Peter Gergen, Loren Heilig, Andreas Müller




SAP NetWeaver Identity Management
                     ®




              ...
Auf einen Blick

1    Einleitung ............................................................................ 17

2    Ide...
Inhalt

1   Einleitung ............................................................................. 17
    1.1     Überbl...
Inhalt



     3.8   SAP NetWeaver Process Integration ........................................                     74
   ...
Inhalt



    5.2   Komplexitätsrisiken .................................................................     135
        ...
Inhalt




7    Identity Management bei Mechatronic ............................... 197
     7.1    Entwicklung der IT bei...
Inhalt




9   Grundlegende Konzepte von SAP NetWeaver Identity
    Management ..............................................
Inhalt




11 Modellierung von Provisionierungstasks ............................ 335
     11.1   Pass-Konfiguration ........
Inhalt




13 Prozessmodellierung ............................................................ 391
    13.1   Modellierung...
Inhalt



             15.1.2 SAP NetWeaver Portal-Umgebung ..............................                          495
  ...
Inhalt



           17.1.2 Line Manager Report ..................................................                  580
  ...
Inhalt




      Anhang ................................................................................. 607
A     Weiter...
SAP NetWeaver IdM ist zentraler Bestandteil der SAP NetWeaver-
         Plattform. Es wird zur Verwaltung von Identitäten ...
4   SAP NetWeaver Identity Management im Überblick



    definierten Nachrichtentypen an die angebundenen ZBV-Tochtersyst...
Historie   4.1


Die Computerwoche schrieb am 14. Mai 2007: »Identity-Management-Systeme die-
nen in komplexen Applikation...
4   SAP NetWeaver Identity Management im Überblick



         Reporting und Audit
         Erzeugung von Berichten auf de...
Architektur   4.2


ter verwalteten Identitätsdaten (für Beispiele relevanter Anwendungsfälle siehe
Abschnitt 4.2.2).


4....
4   SAP NetWeaver Identity Management im Überblick



    Konfigurations- und Customizing-Arbeiten, die mithilfe eines Plu...
Architektur   4.2


Das UI teilt sich in fünf Bereiche, die in Abhängigkeit von der SAP NetWeaver
IdM-Rolle der angemeldet...
4   SAP NetWeaver Identity Management im Überblick




    Abbildung 4.4 End-User-Interface – Verwalten




    Abbildung ...
Architektur   4.2


Hier werden u. a. folgende Informationen gespeichert:

  Datenmodellbeschreibungen (siehe Kapitel 10)
...
4   SAP NetWeaver Identity Management im Überblick



    Zusätzlich zu den eigentlichen Daten gehören auch die Regelwerke...
Architektur   4.2


einer Datei durch einen Event Agent, der ein Ereignis auslöst, sobald die Datei aktu-
alisiert wurde. ...
4   SAP NetWeaver Identity Management im Überblick



    der SAP VDS beispielsweise für die HCM-Integration (siehe Abschn...
Daten- und Rollenmodell       4.3


Wie aus Abbildung 4.7 ersichtlich ist, können in der aktuellen Version Anwen-
dungen u...
4   SAP NetWeaver Identity Management im Überblick



    tity-Store-Schema5. Das Datenmodell ist dabei die Grundlage eine...
Daten- und Rollenmodell     4.3


  Wie lange müssen (historische) Daten im Rahmen geltender Audit-Anforderun-
  gen im Sy...
4   SAP NetWeaver Identity Management im Überblick



    auch die Definition eines Namenskonzepts für dieses Schlüsselatt...
Daten- und Rollenmodell    4.3



Entry Type              Kurze Beschreibung
Gruppe                  Der Entry Type MX_GRO...
4   SAP NetWeaver Identity Management im Überblick



    die damit in Konflikt stehende Rolle der entsprechenden Identitä...
Daten- und Rollenmodell   4.3


für entsprechende Personen vergeben. Die Abbildung der Organisationsstruktur
in zusätzlich...
4   SAP NetWeaver Identity Management im Überblick



    Details zur Relevanz der genannten Attribute im Rahmen des Ident...
Datensynchronisation und Provisioning        4.4


4.4.1       Prinzipien der Datensynchronisation
Bei der Synchronisation...
4   SAP NetWeaver Identity Management im Überblick



      einem Messaging-System (beispielsweise Lotus Notes oder Exchan...
Datensynchronisation und Provisioning       4.4


Repository-Namens abgelegt wird, kann das System die Priorität entsprech...
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Upcoming SlideShare
Loading in...5
×

Sappres Netweaver Identity Management

3,946
-1

Published on

Published in: Technology, Business
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
3,946
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
48
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Sappres Netweaver Identity Management

