Sappres Netweaver Identity Management
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
4,212
On Slideshare
4,212
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
45
Comments
0
Likes
2

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Peter Gergen, Loren Heilig, Andreas Müller SAP NetWeaver Identity Management ® Bonn Boston
  • 2. Auf einen Blick 1 Einleitung ............................................................................ 17 2 Identity Management in Unternehmen .............................. 23 3 SAP NetWeaver Identity Management im Kontext von SAP NetWeaver ........................................ 65 4 SAP NetWeaver Identity Management im Überblick ........ 79 5 Tipps und Tricks im Identity-Management-Projekt ........... 119 6 Identity Management bei der Industrie GmbH .................. 145 7 Identity Management bei Mechatronic .............................. 197 8 Installation und Setup ........................................................ 249 9 Grundlegende Konzepte von SAP NetWeaver Identity Management ....................................................................... 265 10 Datenmodellierung ............................................................. 297 11 Modellierung von Provisionierungstasks ........................... 335 12 Frontend-Gestaltung des SAP NetWeaver IdM User Interfaces .................................................................... 373 13 Prozessmodellierung ........................................................... 391 14 SAP Provisioning Framework ............................................. 433 15 Weiterführende Integrationsthemen ................................. 491 16 Betrieb von SAP NetWeaver IdM ....................................... 545 17 Reporting ............................................................................ 577 18 Zusammenfassung und Ausblick ........................................ 599 A Weiterführende Literatur ................................................... 609 B Die Autoren ......................................................................... 619
  • 3. Inhalt 1 Einleitung ............................................................................. 17 1.1 Überblick und Einordnung ....................................................... 18 1.2 Projektvorgehensmethoden und Fallbeispiele .......................... 20 1.3 Technische Details und Referenzen .......................................... 20 2 Identity Management in Unternehmen ............................... 23 2.1 Motivationen für die Einführung von Identity Management ..... 25 2.1.1 Gesetzeskonformität und Wirtschaftsprüfung .............. 25 2.1.2 Sicherheitsrisiken reduzieren ....................................... 27 2.1.3 Kostenreduktion durch Automatisierung und Prozessoptimierung ..................................................... 30 2.2 Lifecycle einer Identität im Unternehmen ................................ 32 2.3 Sammelkonten und priorisierte Accounts ................................. 35 2.4 Vergabe von Systemberechtigungen ........................................ 37 2.5 Identity-Management-Lösungen .............................................. 41 2.5.1 Anforderungen an das Identity Management .............. 42 2.5.2 Leistungen einer Identity-Management-Lösung .......... 44 2.5.3 Abgrenzung des Identity Managements vom Systemmanagement .................................................... 55 2.5.4 Organisatorische Integration von Identity Management .............................................................. 55 2.6 Aspekte der Projektierung ....................................................... 56 2.6.1 Modelle der Herangehensweise .................................. 57 2.6.2 Fragestellungen in Bezug auf die Zielarchitektur .......... 59 2.6.3 Betriebskonzept .......................................................... 60 2.7 Zusammenfassung ................................................................... 64 3 SAP NetWeaver Identity Management im Kontext von SAP NetWeaver .................................................................... 65 3.1 Von der SAP-Basis zu SAP NetWeaver ..................................... 66 3.2 Verwaltung von Identitäten in SAP NetWeaver ........................ 69 3.3 SAP NetWeaver Application Server Java .................................. 69 3.4 User Management Engine ........................................................ 70 3.5 SAP NetWeaver Administrator ................................................. 71 3.6 SAP NetWeaver Portal ............................................................. 72 3.7 Zentrale Benutzerverwaltung ................................................... 74 7
  • 4. Inhalt 3.8 SAP NetWeaver Process Integration ........................................ 74 3.8.1 System Landscape Directory ........................................ 75 3.8.2 Enterprise Services Repository ..................................... 76 3.8.3 Enterprise Services Directory ....................................... 76 3.9 SAP Human Capital Management ............................................ 76 3.9.1 Personalmanagement .................................................. 77 3.9.2 Organisationsmanagement .......................................... 77 4 SAP NetWeaver Identity Management im Überblick .......... 79 4.1 Historie ................................................................................... 79 4.2 Architektur .............................................................................. 82 4.2.1 Identity Center ............................................................ 83 4.2.2 SAP Virtual Directory Server ........................................ 89 4.2.3 Gesamtarchitektur – Identity Center und SAP VDS ...... 90 4.3 Daten- und Rollenmodell ........................................................ 91 4.3.1 Daten- und Rollenmodell im Identity Store ................. 93 4.3.2 Datenmodellierung und Workflows ............................. 97 4.3.3 Datenmodellierung und Reporting .............................. 98 4.4 Datensynchronisation und Provisioning ................................... 98 4.4.1 Prinzipien der Datensynchronisation ........................... 99 4.4.2 Quell- und Zielsysteme ............................................... 100 4.4.3 Technische Adapter .................................................... 101 4.4.4 Provisionierungslogik und Workflows .......................... 103 4.4.5 Provisionierungscontent .............................................. 105 4.4.6 Password Management ............................................... 106 4.5 Weitere Integrationsthemen .................................................... 107 4.5.1 Business-Suite-Integration ........................................... 108 4.5.2 Integration mit SAP BusinessObjects Access Control ....................................................................... 110 4.5.3 Middleware zum Austausch von Daten ....................... 111 4.5.4 UI-Integration ............................................................. 113 4.6 Monitoring .............................................................................. 114 4.7 Reporting ................................................................................ 116 5 Tipps und Tricks im Identity-Management-Projekt ............ 119 5.1 Organisatorische Fallstricke ..................................................... 121 5.1.1 Vielzahl von Beteiligten und Betroffenen ..................... 121 5.1.2 Zielkonflikte ................................................................ 127 5.1.3 Persönliche Widerstände ............................................. 129 5.1.4 Organisatorisch begründete Widerstände .................... 131 5.1.5 Mangelnde organisatorische Reife ............................... 134 8
  • 5. Inhalt 5.2 Komplexitätsrisiken ................................................................. 135 5.2.1 Ungeklärte Begriffe ..................................................... 135 5.2.2 Dynamisches Umfeld ................................................... 136 5.2.3 Unklare Abgrenzung des Projektumfangs .................... 140 5.2.4 Viele Schnittstellen ..................................................... 141 5.2.5 Komplexe Prozesse ..................................................... 143 6 Identity Management bei der Industrie GmbH ................... 145 6.1 Ausgangssituation .................................................................... 146 6.2 Systemlandschaft ..................................................................... 150 6.2.1 SAP-Umgebung .......................................................... 151 6.2.2 Windows-Umgebung .................................................. 154 6.3 Anforderungen ........................................................................ 155 6.3.1 Stammdaten ............................................................... 155 6.3.2 Prozesse und Antragswesen ........................................ 155 6.3.3 Berechtigungsverwaltung ............................................ 156 6.3.4 Reporting .................................................................... 157 6.3.5 Provisionierung ........................................................... 157 6.3.6 Authentisierung/Single Sign-on ................................... 157 6.4 Herausforderungen .................................................................. 158 6.5 Integriertes Projektvorgehen .................................................... 160 6.5.1 Roadmap und Phasenansatz ........................................ 161 6.5.2 Kick-off-Workshop ...................................................... 165 6.5.3 Installation einer zweistufigen Systemlandschaft ......... 165 6.5.4 Detaillierung des Fachkonzepts ................................... 167 6.5.5 Vorbetrachtung des Zielprozesses zur Anlage neuer Identitäten .................................................................. 167 6.5.6 Vorbereitende Maßnahmen zur Datenkonsolidierung ................................................... 168 6.5.7 Geplante Nutzung des Organisationsmanagements in SAP HCM .................................................................... 170 6.5.8 Erstellung der Feinkonzeption ..................................... 171 6.6 Umsetzung der Identity-Management-Lösung ......................... 172 6.6.1 Phase 1: Aufbau einer konsistenten Datenbasis ........... 172 6.6.2 Phase 2: Self-Services und Genehmigungsprozesse ...... 182 6.7 Zusammenfassung und Ausblick .............................................. 191 6.7.1 Phase 3: Vollständige Integration der Berechtigungsverwaltung ............................................ 192 6.7.2 Phase 4: Integration von SAP BusinessObjects Access Control ............................................................ 194 6.8 Wertbetrachtung der Einführung von SAP NetWeaver IdM ...... 195 9
  • 6. Inhalt 7 Identity Management bei Mechatronic ............................... 197 7.1 Entwicklung der IT bei Mechatronic ........................................ 199 7.2 Projektinitiierung ..................................................................... 204 7.3 Projektvorbereitungen ............................................................. 207 7.4 Erste Schritte – Meilenstein 1.0 ............................................... 211 7.4.1 Konzeptionsphase ....................................................... 211 7.4.2 Implementierungsphase .............................................. 213 7.4.3 Stabilisierungsphase .................................................... 218 7.5 Weitere Integrationen – Meilenstein 2.0 .................................. 219 7.5.1 Anforderungen der Fachbereiche nach Meilenstein 1.0 220 7.5.2 Implementierung von Meilenstein 2.0 ......................... 222 7.5.3 Stabilisierungsphase .................................................... 226 7.6 Zwischenphase – Meilenstein 2.1 ............................................ 227 7.6.1 Erfassung der Folgeanforderungen .............................. 228 7.6.2 Implementierung von Meilenstein 2.1 ......................... 230 7.6.3 Stabilisierung .............................................................. 234 7.7 Zwischenphase – Meilenstein 2.2 ............................................ 236 7.7.1 Implementierung von Meilenstein 2.2 ......................... 238 7.7.2 Stabilisierungsphase .................................................... 243 7.8 Projektende mit Meilenstein 3 ................................................. 244 7.9 Lessons Learned ...................................................................... 246 8 Installation und Setup ......................................................... 249 8.1 Vorbereitungen ....................................................................... 249 8.1.1 Planung der Systemumgebung .................................... 249 8.1.2 Bereitstellung des AS Java ........................................... 251 8.1.3 Bereitstellung der IC-Datenbank ................................. 251 8.2 Installation .............................................................................. 252 8.2.1 Installation der IC-Datenbank ..................................... 253 8.2.2 Installation der IC Runtime ......................................... 255 8.2.3 Installation der IC Console .......................................... 256 8.2.4 Installation des SAP NetWeaver Identity Management User Interfaces ....................................... 257 8.2.5 Installation des SAP Virtual Directory Servers .............. 258 8.3 Einrichtung und Bereitstellung ................................................. 260 8.3.1 Einrichtung der Identity-Center-Konfiguration ............ 260 8.3.2 Einrichtung von Dispatcher und Event Agent Service ........................................................................ 261 8.3.3 Bereitstellung des SAP NetWeaver Identity Management UIs in SAP NetWeaver Portal ................. 262 10
  • 7. Inhalt 9 Grundlegende Konzepte von SAP NetWeaver Identity Management ........................................................................ 265 9.1 Datenhaltung .......................................................................... 265 9.1.1 Datenmodell des Identity Centers ............................... 266 9.1.2 Globale Konfiguration: Repositorys, Konstanten und Variablen .................................................................... 273 9.2 Rollen und Berechtigungen ...................................................... 275 9.2.1 Berechtigungen im Identity Center .............................. 275 9.2.2 Rollen ......................................................................... 277 9.2.3 Aufbau von Rollenhierarchien ..................................... 281 9.2.4 Änderung von Rollen oder Rollenhierarchien .............. 283 9.3 Regelbasierte Rollenzuweisung ................................................ 283 9.4 Tasks und Prozesse .................................................................. 286 9.4.1 Passes ......................................................................... 289 9.4.2 Scripting ..................................................................... 292 9.4.3 Jobs ............................................................................ 292 9.4.4 Tasks ........................................................................... 293 9.4.5 Scheduling von Standardjobs ...................................... 296 10 Datenmodellierung ............................................................... 297 10.1 Standard-Schema ..................................................................... 297 10.1.1 Allgemein verwendete Attribute ................................. 298 10.1.2 Entry Type »MX_PERSON« .......................................... 302 10.1.3 Entry Type »MX_PRIVILEGE« ...................................... 305 10.1.4 Entry Type »MX_ROLE« .............................................. 308 10.1.5 Entry Type »MX_DYNAMIC_GROUP« ......................... 311 10.1.6 Entry Type »MX_PENDING_VALUE« ........................... 312 10.1.7 Entry Type »MX_REPORT« .......................................... 313 10.2 Erweiterung des Datenmodells ................................................ 313 10.2.1 Datenmodellierung für SAP NetWeaver IdM ............... 314 10.2.2 Definition neuer Attribute ........................................... 317 10.2.3 Definition neuer Entry Types ....................................... 322 10.2.4 Attributdefinitionen anpassen ..................................... 324 10.2.5 Tipps zur Datenmodellierung ...................................... 325 10.3 Tabellen in der IC-Datenbank .................................................. 326 10.3.1 Repräsentation von Nutzdaten und Systemkonfiguration ................................................... 327 10.3.2 Tabellen für Laufzeitinformationen .............................. 330 10.3.3 Besonderheiten für das Reporting ............................... 332 11
