Sappres Netweaver Identity Management

Peter Gergen, Loren Heilig, Andreas Müller

SAP NetWeaver Identity Management
®

Bonn Boston

Auf einen Blick

1 Einleitung ............................................................................ 17

2 Identity Management in Unternehmen .............................. 23

3 SAP NetWeaver Identity Management
im Kontext von SAP NetWeaver ........................................ 65

4 SAP NetWeaver Identity Management im Überblick ........ 79

5 Tipps und Tricks im Identity-Management-Projekt ........... 119

6 Identity Management bei der Industrie GmbH .................. 145

7 Identity Management bei Mechatronic .............................. 197

8 Installation und Setup ........................................................ 249

9 Grundlegende Konzepte von SAP NetWeaver Identity
Management ....................................................................... 265

10 Datenmodellierung ............................................................. 297

11 Modellierung von Provisionierungstasks ........................... 335

12 Frontend-Gestaltung des SAP NetWeaver IdM
User Interfaces .................................................................... 373

13 Prozessmodellierung ........................................................... 391

14 SAP Provisioning Framework ............................................. 433

15 Weiterführende Integrationsthemen ................................. 491

16 Betrieb von SAP NetWeaver IdM ....................................... 545

17 Reporting ............................................................................ 577

18 Zusammenfassung und Ausblick ........................................ 599

A Weiterführende Literatur ................................................... 609

B Die Autoren ......................................................................... 619

Inhalt

1 Einleitung ............................................................................. 17
1.1 Überblick und Einordnung ....................................................... 18
1.2 Projektvorgehensmethoden und Fallbeispiele .......................... 20
1.3 Technische Details und Referenzen .......................................... 20

2 Identity Management in Unternehmen ............................... 23
2.1 Motivationen für die Einführung von Identity Management ..... 25
2.1.1 Gesetzeskonformität und Wirtschaftsprüfung .............. 25
2.1.2 Sicherheitsrisiken reduzieren ....................................... 27
2.1.3 Kostenreduktion durch Automatisierung und
Prozessoptimierung ..................................................... 30
2.2 Lifecycle einer Identität im Unternehmen ................................ 32
2.3 Sammelkonten und priorisierte Accounts ................................. 35
2.4 Vergabe von Systemberechtigungen ........................................ 37
2.5 Identity-Management-Lösungen .............................................. 41
2.5.1 Anforderungen an das Identity Management .............. 42
2.5.2 Leistungen einer Identity-Management-Lösung .......... 44
2.5.3 Abgrenzung des Identity Managements vom
Systemmanagement .................................................... 55
2.5.4 Organisatorische Integration von Identity
Management .............................................................. 55
2.6 Aspekte der Projektierung ....................................................... 56
2.6.1 Modelle der Herangehensweise .................................. 57
2.6.2 Fragestellungen in Bezug auf die Zielarchitektur .......... 59
2.6.3 Betriebskonzept .......................................................... 60
2.7 Zusammenfassung ................................................................... 64

3 SAP NetWeaver Identity Management im Kontext von
SAP NetWeaver .................................................................... 65
3.1 Von der SAP-Basis zu SAP NetWeaver ..................................... 66
3.2 Verwaltung von Identitäten in SAP NetWeaver ........................ 69
3.3 SAP NetWeaver Application Server Java .................................. 69
3.4 User Management Engine ........................................................ 70
3.5 SAP NetWeaver Administrator ................................................. 71
3.6 SAP NetWeaver Portal ............................................................. 72
3.7 Zentrale Benutzerverwaltung ................................................... 74

7

Inhalt

3.8 SAP NetWeaver Process Integration ........................................ 74
3.8.1 System Landscape Directory ........................................ 75
3.8.2 Enterprise Services Repository ..................................... 76
3.8.3 Enterprise Services Directory ....................................... 76
3.9 SAP Human Capital Management ............................................ 76
3.9.1 Personalmanagement .................................................. 77
3.9.2 Organisationsmanagement .......................................... 77

4 SAP NetWeaver Identity Management im Überblick .......... 79
4.1 Historie ................................................................................... 79
4.2 Architektur .............................................................................. 82
4.2.1 Identity Center ............................................................ 83
4.2.2 SAP Virtual Directory Server ........................................ 89
4.2.3 Gesamtarchitektur – Identity Center und SAP VDS ...... 90
4.3 Daten- und Rollenmodell ........................................................ 91
4.3.1 Daten- und Rollenmodell im Identity Store ................. 93
4.3.2 Datenmodellierung und Workflows ............................. 97
4.3.3 Datenmodellierung und Reporting .............................. 98
4.4 Datensynchronisation und Provisioning ................................... 98
4.4.1 Prinzipien der Datensynchronisation ........................... 99
4.4.2 Quell- und Zielsysteme ............................................... 100
4.4.3 Technische Adapter .................................................... 101
4.4.4 Provisionierungslogik und Workflows .......................... 103
4.4.5 Provisionierungscontent .............................................. 105
4.4.6 Password Management ............................................... 106
4.5 Weitere Integrationsthemen .................................................... 107
4.5.1 Business-Suite-Integration ........................................... 108
4.5.2 Integration mit SAP BusinessObjects Access
Control ....................................................................... 110
4.5.3 Middleware zum Austausch von Daten ....................... 111
4.5.4 UI-Integration ............................................................. 113
4.6 Monitoring .............................................................................. 114
4.7 Reporting ................................................................................ 116

5 Tipps und Tricks im Identity-Management-Projekt ............ 119
5.1 Organisatorische Fallstricke ..................................................... 121
5.1.1 Vielzahl von Beteiligten und Betroffenen ..................... 121
5.1.2 Zielkonflikte ................................................................ 127
5.1.3 Persönliche Widerstände ............................................. 129
5.1.4 Organisatorisch begründete Widerstände .................... 131
5.1.5 Mangelnde organisatorische Reife ............................... 134

8

Inhalt

5.2 Komplexitätsrisiken ................................................................. 135
5.2.1 Ungeklärte Begriffe ..................................................... 135
5.2.2 Dynamisches Umfeld ................................................... 136
5.2.3 Unklare Abgrenzung des Projektumfangs .................... 140
5.2.4 Viele Schnittstellen ..................................................... 141
5.2.5 Komplexe Prozesse ..................................................... 143

6 Identity Management bei der Industrie GmbH ................... 145
6.1 Ausgangssituation .................................................................... 146
6.2 Systemlandschaft ..................................................................... 150
6.2.1 SAP-Umgebung .......................................................... 151
6.2.2 Windows-Umgebung .................................................. 154
6.3 Anforderungen ........................................................................ 155
6.3.1 Stammdaten ............................................................... 155
6.3.2 Prozesse und Antragswesen ........................................ 155
6.3.3 Berechtigungsverwaltung ............................................ 156
6.3.4 Reporting .................................................................... 157
6.3.5 Provisionierung ........................................................... 157
6.3.6 Authentisierung/Single Sign-on ................................... 157
6.4 Herausforderungen .................................................................. 158
6.5 Integriertes Projektvorgehen .................................................... 160
6.5.1 Roadmap und Phasenansatz ........................................ 161
6.5.2 Kick-off-Workshop ...................................................... 165
6.5.3 Installation einer zweistufigen Systemlandschaft ......... 165
6.5.4 Detaillierung des Fachkonzepts ................................... 167
6.5.5 Vorbetrachtung des Zielprozesses zur Anlage neuer
Identitäten .................................................................. 167
6.5.6 Vorbereitende Maßnahmen zur
Datenkonsolidierung ................................................... 168
6.5.7 Geplante Nutzung des Organisationsmanagements in
SAP HCM .................................................................... 170
6.5.8 Erstellung der Feinkonzeption ..................................... 171
6.6 Umsetzung der Identity-Management-Lösung ......................... 172
6.6.1 Phase 1: Aufbau einer konsistenten Datenbasis ........... 172
6.6.2 Phase 2: Self-Services und Genehmigungsprozesse ...... 182
6.7 Zusammenfassung und Ausblick .............................................. 191
6.7.1 Phase 3: Vollständige Integration der
Berechtigungsverwaltung ............................................ 192
6.7.2 Phase 4: Integration von SAP BusinessObjects
Access Control ............................................................ 194
6.8 Wertbetrachtung der Einführung von SAP NetWeaver IdM ...... 195

9

Inhalt

7 Identity Management bei Mechatronic ............................... 197
7.1 Entwicklung der IT bei Mechatronic ........................................ 199
7.2 Projektinitiierung ..................................................................... 204
7.3 Projektvorbereitungen ............................................................. 207
7.4 Erste Schritte – Meilenstein 1.0 ............................................... 211
7.4.1 Konzeptionsphase ....................................................... 211
7.4.2 Implementierungsphase .............................................. 213
7.4.3 Stabilisierungsphase .................................................... 218
7.5 Weitere Integrationen – Meilenstein 2.0 .................................. 219
7.5.1 Anforderungen der Fachbereiche nach Meilenstein 1.0 220
7.5.2 Implementierung von Meilenstein 2.0 ......................... 222
7.6 Zwischenphase – Meilenstein 2.1 ............................................ 227
7.6.1 Erfassung der Folgeanforderungen .............................. 228
7.6.3 Stabilisierung .............................................................. 234
7.7 Zwischenphase – Meilenstein 2.2 ............................................ 236
7.8 Projektende mit Meilenstein 3 ................................................. 244
7.9 Lessons Learned ...................................................................... 246

8 Installation und Setup ......................................................... 249
8.1 Vorbereitungen ....................................................................... 249
8.1.1 Planung der Systemumgebung .................................... 249
8.1.2 Bereitstellung des AS Java ........................................... 251
8.1.3 Bereitstellung der IC-Datenbank ................................. 251
8.2 Installation .............................................................................. 252
8.2.1 Installation der IC-Datenbank ..................................... 253
8.2.2 Installation der IC Runtime ......................................... 255
8.2.3 Installation der IC Console .......................................... 256
8.2.4 Installation des SAP NetWeaver Identity
Management User Interfaces ....................................... 257
8.2.5 Installation des SAP Virtual Directory Servers .............. 258
8.3 Einrichtung und Bereitstellung ................................................. 260
8.3.1 Einrichtung der Identity-Center-Konfiguration ............ 260
8.3.2 Einrichtung von Dispatcher und Event Agent
Service ........................................................................ 261
8.3.3 Bereitstellung des SAP NetWeaver Identity
Management UIs in SAP NetWeaver Portal ................. 262

10

Inhalt

9 Grundlegende Konzepte von SAP NetWeaver Identity
Management ........................................................................ 265
9.1 Datenhaltung .......................................................................... 265
9.1.1 Datenmodell des Identity Centers ............................... 266
9.1.2 Globale Konfiguration: Repositorys, Konstanten und
Variablen .................................................................... 273
9.2 Rollen und Berechtigungen ...................................................... 275
9.2.1 Berechtigungen im Identity Center .............................. 275
9.2.2 Rollen ......................................................................... 277
9.2.3 Aufbau von Rollenhierarchien ..................................... 281
9.2.4 Änderung von Rollen oder Rollenhierarchien .............. 283
9.3 Regelbasierte Rollenzuweisung ................................................ 283
9.4 Tasks und Prozesse .................................................................. 286
9.4.1 Passes ......................................................................... 289
9.4.2 Scripting ..................................................................... 292
9.4.3 Jobs ............................................................................ 292
9.4.4 Tasks ........................................................................... 293
9.4.5 Scheduling von Standardjobs ...................................... 296

10 Datenmodellierung ............................................................... 297
10.1 Standard-Schema ..................................................................... 297
10.1.1 Allgemein verwendete Attribute ................................. 298
10.1.2 Entry Type »MX_PERSON« .......................................... 302
10.1.3 Entry Type »MX_PRIVILEGE« ...................................... 305
10.1.4 Entry Type »MX_ROLE« .............................................. 308
10.1.5 Entry Type »MX_DYNAMIC_GROUP« ......................... 311
10.1.6 Entry Type »MX_PENDING_VALUE« ........................... 312
10.1.7 Entry Type »MX_REPORT« .......................................... 313
10.2 Erweiterung des Datenmodells ................................................ 313
10.2.1 Datenmodellierung für SAP NetWeaver IdM ............... 314
10.2.2 Definition neuer Attribute ........................................... 317
10.2.3 Definition neuer Entry Types ....................................... 322
10.2.4 Attributdefinitionen anpassen ..................................... 324
10.2.5 Tipps zur Datenmodellierung ...................................... 325
10.3 Tabellen in der IC-Datenbank .................................................. 326
10.3.1 Repräsentation von Nutzdaten und
Systemkonfiguration ................................................... 327
10.3.2 Tabellen für Laufzeitinformationen .............................. 330
10.3.3 Besonderheiten für das Reporting ............................... 332

11

Inhalt

11 Modellierung von Provisionierungstasks ............................ 335
11.1 Pass-Konfiguration ................................................................... 335
11.1.1 Vorlagen und Platzhalter ............................................. 338
11.1.2 Repositorys, Variablen und Konstanten ....................... 339
11.1.3 Source konfigurieren ................................................... 340
11.1.4 Destination konfigurieren ............................................ 340
11.1.5 ToIdentityStore-Pass ................................................... 345
11.1.6 Ablauf einer Jobausführung ......................................... 347
11.1.7 Einsatz von Skripten .................................................... 348
11.1.8 ToGeneric-Pass ........................................................... 353
11.2 Jobkonfiguration ...................................................................... 356
11.2.1 Einstellungen .............................................................. 356
11.2.2 Ergebnisbehandlung .................................................... 358
11.3 Task-Konfiguration .................................................................. 359
11.3.1 Ablaufsteuerung .......................................................... 360
11.3.2 Ergebnisbehandlung .................................................... 361
11.3.3 Repository .................................................................. 362
11.4 Fehlerbehandlung und Ausfallsicherheit ................................... 363
11.4.1 Wiederholungen von Tasks ......................................... 365
11.4.2 Fehlerskripte ............................................................... 365
11.4.3 Tasks bei Fehlern aufrufen ........................................... 367
11.5 Ausgewählte eingebaute Funktionen für Skripte ...................... 367
11.5.1 Informationen über die Laufzeitumgebung
ermitteln ..................................................................... 368
11.5.2 Zugriff auf Entrys im Identity Store .............................. 368
11.5.3 Steuerung der Jobausführung ...................................... 370
11.5.4 Hilfsfunktionen ........................................................... 370
11.5.5 Zugriff auf Konstanten und Variablen .......................... 372

12 Frontend-Gestaltung des SAP NetWeaver IdM
User Interfaces ..................................................................... 373
12.1 Konfiguration im Frontend ...................................................... 373
12.1.1 Generelle Konfiguration von Task Groups .................... 374
12.1.2 Direkter Aufruf von Task Groups und Approval
Tasks ........................................................................... 378
12.2 Anordnung von Attributen und Elementen .............................. 379
12.3 Darstellung von Werten ........................................................... 382
12.4 Zugriffssteuerung ..................................................................... 387
12.4.1 Zugreifende Identität festlegen .................................... 387
12.4.2 Zugriff auf Identitäten festlegen .................................. 389

12

Inhalt

13 Prozessmodellierung ............................................................ 391
13.1 Modellierung von Provisionierungsprozessen ........................... 391
13.1.1 Gruppieren von Provisionierungstasks ......................... 392
13.1.2 Verzweigungen ........................................................... 396
13.1.3 Genehmigungsschritte in Prozesse einfügen ................ 401
13.1.4 Member Events ........................................................... 407
13.1.5 Starten von (Sub-)Prozessen ........................................ 412
13.2 Modellierung von Batch-Prozessen .......................................... 415
13.2.1 Importprozesse ........................................................... 416
13.2.2 Exportprozesse ............................................................ 423
13.2.3 Zeitabhängige Prozesse ............................................... 424
13.2.4 Scheduling .................................................................. 425
13.2.5 Delta-Mechanismus .................................................... 428

14 SAP Provisioning Framework ............................................... 433
14.1 Überblick über das SAP Provisioning Framework ..................... 434
14.1.1 Bestandteile des SAP Provisioning Frameworks ........... 434
14.1.2 SAP Provisioning Framework in den Projektphasen ..... 436
14.2 Importprozesse ........................................................................ 437
14.2.1 Importprozesse erstellen ............................................. 437
14.2.2 Übersicht der Templates für Importjobs ...................... 440
14.2.3 Aufbau und Funktionsweise von Initial Load
Templates ................................................................... 442
14.2.4 Aufbau und Funktionsweise von Update Templates .... 452
14.2.5 Datenkonsolidierung mit Importprozessen .................. 455
14.2.6 Weitere Standardjob-Templates .................................. 460
14.3 Provisionierungsprozesse ......................................................... 462
14.3.1 Konfiguration der Provsionierungsprozesse ................. 462
14.3.2 Ablauf von Provisionierungsprozessen ......................... 463
14.3.3 Task-Struktur des SAP Provisioning Frameworks .......... 466
14.3.4 Rule-Based Provisioning mit dem SAP Provisioning
Framework .................................................................. 468
14.3.5 Provisionierung in die Zielsysteme ............................... 473
14.3.6 Vordefinierte Frontend-Masken .................................. 482
14.3.7 Erweitern der Provisionierungsprozesse ....................... 484

15 Weiterführende Integrationsthemen ................................... 491
15.1 Typische Anwendungsfälle für die Anbindung von Systemen ... 492
15.1.1 SAP HCM-Integration ................................................. 494

13

Inhalt

15.1.2 SAP NetWeaver Portal-Umgebung .............................. 495
15.1.3 Erweiterte SAP Business Suite-Integration ................... 496
15.2 Stammdatenverteilung und Synchronisation ............................ 497
15.2.1 SAP HCM-Standardintegration .................................... 497
15.2.2 Erweiterte SAP Business Suite-Integration ................... 507
15.2.3 Nutzung von SAP NetWeaver Process Integration ....... 511
15.3 SAP Virtual Directory Server und Identity Services ................... 514
15.3.1 Standardprotokolle und Identity Services .................... 514
15.3.2 Konfiguration und Deployment ................................... 516
15.3.3 Identity Services – Beispiele ........................................ 521
15.4 SAP BusinessObjects GRC-Integration ...................................... 524
15.4.1 Überblick über die GRC-Produkte der SAP .................. 524
15.4.2 Compliance-Phasen des
Berechtigungsmanagements ........................................ 528
15.4.3 Compliant Identity Management ................................. 532
15.4.4 Kommunikation zwischen den Komponenten ............. 536
15.4.5 Compliant Identity Management – Konfiguration der
Komponenten ............................................................. 540

16 Betrieb von SAP NetWeaver IdM ........................................ 545
16.1 Infrastruktur ............................................................................ 545
16.1.1 Sizing und Hochverfügbarkeit ...................................... 545
16.1.2 Sicherheit .................................................................... 551
16.1.3 Upgrades .................................................................... 553
16.2 Transportwesen ....................................................................... 554
16.2.1 Transport der IC-Datenbank ........................................ 554
16.2.2 Transport der Identity-Center-Konfiguration ............... 556
16.2.3 Transport der SAP Virtual Directory Server-
Konfiguration .............................................................. 560
16.3 Monitoring .............................................................................. 562
16.3.1 Jobprotokoll ................................................................ 562
16.3.2 Systemprotokoll und Trace-Protokoll .......................... 566
16.3.3 Genehmigungswarteschlange, Provisionierungs-
warteschlange und Provisionierungsaudit .................... 568
16.3.4 Historie von Einträgen ................................................. 571
16.3.5 Monitoring des SAP Virtual Directory Servers .............. 573

17 Reporting .............................................................................. 577
17.1 Report Samples ....................................................................... 578
17.1.1 Entry Report ............................................................... 578

