eine Kombination von technischeRollen und/oder untergeordnetenBusinessrollenWerden Benutzern zugewiesen
Technische RollenRepräsentieren die Rollen aus demZielsystem (bzw. TechnischeBerechtigungen)Werden von den Zielsystemen importiertSind systemspezifisch
E-mailE-mail AD-UserAD-User
Business-Rollen ManagerManager
Abrechngs-abteilung
Abrechngs-abteilung
MitarbeiterMitarbeiter
Technische RollenMitarbeiter(Portalrolle)Mitarbeiter(Portalrolle)
Abrechnung(ABAP-Rolle)Abrechnung(ABAP-Rolle)
Manager(ABAP-Rolle)
Manager(ABAP-Rolle)
SAP HRActiveDirectory
SAP FIE-MailSystem
SAPPortal
© SAP 2007 / Page 13
Protokollierung und Auditing
Bezogen auf Applikationen/PrivilegienWer hat Zugriff auf welches System?
Bezogen auf NutzerWelche Berechtigungen/Rollen hat einNutzer?
Berichte können regelmäßig oder auf Anfragegeneriert werden
Stammdatenstand und -änderungenDerzeitiger Stand, früherer Stand,Änderungshistorie, Prüfkennzeichen
GenehmigungsdatenWer hat wann was genehmigt?
Prozess/AufgabenaufzeichnnugenWelcher IdM-Prozess wurde wann durchwelchen Benutzer aufgerufen?
Allgemeine Aufzeichnungsdaten zu IdM-Prozessen
© SAP 2007 / Page 14
Konnektoren
Microsoft Active DirectoryMicrosoft ADAM
IBM Tivoli DirectoryNovell eDirectory
SunONE Java DirectoryOracle Internet Directory
Siemens DirXOpenLDAP
CA eTrust DirectorySAP NetWeaver Virtual Directory Server
Any LDAP v3 compliant Directory
Microsoft AccessMicrosoft SQL Server
SybaseIBM UDB (DB2)
MySQLOracle Database
Any JDBC-enabled database
Microsoft ExchangeLotus Domino
SPML (Services Provisioning MarkupLanguage)
DSML (Directory Services MarkupLanguage)CSV filesLDIF filesXML files
Shell executeCustom Java Connector API
RSA CleartrustRSA SecureID
Microsoft Windows NTMicrosoft MIIS
Unix/Linux
SAP (ABAP, Java including Portal)
Connectors as of November 2007
© SAP 2007 / Page 15
SAP NW IdM Komponenten
SAP NW Identity Management:
Komponenten:
1. Identity Center
2. Virtual Directory Server
© SAP 2007 / Page 16
Virtual Directory Server
Der Virtual Directory Server (VDS) bietetEine konsistente Sicht auf viele, verteilteIdentitätsdatenquellenNutzerinformation als ,,Dienst” für Applikationenmittels Standardprotokollen (LDAP, DSMLv2)Abstraktionsschicht
Anwender sieht nur Standardschnittstelle (LDAP)Transformiere einkommende LDAP-Anfragen undleite diese direkt an die richtigen Datenquellen weiter
Datensätze verbleiben in Quellsystemen(anders als IC)Effizientes Caching
EigenschaftenEchtzeitzugriff auf Nutzerdaten (anders als IC)Datenquellen bleiben separiert, keine KonsolidierungnotwendigKein extra Datenspeicher/Datenbank
Schnelle Integration über LDAPEinfache Wartung
AttributmanipulationNamensraumänderungen
© SAP 2007 / Page 17 Q4/2007 20092008
Business ProcessIntegration
Management ofidentities and roles
concerning businessaspects of identity
SAP NetWeaverIntegration
Tight integration of IdMas part of SAP
NetWeaverplatform/frameworks
ExtendNetWeaverintegration
Businessprocess drivenidentity& business rolemanagement
Heterogeneouslandscape supportIntegration with non-
SAP systems andapplications
NW IDM 7.0 SP1
H1/2008
SSO infrastructureintegrationPortal UI integration
Out-of-the-boxconnectors andextension frameworkfor non-SAP systemsOpen interface fornon-SAP businessapplications
Extension via additional standard support,partner eco-system or customer projects
Workflow NetWeaver UIAdditional
NetWeaver AdminUniversal Work ListFurther to be finalized
GRCintegrationscenariosImproved HCMintegration
Event-driven HCM importExtended GRCintegrationApplication and industryspecific identity aspectsSAP integrationframework extensions
Extended identity servicesAPI Identityenterprise
services
Provisioning toapplications based onNW AS ABAP andNW AS JavaSAP integrationframework (templates)HCM integration (batch)
Additionalstandardservices(DSML, SPML)
Standard serviceinterface support (LDAP)
CUAconnectivity
This presentation and SAP's strategyand possible future developments aresubject to change and may bechanged by SAP at any time for anyreason without notice
SAP NW IdM – vorläufige Roadmap
© SAP 2007 / Page 18
Agenda
1. Überblick2. Features, Funktionen, Architektur3. Typische Szenarien4. Demo
ZentraleBenutzer-
verwaltung
Provisionierung fürABAP-Systeme
Identity Management (IdM)– bisher
z.B. Personaladministration
DatenAufnahme
HCMSeparates
IdentityManagement
Produkt
• Identitätsprovisionierungfür SAP and nicht-SAP-Systeme
• Identity-Management-Workflows
• Meta-Rollen• HR-Integration
Prozesse und Tätigkeitenbenötigen korrekte Benutzer-und Rechte- zuweisungen fürSysteme
IDM sollte durch beteiligteOrganisationsprozessegesteuert werden
WebApp.