  • 8. Inhalt 11 Modellierung von Provisionierungstasks ............................ 335 11.1 Pass-Konfiguration ................................................................... 335 11.1.1 Vorlagen und Platzhalter ............................................. 338 11.1.2 Repositorys, Variablen und Konstanten ....................... 339 11.1.3 Source konfigurieren ................................................... 340 11.1.4 Destination konfigurieren ............................................ 340 11.1.5 ToIdentityStore-Pass ................................................... 345 11.1.6 Ablauf einer Jobausführung ......................................... 347 11.1.7 Einsatz von Skripten .................................................... 348 11.1.8 ToGeneric-Pass ........................................................... 353 11.2 Jobkonfiguration ...................................................................... 356 11.2.1 Einstellungen .............................................................. 356 11.2.2 Ergebnisbehandlung .................................................... 358 11.3 Task-Konfiguration .................................................................. 359 11.3.1 Ablaufsteuerung .......................................................... 360 11.3.2 Ergebnisbehandlung .................................................... 361 11.3.3 Repository .................................................................. 362 11.4 Fehlerbehandlung und Ausfallsicherheit ................................... 363 11.4.1 Wiederholungen von Tasks ......................................... 365 11.4.2 Fehlerskripte ............................................................... 365 11.4.3 Tasks bei Fehlern aufrufen ........................................... 367 11.5 Ausgewählte eingebaute Funktionen für Skripte ...................... 367 11.5.1 Informationen über die Laufzeitumgebung ermitteln ..................................................................... 368 11.5.2 Zugriff auf Entrys im Identity Store .............................. 368 11.5.3 Steuerung der Jobausführung ...................................... 370 11.5.4 Hilfsfunktionen ........................................................... 370 11.5.5 Zugriff auf Konstanten und Variablen .......................... 372 12 Frontend-Gestaltung des SAP NetWeaver IdM User Interfaces ..................................................................... 373 12.1 Konfiguration im Frontend ...................................................... 373 12.1.1 Generelle Konfiguration von Task Groups .................... 374 12.1.2 Direkter Aufruf von Task Groups und Approval Tasks ........................................................................... 378 12.2 Anordnung von Attributen und Elementen .............................. 379 12.3 Darstellung von Werten ........................................................... 382 12.4 Zugriffssteuerung ..................................................................... 387 12.4.1 Zugreifende Identität festlegen .................................... 387 12.4.2 Zugriff auf Identitäten festlegen .................................. 389 12
  • 9. Inhalt 13 Prozessmodellierung ............................................................ 391 13.1 Modellierung von Provisionierungsprozessen ........................... 391 13.1.1 Gruppieren von Provisionierungstasks ......................... 392 13.1.2 Verzweigungen ........................................................... 396 13.1.3 Genehmigungsschritte in Prozesse einfügen ................ 401 13.1.4 Member Events ........................................................... 407 13.1.5 Starten von (Sub-)Prozessen ........................................ 412 13.2 Modellierung von Batch-Prozessen .......................................... 415 13.2.1 Importprozesse ........................................................... 416 13.2.2 Exportprozesse ............................................................ 423 13.2.3 Zeitabhängige Prozesse ............................................... 424 13.2.4 Scheduling .................................................................. 425 13.2.5 Delta-Mechanismus .................................................... 428 14 SAP Provisioning Framework ............................................... 433 14.1 Überblick über das SAP Provisioning Framework ..................... 434 14.1.1 Bestandteile des SAP Provisioning Frameworks ........... 434 14.1.2 SAP Provisioning Framework in den Projektphasen ..... 436 14.2 Importprozesse ........................................................................ 437 14.2.1 Importprozesse erstellen ............................................. 437 14.2.2 Übersicht der Templates für Importjobs ...................... 440 14.2.3 Aufbau und Funktionsweise von Initial Load Templates ................................................................... 442 14.2.4 Aufbau und Funktionsweise von Update Templates .... 452 14.2.5 Datenkonsolidierung mit Importprozessen .................. 455 14.2.6 Weitere Standardjob-Templates .................................. 460 14.3 Provisionierungsprozesse ......................................................... 462 14.3.1 Konfiguration der Provsionierungsprozesse ................. 462 14.3.2 Ablauf von Provisionierungsprozessen ......................... 463 14.3.3 Task-Struktur des SAP Provisioning Frameworks .......... 466 14.3.4 Rule-Based Provisioning mit dem SAP Provisioning Framework .................................................................. 468 14.3.5 Provisionierung in die Zielsysteme ............................... 473 14.3.6 Vordefinierte Frontend-Masken .................................. 482 14.3.7 Erweitern der Provisionierungsprozesse ....................... 484 15 Weiterführende Integrationsthemen ................................... 491 15.1 Typische Anwendungsfälle für die Anbindung von Systemen ... 492 15.1.1 SAP HCM-Integration ................................................. 494 13
  • 10. Inhalt 15.1.2 SAP NetWeaver Portal-Umgebung .............................. 495 15.1.3 Erweiterte SAP Business Suite-Integration ................... 496 15.2 Stammdatenverteilung und Synchronisation ............................ 497 15.2.1 SAP HCM-Standardintegration .................................... 497 15.2.2 Erweiterte SAP Business Suite-Integration ................... 507 15.2.3 Nutzung von SAP NetWeaver Process Integration ....... 511 15.3 SAP Virtual Directory Server und Identity Services ................... 514 15.3.1 Standardprotokolle und Identity Services .................... 514 15.3.2 Konfiguration und Deployment ................................... 516 15.3.3 Identity Services – Beispiele ........................................ 521 15.4 SAP BusinessObjects GRC-Integration ...................................... 524 15.4.1 Überblick über die GRC-Produkte der SAP .................. 524 15.4.2 Compliance-Phasen des Berechtigungsmanagements ........................................ 528 15.4.3 Compliant Identity Management ................................. 532 15.4.4 Kommunikation zwischen den Komponenten ............. 536 15.4.5 Compliant Identity Management – Konfiguration der Komponenten ............................................................. 540 16 Betrieb von SAP NetWeaver IdM ........................................ 545 16.1 Infrastruktur ............................................................................ 545 16.1.1 Sizing und Hochverfügbarkeit ...................................... 545 16.1.2 Sicherheit .................................................................... 551 16.1.3 Upgrades .................................................................... 553 16.2 Transportwesen ....................................................................... 554 16.2.1 Transport der IC-Datenbank ........................................ 554 16.2.2 Transport der Identity-Center-Konfiguration ............... 556 16.2.3 Transport der SAP Virtual Directory Server- Konfiguration .............................................................. 560 16.3 Monitoring .............................................................................. 562 16.3.1 Jobprotokoll ................................................................ 562 16.3.2 Systemprotokoll und Trace-Protokoll .......................... 566 16.3.3 Genehmigungswarteschlange, Provisionierungs- warteschlange und Provisionierungsaudit .................... 568 16.3.4 Historie von Einträgen ................................................. 571 16.3.5 Monitoring des SAP Virtual Directory Servers .............. 573 17 Reporting .............................................................................. 577 17.1 Report Samples ....................................................................... 578 17.1.1 Entry Report ............................................................... 578 14
  • 11. Inhalt 17.1.2 Line Manager Report .................................................. 580 17.1.3 Privilege Report .......................................................... 581 17.1.4 Role Report ................................................................ 582 17.2 Setup der Reporting-Funktionalität .......................................... 583 17.2.1 Installation und Konfiguration der Runtime Library ..... 583 17.2.2 Erstellen eines Report Tasks im Identity Center ........... 584 17.2.3 Anfordern von Reports im IdM UI ............................... 588 17.2.4 Anzeigen von Reports ................................................. 589 17.3 Eigene Reports erstellen .......................................................... 591 17.3.1 Corporate Identity Report ........................................... 592 17.3.2 Conditional Format Report .......................................... 594 17.3.3 Data Transformation Report ........................................ 596 17.3.4 Query Report .............................................................. 598 18 Zusammenfassung und Ausblick .......................................... 599 18.1 Aktueller Stand ........................................................................ 599 18.1.1 Identity Center ............................................................ 600 18.1.2 SAP Virtual Directory Server ........................................ 600 18.1.3 SAP NetWeaver IdM User Interface ............................ 601 18.1.4 SAP NetWeaver IdM und SAP BusinessObjects Access Control ............................................................ 601 18.1.5 SAP NetWeaver IdM und SAP BusinessObjects Crystal Reports ............................................................ 602 18.1.6 Verfügbare Konnektoren im Identity Center ................ 602 18.1.7 SAP NetWeaver IdM und SAP HCM ............................ 603 18.2 Ausblick und »Wunschliste« für zukünftige Produktversionen .................................................................... 603 18.2.1 Integration in den SAP Solution Manager .................... 603 18.2.2 Verschmelzung mit SAP BusinessObjects Access Control ....................................................................... 604 18.2.3 SAP NetWeaver Composition Environment und Business Process Management .................................... 604 18.2.4 Vorgefertigtes, sofort einsatzbereites Berichtswesen .... 605 18.3 Organisatorische Herausforderungen ....................................... 605 18.3.1 Schaffung der organisatorischen Akzeptanz von SAP NetWeaver IdM ................................................... 605 18.3.2 Etablierung eines durchgängigen und aktuellen Fachrollenmodells ....................................................... 606 18.4 Schluss .................................................................................... 606 15
  • 12. Inhalt Anhang ................................................................................. 607 A Weiterführende Literatur .................................................................... 609 A.1 Bücher und Artikel ................................................................... 609 A.2 Onlinequellen nach Kapiteln .................................................... 610 B Die Autoren ....................................................................................... 619 Index ......................................................................................................... 623 16
  • 13. SAP NetWeaver IdM ist zentraler Bestandteil der SAP NetWeaver- Plattform. Es wird zur Verwaltung von Identitäten und deren Berech- tigungen in SAP- sowie Nicht-SAP-Systemlandschaften verwendet. Die- ses Kapitel gibt einen Überblick über die zugrundeliegende Architektur von SAP NetWeaver IdM sowie die damit verbundenen Konzepte und Funktionalitäten. 4 SAP NetWeaver Identity Management im Überblick Dieses Kapitel vermittelt einen Überblick über die Funktionen, Komponenten und Besonderheiten von SAP NetWeaver Identity Management (SAP NetWeaver IdM) und ist damit in erster Linie an Architekten und Projektleiter gerichtet. Es eignet sich aber auch grundsätzlich zum Einstieg, um einen ersten Überblick über die Ein- satzmöglichkeiten dieser Komponente zu bekommen. Um die Hintergründe für die Integration einer Identity-Management-Lösung in das SAP NetWeaver-Portfo- lio näher zu beleuchten, gehen wir zunächst kurz auf die Historie der Benutzer- verwaltung in SAP-Umgebungen ein. Anschließend werden die Systemkompo- nenten im Rahmen der SAP NetWeaver IdM-Architektur beschrieben und grundlegende Konzepte der Datenmodellierung in Verbindung mit dem Standard- datenmodell betrachtet, um dann wiederum im Rahmen der Datensynchronisa- tion und Provisionierung auf die Verfügbarkeit und Funktionsweise mitgelieferter Adapter einzugehen. Alle in diesem Kapitel aufgegriffenen Aspekte werden im technischen Teil des Buches, beginnend mit der Installation in Kapitel 8, detail- lierter beschrieben. 4.1 Historie Mit der Zentralen Benutzerverwaltung (ZBV) steht in SAP-Landschaften bereits seit dem R/3-Release 4.5B bzw. 4.6C ein Werkzeug zur Verfügung, mit dem eine zen- trale Verwaltung von Benutzer- und damit verbundenen Berechtigungsinformati- onen in einer SAP-ABAP-Landschaft möglich ist. Die ZBV nutzt dabei die zur Daten- verteilung mithilfe von IDocs vorhandenen ALE-Mechanismen. Mithilfe von ALE können Benutzerdaten sowie deren zugewiesene Berechtigungsrollen in dafür 79
  • 14. 4 SAP NetWeaver Identity Management im Überblick definierten Nachrichtentypen an die angebundenen ZBV-Tochtersysteme übertra- gen und – je nach den Customizing-Einstellungen – kann ein Rückfluss von lokal gepflegten Attributen aus den Tochtersystemen ermöglicht werden. Die Nutzung der ALE-Technologie hat neben einigen Vorteilen allerdings auch einen zentralen Nachteil: Der Mechanismus ist grundsätzlich Systemen vorbehal- ten, die in der Lage sind, über entsprechende ALE-Verteilungsmodelle Daten aus- zutauschen. Somit ist eine Nutzung der ZBV zur Verwaltung von Benutzer- und Berechtigungsinformationen in ihrem vollen Funktionsumfang auf den AS ABAP beschränkt, sofern nicht weitere R/3-Basisfunktionalitäten wie beispielsweise der LDAP-Adapter genutzt werden. In Abhängigkeit von der Konfiguration eines AS Java-Systems können auch dessen Berechtigungen durch die ZBV verwaltet wer- den. Allerdings sind hierfür manuelle Zusatzarbeiten notwendig, um die Berech- tigungsobjekte des Java-Systems mit den im angebundenen ABAP-User-Store ver- fügbaren Rollen zu verknüpfen. Neben den technischen Restriktionen bei der Verwaltung unterschiedlicher Zielsystemtypen legt die ZBV außerdem den Fokus auf die in der ABAP-Benutzerpflege (Transaktion SU01 Benutzerpflege Ein- stieg) pflegbaren Attribute und Daten und unterstützt dabei keinerlei Prozesssteu- erung zur Beantragung und/oder Genehmigung von Berechtigungsoperationen. Betrachtet man das Thema Identity Management im Kontext einer zunächst sys- temunabhängigen zentralen Verwaltung von Identitäts- und Zugriffsdaten (siehe Kapitel 2), ist der Schritt der SAP nur konsequent, ein Werkzeug zu entwickeln, das eine historisch gewachsene und heterogene Systemlandschaft, bestehend aus SAP-Systemen, Verzeichnisdiensten, Windows-Anwendungen sowie Datenbank- anwendungen und sonstigen Eigenentwicklungen mit Identitäts- und Berechti- gungsinformationen versorgen kann. Bis zu diesem Zeitpunkt gab es für SAP-Kun- den, die ihre Identitäten zentral verwalten wollten, letztlich nur zwei Alternativen: entweder ein Third-Party-Tool1 für die Verwaltung der kompletten Systemumge- bung einzusetzen oder die ZBV für die SAP-Umgebung zu nutzen und für die rest- lichen Systeme ein anderes Werkzeug zu integrieren. Die Erweiterung des SAP NetWeaver-Portfolios durch ein Identity-Management- Werkzeug für heterogene System- und Anwendungslandschaften wurde mit der Akquisition von MaxWare in die Tat umgesetzt – mit dem Anspruch, weiterhin die komplexer werdende SAP-Umgebung hinsichtlich Identitätsdaten verwalten und zusätzlich auch Nicht-SAP-Systeme an dieselbe zentrale Identity-Manage- ment-Infrastruktur anbinden zu können. 1 Perkins, Earl; Carpenter, Perry: Magic Quadrant for User Provisioning. Gartner RAS Core Research Note G00159740. http://mediaproducts.gartner.com/reprints/novell/159740.html (1.06.2009) 80
  • 15. Historie 4.1 Die Computerwoche schrieb am 14. Mai 2007: »Identity-Management-Systeme die- nen in komplexen Applikationsumgebungen dazu, Benutzer- und Zugriffsrechte übergreifend zu verwalten. Einerseits senkt dies die Verwaltungskosten, anderer- seits erhöht es die Sicherheit. Da in serviceorientierten Umgebungen eine Vielzahl unterschiedlicher Softwarekomponenten, Unternehmen (Lieferanten, Kunden und Partner) sowie Endanwender miteinander interagieren, steigt dort der Bedarf an Identity-Management.«2 SAP NetWeaver IdM nimmt damit in Zukunft mit einem erweiterten Funktionsumfang durch Genehmigungsworkflows, Reporting-Funkti- onalität, die Nutzung komplexer Rollenmodelle und Regelwerke zur Automatisie- rung der Berechtigungsverwaltung sowie zusätzlicher Adapter für die Anbindung weiterer Anwendungen die Position der ZBV ein. Die von SAP NetWeaver IdM bereitgestellten Funktionalitäten lassen sich wie folgt zusammenfassen: Metaverzeichnis Synchronisation, Konsolidierung und zentrale Datenhaltung der zu verwalten- den Identitätsdaten in einem auf einer relationalen Datenbank basierenden Me- taverzeichnis, dessen Datenmodell flexibel erweitert werden kann. Prozesssteuerung Aufbau komplexer Workflows zur Verwaltung der Identitätsdaten und Bean- tragung von Berechtigungen mit Workflow-Mechanismen wie beispielsweise der Umsetzung mehrstufiger Genehmigungsstrategien auf Basis paralleler und sequenzieller Verarbeitung von Anträgen durch Budgetverantwortliche, Vor- gesetzte, Daten- oder Systemverantwortliche inklusive der dynamischen Ermitt- lung von Prozessbeteiligten sowie der Konfiguration von Eskalations- und Be- nachrichtigungsmechanismen. SAP NetWeaver IdM erlaubt zusätzlich sowohl die Nutzung von Self-Services als auch die Möglichkeit delegierter Administra- tionsaufgaben in Abhängigkeit von Organisation, Zuständigkeit oder anderen gepflegten Attributen. Automatisierte und regelbasierte Provisionierung Auf Regelwerken basierende Anlage, Modifikation und Sperrung/Löschung von Benutzern in den angebundenen und verwalteten Systemen. Durch die Ab- bildung hierarchischer Rollenmodelle ist sowohl eine explizite (direkte) als auch eine implizite (vererbbare) Zuweisung von Berechtigungen unter Berück- sichtigung von gepflegten SoD-Konflikten (Segregation of Duties) durch SAP NetWeaver IdM möglich. Password Management Zentrale Verwaltung und Provisionierung von Passwörtern in SAP NetWeaver IdM inklusive der Abbildung von Szenarien zur Passwortrücksetzung. 2 Niemann, Frank: Update: SAP füllt mit MaxWare eine lange klaffende Lücke in NetWeaver. http://www.computerwoche.de/knowledge_center/enterprise_resource_planning/592733/ (14.05.2007) 81