14

Inhalt

17.1.2 Line Manager Report .................................................. 580
17.1.3 Privilege Report .......................................................... 581
17.1.4 Role Report ................................................................ 582
17.2 Setup der Reporting-Funktionalität .......................................... 583
17.2.1 Installation und Konfiguration der Runtime Library ..... 583
17.2.2 Erstellen eines Report Tasks im Identity Center ........... 584
17.2.3 Anfordern von Reports im IdM UI ............................... 588
17.2.4 Anzeigen von Reports ................................................. 589
17.3 Eigene Reports erstellen .......................................................... 591
17.3.1 Corporate Identity Report ........................................... 592
17.3.2 Conditional Format Report .......................................... 594
17.3.3 Data Transformation Report ........................................ 596
17.3.4 Query Report .............................................................. 598

18 Zusammenfassung und Ausblick .......................................... 599
18.1 Aktueller Stand ........................................................................ 599
18.1.1 Identity Center ............................................................ 600
18.1.2 SAP Virtual Directory Server ........................................ 600
18.1.3 SAP NetWeaver IdM User Interface ............................ 601
18.1.4 SAP NetWeaver IdM und SAP BusinessObjects
Access Control ............................................................ 601
18.1.5 SAP NetWeaver IdM und SAP BusinessObjects
Crystal Reports ............................................................ 602
18.1.6 Verfügbare Konnektoren im Identity Center ................ 602
18.1.7 SAP NetWeaver IdM und SAP HCM ............................ 603
18.2 Ausblick und »Wunschliste« für zukünftige
Produktversionen .................................................................... 603
18.2.1 Integration in den SAP Solution Manager .................... 603
18.2.2 Verschmelzung mit SAP BusinessObjects Access
Control ....................................................................... 604
18.2.3 SAP NetWeaver Composition Environment und
Business Process Management .................................... 604
18.2.4 Vorgefertigtes, sofort einsatzbereites Berichtswesen .... 605
18.3 Organisatorische Herausforderungen ....................................... 605
18.3.1 Schaffung der organisatorischen Akzeptanz von
SAP NetWeaver IdM ................................................... 605
18.3.2 Etablierung eines durchgängigen und aktuellen
Fachrollenmodells ....................................................... 606
18.4 Schluss .................................................................................... 606

15

Inhalt

Anhang ................................................................................. 607
A Weiterführende Literatur .................................................................... 609
A.1 Bücher und Artikel ................................................................... 609
A.2 Onlinequellen nach Kapiteln .................................................... 610
B Die Autoren ....................................................................................... 619

Index ......................................................................................................... 623

16

SAP NetWeaver IdM ist zentraler Bestandteil der SAP NetWeaver-
Plattform. Es wird zur Verwaltung von Identitäten und deren Berech-
tigungen in SAP- sowie Nicht-SAP-Systemlandschaften verwendet. Die-
ses Kapitel gibt einen Überblick über die zugrundeliegende Architektur
von SAP NetWeaver IdM sowie die damit verbundenen Konzepte und
Funktionalitäten.

4 SAP NetWeaver Identity Management
im Überblick

Dieses Kapitel vermittelt einen Überblick über die Funktionen, Komponenten und
Besonderheiten von SAP NetWeaver Identity Management (SAP NetWeaver IdM)
und ist damit in erster Linie an Architekten und Projektleiter gerichtet. Es eignet
sich aber auch grundsätzlich zum Einstieg, um einen ersten Überblick über die Ein-
satzmöglichkeiten dieser Komponente zu bekommen. Um die Hintergründe für
die Integration einer Identity-Management-Lösung in das SAP NetWeaver-Portfo-
lio näher zu beleuchten, gehen wir zunächst kurz auf die Historie der Benutzer-
verwaltung in SAP-Umgebungen ein. Anschließend werden die Systemkompo-
nenten im Rahmen der SAP NetWeaver IdM-Architektur beschrieben und
grundlegende Konzepte der Datenmodellierung in Verbindung mit dem Standard-
datenmodell betrachtet, um dann wiederum im Rahmen der Datensynchronisa-
tion und Provisionierung auf die Verfügbarkeit und Funktionsweise mitgelieferter
Adapter einzugehen. Alle in diesem Kapitel aufgegriffenen Aspekte werden im
technischen Teil des Buches, beginnend mit der Installation in Kapitel 8, detail-
lierter beschrieben.

4.1 Historie
Mit der Zentralen Benutzerverwaltung (ZBV) steht in SAP-Landschaften bereits seit
dem R/3-Release 4.5B bzw. 4.6C ein Werkzeug zur Verfügung, mit dem eine zen-
trale Verwaltung von Benutzer- und damit verbundenen Berechtigungsinformati-
onen in einer SAP-ABAP-Landschaft möglich ist. Die ZBV nutzt dabei die zur Daten-
verteilung mithilfe von IDocs vorhandenen ALE-Mechanismen. Mithilfe von ALE
können Benutzerdaten sowie deren zugewiesene Berechtigungsrollen in dafür

79

4 SAP NetWeaver Identity Management im Überblick

definierten Nachrichtentypen an die angebundenen ZBV-Tochtersysteme übertra-
gen und – je nach den Customizing-Einstellungen – kann ein Rückfluss von lokal
gepflegten Attributen aus den Tochtersystemen ermöglicht werden.

Die Nutzung der ALE-Technologie hat neben einigen Vorteilen allerdings auch
einen zentralen Nachteil: Der Mechanismus ist grundsätzlich Systemen vorbehal-
ten, die in der Lage sind, über entsprechende ALE-Verteilungsmodelle Daten aus-
zutauschen. Somit ist eine Nutzung der ZBV zur Verwaltung von Benutzer- und
Berechtigungsinformationen in ihrem vollen Funktionsumfang auf den AS ABAP
beschränkt, sofern nicht weitere R/3-Basisfunktionalitäten wie beispielsweise der
LDAP-Adapter genutzt werden. In Abhängigkeit von der Konfiguration eines AS
Java-Systems können auch dessen Berechtigungen durch die ZBV verwaltet wer-
den. Allerdings sind hierfür manuelle Zusatzarbeiten notwendig, um die Berech-
tigungsobjekte des Java-Systems mit den im angebundenen ABAP-User-Store ver-
fügbaren Rollen zu verknüpfen. Neben den technischen Restriktionen bei der
Verwaltung unterschiedlicher Zielsystemtypen legt die ZBV außerdem den Fokus
auf die in der ABAP-Benutzerpflege (Transaktion SU01 Benutzerpflege Ein-
stieg) pflegbaren Attribute und Daten und unterstützt dabei keinerlei Prozesssteu-
erung zur Beantragung und/oder Genehmigung von Berechtigungsoperationen.

Betrachtet man das Thema Identity Management im Kontext einer zunächst sys-
temunabhängigen zentralen Verwaltung von Identitäts- und Zugriffsdaten (siehe
Kapitel 2), ist der Schritt der SAP nur konsequent, ein Werkzeug zu entwickeln,
das eine historisch gewachsene und heterogene Systemlandschaft, bestehend aus
SAP-Systemen, Verzeichnisdiensten, Windows-Anwendungen sowie Datenbank-
anwendungen und sonstigen Eigenentwicklungen mit Identitäts- und Berechti-
gungsinformationen versorgen kann. Bis zu diesem Zeitpunkt gab es für SAP-Kun-
den, die ihre Identitäten zentral verwalten wollten, letztlich nur zwei Alternativen:
entweder ein Third-Party-Tool1 für die Verwaltung der kompletten Systemumge-
bung einzusetzen oder die ZBV für die SAP-Umgebung zu nutzen und für die rest-
lichen Systeme ein anderes Werkzeug zu integrieren.

Die Erweiterung des SAP NetWeaver-Portfolios durch ein Identity-Management-
Werkzeug für heterogene System- und Anwendungslandschaften wurde mit der
Akquisition von MaxWare in die Tat umgesetzt – mit dem Anspruch, weiterhin
die komplexer werdende SAP-Umgebung hinsichtlich Identitätsdaten verwalten
und zusätzlich auch Nicht-SAP-Systeme an dieselbe zentrale Identity-Manage-
ment-Infrastruktur anbinden zu können.

1 Perkins, Earl; Carpenter, Perry: Magic Quadrant for User Provisioning. Gartner RAS Core
Research Note G00159740. http://mediaproducts.gartner.com/reprints/novell/159740.html
(1.06.2009)

80

Historie 4.1

Die Computerwoche schrieb am 14. Mai 2007: »Identity-Management-Systeme die-
nen in komplexen Applikationsumgebungen dazu, Benutzer- und Zugriffsrechte
übergreifend zu verwalten. Einerseits senkt dies die Verwaltungskosten, anderer-
seits erhöht es die Sicherheit. Da in serviceorientierten Umgebungen eine Vielzahl
unterschiedlicher Softwarekomponenten, Unternehmen (Lieferanten, Kunden und
Partner) sowie Endanwender miteinander interagieren, steigt dort der Bedarf an
Identity-Management.«2 SAP NetWeaver IdM nimmt damit in Zukunft mit einem
erweiterten Funktionsumfang durch Genehmigungsworkflows, Reporting-Funkti-
onalität, die Nutzung komplexer Rollenmodelle und Regelwerke zur Automatisie-
rung der Berechtigungsverwaltung sowie zusätzlicher Adapter für die Anbindung
weiterer Anwendungen die Position der ZBV ein. Die von SAP NetWeaver IdM
bereitgestellten Funktionalitäten lassen sich wie folgt zusammenfassen:

Metaverzeichnis
Synchronisation, Konsolidierung und zentrale Datenhaltung der zu verwalten-
den Identitätsdaten in einem auf einer relationalen Datenbank basierenden Me-
taverzeichnis, dessen Datenmodell flexibel erweitert werden kann.
Prozesssteuerung
Aufbau komplexer Workflows zur Verwaltung der Identitätsdaten und Bean-
tragung von Berechtigungen mit Workflow-Mechanismen wie beispielsweise
der Umsetzung mehrstufiger Genehmigungsstrategien auf Basis paralleler und
sequenzieller Verarbeitung von Anträgen durch Budgetverantwortliche, Vor-
gesetzte, Daten- oder Systemverantwortliche inklusive der dynamischen Ermitt-
lung von Prozessbeteiligten sowie der Konfiguration von Eskalations- und Be-
nachrichtigungsmechanismen. SAP NetWeaver IdM erlaubt zusätzlich sowohl
die Nutzung von Self-Services als auch die Möglichkeit delegierter Administra-
tionsaufgaben in Abhängigkeit von Organisation, Zuständigkeit oder anderen
gepflegten Attributen.
Automatisierte und regelbasierte Provisionierung
Auf Regelwerken basierende Anlage, Modifikation und Sperrung/Löschung
von Benutzern in den angebundenen und verwalteten Systemen. Durch die Ab-
bildung hierarchischer Rollenmodelle ist sowohl eine explizite (direkte) als
auch eine implizite (vererbbare) Zuweisung von Berechtigungen unter Berück-
sichtigung von gepflegten SoD-Konflikten (Segregation of Duties) durch SAP
NetWeaver IdM möglich.
Password Management
Zentrale Verwaltung und Provisionierung von Passwörtern in SAP NetWeaver
IdM inklusive der Abbildung von Szenarien zur Passwortrücksetzung.

2 Niemann, Frank: Update: SAP füllt mit MaxWare eine lange klaffende Lücke in NetWeaver.
http://www.computerwoche.de/knowledge_center/enterprise_resource_planning/592733/
(14.05.2007)

81


Reporting und Audit
Erzeugung von Berichten auf den aktuellen und den historischen Datenbestand
mithilfe von SAP BusinessObjects Crystal Reports.

Die Abschnitte dieses Kapitels beschreiben die Architektur, die zentralen Kompo-
nenten sowie die Hauptfunktionalitäten und Prinzipien von SAP NetWeaver IdM.
Ziel ist es, einen grundsätzlichen Überblick zu geben und die wichtigsten Begriffe
und Möglichkeiten in den Bereichen Datenmodellierung inklusive Rollenmodel-
len (siehe Kapitel 10) und Workflow-Steuerung (siehe Kapitel 13), Provisionierung
(siehe Kapitel 11 und Kapitel 14), Monitoring (siehe Kapitel 16) und Reporting
(siehe Kapitel 17) einführend zu erläutern.

4.2 Architektur
SAP NetWeaver IdM besteht aus zwei zunächst unabhängigen Komponenten: dem
Identity Center (IC) und dem SAP Virtual Directory Server (SAP VDS). Das Identity
Center bildet mit seinem Datenmodell auf Basis einer relationalen Datenbank, das
mithilfe der Administrationskonsole ohne Programmieraufwand erweitert wer-
den kann, das »Herzstück« des eigentlichen Identity-Management-Systems und
stellt somit die im letzten Abschnitt beschriebenen grundlegenden Funktionalitä-
ten zur Verfügung. Die Verwendung einer relationalen Datenbank bietet dabei,
verglichen mit einem reinen Verzeichnisdienst, zusätzlich den Vorteil der trans-
aktionalen Sicherheit. Während in einem Verzeichnisdienst immer die aktuelle
Repräsentation eines Objekts in Form einer flachen Liste von Attributen abgelegt
wird, erlaubt die Nutzung einer relationalen Datenbank außerdem die Speiche-
rung historischer Werte sowie die Verknüpfung weiterer Daten beispielsweise zu
Reporting-Zwecken.

Der SAP Virtual Directory Server hingegen stellt die Funktionalität für den zentra-
len und virtualisierten Echtzeitzugriff auf mehrere Datenquellen im Sinne einer
Middleware mit speziellen Transformationsfunktionen – wie beispielsweise der
Transformation von Attributwerten oder der Anreicherung aus anderen Daten-
quellen zum Zeitpunkt der Abfrage – und der Unterstützung bestimmter, im IdM-
Umfeld gängiger Protokolle wie LDAP oder SPML3 (Service Provisioning Markup
Language) zur Verfügung. Dies gilt sowohl für den Zugriff auf externe Datenquel-
len (aus Sicht des Identity Centers) als auch für den Zugriff auf die im Identity Cen-

3 SPML ist ein offener Standard für die Integration und Übermittlung von Service-Provisio-
nierungsanfragen. SPML Version 1.0 wurde im Oktober 2003 von OASIS (Organization for
the Advancement of Structured Information Standards) als Standard freigegeben. Aktuelle In-
formationen finden Sie unter http://www.oasis-open.org/specs/index.php#spmlv2.0 (Stand: Au-
gust 2009).

82

Architektur 4.2

ter verwalteten Identitätsdaten (für Beispiele relevanter Anwendungsfälle siehe
Abschnitt 4.2.2).

4.2.1 Identity Center
Das Identity Center lässt sich in drei Ebenen (siehe Abbildung 4.1) unterteilen:

UI-Komponenten
Datenbank und Identity Store(s)
Laufzeitkomponenten (IC Runtime)

In den folgenden Abschnitten werden die oben dargestellten Bestandteile des
Identity Centers näher erläutert. Eine vierte Ebene bilden die Quell- und Zielsys-
teme, auf die wir in Abschnitt 4.4 eingehen werden.

UI-Komponenten (1)

Administrator Console Überwachung/Workflow und End-User-Interface

Microsoft Management Console (MMC) SAP NetWeaver Application Server Java

IC-Datenbank (2)

Event (De-)Zentrale
Agent(s)
IC Runtime (3) Dispatcher

SAP NetWeaver SAP NetWeaver Verzeichnis- Sonstige
Datenbanken
ABAP Java dienste Nicht-SAP

Quell- und Zielsysteme (4)

Abbildung 4.1 Bestandteile des Identity Centers

In Bezug auf die UI-Komponenten besteht das Identity Center (IC) aus zwei Teilen:
dem SAP NetWeaver IdM UI, das auf dem Java-basierten Teil des AS Java instal-
liert wird4, und der Administrationskonsole (IC Console) für Entwicklungs- sowie

4 Die unterstützten Versionen können Sie – wie auch für andere SAP NetWeaver-Komponen-
ten – der Product Availability Matrix (PAM) unter http://service.sap.com/pam entnehmen
(Stand: August 2009).

83


Konfigurations- und Customizing-Arbeiten, die mithilfe eines Plug-ins in der Mi-
crosoft Management Console (MMC) zur Verfügung gestellt wird.

Auf dem SAP NetWeaver AS werden neben dem Monitoring-Interface die Kom-
ponenten für den Zugriff auf das zentrale End-User-Interface und die damit ver-
fügbaren Workflow-Masken bereitgestellt. Die Benutzerverwaltung eines ange-
bundenen AS Java (UME) zur Bereitstellung der UI-Komponenten enthält die
Benutzer, die später Zugriff auf Identity-Management-Inhalte in Form von Em-
ployee- oder Manager-Self-Services haben sollen. Dabei gelten bei der UME-Konfi-
guration keine Einschränkungen bezüglich nutzbarer Authentisierungsquellen. In
allen Fällen gilt, dass das Identity Center für die Anlage, Änderung und Verteilung
der Benutzer in dem entsprechenden User Store sorgt und somit den verwalteten
Identitäten einen Zugang zum IdM UI zur Änderung persönlicher Daten oder
Beantragung von Zugriffsrechten bzw. sonstigen Ressourcen gestattet.

Die Web-Dynpro-Komponenten für die Workflow-Masken werden zumeist auf
einer bestehenden SAP NetWeaver-Portal-Landschaft aktiviert. Ein zentrales
Unternehmensportal stellt in vielen Unternehmen bereits heute den Einstieg in
zahlreiche Applikationen dar, beispielsweise Anwendungen aus dem Personalbe-
reich wie das Zeit- und Reisemanagement, eine Vielzahl von Reporting- und Pla-
nungsanwendungen oder Kollaborationswerkzeuge. Steht kein solches Unterneh-
mensportal auf SAP NetWeaver-Basis zur Verfügung, kann das SAP NetWeaver
IdM UI auf einem eigenen AS Java-System als Bestandteil des SAP NetWeaver IdM-
Systems installiert werden. In beiden Fällen gilt, dass im UI keinerlei Programm-
bzw. Provisionierungslogik abläuft und somit auch keine Beeinträchtigung des ver-
wendeten AS Java – mit Ausnahme der eventuell steigenden Benutzerzahl – zu
erwarten ist. Abbildung 4.2 zeigt die Sicht auf das SAP NetWeaver IdM UI in der
Version 7.1.

Abbildung 4.2 End-User-Interface – Self-Services

84

Architektur 4.2

Das UI teilt sich in fünf Bereiche, die in Abhängigkeit von der SAP NetWeaver
IdM-Rolle der angemeldeten Benutzer sichtbar sind (siehe auch Kapitel 12):

Self-Services
Zu erledigen
Verwalten
Historie
Überwachung

Die Registerkarte Self-Services enthält eine Liste von Links, mit denen der ange-
meldete Benutzer beispielsweise Berechtigungen für sich anfordern oder den Teil
seiner eigenen Daten ändern kann, der für die direkte Änderung im Rahmen des
entsprechenden Self-Services freigegeben ist. Alle Aktionen betreffen immer sei-
nen eigenen Benutzerstammsatz. Diese Registerkarte ist für jeden Benutzer sicht-
bar, der im Identity Store erfasst und als aktiv gekennzeichnet ist.

Die Registerkarte Zu erledigen (Abbildung 4.3) stellt den Arbeitsvorrat im Hin-
blick auf anstehende Aktivitäten, wie die Genehmigung von Anträgen oder die
Erfassung zusätzlicher Daten, des angemeldeten Benutzers im Identity Center dar.
Eine Integration in die Universal Worklist (UWL) in SAP NetWeaver Portal ist mög-
lich (für weiterführende Informationen siehe Literaturverzeichnis).