  1. 1. Peter Gergen, Loren Heilig, Andreas Müller SAP NetWeaver Identity Management ® Bonn Boston
  2. 2. Auf einen Blick 1 Einleitung ............................................................................ 17 2 Identity Management in Unternehmen .............................. 23 3 SAP NetWeaver Identity Management im Kontext von SAP NetWeaver ........................................ 65 4 SAP NetWeaver Identity Management im Überblick ........ 79 5 Tipps und Tricks im Identity-Management-Projekt ........... 119 6 Identity Management bei der Industrie GmbH .................. 145 7 Identity Management bei Mechatronic .............................. 197 8 Installation und Setup ........................................................ 249 9 Grundlegende Konzepte von SAP NetWeaver Identity Management ....................................................................... 265 10 Datenmodellierung ............................................................. 297 11 Modellierung von Provisionierungstasks ........................... 335 12 Frontend-Gestaltung des SAP NetWeaver IdM User Interfaces .................................................................... 373 13 Prozessmodellierung ........................................................... 391 14 SAP Provisioning Framework ............................................. 433 15 Weiterführende Integrationsthemen ................................. 491 16 Betrieb von SAP NetWeaver IdM ....................................... 545 17 Reporting ............................................................................ 577 18 Zusammenfassung und Ausblick ........................................ 599 A Weiterführende Literatur ................................................... 609 B Die Autoren ......................................................................... 619
  3. 3. Inhalt 1 Einleitung ............................................................................. 17 1.1 Überblick und Einordnung ....................................................... 18 1.2 Projektvorgehensmethoden und Fallbeispiele .......................... 20 1.3 Technische Details und Referenzen .......................................... 20 2 Identity Management in Unternehmen ............................... 23 2.1 Motivationen für die Einführung von Identity Management ..... 25 2.1.1 Gesetzeskonformität und Wirtschaftsprüfung .............. 25 2.1.2 Sicherheitsrisiken reduzieren ....................................... 27 2.1.3 Kostenreduktion durch Automatisierung und Prozessoptimierung ..................................................... 30 2.2 Lifecycle einer Identität im Unternehmen ................................ 32 2.3 Sammelkonten und priorisierte Accounts ................................. 35 2.4 Vergabe von Systemberechtigungen ........................................ 37 2.5 Identity-Management-Lösungen .............................................. 41 2.5.1 Anforderungen an das Identity Management .............. 42 2.5.2 Leistungen einer Identity-Management-Lösung .......... 44 2.5.3 Abgrenzung des Identity Managements vom Systemmanagement .................................................... 55 2.5.4 Organisatorische Integration von Identity Management .............................................................. 55 2.6 Aspekte der Projektierung ....................................................... 56 2.6.1 Modelle der Herangehensweise .................................. 57 2.6.2 Fragestellungen in Bezug auf die Zielarchitektur .......... 59 2.6.3 Betriebskonzept .......................................................... 60 2.7 Zusammenfassung ................................................................... 64 3 SAP NetWeaver Identity Management im Kontext von SAP NetWeaver .................................................................... 65 3.1 Von der SAP-Basis zu SAP NetWeaver ..................................... 66 3.2 Verwaltung von Identitäten in SAP NetWeaver ........................ 69 3.3 SAP NetWeaver Application Server Java .................................. 69 3.4 User Management Engine ........................................................ 70 3.5 SAP NetWeaver Administrator ................................................. 71 3.6 SAP NetWeaver Portal ............................................................. 72 3.7 Zentrale Benutzerverwaltung ................................................... 74 7
  4. 4. Inhalt 3.8 SAP NetWeaver Process Integration ........................................ 74 3.8.1 System Landscape Directory ........................................ 75 3.8.2 Enterprise Services Repository ..................................... 76 3.8.3 Enterprise Services Directory ....................................... 76 3.9 SAP Human Capital Management ............................................ 76 3.9.1 Personalmanagement .................................................. 77 3.9.2 Organisationsmanagement .......................................... 77 4 SAP NetWeaver Identity Management im Überblick .......... 79 4.1 Historie ................................................................................... 79 4.2 Architektur .............................................................................. 82 4.2.1 Identity Center ............................................................ 83 4.2.2 SAP Virtual Directory Server ........................................ 89 4.2.3 Gesamtarchitektur – Identity Center und SAP VDS ...... 90 4.3 Daten- und Rollenmodell ........................................................ 91 4.3.1 Daten- und Rollenmodell im Identity Store ................. 93 4.3.2 Datenmodellierung und Workflows ............................. 97 4.3.3 Datenmodellierung und Reporting .............................. 98 4.4 Datensynchronisation und Provisioning ................................... 98 4.4.1 Prinzipien der Datensynchronisation ........................... 99 4.4.2 Quell- und Zielsysteme ............................................... 100 4.4.3 Technische Adapter .................................................... 101 4.4.4 Provisionierungslogik und Workflows .......................... 103 4.4.5 Provisionierungscontent .............................................. 105 4.4.6 Password Management ............................................... 106 4.5 Weitere Integrationsthemen .................................................... 107 4.5.1 Business-Suite-Integration ........................................... 108 4.5.2 Integration mit SAP BusinessObjects Access Control ....................................................................... 110 4.5.3 Middleware zum Austausch von Daten ....................... 111 4.5.4 UI-Integration ............................................................. 113 4.6 Monitoring .............................................................................. 114 4.7 Reporting ................................................................................ 116 5 Tipps und Tricks im Identity-Management-Projekt ............ 119 5.1 Organisatorische Fallstricke ..................................................... 121 5.1.1 Vielzahl von Beteiligten und Betroffenen ..................... 121 5.1.2 Zielkonflikte ................................................................ 127 5.1.3 Persönliche Widerstände ............................................. 129 5.1.4 Organisatorisch begründete Widerstände .................... 131 5.1.5 Mangelnde organisatorische Reife ............................... 134 8
  5. 5. Inhalt 5.2 Komplexitätsrisiken ................................................................. 135 5.2.1 Ungeklärte Begriffe ..................................................... 135 5.2.2 Dynamisches Umfeld ................................................... 136 5.2.3 Unklare Abgrenzung des Projektumfangs .................... 140 5.2.4 Viele Schnittstellen ..................................................... 141 5.2.5 Komplexe Prozesse ..................................................... 143 6 Identity Management bei der Industrie GmbH ................... 145 6.1 Ausgangssituation .................................................................... 146 6.2 Systemlandschaft ..................................................................... 150 6.2.1 SAP-Umgebung .......................................................... 151 6.2.2 Windows-Umgebung .................................................. 154 6.3 Anforderungen ........................................................................ 155 6.3.1 Stammdaten ............................................................... 155 6.3.2 Prozesse und Antragswesen ........................................ 155 6.3.3 Berechtigungsverwaltung ............................................ 156 6.3.4 Reporting .................................................................... 157 6.3.5 Provisionierung ........................................................... 157 6.3.6 Authentisierung/Single Sign-on ................................... 157 6.4 Herausforderungen .................................................................. 158 6.5 Integriertes Projektvorgehen .................................................... 160 6.5.1 Roadmap und Phasenansatz ........................................ 161 6.5.2 Kick-off-Workshop ...................................................... 165 6.5.3 Installation einer zweistufigen Systemlandschaft ......... 165 6.5.4 Detaillierung des Fachkonzepts ................................... 167 6.5.5 Vorbetrachtung des Zielprozesses zur Anlage neuer Identitäten .................................................................. 167 6.5.6 Vorbereitende Maßnahmen zur Datenkonsolidierung ................................................... 168 6.5.7 Geplante Nutzung des Organisationsmanagements in SAP HCM .................................................................... 170 6.5.8 Erstellung der Feinkonzeption ..................................... 171 6.6 Umsetzung der Identity-Management-Lösung ......................... 172 6.6.1 Phase 1: Aufbau einer konsistenten Datenbasis ........... 172 6.6.2 Phase 2: Self-Services und Genehmigungsprozesse ...... 182 6.7 Zusammenfassung und Ausblick .............................................. 191 6.7.1 Phase 3: Vollständige Integration der Berechtigungsverwaltung ............................................ 192 6.7.2 Phase 4: Integration von SAP BusinessObjects Access Control ............................................................ 194 6.8 Wertbetrachtung der Einführung von SAP NetWeaver IdM ...... 195 9