  • 16. 4 SAP NetWeaver Identity Management im Überblick Reporting und Audit Erzeugung von Berichten auf den aktuellen und den historischen Datenbestand mithilfe von SAP BusinessObjects Crystal Reports. Die Abschnitte dieses Kapitels beschreiben die Architektur, die zentralen Kompo- nenten sowie die Hauptfunktionalitäten und Prinzipien von SAP NetWeaver IdM. Ziel ist es, einen grundsätzlichen Überblick zu geben und die wichtigsten Begriffe und Möglichkeiten in den Bereichen Datenmodellierung inklusive Rollenmodel- len (siehe Kapitel 10) und Workflow-Steuerung (siehe Kapitel 13), Provisionierung (siehe Kapitel 11 und Kapitel 14), Monitoring (siehe Kapitel 16) und Reporting (siehe Kapitel 17) einführend zu erläutern. 4.2 Architektur SAP NetWeaver IdM besteht aus zwei zunächst unabhängigen Komponenten: dem Identity Center (IC) und dem SAP Virtual Directory Server (SAP VDS). Das Identity Center bildet mit seinem Datenmodell auf Basis einer relationalen Datenbank, das mithilfe der Administrationskonsole ohne Programmieraufwand erweitert wer- den kann, das »Herzstück« des eigentlichen Identity-Management-Systems und stellt somit die im letzten Abschnitt beschriebenen grundlegenden Funktionalitä- ten zur Verfügung. Die Verwendung einer relationalen Datenbank bietet dabei, verglichen mit einem reinen Verzeichnisdienst, zusätzlich den Vorteil der trans- aktionalen Sicherheit. Während in einem Verzeichnisdienst immer die aktuelle Repräsentation eines Objekts in Form einer flachen Liste von Attributen abgelegt wird, erlaubt die Nutzung einer relationalen Datenbank außerdem die Speiche- rung historischer Werte sowie die Verknüpfung weiterer Daten beispielsweise zu Reporting-Zwecken. Der SAP Virtual Directory Server hingegen stellt die Funktionalität für den zentra- len und virtualisierten Echtzeitzugriff auf mehrere Datenquellen im Sinne einer Middleware mit speziellen Transformationsfunktionen – wie beispielsweise der Transformation von Attributwerten oder der Anreicherung aus anderen Daten- quellen zum Zeitpunkt der Abfrage – und der Unterstützung bestimmter, im IdM- Umfeld gängiger Protokolle wie LDAP oder SPML3 (Service Provisioning Markup Language) zur Verfügung. Dies gilt sowohl für den Zugriff auf externe Datenquel- len (aus Sicht des Identity Centers) als auch für den Zugriff auf die im Identity Cen- 3 SPML ist ein offener Standard für die Integration und Übermittlung von Service-Provisio- nierungsanfragen. SPML Version 1.0 wurde im Oktober 2003 von OASIS (Organization for the Advancement of Structured Information Standards) als Standard freigegeben. Aktuelle In- formationen finden Sie unter http://www.oasis-open.org/specs/index.php#spmlv2.0 (Stand: Au- gust 2009). 82
  • 17. Architektur 4.2 ter verwalteten Identitätsdaten (für Beispiele relevanter Anwendungsfälle siehe Abschnitt 4.2.2). 4.2.1 Identity Center Das Identity Center lässt sich in drei Ebenen (siehe Abbildung 4.1) unterteilen: UI-Komponenten Datenbank und Identity Store(s) Laufzeitkomponenten (IC Runtime) In den folgenden Abschnitten werden die oben dargestellten Bestandteile des Identity Centers näher erläutert. Eine vierte Ebene bilden die Quell- und Zielsys- teme, auf die wir in Abschnitt 4.4 eingehen werden. UI-Komponenten (1) Administrator Console Überwachung/Workflow und End-User-Interface Microsoft Management Console (MMC) SAP NetWeaver Application Server Java IC-Datenbank (2) Event (De-)Zentrale Agent(s) IC Runtime (3) Dispatcher SAP NetWeaver SAP NetWeaver Verzeichnis- Sonstige Datenbanken ABAP Java dienste Nicht-SAP Quell- und Zielsysteme (4) Abbildung 4.1 Bestandteile des Identity Centers In Bezug auf die UI-Komponenten besteht das Identity Center (IC) aus zwei Teilen: dem SAP NetWeaver IdM UI, das auf dem Java-basierten Teil des AS Java instal- liert wird4, und der Administrationskonsole (IC Console) für Entwicklungs- sowie 4 Die unterstützten Versionen können Sie – wie auch für andere SAP NetWeaver-Komponen- ten – der Product Availability Matrix (PAM) unter http://service.sap.com/pam entnehmen (Stand: August 2009). 83
  • 18. 4 SAP NetWeaver Identity Management im Überblick Konfigurations- und Customizing-Arbeiten, die mithilfe eines Plug-ins in der Mi- crosoft Management Console (MMC) zur Verfügung gestellt wird. Auf dem SAP NetWeaver AS werden neben dem Monitoring-Interface die Kom- ponenten für den Zugriff auf das zentrale End-User-Interface und die damit ver- fügbaren Workflow-Masken bereitgestellt. Die Benutzerverwaltung eines ange- bundenen AS Java (UME) zur Bereitstellung der UI-Komponenten enthält die Benutzer, die später Zugriff auf Identity-Management-Inhalte in Form von Em- ployee- oder Manager-Self-Services haben sollen. Dabei gelten bei der UME-Konfi- guration keine Einschränkungen bezüglich nutzbarer Authentisierungsquellen. In allen Fällen gilt, dass das Identity Center für die Anlage, Änderung und Verteilung der Benutzer in dem entsprechenden User Store sorgt und somit den verwalteten Identitäten einen Zugang zum IdM UI zur Änderung persönlicher Daten oder Beantragung von Zugriffsrechten bzw. sonstigen Ressourcen gestattet. Die Web-Dynpro-Komponenten für die Workflow-Masken werden zumeist auf einer bestehenden SAP NetWeaver-Portal-Landschaft aktiviert. Ein zentrales Unternehmensportal stellt in vielen Unternehmen bereits heute den Einstieg in zahlreiche Applikationen dar, beispielsweise Anwendungen aus dem Personalbe- reich wie das Zeit- und Reisemanagement, eine Vielzahl von Reporting- und Pla- nungsanwendungen oder Kollaborationswerkzeuge. Steht kein solches Unterneh- mensportal auf SAP NetWeaver-Basis zur Verfügung, kann das SAP NetWeaver IdM UI auf einem eigenen AS Java-System als Bestandteil des SAP NetWeaver IdM- Systems installiert werden. In beiden Fällen gilt, dass im UI keinerlei Programm- bzw. Provisionierungslogik abläuft und somit auch keine Beeinträchtigung des ver- wendeten AS Java – mit Ausnahme der eventuell steigenden Benutzerzahl – zu erwarten ist. Abbildung 4.2 zeigt die Sicht auf das SAP NetWeaver IdM UI in der Version 7.1. Abbildung 4.2 End-User-Interface – Self-Services 84
  • 19. Architektur 4.2 Das UI teilt sich in fünf Bereiche, die in Abhängigkeit von der SAP NetWeaver IdM-Rolle der angemeldeten Benutzer sichtbar sind (siehe auch Kapitel 12): Self-Services Zu erledigen Verwalten Historie Überwachung Die Registerkarte Self-Services enthält eine Liste von Links, mit denen der ange- meldete Benutzer beispielsweise Berechtigungen für sich anfordern oder den Teil seiner eigenen Daten ändern kann, der für die direkte Änderung im Rahmen des entsprechenden Self-Services freigegeben ist. Alle Aktionen betreffen immer sei- nen eigenen Benutzerstammsatz. Diese Registerkarte ist für jeden Benutzer sicht- bar, der im Identity Store erfasst und als aktiv gekennzeichnet ist. Die Registerkarte Zu erledigen (Abbildung 4.3) stellt den Arbeitsvorrat im Hin- blick auf anstehende Aktivitäten, wie die Genehmigung von Anträgen oder die Erfassung zusätzlicher Daten, des angemeldeten Benutzers im Identity Center dar. Eine Integration in die Universal Worklist (UWL) in SAP NetWeaver Portal ist mög- lich (für weiterführende Informationen siehe Literaturverzeichnis). Abbildung 4.3 End-User-Interface – Arbeitsvorrat Die Registerkarte Verwalten (Abbildung 4.4) bietet die Möglichkeit, delegierte Aufgaben durchzuführen, also beispielsweise die Daten von anderen Personen zu ändern oder als Vorgesetzter Berechtigungen für die eigenen Mitarbeiter zu bean- tragen. Die Registerkarten Historie und Überwachung sind technischer Natur und bleiben im Normalfall berechtigten Administratoren vorbehalten. In der His- torie werden abgearbeitete Genehmigungsaufgaben angezeigt (Abbildung 4.5). 85
  • 20. 4 SAP NetWeaver Identity Management im Überblick Abbildung 4.4 End-User-Interface – Verwalten Abbildung 4.5 End-User-Interface – Historie Die Informationen auf der Registerkarte Überwachung gestatten sowohl Einblick in Job- und Systemlog als auch eine Sicht auf die Warteschlange für Genehmi- gungsaufgaben und Provisionierungstasks (siehe Abbildung 4.6). Mit der eingangs erwähnten IC Console kommt der Endanwender und Prozess- beteiligte nicht in Berührung. Sie ist somit Entwicklern und Systemadministrato- ren vorbehalten. Die IC Console spielt vor allem bei der Implementierung und dem Betrieb der SAP NetWeaver IdM-Lösung eine zentrale Rolle. Details zu ihrer Nutzung sind deshalb auch ab Kapitel 8 zu finden. Über die IC Console wird der Bereich der Datenbank gepflegt, der die Entwicklungs- und Customizing-Einstel- lungen enthält. 86
  • 21. Architektur 4.2 Hier werden u. a. folgende Informationen gespeichert: Datenmodellbeschreibungen (siehe Kapitel 10) Konfigurationsdaten von angebundenen Systemen (siehe Abschnitte 4.4.2 und 9.1.2) Konfiguration für Workflow-Abläufe (siehe Kapitel 13) Einstellungen für Masken (siehe Kapitel 12) Regeln zu Datensynchronisation und -transformation sowie zu zeitgesteuerten Ladevorgängen und Skripten (siehe Kapitel 11) Abbildung 4.6 End-User-Interface – Überwachung Neben den Customizing-Einstellungen bilden die konfigurierbaren Identity Store(s) den zweiten zentralen Bestandteil einer SAP NetWeaver IdM-Datenbank- instanz. In einem Identity Store werden die eigentlichen Identitätsdaten – basie- rend auf dem zugrunde liegenden Datenmodell – verwaltet. Dazu gehören in jedem Fall: Benutzerstammsätze (siehe Abschnitte 4.3.1 und 10.1.2) technische Rollen (siehe Abschnitte 4.3.1 und 10.1.3) Geschäftsrollen (siehe Abschnitte 4.3.1 und 10.1.4) (dynamische) Gruppen (siehe Abschnitte 4.3.1 und 10.1.5) Objekte für noch zu genehmigende oder zeitlich abgegrenzte Identitätsinfor- mationen (siehe Abschnitte 4.3.1 und 10.1.6) Anträge und kundenspezifische Objekte (siehe Abschnitt 10.2) 87
  • 22. 4 SAP NetWeaver Identity Management im Überblick Zusätzlich zu den eigentlichen Daten gehören auch die Regelwerke zur Reaktion auf Ereignisse (Hinzufügen/Ändern/Löschen) zum jeweiligen Identity Store. Neben den aktuellen Datenbeständen werden in den dafür vorgesehenen Daten- banktabellen (siehe Abschnitt 10.3) die historischen Werte der verwalteten Objektklassen sowie Audit-Informationen über beantragte und genehmigte Res- sourcen für Auswertungszwecke vorgehalten. Mit Ausnahme sogenannter Job, Pass und Repository Templates, die der Anbindung zusätzlicher Systeme sowie der Konfiguration von Standardjobs und Provisionierungsaufgaben im Rahmen von Entwicklungs- und Konfigurationstätigkeiten dienen, stehen alle Daten für den Betrieb von SAP NetWeaver IdM in der zentralen Datenbankinstanz zur Verfü- gung. Templates werden dagegen auf dem Filesystem abgelegt und können bei den Konfigurationsarbeiten in der Administrationskonsole als Vorlage genutzt werden. Die Laufzeitkomponenten (IC Runtime) bilden neben den UI-Komponenten und der Datenbank die dritte Schicht der Identity-Center-Architektur. Grundsätzlich lassen sich zwei Laufzeitkomponenten unterscheiden: Dispatcher und Event Agents. Dispatcher werden konfiguriert, um Warteschlangen mit Jobs, Workflow- und Provisionierungsaufgaben abzuarbeiten, und sind somit das »ausführende Or- gan« innerhalb von SAP NetWeaver IdM. Es können in jedem Unternehmen ein oder mehrere Dispatcher in der Systemlandschaft verteilt konfiguriert werden. Dabei kann u. a. festgelegt werden, welche Art von Aufgaben ein bestimmter Dis- patcher erfüllt und in welchen Intervallen er dies tun soll. Eine verteilte Installation von mehreren Dispatchern kann aus Gründen der Lastverteilung sinnvoll, aber auch unter netzwerktopologischen Gesichtspunkten (Sicherheit, Firewall, Ge- schwindigkeit etc.) notwendig sein. Außerdem besteht die Möglichkeit, eine Ent- kopplung bestimmter hoch priorisierter oder eher unkritischer Aufgaben zu er- reichen (siehe Kapitel 16). In Release 7.1 von SAP NetWeaver IdM wird der Dispatcher noch immer für die beiden Laufzeitumgebungen Windows und Java ausgeliefert. Das hat u. a. den Grund, dass es auch im SAP Provisioning Framework (siehe Kapitel 14) noch aus- gelieferte Bestandteile der Instrumentierung gibt – beispielsweise für das User Management des Microsoft Active Directorys –, die die Windows-Laufzeit voraus- setzen, da sie Windows-spezifische Funktionalitäten wie beispielsweise das Active Directory Services Interface (ADSI) nutzen. Das Ziel von SAP ist aber, in Zukunft mit der Java-Laufzeitumgebung auszukommen und die Windows-Laufzeit nicht mehr zu nutzen, um eine entsprechende Plattformunabhängigkeit der IC-Runtime- Komponenten zu gewährleisten. Event Agents, die zweite Laufzeitkomponente, werden verwendet, um in Quell- und/oder Zielsystemen Ereignisse abzufangen, die im Identity Center wiederum die Ausführung von Jobs oder Tasks initiieren können (für weiterführende Infor- mationen siehe Literaturverzeichnis). Ein einfaches Beispiel ist die Überwachung 88
  • 23. Architektur 4.2 einer Datei durch einen Event Agent, der ein Ereignis auslöst, sobald die Datei aktu- alisiert wurde. Daraufhin kann im Identity Center eine Aktion angestoßen werden, die in Verbindung mit dem Delta-Handling die geänderten Datensätze aus der über- wachten Datei in den Identity Store lädt. Event Agents stehen im Auslieferungs- zustand lediglich für die folgenden wenigen Anwendungsfälle zur Verfügung: Überwachung von Anlage, Änderung oder Löschung von Objekten im Micro- soft Active Directory Überwachung von Änderungen in Datenbanken Überwachung von Dateien und Verzeichnissen Überwachung von Änderungen in weiteren LDAP-Verzeichnissen Mithilfe einer Java-API können weitere Vorlagen für die Aktivierung von Event Agents für den jeweiligen Anwendungsfall gebaut werden. Die Nutzung von Java garantiert, wie oben beschrieben, auch hier die Plattformunabhängigkeit. Genau wie der Dispatcher kann ein Event Agent in der Systemlandschaft auf unterschied- lichen Systemen verteilt werden und so die auf den relevanten Systemen lokal auf- tretenden Ereignisse abfangen bzw. weiterleiten, um weitere Aktionen auszulö- sen. Sowohl Dispatcher als auch Event Agents lassen sich als lauffähige Services konfigurieren, die in die Startup-Sequenzen der unterstützten Systemplattformen eingebunden werden können. Die Java-Laufzeitkomponenten nutzen unterschiedliche Klassen, um die Konnek- tivität zu den Quell- und Zielsystemen herzustellen. Eine zentrale Klasse ermöglicht dabei den Zugriff mithilfe von LDAP. Dieses Protokoll zum Zugriff auf Verzeich- nisdienste wird – neben anderen Protokollen wie SPML und Webservice – auch vom Virtual Directory Server unterstützt. Dieser spielt eine wichtige Rolle für verschie- dene Schnittstellen (beispielsweise bei der GRC-Integration oder der Kommuni- kation mit dem LDAP-Adapter im Rahmen der SAP Business Suite-Integration) und wird in Zukunft durch die Verfügbarkeit der genannten Identity Services immer mehr in den Mittelpunkt der Kommunikation mit dem Identity Center rücken. 4.2.2 SAP Virtual Directory Server Der SAP Virtual Directory Server (SAP VDS) stellt grundsätzlich Funktionalitäten für den virtualisierten und standardisierten Zugriff auf Datenquellen im Sinne einer Middleware zur Verfügung. Er liefert damit spezielle Transformationsfunk- tionen und unterstützt bestimmte, im Identity-Management-Umfeld gängige Pro- tokolle wie LDAP oder SPML. Obwohl der SAP VDS im Rahmen der SAP NetWea- ver IdM-Architektur zunächst eine optionale Komponente darstellt, nimmt er vor allem hinsichtlich der Integration mit anderen Systemen sowie der Anreicherung von Informationen aus unterschiedlichen Quellen eine zentrale Rolle ein. So wird 89
  • 24. 4 SAP NetWeaver Identity Management im Überblick der SAP VDS beispielsweise für die HCM-Integration (siehe Abschnitte 4.5.1 und 15.2.1) sowie zur Integration mit SAP BusinessObjects Access Control (siehe Abschnitt 15.4) verwendet. SAP liefert hierzu die nötige Instrumentierung sowohl für das Identity Center als auch für den SAP VDS aus. Einige Beispiele für Anwen- dungsfälle einer Verwendung des SAP VDS sind neben den bereits genannten Inte- grationen: virtualisierter Zugriff auf unterschiedliche Datenquellen, wie Identity Stores des Identity Centers, Datenbanken oder Directory Services Markup Language v2 (DSMLv2), über LDAP und SPML Mapping und Transformation von einzelnen Attributwerten während des Zu- griffs, um den Anforderungen an Datenformate unterschiedlicher Quell- und Zielsysteme gerecht werden zu können Zusammenfassung von Attributen unterschiedlicher Systeme in einer Anfrage. Für die anfragende Anwendung ist nur eine Datenquelle sichtbar. Einschränkung von verfügbaren Attributen und Filterung der Wertemenge von Daten in Abhängigkeit von den Anmeldeinformationen des anfragenden Be- nutzers dynamische Ermittlung der Verbindungsdaten in Abhängigkeit von Attributen des Anwenders (beispielsweise E-Mail-Adresse) Zusätzlich zur grundlegenden Funktionalität für die Umsetzung der beschriebe- nen Anwendungsfälle übernimmt der SAP VDS durch die Unterstützung von Pro- tokollen wie LDAP, HTTP, SOAP und SPML im Zusammenspiel mit anderen SAP NetWeaver-Komponenten die Bereitstellung sogenannter Identity Services. Iden- tity Services stellen im Kontext von SAP NetWeaver IdM einen zentralen und stan- dardisierten Zugriffspunkt über Webservices und SPML für die Abfrage und die Verwaltung von Identitätsinformationen der kompletten Systemumgebung zur Verfügung. Außerdem ist mit dem SAP VDS ein Werkzeug vorhanden, das durch Nutzung der integrierten API die flexible Anbindung weiterer Systeme verein- facht. Weitere Informationen zur detaillierten Architektur, den Identity Services sowie weiteren Use Cases erhalten Sie in Abschnitt 15.3. 4.2.3 Gesamtarchitektur – Identity Center und SAP VDS Kombiniert man die beiden Komponenten Identity Center und SAP VDS, entsteht eine Gesamtarchitektur mit einer sehr umfangreichen Schnittstelle für den einfa- chen Zugriff. Dies dient letztlich der Verwaltung, Verteilung und Bereitstellung der Identitätsdaten in der kompletten Unternehmenssystemlandschaft über einen zentralen Einstiegspunkt: SAP NetWeaver IdM. 90