Abbildung 4.3 End-User-Interface – Arbeitsvorrat

Die Registerkarte Verwalten (Abbildung 4.4) bietet die Möglichkeit, delegierte
Aufgaben durchzuführen, also beispielsweise die Daten von anderen Personen zu
ändern oder als Vorgesetzter Berechtigungen für die eigenen Mitarbeiter zu bean-
tragen. Die Registerkarten Historie und Überwachung sind technischer Natur
und bleiben im Normalfall berechtigten Administratoren vorbehalten. In der His-
torie werden abgearbeitete Genehmigungsaufgaben angezeigt (Abbildung 4.5).

85


Abbildung 4.4 End-User-Interface – Verwalten

Abbildung 4.5 End-User-Interface – Historie

Die Informationen auf der Registerkarte Überwachung gestatten sowohl Einblick
in Job- und Systemlog als auch eine Sicht auf die Warteschlange für Genehmi-
gungsaufgaben und Provisionierungstasks (siehe Abbildung 4.6).

Mit der eingangs erwähnten IC Console kommt der Endanwender und Prozess-
beteiligte nicht in Berührung. Sie ist somit Entwicklern und Systemadministrato-
ren vorbehalten. Die IC Console spielt vor allem bei der Implementierung und
dem Betrieb der SAP NetWeaver IdM-Lösung eine zentrale Rolle. Details zu ihrer
Nutzung sind deshalb auch ab Kapitel 8 zu finden. Über die IC Console wird der
Bereich der Datenbank gepflegt, der die Entwicklungs- und Customizing-Einstel-
lungen enthält.

86

Architektur 4.2

Hier werden u. a. folgende Informationen gespeichert:

Datenmodellbeschreibungen (siehe Kapitel 10)
Konfigurationsdaten von angebundenen Systemen (siehe Abschnitte 4.4.2 und
9.1.2)
Konfiguration für Workflow-Abläufe (siehe Kapitel 13)
Einstellungen für Masken (siehe Kapitel 12)
Regeln zu Datensynchronisation und -transformation sowie zu zeitgesteuerten
Ladevorgängen und Skripten (siehe Kapitel 11)

Abbildung 4.6 End-User-Interface – Überwachung

Neben den Customizing-Einstellungen bilden die konfigurierbaren Identity
Store(s) den zweiten zentralen Bestandteil einer SAP NetWeaver IdM-Datenbank-
instanz. In einem Identity Store werden die eigentlichen Identitätsdaten – basie-
rend auf dem zugrunde liegenden Datenmodell – verwaltet. Dazu gehören in
jedem Fall:

Benutzerstammsätze (siehe Abschnitte 4.3.1 und 10.1.2)
technische Rollen (siehe Abschnitte 4.3.1 und 10.1.3)
Geschäftsrollen (siehe Abschnitte 4.3.1 und 10.1.4)
(dynamische) Gruppen (siehe Abschnitte 4.3.1 und 10.1.5)
Objekte für noch zu genehmigende oder zeitlich abgegrenzte Identitätsinfor-
mationen (siehe Abschnitte 4.3.1 und 10.1.6)
Anträge und kundenspezifische Objekte (siehe Abschnitt 10.2)

87


Zusätzlich zu den eigentlichen Daten gehören auch die Regelwerke zur Reaktion
auf Ereignisse (Hinzufügen/Ändern/Löschen) zum jeweiligen Identity Store.

Neben den aktuellen Datenbeständen werden in den dafür vorgesehenen Daten-
banktabellen (siehe Abschnitt 10.3) die historischen Werte der verwalteten
Objektklassen sowie Audit-Informationen über beantragte und genehmigte Res-
sourcen für Auswertungszwecke vorgehalten. Mit Ausnahme sogenannter Job,
Pass und Repository Templates, die der Anbindung zusätzlicher Systeme sowie der
Konfiguration von Standardjobs und Provisionierungsaufgaben im Rahmen von
Entwicklungs- und Konfigurationstätigkeiten dienen, stehen alle Daten für den
Betrieb von SAP NetWeaver IdM in der zentralen Datenbankinstanz zur Verfü-
gung. Templates werden dagegen auf dem Filesystem abgelegt und können bei den
Konfigurationsarbeiten in der Administrationskonsole als Vorlage genutzt werden.

Die Laufzeitkomponenten (IC Runtime) bilden neben den UI-Komponenten und
der Datenbank die dritte Schicht der Identity-Center-Architektur. Grundsätzlich
lassen sich zwei Laufzeitkomponenten unterscheiden: Dispatcher und Event
Agents. Dispatcher werden konfiguriert, um Warteschlangen mit Jobs, Workflow-
und Provisionierungsaufgaben abzuarbeiten, und sind somit das »ausführende Or-
gan« innerhalb von SAP NetWeaver IdM. Es können in jedem Unternehmen ein
oder mehrere Dispatcher in der Systemlandschaft verteilt konfiguriert werden.
Dabei kann u. a. festgelegt werden, welche Art von Aufgaben ein bestimmter Dis-
patcher erfüllt und in welchen Intervallen er dies tun soll. Eine verteilte Installation
von mehreren Dispatchern kann aus Gründen der Lastverteilung sinnvoll, aber
auch unter netzwerktopologischen Gesichtspunkten (Sicherheit, Firewall, Ge-
schwindigkeit etc.) notwendig sein. Außerdem besteht die Möglichkeit, eine Ent-
kopplung bestimmter hoch priorisierter oder eher unkritischer Aufgaben zu er-
reichen (siehe Kapitel 16).

In Release 7.1 von SAP NetWeaver IdM wird der Dispatcher noch immer für die
beiden Laufzeitumgebungen Windows und Java ausgeliefert. Das hat u. a. den
Grund, dass es auch im SAP Provisioning Framework (siehe Kapitel 14) noch aus-
gelieferte Bestandteile der Instrumentierung gibt – beispielsweise für das User
Management des Microsoft Active Directorys –, die die Windows-Laufzeit voraus-
setzen, da sie Windows-spezifische Funktionalitäten wie beispielsweise das Active
Directory Services Interface (ADSI) nutzen. Das Ziel von SAP ist aber, in Zukunft
mit der Java-Laufzeitumgebung auszukommen und die Windows-Laufzeit nicht
mehr zu nutzen, um eine entsprechende Plattformunabhängigkeit der IC-Runtime-
Komponenten zu gewährleisten.

Event Agents, die zweite Laufzeitkomponente, werden verwendet, um in Quell-
und/oder Zielsystemen Ereignisse abzufangen, die im Identity Center wiederum
die Ausführung von Jobs oder Tasks initiieren können (für weiterführende Infor-
mationen siehe Literaturverzeichnis). Ein einfaches Beispiel ist die Überwachung

88

Architektur 4.2

einer Datei durch einen Event Agent, der ein Ereignis auslöst, sobald die Datei aktu-
alisiert wurde. Daraufhin kann im Identity Center eine Aktion angestoßen werden,
die in Verbindung mit dem Delta-Handling die geänderten Datensätze aus der über-
wachten Datei in den Identity Store lädt. Event Agents stehen im Auslieferungs-
zustand lediglich für die folgenden wenigen Anwendungsfälle zur Verfügung:

Überwachung von Anlage, Änderung oder Löschung von Objekten im Micro-
soft Active Directory
Überwachung von Änderungen in Datenbanken
Überwachung von Dateien und Verzeichnissen
Überwachung von Änderungen in weiteren LDAP-Verzeichnissen

Mithilfe einer Java-API können weitere Vorlagen für die Aktivierung von Event
Agents für den jeweiligen Anwendungsfall gebaut werden. Die Nutzung von Java
garantiert, wie oben beschrieben, auch hier die Plattformunabhängigkeit. Genau
wie der Dispatcher kann ein Event Agent in der Systemlandschaft auf unterschied-
lichen Systemen verteilt werden und so die auf den relevanten Systemen lokal auf-
tretenden Ereignisse abfangen bzw. weiterleiten, um weitere Aktionen auszulö-
sen. Sowohl Dispatcher als auch Event Agents lassen sich als lauffähige Services
konfigurieren, die in die Startup-Sequenzen der unterstützten Systemplattformen
eingebunden werden können.

Die Java-Laufzeitkomponenten nutzen unterschiedliche Klassen, um die Konnek-
tivität zu den Quell- und Zielsystemen herzustellen. Eine zentrale Klasse ermöglicht
dabei den Zugriff mithilfe von LDAP. Dieses Protokoll zum Zugriff auf Verzeich-
nisdienste wird – neben anderen Protokollen wie SPML und Webservice – auch vom
Virtual Directory Server unterstützt. Dieser spielt eine wichtige Rolle für verschie-
dene Schnittstellen (beispielsweise bei der GRC-Integration oder der Kommuni-
kation mit dem LDAP-Adapter im Rahmen der SAP Business Suite-Integration) und
wird in Zukunft durch die Verfügbarkeit der genannten Identity Services immer
mehr in den Mittelpunkt der Kommunikation mit dem Identity Center rücken.

4.2.2 SAP Virtual Directory Server
Der SAP Virtual Directory Server (SAP VDS) stellt grundsätzlich Funktionalitäten
für den virtualisierten und standardisierten Zugriff auf Datenquellen im Sinne
einer Middleware zur Verfügung. Er liefert damit spezielle Transformationsfunk-
tionen und unterstützt bestimmte, im Identity-Management-Umfeld gängige Pro-
tokolle wie LDAP oder SPML. Obwohl der SAP VDS im Rahmen der SAP NetWea-
ver IdM-Architektur zunächst eine optionale Komponente darstellt, nimmt er vor
allem hinsichtlich der Integration mit anderen Systemen sowie der Anreicherung
von Informationen aus unterschiedlichen Quellen eine zentrale Rolle ein. So wird

89


der SAP VDS beispielsweise für die HCM-Integration (siehe Abschnitte 4.5.1 und
15.2.1) sowie zur Integration mit SAP BusinessObjects Access Control (siehe
Abschnitt 15.4) verwendet. SAP liefert hierzu die nötige Instrumentierung sowohl
für das Identity Center als auch für den SAP VDS aus. Einige Beispiele für Anwen-
dungsfälle einer Verwendung des SAP VDS sind neben den bereits genannten Inte-
grationen:

virtualisierter Zugriff auf unterschiedliche Datenquellen, wie Identity Stores
des Identity Centers, Datenbanken oder Directory Services Markup Language
v2 (DSMLv2), über LDAP und SPML
Mapping und Transformation von einzelnen Attributwerten während des Zu-
griffs, um den Anforderungen an Datenformate unterschiedlicher Quell- und
Zielsysteme gerecht werden zu können
Zusammenfassung von Attributen unterschiedlicher Systeme in einer Anfrage.
Für die anfragende Anwendung ist nur eine Datenquelle sichtbar.
Einschränkung von verfügbaren Attributen und Filterung der Wertemenge von
Daten in Abhängigkeit von den Anmeldeinformationen des anfragenden Be-
nutzers
dynamische Ermittlung der Verbindungsdaten in Abhängigkeit von Attributen
des Anwenders (beispielsweise E-Mail-Adresse)

Zusätzlich zur grundlegenden Funktionalität für die Umsetzung der beschriebe-
nen Anwendungsfälle übernimmt der SAP VDS durch die Unterstützung von Pro-
tokollen wie LDAP, HTTP, SOAP und SPML im Zusammenspiel mit anderen SAP
NetWeaver-Komponenten die Bereitstellung sogenannter Identity Services. Iden-
tity Services stellen im Kontext von SAP NetWeaver IdM einen zentralen und stan-
dardisierten Zugriffspunkt über Webservices und SPML für die Abfrage und die
Verwaltung von Identitätsinformationen der kompletten Systemumgebung zur
Verfügung. Außerdem ist mit dem SAP VDS ein Werkzeug vorhanden, das durch
Nutzung der integrierten API die flexible Anbindung weiterer Systeme verein-
facht. Weitere Informationen zur detaillierten Architektur, den Identity Services
sowie weiteren Use Cases erhalten Sie in Abschnitt 15.3.

4.2.3 Gesamtarchitektur – Identity Center und SAP VDS
Kombiniert man die beiden Komponenten Identity Center und SAP VDS, entsteht
eine Gesamtarchitektur mit einer sehr umfangreichen Schnittstelle für den einfa-
chen Zugriff. Dies dient letztlich der Verwaltung, Verteilung und Bereitstellung
der Identitätsdaten in der kompletten Unternehmenssystemlandschaft über einen
zentralen Einstiegspunkt: SAP NetWeaver IdM.

90

Daten- und Rollenmodell 4.3

Wie aus Abbildung 4.7 ersichtlich ist, können in der aktuellen Version Anwen-
dungen und Systeme sowohl direkt über die technischen Adapter des Identity
Centers als auch über den VDS angebunden werden. Allerdings wird die Anbin-
dung weiterer Systeme in Zukunft mithilfe des SAP VDS erfolgen. Zum einen han-
delt es sich um angebotene Schnittstellen, die auf einem offiziellen Standard basie-
ren, und zum anderen lässt der SAP VDS direkte Anfragen zum Lesen, Ändern und
Löschen von Identitätsdaten zu. Im Gegensatz dazu müssen die Adapter des Iden-
tity Centers immer vom Identity Center selbst – beispielsweise durch erzeugte
Ereignisse der Event Agents – getriggert werden, um Daten abzuholen, zu vertei-
len oder Benutzerkonten und Berechtigungen zu provisionieren.

Sonstige Systeme und Anwendungen

Identity Services

SAP Virtual Directory
End-User-Inferface
Server (SAP VDS)
Identity Center (IC)

(De-)Zentrale Event
IC-Datenbank Dispatcher Agent(s)
Connector Framework

Identity
Services

Sonstige Sonstige
SAP HCM SAP GRC SAP ABAP SAP Java
(Nicht-SAP) (Nicht-SAP)
Quell- und Zielsysteme Quell- und Zielsysteme

Abbildung 4.7 Gesamtarchitektur – Identity Center und SAP VDS

4.3 Daten- und Rollenmodell
Dieser Abschnitt gibt einen Überblick über die Möglichkeiten der Datenmodellie-
rung im Identity Center. Eine genaue Beschreibung aller benannten Komponenten
und Bestandteile sowie deren Funktionen finden Sie in den Kapiteln 9 und 10. In
der IC-Datenbank wird mithilfe der Administrationskonsole das Datenmodell für
einen oder mehrere Identity Stores definiert und verwaltet – das sogenannte Iden-

91


tity-Store-Schema5. Das Datenmodell ist dabei die Grundlage einer SAP NetWeaver
IdM-Installation und -Konfiguration und bildet damit die Basis für eine erfolgrei-
che Implementierung. Im Rahmen einer Standardinstallation werden alle im Stan-
darddatenmodell definierten Objektklassen sowie deren Eigenschaften in einem
Identity Store angelegt, die für die grundsätzliche Funktionsweise des Systems,
vordefinierte Funktionen (beispielsweise der abgrenzbaren Zuweisung von
Berechtigungen) sowie für das von SAP ausgelieferte SAP Provisioning Framework
(siehe Kapitel 14) benötigt werden. Die Anpassung im Identity Center auf die spe-
ziellen Anforderungen in der Systemlandschaft – vor allem bezogen auf die umzu-
setzenden Prozesse – setzt allerdings in den meisten Fällen auch die Erweiterung
des bestehenden Datenmodells voraus und damit die Ausarbeitung eines soliden
Konzepts. Grundsätzlich sollte das Konzept für ein Datenmodell die folgenden
Einflussfaktoren und Fragestellungen berücksichtigen:

Welche Informationen sollen mit welchem Detailgrad im Identity Store abge-
bildet werden, und für welche Anwendungsfälle werden die Daten benötigt?
Welche Objektklassen werden dafür benötigt?
Welche Attribute sind Bestandteil dieser Objektklassen?
Werden Attribute mehrsprachig oder einsprachig gepflegt?
Stehen die Objekte miteinander in Beziehung? Handelt es sich dabei um eine
1:1-, 1:n- oder eine m:n-Beziehung?
Reicht es eventuell aus, Informationen als Wert eines bestimmten Attributs ei-
ner Entität zu speichern, oder muss die Information mithilfe einer Objektklasse
abgebildet werden, zu der dann entsprechende Relationen aufgebaut werden?
Welche Attribute und Objekte haben Steuerungsfunktionen in späteren An-
trags- und Genehmigungsprozessen?
Welche Attribute sind führend in welchem System? Können Prioritäten festge-
legt werden?
In welcher Form sollen die Informationen im User Interface präsentiert wer-
den? Welche Validierungen sollen bei der Eingabe der Attributwerte angewen-
det werden?
Welche Quellen (angebundene Quell- und Zielsysteme oder manuelle Eingabe-
prozesse) sind führend für die verwendeten Attribute?
Welche Transformationen müssen beim Beziehen der Daten aus den Quellen
durchgeführt werden?

5 Eine detaillierte Beschreibung des ausgelieferten Datenmodells finden Sie im Dokument
mit dem Titel SAP NetWeaver Identity Management Identity Center Identity Store Schema –
Technical Reference im SDN unter https://www.sdn.sap.com/irj/sdn/nw-identitymanagement
(Stand: August 2009).

92


Wie lange müssen (historische) Daten im Rahmen geltender Audit-Anforderun-
gen im System vorgehalten werden?

Die Liste der Fragestellungen könnte an dieser Stelle noch fortgesetzt werden.
Wichtig ist, dass letztlich genau die Informationen abgebildet werden, die zur Ver-
waltung der Identitäten und Steuerung der dafür notwendigen Prozesse benötigt
werden – nicht weniger, aber auch nicht mehr.

4.3.1 Daten- und Rollenmodell im Identity Store
Das Datenmodell mit Objektklassen und deren Eigenschaften definiert sich im
Identity Center über sogenannte Entry Types und die dazugehörenden Attribute.
Ein Entry Type entspricht dabei einer Objektklasse für die Abbildung von ausge-
wählten Informationen der jeweiligen Entität, beispielsweise einer Person mit den
Attributen Vorname und Nachname. Attribute werden zunächst unabhängig vom
Entry Type definiert. Anschließend wird festgelegt, welches Attribut für welchen
Entry Type genutzt werden kann. Ein Attribut hat verschiedene Eigenschaften, die
gepflegt werden müssen. Dazu gehören:

Datentyp für die Speicherung des Attributwerts im Identity Store
Anzeigetyp im UI (Checkbox, Radio Button, Dropdown-Liste etc.)
Anzeigenamen im UI (dieser kann mehrsprachig gepflegt werden)
ein- oder mehrsprachig hinterlegte gültige Wertelisten
Validierungsfunktionen in Form regulärer Ausdrücke6
führende Systeme für dieses Attribut
Festlegung von Aktionen, die bei Anlage, Änderung oder Löschung des Attri-
buts ausgeführt werden sollen. Mit diesen Aktionen können beispielsweise
Verteilungsvorgänge in Zielsysteme gestartet werden, sobald sich das jeweilige
Attribut ändert.

Auf den Entry Types basierende Objekte können miteinander – auch hierarchisch
– in Beziehung stehen. Dabei sorgt das Identity Center für die Integrität der Daten,
sodass eine Beziehung zwischen Objekten immer bidirektional angelegt, modifi-
ziert oder entfernt wird. Jedes angelegte Objekt wird in Form von Attribut-
name/Attributwert-Paaren anhand des gültigen Schemas im Identity Store abgelegt
und hat immer ein eindeutiges Schlüsselattribut (MSKEYVALUE). Dieses Attribut ist
innerhalb des kompletten Identity Stores und über alle Entry Types eindeutig und
ein Pflichtfeld. Deshalb gehört neben der Klärung zuvor genannter Fragestellungen

6 Ein regulärer Ausdruck ist eine Zeichenkette, die der Beschreibung von Mengen bezie-
hungsweise Untermengen von Zeichenketten mithilfe bestimmter syntaktischer Regeln
dient.