  6. 6. Inhalt 7 Identity Management bei Mechatronic ............................... 197 7.1 Entwicklung der IT bei Mechatronic ........................................ 199 7.2 Projektinitiierung ..................................................................... 204 7.3 Projektvorbereitungen ............................................................. 207 7.4 Erste Schritte – Meilenstein 1.0 ............................................... 211 7.4.1 Konzeptionsphase ....................................................... 211 7.4.2 Implementierungsphase .............................................. 213 7.4.3 Stabilisierungsphase .................................................... 218 7.5 Weitere Integrationen – Meilenstein 2.0 .................................. 219 7.5.1 Anforderungen der Fachbereiche nach Meilenstein 1.0 220 7.5.2 Implementierung von Meilenstein 2.0 ......................... 222 7.5.3 Stabilisierungsphase .................................................... 226 7.6 Zwischenphase – Meilenstein 2.1 ............................................ 227 7.6.1 Erfassung der Folgeanforderungen .............................. 228 7.6.2 Implementierung von Meilenstein 2.1 ......................... 230 7.6.3 Stabilisierung .............................................................. 234 7.7 Zwischenphase – Meilenstein 2.2 ............................................ 236 7.7.1 Implementierung von Meilenstein 2.2 ......................... 238 7.7.2 Stabilisierungsphase .................................................... 243 7.8 Projektende mit Meilenstein 3 ................................................. 244 7.9 Lessons Learned ...................................................................... 246 8 Installation und Setup ......................................................... 249 8.1 Vorbereitungen ....................................................................... 249 8.1.1 Planung der Systemumgebung .................................... 249 8.1.2 Bereitstellung des AS Java ........................................... 251 8.1.3 Bereitstellung der IC-Datenbank ................................. 251 8.2 Installation .............................................................................. 252 8.2.1 Installation der IC-Datenbank ..................................... 253 8.2.2 Installation der IC Runtime ......................................... 255 8.2.3 Installation der IC Console .......................................... 256 8.2.4 Installation des SAP NetWeaver Identity Management User Interfaces ....................................... 257 8.2.5 Installation des SAP Virtual Directory Servers .............. 258 8.3 Einrichtung und Bereitstellung ................................................. 260 8.3.1 Einrichtung der Identity-Center-Konfiguration ............ 260 8.3.2 Einrichtung von Dispatcher und Event Agent Service ........................................................................ 261 8.3.3 Bereitstellung des SAP NetWeaver Identity Management UIs in SAP NetWeaver Portal ................. 262 10
  7. 7. Inhalt 9 Grundlegende Konzepte von SAP NetWeaver Identity Management ........................................................................ 265 9.1 Datenhaltung .......................................................................... 265 9.1.1 Datenmodell des Identity Centers ............................... 266 9.1.2 Globale Konfiguration: Repositorys, Konstanten und Variablen .................................................................... 273 9.2 Rollen und Berechtigungen ...................................................... 275 9.2.1 Berechtigungen im Identity Center .............................. 275 9.2.2 Rollen ......................................................................... 277 9.2.3 Aufbau von Rollenhierarchien ..................................... 281 9.2.4 Änderung von Rollen oder Rollenhierarchien .............. 283 9.3 Regelbasierte Rollenzuweisung ................................................ 283 9.4 Tasks und Prozesse .................................................................. 286 9.4.1 Passes ......................................................................... 289 9.4.2 Scripting ..................................................................... 292 9.4.3 Jobs ............................................................................ 292 9.4.4 Tasks ........................................................................... 293 9.4.5 Scheduling von Standardjobs ...................................... 296 10 Datenmodellierung ............................................................... 297 10.1 Standard-Schema ..................................................................... 297 10.1.1 Allgemein verwendete Attribute ................................. 298 10.1.2 Entry Type »MX_PERSON« .......................................... 302 10.1.3 Entry Type »MX_PRIVILEGE« ...................................... 305 10.1.4 Entry Type »MX_ROLE« .............................................. 308 10.1.5 Entry Type »MX_DYNAMIC_GROUP« ......................... 311 10.1.6 Entry Type »MX_PENDING_VALUE« ........................... 312 10.1.7 Entry Type »MX_REPORT« .......................................... 313 10.2 Erweiterung des Datenmodells ................................................ 313 10.2.1 Datenmodellierung für SAP NetWeaver IdM ............... 314 10.2.2 Definition neuer Attribute ........................................... 317 10.2.3 Definition neuer Entry Types ....................................... 322 10.2.4 Attributdefinitionen anpassen ..................................... 324 10.2.5 Tipps zur Datenmodellierung ...................................... 325 10.3 Tabellen in der IC-Datenbank .................................................. 326 10.3.1 Repräsentation von Nutzdaten und Systemkonfiguration ................................................... 327 10.3.2 Tabellen für Laufzeitinformationen .............................. 330 10.3.3 Besonderheiten für das Reporting ............................... 332 11
  8. 8. Inhalt 11 Modellierung von Provisionierungstasks ............................ 335 11.1 Pass-Konfiguration ................................................................... 335 11.1.1 Vorlagen und Platzhalter ............................................. 338 11.1.2 Repositorys, Variablen und Konstanten ....................... 339 11.1.3 Source konfigurieren ................................................... 340 11.1.4 Destination konfigurieren ............................................ 340 11.1.5 ToIdentityStore-Pass ................................................... 345 11.1.6 Ablauf einer Jobausführung ......................................... 347 11.1.7 Einsatz von Skripten .................................................... 348 11.1.8 ToGeneric-Pass ........................................................... 353 11.2 Jobkonfiguration ...................................................................... 356 11.2.1 Einstellungen .............................................................. 356 11.2.2 Ergebnisbehandlung .................................................... 358 11.3 Task-Konfiguration .................................................................. 359 11.3.1 Ablaufsteuerung .......................................................... 360 11.3.2 Ergebnisbehandlung .................................................... 361 11.3.3 Repository .................................................................. 362 11.4 Fehlerbehandlung und Ausfallsicherheit ................................... 363 11.4.1 Wiederholungen von Tasks ......................................... 365 11.4.2 Fehlerskripte ............................................................... 365 11.4.3 Tasks bei Fehlern aufrufen ........................................... 367 11.5 Ausgewählte eingebaute Funktionen für Skripte ...................... 367 11.5.1 Informationen über die Laufzeitumgebung ermitteln ..................................................................... 368 11.5.2 Zugriff auf Entrys im Identity Store .............................. 368 11.5.3 Steuerung der Jobausführung ...................................... 370 11.5.4 Hilfsfunktionen ........................................................... 370 11.5.5 Zugriff auf Konstanten und Variablen .......................... 372 12 Frontend-Gestaltung des SAP NetWeaver IdM User Interfaces ..................................................................... 373 12.1 Konfiguration im Frontend ...................................................... 373 12.1.1 Generelle Konfiguration von Task Groups .................... 374 12.1.2 Direkter Aufruf von Task Groups und Approval Tasks ........................................................................... 378 12.2 Anordnung von Attributen und Elementen .............................. 379 12.3 Darstellung von Werten ........................................................... 382 12.4 Zugriffssteuerung ..................................................................... 387 12.4.1 Zugreifende Identität festlegen .................................... 387 12.4.2 Zugriff auf Identitäten festlegen .................................. 389 12
  9. 9. Inhalt 13 Prozessmodellierung ............................................................ 391 13.1 Modellierung von Provisionierungsprozessen ........................... 391 13.1.1 Gruppieren von Provisionierungstasks ......................... 392 13.1.2 Verzweigungen ........................................................... 396 13.1.3 Genehmigungsschritte in Prozesse einfügen ................ 401 13.1.4 Member Events ........................................................... 407 13.1.5 Starten von (Sub-)Prozessen ........................................ 412 13.2 Modellierung von Batch-Prozessen .......................................... 415 13.2.1 Importprozesse ........................................................... 416 13.2.2 Exportprozesse ............................................................ 423 13.2.3 Zeitabhängige Prozesse ............................................... 424 13.2.4 Scheduling .................................................................. 425 13.2.5 Delta-Mechanismus .................................................... 428 14 SAP Provisioning Framework ............................................... 433 14.1 Überblick über das SAP Provisioning Framework ..................... 434 14.1.1 Bestandteile des SAP Provisioning Frameworks ........... 434 14.1.2 SAP Provisioning Framework in den Projektphasen ..... 436 14.2 Importprozesse ........................................................................ 437 14.2.1 Importprozesse erstellen ............................................. 437 14.2.2 Übersicht der Templates für Importjobs ...................... 440 14.2.3 Aufbau und Funktionsweise von Initial Load Templates ................................................................... 442 14.2.4 Aufbau und Funktionsweise von Update Templates .... 452 14.2.5 Datenkonsolidierung mit Importprozessen .................. 455 14.2.6 Weitere Standardjob-Templates .................................. 460 14.3 Provisionierungsprozesse ......................................................... 462 14.3.1 Konfiguration der Provsionierungsprozesse ................. 462 14.3.2 Ablauf von Provisionierungsprozessen ......................... 463 14.3.3 Task-Struktur des SAP Provisioning Frameworks .......... 466 14.3.4 Rule-Based Provisioning mit dem SAP Provisioning Framework .................................................................. 468 14.3.5 Provisionierung in die Zielsysteme ............................... 473 14.3.6 Vordefinierte Frontend-Masken .................................. 482 14.3.7 Erweitern der Provisionierungsprozesse ....................... 484 15 Weiterführende Integrationsthemen ................................... 491 15.1 Typische Anwendungsfälle für die Anbindung von Systemen ... 492 15.1.1 SAP HCM-Integration ................................................. 494 13