LegacyApp.
Lotus Notes
Databanken Betriebs-systeme
Verzeichnis-dienst
Synchronisation
Benutzerdatenquellefür Portal (UME)
SAP ERPABAP
SAP XIABAPJava
SAPJava
SAP HRABAP
SAP FIABAP
SAPPortalJava
SAP NetWeaver Identity Management 7.0
WebApp.
LegacyApp.
Lotus Notes
Databanken Betriebs-systeme
Daten
SAP NetWeaverIdentity
ManagementVerteilung vonNutzerIds und Rollen-/Rechtezuweisungenfür SAP und Nicht-SAP-Systeme
Definition undregelgesteuerteZuweisung von,,Business-Roles”
Zentraler Identitätsspeicher
Genehmigungs- prozesse
Monitoring & Audit
HCM-Integration
AufnahmeHCM
Identitätsvirtualisierung undIdentitätsdienste mittelsStandardschnittstellen
SAP ERPABAP
SAP XIABAPJava
SAPJava
SAP HRABAP
SAP FIABAP
SAPPortalJava
Passwort-Verwaltung
DatenAufnahme
HCM
z.B. Personaladministration
Prozesse und Tätigkeitenbenötigen korrekte Benutzer-und Rechte- zuweisungen fürSysteme
IDM sollte durch beteiligteOrganisationsprozessegesteuert werden
Agenda
1. Überblick2. Features, Funktionen, Architektur3. Typische Szenarien4. Demo
© SAP 2007 / Page 22
Demo Setup
SAP HCM
SAPABAP
800
001 100
DIP
NWD100
SAP NetWeaverIdentity Management
(NW IdM)
Virtual DirectoryServer (VDS)
NWDemoIDM
Identity Center(IC)
SAPPortal(Java)
DirSunOne
© SAP 2007 / Page 23
Links zum SAP NetWeaver IdentityManagement
Informationen auf http://www.SAP.com
PlattformSAP NetWeaverComponent & ToolsSAP NetWeaver Identity Management
Detailliertere Informationen auf http://sdn.SAP.com/Security
Identity und Access ManagementSAP NetWeaver Identity Management 7.0High level ÜbersichtsdokumenteWhitepapers
SAP NetWeaver Identity Management FAQWiki-like FAQ
http://www.SAP.com/http://sdn.SAP.com/
© SAP 2007 / Page 24
Vielen Dank
© SAP 2007 / Page 25
Kontakt SAP Presales Identity Management
NameDr. Peter GergenPresales Specialist SAP NW IdMNW Platform Solutions
SAP DeutschlandZeppelinstrasse 285399 Hallbergmoos, Germany
T +49 6227 7-70544E [email protected] www.sap.com
mailto:[email protected]://www.sap.com/
© SAP 2007 / Page 26
Copyright 2007 SAP AGAll rights reserved
No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP AG. The information contained herein may be changedwithout prior notice.Some software products marketed by SAP AG and its distributors contain proprietary software components of other software vendors.SAP, R/3, mySAP, mySAP.com, xApps, xApp, SAP NetWeaver, Duet, Business ByDesign, ByDesign, PartnerEdge and other SAP products and services mentioned herein as well as theirrespective logos are trademarks or registered trademarks of SAP AG in Germany and in several other countries all over the world. All other product and service names mentioned andassociated logos displayed are the trademarks of their respective companies. Data contained in this document serves informational purposes only. National product specifications may vary.