93


auch die Definition eines Namenskonzepts für dieses Schlüsselattribut zu den Auf-
gaben der Datenmodellierung. Neben dem Schlüsselattribut MSKEYVALUE ist auch
das Attribut MX_ENTRYTYPE ein Pflichtfeld für alle Objekte und definiert, zu welcher
Objektklasse ein bestimmter Eintrag gehört. Die folgenden Entry Types – immer
mit dem Namensraum MX_ als von SAP definierte Objekte gekennzeichnet – wer-
den im Rahmen einer Standardinstallation im Identity Store angelegt (Tabelle 4.1).

Entry Type Kurze Beschreibung
Identität/Person Zentrale Objektklasse zur Verwaltung einer digitalen Identität.
(MX_PERSON) Dies sind meist Personen, also interne oder externe Mitarbei-
ter oder Geschäftspartner (siehe Abschnitt 10.1.2).

Berechtigung/ Objektklasse zur Verwaltung und Pflege von Berechtigungsob-
technische Rolle jekten angebundener Systeme. Objekte vom Typ MX_PRIVI-
(MX_PRIVILEGE) LEGE können beispielsweise Einzel- oder Sammelrollen aus
ABAP-Systemen, Java-Rollen oder Java-Gruppen aus SAP-
Java-Systemen, Sicherheitsgruppen aus dem Active Directory
etc. sein. In der Identity-Center-Dokumentation wird von
technischen Rollen gesprochen (siehe Abschnitt 10.1.3).

Rolle/Business-Rolle Im Gegensatz zum Typ MX_PRIVILEGE können mit dem Entry
(MX_ROLE) Type MX_ROLE Rollen verwaltet werden, die Objekte vom Typ
MX_PRIVILEGE aus unterschiedlichen Systemen enthalten. In
der Identity-Center-Dokumentation wird von Fachrollen oder
Business-Rollen gesprochen. Objekte vom Typ MX_ROLE erlau-
ben Vater/Kind-Beziehungen und somit den Aufbau von kom-
plexen hierarchischen, aber nicht zyklischen Rollenmodellen
mit beeinflussbarer Vererbungsfunktion (siehe Abschnitt
10.1.4).

Dynamische Gruppe Der Entry Type MX_DYNAMIC_GROUP erlaubt die Verwaltung
(MX_DYNAMIC_GROUP) von Regelwerken zur Ermittlung von Gruppenmitgliedern auf
Basis bestimmter Filterkriterien (Attributkombinationen).
Durch die Zugehörigkeit zu einer dynamischen Gruppe können
beispielsweise Rechte vergeben werden, die wieder automa-
tisch entzogen werden, sobald die entsprechende Person nicht
mehr den Filterkriterien entspricht (siehe Abschnitt 10.1.5).

Wert in Bearbeitung Die Objektklasse MX_PENDING_VALUE gestattet es, Attribute,
(MX_PENDING_VALUE) die zeitlich abgegrenzt bzw. deren Gültigkeit zeitlich befristet
ist oder für die noch eine Genehmigung aussteht, so im Sys-
tem abzulegen, dass das System am Anfang bzw. am Ende des
Gültigkeitszeitraums für die Änderung des Wertes an der ent-
sprechenden Person sorgt (siehe Abschnitt 10.1.6).

Tabelle 4.1 Objektklassen im Standarddatenmodell

94


Entry Type Kurze Beschreibung
Gruppe Der Entry Type MX_GROUP dient zum Aufbau von Gruppen-
(MX_GROUP) hierarchien im Identity Store. Aus einer Gruppenmitgliedschaft
kann wiederum die Zuweisung einer Berechtigungsrolle resul-
tieren. So werden beispielsweise bei der Anbindung eines
Active Directorys Gruppen sowohl als MX_PRIVILEGE als auch
als MX_GROUP abgebildet. Über die Gruppenzugehörigkeit kön-
nen somit wiederum implizit beispielsweise weitere Berechti-
gungen vergeben werden (siehe Kapitel 10 und Abschnitt
14.3).

Firmenadresse Entry Type zur Verwaltung und Pflege der Adressattribute
(MX_COMPANY_ einer Firmenadresse. Die Attribute dieses Entry Types sind an
ADDRESS) die im ABAP-Stack verfügbaren Firmenadressattribute ange-
lehnt (siehe Kapitel 10 und Abschnitt 14.3).

Anwendung Der Entry Type MX_APPLICATION wird im Rahmen der Identity
(MX_APPLICATION) Services sowie der SAP Business Objects GRC-Integration zur
Gruppierung von Berechtigungsrollen auf Anwendungsebene
verwendet (siehe Abschnitte 15.3 und 15.4).

Asynchroner Request Dieser Entry Type wird im Rahmen der Nutzung des SAP VDS
vom VDS genutzt, um Objekte nicht synchron im Identity Store zu
(MX_ASYNC_REQUEST) ändern, sondern zunächst einen »temporären« Eintrag anzule-
gen, der dann auch die Nutzung des Delta-Mechanismus beim
Fortschreiben der Werte gestattet (siehe Kapitel 10 und
Abschnitt 15.3).

Beantragter/erzeug- Der Entry Type MX_REPORT wurde mit der Version 7.1. SP02
ter Report eingeführt und enthält beantragte, in Bearbeitung befindliche
(MX_REPORT) oder erzeugte Reports (siehe Kapitel 10 und Ábschnitt
17.2.2).

Tabelle 4.1 Objektklassen im Standarddatenmodell (Forts.)

Das ausgelieferte Standarddatenmodell und die eingebaute Anwendungslogik
erlauben durch die Nutzung der dargestellten Objektklassen den Aufbau umfang-
reicher Rollenmodelle, mit deren Hilfe sowohl eine explizite (direkte) als auch eine
implizite Vergabe von Rollen und Rechten, basierend auf Attributwerten der ver-
walteten Identitäten, möglich ist (für mehr Details siehe Kapitel 10). Durch die sys-
temübergreifende Zusammenfassung von Berechtigungsobjekten aus angebunde-
nen Systemen in hierarchisch strukturierbare Business-Rollen lassen sich
Rollenmodelle realisieren, wie in Abbildung 4.8 dargestellt. Neben den in der
Abbildung aufgezeigten Verknüpfungen können zusätzliche Eigenschaften für die
Rollen definiert werden, die u. a. das Verhalten bei der Beantragung oder Zuwei-
sung steuern. Ein Beispiel ist der gegenseitige Ausschluss von Rollen. Wird ein sol-
cher Ausschluss definiert, verhindert das System die Zuweisung einer Rolle, sofern

95


die damit in Konflikt stehende Rolle der entsprechenden Identität bereits zuge-
wiesen wurde. Im Gegensatz zum SAP BusinessObjects Access Control (siehe
Abschnitte 4.5.2 und 15.4) können im Identity Center allerdings nur statische Aus-
schlüsse hinterlegt werden. Zudem lassen sich Positiv- und Negativlisten für Rol-
len definieren, die die Zuweisung für die Zielidentität ausdrücklich erlauben oder
eben ausdrücklich verbieten. Genehmigungsstrategien können – einstufig oder
mehrstufig mit dynamisch ermittelten oder in Rollen und Prozessen festgelegten
Beteiligten – durch Definition unterschiedlicher Genehmigungsaufgaben (siehe
Abschnitte 4.4.4 und 13.1.3) für einzelne Rollen hinterlegt werden. Attribute zur
Festlegung des Rollenbesitzers können wiederum bei der Ermittlung von gültigen
Genehmigern verwendet werden.

Business-Rollen
Manager

Abteilungsleiter

Mitarbeiter

Technische Rollen

Zugriff
Windows- E-Mail- Portalzugriff Portalzugriff
Manager-
User User ESS MSS
Cockpit

Zielsysteme
SAP NetWeaver SAP NetWeaver SAP NetWeaver
Microsoft AD Lotus Notes
Portal Portal BW

Abbildung 4.8 Rollenmodell im Identity Center

Die Zuweisung der dargestellten technischen Rollen und Business-Rollen kann
durch dedizierte Beantragung im Rahmen von Self-Services und anschließender
Genehmigung erfolgen. Außerdem ist die automatisierte Zuweisung aufgrund von
definierbaren Regelwerken eine Möglichkeit, Rollen über die Filterung von Attri-
butausprägungen – beispielsweise der Zugehörigkeit zu einer Organisationsein-
heit oder der Besetzung einer Planstelle – zu vergeben.

In vielen Projekten besteht die Anforderung, die Verwaltung von Rechten anhand
von Regeln zu gestalten, die beispielsweise auf Basis der organisatorischen Zuord-
nung und des im letzten Abschnitt erläuterten Rollenmodells automatisch Rechte

96


für entsprechende Personen vergeben. Die Abbildung der Organisationsstruktur
in zusätzlichen Datenobjekten ist ein sinnvolles Beispiel für die Einführung wei-
terer Objektklassen für Objekte wie Organisationseinheiten, Planstellen etc.
Durch die Nutzung von Entry Types kann nämlich auch die Organisationshierar-
chie im Identity Store mithilfe von entsprechenden Beziehungen abgebildet wer-
den und damit – im Vergleich zu anderen IdM-Lösungen – ein mächtiges Modell
für die Verwaltung von Berechtigungen anhand der im Organisationsmodell
gepflegten Struktur entstehen.

4.3.2 Datenmodellierung und Workflows
Die Datenmodellierung spielt nicht nur im Rahmen der Verwaltung von Identi-
tätsdaten eine wesentliche Rolle, sondern hat ganz besonders auf die abgebildete
Workflow-Steuerung in SAP NetWeaver IdM Einfluss. Grundsätzlich lassen sich
dazu die folgenden relevanten Gesichtspunkte in Verbindung mit dem Datenmo-
dell zur Workflow-Steuerung aufzeigen:

Berechtigungsprüfungen
Berechnung/Auflösung von Rechten in Workflows, basierend auf gesetzten At-
tributwerten. Dies erfolgt auf Basis der sogenannten Berechtigungsregeln der
entsprechenden Workflow-Komponenten. Grundsätzlich kann damit die
Frage, wer welche Aktion mit welchem Objekt durchführen darf, zur Laufzeit
unter Einbeziehung der relevanten Umgebungsparameter und Attributwerte
beantwortet werden.
Wertefilterung
Filterung von gültigen Werten in Auswahllisten, basierend auf Attributwerten
der angemeldeten Person sowie des momentan bearbeiteten Objekts
Workflow-Steuerung
Auswertung von speziellen Attributen zum Start von Genehmigungsaufgaben
und -strategien, die mit dem beantragten Objekt (beispielsweise einer Berech-
tigungsrolle) verknüpft sind. Dazu gehören Attribute wie MX_APPROVAL_TASK
oder MX_APPROVERS.
Statuswerte
Speicherung von Statuswerten in dafür vorgesehenen Attributen wie MX_
APPROVALS (Status der für ein Objekt aktiven Workflows) oder MX_STATE (Status
eines in Bearbeitung befindlichen Wertes)
Temporäre Attribute
Speicherung temporärer Attribute für die Steuerung von Workflow-Aufgaben
Entry Types
ganze Entry Types – wie beispielsweise MX_PENDING_VALUE – die letztlich
»Werte in Bearbeitung« darstellen und von Workflow-Aufgaben erzeugt bzw.
ausgewertet werden

97


Details zur Relevanz der genannten Attribute im Rahmen des Identity-Center-
Berechtigungskonzepts sowie zur Steuerung der implementierten Workflows fin-
den Sie ab Kapitel 9.

4.3.3 Datenmodellierung und Reporting
Neben der konsistenten Informationsspeicherung der Identitätsdaten sowie der
Workflow-Steuerung sind die Anforderungen im Bereich des Reportings ebenfalls
ein wichtiger Einflussfaktor für die Definition des Datenmodells. Bisher lag der
Fokus der Betrachtung bei der Datenmodellierung auf den abgebildeten Objekt-
klassen und deren Eigenschaften. Bei der Datenmodellierung für das Reporting
geht es zusätzlich darum, wie lange bestimmte Informationen im System vorge-
halten werden müssen und wie deren Historisierung gewährleistet werden kann.
SAP NetWeaver IdM gestattet hierzu die Festlegung der Aufbewahrungszeit bzw.
der Anzahl von Versionen auf Attributebene. Mit diesen Informationen werden
jegliche Änderungen der verwalteten Objekte (Personen, Rollen, Berechtigungs-
objekte etc.) in der Datenbank fortgeschrieben und stehen in speziellen Daten-
banktabellen und -views (siehe Abschnitt 10.3) für Auswertungen zur Verfügung.
Werden die historischen Daten mit den vorhandenen Audit-Daten über die Aus-
führung von Workflows verknüpft, besteht die Möglichkeit, mithilfe entsprechen-
der Abfragen Fragen im Rahmen des IdM wie »Wer hat wann welche Berechti-
gungsrolle bekommen, und wer hat die Zuweisung genehmigt?« zu beantworten.
Bei der Datenmodellierung hinsichtlich des Berichtswesens muss also letztlich dar-
auf geachtet werden, dass alle Daten für die benötigten Auswertungen für den
geforderten Zeitraum zur Verfügung stehen, da alle Informationen im Identity
Store in Form von einwertigen und mehrwertigen Attributen abgelegt werden
können.

4.4 Datensynchronisation und Provisioning
Die Verwaltung digitaler Identitäten setzt eine konsistente Datenbasis voraus,
weswegen die in Abschnitt 4.3 beschriebene Datenmodellierung zentraler
Bestandteil von Konzeption und Implementierung einer Identity-Management-
Lösung sein sollte. Dieser Abschnitt beschreibt die grundlegenden Mechanismen,
die in SAP NetWeaver IdM für die Synchronisation von Daten und somit für den
Aufbau und Abgleich des Identity Stores mit den angeschlossenen Quell- und Ziel-
systemen zur Verfügung stehen. Neben der Synchronisation und Verteilung der
wesentlichen Identitätsstammdaten besteht die zweite Hauptaufgabe einer Iden-
tity-Management-Lösung in der weitestgehend automatisierten Provisionierung
von Benutzerdaten und deren – durch Antrags- und Genehmigungsprozesse zuge-
wiesenen – Berechtigungsinformationen in die angebundenen Zielsysteme.

98

Datensynchronisation und Provisioning 4.4

4.4.1 Prinzipien der Datensynchronisation
Bei der Synchronisation von Daten sind – zunächst unabhängig vom betrachteten
Datenobjekt – einige Regeln zu beachten. Dies gilt auch für den Aufbau eines Iden-
tity Stores in SAP NetWeaver IdM und die anschließende Verteilung der darin ver-
walteten Identitätsdaten. In den meisten Fällen sind die benötigten Daten bereits
in unterschiedlichen Datenquellen eines Unternehmens vorhanden. Daraus ergibt
sich aber auch, dass verschiedene Systeme zunächst führenden Charakter für ein-
zelne Bestandteile eines zentral zu verwaltenden Benutzerstammsatzes haben. Ein
sehr vereinfachtes Beispiel zeigt Abbildung 4.9.

Personalsystem Telefonanlage
Vorname Führendes System Vorname

Nachname
für Attribut Nachname

Organisationseinheit Organisationseinheit

Telefon/Fax Telefon/Fax

E-Mail-Adresse E-Mail-Adresse

Berechtigungsrollen Berechtigungsrollen

Identity Store
SAP NetWeaver
IdM UI Messaging
Vorname Vorname

Nachname Nachname

Organisationseinheit Organisationseinheit

Telefon/Fax Telefon/Fax

E-Mail-Adresse E-Mail-Adresse

Berechtigungsrollen Berechtigungsrollen

Abbildung 4.9 Prinzipien der Datensynchronisation

In diesem Beispiel wird davon ausgegangen, dass sich der Stammsatz einer Iden-
tität vom Typ Interner Mitarbeiter aus Daten vier verschiedener Datenquellen
zusammensetzt:

einem Personalsystem als führende Datenquelle für die Personendaten wie Vor-
name, Nachname, Anrede, Titel etc. und Informationen zur organisatorischen
Zuordnung sowie Eintritts- und Austrittsinformationen
einem System (beispielsweise einer Telefonanlage) mit Informationen zu Tele-
kommunikationsdaten der Mitarbeiter

99


einem Messaging-System (beispielsweise Lotus Notes oder Exchange Server),
führend für vergebene E-Mail-Adressen
das SAP NetWeaver IdM-System selbst, führend für die Verwaltung von Berech-
tigungsinformationen

Die exemplarisch dargestellten Datenquellen liefern Informationen, die den Iden-
titätsdatensatz im Identity Store komplettieren. Auch nach der erstmaligen Befül-
lung eines Identity Stores aus unterschiedlichen Quellen würde für dieses Beispiel
ein regelmäßiger Transfer ausgewählter (führender) Attribute aus den jeweiligen
Datenquellen erfolgen – ereignisbasiert oder nach einem eingerichteten Zeitplan.

Die Synchronisation von Daten (sowohl die erste Befüllung als auch die fortlau-
fende Aktualisierung) inklusive definierter Regeln muss vom eingesetzten Werk-
zeug unterstützt werden. So unterstützt SAP NetWeaver IdM beispielsweise nicht
nur die Definition von führenden Systemen für bestimmte Identitätsinformatio-
nen, sondern erlaubt u. a. auch eine Befüllung bzw. einen Update eines bestimm-
ten Attributs unter Berücksichtigung festgelegter Prioritäten. Liegt beispielsweise
keine Telefonnummer aus der Telefonanlage für einen Mitarbeiter vor, erlaubt das
System die Pflege über das User Interface oder den Import aus anderen Daten-
quellen. Wurde die Telefonnummer aber einmal aus der Telefonanlage und somit
aus dem führenden System importiert, kann sie nicht mehr durch Daten aus nied-
riger priorisierten Datenquellen überschrieben werden.

Wie in Abbildung 4.9 zu sehen war, kann auch das User Interface selbst das »füh-
rende System« für unterschiedliche Bestandteile des Identitätsstammsatzes sein.
Die folgenden Abschnitte erläutern die Begrifflichkeiten, die mit der Datensyn-
chronisation in Zusammenhang stehen. Darüber hinaus geben wir Ihnen einen
kurzen Überblick über die SAP NetWeaver IdM-Standardadapter für SAP- und
Nicht-SAP-Systeme/-Anwendungen und gehen auf die von SAP ausgelieferten
Pakete für die Provisionierung von Standardkomponenten einer Infrastruktur,
wie beispielsweise einem Windows Active Directory, ein.