  10. 10. Inhalt 15.1.2 SAP NetWeaver Portal-Umgebung .............................. 495 15.1.3 Erweiterte SAP Business Suite-Integration ................... 496 15.2 Stammdatenverteilung und Synchronisation ............................ 497 15.2.1 SAP HCM-Standardintegration .................................... 497 15.2.2 Erweiterte SAP Business Suite-Integration ................... 507 15.2.3 Nutzung von SAP NetWeaver Process Integration ....... 511 15.3 SAP Virtual Directory Server und Identity Services ................... 514 15.3.1 Standardprotokolle und Identity Services .................... 514 15.3.2 Konfiguration und Deployment ................................... 516 15.3.3 Identity Services – Beispiele ........................................ 521 15.4 SAP BusinessObjects GRC-Integration ...................................... 524 15.4.1 Überblick über die GRC-Produkte der SAP .................. 524 15.4.2 Compliance-Phasen des Berechtigungsmanagements ........................................ 528 15.4.3 Compliant Identity Management ................................. 532 15.4.4 Kommunikation zwischen den Komponenten ............. 536 15.4.5 Compliant Identity Management – Konfiguration der Komponenten ............................................................. 540 16 Betrieb von SAP NetWeaver IdM ........................................ 545 16.1 Infrastruktur ............................................................................ 545 16.1.1 Sizing und Hochverfügbarkeit ...................................... 545 16.1.2 Sicherheit .................................................................... 551 16.1.3 Upgrades .................................................................... 553 16.2 Transportwesen ....................................................................... 554 16.2.1 Transport der IC-Datenbank ........................................ 554 16.2.2 Transport der Identity-Center-Konfiguration ............... 556 16.2.3 Transport der SAP Virtual Directory Server- Konfiguration .............................................................. 560 16.3 Monitoring .............................................................................. 562 16.3.1 Jobprotokoll ................................................................ 562 16.3.2 Systemprotokoll und Trace-Protokoll .......................... 566 16.3.3 Genehmigungswarteschlange, Provisionierungs- warteschlange und Provisionierungsaudit .................... 568 16.3.4 Historie von Einträgen ................................................. 571 16.3.5 Monitoring des SAP Virtual Directory Servers .............. 573 17 Reporting .............................................................................. 577 17.1 Report Samples ....................................................................... 578 17.1.1 Entry Report ............................................................... 578 14
  11. 11. Inhalt 17.1.2 Line Manager Report .................................................. 580 17.1.3 Privilege Report .......................................................... 581 17.1.4 Role Report ................................................................ 582 17.2 Setup der Reporting-Funktionalität .......................................... 583 17.2.1 Installation und Konfiguration der Runtime Library ..... 583 17.2.2 Erstellen eines Report Tasks im Identity Center ........... 584 17.2.3 Anfordern von Reports im IdM UI ............................... 588 17.2.4 Anzeigen von Reports ................................................. 589 17.3 Eigene Reports erstellen .......................................................... 591 17.3.1 Corporate Identity Report ........................................... 592 17.3.2 Conditional Format Report .......................................... 594 17.3.3 Data Transformation Report ........................................ 596 17.3.4 Query Report .............................................................. 598 18 Zusammenfassung und Ausblick .......................................... 599 18.1 Aktueller Stand ........................................................................ 599 18.1.1 Identity Center ............................................................ 600 18.1.2 SAP Virtual Directory Server ........................................ 600 18.1.3 SAP NetWeaver IdM User Interface ............................ 601 18.1.4 SAP NetWeaver IdM und SAP BusinessObjects Access Control ............................................................ 601 18.1.5 SAP NetWeaver IdM und SAP BusinessObjects Crystal Reports ............................................................ 602 18.1.6 Verfügbare Konnektoren im Identity Center ................ 602 18.1.7 SAP NetWeaver IdM und SAP HCM ............................ 603 18.2 Ausblick und »Wunschliste« für zukünftige Produktversionen .................................................................... 603 18.2.1 Integration in den SAP Solution Manager .................... 603 18.2.2 Verschmelzung mit SAP BusinessObjects Access Control ....................................................................... 604 18.2.3 SAP NetWeaver Composition Environment und Business Process Management .................................... 604 18.2.4 Vorgefertigtes, sofort einsatzbereites Berichtswesen .... 605 18.3 Organisatorische Herausforderungen ....................................... 605 18.3.1 Schaffung der organisatorischen Akzeptanz von SAP NetWeaver IdM ................................................... 605 18.3.2 Etablierung eines durchgängigen und aktuellen Fachrollenmodells ....................................................... 606 18.4 Schluss .................................................................................... 606 15
  12. 12. Inhalt Anhang ................................................................................. 607 A Weiterführende Literatur .................................................................... 609 A.1 Bücher und Artikel ................................................................... 609 A.2 Onlinequellen nach Kapiteln .................................................... 610 B Die Autoren ....................................................................................... 619 Index ......................................................................................................... 623 16
  13. 13. SAP NetWeaver IdM ist zentraler Bestandteil der SAP NetWeaver- Plattform. Es wird zur Verwaltung von Identitäten und deren Berech- tigungen in SAP- sowie Nicht-SAP-Systemlandschaften verwendet. Die- ses Kapitel gibt einen Überblick über die zugrundeliegende Architektur von SAP NetWeaver IdM sowie die damit verbundenen Konzepte und Funktionalitäten. 4 SAP NetWeaver Identity Management im Überblick Dieses Kapitel vermittelt einen Überblick über die Funktionen, Komponenten und Besonderheiten von SAP NetWeaver Identity Management (SAP NetWeaver IdM) und ist damit in erster Linie an Architekten und Projektleiter gerichtet. Es eignet sich aber auch grundsätzlich zum Einstieg, um einen ersten Überblick über die Ein- satzmöglichkeiten dieser Komponente zu bekommen. Um die Hintergründe für die Integration einer Identity-Management-Lösung in das SAP NetWeaver-Portfo- lio näher zu beleuchten, gehen wir zunächst kurz auf die Historie der Benutzer- verwaltung in SAP-Umgebungen ein. Anschließend werden die Systemkompo- nenten im Rahmen der SAP NetWeaver IdM-Architektur beschrieben und grundlegende Konzepte der Datenmodellierung in Verbindung mit dem Standard- datenmodell betrachtet, um dann wiederum im Rahmen der Datensynchronisa- tion und Provisionierung auf die Verfügbarkeit und Funktionsweise mitgelieferter Adapter einzugehen. Alle in diesem Kapitel aufgegriffenen Aspekte werden im technischen Teil des Buches, beginnend mit der Installation in Kapitel 8, detail- lierter beschrieben. 4.1 Historie Mit der Zentralen Benutzerverwaltung (ZBV) steht in SAP-Landschaften bereits seit dem R/3-Release 4.5B bzw. 4.6C ein Werkzeug zur Verfügung, mit dem eine zen- trale Verwaltung von Benutzer- und damit verbundenen Berechtigungsinformati- onen in einer SAP-ABAP-Landschaft möglich ist. Die ZBV nutzt dabei die zur Daten- verteilung mithilfe von IDocs vorhandenen ALE-Mechanismen. Mithilfe von ALE können Benutzerdaten sowie deren zugewiesene Berechtigungsrollen in dafür 79
  14. 14. 4 SAP NetWeaver Identity Management im Überblick definierten Nachrichtentypen an die angebundenen ZBV-Tochtersysteme übertra- gen und – je nach den Customizing-Einstellungen – kann ein Rückfluss von lokal gepflegten Attributen aus den Tochtersystemen ermöglicht werden. Die Nutzung der ALE-Technologie hat neben einigen Vorteilen allerdings auch einen zentralen Nachteil: Der Mechanismus ist grundsätzlich Systemen vorbehal- ten, die in der Lage sind, über entsprechende ALE-Verteilungsmodelle Daten aus- zutauschen. Somit ist eine Nutzung der ZBV zur Verwaltung von Benutzer- und Berechtigungsinformationen in ihrem vollen Funktionsumfang auf den AS ABAP beschränkt, sofern nicht weitere R/3-Basisfunktionalitäten wie beispielsweise der LDAP-Adapter genutzt werden. In Abhängigkeit von der Konfiguration eines AS Java-Systems können auch dessen Berechtigungen durch die ZBV verwaltet wer- den. Allerdings sind hierfür manuelle Zusatzarbeiten notwendig, um die Berech- tigungsobjekte des Java-Systems mit den im angebundenen ABAP-User-Store ver- fügbaren Rollen zu verknüpfen. Neben den technischen Restriktionen bei der Verwaltung unterschiedlicher Zielsystemtypen legt die ZBV außerdem den Fokus auf die in der ABAP-Benutzerpflege (Transaktion SU01 Benutzerpflege Ein- stieg) pflegbaren Attribute und Daten und unterstützt dabei keinerlei Prozesssteu- erung zur Beantragung und/oder Genehmigung von Berechtigungsoperationen. Betrachtet man das Thema Identity Management im Kontext einer zunächst sys- temunabhängigen zentralen Verwaltung von Identitäts- und Zugriffsdaten (siehe Kapitel 2), ist der Schritt der SAP nur konsequent, ein Werkzeug zu entwickeln, das eine historisch gewachsene und heterogene Systemlandschaft, bestehend aus SAP-Systemen, Verzeichnisdiensten, Windows-Anwendungen sowie Datenbank- anwendungen und sonstigen Eigenentwicklungen mit Identitäts- und Berechti- gungsinformationen versorgen kann. Bis zu diesem Zeitpunkt gab es für SAP-Kun- den, die ihre Identitäten zentral verwalten wollten, letztlich nur zwei Alternativen: entweder ein Third-Party-Tool1 für die Verwaltung der kompletten Systemumge- bung einzusetzen oder die ZBV für die SAP-Umgebung zu nutzen und für die rest- lichen Systeme ein anderes Werkzeug zu integrieren. Die Erweiterung des SAP NetWeaver-Portfolios durch ein Identity-Management- Werkzeug für heterogene System- und Anwendungslandschaften wurde mit der Akquisition von MaxWare in die Tat umgesetzt – mit dem Anspruch, weiterhin die komplexer werdende SAP-Umgebung hinsichtlich Identitätsdaten verwalten und zusätzlich auch Nicht-SAP-Systeme an dieselbe zentrale Identity-Manage- ment-Infrastruktur anbinden zu können. 1 Perkins, Earl; Carpenter, Perry: Magic Quadrant for User Provisioning. Gartner RAS Core Research Note G00159740. http://mediaproducts.gartner.com/reprints/novell/159740.html (1.06.2009) 80