The information in this document is proprietary to SAP. This document is a preliminary version and not subject to your license agreement or any other agreement with SAP. This documentcontains only intended strategies, developments, and functionalities of the SAP® product and is not intended to be binding upon SAP to any particular course of business, product strategy,and/or development. SAP assumes no responsibility for errors or omissions in this document. SAP does not warrant the accuracy or completeness of the information, text, graphics, links, orother items contained within this material. This document is provided without a warranty of any kind, either express or implied, including but not limited to the implied warranties ofmerchantability, fitness for a particular purpose, or non-infringement.SAP shall have no liability for damages of any kind including without limitation direct, special, indirect, or consequential damages that may result from the use of these materials. This limitationshall not apply in cases of intent or gross negligence.The statutory liability for personal injury and defective products is not affected. SAP has no control over the information that you may access through the use of hot links contained in thesematerials and does not endorse your use of third-party Web pages nor provide any warranty whatsoever relating to third-party Web pages
Weitergabe und Vervielfältigung dieser Publikation oder von Teilen daraus sind, zu welchem Zweck und in welcher Form auch immer, ohne die ausdrückliche schriftliche Genehmigung durchSAP AG nicht gestattet. In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden.Einige von der SAP AG und deren Vertriebspartnern vertriebene Softwareprodukte können Softwarekomponenten umfassen, die Eigentum anderer Softwarehersteller sind.SAP, R/3, mySAP, mySAP.com, xApps, xApp, SAP NetWeaver, Duet, Business ByDesign, ByDesign, PartnerEdge und andere in diesem Dokument erwähnte SAP-Produkte und Servicessowie die dazugehörigen Logos sind Marken oder eingetragene Marken der SAP AG in Deutschland und in mehreren anderen Ländern weltweit. Alle anderen in diesem Dokument erwähntenNamen von Produkten und Services sowie die damit verbundenen Firmenlogos sind Marken der jeweiligen Unternehmen. Die Angaben im Text sind unverbindlich und dienen lediglich zuInformationszwecken. Produkte können länderspezifische Unterschiede aufweisen.
Die in diesem Dokument enthaltenen Informationen sind Eigentum von SAP. Dieses Dokument ist eine Vorabversion und unterliegt nicht Ihrer Lizenzvereinbarung oder einer anderenVereinbarung mit SAP. Dieses Dokument enthält nur vorgesehene Strategien, Entwicklungen und Funktionen des SAP®-Produkts und ist für SAP nicht bindend, einen bestimmtenGeschäftsweg, eine Produktstrategie bzw. -entwicklung einzuschlagen. SAP übernimmt keine Verantwortung für Fehler oder Auslassungen in diesen Materialien. SAP garantiert nicht dieRichtigkeit oder Vollständigkeit der Informationen, Texte, Grafiken, Links oder anderer in diesen Materialien enthaltenen Elemente. Diese Publikation wird ohne jegliche Gewähr, wederausdrücklich noch stillschweigend, bereitgestellt. Dies gilt u. a., aber nicht ausschließlich, hinsichtlich der Gewährleistung der Marktgängigkeit und der Eignung für einen bestimmten Zwecksowie für die Gewährleistung der Nichtverletzung geltenden Rechts.SAP übernimmt keine Haftung für Schäden jeglicher Art, einschließlich und ohne Einschränkung für direkte, spezielle, indirekte oder Folgeschäden im Zusammenhang mit der Verwendungdieser Unterlagen. Diese Einschränkung gilt nicht bei Vorsatz oder grober Fahrlässigkeit.Die gesetzliche Haftung bei Personenschäden oder die Produkthaftung bleibt unberührt. Die Informationen, auf die Sie möglicherweise über die in diesem Material enthaltenen Hotlinkszugreifen, unterliegen nicht dem Einfluss von SAP, und SAP unterstützt nicht die Nutzung von Internetseiten Dritter durch Sie und gibt keinerlei Gewährleistungen oder Zusagen überInternetseiten Dritter ab.Alle Rechte vorbehalten.