4.4.2 Quell- und Zielsysteme
Jede Anwendung, die an SAP NetWeaver IdM angebunden wird, wird als soge-
nanntes Repository angelegt. Ein Repository repräsentiert somit eine Anwendung,
die entweder Daten im Rahmen der Synchronisation von Identitätsdaten an SAP
NetWeaver IdM liefert oder Empfänger von veränderten Daten ist – oder beides.
Die im letzten Abschnitt angesprochene Prioritätensteuerung führender Systeme
für einzelne Attribute basiert auf der Zuweisung sogenannter Owner Repositorys.
Diese können auf Attributebene im Identity Center definiert werden. Durch diese
Information sowie die Tatsache, dass für jedes gespeicherte Attribut im Identity
Store neben dem Anlage- bzw. Änderungszeitpunkt auch die Herkunft in Form des

100


Repository-Namens abgelegt wird, kann das System die Priorität entsprechend
steuern und verhindert, dass ein Wert aus dem führenden System durch einen
qualitativ niederwertigeren Wert überschrieben wird. In den angelegten Reposi-
torys werden mithilfe der Definition von Konstanten notwendige Informationen
zu einem Repository abgelegt, um u. a. die Verbindungsdaten nicht redundant an
unterschiedlichen Stellen vorhalten zu müssen:

Typ der angebundenen Anwendung (LDAP, DB, ABAP, XML etc.)
Verbindungsdaten für den Zugriff auf die relevanten Daten der Anwendung
Repository-Konstanten, die die eindeutige ID der Identity-Center-Instrumen-
tierung enthalten, die im Rahmen der Provisionierung aufgerufen werden müs-
sen, wenn sich für eine verwaltete Identität auf dem mit diesem Repository ver-
knüpften Zielsystem ein relevantes Attribut ändert

Alle Komponenten, die im Rahmen der Datensynchronisation und Provisionie-
rung genutzt werden, beziehen sich immer auf ein bestimmtes – teilweise zur
Laufzeit ermitteltes – Repository und werden aus der Repository-Definition mit
allen notwendigen Daten versorgt, damit zum einen der Zugriff auf die Anwen-
dung in technischer Hinsicht möglich ist (Verbindungsdaten) und zum anderen
bei den durchzuführenden Datenmanipulationsaufgaben die korrekte Logik für
diese Anwendung angewendet wird. So werden beispielsweise bei der Zuweisung
von Berechtigungsrollen in einem SAP-ABAP-System dem betroffenen Benutzer
die Rollen zugewiesen. Ein Benutzer in einem Microsoft Active Directory muss
aber in die ihm zugeordneten berechtigungsrelevanten Sicherheitsgruppen aufge-
nommen werden. Neben der Tatsache, dass jeweils ein entsprechender techni-
scher Adapter verwendet werden muss, ist somit auch die Logik der Berechti-
gungszuweisung vom Repository-Typ abhängig.

4.4.3 Technische Adapter
SAP NetWeaver IdM besitzt verschiedene Adapter, mit denen bereits ein Großteil
der Systeme und Anwendungen in einer Unternehmensinfrastruktur an SAP Net-
Weaver IdM angebunden werden kann.7 Tabelle 4.2 zeigt eine Übersicht. Mit die-
sen technischen Adaptern lassen sich verschiedene Anwendungen und Systeme
anbinden, die die jeweiligen Protokolle oder Zugriffsmechanismen unterstützen.

7 SAP stellt im SDN ein laufend aktualisiertes Slideset zur Verfügung, das Informationen über
IDM-Adapter und die damit unterstützten Anwendungen enthält. Es ist zu finden unter:
SAP NetWeaver Product • Complementary Offerings • SAP NetWeaver Identity Ma-
nagement • Product Overview: SAP NetWeaver Identity Management • IDM Connec-
tor Overview (Stand: Juni 2009).

101


Technischer Adapter Kurze Beschreibung
LDAP-Adapter Adapter für die Anbindung von Anwendungen, die LDAP
unterstützen. In der Unternehmensinfrastruktur können mit-
hilfe des LDAP-Adapters Verzeichnisdienste, Telefonanlagen
etc. angebunden werden. Die bekanntesten Vertreter sind
Novell eDirectory, Sun ONE Directory und Microsoft Active
Directory.

LDIF-Adapter Der LDIF-Adapter (LDAP Data Interchange Format) gestattet
den Austausch von Informationen mit einem LDAP-Verzeich-
nis auf Basis eines lesbaren ASCII-Austauschformats.

Datenbankadapter Mithilfe des Datenbankadapters lassen sich über ODBC/JDBC
alle Datenbanken anbinden. Der Datenbankadapter erlaubt
somit das Auslesen sowie die Manipulation jeglicher Tabellen
der angebundenen Datenbank in Abhängigkeit von den
Zugriffsrechten des verwendeten Benutzers. Auch der Aufruf
von Stored Procedures wird unterstützt.

File-Adapter Der File-Adapter erlaubt das Lesen und Schreiben von
Dateien mit Feldtrennzeichen oder fester Feldlänge. Mit die-
sem Adapter wird der dateibasierte Datenaustausch realisiert.
Aufgrund des Datenschutzes und der Zugriffsbeschränkungen
auf die Personalverwaltungssysteme werden beispielsweise
häufig ausgewählte Attribute aus diesen Systemen über ent-
sprechend formatierte Dateien ausgetauscht.

SPML-Adapter Der SPML-Adapter bindet Systeme an, die in der Lage sind,
SPML Requests zu verarbeiten. So wird beispielsweise bei der
Anbindung des SAP NetWeaver NetWeaver AS Java von der
SPML-Adapter-Funktionalität Gebrauch gemacht.

SAP-ABAP-Adapter JCo-Adapter (SAP Java Connector) für das Lesen und Schrei-
ben von Daten in ein SAP-ABAP-System. Anbindung der SAP-
ABAP-User-Store-basierten Systeme.

SAP-Java-Adapter Hierfür wird der SPML-Adapter genutzt.

XML-Adapter Lesen und Schreiben von gültigen XML-Dateien

JMS-Adapter Der JMS-Adapter (Java Message Service) erlaubt die Kommu-
nikation mit einem JMS-Provider zur Integration mit Middle-
ware-Komponenten, die JMS unterstützen. So können geän-
derte Identitätsdaten beispielsweise per JMS an die Middle-
ware zur weiteren Verteilung übergeben werden.

Tabelle 4.2 Technische Adapter in SAP NetWeaver IdM

102


Technischer Adapter Kurze Beschreibung
JNDI-Adapter JNDI-Adapter (Java Naming and Directory Interface8). Mit-
hilfe dieser Schnittstelle können Daten und Objektreferenzen
anhand eines Namens abgelegt und von Nutzern der Schnitt-
stelle abgerufen werden.

Shell-Adapter Der Shell-Adapter erlaubt die Ausführung von Kommando-
zeilen-Tools. So können beispielsweise auf Unix-Systemen
die Kommandos für die Benutzeranlage bzw. Änderung und
Löschung in der /etc/passwd aufgerufen werden.

SAP VDS Der SAP VDS bietet mit seinem Connector Framework Zugriff
auf weitere Systeme. Details und Beispiele zum SAP VDS fin-
den Sie in den Abschnitten 4.2.2 und 15.3.

Tabelle 4.2 Technische Adapter in SAP NetWeaver IdM (Forts.)

Neben den verfügbaren Identity-Center-Adaptern bietet der SAP VDS weitere
Möglichkeiten, Systeme und Anwendungen an SAP NetWeaver IdM anzubinden.
Der Virtual Directory Server nimmt vor allem im Rahmen der Integration (siehe
Abschnitt 4.5 und Kapitel 15) eine wichtige Stellung ein und wird Dreh- und
Angelpunkt für die Integration mit anderen Anwendungen sein. Die technische
Anbindung allein reicht allerdings für die Provisionierung der angebundenen Sys-
teme nicht aus, da nicht nur die Verbindung zu den Systemen gewährleistet, son-
dern auch die spezifische Vorgehensweise bei der Anlage, Änderung und
Löschung von Objekten des jeweiligen Systems beachtet werden muss. Somit wer-
den die technischen Adapter genutzt, um in SAP NetWeaver IdM Instrumentie-
rungen zu entwickeln, die auch die Logik für eine konsistente und automatisierte
Verwaltung der Zielapplikation abbilden.8

4.4.4 Provisionierungslogik und Workflows
Um die Provisionierungslogik zu implementieren, werden in SAP NetWeaver IdM
sogenannte Jobs (siehe Abschnitt 9.4.2) und Tasks (Abschnitt 9.4.3) erstellt. Jobs
können entweder auf ausgelieferten und vorkonfigurierten Job Templates für
einen bestimmten Anwendungsfall basieren oder im Rahmen eines Projekts neu
erstellt werden. Ein Job führt dabei eine Reihe von Aktionen aus. Eine einzelne
Aktion wird in SAP NetWeaver IdM als Pass bezeichnet. Ein Pass nutzt im Nor-
malfall einen der in Tabelle 4.2 in Abschnitt 4.4.3 aufgelisteten Adapter, um Daten
aus einem angebundenen Repository zu lesen, Daten in ein angebundenes Repo-
sitory zu schreiben oder um – im Rahmen sogenannter generischer Passes – Daten-

8 JNDI ist eine Programmierschnittstelle innerhalb der Programmiersprache Java für Na-
mensdienste und Verzeichnisdienste.

103


manipulationen im Identity Store mithilfe von Built-in-Funktionalitäten durchzu-
führen. Die Ausführung eines Jobs kann durch unterschiedliche Aktionen
ausgelöst werden:

durch den in SAP NetWeaver IdM integrierten Scheduler zu eingeplanten Zeit-
punkten, beispielsweise zum Laden von geänderten Daten aus angebundenen
Systemen einmal täglich.
manuell durch einen Administrator, beispielsweise zur Initialbefüllung eines
Identity Stores oder zur Erstellung von Reports
durch (die erfolgreiche) Ausführung eines anderen Jobs. So können beispiels-
weise mehrere Jobs nacheinander ausgeführt werden – auch in Abhängigkeit
vom Ausführungsstatus des vorangegangenen Jobs
durch Tasks, die aufgrund eines bestimmten Ereignisses gestartet werden – ein
solches Ereignis kann beispielsweise die Änderung bestimmter im Identity
Store verwalteter Objekte oder deren Attribute sein, beispielsweise ausgelöst
durch einen Datenabgleich mit einem verwalteten System

Ob ein Job manuell, durch einen Scheduler oder im Rahmen von durch Ereignisse
initiierten Provisionierungsaufgaben – also der Ausführung einer bestimmten
Aktion für ein ausgewähltes Objekt des Identity Stores – gestartet werden kann,
wird durch die sogenannte Scheduling Rule in der Konfiguration festgelegt (siehe
Kapitel 11).

Neben den Jobs, die für die Ausführung einer bestimmten Aktion verwendet wer-
den, gibt es in der Identity-Center-Konfiguration die Tasks. Tasks beziehen sich
immer auf Einträge bzw. Objekte in einem Identity Store. Mithilfe von Tasks kön-
nen alle im Identity Store verwalteten Einträge im End-User-UI für Änderungen
zur Anzeige gebracht (Details siehe Kapitel 12) und somit die End-User in die im-
plementierten Prozesse einbezogen werden. Es gibt unterschiedliche Typen von
Tasks, die ineinandergeschachtelt werden können. Ein Typ – nämlich der Action
Task – wurde bereits in Verbindung mit den Jobs erwähnt. Tasks erlauben darüber
hinaus, notwendige Prozesse für interaktive Genehmigungsworkflows und Provi-
sionierungsabläufe zu implementieren. Deshalb stehen neben dem Action Task
die Task-Typen aus Tabelle 4.3 zur Verfügung.

Die strukturierte Ausführung von Tasks, die Auswertung von Bedingungen sowie
die Anzeige der durch die Tasks verarbeiteten Objekte erlauben letztlich sowohl
die Abbildung von interaktiven Workflows zur Beantragung und Genehmigung
von Berechtigungen als auch die Implementierung von komplexen Provisionie-
rungsabläufen. Eine ausführliche Beschreibung der Elemente, die für die Entwick-
lung von Provisionierungsworkflows zur Verfügung stehen, ist in Kapitel 13 zu
finden.

104


Task-Typ Beschreibung
Ordered Task Group Gruppierung untergeordneter Tasks, bei deren Ausführung
die Reihenfolge beachtet wird

Unordered Task Group Gruppierung untergeordneter Tasks, bei deren Ausführung
die Reihenfolge nicht beachtet wird

Conditional Task Der Task erlaubt die Definition einer Bedingung, bezogen
auf das bearbeitete Objekt. Zum Beispiel kann hier eine Ent-
scheidung über den weiteren Prozessablauf, basierend auf
dem Entry Type oder der Existenz eines Accounts, getroffen
werden.

Switch Task Der Switch Task erlaubt genau wie der Conditional Task die
Auswertung einer Bedingung. Die Auswertung kann aller-
dings mehrere Werte zurückliefern, von denen die weitere
Bearbeitung des Objekts abhängt.

Approval Task Der Approval Task bringt das in Bearbeitung befindliche
Objekt in der Liste Zu erledigen (siehe Abschnitt 4.2) zur
Anzeige. Je nach Berechtigung hat der Benutzer nun die
Möglichkeit, den Antrag zu genehmigen oder abzulehnen.
In Abhängigkeit von der gewählten Aktion läuft der Prozess
weiter.

Action Task Ausführung genau eines Jobs, basierend auf den in Bearbei-
tung befindlichen Entrys

Tabelle 4.3 Task-Typen zur Workflow-Steuerung

4.4.5 Provisionierungscontent
Die Kombination von technischen Adaptern zur Sicherstellung der Connectivity
einerseits und konfigurierter und angepasster Jobs und Tasks im Identity Center
andererseits erlaubt also die schnelle Anbindung von Anwendungen in der jewei-
ligen Zielinfrastruktur. SAP liefert diesen Content für die Verwaltung von Identi-
täten auf typischen Systemen der Systemumgebung in Form von Templates und
dem Provisioning Framework für SAP- und Nicht-SAP-Systeme aus. Die Templates
können bei der Entwicklung der Instrumentierung als einzelne Bestandteile bei
der Anbindung der eigenen Systeme genutzt werden. So gibt es beispielsweise Job
und Task Templates für die Anbindung von RSA Clear Trust oder einer Microsoft
SQL Server-Datenbank, die in das Identity Center und die kundenspezifische Ver-
arbeitungslogik integriert werden können.

Das SAP Provisioning Framework geht allerdings noch einen Schritt weiter. Es lie-
fert nicht nur Job und Task Templates aus, die für einzelne Aktionen wie beispiels-
weise die Zuweisung von Rollen, die Anpassung von Benutzerattributen oder das

105


Setzen des Passworts notwendig sind, sondern die komplette Struktur, um
bestimmte Systeme nach einem Schema zu verwalten, das wiederum innerhalb
des Provisioning Frameworks unabhängig vom Systemtyp Gültigkeit besitzt. Das
SAP Provisioning Framework mit seinen Job und Task Templates deckt in der Ver-
sion 7.1 SP01 die folgenden Zielsystemtypen ab:

SAP NetWeaver AS ABAP – Standalone und ZBV
SAP NetWeaver AS Java – User Store UME und LDAP
SAP NetWeaver AS – Double-Stack
Microsoft Active Directory
Sun ONE LDAP Directory
Lotus Notes
SAP BusinessObjects Access Control Integration

Das Provisioning Framework für Lotus sowie die SAP BusinessObjects Access Con-
trol-Integrationskomponenten werden in eigenen Paketen im SDN unter
http://www.sdn.sap.com/irj/sdn/nw-identitymanagement zum Download zur Verfü-
gung gestellt. Mehr Informationen zu den einzelnen Bestandteilen des Provisio-
ning Frameworks und der generellen bzw. systemspezifischen Funktionsweise
der einzelnen Integrationspakete finden Sie in Kapitel 14.

4.4.6 Password Management
Schlagworte wie Single Sign-on (SSO)9 und Password Recovery tauchen in Verbin-
dung mit der Einführung einer Identity-Management-Lösung immer wieder auf.
Das liegt u. a. daran, dass die Vereinfachung der Anmeldung an Systemen und
Anwendungen durch die Vereinheitlichung des Passworts oder die Einführung
von SSO-Mechanismen einer der sichtbarsten Vorteile für den Endanwender dar-
stellen.

Einerseits unterstützt SAP NetWeaver IdM durch die zentrale und sichere Verwal-
tung von Passwörtern im Identity Store die Möglichkeit, Passwörter im Rahmen
von Self-Services mit anschließender Verteilung in die Zielsysteme zurücksetzen
zu lassen. Andererseits muss an dieser Stelle darauf hingewiesen werden, dass jede
Anwendung und jedes System die Einhaltung eigener Regeln und Restriktionen –
sogenannte Password Policys – erfordert. Dies kann in Abhängigkeit von der Anzahl
angebundener Anwendungen durch Konflikte bei den Password Policys (Länge,
Sonderzeichen etc.) zu Problemen führen. Außerdem entsprechen manche

9 Single Sign-on bedeutet, dass ein Anwender nach der einmaligen Eingabe der Anmelde-
informationen auf alle Systeme, Anwendungen und Dienste, für die er berechtigt ist, zu-
greifen kann, ohne sich jedes Mal von Neuem authentisieren zu müssen.

106

Weitere Integrationsthemen 4.5

Anwendungen nicht mehr dem Sicherheitsstandard, der die Verteilung eines Pass-
worts erlaubt, das dann auch für andere kritische Anwendungen Gültigkeit besitzt.
Diese Faktoren sollten bei der Konzeption von Passwort-Management-Funktionen
berücksichtigt werden.

Neben der zentralen Verwaltung eines einheitlichen Passworts unterstützt SAP
NetWeaver IdM auch die Umsetzung von Single Sign-on mithilfe anerkannter
Standardmechanismen, wie beispielsweise der integrierten Windows-Authentifi-
zierung. So können die SAP NetWeaver IdM-Oberflächen zum einen von der
jeweiligen Technologie Gebrauch machen und so konfiguriert werden, dass eine
erneute Anmeldung am IdM UI nach erfolgter Windows-Anmeldung nicht nötig
ist. Zum anderen verteilt SAP NetWeaver IdM wiederum Daten, die für die Akti-
vierung von Single Sign-on in den Zielanwendungen benötigt werden. Als Beispiel
sei an dieser Stelle der SNC-Name (Secure Network Communications) im ABAP-Sys-
tem genannt, der bei der integrierten Windows-Authentifizierung mit dem Prin-
cipal Name aus dem bei der Windows-Anmeldung ausgestellten Kerberos-Ticket10
gefüllt werden muss, um eine Verbindung zwischen dem Ticket und Benutzerein-
trag im Zielsystem herzustellen. SAP NetWeaver IdM ist allerdings keine Anwen-
dung, die zum Aufbau von speziellen SSO-Infrastrukturen, beispielsweise Public-
Key-Infrastrukturen (PKI), genutzt wird. Dafür gibt es auf dem Markt andere
Werkzeuge, die diese speziellen Funktionen zur Verfügung stellen.

Neben den bereits erwähnten Funktionalitäten wird mit SAP NetWeaver IdM
auch ein sogenannter Active Directory Password Hook ausgeliefert. Bei der Anmel-
dung an der Windows-Umgebung »erzwingt« die Password Policy normalerweise
nach einer gewissen Zeit (meistens 60 oder 90 Tage) die Änderung des Domänen-
passworts. Wird SAP NetWeaver IdM zur zentralen Passwortverwaltung und -ver-
teilung genutzt, kann der Password Hook verwendet werden, um das bei der
Anmeldung in der Windows-Domäne geänderte Passwort verschlüsselt an das
Identity Center weiterzuleiten und für die Verteilung des Passworts in andere
Anwendungen zu sorgen.

4.5 Weitere Integrationsthemen
Wurden im vorangegangenen Kapitel allgemeine Prinzipien der Datensynchroni-
sation sowie die verfügbaren technischen Adapter von SAP NetWeaver IdM in
Verbindung mit der von SAP ausgelieferten Provisionierungslogik erörtert, wer-
den in diesem Abschnitt ausgewählte Anwendungsfälle in SAP-Umgebungen
betrachtet, für die entsprechende Integrationspakete ausgeliefert werden. Außer-
dem gehen wir auf die Integration der SAP NetWeaver IdM UI-Komponente in

10 http://de.wikipedia.org/wiki/Kerberos_(Informatik) (Stand: August 2009)

107


einer bereits existierenden Portalumgebung ein. Weitere Integrationsmöglichkei-
ten durch die Nutzung von Middleware-Komponenten wie SAP NetWeaver Pro-
cess Integration (SAP NetWeaver PI) oder das bereits beschriebene SAP VDS sind
ebenso Bestandteil wie die Integration von SAP BusinessObjects Governance Risk
and Compliance (SAP BusinessObjects GRC). Weiterführende Details zur konkre-
ten Umsetzung dieser Szenarien erfahren Sie in Kapitel 15.

