SAP NetWeaver Identity NetWeaver Identity Management 7.0 Web App. Legacy App. Lotus Notes Databanken Betriebs-systeme Daten SAP NetWeaver Identity Management Verteilung von NutzerIds

  • View
    216

  • Download
    0

Embed Size (px)

Text of SAP NetWeaver Identity NetWeaver Identity Management 7.0 Web App. Legacy App. Lotus Notes Databanken...

  • SAP NetWeaverIdentity Management

    Dr. Peter Gergen

    Presales Specialist Identity ManagementPlatform Solutions

    SAP Deutschland

  • SAP 2007 / Page 2

    Agenda

    1. berblick2. Features, Funktionen, Architektur3. Typische Szenarien4. Demo

  • SAP 2007 / Page 3

    Compliance &IT Risk Management

    Audit & Reporting,Interfacing mit Risiko-

    Analyse

    Rollen & Regel-basiertesProvisioning

    Wem ist wann wasgestattet?

    Identity LifecycleManagementIdentity-Erstellung,Synchronisation undAdministration

    eSOAIdentity Kontext imZusammenhang mitGeschftsprozessen

    Identity Management Key benefits

  • SAP 2007 / Page 4

    Lebenszyklus einer Identitt im Unternehmen

    Einstellungsdatum:Erster Arbeitstag von Tim KrgerVergfbar:temp. E-Mail-Account

    1 Jahr spter:Tim Krger wechselt in den VertriebManuelle Antrge auf Berechtigungen durch neuenManagerVerfgbar:Portal, E-Mail, Internet, Siebel, Gehaltsliste,Marketing (west)

    3 Wochen spter:Tim Krger arbeitet bei der LohnbuchhaltungVerfgbar:Portal, E-Mail, Internet, Gehaltsliste

    7 Jahre spter:Tim Krger wird neuer Vice President Sales.

    Er fordert neue Berechtigungen an:Verfgbar:

    Portal, E-Mail, Internet, Gehaltsliste,Siebel, Marketing (global)

    8 Jahre spter:Tim Krger verlt das Unternehmen

    10 Jahre spter :Revision entdeckt: TKRUEGERHatte wiederholten Zugriff auf

    Sales-Information innerhalb derLetzten 2 Jahre

  • SAP 2007 / Page 5

    Herausforderungen

    Administration von Benutzern undBerechtigungen in heterogenenSystemlandschaften

    Administration von Benutzern undBerechtigungen in heterogenenSystemlandschaften

    Verschiedene Konzepte fr User-und Rollenmanagement (SAP,Portal, LDAP, ADS)

    Verschiedene Konzepte fr User-und Rollenmanagement (SAP,Portal, LDAP, ADS)

    Keine unternehmensweite zentraleAdministrationsinstanz frBenutzerdatenverwaltung

    Keine unternehmensweite zentraleAdministrationsinstanz frBenutzerdatenverwaltung

    Bedarf von systembergreifendenWorkflows zum Beantragen undGenehmigen von Berechtigungen

    Bedarf von systembergreifendenWorkflows zum Beantragen undGenehmigen von Berechtigungen

    Geschftsmodell erfordert prozess-orientiertes RollenmanagementGeschftsmodell erfordert prozess-orientiertes Rollenmanagement

    Revision verlangt Protokolleintrgeund Berichte von Aktivitten ber alleSysteme und Prozessesdf sdf

    Revision verlangt Protokolleintrgeund Berichte von Aktivitten ber alleSysteme und Prozessesdf

    SOA Architekturen erfordern IdM-Datenaustausch ber System-Grenzen hinweg

    SOA Architekturen erfordern IdM-Datenaustausch ber System-Grenzen hinweg

    Kostenoptimierung durchAutomatisierung besser integrierterGeschftsprozesse

    Kostenoptimierung durchAutomatisierung besser integrierterGeschftsprozesse

    Security

    Compliance

    Transparenz

    Kosten

    Qualitt

    SAP NetweaverIdentity Management

  • SAP 2007 / Page 6

    Agenda

    1. berblick2. Features, Funktionen, Architektur3. Typische Szenarien4. Demo

  • SAP 2007 / Page 7

    Positionierung in SAP NetWeaver

    SAP NetWeaver Identity Management:

    Integraler Bestandteil der SAP NetWeaver Technology-Plattform

    Management personenbezogener Daten

    SAP Welt + heterogene Systemlandschaften

    integriert in NetWeaver Plattform und in

    Business Applikationen

    Ergnzt SAP NetWeaver Security

    Frameworks

  • SAP 2007 / Page 8

    SAP NetWeaver Identity ManagementKomponenten

    SAP NetWeaver Identity Management:

    Komponenten:

    1. Identity Center2. Virtual Directory Server

  • SAP 2007 / Page 9

    Identity Center: Architektur

    Identity Center DatenbankIdentiten/Konfigurations/Rollen-Speicher,Prozess-Logik

    Workflow BenutzerschnittstelleHaupt-Interface fr User und Manager

    Monitoring BenutzerschnittstelleMonitoring und Audit Interface frAdministratoren

    Konfigurations-OberflcheKonfigurations-Schnittstelle

    Laufzeitsystem und DispatcherProzess- und Provisioning-Logikinklusive Konnektoren

    Ereignisberwachungberwacht angeschlossene Systeme und initiiertDatensynchronization bei Feststellung vonnderungen

  • Datensynchronisation

    MS Active Directory

    CorporateDirectory

    SAP HCM

    Private und shared Attribute, Datenhoheit

    SAP NetweaverIdentity Management

    Lagerbestands-DB

  • SAP 2007 / Page 11

    Workflows in der IdM-Architektur

    Manuelle Interaktion durch BrowserStarte ProvisionierungsaufgabenGenehmige BerechtigungszuweisungenStatuskontrolle

    Workflows startbar berWebschnittstelle (Browser)Ereignissteuerung im IdMnderung von Berechtigungszuweisungen

    ProzesslogikSequenziellParallelKonditionalGenehmigungsschritte

  • SAP 2007 / Page 12

    Rollendefinitionund Berechtigungsprovisionierung

    BusinessrollenWerden im Identity Center definiertReprsentieren die Aufgaben einesMitarbeitersWerden oft im Rahmen einesOrganisationsprozesses beschriebenKnnen hierarchisch strukturiert seinSind eine Kombination von technischeRollen und/oder untergeordnetenBusinessrollenWerden Benutzern zugewiesen

    Technische RollenReprsentieren die Rollen aus demZielsystem (bzw. TechnischeBerechtigungen)Werden von den Zielsystemen importiertSind systemspezifisch

    E-mailE-mail AD-UserAD-User

    Business-Rollen ManagerManager

    Abrechngs-abteilung

    Abrechngs-abteilung

    MitarbeiterMitarbeiter

    Technische RollenMitarbeiter(Portalrolle)Mitarbeiter(Portalrolle)

    Abrechnung(ABAP-Rolle)Abrechnung(ABAP-Rolle)

    Manager(ABAP-Rolle)

    Manager(ABAP-Rolle)

    SAP HRActiveDirectory

    SAP FIE-MailSystem

    SAPPortal

  • SAP 2007 / Page 13

    Protokollierung und Auditing

    Bezogen auf Applikationen/PrivilegienWer hat Zugriff auf welches System?

    Bezogen auf NutzerWelche Berechtigungen/Rollen hat einNutzer?

    Berichte knnen regelmig oder auf Anfragegeneriert werden

    Stammdatenstand und -nderungenDerzeitiger Stand, frherer Stand,nderungshistorie, Prfkennzeichen

    GenehmigungsdatenWer hat wann was genehmigt?

    Prozess/AufgabenaufzeichnnugenWelcher IdM-Prozess wurde wann durchwelchen Benutzer aufgerufen?