  15. 15. Historie 4.1 Die Computerwoche schrieb am 14. Mai 2007: »Identity-Management-Systeme die- nen in komplexen Applikationsumgebungen dazu, Benutzer- und Zugriffsrechte übergreifend zu verwalten. Einerseits senkt dies die Verwaltungskosten, anderer- seits erhöht es die Sicherheit. Da in serviceorientierten Umgebungen eine Vielzahl unterschiedlicher Softwarekomponenten, Unternehmen (Lieferanten, Kunden und Partner) sowie Endanwender miteinander interagieren, steigt dort der Bedarf an Identity-Management.«2 SAP NetWeaver IdM nimmt damit in Zukunft mit einem erweiterten Funktionsumfang durch Genehmigungsworkflows, Reporting-Funkti- onalität, die Nutzung komplexer Rollenmodelle und Regelwerke zur Automatisie- rung der Berechtigungsverwaltung sowie zusätzlicher Adapter für die Anbindung weiterer Anwendungen die Position der ZBV ein. Die von SAP NetWeaver IdM bereitgestellten Funktionalitäten lassen sich wie folgt zusammenfassen: Metaverzeichnis Synchronisation, Konsolidierung und zentrale Datenhaltung der zu verwalten- den Identitätsdaten in einem auf einer relationalen Datenbank basierenden Me- taverzeichnis, dessen Datenmodell flexibel erweitert werden kann. Prozesssteuerung Aufbau komplexer Workflows zur Verwaltung der Identitätsdaten und Bean- tragung von Berechtigungen mit Workflow-Mechanismen wie beispielsweise der Umsetzung mehrstufiger Genehmigungsstrategien auf Basis paralleler und sequenzieller Verarbeitung von Anträgen durch Budgetverantwortliche, Vor- gesetzte, Daten- oder Systemverantwortliche inklusive der dynamischen Ermitt- lung von Prozessbeteiligten sowie der Konfiguration von Eskalations- und Be- nachrichtigungsmechanismen. SAP NetWeaver IdM erlaubt zusätzlich sowohl die Nutzung von Self-Services als auch die Möglichkeit delegierter Administra- tionsaufgaben in Abhängigkeit von Organisation, Zuständigkeit oder anderen gepflegten Attributen. Automatisierte und regelbasierte Provisionierung Auf Regelwerken basierende Anlage, Modifikation und Sperrung/Löschung von Benutzern in den angebundenen und verwalteten Systemen. Durch die Ab- bildung hierarchischer Rollenmodelle ist sowohl eine explizite (direkte) als auch eine implizite (vererbbare) Zuweisung von Berechtigungen unter Berück- sichtigung von gepflegten SoD-Konflikten (Segregation of Duties) durch SAP NetWeaver IdM möglich. Password Management Zentrale Verwaltung und Provisionierung von Passwörtern in SAP NetWeaver IdM inklusive der Abbildung von Szenarien zur Passwortrücksetzung. 2 Niemann, Frank: Update: SAP füllt mit MaxWare eine lange klaffende Lücke in NetWeaver. http://www.computerwoche.de/knowledge_center/enterprise_resource_planning/592733/ (14.05.2007) 81
  16. 16. 4 SAP NetWeaver Identity Management im Überblick Reporting und Audit Erzeugung von Berichten auf den aktuellen und den historischen Datenbestand mithilfe von SAP BusinessObjects Crystal Reports. Die Abschnitte dieses Kapitels beschreiben die Architektur, die zentralen Kompo- nenten sowie die Hauptfunktionalitäten und Prinzipien von SAP NetWeaver IdM. Ziel ist es, einen grundsätzlichen Überblick zu geben und die wichtigsten Begriffe und Möglichkeiten in den Bereichen Datenmodellierung inklusive Rollenmodel- len (siehe Kapitel 10) und Workflow-Steuerung (siehe Kapitel 13), Provisionierung (siehe Kapitel 11 und Kapitel 14), Monitoring (siehe Kapitel 16) und Reporting (siehe Kapitel 17) einführend zu erläutern. 4.2 Architektur SAP NetWeaver IdM besteht aus zwei zunächst unabhängigen Komponenten: dem Identity Center (IC) und dem SAP Virtual Directory Server (SAP VDS). Das Identity Center bildet mit seinem Datenmodell auf Basis einer relationalen Datenbank, das mithilfe der Administrationskonsole ohne Programmieraufwand erweitert wer- den kann, das »Herzstück« des eigentlichen Identity-Management-Systems und stellt somit die im letzten Abschnitt beschriebenen grundlegenden Funktionalitä- ten zur Verfügung. Die Verwendung einer relationalen Datenbank bietet dabei, verglichen mit einem reinen Verzeichnisdienst, zusätzlich den Vorteil der trans- aktionalen Sicherheit. Während in einem Verzeichnisdienst immer die aktuelle Repräsentation eines Objekts in Form einer flachen Liste von Attributen abgelegt wird, erlaubt die Nutzung einer relationalen Datenbank außerdem die Speiche- rung historischer Werte sowie die Verknüpfung weiterer Daten beispielsweise zu Reporting-Zwecken. Der SAP Virtual Directory Server hingegen stellt die Funktionalität für den zentra- len und virtualisierten Echtzeitzugriff auf mehrere Datenquellen im Sinne einer Middleware mit speziellen Transformationsfunktionen – wie beispielsweise der Transformation von Attributwerten oder der Anreicherung aus anderen Daten- quellen zum Zeitpunkt der Abfrage – und der Unterstützung bestimmter, im IdM- Umfeld gängiger Protokolle wie LDAP oder SPML3 (Service Provisioning Markup Language) zur Verfügung. Dies gilt sowohl für den Zugriff auf externe Datenquel- len (aus Sicht des Identity Centers) als auch für den Zugriff auf die im Identity Cen- 3 SPML ist ein offener Standard für die Integration und Übermittlung von Service-Provisio- nierungsanfragen. SPML Version 1.0 wurde im Oktober 2003 von OASIS (Organization for the Advancement of Structured Information Standards) als Standard freigegeben. Aktuelle In- formationen finden Sie unter http://www.oasis-open.org/specs/index.php#spmlv2.0 (Stand: Au- gust 2009). 82
  17. 17. Architektur 4.2 ter verwalteten Identitätsdaten (für Beispiele relevanter Anwendungsfälle siehe Abschnitt 4.2.2). 4.2.1 Identity Center Das Identity Center lässt sich in drei Ebenen (siehe Abbildung 4.1) unterteilen: UI-Komponenten Datenbank und Identity Store(s) Laufzeitkomponenten (IC Runtime) In den folgenden Abschnitten werden die oben dargestellten Bestandteile des Identity Centers näher erläutert. Eine vierte Ebene bilden die Quell- und Zielsys- teme, auf die wir in Abschnitt 4.4 eingehen werden. UI-Komponenten (1) Administrator Console Überwachung/Workflow und End-User-Interface Microsoft Management Console (MMC) SAP NetWeaver Application Server Java IC-Datenbank (2) Event (De-)Zentrale Agent(s) IC Runtime (3) Dispatcher SAP NetWeaver SAP NetWeaver Verzeichnis- Sonstige Datenbanken ABAP Java dienste Nicht-SAP Quell- und Zielsysteme (4) Abbildung 4.1 Bestandteile des Identity Centers In Bezug auf die UI-Komponenten besteht das Identity Center (IC) aus zwei Teilen: dem SAP NetWeaver IdM UI, das auf dem Java-basierten Teil des AS Java instal- liert wird4, und der Administrationskonsole (IC Console) für Entwicklungs- sowie 4 Die unterstützten Versionen können Sie – wie auch für andere SAP NetWeaver-Komponen- ten – der Product Availability Matrix (PAM) unter http://service.sap.com/pam entnehmen (Stand: August 2009). 83
  18. 18. 4 SAP NetWeaver Identity Management im Überblick Konfigurations- und Customizing-Arbeiten, die mithilfe eines Plug-ins in der Mi- crosoft Management Console (MMC) zur Verfügung gestellt wird. Auf dem SAP NetWeaver AS werden neben dem Monitoring-Interface die Kom- ponenten für den Zugriff auf das zentrale End-User-Interface und die damit ver- fügbaren Workflow-Masken bereitgestellt. Die Benutzerverwaltung eines ange- bundenen AS Java (UME) zur Bereitstellung der UI-Komponenten enthält die Benutzer, die später Zugriff auf Identity-Management-Inhalte in Form von Em- ployee- oder Manager-Self-Services haben sollen. Dabei gelten bei der UME-Konfi- guration keine Einschränkungen bezüglich nutzbarer Authentisierungsquellen. In allen Fällen gilt, dass das Identity Center für die Anlage, Änderung und Verteilung der Benutzer in dem entsprechenden User Store sorgt und somit den verwalteten Identitäten einen Zugang zum IdM UI zur Änderung persönlicher Daten oder Beantragung von Zugriffsrechten bzw. sonstigen Ressourcen gestattet. Die Web-Dynpro-Komponenten für die Workflow-Masken werden zumeist auf einer bestehenden SAP NetWeaver-Portal-Landschaft aktiviert. Ein zentrales Unternehmensportal stellt in vielen Unternehmen bereits heute den Einstieg in zahlreiche Applikationen dar, beispielsweise Anwendungen aus dem Personalbe- reich wie das Zeit- und Reisemanagement, eine Vielzahl von Reporting- und Pla- nungsanwendungen oder Kollaborationswerkzeuge. Steht kein solches Unterneh- mensportal auf SAP NetWeaver-Basis zur Verfügung, kann das SAP NetWeaver IdM UI auf einem eigenen AS Java-System als Bestandteil des SAP NetWeaver IdM- Systems installiert werden. In beiden Fällen gilt, dass im UI keinerlei Programm- bzw. Provisionierungslogik abläuft und somit auch keine Beeinträchtigung des ver- wendeten AS Java – mit Ausnahme der eventuell steigenden Benutzerzahl – zu erwarten ist. Abbildung 4.2 zeigt die Sicht auf das SAP NetWeaver IdM UI in der Version 7.1. Abbildung 4.2 End-User-Interface – Self-Services 84
  19. 19. Architektur 4.2 Das UI teilt sich in fünf Bereiche, die in Abhängigkeit von der SAP NetWeaver IdM-Rolle der angemeldeten Benutzer sichtbar sind (siehe auch Kapitel 12): Self-Services Zu erledigen Verwalten Historie Überwachung Die Registerkarte Self-Services enthält eine Liste von Links, mit denen der ange- meldete Benutzer beispielsweise Berechtigungen für sich anfordern oder den Teil seiner eigenen Daten ändern kann, der für die direkte Änderung im Rahmen des entsprechenden Self-Services freigegeben ist. Alle Aktionen betreffen immer sei- nen eigenen Benutzerstammsatz. Diese Registerkarte ist für jeden Benutzer sicht- bar, der im Identity Store erfasst und als aktiv gekennzeichnet ist. Die Registerkarte Zu erledigen (Abbildung 4.3) stellt den Arbeitsvorrat im Hin- blick auf anstehende Aktivitäten, wie die Genehmigung von Anträgen oder die Erfassung zusätzlicher Daten, des angemeldeten Benutzers im Identity Center dar. Eine Integration in die Universal Worklist (UWL) in SAP NetWeaver Portal ist mög- lich (für weiterführende Informationen siehe Literaturverzeichnis). Abbildung 4.3 End-User-Interface – Arbeitsvorrat Die Registerkarte Verwalten (Abbildung 4.4) bietet die Möglichkeit, delegierte Aufgaben durchzuführen, also beispielsweise die Daten von anderen Personen zu ändern oder als Vorgesetzter Berechtigungen für die eigenen Mitarbeiter zu bean- tragen. Die Registerkarten Historie und Überwachung sind technischer Natur und bleiben im Normalfall berechtigten Administratoren vorbehalten. In der His- torie werden abgearbeitete Genehmigungsaufgaben angezeigt (Abbildung 4.5). 85
  20. 20. 4 SAP NetWeaver Identity Management im Überblick Abbildung 4.4 End-User-Interface – Verwalten Abbildung 4.5 End-User-Interface – Historie Die Informationen auf der Registerkarte Überwachung gestatten sowohl Einblick in Job- und Systemlog als auch eine Sicht auf die Warteschlange für Genehmi- gungsaufgaben und Provisionierungstasks (siehe Abbildung 4.6). Mit der eingangs erwähnten IC Console kommt der Endanwender und Prozess- beteiligte nicht in Berührung. Sie ist somit Entwicklern und Systemadministrato- ren vorbehalten. Die IC Console spielt vor allem bei der Implementierung und dem Betrieb der SAP NetWeaver IdM-Lösung eine zentrale Rolle. Details zu ihrer Nutzung sind deshalb auch ab Kapitel 8 zu finden. Über die IC Console wird der Bereich der Datenbank gepflegt, der die Entwicklungs- und Customizing-Einstel- lungen enthält. 86
  21. 21. Architektur 4.2 Hier werden u. a. folgende Informationen gespeichert: Datenmodellbeschreibungen (siehe Kapitel 10) Konfigurationsdaten von angebundenen Systemen (siehe Abschnitte 4.4.2 und 9.1.2) Konfiguration für Workflow-Abläufe (siehe Kapitel 13) Einstellungen für Masken (siehe Kapitel 12) Regeln zu Datensynchronisation und -transformation sowie zu zeitgesteuerten Ladevorgängen und Skripten (siehe Kapitel 11) Abbildung 4.6 End-User-Interface – Überwachung Neben den Customizing-Einstellungen bilden die konfigurierbaren Identity Store(s) den zweiten zentralen Bestandteil einer SAP NetWeaver IdM-Datenbank- instanz. In einem Identity Store werden die eigentlichen Identitätsdaten – basie- rend auf dem zugrunde liegenden Datenmodell – verwaltet. Dazu gehören in jedem Fall: Benutzerstammsätze (siehe Abschnitte 4.3.1 und 10.1.2) technische Rollen (siehe Abschnitte 4.3.1 und 10.1.3) Geschäftsrollen (siehe Abschnitte 4.3.1 und 10.1.4) (dynamische) Gruppen (siehe Abschnitte 4.3.1 und 10.1.5) Objekte für noch zu genehmigende oder zeitlich abgegrenzte Identitätsinfor- mationen (siehe Abschnitte 4.3.1 und 10.1.6) Anträge und kundenspezifische Objekte (siehe Abschnitt 10.2) 87