SAP liefert zu den wichtigsten Anwendungsfällen Dokumentation in Form eines
generellen Architekturüberblicks sowie eines detaillierten Konfigurationsleitfa-
dens aus, um diese Anwendungsfälle in der eigenen Landschaft mithilfe von vor-
konfigurierten Inhalten schnell umsetzen zu können. Während sich einige Teile
dieser Anwendungsfälle, wie beispielsweise die Anbindung des SAP NetWeaver
Portals oder die Anbindung gängiger Verzeichnisdienste, mit Standardmechanis-
men beschäftigen und sich deshalb die Nutzung der Tasks und Templates aus dem
Provisioning Framework anbietet, lohnt sich die nähere Betrachtung der SAP
HCM-Integration, der erweiterten Business-Suite-Integration sowie der SAP Busi-
nessObjects GRC-Integration, da diese Besonderheiten aufweisen, die über die
reine Provisionierung von Benutzern in Zielsystemen hinausgehen.

4.5.1 Business-Suite-Integration
Personalverwaltungs- und Abrechnungssysteme wie SAP HCM sind meistens von
zentraler Bedeutung für den Aufbau einer Identity-Management-Lösung, da in der
Personalabteilung bereits eine Vielzahl von Informationen über (zukünftige oder
bereits ausgeschiedene) Mitarbeiter zu einem frühen Zeitpunkt verfügbar sind.
Neben den Mitarbeiterdaten werden in SAP HCM auch Organisationsdaten inklu-
sive der Zuordnung zu den Mitarbeitern gepflegt. Oftmals werden im Personalbe-
reich außerdem Employee Self-Services (ESS) zur Verfügung gestellt, um beispiels-
weise Urlaubsanträge im Rahmen des Zeitmanagements elektronisch abzugeben
oder Reisekostenabrechnungen einzureichen. Um diese Prozesse sowie die regel-
mäßigen Abrechnungsläufe ausreichend unterstützen zu können, wird eine mehr
oder weniger gut gepflegte Organisationsstruktur inklusive weiterführender Infor-
mationen zu Leitungsfunktion, Vertreterregelungen etc. benötigt. Neben den rei-
nen Mitarbeiterdaten sind auch diese Daten zur Organisationsstruktur relevant für
eine Identity-Management-Lösung, um einerseits, basierend auf der organisatori-
schen Zuordnung eines Mitarbeiters, (Basis-)Berechtigungen vergeben zu können
und andererseits Prozesse durch Ermittlung von Vorgesetzten steuern zu können.
Damit Mitarbeiterdaten sowie Organisationsdaten in SAP NetWeaver IdM für die
Anlage und Pflege von Identitäten und deren Benutzern sowie für die Initiierung
und Steuerung relevanter Prozesse verwendet werden können, müssen diese im
Identity Store des Identity Centers zur Verfügung stehen. Hierzu werden in der
aktuellen Version 7.1 folgende Komponenten verwendet:

108


SAP Querys im SAP HCM-System zur Rückgabe von Feldwerten relevanter In-
fotypen, beispielsweise IT 0001 für die organisatorische Zuordnung, IT 0002
für die personenbezogenen Daten und IT 0105 für Kommunikationsdaten und
– sofern in SAP HCM gepflegt – den SAP-Login des Mitarbeiters
der LDAP-Konnektor des SAP HCM-Systems zur Übergabe der über die Query
angefragten Daten an den SAP VDS
der SAP VDS selbst zur Verarbeitung der aus der Query resultierenden und über
den LDAP-Konnektor versendeten Daten
SAP NetWeaver IdM-Content für die weitere Verarbeitung und Fortschreibung
der übertragenen Daten aus SAP HCM in den zentralen Identity Store

Die Mitarbeiterdaten werden in SAP NetWeaver IdM zunächst in einen eigenen
Identity Store geschrieben, der wiederum als Reaktion auf neu ankommende oder
sich ändernde Daten eine Fortschreibung unter Berücksichtigung relevanter
Änderungen (Delta Handling) in den eigentlichen Master Identity Store anstößt.
Sowohl für die SAP HCM-Integration als auch für die Business-Suite-Integration
wurde das Identity-Store-Schema erweitert. Eine Liste mit relevanten Attributen
und deren Mapping finden Sie in Anhang B des Konfigurationsleitfadens.

Die aktuelle SAP HCM-Integration erlaubt die Übertragung von Informationen der
in SAP HCM gepflegten Mitarbeiter. Im Rahmen der Standardintegration werden
allerdings keine SAP OM-Objekte (SAP Organisationsmanagement) übertragen.
Das heißt letztlich, dass beim Mitarbeiter zwar beispielsweise die Information vor-
liegt, zu welcher Organisationseinheit er gehört und welche Planstelle er besetzt.
Weiterführende Informationen über die zugeordnete Organisationseinheit oder
Planstelle selbst, wie beispielsweise übergeordnete oder untergeordnete Organi-
sationseinheiten, werden mit der Standardintegration in der Version 7.1 aber
(noch) nicht geliefert.

Um diese Limitation zu umgehen, kann hier die bereits erwähnte Prozessintegra-
tionskomponente SAP NetWeaver PI in Verbindung mit der Standard-HR-Stamm-
datenextraktion auf Basis der ALE-Funktionalität zur Übertragung von entspre-
chenden IDoc-Dateien verwendet werden. Die HCM-Integration kann allerdings
genutzt werden, um im Mitarbeiterstamm eines SAP HCM-Systems oder im dar-
aus resultierenden Ministamm (einer Auswahl an gepflegten Infotypen des Mit-
arbeiterstammes) eines beliebigen SAP ERP-Systems Daten der dort gepflegten
Mitarbeiter zu exportieren, und als Grundlage für personenbezogene Daten die-
nen.

Bisher wurden SAP ERP-Systeme unabhängig vom jeweiligen Modul an SAP Net-
Weaver IdM durch die zur Verfügung stehende Instrumentierung für ABAP-Sys-
teme angebunden. Diese Instrumentierung sorgte letztlich »lediglich« für die auto-
matisierte Anlage, Änderung, Sperrung bzw. Löschung von Benutzern im ABAP

109


User Store (respektive Transaktion SU01) ohne Verbindungen zur Business-Logik
des jeweiligen Moduls zu knüpfen, Verknüpfungen zu Geschäftspartnern herzu-
stellen oder modulspezifische berechtigungsrelevante Informationen zu pflegen.
Mit der erweiterten Business-Suite-Integration stehen diese Funktionalitäten in
SAP NetWeaver IdM Release 7.1 SP02 nun für die Integration in folgende SAP
Business Suite-Module zur Verfügung:

Identity Management für Audit-Management
Identity Management für Buchhaltungssachbearbeiter
Identity Management für SAP Transportation Management
Identity Management für SAP Extended Warehouse Management
Identity Management für SAP Supply Network Collaboration
Identity Management für die Ersatzteilplanung
Identity Management für SAP Product Lifecycle Management
Identity Management für SAP Portfolio and Project Management
Identity Management für SAP Customer Relationship Management
Identity Management für SAP Supplier Relationship Management

Die Voraussetzung ist in den meisten Fällen weiterhin die Replikation der Mitar-
beiterdaten aus SAP HCM. Eine genaue Beschreibung der modulspezifischen
Funktionen kann in der SAP-Bibliothek nachgelesen werden.11

4.5.2 Integration mit SAP BusinessObjects Access Control
SAP BusinessObjects Governance Risk and Compliance (SAP BusinessObjects
GRC) ist eine Suite von Werkzeugen mit Funktionalitäten und Regelwerken aus
dem Bereich des Risiko-Managements. Neben Branchenlösungen und weiteren
Bestandteilen ist die Komponente SAP BusinessObjects Access Control in Bezug
auf SAP NetWeaver IdM von zentraler Bedeutung. Während SAP NetWeaver IdM
den Schwerpunkt auf die konsistente und nachvollziehbare Verwaltung des
Lebenszyklus von Identitäten legt, liefert SAP BusinessObjects Access Control wei-
tere Funktionalitäten im Bereich Rollenmanagement, Segregation of Duties (SoD)
und Superuser Management. SAP spricht beim kombinierten Einsatz von SAP Net-
Weaver IdM und SAP BusinessObjects Access Control von Compliant Identity
Management. Weitere Details zu SAP BusinessObjects GRC im Allgemeinen und
SAP BusinessObjects Access Control im Speziellen finden Sie in Abschnitt 15.4.

11 Benutzerverwaltung und -verteilung mit SAP NetWeaver Identity Management: http://help.
sap.com/erp2005_ehp_04/helpdata/de/43/f49dbbe47a4cd290f04ac607d6a799/frameset.htm
(Stand: August 2009)

110


Besteht beispielsweise die Notwendigkeit, zum Zeitpunkt der Rollenbeantragung
und anschließenden Genehmigung eine Prüfung auf kritische Rechtekombinatio-
nen vorzunehmen und – im Falle einer SoD-Verletzung – korrigierende Maßnah-
men einzuleiten, kommt SAP BusinessObjects Access Control ins Spiel. Da sowohl
SAP BusinessObjects Access Control als auch SAP NetWeaver IdM die Provisio-
nierung von Benutzerkonten in SAP-ABAP-Zielsystemen unterstützen, gibt es bei
der Integration der beiden Werkzeuge generell zwei unterschiedliche Vorgehens-
weisen. Ist SAP NetWeaver IdM das führende System für den Lebenszyklus ver-
walteter Identitäten, startet der Beantragungsworkflow in SAP NetWeaver IdM
und verzweigt – im Falle der Beantragung von Berechtigungsrollen in relevanten
SAP Business Suite-Modulen – in den Workflow von SAP BusinessObjects Access
Control. Dort werden die beantragten Rollen unter Berücksichtigung der bereits
genehmigten und zugewiesenen Rollen gegen die aktuelle SoD-Matrix zur Laufzeit
geprüft. Treten Verletzungen auf, werden Korrekturprozesse, wie beispielsweise
die Genehmigung nach dem Vier-Augen-Prinzip, eingeleitet. Nach eventuell
durchgeführten Korrekturen und nachträglich erfolgter Genehmigung provisio-
niert BusinessObjects Access Control die Änderungen am entsprechenden Benut-
zerkonto in das Zielsystem und teilt SAP NetWeaver IdM den Status der erfolgten
Provisionierung mit. Wurde aufgrund einer stark SAP-zentrischen Anwendungs-
landschaft BusinessObjects Access Control als führendes Werkzeug für die Bean-
tragung von Rollen in der Architekturphase gewählt, startet der Workflow in Busi-
nessObjects Access Control und nutzt die von SAP NetWeaver IdM zur Verfügung
gestellten Identity Services zur Übergabe von Aufträgen zur Provisionierung von
Benutzerkonten in Nicht-SAP-Systemen.

In beiden Fällen tritt der SAP VDS als Integrationskomponente auf den Plan. SAP
liefert für die Integration von SAP NetWeaver IdM und BusinessObjects Access
Control Content für das Identity Center sowie für den SAP VDS aus. Das GRC Pro-
visioning Framework kommuniziert mit dem SAP NetWeaver IdM mithilfe von
Webservices. So stellt BusinessObjects Access Control Webservices zur Verfü-
gung, die durch den SAP VDS aufgerufen werden können. Im SAP VDS stehen wie-
derum Identity Services zur Verfügung, die von BusinessObjects Access Control
genutzt werden, um entweder Statusinformationen oder Provisionierungsauf-
träge an SAP NetWeaver IdM zu übergeben. Detaillierte Informationen zur Inte-
gration finden Sie in Abschnitt 15.4.

4.5.3 Middleware zum Austausch von Daten
Reicht der Funktionsumfang der in der aktuellen Produktversion gelieferten
Adapter und Integrationsinhalte (siehe Abschnitt 5.4) zur Datensynchronisation
und Provisionierung für die Anforderungen im Projekt nicht aus oder bietet sich

111


die Nutzung einer bestehenden Schnittstelle an, gibt es weitere Möglichkeiten,
Daten mit dem SAP NetWeaver IdM-System auszutauschen:

Nutzung einer Middleware-Komponente wie SAP NetWeaver PI zur Übertra-
gung und Transformation von Daten durch von der Middleware unterstützte
Standardadapter und -protokolle
Nutzung des SAP VDS zur Erweiterung des Connector Frameworks sowie der
Bereitstellung von Identity Services zur Anlage, Änderung und Löschung von
Identitätsdaten

Einsatzschwerpunkte können Sie den Anwendungsfällen in Tabelle 4.4 entneh-
men.

Anwendungsfall Passende Middleware
Nutzung vorhandener Schnittstellen beteiligter Kommuni- Nutzung der Standard-
kationspartner, die eventuell bereits zur Übertragung von adapter von SAP Net-
relevanten Daten mit anderen Systemen genutzt werden. Weaver PI
Keine Provisionierung von Benutzerkonten (Adapter und
Beispiele siehe unten).

Nutzung von SPML und LDAP als Schnittstellentechnologie Standardanbindung
für den bidirektionalen Datenaustausch mit dem Quell- über den SAP VDS
/Zielsystem sowie zur Anlage/Änderung und Löschung von (sowohl lesend als auch
Benutzerkonten schreibend)

Anbindung von nicht durch SAP NetWeaver IdM-Standar- Erweiterung des Con-
dadapter unterstützen Anwendungen, die eine Java API für nector Frameworks im
den Datenaustausch zur Verfügung stellen SAP VDS

Tabelle 4.4 Mögliche Einsatzschwerpunkte von SAP VDS und SAP NetWeaver PI

Während der SAP VDS (siehe Abschnitt 4.2) Bestandteil der SAP NetWeaver IdM-
Infrastruktur ist, stellt SAP NetWeaver PI die zentrale Prozessintegrationskompo-
nente der gesamten SAP NetWeaver-Plattform dar. SAP NetWeaver PI besitzt meh-
rere Adapter, die auch im Rahmen einer SAP NetWeaver IdM-Implementierung
von Nutzen sein können.

Das sind u. a.:

IDoc- und RFC-Adapter
Webservice-Adapter
Datenbank-/JDBC-Adapter
File-Adapter

Während der Webservice-Adapter, der Datenbankadapter und der File-Adapter
für die Kommunikation mit SAP NetWeaver IdM genutzt werden können, stellen

112


der IDoc- und der RFC-Adapter Funktionalitäten zur Verfügung, die die Nutzung
schon lange im SAP-Umfeld bestehender und hinreichend geprüfter Schnittstellen
ermöglichen. In Abschnitt 4.5.1 wurde bereits die Übertragung von Daten aus
dem SAP Organisationsmanagement (SAP OM) aus einem SAP ERP-System ange-
sprochen. Für die Verteilung dieser Daten im ERP-Umfeld wird der ALE-Mecha-
nismus zur Übertragung eines dafür vorgesehenen IDoc-Nachrichtentyps genutzt.
Die vorhandene Schnittstelle kann dabei alle SAP OM-Objekte inklusive zeitab-
hängiger Daten und Verknüpfungen extrahieren und per ALE an entfernte Sys-
teme senden.

SAP NetWeaver PI ist durch Nutzung des IDoc-Adapters in der Lage, die versen-
deten IDocs entgegenzunehmen und in ein Format umzuwandeln, das vom Ziel-
system – im vorliegenden Fall SAP NetWeaver IdM – verarbeitet werden kann.
Die Integrationslogik ist damit an zentraler Stelle in der Middleware verfügbar,
und die Schnittstellen sind voneinander entkoppelt. Es lohnt sich also immer, vor-
handene Schnittstellen zu prüfen und dabei auch den Einsatz anderer Infrastruk-
turkomponenten wie SAP NetWeaver PI in Betracht zu ziehen, wenn dadurch
zusätzliche Eigenentwicklungen durch das Customizing von Systemen ersetzt wer-
den können. Die Vorteile liegen dabei vor allem in der besseren Wartbarkeit und
Schnittstellenstandardisierung.

4.5.4 UI-Integration
Eine IdM-Lösung beinhaltet in vielen Fällen sogenannte Self-Services (siehe
Abschnitt 12.1), die die Änderung von Teilen der eigenen Identitätsdaten gestat-
ten oder die Beantragung von zusätzlichen Rechten für sich selbst oder andere
Mitarbeiter beinhalten. Somit ist die Integration der entsprechenden UI-Kompo-
nenten in das Intranet-Portal des Kunden ein wichtiger Bestandteil der Integra-
tionsarbeiten.

In Abschnitt 4.2 wurde bereits die Architektur von SAP NetWeaver Identity
Management 7.1 beschrieben. Die Komponente für das End-User-Interface wird
demnach auf einem beliebigen SAP NetWeaver AS Java-Stack zur Verfügung
gestellt, der entweder dediziert für die Zugriffe auf die SAP NetWeaver IdM-
Inhalte genutzt wird oder aber bereits als SAP NetWeaver Portal oder für andere
SAP NetWeaver-Komponenten im Einsatz ist. Unabhängig davon, welcher Weg
beschritten wird, kann das zentrale Workflow-UI-Element mit den in Abschnitt
4.2.1 dargestellten Registerkarten in eine bestehende Portalnavigation über den
Import eines entsprechenden iViews sowie die Definition von Portalrollen bereit-
gestellt werden. Dieser vorkonfigurierte iView wird mit den Installationsdateien
geliefert. Zusätzlich besteht bei einer SAP NetWeaver Portal-Integration natürlich
die Möglichkeit, für Erweiterungen weitere Standard-iViews zu nutzen, um bei-
spielsweise einem Endanwender zusätzlich eine Startseite mit Erklärungen zu den

113


verfügbaren SAP NetWeaver IdM-Funktionen oder eine Liste mit Links zu verfüg-
baren Antragsformularen im Rahmen der IdM-Navigationsstruktur im Portal zur
Verfügung zu stellen.

Da die UI-Komponenten als Web Dynpro im Java-Stack lauffähig sind und über
HTTP-Anfragen direkt angesprochen werden können, kann auch eine Integration
in andere Unternehmensportale und Intranet-Technologien erfolgen, solange
diese webbasiert sind und die vom SAP NetWeaver Application Server Java zur
Verfügung gestellten Authentisierungsmechanismen unterstützen und somit ein
Single Sign-on (SSO) vom Unternehmensportal zur SAP NetWeaver IdM-Infra-
struktur möglich ist. Beachtet werden muss bei der UI-Integration in jedem Fall,
dass letztlich alle potenziellen SAP NetWeaver IdM-Benutzer – und das sind bei
der Einführung inklusive Self-Services alle im Identity Store aktiv geführten Iden-
titäten – einen Benutzer-Account auf dem jeweiligen Intranet-Portal oder dem für
die Authentisierung genutzten Verzeichnisdienst benötigen (für Informationen
zur UI-Konfiguration siehe Kapitel 8 und 12).