    Allgemeine Aufzeichnungsdaten zu IdM-Prozessen

  • SAP 2007 / Page 14

    Konnektoren

    Microsoft Active DirectoryMicrosoft ADAM

    IBM Tivoli DirectoryNovell eDirectory

    SunONE Java DirectoryOracle Internet Directory

    Siemens DirXOpenLDAP

    CA eTrust DirectorySAP NetWeaver Virtual Directory Server

    Any LDAP v3 compliant Directory

    Microsoft AccessMicrosoft SQL Server

    SybaseIBM UDB (DB2)

    MySQLOracle Database

    Any JDBC-enabled database

    Microsoft ExchangeLotus Domino

    SPML (Services Provisioning MarkupLanguage)

    DSML (Directory Services MarkupLanguage)CSV filesLDIF filesXML files

    Shell executeCustom Java Connector API

    RSA CleartrustRSA SecureID

    Microsoft Windows NTMicrosoft MIIS

    Unix/Linux

    SAP (ABAP, Java including Portal)

    Connectors as of November 2007

  • SAP 2007 / Page 15

    SAP NW IdM Komponenten

    SAP NW Identity Management:

    Komponenten:

    1. Identity Center

    2. Virtual Directory Server

  • SAP 2007 / Page 16

    Virtual Directory Server

    Der Virtual Directory Server (VDS) bietetEine konsistente Sicht auf viele, verteilteIdentittsdatenquellenNutzerinformation als ,,Dienst fr Applikationenmittels Standardprotokollen (LDAP, DSMLv2)Abstraktionsschicht

    Anwender sieht nur Standardschnittstelle (LDAP)Transformiere einkommende LDAP-Anfragen undleite diese direkt an die richtigen Datenquellen weiter

    Datenstze verbleiben in Quellsystemen(anders als IC)Effizientes Caching

    EigenschaftenEchtzeitzugriff auf Nutzerdaten (anders als IC)Datenquellen bleiben separiert, keine KonsolidierungnotwendigKein extra Datenspeicher/Datenbank

    Schnelle Integration ber LDAPEinfache Wartung

    AttributmanipulationNamensraumnderungen

  • SAP 2007 / Page 17 Q4/2007 20092008

    Business ProcessIntegration

    Management ofidentities and roles

    concerning businessaspects of identity

    SAP NetWeaverIntegration

    Tight integration of IdMas part of SAP

    NetWeaverplatform/frameworks

    ExtendNetWeaverintegration

    Businessprocess drivenidentity& business rolemanagement

    Heterogeneouslandscape supportIntegration with non-

    SAP systems andapplications

    NW IDM 7.0 SP1

    H1/2008

    SSO infrastructureintegrationPortal UI integration

    Out-of-the-boxconnectors andextension frameworkfor non-SAP systemsOpen interface fornon-SAP businessapplications

    Extension via additional standard support,partner eco-system or customer projects

    Workflow NetWeaver UIAdditional

    NetWeaver AdminUniversal Work ListFurther to be finalized

    GRCintegrationscenariosImproved HCMintegration

    Event-driven HCM importExtended GRCintegrationApplication and industryspecific identity aspectsSAP integrationframework extensions

    Extended identity servicesAPI Identityenterprise

    services

    Provisioning toapplications based onNW AS ABAP andNW AS JavaSAP integrationframework (templates)HCM integration (batch)

    Additionalstandardservices(DSML, SPML)

    Standard serviceinterface support (LDAP)

    CUAconnectivity

    This presentation and SAP's strategyand possible future developments aresubject to change and may bechanged by SAP at any time for anyreason without notice

    SAP NW IdM vorlufige Roadmap

  • SAP 2007 / Page 18

    Agenda

    1. berblick2. Features, Funktionen, Architektur3. Typische Szenarien4. Demo

  • ZentraleBenutzer-

View more >