  • 25. Daten- und Rollenmodell 4.3 Wie aus Abbildung 4.7 ersichtlich ist, können in der aktuellen Version Anwen- dungen und Systeme sowohl direkt über die technischen Adapter des Identity Centers als auch über den VDS angebunden werden. Allerdings wird die Anbin- dung weiterer Systeme in Zukunft mithilfe des SAP VDS erfolgen. Zum einen han- delt es sich um angebotene Schnittstellen, die auf einem offiziellen Standard basie- ren, und zum anderen lässt der SAP VDS direkte Anfragen zum Lesen, Ändern und Löschen von Identitätsdaten zu. Im Gegensatz dazu müssen die Adapter des Iden- tity Centers immer vom Identity Center selbst – beispielsweise durch erzeugte Ereignisse der Event Agents – getriggert werden, um Daten abzuholen, zu vertei- len oder Benutzerkonten und Berechtigungen zu provisionieren. Sonstige Systeme und Anwendungen Identity Services SAP Virtual Directory End-User-Inferface Server (SAP VDS) Identity Center (IC) (De-)Zentrale Event IC-Datenbank Dispatcher Agent(s) Connector Framework Identity Services Sonstige Sonstige SAP HCM SAP GRC SAP ABAP SAP Java (Nicht-SAP) (Nicht-SAP) Quell- und Zielsysteme Quell- und Zielsysteme Abbildung 4.7 Gesamtarchitektur – Identity Center und SAP VDS 4.3 Daten- und Rollenmodell Dieser Abschnitt gibt einen Überblick über die Möglichkeiten der Datenmodellie- rung im Identity Center. Eine genaue Beschreibung aller benannten Komponenten und Bestandteile sowie deren Funktionen finden Sie in den Kapiteln 9 und 10. In der IC-Datenbank wird mithilfe der Administrationskonsole das Datenmodell für einen oder mehrere Identity Stores definiert und verwaltet – das sogenannte Iden- 91
  • 26. 4 SAP NetWeaver Identity Management im Überblick tity-Store-Schema5. Das Datenmodell ist dabei die Grundlage einer SAP NetWeaver IdM-Installation und -Konfiguration und bildet damit die Basis für eine erfolgrei- che Implementierung. Im Rahmen einer Standardinstallation werden alle im Stan- darddatenmodell definierten Objektklassen sowie deren Eigenschaften in einem Identity Store angelegt, die für die grundsätzliche Funktionsweise des Systems, vordefinierte Funktionen (beispielsweise der abgrenzbaren Zuweisung von Berechtigungen) sowie für das von SAP ausgelieferte SAP Provisioning Framework (siehe Kapitel 14) benötigt werden. Die Anpassung im Identity Center auf die spe- ziellen Anforderungen in der Systemlandschaft – vor allem bezogen auf die umzu- setzenden Prozesse – setzt allerdings in den meisten Fällen auch die Erweiterung des bestehenden Datenmodells voraus und damit die Ausarbeitung eines soliden Konzepts. Grundsätzlich sollte das Konzept für ein Datenmodell die folgenden Einflussfaktoren und Fragestellungen berücksichtigen: Welche Informationen sollen mit welchem Detailgrad im Identity Store abge- bildet werden, und für welche Anwendungsfälle werden die Daten benötigt? Welche Objektklassen werden dafür benötigt? Welche Attribute sind Bestandteil dieser Objektklassen? Werden Attribute mehrsprachig oder einsprachig gepflegt? Stehen die Objekte miteinander in Beziehung? Handelt es sich dabei um eine 1:1-, 1:n- oder eine m:n-Beziehung? Reicht es eventuell aus, Informationen als Wert eines bestimmten Attributs ei- ner Entität zu speichern, oder muss die Information mithilfe einer Objektklasse abgebildet werden, zu der dann entsprechende Relationen aufgebaut werden? Welche Attribute und Objekte haben Steuerungsfunktionen in späteren An- trags- und Genehmigungsprozessen? Welche Attribute sind führend in welchem System? Können Prioritäten festge- legt werden? In welcher Form sollen die Informationen im User Interface präsentiert wer- den? Welche Validierungen sollen bei der Eingabe der Attributwerte angewen- det werden? Welche Quellen (angebundene Quell- und Zielsysteme oder manuelle Eingabe- prozesse) sind führend für die verwendeten Attribute? Welche Transformationen müssen beim Beziehen der Daten aus den Quellen durchgeführt werden? 5 Eine detaillierte Beschreibung des ausgelieferten Datenmodells finden Sie im Dokument mit dem Titel SAP NetWeaver Identity Management Identity Center Identity Store Schema – Technical Reference im SDN unter https://www.sdn.sap.com/irj/sdn/nw-identitymanagement (Stand: August 2009). 92
  • 27. Daten- und Rollenmodell 4.3 Wie lange müssen (historische) Daten im Rahmen geltender Audit-Anforderun- gen im System vorgehalten werden? Die Liste der Fragestellungen könnte an dieser Stelle noch fortgesetzt werden. Wichtig ist, dass letztlich genau die Informationen abgebildet werden, die zur Ver- waltung der Identitäten und Steuerung der dafür notwendigen Prozesse benötigt werden – nicht weniger, aber auch nicht mehr. 4.3.1 Daten- und Rollenmodell im Identity Store Das Datenmodell mit Objektklassen und deren Eigenschaften definiert sich im Identity Center über sogenannte Entry Types und die dazugehörenden Attribute. Ein Entry Type entspricht dabei einer Objektklasse für die Abbildung von ausge- wählten Informationen der jeweiligen Entität, beispielsweise einer Person mit den Attributen Vorname und Nachname. Attribute werden zunächst unabhängig vom Entry Type definiert. Anschließend wird festgelegt, welches Attribut für welchen Entry Type genutzt werden kann. Ein Attribut hat verschiedene Eigenschaften, die gepflegt werden müssen. Dazu gehören: Datentyp für die Speicherung des Attributwerts im Identity Store Anzeigetyp im UI (Checkbox, Radio Button, Dropdown-Liste etc.) Anzeigenamen im UI (dieser kann mehrsprachig gepflegt werden) ein- oder mehrsprachig hinterlegte gültige Wertelisten Validierungsfunktionen in Form regulärer Ausdrücke6 führende Systeme für dieses Attribut Festlegung von Aktionen, die bei Anlage, Änderung oder Löschung des Attri- buts ausgeführt werden sollen. Mit diesen Aktionen können beispielsweise Verteilungsvorgänge in Zielsysteme gestartet werden, sobald sich das jeweilige Attribut ändert. Auf den Entry Types basierende Objekte können miteinander – auch hierarchisch – in Beziehung stehen. Dabei sorgt das Identity Center für die Integrität der Daten, sodass eine Beziehung zwischen Objekten immer bidirektional angelegt, modifi- ziert oder entfernt wird. Jedes angelegte Objekt wird in Form von Attribut- name/Attributwert-Paaren anhand des gültigen Schemas im Identity Store abgelegt und hat immer ein eindeutiges Schlüsselattribut (MSKEYVALUE). Dieses Attribut ist innerhalb des kompletten Identity Stores und über alle Entry Types eindeutig und ein Pflichtfeld. Deshalb gehört neben der Klärung zuvor genannter Fragestellungen 6 Ein regulärer Ausdruck ist eine Zeichenkette, die der Beschreibung von Mengen bezie- hungsweise Untermengen von Zeichenketten mithilfe bestimmter syntaktischer Regeln dient. 93
  • 28. 4 SAP NetWeaver Identity Management im Überblick auch die Definition eines Namenskonzepts für dieses Schlüsselattribut zu den Auf- gaben der Datenmodellierung. Neben dem Schlüsselattribut MSKEYVALUE ist auch das Attribut MX_ENTRYTYPE ein Pflichtfeld für alle Objekte und definiert, zu welcher Objektklasse ein bestimmter Eintrag gehört. Die folgenden Entry Types – immer mit dem Namensraum MX_ als von SAP definierte Objekte gekennzeichnet – wer- den im Rahmen einer Standardinstallation im Identity Store angelegt (Tabelle 4.1). Entry Type Kurze Beschreibung Identität/Person Zentrale Objektklasse zur Verwaltung einer digitalen Identität. (MX_PERSON) Dies sind meist Personen, also interne oder externe Mitarbei- ter oder Geschäftspartner (siehe Abschnitt 10.1.2). Berechtigung/ Objektklasse zur Verwaltung und Pflege von Berechtigungsob- technische Rolle jekten angebundener Systeme. Objekte vom Typ MX_PRIVI- (MX_PRIVILEGE) LEGE können beispielsweise Einzel- oder Sammelrollen aus ABAP-Systemen, Java-Rollen oder Java-Gruppen aus SAP- Java-Systemen, Sicherheitsgruppen aus dem Active Directory etc. sein. In der Identity-Center-Dokumentation wird von technischen Rollen gesprochen (siehe Abschnitt 10.1.3). Rolle/Business-Rolle Im Gegensatz zum Typ MX_PRIVILEGE können mit dem Entry (MX_ROLE) Type MX_ROLE Rollen verwaltet werden, die Objekte vom Typ MX_PRIVILEGE aus unterschiedlichen Systemen enthalten. In der Identity-Center-Dokumentation wird von Fachrollen oder Business-Rollen gesprochen. Objekte vom Typ MX_ROLE erlau- ben Vater/Kind-Beziehungen und somit den Aufbau von kom- plexen hierarchischen, aber nicht zyklischen Rollenmodellen mit beeinflussbarer Vererbungsfunktion (siehe Abschnitt 10.1.4). Dynamische Gruppe Der Entry Type MX_DYNAMIC_GROUP erlaubt die Verwaltung (MX_DYNAMIC_GROUP) von Regelwerken zur Ermittlung von Gruppenmitgliedern auf Basis bestimmter Filterkriterien (Attributkombinationen). Durch die Zugehörigkeit zu einer dynamischen Gruppe können beispielsweise Rechte vergeben werden, die wieder automa- tisch entzogen werden, sobald die entsprechende Person nicht mehr den Filterkriterien entspricht (siehe Abschnitt 10.1.5). Wert in Bearbeitung Die Objektklasse MX_PENDING_VALUE gestattet es, Attribute, (MX_PENDING_VALUE) die zeitlich abgegrenzt bzw. deren Gültigkeit zeitlich befristet ist oder für die noch eine Genehmigung aussteht, so im Sys- tem abzulegen, dass das System am Anfang bzw. am Ende des Gültigkeitszeitraums für die Änderung des Wertes an der ent- sprechenden Person sorgt (siehe Abschnitt 10.1.6). Tabelle 4.1 Objektklassen im Standarddatenmodell 94
  • 29. Daten- und Rollenmodell 4.3 Entry Type Kurze Beschreibung Gruppe Der Entry Type MX_GROUP dient zum Aufbau von Gruppen- (MX_GROUP) hierarchien im Identity Store. Aus einer Gruppenmitgliedschaft kann wiederum die Zuweisung einer Berechtigungsrolle resul- tieren. So werden beispielsweise bei der Anbindung eines Active Directorys Gruppen sowohl als MX_PRIVILEGE als auch als MX_GROUP abgebildet. Über die Gruppenzugehörigkeit kön- nen somit wiederum implizit beispielsweise weitere Berechti- gungen vergeben werden (siehe Kapitel 10 und Abschnitt 14.3). Firmenadresse Entry Type zur Verwaltung und Pflege der Adressattribute (MX_COMPANY_ einer Firmenadresse. Die Attribute dieses Entry Types sind an ADDRESS) die im ABAP-Stack verfügbaren Firmenadressattribute ange- lehnt (siehe Kapitel 10 und Abschnitt 14.3). Anwendung Der Entry Type MX_APPLICATION wird im Rahmen der Identity (MX_APPLICATION) Services sowie der SAP Business Objects GRC-Integration zur Gruppierung von Berechtigungsrollen auf Anwendungsebene verwendet (siehe Abschnitte 15.3 und 15.4). Asynchroner Request Dieser Entry Type wird im Rahmen der Nutzung des SAP VDS vom VDS genutzt, um Objekte nicht synchron im Identity Store zu (MX_ASYNC_REQUEST) ändern, sondern zunächst einen »temporären« Eintrag anzule- gen, der dann auch die Nutzung des Delta-Mechanismus beim Fortschreiben der Werte gestattet (siehe Kapitel 10 und Abschnitt 15.3). Beantragter/erzeug- Der Entry Type MX_REPORT wurde mit der Version 7.1. SP02 ter Report eingeführt und enthält beantragte, in Bearbeitung befindliche (MX_REPORT) oder erzeugte Reports (siehe Kapitel 10 und Ábschnitt 17.2.2). Tabelle 4.1 Objektklassen im Standarddatenmodell (Forts.) Das ausgelieferte Standarddatenmodell und die eingebaute Anwendungslogik erlauben durch die Nutzung der dargestellten Objektklassen den Aufbau umfang- reicher Rollenmodelle, mit deren Hilfe sowohl eine explizite (direkte) als auch eine implizite Vergabe von Rollen und Rechten, basierend auf Attributwerten der ver- walteten Identitäten, möglich ist (für mehr Details siehe Kapitel 10). Durch die sys- temübergreifende Zusammenfassung von Berechtigungsobjekten aus angebunde- nen Systemen in hierarchisch strukturierbare Business-Rollen lassen sich Rollenmodelle realisieren, wie in Abbildung 4.8 dargestellt. Neben den in der Abbildung aufgezeigten Verknüpfungen können zusätzliche Eigenschaften für die Rollen definiert werden, die u. a. das Verhalten bei der Beantragung oder Zuwei- sung steuern. Ein Beispiel ist der gegenseitige Ausschluss von Rollen. Wird ein sol- cher Ausschluss definiert, verhindert das System die Zuweisung einer Rolle, sofern 95
  • 30. 4 SAP NetWeaver Identity Management im Überblick die damit in Konflikt stehende Rolle der entsprechenden Identität bereits zuge- wiesen wurde. Im Gegensatz zum SAP BusinessObjects Access Control (siehe Abschnitte 4.5.2 und 15.4) können im Identity Center allerdings nur statische Aus- schlüsse hinterlegt werden. Zudem lassen sich Positiv- und Negativlisten für Rol- len definieren, die die Zuweisung für die Zielidentität ausdrücklich erlauben oder eben ausdrücklich verbieten. Genehmigungsstrategien können – einstufig oder mehrstufig mit dynamisch ermittelten oder in Rollen und Prozessen festgelegten Beteiligten – durch Definition unterschiedlicher Genehmigungsaufgaben (siehe Abschnitte 4.4.4 und 13.1.3) für einzelne Rollen hinterlegt werden. Attribute zur Festlegung des Rollenbesitzers können wiederum bei der Ermittlung von gültigen Genehmigern verwendet werden. Business-Rollen Manager Abteilungsleiter Mitarbeiter Technische Rollen Zugriff Windows- E-Mail- Portalzugriff Portalzugriff Manager- User User ESS MSS Cockpit Zielsysteme SAP NetWeaver SAP NetWeaver SAP NetWeaver Microsoft AD Lotus Notes Portal Portal BW Abbildung 4.8 Rollenmodell im Identity Center Die Zuweisung der dargestellten technischen Rollen und Business-Rollen kann durch dedizierte Beantragung im Rahmen von Self-Services und anschließender Genehmigung erfolgen. Außerdem ist die automatisierte Zuweisung aufgrund von definierbaren Regelwerken eine Möglichkeit, Rollen über die Filterung von Attri- butausprägungen – beispielsweise der Zugehörigkeit zu einer Organisationsein- heit oder der Besetzung einer Planstelle – zu vergeben. In vielen Projekten besteht die Anforderung, die Verwaltung von Rechten anhand von Regeln zu gestalten, die beispielsweise auf Basis der organisatorischen Zuord- nung und des im letzten Abschnitt erläuterten Rollenmodells automatisch Rechte 96
  • 31. Daten- und Rollenmodell 4.3 für entsprechende Personen vergeben. Die Abbildung der Organisationsstruktur in zusätzlichen Datenobjekten ist ein sinnvolles Beispiel für die Einführung wei- terer Objektklassen für Objekte wie Organisationseinheiten, Planstellen etc. Durch die Nutzung von Entry Types kann nämlich auch die Organisationshierar- chie im Identity Store mithilfe von entsprechenden Beziehungen abgebildet wer- den und damit – im Vergleich zu anderen IdM-Lösungen – ein mächtiges Modell für die Verwaltung von Berechtigungen anhand der im Organisationsmodell gepflegten Struktur entstehen. 4.3.2 Datenmodellierung und Workflows Die Datenmodellierung spielt nicht nur im Rahmen der Verwaltung von Identi- tätsdaten eine wesentliche Rolle, sondern hat ganz besonders auf die abgebildete Workflow-Steuerung in SAP NetWeaver IdM Einfluss. Grundsätzlich lassen sich dazu die folgenden relevanten Gesichtspunkte in Verbindung mit dem Datenmo- dell zur Workflow-Steuerung aufzeigen: Berechtigungsprüfungen Berechnung/Auflösung von Rechten in Workflows, basierend auf gesetzten At- tributwerten. Dies erfolgt auf Basis der sogenannten Berechtigungsregeln der entsprechenden Workflow-Komponenten. Grundsätzlich kann damit die Frage, wer welche Aktion mit welchem Objekt durchführen darf, zur Laufzeit unter Einbeziehung der relevanten Umgebungsparameter und Attributwerte beantwortet werden. Wertefilterung Filterung von gültigen Werten in Auswahllisten, basierend auf Attributwerten der angemeldeten Person sowie des momentan bearbeiteten Objekts Workflow-Steuerung Auswertung von speziellen Attributen zum Start von Genehmigungsaufgaben und -strategien, die mit dem beantragten Objekt (beispielsweise einer Berech- tigungsrolle) verknüpft sind. Dazu gehören Attribute wie MX_APPROVAL_TASK oder MX_APPROVERS. Statuswerte Speicherung von Statuswerten in dafür vorgesehenen Attributen wie MX_ APPROVALS (Status der für ein Objekt aktiven Workflows) oder MX_STATE (Status eines in Bearbeitung befindlichen Wertes) Temporäre Attribute Speicherung temporärer Attribute für die Steuerung von Workflow-Aufgaben Entry Types ganze Entry Types – wie beispielsweise MX_PENDING_VALUE – die letztlich »Werte in Bearbeitung« darstellen und von Workflow-Aufgaben erzeugt bzw. ausgewertet werden 97