  22. 22. 4 SAP NetWeaver Identity Management im Überblick Zusätzlich zu den eigentlichen Daten gehören auch die Regelwerke zur Reaktion auf Ereignisse (Hinzufügen/Ändern/Löschen) zum jeweiligen Identity Store. Neben den aktuellen Datenbeständen werden in den dafür vorgesehenen Daten- banktabellen (siehe Abschnitt 10.3) die historischen Werte der verwalteten Objektklassen sowie Audit-Informationen über beantragte und genehmigte Res- sourcen für Auswertungszwecke vorgehalten. Mit Ausnahme sogenannter Job, Pass und Repository Templates, die der Anbindung zusätzlicher Systeme sowie der Konfiguration von Standardjobs und Provisionierungsaufgaben im Rahmen von Entwicklungs- und Konfigurationstätigkeiten dienen, stehen alle Daten für den Betrieb von SAP NetWeaver IdM in der zentralen Datenbankinstanz zur Verfü- gung. Templates werden dagegen auf dem Filesystem abgelegt und können bei den Konfigurationsarbeiten in der Administrationskonsole als Vorlage genutzt werden. Die Laufzeitkomponenten (IC Runtime) bilden neben den UI-Komponenten und der Datenbank die dritte Schicht der Identity-Center-Architektur. Grundsätzlich lassen sich zwei Laufzeitkomponenten unterscheiden: Dispatcher und Event Agents. Dispatcher werden konfiguriert, um Warteschlangen mit Jobs, Workflow- und Provisionierungsaufgaben abzuarbeiten, und sind somit das »ausführende Or- gan« innerhalb von SAP NetWeaver IdM. Es können in jedem Unternehmen ein oder mehrere Dispatcher in der Systemlandschaft verteilt konfiguriert werden. Dabei kann u. a. festgelegt werden, welche Art von Aufgaben ein bestimmter Dis- patcher erfüllt und in welchen Intervallen er dies tun soll. Eine verteilte Installation von mehreren Dispatchern kann aus Gründen der Lastverteilung sinnvoll, aber auch unter netzwerktopologischen Gesichtspunkten (Sicherheit, Firewall, Ge- schwindigkeit etc.) notwendig sein. Außerdem besteht die Möglichkeit, eine Ent- kopplung bestimmter hoch priorisierter oder eher unkritischer Aufgaben zu er- reichen (siehe Kapitel 16). In Release 7.1 von SAP NetWeaver IdM wird der Dispatcher noch immer für die beiden Laufzeitumgebungen Windows und Java ausgeliefert. Das hat u. a. den Grund, dass es auch im SAP Provisioning Framework (siehe Kapitel 14) noch aus- gelieferte Bestandteile der Instrumentierung gibt – beispielsweise für das User Management des Microsoft Active Directorys –, die die Windows-Laufzeit voraus- setzen, da sie Windows-spezifische Funktionalitäten wie beispielsweise das Active Directory Services Interface (ADSI) nutzen. Das Ziel von SAP ist aber, in Zukunft mit der Java-Laufzeitumgebung auszukommen und die Windows-Laufzeit nicht mehr zu nutzen, um eine entsprechende Plattformunabhängigkeit der IC-Runtime- Komponenten zu gewährleisten. Event Agents, die zweite Laufzeitkomponente, werden verwendet, um in Quell- und/oder Zielsystemen Ereignisse abzufangen, die im Identity Center wiederum die Ausführung von Jobs oder Tasks initiieren können (für weiterführende Infor- mationen siehe Literaturverzeichnis). Ein einfaches Beispiel ist die Überwachung 88
  23. 23. Architektur 4.2 einer Datei durch einen Event Agent, der ein Ereignis auslöst, sobald die Datei aktu- alisiert wurde. Daraufhin kann im Identity Center eine Aktion angestoßen werden, die in Verbindung mit dem Delta-Handling die geänderten Datensätze aus der über- wachten Datei in den Identity Store lädt. Event Agents stehen im Auslieferungs- zustand lediglich für die folgenden wenigen Anwendungsfälle zur Verfügung: Überwachung von Anlage, Änderung oder Löschung von Objekten im Micro- soft Active Directory Überwachung von Änderungen in Datenbanken Überwachung von Dateien und Verzeichnissen Überwachung von Änderungen in weiteren LDAP-Verzeichnissen Mithilfe einer Java-API können weitere Vorlagen für die Aktivierung von Event Agents für den jeweiligen Anwendungsfall gebaut werden. Die Nutzung von Java garantiert, wie oben beschrieben, auch hier die Plattformunabhängigkeit. Genau wie der Dispatcher kann ein Event Agent in der Systemlandschaft auf unterschied- lichen Systemen verteilt werden und so die auf den relevanten Systemen lokal auf- tretenden Ereignisse abfangen bzw. weiterleiten, um weitere Aktionen auszulö- sen. Sowohl Dispatcher als auch Event Agents lassen sich als lauffähige Services konfigurieren, die in die Startup-Sequenzen der unterstützten Systemplattformen eingebunden werden können. Die Java-Laufzeitkomponenten nutzen unterschiedliche Klassen, um die Konnek- tivität zu den Quell- und Zielsystemen herzustellen. Eine zentrale Klasse ermöglicht dabei den Zugriff mithilfe von LDAP. Dieses Protokoll zum Zugriff auf Verzeich- nisdienste wird – neben anderen Protokollen wie SPML und Webservice – auch vom Virtual Directory Server unterstützt. Dieser spielt eine wichtige Rolle für verschie- dene Schnittstellen (beispielsweise bei der GRC-Integration oder der Kommuni- kation mit dem LDAP-Adapter im Rahmen der SAP Business Suite-Integration) und wird in Zukunft durch die Verfügbarkeit der genannten Identity Services immer mehr in den Mittelpunkt der Kommunikation mit dem Identity Center rücken. 4.2.2 SAP Virtual Directory Server Der SAP Virtual Directory Server (SAP VDS) stellt grundsätzlich Funktionalitäten für den virtualisierten und standardisierten Zugriff auf Datenquellen im Sinne einer Middleware zur Verfügung. Er liefert damit spezielle Transformationsfunk- tionen und unterstützt bestimmte, im Identity-Management-Umfeld gängige Pro- tokolle wie LDAP oder SPML. Obwohl der SAP VDS im Rahmen der SAP NetWea- ver IdM-Architektur zunächst eine optionale Komponente darstellt, nimmt er vor allem hinsichtlich der Integration mit anderen Systemen sowie der Anreicherung von Informationen aus unterschiedlichen Quellen eine zentrale Rolle ein. So wird 89
  24. 24. 4 SAP NetWeaver Identity Management im Überblick der SAP VDS beispielsweise für die HCM-Integration (siehe Abschnitte 4.5.1 und 15.2.1) sowie zur Integration mit SAP BusinessObjects Access Control (siehe Abschnitt 15.4) verwendet. SAP liefert hierzu die nötige Instrumentierung sowohl für das Identity Center als auch für den SAP VDS aus. Einige Beispiele für Anwen- dungsfälle einer Verwendung des SAP VDS sind neben den bereits genannten Inte- grationen: virtualisierter Zugriff auf unterschiedliche Datenquellen, wie Identity Stores des Identity Centers, Datenbanken oder Directory Services Markup Language v2 (DSMLv2), über LDAP und SPML Mapping und Transformation von einzelnen Attributwerten während des Zu- griffs, um den Anforderungen an Datenformate unterschiedlicher Quell- und Zielsysteme gerecht werden zu können Zusammenfassung von Attributen unterschiedlicher Systeme in einer Anfrage. Für die anfragende Anwendung ist nur eine Datenquelle sichtbar. Einschränkung von verfügbaren Attributen und Filterung der Wertemenge von Daten in Abhängigkeit von den Anmeldeinformationen des anfragenden Be- nutzers dynamische Ermittlung der Verbindungsdaten in Abhängigkeit von Attributen des Anwenders (beispielsweise E-Mail-Adresse) Zusätzlich zur grundlegenden Funktionalität für die Umsetzung der beschriebe- nen Anwendungsfälle übernimmt der SAP VDS durch die Unterstützung von Pro- tokollen wie LDAP, HTTP, SOAP und SPML im Zusammenspiel mit anderen SAP NetWeaver-Komponenten die Bereitstellung sogenannter Identity Services. Iden- tity Services stellen im Kontext von SAP NetWeaver IdM einen zentralen und stan- dardisierten Zugriffspunkt über Webservices und SPML für die Abfrage und die Verwaltung von Identitätsinformationen der kompletten Systemumgebung zur Verfügung. Außerdem ist mit dem SAP VDS ein Werkzeug vorhanden, das durch Nutzung der integrierten API die flexible Anbindung weiterer Systeme verein- facht. Weitere Informationen zur detaillierten Architektur, den Identity Services sowie weiteren Use Cases erhalten Sie in Abschnitt 15.3. 4.2.3 Gesamtarchitektur – Identity Center und SAP VDS Kombiniert man die beiden Komponenten Identity Center und SAP VDS, entsteht eine Gesamtarchitektur mit einer sehr umfangreichen Schnittstelle für den einfa- chen Zugriff. Dies dient letztlich der Verwaltung, Verteilung und Bereitstellung der Identitätsdaten in der kompletten Unternehmenssystemlandschaft über einen zentralen Einstiegspunkt: SAP NetWeaver IdM. 90
  25. 25. Daten- und Rollenmodell 4.3 Wie aus Abbildung 4.7 ersichtlich ist, können in der aktuellen Version Anwen- dungen und Systeme sowohl direkt über die technischen Adapter des Identity Centers als auch über den VDS angebunden werden. Allerdings wird die Anbin- dung weiterer Systeme in Zukunft mithilfe des SAP VDS erfolgen. Zum einen han- delt es sich um angebotene Schnittstellen, die auf einem offiziellen Standard basie- ren, und zum anderen lässt der SAP VDS direkte Anfragen zum Lesen, Ändern und Löschen von Identitätsdaten zu. Im Gegensatz dazu müssen die Adapter des Iden- tity Centers immer vom Identity Center selbst – beispielsweise durch erzeugte Ereignisse der Event Agents – getriggert werden, um Daten abzuholen, zu vertei- len oder Benutzerkonten und Berechtigungen zu provisionieren. Sonstige Systeme und Anwendungen Identity Services SAP Virtual Directory End-User-Inferface Server (SAP VDS) Identity Center (IC) (De-)Zentrale Event IC-Datenbank Dispatcher Agent(s) Connector Framework Identity Services Sonstige Sonstige SAP HCM SAP GRC SAP ABAP SAP Java (Nicht-SAP) (Nicht-SAP) Quell- und Zielsysteme Quell- und Zielsysteme Abbildung 4.7 Gesamtarchitektur – Identity Center und SAP VDS 4.3 Daten- und Rollenmodell Dieser Abschnitt gibt einen Überblick über die Möglichkeiten der Datenmodellie- rung im Identity Center. Eine genaue Beschreibung aller benannten Komponenten und Bestandteile sowie deren Funktionen finden Sie in den Kapiteln 9 und 10. In der IC-Datenbank wird mithilfe der Administrationskonsole das Datenmodell für einen oder mehrere Identity Stores definiert und verwaltet – das sogenannte Iden- 91