4.6 Monitoring
Wie jede produktiv genutzte Anwendung im Unternehmen erfordert auch der
Einsatz von SAP NetWeaver IdM eine Überwachung der durch das System ausge-
führten Funktionen. Dieser Abschnitt gibt einen kurzen Überblick über die Mög-
lichkeiten und Ansatzpunkte für das Monitoring der SAP NetWeaver IdM-Kom-
ponenten. Detaillierte Informationen zur Interpretation von Job- und Systemlogs
oder zentralen Datenbanktabellen mit verwertbaren Überwachungsinformatio-
nen finden Sie in Kapitel 16. Basierend auf der in Abschnitt 4.2 dargestellten
Architektur, lassen sich die Überwachungsaktivitäten für SAP NetWeaver IdM in
die folgenden Teilbereiche aufteilen:

Überwachung von Betriebssystem und Dateisystem
Unabhängig von der Anwendung sollten die genutzten Server hinsichtlich der
CPU-Auslastung, Dateisystemauslastung, Plattenkapazitäten, der ausgeführten
Prozesse etc. überwacht werden.
Überwachung der genutzten Datenbanken
Die zentrale Komponente der SAP NetWeaver IdM-Architektur bildet die Da-
tenbank. Auch die Datenbank kann im Rahmen bereits vorhandener Überwa-
chungsmechanismen überwacht werden.
Überwachung des End-User UIs
Der SAP NetWeaver AS Java, auf dem die Frontend-Komponenten gehostet
werden, sollte mit den Standardmitteln – beispielsweise Computing Center Ma-

114

Monitoring 4.6

nagement System (CCMS) oder Generic Request and Message Generator (GRMG)
für SAP-Systeme – überwacht werden.
Überwachung spezieller SAP NetWeaver IdM- und VDS-Prozesse
Zusätzlich zu Betriebssystem, Datenbank und Java-Stack kann die Überwa-
chung der Prozesse für Dispatcher und Event Agents aktiviert werden. Die Pro-
zesse sind in Windows-Umgebungen als Windows Service registriert und auf
Unix-Plattformen in deren Startup-Sequenz eingebunden. Die Überwachung
und der Neustart dieser Prozesse im Fehlerfall können mit Standardüberwa-
chungsmechanismen realisiert werden.
Überwachung von Identity Center System Logs und Job Logs
Alle vom Dispatcher ausgeführten Aufgaben und Funktionen zur Synchronisa-
tion und Verteilung von Daten sowie zur Provisionierung von Benutzerkonten
oder Generierung von Berichten produzieren Einträge in Job und System Logs.
Für Jobs kann ein Zielverzeichnis für die Ablage der Log-Dateien für die letzte
Ausführung angegeben werden. Außerdem werden sowohl Job Logs als auch
System Logs in entsprechende Datenbanktabellen geschrieben, die somit auf
Fehler – unter Berücksichtigung der Log-Levels – überwacht werden können.
Außerdem kann in allen Jobs und Tasks ein Skript oder ein weiterer Task hin-
terlegt werden, der im Fehlerfall ausgeführt wird. Zusätzlich kann der Versand
von SNMP Traps (Simple Network Management Protocol) konfiguriert werden.
Durch den Versand von SNMP Traps (standardisierte Datenpakete/Nachrich-
ten) kann eine Integration in gängige Überwachungswerkzeuge erfolgen, die in
der Lage sind, diese Nachrichten zu interpretieren.
Überwachung von VDS Logs
Auch der VDS schreibt – je nach Konfiguration – Log-Dateien in Abhängigkeit
vom konfigurierten Log-Level. Diese Logfiles können mithilfe von Standard-
Monitoring-Werkzeugen ausgewertet werden. Wird der VDS für den Zugriff
anderer Anwendungen auf den Identity Store mittels LDAP oder SPML genutzt,
wird er zur kritischen Komponente und muss unbedingt ausreichend über-
wacht werden. Durch das Deployment der SPML-Services auf einen AS Java
können auch die dort integrierten Überwachungsfunktionen genutzt werden.
Überwachung der Provisionierungswarteschlange und der
Provisionierungstasks
Die korrekte Funktion von SAP NetWeaver IdM basiert auf der asynchronen
Ausführung von anstehenden Provisionierungstasks durch die konfigurierten
Dispatcher. Diese Provisionierungstasks werden gestartet, um auf Basis eines
im Identity Store verwalteten Objekts bestimmte Funktionen anzustoßen und
auszuführen. Hier können bereits Fehler auftreten, bevor Jobs gestartet wer-
den. Diese Fehler sind zunächst ausschließlich im Provisioning Audit (siehe Re-
gisterkarte Überwachung in Abschnitt 4.2) zu finden. Zur automatisierten
Überwachung der ausgeführten und auszuführenden Provisionierungstasks

115


empfiehlt es sich, die Provisioning-Audit-Tabellen in der IC-Datenbank in re-
gelmäßigen Abständen zu lesen und auszuwerten.

Zur Ausführung der aufgelisteten Monitoring-Aktivitäten können verfügbare
Werkzeuge genutzt werden (Beispiele sind: HP Operations Manager, IBM Tivoli
und CA Unicenter). Diese Werkzeuge sind in der Lage, Logfiles auf Muster zu
untersuchen, Prozesse zu überwachen, SNMP Traps auszuwerten sowie spezielle
Überwachungsaktionen auszuführen und eventuell auftretende Fehler an zentra-
ler Stelle zu melden. Meist erlauben diese Tools auch die Konfiguration von Akti-
onen, die den Fehler beispielsweise durch den Neustart des fehlgeschlagenen Pro-
zesses automatisch beheben. Neben den Third-Party-Tools kann auch eine
Integration in das CCMS oder den SAP Solution Manager Diagnostics erfolgen.
Allerdings gibt es in der aktuellen Version hierfür keine vorgefertigten Integrati-
onsvorlagen.

4.7 Reporting
Ein weiterer Grund für die Einführung einer IdM-Lösung ist das Berichtswesen.
Denn was nützt die Verwaltung der Identitätsdaten über ihren Lebenszyklus mit-
hilfe eines ausgefeilten Antragswesens, der regelbasierten Rollenzuordnung und
nicht zuletzt der automatisierten Verteilung der Daten, wenn die Nachvollzieh-
barkeit trotzdem nicht gegeben ist? Um relevante Fragestellungen für Wirtschafts-
prüfer und Auditoren zufriedenstellend beantworten zu können, müssen sowohl
die im System anfallenden Stamm- als auch die Bewegungsdaten über die Zeit vor-
gehalten werden.

Stammdaten sind im Bereich des Identity Managements alle Daten, die die ver-
walteten Identitäten beschreiben. Das sind also sowohl einfache Attribute wie
Vorname, Nachname, Kommunikationsdaten, Eintritts- und Austrittsdatum als
auch zugewiesene Berechtigungen und Verknüpfungen mit Organisationsobjek-
ten. Für diese Daten gibt es für jeden Zeitpunkt einen bestimmten Zustand. Dieser
Zustand kann mithilfe von Datenbankabfragen sowohl aktuell als auch für Zeit-
punkte in der Vergangenheit ermittelt werden, sofern bei der Definition des
Datenmodells (siehe Abschnitt 4.3) auf eine ausreichende Aufbewahrungszeit zur
Historisierung von Daten geachtet wurde.

Bewegungsdaten beziehen sich einerseits auf die durch das System verwalteten
Anträge und andererseits auf zusätzliche Audit-Informationen, mit denen Infor-
mationen über Änderungen festgehalten werden. Durch die Auswertung der
Antragsdaten und der erweiterten Audit-Daten wird die Nachvollziehbarkeit
gewährleistet, die im Rahmen von Gesetzen und Richtlinien zur Einhaltung der
Compliance gefordert wird. Somit lässt sich nicht nur die Frage beantworten, wer

116

Reporting 4.7

wann welche Rechte hatte, sondern auch die Frage, wer die Änderung beantragt,
genehmigt oder durchgeführt hat.

Da SAP NetWeaver IdM, wie eingangs beschrieben, auf einer relationalen Daten-
bank basiert und letztlich alle gesammelten Informationen über konfigurierbare
Zeitintervalle in dieser Datenbank vorgehalten werden, können mit entsprechen-
den Werkzeugen zur Reportgenerierung die benötigten Berichte durch Zugriff auf
die IC-Datenbank erstellt werden. Das Werkzeug Crystal Reports ist der Report
Designer für das Berichtswesen in SAP NetWeaver IdM. Mit seiner Hilfe können
sogenannte Report Templates erzeugt werden (Dateien mit der Endung .rpt), die
in den Identity-Center-Jobs oder Tasks zu Reportdateien in unterstützten Output-
Formaten wie PDF und HTML verarbeitet werden. So kann beispielsweise auf
Anforderung eines Endanwenders ein Report über seinen eigenen Identitätsda-
tensatz erzeugt worden. Ebenso kann ein Vorgesetzter zu jedem Zeitpunkt Berech-
tigungsreports über seine Teammitglieder erzeugen lassen, um die bewilligten
Rechte in regelmäßigen Abständen zu kontrollieren und gegebenenfalls Gegen-
maßnahmen, wie den Entzug von Rollen, einleiten zu können. Details zu den
genannten Report Templates sowie zur Anpassung, Erweiterung und Erstellung
eigener Templates finden Sie in Kapitel 17.

117

Index

A Attribut (Forts.)
mehrwertiges 269, 344, 446
Access Control siehe SAP BusinessOb- MSKEYVALUE 268, 299, 340, 343
jects Access Control MX_ADD_MEMBER_TASK 302, 408
Account 41, 43 MX_APPROVALS 301
priorisierter 35, 36 MX_APPROVERS 302, 405, 408, 410
Action Task 293, 336, 359, 391, 475, MX_ATTR_STATE 411
478, 480 MX_ENTRYTYPE 268, 298
Active Directory siehe Microsoft MX_INACTIVE 299
Active Directory MX_PENDING_VALUE 401, 408
AD siehe Microsoft Active Directory MX_OWNER 300
Administrationskonsole siehe IC Con- MX_VALIDFROM 299
sole MX_VALIDTO 299
Administrationskosten 27 MXMEMBER 272
Admin-Task 181, 485, 486 MXREF 271
AIX 200 Name 269, 325
ALE 79, 152, 603 Personalnummer 314
Replikation 493 Value Help 319, 329
Verteilungsmodell 80, 176 Verschlüsselung 270
Algorithmus 170 zeitliche Abgrenzung 272, 299, 312
Altsystem 129 Audit-Flag 301, 360, 361, 362, 398
Änderungsantrag 53, 186, 187 Audit-ID 368, 415, 569, 570
Antragsprozess 182 Auditing 60
Antragswesen 149, 155 Audit Log 575
Anwendungsfall 314 Aufgabentrennung 38
Application Link Enabling siehe ALE Ausfallsicherheit 550
Applikationsbetreuer 51 Ausfallszenario 61
Approval Queue 568 Ausscheiden, temporäres 34
Approval Task 105, 288, 295, 373, 378, Authentifizierung 551
396, 401, 402, 403, 404, 407, 410 Authentisierung 150, 157, 496, 551
Arbeitsverhältnis 34 Authentizität 44
ARIS for SAP NetWeaver 75 Autorisierung 43
AS Java 65, 69, 251, 258, 478
Attestation 287 B
Attribut 53, 54, 93, 269, 314, 317, 327
Anzeigename 318 Backup 61
Datenfeldtyp 269, 315, 321 BAPI 76
DISPLAYNAME 298 BASEL II 38
Eindeutige Kennung 314, 350 Basistechnologie 66
Entry Reference 271, 272, 320, 343 Batch-Prozess 336
führendes 100 Benutzer
Gruppe 174 Gruppe 73
Historie 270, 328 Konto 26, 27, 34, 35, 42, 51, 150, 276
Lebensdauer 318 Name 179
Mapping 290 Verwaltungssystem 56

623

Index

Berechtigung 27, 31, 33, 34, 51, 275, Crystal Reports siehe SAP Business-
305 Objects Crystal Reports
Antrag 30 CTS+ 600
Eintrag 47
Konzept 28, 529 D
kritische 533
Management 38 Data Security Officer 245
Steuerung 300 Daten
Vererbung 281 Analyse 29, 43
Vergabe 27, 31, 39, 40, 41, 47 Änderung 30, 46, 53
Zuordnung 278, 304, 306, 312 historische 31, 35, 43
Best Practice 55, 433 Hoheit 315, 324
Bestandsaufnahme 57 Konsolidierung 168
Betriebskonzept 60 Modell 174, 177, 266
Bilanzskandal 26 Modellierung 91, 94, 97, 98, 269, 297,
Blacklist-Szenario 52 314, 325
Bottom up 57, 58, 127 personenbezogene 28
BPM 604 Qualität 27, 30, 31, 45, 121, 127, 159,
Brute Force 201 171
Bugfixing 553 Quelle 99, 159, 172, 315, 418
Built-in-Function 104, 471 Schiefstand 555
Business Application Programming Inter- Sicherheit 31
face 76 Synchronisation 59, 98, 100, 125, 141,
Business Case 57, 59 142, 324, 391, 428
Business Package 73 Transformation 290, 341, 343, 349,
Business Process Management 604 352, 419, 421
Business-Suite siehe SAP Business Datenbankmanagementsystem (DBMS)
Suite 252
Delta-Datenbank 428, 430
C Delta-Ermittlung 176
Delta-Mechanismus 416, 428, 429, 506
CAD 200 Demosystem 546
CCMS 116 Deprovisionierung 29, 35, 52
Challenge-/Response-Frage 230 Task 276
Change and Transport System, erweiter- Destination Script 406
tes 600 Dienst, zentraler 146
Change-Log-Datenbank 46 Digitale Identität 32, 42, 46
Cluster-Verbund 550 Dispatcher 88, 255, 261, 357
Compliance 24, 26, 31, 38 Distinguished Name 179, 516
Compliant Identity Management 110, Dokumentenmanagementsystem (DMS)
164, 195, 532, 534, 540 199
Computer-Aided Design 200 Domäne 154
Computing Center Management System Dynamische Gruppe 284, 311
116
Conditional Task 295, 396, 397, 398, E
476
Corporate Directory 495 EAI 511
Corporate Identity 60, 592 EAR 520
Effizienz 31

624

Index

E-Government 23 F
Einarbeitungszeit 33
Eingabevalidierung 319, 384 Fachbereich 56
Eingebaute Funktion 104, 367, 471 Fachkonzept 167
Eintrag, Historie 571, 572 Fehler
Elternzeit 25, 34 Behandlung 363, 393
E-Mail 43, 190, 371 Quelle 363
Employee Self-Service 108, 196 Skript 359, 362
Enterprise Application Integration 511 vorübergehender 363, 365
Enterprise Archive 520 Feinkonzept 171
Enterprise Services Directory 76 Firmenbuchhaltung 25, 26
Enterprise Services Repository 76 Formatierung 170
Enterprise Single Sign-on 244 From-Pass 417, 418, 419
Entgelt-Rahmenabkommen 194 Frontend-Gestaltung 293
Entity-Relationship-Modell 314 Function-Set-Rolle 511
Entry Funktion
anlegen 345 eingebaute 104, 367, 471
löschen 345 uError 364, 371
Entry Report Sample 578 uGetErrorInfo 366, 368
Entry Type 93, 298, 314, 325, 374 uProvision 471
Hierarchie 322 uSkip 364, 370
MX_APPLICATION 95 Funktionalrolle 50
MX_ASYNC_REQUEST 95
MX_COMPANY_ADDRESS 95, 471 G
MX_DYNAMIC_GROUP 94, 284, 311
MX_GROUP 95, 472 Genehmigung 406, 408
MX_PENDING_VALUE 94, 300, 302, anstehende 570
312 Konzept 38
MX_PERSON 94, 263, 302 Prozess 57, 272, 302, 404, 406, 408
MX_PRIVILEGE 94, 275, 305 Sammelgenehmigung 52
MX_REPORT 95, 313, 586 Workflow 43, 60
MX_REPOSITORYNAME 465 Generic Task 469
MX_ROLE 94, 278, 308 Geschäftsmodell 57
ORG_UNIT 322 Geschäftsprozess 24, 66
Entscheidungsprozess 66 Geschäftsrolle 49, 51, 57, 96, 128, 278
Entwicklungssystem 546 Gesetzesanforderung 26
ERA 194 Global Event Task 468
Eskalationsroutine 52 Global Unique Identifier 210, 557
ESS 108, 196 Governance, Risk und Compliance (GRC)
ESSO 244 24, 31, 281
EuroSOX 26 GRC Provisioning Framework 411, 537,
Event 542
Agent 46, 255 Gruppe 27, 40
Scheduling 427 dynamische 284, 311
Task 412, 413 GUID 210, 557
Exchange Server 154

625

Index

H IC (Forts.)
Passwortrücksetzung 388
Handlungsanweisung 26 Pflichtattribut 376
Hash 239 Provisionierungswarteschlange 461
Hochverfügbarkeit 550 Rechenintensität 548
Human Resources (HR) 44 Referenz 557
Hypertext Preprocessor 238 regulärer Ausdruck 238, 385
Releasewechsel 485
I Repository 100, 273
Rule-Based Provisioning 468
IC 82, 83, 600 Suchergebnis einschränken 374
Action Task 475, 478, 480 Template 105
Adapter 101, 141 Überwachung 85, 114
Änderung anzeigen 386 Verwalten 85, 374
Anzeigeelement 383 Wert vorgeben 384
Arbeitsvorrat 85 Wizard 435
Attribut darstellen 382 Zu erledigen 85, 373
Attribut platzieren 380 Zugriffssteuerung 387
Benutzeroberfläche 373 IC Console 83, 86, 206, 392
Bestandteile 249 Connection String 260
Best Practice 433 Konfiguration einrichten 260
Caching-Einstellung 377 Fehlersuche und Test 259, 261
Client Library 253 Installation 256, 552
Datei bereitstellen 383 Manager Privilege 263
dynamischer Filter 389 Runtime-Komponente einrichten 261
eindeutiger Schlüssel 251 Verbindung einrichten 260
Eingabefeld 383 Voraussetzungen 256
Eintrag ändern 378 Warnung 563
Eintrag erstellen 375 IC Runtime 88, 292, 356
Enable Trace 571 Installation 256
erweiterte Suche 377 Produktivumgebung 547
Fehlerbehandlung 564 Voraussetzungen 255
grafische Hierarchie 385 IC-Datenbank
Gültigkeit von Zuweisungen 385 Benutzer und Datenbankrollen 254
Historie 85 Bereitstellung 251
Historische Werte anzeigen 386 Fehlersuche und Test 255
Import 559 Installation 253
JDBC-Treiber 253 Oracle-Client-Paket 253
Konfiguration 260 Sicht MXIV_ALL_SENTRIES 328
Layout 379 Sicht MXIV_SENTRIES 328, 333
LinkGroup 473 Sicht MXPV_AUDIT 331
Log auf Task-Ebene 568 Transport 555
Maske direkt aufrufen 378 Voraussetzungen 253
Mehrsprachigkeit 382 Identität 26, 53, 135, 302
Meldungstext 567 digitale 32, 35, 46, 53, 136, 204
Monitoring 85, 114 Identity Center siehe IC
Objekt updaten 557 Identity Lifecycle 32, 493
Optionsfeld 383 Identity Store 87, 266, 346, 368
Passworteingabe 384 Audit-Flag 301, 360, 361, 398