  • 32. 4 SAP NetWeaver Identity Management im Überblick Details zur Relevanz der genannten Attribute im Rahmen des Identity-Center- Berechtigungskonzepts sowie zur Steuerung der implementierten Workflows fin- den Sie ab Kapitel 9. 4.3.3 Datenmodellierung und Reporting Neben der konsistenten Informationsspeicherung der Identitätsdaten sowie der Workflow-Steuerung sind die Anforderungen im Bereich des Reportings ebenfalls ein wichtiger Einflussfaktor für die Definition des Datenmodells. Bisher lag der Fokus der Betrachtung bei der Datenmodellierung auf den abgebildeten Objekt- klassen und deren Eigenschaften. Bei der Datenmodellierung für das Reporting geht es zusätzlich darum, wie lange bestimmte Informationen im System vorge- halten werden müssen und wie deren Historisierung gewährleistet werden kann. SAP NetWeaver IdM gestattet hierzu die Festlegung der Aufbewahrungszeit bzw. der Anzahl von Versionen auf Attributebene. Mit diesen Informationen werden jegliche Änderungen der verwalteten Objekte (Personen, Rollen, Berechtigungs- objekte etc.) in der Datenbank fortgeschrieben und stehen in speziellen Daten- banktabellen und -views (siehe Abschnitt 10.3) für Auswertungen zur Verfügung. Werden die historischen Daten mit den vorhandenen Audit-Daten über die Aus- führung von Workflows verknüpft, besteht die Möglichkeit, mithilfe entsprechen- der Abfragen Fragen im Rahmen des IdM wie »Wer hat wann welche Berechti- gungsrolle bekommen, und wer hat die Zuweisung genehmigt?« zu beantworten. Bei der Datenmodellierung hinsichtlich des Berichtswesens muss also letztlich dar- auf geachtet werden, dass alle Daten für die benötigten Auswertungen für den geforderten Zeitraum zur Verfügung stehen, da alle Informationen im Identity Store in Form von einwertigen und mehrwertigen Attributen abgelegt werden können. 4.4 Datensynchronisation und Provisioning Die Verwaltung digitaler Identitäten setzt eine konsistente Datenbasis voraus, weswegen die in Abschnitt 4.3 beschriebene Datenmodellierung zentraler Bestandteil von Konzeption und Implementierung einer Identity-Management- Lösung sein sollte. Dieser Abschnitt beschreibt die grundlegenden Mechanismen, die in SAP NetWeaver IdM für die Synchronisation von Daten und somit für den Aufbau und Abgleich des Identity Stores mit den angeschlossenen Quell- und Ziel- systemen zur Verfügung stehen. Neben der Synchronisation und Verteilung der wesentlichen Identitätsstammdaten besteht die zweite Hauptaufgabe einer Iden- tity-Management-Lösung in der weitestgehend automatisierten Provisionierung von Benutzerdaten und deren – durch Antrags- und Genehmigungsprozesse zuge- wiesenen – Berechtigungsinformationen in die angebundenen Zielsysteme. 98
  • 33. Datensynchronisation und Provisioning 4.4 4.4.1 Prinzipien der Datensynchronisation Bei der Synchronisation von Daten sind – zunächst unabhängig vom betrachteten Datenobjekt – einige Regeln zu beachten. Dies gilt auch für den Aufbau eines Iden- tity Stores in SAP NetWeaver IdM und die anschließende Verteilung der darin ver- walteten Identitätsdaten. In den meisten Fällen sind die benötigten Daten bereits in unterschiedlichen Datenquellen eines Unternehmens vorhanden. Daraus ergibt sich aber auch, dass verschiedene Systeme zunächst führenden Charakter für ein- zelne Bestandteile eines zentral zu verwaltenden Benutzerstammsatzes haben. Ein sehr vereinfachtes Beispiel zeigt Abbildung 4.9. Personalsystem Telefonanlage Vorname Führendes System Vorname Nachname für Attribut Nachname Organisationseinheit Organisationseinheit Telefon/Fax Telefon/Fax E-Mail-Adresse E-Mail-Adresse Berechtigungsrollen Berechtigungsrollen Identity Store SAP NetWeaver IdM UI Messaging Vorname Vorname Nachname Nachname Organisationseinheit Organisationseinheit Telefon/Fax Telefon/Fax E-Mail-Adresse E-Mail-Adresse Berechtigungsrollen Berechtigungsrollen Abbildung 4.9 Prinzipien der Datensynchronisation In diesem Beispiel wird davon ausgegangen, dass sich der Stammsatz einer Iden- tität vom Typ Interner Mitarbeiter aus Daten vier verschiedener Datenquellen zusammensetzt: einem Personalsystem als führende Datenquelle für die Personendaten wie Vor- name, Nachname, Anrede, Titel etc. und Informationen zur organisatorischen Zuordnung sowie Eintritts- und Austrittsinformationen einem System (beispielsweise einer Telefonanlage) mit Informationen zu Tele- kommunikationsdaten der Mitarbeiter 99
  • 34. 4 SAP NetWeaver Identity Management im Überblick einem Messaging-System (beispielsweise Lotus Notes oder Exchange Server), führend für vergebene E-Mail-Adressen das SAP NetWeaver IdM-System selbst, führend für die Verwaltung von Berech- tigungsinformationen Die exemplarisch dargestellten Datenquellen liefern Informationen, die den Iden- titätsdatensatz im Identity Store komplettieren. Auch nach der erstmaligen Befül- lung eines Identity Stores aus unterschiedlichen Quellen würde für dieses Beispiel ein regelmäßiger Transfer ausgewählter (führender) Attribute aus den jeweiligen Datenquellen erfolgen – ereignisbasiert oder nach einem eingerichteten Zeitplan. Die Synchronisation von Daten (sowohl die erste Befüllung als auch die fortlau- fende Aktualisierung) inklusive definierter Regeln muss vom eingesetzten Werk- zeug unterstützt werden. So unterstützt SAP NetWeaver IdM beispielsweise nicht nur die Definition von führenden Systemen für bestimmte Identitätsinformatio- nen, sondern erlaubt u. a. auch eine Befüllung bzw. einen Update eines bestimm- ten Attributs unter Berücksichtigung festgelegter Prioritäten. Liegt beispielsweise keine Telefonnummer aus der Telefonanlage für einen Mitarbeiter vor, erlaubt das System die Pflege über das User Interface oder den Import aus anderen Daten- quellen. Wurde die Telefonnummer aber einmal aus der Telefonanlage und somit aus dem führenden System importiert, kann sie nicht mehr durch Daten aus nied- riger priorisierten Datenquellen überschrieben werden. Wie in Abbildung 4.9 zu sehen war, kann auch das User Interface selbst das »füh- rende System« für unterschiedliche Bestandteile des Identitätsstammsatzes sein. Die folgenden Abschnitte erläutern die Begrifflichkeiten, die mit der Datensyn- chronisation in Zusammenhang stehen. Darüber hinaus geben wir Ihnen einen kurzen Überblick über die SAP NetWeaver IdM-Standardadapter für SAP- und Nicht-SAP-Systeme/-Anwendungen und gehen auf die von SAP ausgelieferten Pakete für die Provisionierung von Standardkomponenten einer Infrastruktur, wie beispielsweise einem Windows Active Directory, ein. 4.4.2 Quell- und Zielsysteme Jede Anwendung, die an SAP NetWeaver IdM angebunden wird, wird als soge- nanntes Repository angelegt. Ein Repository repräsentiert somit eine Anwendung, die entweder Daten im Rahmen der Synchronisation von Identitätsdaten an SAP NetWeaver IdM liefert oder Empfänger von veränderten Daten ist – oder beides. Die im letzten Abschnitt angesprochene Prioritätensteuerung führender Systeme für einzelne Attribute basiert auf der Zuweisung sogenannter Owner Repositorys. Diese können auf Attributebene im Identity Center definiert werden. Durch diese Information sowie die Tatsache, dass für jedes gespeicherte Attribut im Identity Store neben dem Anlage- bzw. Änderungszeitpunkt auch die Herkunft in Form des 100
  • 35. Datensynchronisation und Provisioning 4.4 Repository-Namens abgelegt wird, kann das System die Priorität entsprechend steuern und verhindert, dass ein Wert aus dem führenden System durch einen qualitativ niederwertigeren Wert überschrieben wird. In den angelegten Reposi- torys werden mithilfe der Definition von Konstanten notwendige Informationen zu einem Repository abgelegt, um u. a. die Verbindungsdaten nicht redundant an unterschiedlichen Stellen vorhalten zu müssen: Typ der angebundenen Anwendung (LDAP, DB, ABAP, XML etc.) Verbindungsdaten für den Zugriff auf die relevanten Daten der Anwendung Repository-Konstanten, die die eindeutige ID der Identity-Center-Instrumen- tierung enthalten, die im Rahmen der Provisionierung aufgerufen werden müs- sen, wenn sich für eine verwaltete Identität auf dem mit diesem Repository ver- knüpften Zielsystem ein relevantes Attribut ändert Alle Komponenten, die im Rahmen der Datensynchronisation und Provisionie- rung genutzt werden, beziehen sich immer auf ein bestimmtes – teilweise zur Laufzeit ermitteltes – Repository und werden aus der Repository-Definition mit allen notwendigen Daten versorgt, damit zum einen der Zugriff auf die Anwen- dung in technischer Hinsicht möglich ist (Verbindungsdaten) und zum anderen bei den durchzuführenden Datenmanipulationsaufgaben die korrekte Logik für diese Anwendung angewendet wird. So werden beispielsweise bei der Zuweisung von Berechtigungsrollen in einem SAP-ABAP-System dem betroffenen Benutzer die Rollen zugewiesen. Ein Benutzer in einem Microsoft Active Directory muss aber in die ihm zugeordneten berechtigungsrelevanten Sicherheitsgruppen aufge- nommen werden. Neben der Tatsache, dass jeweils ein entsprechender techni- scher Adapter verwendet werden muss, ist somit auch die Logik der Berechti- gungszuweisung vom Repository-Typ abhängig. 4.4.3 Technische Adapter SAP NetWeaver IdM besitzt verschiedene Adapter, mit denen bereits ein Großteil der Systeme und Anwendungen in einer Unternehmensinfrastruktur an SAP Net- Weaver IdM angebunden werden kann.7 Tabelle 4.2 zeigt eine Übersicht. Mit die- sen technischen Adaptern lassen sich verschiedene Anwendungen und Systeme anbinden, die die jeweiligen Protokolle oder Zugriffsmechanismen unterstützen. 7 SAP stellt im SDN ein laufend aktualisiertes Slideset zur Verfügung, das Informationen über IDM-Adapter und die damit unterstützten Anwendungen enthält. Es ist zu finden unter: SAP NetWeaver Product • Complementary Offerings • SAP NetWeaver Identity Ma- nagement • Product Overview: SAP NetWeaver Identity Management • IDM Connec- tor Overview (Stand: Juni 2009). 101
  • 36. 4 SAP NetWeaver Identity Management im Überblick Technischer Adapter Kurze Beschreibung LDAP-Adapter Adapter für die Anbindung von Anwendungen, die LDAP unterstützen. In der Unternehmensinfrastruktur können mit- hilfe des LDAP-Adapters Verzeichnisdienste, Telefonanlagen etc. angebunden werden. Die bekanntesten Vertreter sind Novell eDirectory, Sun ONE Directory und Microsoft Active Directory. LDIF-Adapter Der LDIF-Adapter (LDAP Data Interchange Format) gestattet den Austausch von Informationen mit einem LDAP-Verzeich- nis auf Basis eines lesbaren ASCII-Austauschformats. Datenbankadapter Mithilfe des Datenbankadapters lassen sich über ODBC/JDBC alle Datenbanken anbinden. Der Datenbankadapter erlaubt somit das Auslesen sowie die Manipulation jeglicher Tabellen der angebundenen Datenbank in Abhängigkeit von den Zugriffsrechten des verwendeten Benutzers. Auch der Aufruf von Stored Procedures wird unterstützt. File-Adapter Der File-Adapter erlaubt das Lesen und Schreiben von Dateien mit Feldtrennzeichen oder fester Feldlänge. Mit die- sem Adapter wird der dateibasierte Datenaustausch realisiert. Aufgrund des Datenschutzes und der Zugriffsbeschränkungen auf die Personalverwaltungssysteme werden beispielsweise häufig ausgewählte Attribute aus diesen Systemen über ent- sprechend formatierte Dateien ausgetauscht. SPML-Adapter Der SPML-Adapter bindet Systeme an, die in der Lage sind, SPML Requests zu verarbeiten. So wird beispielsweise bei der Anbindung des SAP NetWeaver NetWeaver AS Java von der SPML-Adapter-Funktionalität Gebrauch gemacht. SAP-ABAP-Adapter JCo-Adapter (SAP Java Connector) für das Lesen und Schrei- ben von Daten in ein SAP-ABAP-System. Anbindung der SAP- ABAP-User-Store-basierten Systeme. SAP-Java-Adapter Hierfür wird der SPML-Adapter genutzt. XML-Adapter Lesen und Schreiben von gültigen XML-Dateien JMS-Adapter Der JMS-Adapter (Java Message Service) erlaubt die Kommu- nikation mit einem JMS-Provider zur Integration mit Middle- ware-Komponenten, die JMS unterstützen. So können geän- derte Identitätsdaten beispielsweise per JMS an die Middle- ware zur weiteren Verteilung übergeben werden. Tabelle 4.2 Technische Adapter in SAP NetWeaver IdM 102
  • 37. Datensynchronisation und Provisioning 4.4 Technischer Adapter Kurze Beschreibung JNDI-Adapter JNDI-Adapter (Java Naming and Directory Interface8). Mit- hilfe dieser Schnittstelle können Daten und Objektreferenzen anhand eines Namens abgelegt und von Nutzern der Schnitt- stelle abgerufen werden. Shell-Adapter Der Shell-Adapter erlaubt die Ausführung von Kommando- zeilen-Tools. So können beispielsweise auf Unix-Systemen die Kommandos für die Benutzeranlage bzw. Änderung und Löschung in der /etc/passwd aufgerufen werden. SAP VDS Der SAP VDS bietet mit seinem Connector Framework Zugriff auf weitere Systeme. Details und Beispiele zum SAP VDS fin- den Sie in den Abschnitten 4.2.2 und 15.3. Tabelle 4.2 Technische Adapter in SAP NetWeaver IdM (Forts.) Neben den verfügbaren Identity-Center-Adaptern bietet der SAP VDS weitere Möglichkeiten, Systeme und Anwendungen an SAP NetWeaver IdM anzubinden. Der Virtual Directory Server nimmt vor allem im Rahmen der Integration (siehe Abschnitt 4.5 und Kapitel 15) eine wichtige Stellung ein und wird Dreh- und Angelpunkt für die Integration mit anderen Anwendungen sein. Die technische Anbindung allein reicht allerdings für die Provisionierung der angebundenen Sys- teme nicht aus, da nicht nur die Verbindung zu den Systemen gewährleistet, son- dern auch die spezifische Vorgehensweise bei der Anlage, Änderung und Löschung von Objekten des jeweiligen Systems beachtet werden muss. Somit wer- den die technischen Adapter genutzt, um in SAP NetWeaver IdM Instrumentie- rungen zu entwickeln, die auch die Logik für eine konsistente und automatisierte Verwaltung der Zielapplikation abbilden.8 4.4.4 Provisionierungslogik und Workflows Um die Provisionierungslogik zu implementieren, werden in SAP NetWeaver IdM sogenannte Jobs (siehe Abschnitt 9.4.2) und Tasks (Abschnitt 9.4.3) erstellt. Jobs können entweder auf ausgelieferten und vorkonfigurierten Job Templates für einen bestimmten Anwendungsfall basieren oder im Rahmen eines Projekts neu erstellt werden. Ein Job führt dabei eine Reihe von Aktionen aus. Eine einzelne Aktion wird in SAP NetWeaver IdM als Pass bezeichnet. Ein Pass nutzt im Nor- malfall einen der in Tabelle 4.2 in Abschnitt 4.4.3 aufgelisteten Adapter, um Daten aus einem angebundenen Repository zu lesen, Daten in ein angebundenes Repo- sitory zu schreiben oder um – im Rahmen sogenannter generischer Passes – Daten- 8 JNDI ist eine Programmierschnittstelle innerhalb der Programmiersprache Java für Na- mensdienste und Verzeichnisdienste. 103
  • 38. 4 SAP NetWeaver Identity Management im Überblick manipulationen im Identity Store mithilfe von Built-in-Funktionalitäten durchzu- führen. Die Ausführung eines Jobs kann durch unterschiedliche Aktionen ausgelöst werden: durch den in SAP NetWeaver IdM integrierten Scheduler zu eingeplanten Zeit- punkten, beispielsweise zum Laden von geänderten Daten aus angebundenen Systemen einmal täglich. manuell durch einen Administrator, beispielsweise zur Initialbefüllung eines Identity Stores oder zur Erstellung von Reports durch (die erfolgreiche) Ausführung eines anderen Jobs. So können beispiels- weise mehrere Jobs nacheinander ausgeführt werden – auch in Abhängigkeit vom Ausführungsstatus des vorangegangenen Jobs durch Tasks, die aufgrund eines bestimmten Ereignisses gestartet werden – ein solches Ereignis kann beispielsweise die Änderung bestimmter im Identity Store verwalteter Objekte oder deren Attribute sein, beispielsweise ausgelöst durch einen Datenabgleich mit einem verwalteten System Ob ein Job manuell, durch einen Scheduler oder im Rahmen von durch Ereignisse initiierten Provisionierungsaufgaben – also der Ausführung einer bestimmten Aktion für ein ausgewähltes Objekt des Identity Stores – gestartet werden kann, wird durch die sogenannte Scheduling Rule in der Konfiguration festgelegt (siehe Kapitel 11). Neben den Jobs, die für die Ausführung einer bestimmten Aktion verwendet wer- den, gibt es in der Identity-Center-Konfiguration die Tasks. Tasks beziehen sich immer auf Einträge bzw. Objekte in einem Identity Store. Mithilfe von Tasks kön- nen alle im Identity Store verwalteten Einträge im End-User-UI für Änderungen zur Anzeige gebracht (Details siehe Kapitel 12) und somit die End-User in die im- plementierten Prozesse einbezogen werden. Es gibt unterschiedliche Typen von Tasks, die ineinandergeschachtelt werden können. Ein Typ – nämlich der Action Task – wurde bereits in Verbindung mit den Jobs erwähnt. Tasks erlauben darüber hinaus, notwendige Prozesse für interaktive Genehmigungsworkflows und Provi- sionierungsabläufe zu implementieren. Deshalb stehen neben dem Action Task die Task-Typen aus Tabelle 4.3 zur Verfügung. Die strukturierte Ausführung von Tasks, die Auswertung von Bedingungen sowie die Anzeige der durch die Tasks verarbeiteten Objekte erlauben letztlich sowohl die Abbildung von interaktiven Workflows zur Beantragung und Genehmigung von Berechtigungen als auch die Implementierung von komplexen Provisionie- rungsabläufen. Eine ausführliche Beschreibung der Elemente, die für die Entwick- lung von Provisionierungsworkflows zur Verfügung stehen, ist in Kapitel 13 zu finden. 104
  • 39. Datensynchronisation und Provisioning 4.4 Task-Typ Beschreibung Ordered Task Group Gruppierung untergeordneter Tasks, bei deren Ausführung die Reihenfolge beachtet wird Unordered Task Group Gruppierung untergeordneter Tasks, bei deren Ausführung die Reihenfolge nicht beachtet wird Conditional Task Der Task erlaubt die Definition einer Bedingung, bezogen auf das bearbeitete Objekt. Zum Beispiel kann hier eine Ent- scheidung über den weiteren Prozessablauf, basierend auf dem Entry Type oder der Existenz eines Accounts, getroffen werden. Switch Task Der Switch Task erlaubt genau wie der Conditional Task die Auswertung einer Bedingung. Die Auswertung kann aller- dings mehrere Werte zurückliefern, von denen die weitere Bearbeitung des Objekts abhängt. Approval Task Der Approval Task bringt das in Bearbeitung befindliche Objekt in der Liste Zu erledigen (siehe Abschnitt 4.2) zur Anzeige. Je nach Berechtigung hat der Benutzer nun die Möglichkeit, den Antrag zu genehmigen oder abzulehnen. In Abhängigkeit von der gewählten Aktion läuft der Prozess weiter. Action Task Ausführung genau eines Jobs, basierend auf den in Bearbei- tung befindlichen Entrys Tabelle 4.3 Task-Typen zur Workflow-Steuerung 4.4.5 Provisionierungscontent Die Kombination von technischen Adaptern zur Sicherstellung der Connectivity einerseits und konfigurierter und angepasster Jobs und Tasks im Identity Center andererseits erlaubt also die schnelle Anbindung von Anwendungen in der jewei- ligen Zielinfrastruktur. SAP liefert diesen Content für die Verwaltung von Identi- täten auf typischen Systemen der Systemumgebung in Form von Templates und dem Provisioning Framework für SAP- und Nicht-SAP-Systeme aus. Die Templates können bei der Entwicklung der Instrumentierung als einzelne Bestandteile bei der Anbindung der eigenen Systeme genutzt werden. So gibt es beispielsweise Job und Task Templates für die Anbindung von RSA Clear Trust oder einer Microsoft SQL Server-Datenbank, die in das Identity Center und die kundenspezifische Ver- arbeitungslogik integriert werden können. Das SAP Provisioning Framework geht allerdings noch einen Schritt weiter. Es lie- fert nicht nur Job und Task Templates aus, die für einzelne Aktionen wie beispiels- weise die Zuweisung von Rollen, die Anpassung von Benutzerattributen oder das 105