  26. 26. 4 SAP NetWeaver Identity Management im Überblick tity-Store-Schema5. Das Datenmodell ist dabei die Grundlage einer SAP NetWeaver IdM-Installation und -Konfiguration und bildet damit die Basis für eine erfolgrei- che Implementierung. Im Rahmen einer Standardinstallation werden alle im Stan- darddatenmodell definierten Objektklassen sowie deren Eigenschaften in einem Identity Store angelegt, die für die grundsätzliche Funktionsweise des Systems, vordefinierte Funktionen (beispielsweise der abgrenzbaren Zuweisung von Berechtigungen) sowie für das von SAP ausgelieferte SAP Provisioning Framework (siehe Kapitel 14) benötigt werden. Die Anpassung im Identity Center auf die spe- ziellen Anforderungen in der Systemlandschaft – vor allem bezogen auf die umzu- setzenden Prozesse – setzt allerdings in den meisten Fällen auch die Erweiterung des bestehenden Datenmodells voraus und damit die Ausarbeitung eines soliden Konzepts. Grundsätzlich sollte das Konzept für ein Datenmodell die folgenden Einflussfaktoren und Fragestellungen berücksichtigen: Welche Informationen sollen mit welchem Detailgrad im Identity Store abge- bildet werden, und für welche Anwendungsfälle werden die Daten benötigt? Welche Objektklassen werden dafür benötigt? Welche Attribute sind Bestandteil dieser Objektklassen? Werden Attribute mehrsprachig oder einsprachig gepflegt? Stehen die Objekte miteinander in Beziehung? Handelt es sich dabei um eine 1:1-, 1:n- oder eine m:n-Beziehung? Reicht es eventuell aus, Informationen als Wert eines bestimmten Attributs ei- ner Entität zu speichern, oder muss die Information mithilfe einer Objektklasse abgebildet werden, zu der dann entsprechende Relationen aufgebaut werden? Welche Attribute und Objekte haben Steuerungsfunktionen in späteren An- trags- und Genehmigungsprozessen? Welche Attribute sind führend in welchem System? Können Prioritäten festge- legt werden? In welcher Form sollen die Informationen im User Interface präsentiert wer- den? Welche Validierungen sollen bei der Eingabe der Attributwerte angewen- det werden? Welche Quellen (angebundene Quell- und Zielsysteme oder manuelle Eingabe- prozesse) sind führend für die verwendeten Attribute? Welche Transformationen müssen beim Beziehen der Daten aus den Quellen durchgeführt werden? 5 Eine detaillierte Beschreibung des ausgelieferten Datenmodells finden Sie im Dokument mit dem Titel SAP NetWeaver Identity Management Identity Center Identity Store Schema – Technical Reference im SDN unter https://www.sdn.sap.com/irj/sdn/nw-identitymanagement (Stand: August 2009). 92
  27. 27. Daten- und Rollenmodell 4.3 Wie lange müssen (historische) Daten im Rahmen geltender Audit-Anforderun- gen im System vorgehalten werden? Die Liste der Fragestellungen könnte an dieser Stelle noch fortgesetzt werden. Wichtig ist, dass letztlich genau die Informationen abgebildet werden, die zur Ver- waltung der Identitäten und Steuerung der dafür notwendigen Prozesse benötigt werden – nicht weniger, aber auch nicht mehr. 4.3.1 Daten- und Rollenmodell im Identity Store Das Datenmodell mit Objektklassen und deren Eigenschaften definiert sich im Identity Center über sogenannte Entry Types und die dazugehörenden Attribute. Ein Entry Type entspricht dabei einer Objektklasse für die Abbildung von ausge- wählten Informationen der jeweiligen Entität, beispielsweise einer Person mit den Attributen Vorname und Nachname. Attribute werden zunächst unabhängig vom Entry Type definiert. Anschließend wird festgelegt, welches Attribut für welchen Entry Type genutzt werden kann. Ein Attribut hat verschiedene Eigenschaften, die gepflegt werden müssen. Dazu gehören: Datentyp für die Speicherung des Attributwerts im Identity Store Anzeigetyp im UI (Checkbox, Radio Button, Dropdown-Liste etc.) Anzeigenamen im UI (dieser kann mehrsprachig gepflegt werden) ein- oder mehrsprachig hinterlegte gültige Wertelisten Validierungsfunktionen in Form regulärer Ausdrücke6 führende Systeme für dieses Attribut Festlegung von Aktionen, die bei Anlage, Änderung oder Löschung des Attri- buts ausgeführt werden sollen. Mit diesen Aktionen können beispielsweise Verteilungsvorgänge in Zielsysteme gestartet werden, sobald sich das jeweilige Attribut ändert. Auf den Entry Types basierende Objekte können miteinander – auch hierarchisch – in Beziehung stehen. Dabei sorgt das Identity Center für die Integrität der Daten, sodass eine Beziehung zwischen Objekten immer bidirektional angelegt, modifi- ziert oder entfernt wird. Jedes angelegte Objekt wird in Form von Attribut- name/Attributwert-Paaren anhand des gültigen Schemas im Identity Store abgelegt und hat immer ein eindeutiges Schlüsselattribut (MSKEYVALUE). Dieses Attribut ist innerhalb des kompletten Identity Stores und über alle Entry Types eindeutig und ein Pflichtfeld. Deshalb gehört neben der Klärung zuvor genannter Fragestellungen 6 Ein regulärer Ausdruck ist eine Zeichenkette, die der Beschreibung von Mengen bezie- hungsweise Untermengen von Zeichenketten mithilfe bestimmter syntaktischer Regeln dient. 93
  28. 28. 4 SAP NetWeaver Identity Management im Überblick auch die Definition eines Namenskonzepts für dieses Schlüsselattribut zu den Auf- gaben der Datenmodellierung. Neben dem Schlüsselattribut MSKEYVALUE ist auch das Attribut MX_ENTRYTYPE ein Pflichtfeld für alle Objekte und definiert, zu welcher Objektklasse ein bestimmter Eintrag gehört. Die folgenden Entry Types – immer mit dem Namensraum MX_ als von SAP definierte Objekte gekennzeichnet – wer- den im Rahmen einer Standardinstallation im Identity Store angelegt (Tabelle 4.1). Entry Type Kurze Beschreibung Identität/Person Zentrale Objektklasse zur Verwaltung einer digitalen Identität. (MX_PERSON) Dies sind meist Personen, also interne oder externe Mitarbei- ter oder Geschäftspartner (siehe Abschnitt 10.1.2). Berechtigung/ Objektklasse zur Verwaltung und Pflege von Berechtigungsob- technische Rolle jekten angebundener Systeme. Objekte vom Typ MX_PRIVI- (MX_PRIVILEGE) LEGE können beispielsweise Einzel- oder Sammelrollen aus ABAP-Systemen, Java-Rollen oder Java-Gruppen aus SAP- Java-Systemen, Sicherheitsgruppen aus dem Active Directory etc. sein. In der Identity-Center-Dokumentation wird von technischen Rollen gesprochen (siehe Abschnitt 10.1.3). Rolle/Business-Rolle Im Gegensatz zum Typ MX_PRIVILEGE können mit dem Entry (MX_ROLE) Type MX_ROLE Rollen verwaltet werden, die Objekte vom Typ MX_PRIVILEGE aus unterschiedlichen Systemen enthalten. In der Identity-Center-Dokumentation wird von Fachrollen oder Business-Rollen gesprochen. Objekte vom Typ MX_ROLE erlau- ben Vater/Kind-Beziehungen und somit den Aufbau von kom- plexen hierarchischen, aber nicht zyklischen Rollenmodellen mit beeinflussbarer Vererbungsfunktion (siehe Abschnitt 10.1.4). Dynamische Gruppe Der Entry Type MX_DYNAMIC_GROUP erlaubt die Verwaltung (MX_DYNAMIC_GROUP) von Regelwerken zur Ermittlung von Gruppenmitgliedern auf Basis bestimmter Filterkriterien (Attributkombinationen). Durch die Zugehörigkeit zu einer dynamischen Gruppe können beispielsweise Rechte vergeben werden, die wieder automa- tisch entzogen werden, sobald die entsprechende Person nicht mehr den Filterkriterien entspricht (siehe Abschnitt 10.1.5). Wert in Bearbeitung Die Objektklasse MX_PENDING_VALUE gestattet es, Attribute, (MX_PENDING_VALUE) die zeitlich abgegrenzt bzw. deren Gültigkeit zeitlich befristet ist oder für die noch eine Genehmigung aussteht, so im Sys- tem abzulegen, dass das System am Anfang bzw. am Ende des Gültigkeitszeitraums für die Änderung des Wertes an der ent- sprechenden Person sorgt (siehe Abschnitt 10.1.6). Tabelle 4.1 Objektklassen im Standarddatenmodell 94
  29. 29. Daten- und Rollenmodell 4.3 Entry Type Kurze Beschreibung Gruppe Der Entry Type MX_GROUP dient zum Aufbau von Gruppen- (MX_GROUP) hierarchien im Identity Store. Aus einer Gruppenmitgliedschaft kann wiederum die Zuweisung einer Berechtigungsrolle resul- tieren. So werden beispielsweise bei der Anbindung eines Active Directorys Gruppen sowohl als MX_PRIVILEGE als auch als MX_GROUP abgebildet. Über die Gruppenzugehörigkeit kön- nen somit wiederum implizit beispielsweise weitere Berechti- gungen vergeben werden (siehe Kapitel 10 und Abschnitt 14.3). Firmenadresse Entry Type zur Verwaltung und Pflege der Adressattribute (MX_COMPANY_ einer Firmenadresse. Die Attribute dieses Entry Types sind an ADDRESS) die im ABAP-Stack verfügbaren Firmenadressattribute ange- lehnt (siehe Kapitel 10 und Abschnitt 14.3). Anwendung Der Entry Type MX_APPLICATION wird im Rahmen der Identity (MX_APPLICATION) Services sowie der SAP Business Objects GRC-Integration zur Gruppierung von Berechtigungsrollen auf Anwendungsebene verwendet (siehe Abschnitte 15.3 und 15.4). Asynchroner Request Dieser Entry Type wird im Rahmen der Nutzung des SAP VDS vom VDS genutzt, um Objekte nicht synchron im Identity Store zu (MX_ASYNC_REQUEST) ändern, sondern zunächst einen »temporären« Eintrag anzule- gen, der dann auch die Nutzung des Delta-Mechanismus beim Fortschreiben der Werte gestattet (siehe Kapitel 10 und Abschnitt 15.3). Beantragter/erzeug- Der Entry Type MX_REPORT wurde mit der Version 7.1. SP02 ter Report eingeführt und enthält beantragte, in Bearbeitung befindliche (MX_REPORT) oder erzeugte Reports (siehe Kapitel 10 und Ábschnitt 17.2.2). Tabelle 4.1 Objektklassen im Standarddatenmodell (Forts.) Das ausgelieferte Standarddatenmodell und die eingebaute Anwendungslogik erlauben durch die Nutzung der dargestellten Objektklassen den Aufbau umfang- reicher Rollenmodelle, mit deren Hilfe sowohl eine explizite (direkte) als auch eine implizite Vergabe von Rollen und Rechten, basierend auf Attributwerten der ver- walteten Identitäten, möglich ist (für mehr Details siehe Kapitel 10). Durch die sys- temübergreifende Zusammenfassung von Berechtigungsobjekten aus angebunde- nen Systemen in hierarchisch strukturierbare Business-Rollen lassen sich Rollenmodelle realisieren, wie in Abbildung 4.8 dargestellt. Neben den in der Abbildung aufgezeigten Verknüpfungen können zusätzliche Eigenschaften für die Rollen definiert werden, die u. a. das Verhalten bei der Beantragung oder Zuwei- sung steuern. Ein Beispiel ist der gegenseitige Ausschluss von Rollen. Wird ein sol- cher Ausschluss definiert, verhindert das System die Zuweisung einer Rolle, sofern 95
  30. 30. 4 SAP NetWeaver Identity Management im Überblick die damit in Konflikt stehende Rolle der entsprechenden Identität bereits zuge- wiesen wurde. Im Gegensatz zum SAP BusinessObjects Access Control (siehe Abschnitte 4.5.2 und 15.4) können im Identity Center allerdings nur statische Aus- schlüsse hinterlegt werden. Zudem lassen sich Positiv- und Negativlisten für Rol- len definieren, die die Zuweisung für die Zielidentität ausdrücklich erlauben oder eben ausdrücklich verbieten. Genehmigungsstrategien können – einstufig oder mehrstufig mit dynamisch ermittelten oder in Rollen und Prozessen festgelegten Beteiligten – durch Definition unterschiedlicher Genehmigungsaufgaben (siehe Abschnitte 4.4.4 und 13.1.3) für einzelne Rollen hinterlegt werden. Attribute zur Festlegung des Rollenbesitzers können wiederum bei der Ermittlung von gültigen Genehmigern verwendet werden. Business-Rollen Manager Abteilungsleiter Mitarbeiter Technische Rollen Zugriff Windows- E-Mail- Portalzugriff Portalzugriff Manager- User User ESS MSS Cockpit Zielsysteme SAP NetWeaver SAP NetWeaver SAP NetWeaver Microsoft AD Lotus Notes Portal Portal BW Abbildung 4.8 Rollenmodell im Identity Center Die Zuweisung der dargestellten technischen Rollen und Business-Rollen kann durch dedizierte Beantragung im Rahmen von Self-Services und anschließender Genehmigung erfolgen. Außerdem ist die automatisierte Zuweisung aufgrund von definierbaren Regelwerken eine Möglichkeit, Rollen über die Filterung von Attri- butausprägungen – beispielsweise der Zugehörigkeit zu einer Organisationsein- heit oder der Besetzung einer Planstelle – zu vergeben. In vielen Projekten besteht die Anforderung, die Verwaltung von Rechten anhand von Regeln zu gestalten, die beispielsweise auf Basis der organisatorischen Zuord- nung und des im letzten Abschnitt erläuterten Rollenmodells automatisch Rechte 96