626

Index

Identity Store (Forts.) Implementierung 55
Entry löschen 345 Incident Management 125
inaktiver Entry 401 Informationshoheit 45
löschen 556 Information Integration 68
MSKEY 268, 272, 299, 355 Init Task 295, 361, 406, 412
Sichtbarkeit von Entrys 300 Initial Load 172, 180, 215, 438, 440,
Transport 557 442
Identity-Store-Schema 91, 92, 266, 267, Insellösung 27
326, 329, 374 Installation 165
Anzeigename 298 Integration 108
Anzeigetext 268 ALE-Replikation 507
Entry Type 267 BAdI-Implementierung 496, 508
Mehrsprachigkeit 268 Identity Lifecycle Management 493
Standardschema 271, 297, 317, 324 Middleware 111, 142
IdM UI 84, 262, 265, 601 SAP BusinessObjects Access Control 110
Fehlersuche und Test 258, 263 SAP BusinessObjects GRC 110
keys.ini 258 SAP Business Suite 108, 302, 493, 496,
Voraussetzungen 257, 258 497, 507, 508, 510
Wertehilfe 451 SAP HCM 90, 108, 493, 494, 497
IdM-Projekt SAP NetWeaver PI 108, 497
Abhängigkeiten 136 SAP NetWeaver Portal 493, 495
agile Methode 138 User Interface 113
Altsystem ablösen 129 Verzeichnis 142
Anforderungsanalyse 132, 137, 144 Interessengruppe 126
Begriffsdefinition 128, 135 Intermediate Document 76, 176
Benutzerfreundlichkeit 125 Issue-Tracker 226, 228
Change Management 131 IT-Administration 25
dynamisches Umfeld 136 ITIL 55, 125
Ebenenmodell 141 IT Infrastructure Library siehe ITIL
Erfolgsfaktoren 123 IT Practice 67
iteratives Vorgehen 137, 138, 139 IT-Service-Level 55
Kernprojekt 120 IT-Szenario 67
Kosten-Nutzen-Rechnung 123 iView 73
Phase 120, 126, 140
Programm 119, 128 J
Proof of Concept 135
Roadmap 128, 140 Java Database Connectivity siehe JDBC
Schnittstelle 141 Java Runtime Environment 255
Stakeholder 126, 130 JCo siehe SAP Java Connector
Steuerungskomitee 133 JDBC 552
Team 144 Adapter 511
Umfang 140, 141 Konnektor 176
Verantwortung 119, 133 Treiber 253, 258
Voraussetzungen 134, 135 URL 258
Vorgehensmodell 131, 137, 160, 161, Job 292, 356, 394
172 Ausführung 347
Widerstand 122, 127, 129 Definition 24
Zieldefinition 127, 128 Fehler 358
IDoc 76, 176 Kette 296

627

Index

Job (Forts.) LDAP (Forts.)
Logging 293, 331, 366, 562, 565 Server-Konfiguration 502
Provisionierung 335 Transaktion LDAP 502
Standardjob 287, 296, 348, 415 LDAP Data Interchange Format (LDIF)
Status 565 102
Template 292, 416, 438, 560 Least Privilege 39
Update-Job 181 Level of Trust 45, 231
JRE 255 Lightweight Directory Access Protocol
siehe LDAP
K Line Manager Report Sample 578
Lizenz 25, 31, 36, 54, 61
Kennung, eindeutige 350 Log-Level 568, 574
Kerberos 107, 551 LOT 45, 231
Kick-off-Workshop 165 Lotus Notes/Domino 433
Klasse
DSEEntry 353, 366 M
FromSAPIdentify 444
Kompensierende Kontrolle 525, 530 Mailsystem 43
Komplexität 27, 66, 72 Management-Support 158
Komponente 562 Manager Self-Service 196
Konfiguration 260, 261, 500, 502, 519, Mandantenfähigkeit 266
540, 556 Master Data Management siehe SAP
Konnektor 46, 47, 49, 176, 443, 511, NetWeaver Master Data Management
602 Mechatronic Corporate Directory (MCD)
FromCustom 444 200
FromSAP/FromSAPIdentity 444 Mehrfach-Account 41
FromSPML 444 Mehrsprachigkeit 190, 235, 268, 382
ToLDAP 479 Member Event 408, 411, 412
ToSAP/ToSAPIdentity 474 Metaverzeichnis 81, 162, 324
ToSPML 478 Microsoft
Konsolidierung 168 Active Directory 27, 88, 178, 179, 287,
Konstante 292 391, 445, 479
globale 273 Exchange 154
lokale 274, 339 Ministamm 152
MX_RECONCILE 283 Mitarbeiter 43, 183
Repository 101, 273, 306, 338, 465, Mitigating Control 525, 530
470, 587 Mitigation 195
Verschlüsselung 274 Modifikation 565
Konzeptionierung 55 Monitoring 114, 562
Kosten 27, 30, 123 MSS 196
Mutterschutz 34
L
N
Lasttest 546
Laufzettel 30, 53 Neueinstellung 33
LDAP 142, 259, 267, 602 New Economy 25
Feld-Mapping 503 Non-Person 211
Konnektor 498, 501 NWA 71, 257
LDAP Listener 561 NWDI 603

628

Index

O Pass (Forts.)
Typ 336
Objekt Verify-Pass 450
DSEEntry 351 Write-Pass 447
Klasse 92, 93 Zieldatensatz 348
On-Boarding-Prozess 171 Password Management 42, 59, 81, 106,
Open Database Connectivity (ODBC) 397, 552
552 integrierte Windows-Authentifizierung
Ordered Task Group 105, 294, 373, 392, 107
393, 397 Kerberos-Ticket 107
Organisation 27 Password Hook 107, 239
Einheit 171, 494, 512 Password Policy 106, 205
Hierarchie 175, 176 Password Recovery 106
Modell 59 Secure Network Communications 107
Organisationsmanagement 77, 152, 170, Self-Service 59, 106
494 Single Sign-on 106
Arbeitsplatzbeschreibung 512, 534 Synchronisation 30
Infotyp 497, 513 People Integration 67, 68
Modell 508 Personalabteilung 44
Personalbereich 497 Personalstammdaten 34, 124
Planstelle 50, 171, 494, 512 Personenobjekt 49
Stelle 497, 512 PHP 238
Organizational Unit (OU) 233 PKI 107
Owner Repository 100 Priorisierter Account 35, 36
Privilege 47
P Privilege Sample 578
Produktivität 28, 33
Pass 289, 335, 348 Produktivumgebung 547
aktivieren 416 Projektmanagement, agiles 136
changeType 342, 345 Projektvorgehen 131, 136, 160, 161,
Destination 340, 418, 421 172
FromCustom-Pass 443, 451 Protokollierung 25, 26, 53, 330
FromLDAP-Pass 290, 444 Prototyping 166, 172
From-Pass 289, 417, 418, 419 Provisionierung 29, 47, 52, 53, 81, 103,
Leerstring 344 105, 141, 142, 157, 335, 391, 416
NULLATTR 345 Prozess 287, 306, 335, 412, 462
Parameter 586 Task 335, 336
Platzhalter 338, 341 von Attributen 464
Präfix 420 von Berechtigungen 465
Quelldatensatz 348, 351 Warteschlange 332, 348
Read-Pass 443 Provisioning Audit 569, 570
Source 421, 423 Provisioning Framework siehe SAP
Template 336, 346 Provisioning Framework
ToCustom-Pass 337, 474 Provisioning Queue 569
ToGeneric-Pass 292, 353, 450 Prozess 287
ToIdentityStore-Pass 289, 337, 340, Antragsbegründung 272
345, 353, 424 Antragswesen 149, 155
ToLDAPDirectory-Pass 423 Attestation 287
To-Pass 289, 420, 423 Batch-Prozess 336

629

Index

Prozess (Forts.) Risikopotenzial 41
Effizienz 31 Roadmap 128, 140, 162
Genehmigungsprozess 57, 272, 302, ROI 31, 206, 606
404, 406, 408 Role Report 582
Instanz 288, 330 Role Sample 578
Integration 67 Role Tree 583
Personaladministration 34, 124 Rolle 277, 278, 308
Reconciliation 44, 287 Berechtigungsrolle 262
Standardisierung 144 Berechtigungsvererbung 281
Standardjob 287, 296, 348, 415 Definition 41, 134
Steuerung 81 Einschränkung 309
Pull 46 Geschäftsrolle 49, 51, 57, 96, 128, 278
Push 46 Hierarchie 281, 283
Kombination 38
Q Konzept 41
Modell 59
Qualitätssicherung 25, 61, 546 Role-based Access Control (RBAC) 277,
Quellsystem 173 281
Quick Win 59, 140, 246 SAP-Rolle 27
technische 40, 47, 96, 275, 305
R Zuweisung 194, 282, 283, 308
Rolling-Wave-Verfahren 236
Read-Pass 443 Runtime Library 583
Rechte
Akkumulation 28, 34, 127 S
Deaktivierung 28
Trennung siehe Segregation of Duties Sabbatical 34
Reconciliation 44, 287 Salted Hash 201, 240
Regular Expression 238, 385 Sammelkonto 35
Regularien 25 SAP Business Suite 153, 478, 507, 508,
Relation 271, 272, 316, 320 510
Containerbeziehung 271, 275, 304, Integration 108, 302, 493, 496, 497,
316, 322 507, 508, 510
Kardinalität 316, 320, 323 SAP BusinessObjects
Remote Function Call 76, 502 Compliant User Provisioning (CUP) 525
Reporting 26, 54, 60, 82, 98, 116, 149, Enterprise Role Management (ERM)
157, 332, 577 526, 529
Report Sample 578, 584, 598 GRC 110, 524
Report Task 584 Risk Analysis & Remediation (RAR) 525,
Sub-Report 578 529
SQL-Anfrage 333, 334 Standardregelsatz 532
Repository 305, 339, 362, 417 Superuser Privilege Management (SPM)
Konstante 101, 273, 306, 338, 465, 526
470, 587 SAP BusinessObjects Access Control 90,
Return on Investment siehe ROI 110, 411, 525, 604
Revision 31 Live-Risikoanalyse 544
Rezertifizierung 143, 144 Mitigating Control 525, 530
RFC 76 Webservice-API 539
Destination 502

630

Index

SAP BusinessObjects Crystal Reports SAP NetWeaver Identity Management
Crystal Reports 2008 591, 592, 593, (Forts.)
598 Installationshilfe 252
Entry Report 578 MaxWare 80
Line Manager Report 578, 580 Mindestanforderungen 250
PDF 585 Releasewechsel 437
Privilege Report 581 Risikoanalyse 539
Registerkarte »Report« anzeigen 589 SAP NetWeaver Master Data Manage-
Report Sample 578, 584, 598 ment (MDM) 68, 146, 434, 511
Role Report 582 SAP NetWeaver Portal 50, 65, 72, 73,
Role Tree 583 153, 179
Runtime Library 583 Integration 493, 495
Server 598 SAP NetWeaver Process Integration (PI)
Sub-Report 578 67, 74, 108, 153, 497, 511, 512, 513,
SAP Customer Relationship Management 603
(CRM) 32, 602 SAP NetWeaver Rapid Installer 251
SAP Enterprise Resource Planning (ERP) SAP Provisioning Framework 105, 177,
150 274, 277, 305, 324, 393, 394, 416,
SAP Human Capital Management (HCM) 421, 433
108, 147, 152, 493, 494, 497, 603 Adressattribut 472
Extraktionsreport 506 Anpassung 484
HCM Staging Identity Store 499, 500 Attribut »Account« 457
HR LDAP-Interface 497 Clean IS MS-SQL with Delta 461
ID-Generierung 504 Clean Staging Area 461
Initialpasswort 505 Datentyp 447
Integration 497 Delta-Handling 453
Master Identity Store 499 Erweiterung 485
Rückverteilung 499 Event Task »Modify« 464
Zuordnungstabelle 498 Event Task »ModifyUser« 464, 470
SAP Java Connector (SAP JCo) 68, 70, Exchange Server 481
256 Externer Mitarbeiter 484
SAP NetWeaver Administrator 71, 257 Firmenadresse 471, 472
SAP NetWeaver Application Server Java Importprozess 437
siehe AS Java Komponenten 434
SAP NetWeaver Application Server ABAP LDAP-basiertes Directory 479
475, 526 MX_COMPANY_ADDRESS 471
SAP NetWeaver Business Warehouse MX_REPOSITORYNAME 465
(BW) 153 Projektphase 436
SAP NetWeaver Composition Environ- Provision Job Template 440
ment (CE) 604 Reset Delta Job 461
SAP NetWeaver Developer Workplace Scheduling 453
251 Service Job Template 440, 460
SAP NetWeaver Development Infrastruc- Template 435
ture 603 Update Job Template 440, 441
SAP NetWeaver Identity Management 79 Update Template 452
Architektur 82, 90 Zwischentabelle 446
Datenbankplattform 252 SAP Query 497, 498, 503
Download der Pakete 253 SAP Solution Manager 152, 603
Funktionstrennung 530 SAP Standalone Log Viewer 573

631

Index

SAP Supplier Relationship Management Sicherheit (Forts.)
(SRM) 32 Risiko 27
SAP Virtual Directory Server (VDS) 82, SID 169
89, 176, 500, 514, 548, 600, 604 Simple and Protected GSSAPI Negotiation
Classpath 259 Mechanism 551
Console 576 Simple Network Management Protocol
Datenquelle 561 siehe SNMP
Fehlersuche und Test 259 Single Sign-on siehe SSO
GRC-Template 541 Sizing 545
Identity Service 90, 111, 491, 514, 515, Skript 292, 338, 367, 423, 487
516, 517 Destination Script 353, 355
Installation 258 Entry Script 347, 348, 351, 353, 354
Keystore 552 Fehlerskript 365, 367
Konfiguration 519 globales 292, 349
Konnektor 515 Init Script 347
Monitoring 259 JavaScript 292, 349, 356
MX_ASYNC_REQUEST 518 Parameterübergabe 350
Operation Log 574 Termination Script 347, 348
Passwortschutz 552 Visual Basic Script (VBScript) 292, 356,
Persistenzschicht 515 481
Produktivumgebung 547 Skriptfunktion 348
Standardprotokoll 514 uApplyPending() 410
Statistik 575 uGetApprovers 406
Synchrone Kommunikation 515 uProvision() 415
Test Mode 576 uSendSMTPMessage 406
Transport 560 SLD 71
Überwachungsmöglichkeit 573 SNC 107, 551
Voraussetzungen 258 SNMP 115, 565, 566, 576
Web Services Client 521 SOA 76
Sarbanes-Oxley Act 26, 38 Software Deployment Manager siehe
Scheduling Rule 425, 426 SDM
Schlüsselattribut 93 Solution Support 62
Scope Creep 140 Solvency II 38
SDM 68, 257, 520, 554 SOX 26, 38
Secure Network Communications 107, SPML 142, 259, 514, 561, 604
551 SPNEGO 551
Security Identifier 169 Sponsor 121
Segregation of Duties (SoD) 38, 110, SQL
164, 195, 278, 280, 525 Anfrage 333, 334
Selbstadministration 59 Filter 388
Self-Service 85, 106, 127, 182, 190, 378, Prozedur 398
483, 579, 585 SQL-Anweisung
Servertechnologie 68 %MSKEY% 399
Service Pack 553 für Delta-Mechanismus 431
Serviceorientierte Architektur (SOA) 76 Hilfsdialog 401
Service Provisioning Markup Language in Conditional Tasks 398
siehe SPML in Switch Tasks 400
Sicherheit 25, 26, 134 in To-Passes 423, 424
Lücke 34 Spaltenname 421

632

Index

SSL 551 Task 293, 360, 392, 412
SSO 68, 73, 106, 114, 150, 157 Action Task 293, 336, 359, 391, 475,
Staging 478, 480
Area 461 Admin-Task 181, 485, 486
Konzept 499 Approval Task 288, 295, 301, 373,
Stakeholder 121, 130, 140 396, 401, 402, 404, 407, 410
Analyse 126 Ausführungsergebnis 367
Anwendungsbetreuung 123 Case-Zweig 396, 399, 400
Betriebsrat 124 Conditional Task 295, 396, 397, 398,
Datenschutz 124 476
Fachabteilung 120, 123 Else-Zweig 399
IT-Architektur 143 Ergebnis 571
IT-Sicherheit 125 Fehlerbehandlung 295, 361, 367
Key User 123 Generic Task 467, 469
Personalabteilung 124 Global Event Task 464, 467, 468
Priorisierung 122, 126 Historie 571
Senior Management 122 Init Task 295, 361, 406, 412
User Helpdesk 125 löschen 395
Stammdaten 149, 155, 176 Lost and Found 396
Standalone Log 573 Ordered Task Group 105, 294, 373,
Standardjob 287, 296, 348, 415 392, 393, 397
Event Scheduling 427 Provisionierungstask 104, 276, 278,
Exportprozess 423 335, 336, 412
Importprozess 416 Report Task 584
Repository 417 Switch Task 105, 295, 476
zeitabhängiger Prozess 424 Struktur 463, 466
Stellvertreter 42, 52 System Type Specific Task 467, 473
Stored Procedure 102, 398 Task Group 294, 373, 392, 393
Sub-Report 578 Task-ID 392, 406
Switch Task 105, 295, 396, 398, 399, Task-Ordner 396
476 Timeout 402
Sync Utility 463, 556 Unordered Task Group 105, 294, 373,
Synchronisation 28, 30, 44 392, 394
System Landscape Directory 71 Verlinkung 395
System Log 566, 568 Verzögerung 360
System Vorübergehender Fehler 363, 365
Berechtigung 33, 53 Web-Enabled Task 467, 482, 486
Heterogenität 66 Wiederholung 295, 365
Management 25 Wiederverwendung 294
Performance 37 Tätigkeitsprofil 36
Protokoll 566, 568 Technische Rolle 40, 47, 275, 305
Wiederherstellung 550 Technischer Adapter 102, 103
Testsystem 546
T Tier-1-Lieferant 197
Timeboxing 126, 139
Tabelle To-Pass 289, 420, 423
logentries 430 Top down 57, 58, 127
MXI_VALUES 327 Trace Log 566, 568
temporäre 418 Transparenz 27

633

Index

Transportsystem 166 Vier-Augen-Prinzip 38
Transportwesen 554 Virtual Directory Server siehe SAP VDS
Triple DES 270 Visual Administrator 72, 257
Visual Basic Script (VBScript) 292, 356,
U 481

UDDI 76 W
UI 66, 68, 83, 189, 392, 403, 412
UME 70, 142, 150, 179 WAM 204
UML 314 Warenwirtschaftssystem 66
Umorganisation 33 Wartung 61
Umzug, initialer 555 Web Access Management 204
Universal Description, Discovery and Web-Enabled Task 467, 482, 486
Integration 76 Web Service Definition Language 76
Universal Worklist 85 Webservice-Adapter 511
Unordered Task Group 105, 294, 373, Webservice-API 539
392, 394 Wertbetrachtung 195
Unternehmensportal 146 Whitelist-Szenario 52
Unternehmensrichtlinien 42 Widerstand 122
Upgrade 553 Wiederaufnahmebericht 231
Usability 60, 160 Wirtschaftsprüfung 25
Use Case 314 Workflow 43, 186, 190, 191
User Interface siehe UI Prozess 51
User Management Engine siehe UME Steuerung 97
User Store 547 Write-Pass 447
UWL 85 WSDL 76

V Z
Variable 274, 292, 339, 350, 372 ZBV 59, 66, 74, 79, 80, 146, 150, 152,
VDS siehe SAP VDS 177, 204, 243, 458
Verbindungssicherheit 551 Master 74, 79, 152
Verify-Pass 450 Ablösung 59
Verknüpfung 171 Zeitplan 296, 357, 425, 426, 427
Versionskontrolle 560, 561 Zentrale Benutzerverwaltung siehe
Verteilungsparameter 458 ZBV
Verwaltungskonzept 28 Zentraler Dienst 146
Zielsystem 275
Zugriff 26
Anforderung 24
Berechtigung 24, 41
Regel 389
Zuverlässigkeit 26

634

Sappres Netweaver Identity Management

Weitere ähnliche Inhalte

Was ist angesagt?

Andere mochten auch

Ähnlich wie Sappres Netweaver Identity Management

Sappres Netweaver Identity Management