  • 40. 4 SAP NetWeaver Identity Management im Überblick Setzen des Passworts notwendig sind, sondern die komplette Struktur, um bestimmte Systeme nach einem Schema zu verwalten, das wiederum innerhalb des Provisioning Frameworks unabhängig vom Systemtyp Gültigkeit besitzt. Das SAP Provisioning Framework mit seinen Job und Task Templates deckt in der Ver- sion 7.1 SP01 die folgenden Zielsystemtypen ab: SAP NetWeaver AS ABAP – Standalone und ZBV SAP NetWeaver AS Java – User Store UME und LDAP SAP NetWeaver AS – Double-Stack Microsoft Active Directory Sun ONE LDAP Directory Lotus Notes SAP BusinessObjects Access Control Integration Das Provisioning Framework für Lotus sowie die SAP BusinessObjects Access Con- trol-Integrationskomponenten werden in eigenen Paketen im SDN unter http://www.sdn.sap.com/irj/sdn/nw-identitymanagement zum Download zur Verfü- gung gestellt. Mehr Informationen zu den einzelnen Bestandteilen des Provisio- ning Frameworks und der generellen bzw. systemspezifischen Funktionsweise der einzelnen Integrationspakete finden Sie in Kapitel 14. 4.4.6 Password Management Schlagworte wie Single Sign-on (SSO)9 und Password Recovery tauchen in Verbin- dung mit der Einführung einer Identity-Management-Lösung immer wieder auf. Das liegt u. a. daran, dass die Vereinfachung der Anmeldung an Systemen und Anwendungen durch die Vereinheitlichung des Passworts oder die Einführung von SSO-Mechanismen einer der sichtbarsten Vorteile für den Endanwender dar- stellen. Einerseits unterstützt SAP NetWeaver IdM durch die zentrale und sichere Verwal- tung von Passwörtern im Identity Store die Möglichkeit, Passwörter im Rahmen von Self-Services mit anschließender Verteilung in die Zielsysteme zurücksetzen zu lassen. Andererseits muss an dieser Stelle darauf hingewiesen werden, dass jede Anwendung und jedes System die Einhaltung eigener Regeln und Restriktionen – sogenannte Password Policys – erfordert. Dies kann in Abhängigkeit von der Anzahl angebundener Anwendungen durch Konflikte bei den Password Policys (Länge, Sonderzeichen etc.) zu Problemen führen. Außerdem entsprechen manche 9 Single Sign-on bedeutet, dass ein Anwender nach der einmaligen Eingabe der Anmelde- informationen auf alle Systeme, Anwendungen und Dienste, für die er berechtigt ist, zu- greifen kann, ohne sich jedes Mal von Neuem authentisieren zu müssen. 106
  • 41. Weitere Integrationsthemen 4.5 Anwendungen nicht mehr dem Sicherheitsstandard, der die Verteilung eines Pass- worts erlaubt, das dann auch für andere kritische Anwendungen Gültigkeit besitzt. Diese Faktoren sollten bei der Konzeption von Passwort-Management-Funktionen berücksichtigt werden. Neben der zentralen Verwaltung eines einheitlichen Passworts unterstützt SAP NetWeaver IdM auch die Umsetzung von Single Sign-on mithilfe anerkannter Standardmechanismen, wie beispielsweise der integrierten Windows-Authentifi- zierung. So können die SAP NetWeaver IdM-Oberflächen zum einen von der jeweiligen Technologie Gebrauch machen und so konfiguriert werden, dass eine erneute Anmeldung am IdM UI nach erfolgter Windows-Anmeldung nicht nötig ist. Zum anderen verteilt SAP NetWeaver IdM wiederum Daten, die für die Akti- vierung von Single Sign-on in den Zielanwendungen benötigt werden. Als Beispiel sei an dieser Stelle der SNC-Name (Secure Network Communications) im ABAP-Sys- tem genannt, der bei der integrierten Windows-Authentifizierung mit dem Prin- cipal Name aus dem bei der Windows-Anmeldung ausgestellten Kerberos-Ticket10 gefüllt werden muss, um eine Verbindung zwischen dem Ticket und Benutzerein- trag im Zielsystem herzustellen. SAP NetWeaver IdM ist allerdings keine Anwen- dung, die zum Aufbau von speziellen SSO-Infrastrukturen, beispielsweise Public- Key-Infrastrukturen (PKI), genutzt wird. Dafür gibt es auf dem Markt andere Werkzeuge, die diese speziellen Funktionen zur Verfügung stellen. Neben den bereits erwähnten Funktionalitäten wird mit SAP NetWeaver IdM auch ein sogenannter Active Directory Password Hook ausgeliefert. Bei der Anmel- dung an der Windows-Umgebung »erzwingt« die Password Policy normalerweise nach einer gewissen Zeit (meistens 60 oder 90 Tage) die Änderung des Domänen- passworts. Wird SAP NetWeaver IdM zur zentralen Passwortverwaltung und -ver- teilung genutzt, kann der Password Hook verwendet werden, um das bei der Anmeldung in der Windows-Domäne geänderte Passwort verschlüsselt an das Identity Center weiterzuleiten und für die Verteilung des Passworts in andere Anwendungen zu sorgen. 4.5 Weitere Integrationsthemen Wurden im vorangegangenen Kapitel allgemeine Prinzipien der Datensynchroni- sation sowie die verfügbaren technischen Adapter von SAP NetWeaver IdM in Verbindung mit der von SAP ausgelieferten Provisionierungslogik erörtert, wer- den in diesem Abschnitt ausgewählte Anwendungsfälle in SAP-Umgebungen betrachtet, für die entsprechende Integrationspakete ausgeliefert werden. Außer- dem gehen wir auf die Integration der SAP NetWeaver IdM UI-Komponente in 10 http://de.wikipedia.org/wiki/Kerberos_(Informatik) (Stand: August 2009) 107
  • 42. 4 SAP NetWeaver Identity Management im Überblick einer bereits existierenden Portalumgebung ein. Weitere Integrationsmöglichkei- ten durch die Nutzung von Middleware-Komponenten wie SAP NetWeaver Pro- cess Integration (SAP NetWeaver PI) oder das bereits beschriebene SAP VDS sind ebenso Bestandteil wie die Integration von SAP BusinessObjects Governance Risk and Compliance (SAP BusinessObjects GRC). Weiterführende Details zur konkre- ten Umsetzung dieser Szenarien erfahren Sie in Kapitel 15. SAP liefert zu den wichtigsten Anwendungsfällen Dokumentation in Form eines generellen Architekturüberblicks sowie eines detaillierten Konfigurationsleitfa- dens aus, um diese Anwendungsfälle in der eigenen Landschaft mithilfe von vor- konfigurierten Inhalten schnell umsetzen zu können. Während sich einige Teile dieser Anwendungsfälle, wie beispielsweise die Anbindung des SAP NetWeaver Portals oder die Anbindung gängiger Verzeichnisdienste, mit Standardmechanis- men beschäftigen und sich deshalb die Nutzung der Tasks und Templates aus dem Provisioning Framework anbietet, lohnt sich die nähere Betrachtung der SAP HCM-Integration, der erweiterten Business-Suite-Integration sowie der SAP Busi- nessObjects GRC-Integration, da diese Besonderheiten aufweisen, die über die reine Provisionierung von Benutzern in Zielsystemen hinausgehen. 4.5.1 Business-Suite-Integration Personalverwaltungs- und Abrechnungssysteme wie SAP HCM sind meistens von zentraler Bedeutung für den Aufbau einer Identity-Management-Lösung, da in der Personalabteilung bereits eine Vielzahl von Informationen über (zukünftige oder bereits ausgeschiedene) Mitarbeiter zu einem frühen Zeitpunkt verfügbar sind. Neben den Mitarbeiterdaten werden in SAP HCM auch Organisationsdaten inklu- sive der Zuordnung zu den Mitarbeitern gepflegt. Oftmals werden im Personalbe- reich außerdem Employee Self-Services (ESS) zur Verfügung gestellt, um beispiels- weise Urlaubsanträge im Rahmen des Zeitmanagements elektronisch abzugeben oder Reisekostenabrechnungen einzureichen. Um diese Prozesse sowie die regel- mäßigen Abrechnungsläufe ausreichend unterstützen zu können, wird eine mehr oder weniger gut gepflegte Organisationsstruktur inklusive weiterführender Infor- mationen zu Leitungsfunktion, Vertreterregelungen etc. benötigt. Neben den rei- nen Mitarbeiterdaten sind auch diese Daten zur Organisationsstruktur relevant für eine Identity-Management-Lösung, um einerseits, basierend auf der organisatori- schen Zuordnung eines Mitarbeiters, (Basis-)Berechtigungen vergeben zu können und andererseits Prozesse durch Ermittlung von Vorgesetzten steuern zu können. Damit Mitarbeiterdaten sowie Organisationsdaten in SAP NetWeaver IdM für die Anlage und Pflege von Identitäten und deren Benutzern sowie für die Initiierung und Steuerung relevanter Prozesse verwendet werden können, müssen diese im Identity Store des Identity Centers zur Verfügung stehen. Hierzu werden in der aktuellen Version 7.1 folgende Komponenten verwendet: 108
  • 43. Weitere Integrationsthemen 4.5 SAP Querys im SAP HCM-System zur Rückgabe von Feldwerten relevanter In- fotypen, beispielsweise IT 0001 für die organisatorische Zuordnung, IT 0002 für die personenbezogenen Daten und IT 0105 für Kommunikationsdaten und – sofern in SAP HCM gepflegt – den SAP-Login des Mitarbeiters der LDAP-Konnektor des SAP HCM-Systems zur Übergabe der über die Query angefragten Daten an den SAP VDS der SAP VDS selbst zur Verarbeitung der aus der Query resultierenden und über den LDAP-Konnektor versendeten Daten SAP NetWeaver IdM-Content für die weitere Verarbeitung und Fortschreibung der übertragenen Daten aus SAP HCM in den zentralen Identity Store Die Mitarbeiterdaten werden in SAP NetWeaver IdM zunächst in einen eigenen Identity Store geschrieben, der wiederum als Reaktion auf neu ankommende oder sich ändernde Daten eine Fortschreibung unter Berücksichtigung relevanter Änderungen (Delta Handling) in den eigentlichen Master Identity Store anstößt. Sowohl für die SAP HCM-Integration als auch für die Business-Suite-Integration wurde das Identity-Store-Schema erweitert. Eine Liste mit relevanten Attributen und deren Mapping finden Sie in Anhang B des Konfigurationsleitfadens. Die aktuelle SAP HCM-Integration erlaubt die Übertragung von Informationen der in SAP HCM gepflegten Mitarbeiter. Im Rahmen der Standardintegration werden allerdings keine SAP OM-Objekte (SAP Organisationsmanagement) übertragen. Das heißt letztlich, dass beim Mitarbeiter zwar beispielsweise die Information vor- liegt, zu welcher Organisationseinheit er gehört und welche Planstelle er besetzt. Weiterführende Informationen über die zugeordnete Organisationseinheit oder Planstelle selbst, wie beispielsweise übergeordnete oder untergeordnete Organi- sationseinheiten, werden mit der Standardintegration in der Version 7.1 aber (noch) nicht geliefert. Um diese Limitation zu umgehen, kann hier die bereits erwähnte Prozessintegra- tionskomponente SAP NetWeaver PI in Verbindung mit der Standard-HR-Stamm- datenextraktion auf Basis der ALE-Funktionalität zur Übertragung von entspre- chenden IDoc-Dateien verwendet werden. Die HCM-Integration kann allerdings genutzt werden, um im Mitarbeiterstamm eines SAP HCM-Systems oder im dar- aus resultierenden Ministamm (einer Auswahl an gepflegten Infotypen des Mit- arbeiterstammes) eines beliebigen SAP ERP-Systems Daten der dort gepflegten Mitarbeiter zu exportieren, und als Grundlage für personenbezogene Daten die- nen. Bisher wurden SAP ERP-Systeme unabhängig vom jeweiligen Modul an SAP Net- Weaver IdM durch die zur Verfügung stehende Instrumentierung für ABAP-Sys- teme angebunden. Diese Instrumentierung sorgte letztlich »lediglich« für die auto- matisierte Anlage, Änderung, Sperrung bzw. Löschung von Benutzern im ABAP 109
  • 44. 4 SAP NetWeaver Identity Management im Überblick User Store (respektive Transaktion SU01) ohne Verbindungen zur Business-Logik des jeweiligen Moduls zu knüpfen, Verknüpfungen zu Geschäftspartnern herzu- stellen oder modulspezifische berechtigungsrelevante Informationen zu pflegen. Mit der erweiterten Business-Suite-Integration stehen diese Funktionalitäten in SAP NetWeaver IdM Release 7.1 SP02 nun für die Integration in folgende SAP Business Suite-Module zur Verfügung: Identity Management für Audit-Management Identity Management für Buchhaltungssachbearbeiter Identity Management für SAP Transportation Management Identity Management für SAP Extended Warehouse Management Identity Management für SAP Supply Network Collaboration Identity Management für die Ersatzteilplanung Identity Management für SAP Product Lifecycle Management Identity Management für SAP Portfolio and Project Management Identity Management für SAP Customer Relationship Management Identity Management für SAP Supplier Relationship Management Die Voraussetzung ist in den meisten Fällen weiterhin die Replikation der Mitar- beiterdaten aus SAP HCM. Eine genaue Beschreibung der modulspezifischen Funktionen kann in der SAP-Bibliothek nachgelesen werden.11 4.5.2 Integration mit SAP BusinessObjects Access Control SAP BusinessObjects Governance Risk and Compliance (SAP BusinessObjects GRC) ist eine Suite von Werkzeugen mit Funktionalitäten und Regelwerken aus dem Bereich des Risiko-Managements. Neben Branchenlösungen und weiteren Bestandteilen ist die Komponente SAP BusinessObjects Access Control in Bezug auf SAP NetWeaver IdM von zentraler Bedeutung. Während SAP NetWeaver IdM den Schwerpunkt auf die konsistente und nachvollziehbare Verwaltung des Lebenszyklus von Identitäten legt, liefert SAP BusinessObjects Access Control wei- tere Funktionalitäten im Bereich Rollenmanagement, Segregation of Duties (SoD) und Superuser Management. SAP spricht beim kombinierten Einsatz von SAP Net- Weaver IdM und SAP BusinessObjects Access Control von Compliant Identity Management. Weitere Details zu SAP BusinessObjects GRC im Allgemeinen und SAP BusinessObjects Access Control im Speziellen finden Sie in Abschnitt 15.4. 11 Benutzerverwaltung und -verteilung mit SAP NetWeaver Identity Management: http://help. sap.com/erp2005_ehp_04/helpdata/de/43/f49dbbe47a4cd290f04ac607d6a799/frameset.htm (Stand: August 2009) 110
  • 45. Weitere Integrationsthemen 4.5 Besteht beispielsweise die Notwendigkeit, zum Zeitpunkt der Rollenbeantragung und anschließenden Genehmigung eine Prüfung auf kritische Rechtekombinatio- nen vorzunehmen und – im Falle einer SoD-Verletzung – korrigierende Maßnah- men einzuleiten, kommt SAP BusinessObjects Access Control ins Spiel. Da sowohl SAP BusinessObjects Access Control als auch SAP NetWeaver IdM die Provisio- nierung von Benutzerkonten in SAP-ABAP-Zielsystemen unterstützen, gibt es bei der Integration der beiden Werkzeuge generell zwei unterschiedliche Vorgehens- weisen. Ist SAP NetWeaver IdM das führende System für den Lebenszyklus ver- walteter Identitäten, startet der Beantragungsworkflow in SAP NetWeaver IdM und verzweigt – im Falle der Beantragung von Berechtigungsrollen in relevanten SAP Business Suite-Modulen – in den Workflow von SAP BusinessObjects Access Control. Dort werden die beantragten Rollen unter Berücksichtigung der bereits genehmigten und zugewiesenen Rollen gegen die aktuelle SoD-Matrix zur Laufzeit geprüft. Treten Verletzungen auf, werden Korrekturprozesse, wie beispielsweise die Genehmigung nach dem Vier-Augen-Prinzip, eingeleitet. Nach eventuell durchgeführten Korrekturen und nachträglich erfolgter Genehmigung provisio- niert BusinessObjects Access Control die Änderungen am entsprechenden Benut- zerkonto in das Zielsystem und teilt SAP NetWeaver IdM den Status der erfolgten Provisionierung mit. Wurde aufgrund einer stark SAP-zentrischen Anwendungs- landschaft BusinessObjects Access Control als führendes Werkzeug für die Bean- tragung von Rollen in der Architekturphase gewählt, startet der Workflow in Busi- nessObjects Access Control und nutzt die von SAP NetWeaver IdM zur Verfügung gestellten Identity Services zur Übergabe von Aufträgen zur Provisionierung von Benutzerkonten in Nicht-SAP-Systemen. In beiden Fällen tritt der SAP VDS als Integrationskomponente auf den Plan. SAP liefert für die Integration von SAP NetWeaver IdM und BusinessObjects Access Control Content für das Identity Center sowie für den SAP VDS aus. Das GRC Pro- visioning Framework kommuniziert mit dem SAP NetWeaver IdM mithilfe von Webservices. So stellt BusinessObjects Access Control Webservices zur Verfü- gung, die durch den SAP VDS aufgerufen werden können. Im SAP VDS stehen wie- derum Identity Services zur Verfügung, die von BusinessObjects Access Control genutzt werden, um entweder Statusinformationen oder Provisionierungsauf- träge an SAP NetWeaver IdM zu übergeben. Detaillierte Informationen zur Inte- gration finden Sie in Abschnitt 15.4. 4.5.3 Middleware zum Austausch von Daten Reicht der Funktionsumfang der in der aktuellen Produktversion gelieferten Adapter und Integrationsinhalte (siehe Abschnitt 5.4) zur Datensynchronisation und Provisionierung für die Anforderungen im Projekt nicht aus oder bietet sich 111
  • 46. 4 SAP NetWeaver Identity Management im Überblick die Nutzung einer bestehenden Schnittstelle an, gibt es weitere Möglichkeiten, Daten mit dem SAP NetWeaver IdM-System auszutauschen: Nutzung einer Middleware-Komponente wie SAP NetWeaver PI zur Übertra- gung und Transformation von Daten durch von der Middleware unterstützte Standardadapter und -protokolle Nutzung des SAP VDS zur Erweiterung des Connector Frameworks sowie der Bereitstellung von Identity Services zur Anlage, Änderung und Löschung von Identitätsdaten Einsatzschwerpunkte können Sie den Anwendungsfällen in Tabelle 4.4 entneh- men. Anwendungsfall Passende Middleware Nutzung vorhandener Schnittstellen beteiligter Kommuni- Nutzung der Standard- kationspartner, die eventuell bereits zur Übertragung von adapter von SAP Net- relevanten Daten mit anderen Systemen genutzt werden. Weaver PI Keine Provisionierung von Benutzerkonten (Adapter und Beispiele siehe unten). Nutzung von SPML und LDAP als Schnittstellentechnologie Standardanbindung für den bidirektionalen Datenaustausch mit dem Quell- über den SAP VDS /Zielsystem sowie zur Anlage/Änderung und Löschung von (sowohl lesend als auch Benutzerkonten schreibend) Anbindung von nicht durch SAP NetWeaver IdM-Standar- Erweiterung des Con- dadapter unterstützen Anwendungen, die eine Java API für nector Frameworks im den Datenaustausch zur Verfügung stellen SAP VDS Tabelle 4.4 Mögliche Einsatzschwerpunkte von SAP VDS und SAP NetWeaver PI Während der SAP VDS (siehe Abschnitt 4.2) Bestandteil der SAP NetWeaver IdM- Infrastruktur ist, stellt SAP NetWeaver PI die zentrale Prozessintegrationskompo- nente der gesamten SAP NetWeaver-Plattform dar. SAP NetWeaver PI besitzt meh- rere Adapter, die auch im Rahmen einer SAP NetWeaver IdM-Implementierung von Nutzen sein können. Das sind u. a.: IDoc- und RFC-Adapter Webservice-Adapter Datenbank-/JDBC-Adapter File-Adapter Während der Webservice-Adapter, der Datenbankadapter und der File-Adapter für die Kommunikation mit SAP NetWeaver IdM genutzt werden können, stellen 112