  31. 31. Daten- und Rollenmodell 4.3 für entsprechende Personen vergeben. Die Abbildung der Organisationsstruktur in zusätzlichen Datenobjekten ist ein sinnvolles Beispiel für die Einführung wei- terer Objektklassen für Objekte wie Organisationseinheiten, Planstellen etc. Durch die Nutzung von Entry Types kann nämlich auch die Organisationshierar- chie im Identity Store mithilfe von entsprechenden Beziehungen abgebildet wer- den und damit – im Vergleich zu anderen IdM-Lösungen – ein mächtiges Modell für die Verwaltung von Berechtigungen anhand der im Organisationsmodell gepflegten Struktur entstehen. 4.3.2 Datenmodellierung und Workflows Die Datenmodellierung spielt nicht nur im Rahmen der Verwaltung von Identi- tätsdaten eine wesentliche Rolle, sondern hat ganz besonders auf die abgebildete Workflow-Steuerung in SAP NetWeaver IdM Einfluss. Grundsätzlich lassen sich dazu die folgenden relevanten Gesichtspunkte in Verbindung mit dem Datenmo- dell zur Workflow-Steuerung aufzeigen: Berechtigungsprüfungen Berechnung/Auflösung von Rechten in Workflows, basierend auf gesetzten At- tributwerten. Dies erfolgt auf Basis der sogenannten Berechtigungsregeln der entsprechenden Workflow-Komponenten. Grundsätzlich kann damit die Frage, wer welche Aktion mit welchem Objekt durchführen darf, zur Laufzeit unter Einbeziehung der relevanten Umgebungsparameter und Attributwerte beantwortet werden. Wertefilterung Filterung von gültigen Werten in Auswahllisten, basierend auf Attributwerten der angemeldeten Person sowie des momentan bearbeiteten Objekts Workflow-Steuerung Auswertung von speziellen Attributen zum Start von Genehmigungsaufgaben und -strategien, die mit dem beantragten Objekt (beispielsweise einer Berech- tigungsrolle) verknüpft sind. Dazu gehören Attribute wie MX_APPROVAL_TASK oder MX_APPROVERS. Statuswerte Speicherung von Statuswerten in dafür vorgesehenen Attributen wie MX_ APPROVALS (Status der für ein Objekt aktiven Workflows) oder MX_STATE (Status eines in Bearbeitung befindlichen Wertes) Temporäre Attribute Speicherung temporärer Attribute für die Steuerung von Workflow-Aufgaben Entry Types ganze Entry Types – wie beispielsweise MX_PENDING_VALUE – die letztlich »Werte in Bearbeitung« darstellen und von Workflow-Aufgaben erzeugt bzw. ausgewertet werden 97
  32. 32. 4 SAP NetWeaver Identity Management im Überblick Details zur Relevanz der genannten Attribute im Rahmen des Identity-Center- Berechtigungskonzepts sowie zur Steuerung der implementierten Workflows fin- den Sie ab Kapitel 9. 4.3.3 Datenmodellierung und Reporting Neben der konsistenten Informationsspeicherung der Identitätsdaten sowie der Workflow-Steuerung sind die Anforderungen im Bereich des Reportings ebenfalls ein wichtiger Einflussfaktor für die Definition des Datenmodells. Bisher lag der Fokus der Betrachtung bei der Datenmodellierung auf den abgebildeten Objekt- klassen und deren Eigenschaften. Bei der Datenmodellierung für das Reporting geht es zusätzlich darum, wie lange bestimmte Informationen im System vorge- halten werden müssen und wie deren Historisierung gewährleistet werden kann. SAP NetWeaver IdM gestattet hierzu die Festlegung der Aufbewahrungszeit bzw. der Anzahl von Versionen auf Attributebene. Mit diesen Informationen werden jegliche Änderungen der verwalteten Objekte (Personen, Rollen, Berechtigungs- objekte etc.) in der Datenbank fortgeschrieben und stehen in speziellen Daten- banktabellen und -views (siehe Abschnitt 10.3) für Auswertungen zur Verfügung. Werden die historischen Daten mit den vorhandenen Audit-Daten über die Aus- führung von Workflows verknüpft, besteht die Möglichkeit, mithilfe entsprechen- der Abfragen Fragen im Rahmen des IdM wie »Wer hat wann welche Berechti- gungsrolle bekommen, und wer hat die Zuweisung genehmigt?« zu beantworten. Bei der Datenmodellierung hinsichtlich des Berichtswesens muss also letztlich dar- auf geachtet werden, dass alle Daten für die benötigten Auswertungen für den geforderten Zeitraum zur Verfügung stehen, da alle Informationen im Identity Store in Form von einwertigen und mehrwertigen Attributen abgelegt werden können. 4.4 Datensynchronisation und Provisioning Die Verwaltung digitaler Identitäten setzt eine konsistente Datenbasis voraus, weswegen die in Abschnitt 4.3 beschriebene Datenmodellierung zentraler Bestandteil von Konzeption und Implementierung einer Identity-Management- Lösung sein sollte. Dieser Abschnitt beschreibt die grundlegenden Mechanismen, die in SAP NetWeaver IdM für die Synchronisation von Daten und somit für den Aufbau und Abgleich des Identity Stores mit den angeschlossenen Quell- und Ziel- systemen zur Verfügung stehen. Neben der Synchronisation und Verteilung der wesentlichen Identitätsstammdaten besteht die zweite Hauptaufgabe einer Iden- tity-Management-Lösung in der weitestgehend automatisierten Provisionierung von Benutzerdaten und deren – durch Antrags- und Genehmigungsprozesse zuge- wiesenen – Berechtigungsinformationen in die angebundenen Zielsysteme. 98
  33. 33. Datensynchronisation und Provisioning 4.4 4.4.1 Prinzipien der Datensynchronisation Bei der Synchronisation von Daten sind – zunächst unabhängig vom betrachteten Datenobjekt – einige Regeln zu beachten. Dies gilt auch für den Aufbau eines Iden- tity Stores in SAP NetWeaver IdM und die anschließende Verteilung der darin ver- walteten Identitätsdaten. In den meisten Fällen sind die benötigten Daten bereits in unterschiedlichen Datenquellen eines Unternehmens vorhanden. Daraus ergibt sich aber auch, dass verschiedene Systeme zunächst führenden Charakter für ein- zelne Bestandteile eines zentral zu verwaltenden Benutzerstammsatzes haben. Ein sehr vereinfachtes Beispiel zeigt Abbildung 4.9. Personalsystem Telefonanlage Vorname Führendes System Vorname Nachname für Attribut Nachname Organisationseinheit Organisationseinheit Telefon/Fax Telefon/Fax E-Mail-Adresse E-Mail-Adresse Berechtigungsrollen Berechtigungsrollen Identity Store SAP NetWeaver IdM UI Messaging Vorname Vorname Nachname Nachname Organisationseinheit Organisationseinheit Telefon/Fax Telefon/Fax E-Mail-Adresse E-Mail-Adresse Berechtigungsrollen Berechtigungsrollen Abbildung 4.9 Prinzipien der Datensynchronisation In diesem Beispiel wird davon ausgegangen, dass sich der Stammsatz einer Iden- tität vom Typ Interner Mitarbeiter aus Daten vier verschiedener Datenquellen zusammensetzt: einem Personalsystem als führende Datenquelle für die Personendaten wie Vor- name, Nachname, Anrede, Titel etc. und Informationen zur organisatorischen Zuordnung sowie Eintritts- und Austrittsinformationen einem System (beispielsweise einer Telefonanlage) mit Informationen zu Tele- kommunikationsdaten der Mitarbeiter 99
  34. 34. 4 SAP NetWeaver Identity Management im Überblick einem Messaging-System (beispielsweise Lotus Notes oder Exchange Server), führend für vergebene E-Mail-Adressen das SAP NetWeaver IdM-System selbst, führend für die Verwaltung von Berech- tigungsinformationen Die exemplarisch dargestellten Datenquellen liefern Informationen, die den Iden- titätsdatensatz im Identity Store komplettieren. Auch nach der erstmaligen Befül- lung eines Identity Stores aus unterschiedlichen Quellen würde für dieses Beispiel ein regelmäßiger Transfer ausgewählter (führender) Attribute aus den jeweiligen Datenquellen erfolgen – ereignisbasiert oder nach einem eingerichteten Zeitplan. Die Synchronisation von Daten (sowohl die erste Befüllung als auch die fortlau- fende Aktualisierung) inklusive definierter Regeln muss vom eingesetzten Werk- zeug unterstützt werden. So unterstützt SAP NetWeaver IdM beispielsweise nicht nur die Definition von führenden Systemen für bestimmte Identitätsinformatio- nen, sondern erlaubt u. a. auch eine Befüllung bzw. einen Update eines bestimm- ten Attributs unter Berücksichtigung festgelegter Prioritäten. Liegt beispielsweise keine Telefonnummer aus der Telefonanlage für einen Mitarbeiter vor, erlaubt das System die Pflege über das User Interface oder den Import aus anderen Daten- quellen. Wurde die Telefonnummer aber einmal aus der Telefonanlage und somit aus dem führenden System importiert, kann sie nicht mehr durch Daten aus nied- riger priorisierten Datenquellen überschrieben werden. Wie in Abbildung 4.9 zu sehen war, kann auch das User Interface selbst das »füh- rende System« für unterschiedliche Bestandteile des Identitätsstammsatzes sein. Die folgenden Abschnitte erläutern die Begrifflichkeiten, die mit der Datensyn- chronisation in Zusammenhang stehen. Darüber hinaus geben wir Ihnen einen kurzen Überblick über die SAP NetWeaver IdM-Standardadapter für SAP- und Nicht-SAP-Systeme/-Anwendungen und gehen auf die von SAP ausgelieferten Pakete für die Provisionierung von Standardkomponenten einer Infrastruktur, wie beispielsweise einem Windows Active Directory, ein. 4.4.2 Quell- und Zielsysteme Jede Anwendung, die an SAP NetWeaver IdM angebunden wird, wird als soge- nanntes Repository angelegt. Ein Repository repräsentiert somit eine Anwendung, die entweder Daten im Rahmen der Synchronisation von Identitätsdaten an SAP NetWeaver IdM liefert oder Empfänger von veränderten Daten ist – oder beides. Die im letzten Abschnitt angesprochene Prioritätensteuerung führender Systeme für einzelne Attribute basiert auf der Zuweisung sogenannter Owner Repositorys. Diese können auf Attributebene im Identity Center definiert werden. Durch diese Information sowie die Tatsache, dass für jedes gespeicherte Attribut im Identity Store neben dem Anlage- bzw. Änderungszeitpunkt auch die Herkunft in Form des 100
  35. 35. Datensynchronisation und Provisioning 4.4 Repository-Namens abgelegt wird, kann das System die Priorität entsprechend steuern und verhindert, dass ein Wert aus dem führenden System durch einen qualitativ niederwertigeren Wert überschrieben wird. In den angelegten Reposi- torys werden mithilfe der Definition von Konstanten notwendige Informationen zu einem Repository abgelegt, um u. a. die Verbindungsdaten nicht redundant an unterschiedlichen Stellen vorhalten zu müssen: Typ der angebundenen Anwendung (LDAP, DB, ABAP, XML etc.) Verbindungsdaten für den Zugriff auf die relevanten Daten der Anwendung Repository-Konstanten, die die eindeutige ID der Identity-Center-Instrumen- tierung enthalten, die im Rahmen der Provisionierung aufgerufen werden müs- sen, wenn sich für eine verwaltete Identität auf dem mit diesem Repository ver- knüpften Zielsystem ein relevantes Attribut ändert Alle Komponenten, die im Rahmen der Datensynchronisation und Provisionie- rung genutzt werden, beziehen sich immer auf ein bestimmtes – teilweise zur Laufzeit ermitteltes – Repository und werden aus der Repository-Definition mit allen notwendigen Daten versorgt, damit zum einen der Zugriff auf die Anwen- dung in technischer Hinsicht möglich ist (Verbindungsdaten) und zum anderen bei den durchzuführenden Datenmanipulationsaufgaben die korrekte Logik für diese Anwendung angewendet wird. So werden beispielsweise bei der Zuweisung von Berechtigungsrollen in einem SAP-ABAP-System dem betroffenen Benutzer die Rollen zugewiesen. Ein Benutzer in einem Microsoft Active Directory muss aber in die ihm zugeordneten berechtigungsrelevanten Sicherheitsgruppen aufge- nommen werden. Neben der Tatsache, dass jeweils ein entsprechender techni- scher Adapter verwendet werden muss, ist somit auch die Logik der Berechti- gungszuweisung vom Repository-Typ abhängig. 4.4.3 Technische Adapter SAP NetWeaver IdM besitzt verschiedene Adapter, mit denen bereits ein Großteil der Systeme und Anwendungen in einer Unternehmensinfrastruktur an SAP Net- Weaver IdM angebunden werden kann.7 Tabelle 4.2 zeigt eine Übersicht. Mit die- sen technischen Adaptern lassen sich verschiedene Anwendungen und Systeme anbinden, die die jeweiligen Protokolle oder Zugriffsmechanismen unterstützen. 7 SAP stellt im SDN ein laufend aktualisiertes Slideset zur Verfügung, das Informationen über IDM-Adapter und die damit unterstützten Anwendungen enthält. Es ist zu finden unter: SAP NetWeaver Product • Complementary Offerings • SAP NetWeaver Identity Ma- nagement • Product Overview: SAP NetWeaver Identity Management • IDM Connec- tor Overview (Stand: Juni 2009). 101

×