SlideShare ist ein Scribd-Unternehmen logo
Peter Gergen, Loren Heilig, Andreas Müller




SAP NetWeaver Identity Management
                     ®




                                             Bonn   Boston
Auf einen Blick

1    Einleitung ............................................................................ 17

2    Identity Management in Unternehmen .............................. 23

3    SAP NetWeaver Identity Management
     im Kontext von SAP NetWeaver ........................................ 65

4    SAP NetWeaver Identity Management im Überblick ........ 79

5    Tipps und Tricks im Identity-Management-Projekt ........... 119

6    Identity Management bei der Industrie GmbH .................. 145

7    Identity Management bei Mechatronic .............................. 197

8    Installation und Setup ........................................................ 249

9    Grundlegende Konzepte von SAP NetWeaver Identity
     Management ....................................................................... 265

10   Datenmodellierung ............................................................. 297

11   Modellierung von Provisionierungstasks ........................... 335

12   Frontend-Gestaltung des SAP NetWeaver IdM
     User Interfaces .................................................................... 373

13   Prozessmodellierung ........................................................... 391

14   SAP Provisioning Framework ............................................. 433

15   Weiterführende Integrationsthemen ................................. 491

16   Betrieb von SAP NetWeaver IdM ....................................... 545

17   Reporting ............................................................................ 577

18   Zusammenfassung und Ausblick ........................................ 599

A    Weiterführende Literatur ................................................... 609

B    Die Autoren ......................................................................... 619
Inhalt

1   Einleitung ............................................................................. 17
    1.1     Überblick und Einordnung .......................................................      18
    1.2     Projektvorgehensmethoden und Fallbeispiele ..........................                 20
    1.3     Technische Details und Referenzen ..........................................          20


2   Identity Management in Unternehmen ............................... 23
    2.1     Motivationen für die Einführung von Identity Management .....                         25
            2.1.1 Gesetzeskonformität und Wirtschaftsprüfung ..............                       25
            2.1.2 Sicherheitsrisiken reduzieren .......................................           27
            2.1.3 Kostenreduktion durch Automatisierung und
                     Prozessoptimierung .....................................................     30
    2.2     Lifecycle einer Identität im Unternehmen ................................             32
    2.3     Sammelkonten und priorisierte Accounts .................................              35
    2.4     Vergabe von Systemberechtigungen ........................................             37
    2.5     Identity-Management-Lösungen ..............................................           41
            2.5.1 Anforderungen an das Identity Management ..............                         42
            2.5.2 Leistungen einer Identity-Management-Lösung ..........                          44
            2.5.3 Abgrenzung des Identity Managements vom
                     Systemmanagement ....................................................        55
            2.5.4 Organisatorische Integration von Identity
                     Management ..............................................................    55
    2.6     Aspekte der Projektierung .......................................................     56
            2.6.1 Modelle der Herangehensweise ..................................                 57
            2.6.2 Fragestellungen in Bezug auf die Zielarchitektur ..........                     59
            2.6.3 Betriebskonzept ..........................................................      60
    2.7     Zusammenfassung ...................................................................   64


3   SAP NetWeaver Identity Management im Kontext von
    SAP NetWeaver .................................................................... 65
    3.1     Von der SAP-Basis zu SAP NetWeaver .....................................              66
    3.2     Verwaltung von Identitäten in SAP NetWeaver ........................                  69
    3.3     SAP NetWeaver Application Server Java ..................................              69
    3.4     User Management Engine ........................................................       70
    3.5     SAP NetWeaver Administrator .................................................         71
    3.6     SAP NetWeaver Portal .............................................................    72
    3.7     Zentrale Benutzerverwaltung ...................................................       74



                                                                                                   7
Inhalt



     3.8   SAP NetWeaver Process Integration ........................................                     74
           3.8.1 System Landscape Directory ........................................                      75
           3.8.2 Enterprise Services Repository .....................................                     76
           3.8.3 Enterprise Services Directory .......................................                    76
     3.9   SAP Human Capital Management ............................................                      76
           3.9.1 Personalmanagement ..................................................                    77
           3.9.2 Organisationsmanagement ..........................................                       77


4    SAP NetWeaver Identity Management im Überblick .......... 79
     4.1   Historie ...................................................................................    79
     4.2   Architektur ..............................................................................      82
           4.2.1 Identity Center ............................................................              83
           4.2.2 SAP Virtual Directory Server ........................................                     89
           4.2.3 Gesamtarchitektur – Identity Center und SAP VDS ......                                    90
     4.3   Daten- und Rollenmodell ........................................................                91
           4.3.1 Daten- und Rollenmodell im Identity Store .................                               93
           4.3.2 Datenmodellierung und Workflows .............................                             97
           4.3.3 Datenmodellierung und Reporting ..............................                            98
     4.4   Datensynchronisation und Provisioning ...................................                       98
           4.4.1 Prinzipien der Datensynchronisation ...........................                           99
           4.4.2 Quell- und Zielsysteme ...............................................                   100
           4.4.3 Technische Adapter ....................................................                  101
           4.4.4 Provisionierungslogik und Workflows ..........................                           103
           4.4.5 Provisionierungscontent ..............................................                   105
           4.4.6 Password Management ...............................................                      106
     4.5   Weitere Integrationsthemen ....................................................                107
           4.5.1 Business-Suite-Integration ...........................................                   108
           4.5.2 Integration mit SAP BusinessObjects Access
                   Control .......................................................................        110
           4.5.3 Middleware zum Austausch von Daten .......................                               111
           4.5.4 UI-Integration .............................................................             113
     4.6   Monitoring ..............................................................................      114
     4.7   Reporting ................................................................................     116