  • 47. Weitere Integrationsthemen 4.5 der IDoc- und der RFC-Adapter Funktionalitäten zur Verfügung, die die Nutzung schon lange im SAP-Umfeld bestehender und hinreichend geprüfter Schnittstellen ermöglichen. In Abschnitt 4.5.1 wurde bereits die Übertragung von Daten aus dem SAP Organisationsmanagement (SAP OM) aus einem SAP ERP-System ange- sprochen. Für die Verteilung dieser Daten im ERP-Umfeld wird der ALE-Mecha- nismus zur Übertragung eines dafür vorgesehenen IDoc-Nachrichtentyps genutzt. Die vorhandene Schnittstelle kann dabei alle SAP OM-Objekte inklusive zeitab- hängiger Daten und Verknüpfungen extrahieren und per ALE an entfernte Sys- teme senden. SAP NetWeaver PI ist durch Nutzung des IDoc-Adapters in der Lage, die versen- deten IDocs entgegenzunehmen und in ein Format umzuwandeln, das vom Ziel- system – im vorliegenden Fall SAP NetWeaver IdM – verarbeitet werden kann. Die Integrationslogik ist damit an zentraler Stelle in der Middleware verfügbar, und die Schnittstellen sind voneinander entkoppelt. Es lohnt sich also immer, vor- handene Schnittstellen zu prüfen und dabei auch den Einsatz anderer Infrastruk- turkomponenten wie SAP NetWeaver PI in Betracht zu ziehen, wenn dadurch zusätzliche Eigenentwicklungen durch das Customizing von Systemen ersetzt wer- den können. Die Vorteile liegen dabei vor allem in der besseren Wartbarkeit und Schnittstellenstandardisierung. 4.5.4 UI-Integration Eine IdM-Lösung beinhaltet in vielen Fällen sogenannte Self-Services (siehe Abschnitt 12.1), die die Änderung von Teilen der eigenen Identitätsdaten gestat- ten oder die Beantragung von zusätzlichen Rechten für sich selbst oder andere Mitarbeiter beinhalten. Somit ist die Integration der entsprechenden UI-Kompo- nenten in das Intranet-Portal des Kunden ein wichtiger Bestandteil der Integra- tionsarbeiten. In Abschnitt 4.2 wurde bereits die Architektur von SAP NetWeaver Identity Management 7.1 beschrieben. Die Komponente für das End-User-Interface wird demnach auf einem beliebigen SAP NetWeaver AS Java-Stack zur Verfügung gestellt, der entweder dediziert für die Zugriffe auf die SAP NetWeaver IdM- Inhalte genutzt wird oder aber bereits als SAP NetWeaver Portal oder für andere SAP NetWeaver-Komponenten im Einsatz ist. Unabhängig davon, welcher Weg beschritten wird, kann das zentrale Workflow-UI-Element mit den in Abschnitt 4.2.1 dargestellten Registerkarten in eine bestehende Portalnavigation über den Import eines entsprechenden iViews sowie die Definition von Portalrollen bereit- gestellt werden. Dieser vorkonfigurierte iView wird mit den Installationsdateien geliefert. Zusätzlich besteht bei einer SAP NetWeaver Portal-Integration natürlich die Möglichkeit, für Erweiterungen weitere Standard-iViews zu nutzen, um bei- spielsweise einem Endanwender zusätzlich eine Startseite mit Erklärungen zu den 113
  • 48. 4 SAP NetWeaver Identity Management im Überblick verfügbaren SAP NetWeaver IdM-Funktionen oder eine Liste mit Links zu verfüg- baren Antragsformularen im Rahmen der IdM-Navigationsstruktur im Portal zur Verfügung zu stellen. Da die UI-Komponenten als Web Dynpro im Java-Stack lauffähig sind und über HTTP-Anfragen direkt angesprochen werden können, kann auch eine Integration in andere Unternehmensportale und Intranet-Technologien erfolgen, solange diese webbasiert sind und die vom SAP NetWeaver Application Server Java zur Verfügung gestellten Authentisierungsmechanismen unterstützen und somit ein Single Sign-on (SSO) vom Unternehmensportal zur SAP NetWeaver IdM-Infra- struktur möglich ist. Beachtet werden muss bei der UI-Integration in jedem Fall, dass letztlich alle potenziellen SAP NetWeaver IdM-Benutzer – und das sind bei der Einführung inklusive Self-Services alle im Identity Store aktiv geführten Iden- titäten – einen Benutzer-Account auf dem jeweiligen Intranet-Portal oder dem für die Authentisierung genutzten Verzeichnisdienst benötigen (für Informationen zur UI-Konfiguration siehe Kapitel 8 und 12). 4.6 Monitoring Wie jede produktiv genutzte Anwendung im Unternehmen erfordert auch der Einsatz von SAP NetWeaver IdM eine Überwachung der durch das System ausge- führten Funktionen. Dieser Abschnitt gibt einen kurzen Überblick über die Mög- lichkeiten und Ansatzpunkte für das Monitoring der SAP NetWeaver IdM-Kom- ponenten. Detaillierte Informationen zur Interpretation von Job- und Systemlogs oder zentralen Datenbanktabellen mit verwertbaren Überwachungsinformatio- nen finden Sie in Kapitel 16. Basierend auf der in Abschnitt 4.2 dargestellten Architektur, lassen sich die Überwachungsaktivitäten für SAP NetWeaver IdM in die folgenden Teilbereiche aufteilen: Überwachung von Betriebssystem und Dateisystem Unabhängig von der Anwendung sollten die genutzten Server hinsichtlich der CPU-Auslastung, Dateisystemauslastung, Plattenkapazitäten, der ausgeführten Prozesse etc. überwacht werden. Überwachung der genutzten Datenbanken Die zentrale Komponente der SAP NetWeaver IdM-Architektur bildet die Da- tenbank. Auch die Datenbank kann im Rahmen bereits vorhandener Überwa- chungsmechanismen überwacht werden. Überwachung des End-User UIs Der SAP NetWeaver AS Java, auf dem die Frontend-Komponenten gehostet werden, sollte mit den Standardmitteln – beispielsweise Computing Center Ma- 114
  • 49. Monitoring 4.6 nagement System (CCMS) oder Generic Request and Message Generator (GRMG) für SAP-Systeme – überwacht werden. Überwachung spezieller SAP NetWeaver IdM- und VDS-Prozesse Zusätzlich zu Betriebssystem, Datenbank und Java-Stack kann die Überwa- chung der Prozesse für Dispatcher und Event Agents aktiviert werden. Die Pro- zesse sind in Windows-Umgebungen als Windows Service registriert und auf Unix-Plattformen in deren Startup-Sequenz eingebunden. Die Überwachung und der Neustart dieser Prozesse im Fehlerfall können mit Standardüberwa- chungsmechanismen realisiert werden. Überwachung von Identity Center System Logs und Job Logs Alle vom Dispatcher ausgeführten Aufgaben und Funktionen zur Synchronisa- tion und Verteilung von Daten sowie zur Provisionierung von Benutzerkonten oder Generierung von Berichten produzieren Einträge in Job und System Logs. Für Jobs kann ein Zielverzeichnis für die Ablage der Log-Dateien für die letzte Ausführung angegeben werden. Außerdem werden sowohl Job Logs als auch System Logs in entsprechende Datenbanktabellen geschrieben, die somit auf Fehler – unter Berücksichtigung der Log-Levels – überwacht werden können. Außerdem kann in allen Jobs und Tasks ein Skript oder ein weiterer Task hin- terlegt werden, der im Fehlerfall ausgeführt wird. Zusätzlich kann der Versand von SNMP Traps (Simple Network Management Protocol) konfiguriert werden. Durch den Versand von SNMP Traps (standardisierte Datenpakete/Nachrich- ten) kann eine Integration in gängige Überwachungswerkzeuge erfolgen, die in der Lage sind, diese Nachrichten zu interpretieren. Überwachung von VDS Logs Auch der VDS schreibt – je nach Konfiguration – Log-Dateien in Abhängigkeit vom konfigurierten Log-Level. Diese Logfiles können mithilfe von Standard- Monitoring-Werkzeugen ausgewertet werden. Wird der VDS für den Zugriff anderer Anwendungen auf den Identity Store mittels LDAP oder SPML genutzt, wird er zur kritischen Komponente und muss unbedingt ausreichend über- wacht werden. Durch das Deployment der SPML-Services auf einen AS Java können auch die dort integrierten Überwachungsfunktionen genutzt werden. Überwachung der Provisionierungswarteschlange und der Provisionierungstasks Die korrekte Funktion von SAP NetWeaver IdM basiert auf der asynchronen Ausführung von anstehenden Provisionierungstasks durch die konfigurierten Dispatcher. Diese Provisionierungstasks werden gestartet, um auf Basis eines im Identity Store verwalteten Objekts bestimmte Funktionen anzustoßen und auszuführen. Hier können bereits Fehler auftreten, bevor Jobs gestartet wer- den. Diese Fehler sind zunächst ausschließlich im Provisioning Audit (siehe Re- gisterkarte Überwachung in Abschnitt 4.2) zu finden. Zur automatisierten Überwachung der ausgeführten und auszuführenden Provisionierungstasks 115
  • 50. 4 SAP NetWeaver Identity Management im Überblick empfiehlt es sich, die Provisioning-Audit-Tabellen in der IC-Datenbank in re- gelmäßigen Abständen zu lesen und auszuwerten. Zur Ausführung der aufgelisteten Monitoring-Aktivitäten können verfügbare Werkzeuge genutzt werden (Beispiele sind: HP Operations Manager, IBM Tivoli und CA Unicenter). Diese Werkzeuge sind in der Lage, Logfiles auf Muster zu untersuchen, Prozesse zu überwachen, SNMP Traps auszuwerten sowie spezielle Überwachungsaktionen auszuführen und eventuell auftretende Fehler an zentra- ler Stelle zu melden. Meist erlauben diese Tools auch die Konfiguration von Akti- onen, die den Fehler beispielsweise durch den Neustart des fehlgeschlagenen Pro- zesses automatisch beheben. Neben den Third-Party-Tools kann auch eine Integration in das CCMS oder den SAP Solution Manager Diagnostics erfolgen. Allerdings gibt es in der aktuellen Version hierfür keine vorgefertigten Integrati- onsvorlagen. 4.7 Reporting Ein weiterer Grund für die Einführung einer IdM-Lösung ist das Berichtswesen. Denn was nützt die Verwaltung der Identitätsdaten über ihren Lebenszyklus mit- hilfe eines ausgefeilten Antragswesens, der regelbasierten Rollenzuordnung und nicht zuletzt der automatisierten Verteilung der Daten, wenn die Nachvollzieh- barkeit trotzdem nicht gegeben ist? Um relevante Fragestellungen für Wirtschafts- prüfer und Auditoren zufriedenstellend beantworten zu können, müssen sowohl die im System anfallenden Stamm- als auch die Bewegungsdaten über die Zeit vor- gehalten werden. Stammdaten sind im Bereich des Identity Managements alle Daten, die die ver- walteten Identitäten beschreiben. Das sind also sowohl einfache Attribute wie Vorname, Nachname, Kommunikationsdaten, Eintritts- und Austrittsdatum als auch zugewiesene Berechtigungen und Verknüpfungen mit Organisationsobjek- ten. Für diese Daten gibt es für jeden Zeitpunkt einen bestimmten Zustand. Dieser Zustand kann mithilfe von Datenbankabfragen sowohl aktuell als auch für Zeit- punkte in der Vergangenheit ermittelt werden, sofern bei der Definition des Datenmodells (siehe Abschnitt 4.3) auf eine ausreichende Aufbewahrungszeit zur Historisierung von Daten geachtet wurde. Bewegungsdaten beziehen sich einerseits auf die durch das System verwalteten Anträge und andererseits auf zusätzliche Audit-Informationen, mit denen Infor- mationen über Änderungen festgehalten werden. Durch die Auswertung der Antragsdaten und der erweiterten Audit-Daten wird die Nachvollziehbarkeit gewährleistet, die im Rahmen von Gesetzen und Richtlinien zur Einhaltung der Compliance gefordert wird. Somit lässt sich nicht nur die Frage beantworten, wer 116
  • 51. Reporting 4.7 wann welche Rechte hatte, sondern auch die Frage, wer die Änderung beantragt, genehmigt oder durchgeführt hat. Da SAP NetWeaver IdM, wie eingangs beschrieben, auf einer relationalen Daten- bank basiert und letztlich alle gesammelten Informationen über konfigurierbare Zeitintervalle in dieser Datenbank vorgehalten werden, können mit entsprechen- den Werkzeugen zur Reportgenerierung die benötigten Berichte durch Zugriff auf die IC-Datenbank erstellt werden. Das Werkzeug Crystal Reports ist der Report Designer für das Berichtswesen in SAP NetWeaver IdM. Mit seiner Hilfe können sogenannte Report Templates erzeugt werden (Dateien mit der Endung .rpt), die in den Identity-Center-Jobs oder Tasks zu Reportdateien in unterstützten Output- Formaten wie PDF und HTML verarbeitet werden. So kann beispielsweise auf Anforderung eines Endanwenders ein Report über seinen eigenen Identitätsda- tensatz erzeugt worden. Ebenso kann ein Vorgesetzter zu jedem Zeitpunkt Berech- tigungsreports über seine Teammitglieder erzeugen lassen, um die bewilligten Rechte in regelmäßigen Abständen zu kontrollieren und gegebenenfalls Gegen- maßnahmen, wie den Entzug von Rollen, einleiten zu können. Details zu den genannten Report Templates sowie zur Anpassung, Erweiterung und Erstellung eigener Templates finden Sie in Kapitel 17. 117
  • 52. Index A Attribut (Forts.) mehrwertiges 269, 344, 446 Access Control siehe SAP BusinessOb- MSKEYVALUE 268, 299, 340, 343 jects Access Control MX_ADD_MEMBER_TASK 302, 408 Account 41, 43 MX_APPROVALS 301 priorisierter 35, 36 MX_APPROVERS 302, 405, 408, 410 Action Task 293, 336, 359, 391, 475, MX_ATTR_STATE 411 478, 480 MX_ENTRYTYPE 268, 298 Active Directory siehe Microsoft MX_INACTIVE 299 Active Directory MX_PENDING_VALUE 401, 408 AD siehe Microsoft Active Directory MX_OWNER 300 Administrationskonsole siehe IC Con- MX_VALIDFROM 299 sole MX_VALIDTO 299 Administrationskosten 27 MXMEMBER 272 Admin-Task 181, 485, 486 MXREF 271 AIX 200 Name 269, 325 ALE 79, 152, 603 Personalnummer 314 Replikation 493 Value Help 319, 329 Verteilungsmodell 80, 176 Verschlüsselung 270 Algorithmus 170 zeitliche Abgrenzung 272, 299, 312 Altsystem 129 Audit-Flag 301, 360, 361, 362, 398 Änderungsantrag 53, 186, 187 Audit-ID 368, 415, 569, 570 Antragsprozess 182 Auditing 60 Antragswesen 149, 155 Audit Log 575 Anwendungsfall 314 Aufgabentrennung 38 Application Link Enabling siehe ALE Ausfallsicherheit 550 Applikationsbetreuer 51 Ausfallszenario 61 Approval Queue 568 Ausscheiden, temporäres 34 Approval Task 105, 288, 295, 373, 378, Authentifizierung 551 396, 401, 402, 403, 404, 407, 410 Authentisierung 150, 157, 496, 551 Arbeitsverhältnis 34 Authentizität 44 ARIS for SAP NetWeaver 75 Autorisierung 43 AS Java 65, 69, 251, 258, 478 Attestation 287 B Attribut 53, 54, 93, 269, 314, 317, 327 Anzeigename 318 Backup 61 Datenfeldtyp 269, 315, 321 BAPI 76 DISPLAYNAME 298 BASEL II 38 Eindeutige Kennung 314, 350 Basistechnologie 66 Entry Reference 271, 272, 320, 343 Batch-Prozess 336 führendes 100 Benutzer Gruppe 174 Gruppe 73 Historie 270, 328 Konto 26, 27, 34, 35, 42, 51, 150, 276 Lebensdauer 318 Name 179 Mapping 290 Verwaltungssystem 56 623
  • 53. Index Berechtigung 27, 31, 33, 34, 51, 275, Crystal Reports siehe SAP Business- 305 Objects Crystal Reports Antrag 30 CTS+ 600 Eintrag 47 Konzept 28, 529 D kritische 533 Management 38 Data Security Officer 245 Steuerung 300 Daten Vererbung 281 Analyse 29, 43 Vergabe 27, 31, 39, 40, 41, 47 Änderung 30, 46, 53 Zuordnung 278, 304, 306, 312 historische 31, 35, 43 Best Practice 55, 433 Hoheit 315, 324 Bestandsaufnahme 57 Konsolidierung 168 Betriebskonzept 60 Modell 174, 177, 266 Bilanzskandal 26 Modellierung 91, 94, 97, 98, 269, 297, Blacklist-Szenario 52 314, 325 Bottom up 57, 58, 127 personenbezogene 28 BPM 604 Qualität 27, 30, 31, 45, 121, 127, 159, Brute Force 201 171 Bugfixing 553 Quelle 99, 159, 172, 315, 418 Built-in-Function 104, 471 Schiefstand 555 Business Application Programming Inter- Sicherheit 31 face 76 Synchronisation 59, 98, 100, 125, 141, Business Case 57, 59 142, 324, 391, 428 Business Package 73 Transformation 290, 341, 343, 349, Business Process Management 604 352, 419, 421 Business-Suite siehe SAP Business Datenbankmanagementsystem (DBMS) Suite 252 Delta-Datenbank 428, 430 C Delta-Ermittlung 176 Delta-Mechanismus 416, 428, 429, 506 CAD 200 Demosystem 546 CCMS 116 Deprovisionierung 29, 35, 52 Challenge-/Response-Frage 230 Task 276 Change and Transport System, erweiter- Destination Script 406 tes 600 Dienst, zentraler 146 Change-Log-Datenbank 46 Digitale Identität 32, 42, 46 Cluster-Verbund 550 Dispatcher 88, 255, 261, 357 Compliance 24, 26, 31, 38 Distinguished Name 179, 516 Compliant Identity Management 110, Dokumentenmanagementsystem (DMS) 164, 195, 532, 534, 540 199 Computer-Aided Design 200 Domäne 154 Computing Center Management System Dynamische Gruppe 284, 311 116 Conditional Task 295, 396, 397, 398, E 476 Corporate Directory 495 EAI 511 Corporate Identity 60, 592 EAR 520 Effizienz 31 624
  • 54. Index E-Government 23 F Einarbeitungszeit 33 Eingabevalidierung 319, 384 Fachbereich 56 Eingebaute Funktion 104, 367, 471 Fachkonzept 167 Eintrag, Historie 571, 572 Fehler Elternzeit 25, 34 Behandlung 363, 393 E-Mail 43, 190, 371 Quelle 363 Employee Self-Service 108, 196 Skript 359, 362 Enterprise Application Integration 511 vorübergehender 363, 365 Enterprise Archive 520 Feinkonzept 171 Enterprise Services Directory 76 Firmenbuchhaltung 25, 26 Enterprise Services Repository 76 Formatierung 170 Enterprise Single Sign-on 244 From-Pass 417, 418, 419 Entgelt-Rahmenabkommen 194 Frontend-Gestaltung 293 Entity-Relationship-Modell 314 Function-Set-Rolle 511 Entry Funktion anlegen 345 eingebaute 104, 367, 471 löschen 345 uError 364, 371 Entry Report Sample 578 uGetErrorInfo 366, 368 Entry Type 93, 298, 314, 325, 374 uProvision 471 Hierarchie 322 uSkip 364, 370 MX_APPLICATION 95 Funktionalrolle 50 MX_ASYNC_REQUEST 95 MX_COMPANY_ADDRESS 95, 471 G MX_DYNAMIC_GROUP 94, 284, 311 MX_GROUP 95, 472 Genehmigung 406, 408 MX_PENDING_VALUE 94, 300, 302, anstehende 570 312 Konzept 38 MX_PERSON 94, 263, 302 Prozess 57, 272, 302, 404, 406, 408 MX_PRIVILEGE 94, 275, 305 Sammelgenehmigung 52 MX_REPORT 95, 313, 586 Workflow 43, 60 MX_REPOSITORYNAME 465 Generic Task 469 MX_ROLE 94, 278, 308 Geschäftsmodell 57 ORG_UNIT 322 Geschäftsprozess 24, 66 Entscheidungsprozess 66 Geschäftsrolle 49, 51, 57, 96, 128, 278 Entwicklungssystem 546 Gesetzesanforderung 26 ERA 194 Global Event Task 468 Eskalationsroutine 52 Global Unique Identifier 210, 557 ESS 108, 196 Governance, Risk und Compliance (GRC) ESSO 244 24, 31, 281 EuroSOX 26 GRC Provisioning Framework 411, 537, Event 542 Agent 46, 255 Gruppe 27, 40 Scheduling 427 dynamische 284, 311 Task 412, 413 GUID 210, 557 Exchange Server 154 625
  • 55. Index H IC (Forts.) Passwortrücksetzung 388 Handlungsanweisung 26 Pflichtattribut 376 Hash 239 Provisionierungswarteschlange 461 Hochverfügbarkeit 550 Rechenintensität 548 Human Resources (HR) 44 Referenz 557 Hypertext Preprocessor 238 regulärer Ausdruck 238, 385 Releasewechsel 485 I Repository 100, 273 Rule-Based Provisioning 468 IC 82, 83, 600 Suchergebnis einschränken 374 Action Task 475, 478, 480 Template 105 Adapter 101, 141 Überwachung 85, 114 Änderung anzeigen 386 Verwalten 85, 374 Anzeigeelement 383 Wert vorgeben 384 Arbeitsvorrat 85 Wizard 435 Attribut darstellen 382 Zu erledigen 85, 373 Attribut platzieren 380 Zugriffssteuerung 387 Benutzeroberfläche 373 IC Console 83, 86, 206, 392 Bestandteile 249 Connection String 260 Best Practice 433 Konfiguration einrichten 260 Caching-Einstellung 377 Fehlersuche und Test 259, 261 Client Library 253 Installation 256, 552 Datei bereitstellen 383 Manager Privilege 263 dynamischer Filter 389 Runtime-Komponente einrichten 261 eindeutiger Schlüssel 251 Verbindung einrichten 260 Eingabefeld 383 Voraussetzungen 256 Eintrag ändern 378 Warnung 563 Eintrag erstellen 375 IC Runtime 88, 292, 356 Enable Trace 571 Installation 256 erweiterte Suche 377 Produktivumgebung 547 Fehlerbehandlung 564 Voraussetzungen 255 grafische Hierarchie 385 IC-Datenbank Gültigkeit von Zuweisungen 385 Benutzer und Datenbankrollen 254 Historie 85 Bereitstellung 251 Historische Werte anzeigen 386 Fehlersuche und Test 255 Import 559 Installation 253 JDBC-Treiber 253 Oracle-Client-Paket 253 Konfiguration 260 Sicht MXIV_ALL_SENTRIES 328 Layout 379 Sicht MXIV_SENTRIES 328, 333 LinkGroup 473 Sicht MXPV_AUDIT 331 Log auf Task-Ebene 568 Transport 555 Maske direkt aufrufen 378 Voraussetzungen 253 Mehrsprachigkeit 382 Identität 26, 53, 135, 302 Meldungstext 567 digitale 32, 35, 46, 53, 136, 204 Monitoring 85, 114 Identity Center siehe IC Objekt updaten 557 Identity Lifecycle 32, 493 Optionsfeld 383 Identity Store 87, 266, 346, 368 Passworteingabe 384 Audit-Flag 301, 360, 361, 398 626
  • 56. Index Identity Store (Forts.) Implementierung 55 Entry löschen 345 Incident Management 125 inaktiver Entry 401 Informationshoheit 45 löschen 556 Information Integration 68 MSKEY 268, 272, 299, 355 Init Task 295, 361, 406, 412 Sichtbarkeit von Entrys 300 Initial Load 172, 180, 215, 438, 440, Transport 557 442 Identity-Store-Schema 91, 92, 266, 267, Insellösung 27 326, 329, 374 Installation 165 Anzeigename 298 Integration 108 Anzeigetext 268 ALE-Replikation 507 Entry Type 267 BAdI-Implementierung 496, 508 Mehrsprachigkeit 268 Identity Lifecycle Management 493 Standardschema 271, 297, 317, 324 Middleware 111, 142 IdM UI 84, 262, 265, 601 SAP BusinessObjects Access Control 110 Fehlersuche und Test 258, 263 SAP BusinessObjects GRC 110 keys.ini 258 SAP Business Suite 108, 302, 493, 496, Voraussetzungen 257, 258 497, 507, 508, 510 Wertehilfe 451 SAP HCM 90, 108, 493, 494, 497 IdM-Projekt SAP NetWeaver PI 108, 497 Abhängigkeiten 136 SAP NetWeaver Portal 493, 495 agile Methode 138 User Interface 113 Altsystem ablösen 129 Verzeichnis 142 Anforderungsanalyse 132, 137, 144 Interessengruppe 126 Begriffsdefinition 128, 135 Intermediate Document 76, 176 Benutzerfreundlichkeit 125 Issue-Tracker 226, 228 Change Management 131 IT-Administration 25 dynamisches Umfeld 136 ITIL 55, 125 Ebenenmodell 141 IT Infrastructure Library siehe ITIL Erfolgsfaktoren 123 IT Practice 67 iteratives Vorgehen 137, 138, 139 IT-Service-Level 55 Kernprojekt 120 IT-Szenario 67 Kosten-Nutzen-Rechnung 123 iView 73 Phase 120, 126, 140 Programm 119, 128 J Proof of Concept 135 Roadmap 128, 140 Java Database Connectivity siehe JDBC Schnittstelle 141 Java Runtime Environment 255 Stakeholder 126, 130 JCo siehe SAP Java Connector Steuerungskomitee 133 JDBC 552 Team 144 Adapter 511 Umfang 140, 141 Konnektor 176 Verantwortung 119, 133 Treiber 253, 258 Voraussetzungen 134, 135 URL 258 Vorgehensmodell 131, 137, 160, 161, Job 292, 356, 394 172 Ausführung 347 Widerstand 122, 127, 129 Definition 24 Zieldefinition 127, 128 Fehler 358 IDoc 76, 176 Kette 296 627
  • 57. Index Job (Forts.) LDAP (Forts.) Logging 293, 331, 366, 562, 565 Server-Konfiguration 502 Provisionierung 335 Transaktion LDAP 502 Standardjob 287, 296, 348, 415 LDAP Data Interchange Format (LDIF) Status 565 102 Template 292, 416, 438, 560 Least Privilege 39 Update-Job 181 Level of Trust 45, 231 JRE 255 Lightweight Directory Access Protocol siehe LDAP K Line Manager Report Sample 578 Lizenz 25, 31, 36, 54, 61 Kennung, eindeutige 350 Log-Level 568, 574 Kerberos 107, 551 LOT 45, 231 Kick-off-Workshop 165 Lotus Notes/Domino 433 Klasse DSEEntry 353, 366 M FromSAPIdentify 444 Kompensierende Kontrolle 525, 530 Mailsystem 43 Komplexität 27, 66, 72 Management-Support 158 Komponente 562 Manager Self-Service 196 Konfiguration 260, 261, 500, 502, 519, Mandantenfähigkeit 266 540, 556 Master Data Management siehe SAP Konnektor 46, 47, 49, 176, 443, 511, NetWeaver Master Data Management 602 Mechatronic Corporate Directory (MCD) FromCustom 444 200 FromSAP/FromSAPIdentity 444 Mehrfach-Account 41 FromSPML 444 Mehrsprachigkeit 190, 235, 268, 382 ToLDAP 479 Member Event 408, 411, 412 ToSAP/ToSAPIdentity 474 Metaverzeichnis 81, 162, 324 ToSPML 478 Microsoft Konsolidierung 168 Active Directory 27, 88, 178, 179, 287, Konstante 292 391, 445, 479 globale 273 Exchange 154 lokale 274, 339 Ministamm 152 MX_RECONCILE 283 Mitarbeiter 43, 183 Repository 101, 273, 306, 338, 465, Mitigating Control 525, 530 470, 587 Mitigation 195 Verschlüsselung 274 Modifikation 565 Konzeptionierung 55 Monitoring 114, 562 Kosten 27, 30, 123 MSS 196 Mutterschutz 34 L N Lasttest 546 Laufzettel 30, 53 Neueinstellung 33 LDAP 142, 259, 267, 602 New Economy 25 Feld-Mapping 503 Non-Person 211 Konnektor 498, 501 NWA 71, 257 LDAP Listener 561 NWDI 603 628
  • 58. Index O Pass (Forts.) Typ 336 Objekt Verify-Pass 450 DSEEntry 351 Write-Pass 447 Klasse 92, 93 Zieldatensatz 348 On-Boarding-Prozess 171 Password Management 42, 59, 81, 106, Open Database Connectivity (ODBC) 397, 552 552 integrierte Windows-Authentifizierung Ordered Task Group 105, 294, 373, 392, 107 393, 397 Kerberos-Ticket 107 Organisation 27 Password Hook 107, 239 Einheit 171, 494, 512 Password Policy 106, 205 Hierarchie 175, 176 Password Recovery 106 Modell 59 Secure Network Communications 107 Organisationsmanagement 77, 152, 170, Self-Service 59, 106 494 Single Sign-on 106 Arbeitsplatzbeschreibung 512, 534 Synchronisation 30 Infotyp 497, 513 People Integration 67, 68 Modell 508 Personalabteilung 44 Personalbereich 497 Personalstammdaten 34, 124 Planstelle 50, 171, 494, 512 Personenobjekt 49 Stelle 497, 512 PHP 238 Organizational Unit (OU) 233 PKI 107 Owner Repository 100 Priorisierter Account 35, 36 Privilege 47 P Privilege Sample 578 Produktivität 28, 33 Pass 289, 335, 348 Produktivumgebung 547 aktivieren 416 Projektmanagement, agiles 136 changeType 342, 345 Projektvorgehen 131, 136, 160, 161, Destination 340, 418, 421 172 FromCustom-Pass 443, 451 Protokollierung 25, 26, 53, 330 FromLDAP-Pass 290, 444 Prototyping 166, 172 From-Pass 289, 417, 418, 419 Provisionierung 29, 47, 52, 53, 81, 103, Leerstring 344 105, 141, 142, 157, 335, 391, 416 NULLATTR 345 Prozess 287, 306, 335, 412, 462 Parameter 586 Task 335, 336 Platzhalter 338, 341 von Attributen 464 Präfix 420 von Berechtigungen 465 Quelldatensatz 348, 351 Warteschlange 332, 348 Read-Pass 443 Provisioning Audit 569, 570 Source 421, 423 Provisioning Framework siehe SAP Template 336, 346 Provisioning Framework ToCustom-Pass 337, 474 Provisioning Queue 569 ToGeneric-Pass 292, 353, 450 Prozess 287 ToIdentityStore-Pass 289, 337, 340, Antragsbegründung 272 345, 353, 424 Antragswesen 149, 155 ToLDAPDirectory-Pass 423 Attestation 287 To-Pass 289, 420, 423 Batch-Prozess 336 629
  • 59. Index Prozess (Forts.) Risikopotenzial 41 Effizienz 31 Roadmap 128, 140, 162 Genehmigungsprozess 57, 272, 302, ROI 31, 206, 606 404, 406, 408 Role Report 582 Instanz 288, 330 Role Sample 578 Integration 67 Role Tree 583 Personaladministration 34, 124 Rolle 277, 278, 308 Reconciliation 44, 287 Berechtigungsrolle 262 Standardisierung 144 Berechtigungsvererbung 281 Standardjob 287, 296, 348, 415 Definition 41, 134 Steuerung 81 Einschränkung 309 Pull 46 Geschäftsrolle 49, 51, 57, 96, 128, 278 Push 46 Hierarchie 281, 283 Kombination 38 Q Konzept 41 Modell 59 Qualitätssicherung 25, 61, 546 Role-based Access Control (RBAC) 277, Quellsystem 173 281 Quick Win 59, 140, 246 SAP-Rolle 27 technische 40, 47, 96, 275, 305 R Zuweisung 194, 282, 283, 308 Rolling-Wave-Verfahren 236 Read-Pass 443 Runtime Library 583 Rechte Akkumulation 28, 34, 127 S Deaktivierung 28 Trennung siehe Segregation of Duties Sabbatical 34 Reconciliation 44, 287 Salted Hash 201, 240 Regular Expression 238, 385 Sammelkonto 35 Regularien 25 SAP Business Suite 153, 478, 507, 508, Relation 271, 272, 316, 320 510 Containerbeziehung 271, 275, 304, Integration 108, 302, 493, 496, 497, 316, 322 507, 508, 510 Kardinalität 316, 320, 323 SAP BusinessObjects Remote Function Call 76, 502 Compliant User Provisioning (CUP) 525 Reporting 26, 54, 60, 82, 98, 116, 149, Enterprise Role Management (ERM) 157, 332, 577 526, 529 Report Sample 578, 584, 598 GRC 110, 524 Report Task 584 Risk Analysis & Remediation (RAR) 525, Sub-Report 578 529 SQL-Anfrage 333, 334 Standardregelsatz 532 Repository 305, 339, 362, 417 Superuser Privilege Management (SPM) Konstante 101, 273, 306, 338, 465, 526 470, 587 SAP BusinessObjects Access Control 90, Return on Investment siehe ROI 110, 411, 525, 604 Revision 31 Live-Risikoanalyse 544 Rezertifizierung 143, 144 Mitigating Control 525, 530 RFC 76 Webservice-API 539 Destination 502 630
  • 60. Index SAP BusinessObjects Crystal Reports SAP NetWeaver Identity Management Crystal Reports 2008 591, 592, 593, (Forts.) 598 Installationshilfe 252 Entry Report 578 MaxWare 80 Line Manager Report 578, 580 Mindestanforderungen 250 PDF 585 Releasewechsel 437 Privilege Report 581 Risikoanalyse 539 Registerkarte »Report« anzeigen 589 SAP NetWeaver Master Data Manage- Report Sample 578, 584, 598 ment (MDM) 68, 146, 434, 511 Role Report 582 SAP NetWeaver Portal 50, 65, 72, 73, Role Tree 583 153, 179 Runtime Library 583 Integration 493, 495 Server 598 SAP NetWeaver Process Integration (PI) Sub-Report 578 67, 74, 108, 153, 497, 511, 512, 513, SAP Customer Relationship Management 603 (CRM) 32, 602 SAP NetWeaver Rapid Installer 251 SAP Enterprise Resource Planning (ERP) SAP Provisioning Framework 105, 177, 150 274, 277, 305, 324, 393, 394, 416, SAP Human Capital Management (HCM) 421, 433 108, 147, 152, 493, 494, 497, 603 Adressattribut 472 Extraktionsreport 506 Anpassung 484 HCM Staging Identity Store 499, 500 Attribut »Account« 457 HR LDAP-Interface 497 Clean IS MS-SQL with Delta 461 ID-Generierung 504 Clean Staging Area 461 Initialpasswort 505 Datentyp 447 Integration 497 Delta-Handling 453 Master Identity Store 499 Erweiterung 485 Rückverteilung 499 Event Task »Modify« 464 Zuordnungstabelle 498 Event Task »ModifyUser« 464, 470 SAP Java Connector (SAP JCo) 68, 70, Exchange Server 481 256 Externer Mitarbeiter 484 SAP NetWeaver Administrator 71, 257 Firmenadresse 471, 472 SAP NetWeaver Application Server Java Importprozess 437 siehe AS Java Komponenten 434 SAP NetWeaver Application Server ABAP LDAP-basiertes Directory 479 475, 526 MX_COMPANY_ADDRESS 471 SAP NetWeaver Business Warehouse MX_REPOSITORYNAME 465 (BW) 153 Projektphase 436 SAP NetWeaver Composition Environ- Provision Job Template 440 ment (CE) 604 Reset Delta Job 461 SAP NetWeaver Developer Workplace Scheduling 453 251 Service Job Template 440, 460 SAP NetWeaver Development Infrastruc- Template 435 ture 603 Update Job Template 440, 441 SAP NetWeaver Identity Management 79 Update Template 452 Architektur 82, 90 Zwischentabelle 446 Datenbankplattform 252 SAP Query 497, 498, 503 Download der Pakete 253 SAP Solution Manager 152, 603 Funktionstrennung 530 SAP Standalone Log Viewer 573 631
  • 61. Index SAP Supplier Relationship Management Sicherheit (Forts.) (SRM) 32 Risiko 27 SAP Virtual Directory Server (VDS) 82, SID 169 89, 176, 500, 514, 548, 600, 604 Simple and Protected GSSAPI Negotiation Classpath 259 Mechanism 551 Console 576 Simple Network Management Protocol Datenquelle 561 siehe SNMP Fehlersuche und Test 259 Single Sign-on siehe SSO GRC-Template 541 Sizing 545 Identity Service 90, 111, 491, 514, 515, Skript 292, 338, 367, 423, 487 516, 517 Destination Script 353, 355 Installation 258 Entry Script 347, 348, 351, 353, 354 Keystore 552 Fehlerskript 365, 367 Konfiguration 519 globales 292, 349 Konnektor 515 Init Script 347 Monitoring 259 JavaScript 292, 349, 356 MX_ASYNC_REQUEST 518 Parameterübergabe 350 Operation Log 574 Termination Script 347, 348 Passwortschutz 552 Visual Basic Script (VBScript) 292, 356, Persistenzschicht 515 481 Produktivumgebung 547 Skriptfunktion 348 Standardprotokoll 514 uApplyPending() 410 Statistik 575 uGetApprovers 406 Synchrone Kommunikation 515 uProvision() 415 Test Mode 576 uSendSMTPMessage 406 Transport 560 SLD 71 Überwachungsmöglichkeit 573 SNC 107, 551 Voraussetzungen 258 SNMP 115, 565, 566, 576 Web Services Client 521 SOA 76 Sarbanes-Oxley Act 26, 38 Software Deployment Manager siehe Scheduling Rule 425, 426 SDM Schlüsselattribut 93 Solution Support 62 Scope Creep 140 Solvency II 38 SDM 68, 257, 520, 554 SOX 26, 38 Secure Network Communications 107, SPML 142, 259, 514, 561, 604 551 SPNEGO 551 Security Identifier 169 Sponsor 121 Segregation of Duties (SoD) 38, 110, SQL 164, 195, 278, 280, 525 Anfrage 333, 334 Selbstadministration 59 Filter 388 Self-Service 85, 106, 127, 182, 190, 378, Prozedur 398 483, 579, 585 SQL-Anweisung Servertechnologie 68 %MSKEY% 399 Service Pack 553 für Delta-Mechanismus 431 Serviceorientierte Architektur (SOA) 76 Hilfsdialog 401 Service Provisioning Markup Language in Conditional Tasks 398 siehe SPML in Switch Tasks 400 Sicherheit 25, 26, 134 in To-Passes 423, 424 Lücke 34 Spaltenname 421 632
  • 62. Index SSL 551 Task 293, 360, 392, 412 SSO 68, 73, 106, 114, 150, 157 Action Task 293, 336, 359, 391, 475, Staging 478, 480 Area 461 Admin-Task 181, 485, 486 Konzept 499 Approval Task 288, 295, 301, 373, Stakeholder 121, 130, 140 396, 401, 402, 404, 407, 410 Analyse 126 Ausführungsergebnis 367 Anwendungsbetreuung 123 Case-Zweig 396, 399, 400 Betriebsrat 124 Conditional Task 295, 396, 397, 398, Datenschutz 124 476 Fachabteilung 120, 123 Else-Zweig 399 IT-Architektur 143 Ergebnis 571 IT-Sicherheit 125 Fehlerbehandlung 295, 361, 367 Key User 123 Generic Task 467, 469 Personalabteilung 124 Global Event Task 464, 467, 468 Priorisierung 122, 126 Historie 571 Senior Management 122 Init Task 295, 361, 406, 412 User Helpdesk 125 löschen 395 Stammdaten 149, 155, 176 Lost and Found 396 Standalone Log 573 Ordered Task Group 105, 294, 373, Standardjob 287, 296, 348, 415 392, 393, 397 Event Scheduling 427 Provisionierungstask 104, 276, 278, Exportprozess 423 335, 336, 412 Importprozess 416 Report Task 584 Repository 417 Switch Task 105, 295, 476 zeitabhängiger Prozess 424 Struktur 463, 466 Stellvertreter 42, 52 System Type Specific Task 467, 473 Stored Procedure 102, 398 Task Group 294, 373, 392, 393 Sub-Report 578 Task-ID 392, 406 Switch Task 105, 295, 396, 398, 399, Task-Ordner 396 476 Timeout 402 Sync Utility 463, 556 Unordered Task Group 105, 294, 373, Synchronisation 28, 30, 44 392, 394 System Landscape Directory 71 Verlinkung 395 System Log 566, 568 Verzögerung 360 System Vorübergehender Fehler 363, 365 Berechtigung 33, 53 Web-Enabled Task 467, 482, 486 Heterogenität 66 Wiederholung 295, 365 Management 25 Wiederverwendung 294 Performance 37 Tätigkeitsprofil 36 Protokoll 566, 568 Technische Rolle 40, 47, 275, 305 Wiederherstellung 550 Technischer Adapter 102, 103 Testsystem 546 T Tier-1-Lieferant 197 Timeboxing 126, 139 Tabelle To-Pass 289, 420, 423 logentries 430 Top down 57, 58, 127 MXI_VALUES 327 Trace Log 566, 568 temporäre 418 Transparenz 27 633
  • 63. Index Transportsystem 166 Vier-Augen-Prinzip 38 Transportwesen 554 Virtual Directory Server siehe SAP VDS Triple DES 270 Visual Administrator 72, 257 Visual Basic Script (VBScript) 292, 356, U 481 UDDI 76 W UI 66, 68, 83, 189, 392, 403, 412 UME 70, 142, 150, 179 WAM 204 UML 314 Warenwirtschaftssystem 66 Umorganisation 33 Wartung 61 Umzug, initialer 555 Web Access Management 204 Universal Description, Discovery and Web-Enabled Task 467, 482, 486 Integration 76 Web Service Definition Language 76 Universal Worklist 85 Webservice-Adapter 511 Unordered Task Group 105, 294, 373, Webservice-API 539 392, 394 Wertbetrachtung 195 Unternehmensportal 146 Whitelist-Szenario 52 Unternehmensrichtlinien 42 Widerstand 122 Upgrade 553 Wiederaufnahmebericht 231 Usability 60, 160 Wirtschaftsprüfung 25 Use Case 314 Workflow 43, 186, 190, 191 User Interface siehe UI Prozess 51 User Management Engine siehe UME Steuerung 97 User Store 547 Write-Pass 447 UWL 85 WSDL 76 V Z Variable 274, 292, 339, 350, 372 ZBV 59, 66, 74, 79, 80, 146, 150, 152, VDS siehe SAP VDS 177, 204, 243, 458 Verbindungssicherheit 551 Master 74, 79, 152 Verify-Pass 450 Ablösung 59 Verknüpfung 171 Zeitplan 296, 357, 425, 426, 427 Versionskontrolle 560, 561 Zentrale Benutzerverwaltung siehe Verteilungsparameter 458 ZBV Verwaltungskonzept 28 Zentraler Dienst 146 Zielsystem 275 Zugriff 26 Anforderung 24 Berechtigung 24, 41 Regel 389 Zuverlässigkeit 26 634