5    Tipps und Tricks im Identity-Management-Projekt ............ 119
     5.1   Organisatorische Fallstricke .....................................................             121
           5.1.1 Vielzahl von Beteiligten und Betroffenen .....................                           121
           5.1.2 Zielkonflikte ................................................................           127
           5.1.3 Persönliche Widerstände .............................................                    129
           5.1.4 Organisatorisch begründete Widerstände ....................                              131
           5.1.5 Mangelnde organisatorische Reife ...............................                         134


8
Inhalt



    5.2   Komplexitätsrisiken .................................................................     135
          5.2.1 Ungeklärte Begriffe .....................................................           135
          5.2.2 Dynamisches Umfeld ...................................................              136
          5.2.3 Unklare Abgrenzung des Projektumfangs ....................                          140
          5.2.4 Viele Schnittstellen .....................................................          141
          5.2.5 Komplexe Prozesse .....................................................             143


6   Identity Management bei der Industrie GmbH ................... 145
    6.1   Ausgangssituation ....................................................................    146
    6.2   Systemlandschaft .....................................................................    150
          6.2.1 SAP-Umgebung ..........................................................             151
          6.2.2 Windows-Umgebung ..................................................                 154
    6.3   Anforderungen ........................................................................    155
          6.3.1 Stammdaten ...............................................................          155
          6.3.2 Prozesse und Antragswesen ........................................                  155
          6.3.3 Berechtigungsverwaltung ............................................                156
          6.3.4 Reporting ....................................................................      157
          6.3.5 Provisionierung ...........................................................         157
          6.3.6 Authentisierung/Single Sign-on ...................................                  157
    6.4   Herausforderungen ..................................................................      158
    6.5   Integriertes Projektvorgehen ....................................................         160
          6.5.1 Roadmap und Phasenansatz ........................................                   161
          6.5.2 Kick-off-Workshop ......................................................            165
          6.5.3 Installation einer zweistufigen Systemlandschaft .........                          165
          6.5.4 Detaillierung des Fachkonzepts ...................................                  167
          6.5.5 Vorbetrachtung des Zielprozesses zur Anlage neuer
                   Identitäten ..................................................................   167
          6.5.6 Vorbereitende Maßnahmen zur
                   Datenkonsolidierung ...................................................          168
          6.5.7 Geplante Nutzung des Organisationsmanagements in
                   SAP HCM ....................................................................     170
          6.5.8 Erstellung der Feinkonzeption .....................................                 171
    6.6   Umsetzung der Identity-Management-Lösung .........................                        172
          6.6.1 Phase 1: Aufbau einer konsistenten Datenbasis ...........                           172
          6.6.2 Phase 2: Self-Services und Genehmigungsprozesse ......                              182
    6.7   Zusammenfassung und Ausblick ..............................................               191
          6.7.1 Phase 3: Vollständige Integration der
                   Berechtigungsverwaltung ............................................             192
          6.7.2 Phase 4: Integration von SAP BusinessObjects
                   Access Control ............................................................      194
    6.8   Wertbetrachtung der Einführung von SAP NetWeaver IdM ......                               195


                                                                                                      9
Inhalt




7    Identity Management bei Mechatronic ............................... 197
     7.1    Entwicklung der IT bei Mechatronic ........................................                   199
     7.2    Projektinitiierung .....................................................................      204
     7.3    Projektvorbereitungen .............................................................           207
     7.4    Erste Schritte – Meilenstein 1.0 ...............................................              211
            7.4.1 Konzeptionsphase .......................................................                211
            7.4.2 Implementierungsphase ..............................................                    213
            7.4.3 Stabilisierungsphase ....................................................               218
     7.5    Weitere Integrationen – Meilenstein 2.0 ..................................                    219
            7.5.1 Anforderungen der Fachbereiche nach Meilenstein 1.0                                     220
            7.5.2 Implementierung von Meilenstein 2.0 .........................                           222
            7.5.3 Stabilisierungsphase ....................................................               226
     7.6    Zwischenphase – Meilenstein 2.1 ............................................                  227
            7.6.1 Erfassung der Folgeanforderungen ..............................                         228
            7.6.2 Implementierung von Meilenstein 2.1 .........................                           230
            7.6.3 Stabilisierung ..............................................................           234
     7.7    Zwischenphase – Meilenstein 2.2 ............................................                  236
            7.7.1 Implementierung von Meilenstein 2.2 .........................                           238
            7.7.2 Stabilisierungsphase ....................................................               243
     7.8    Projektende mit Meilenstein 3 .................................................               244
     7.9    Lessons Learned ......................................................................        246


8    Installation und Setup ......................................................... 249
     8.1    Vorbereitungen .......................................................................        249
            8.1.1 Planung der Systemumgebung ....................................                         249
            8.1.2 Bereitstellung des AS Java ...........................................                  251
            8.1.3 Bereitstellung der IC-Datenbank .................................                       251
     8.2    Installation ..............................................................................   252
            8.2.1 Installation der IC-Datenbank .....................................                     253
            8.2.2 Installation der IC Runtime .........................................                   255
            8.2.3 Installation der IC Console ..........................................                  256
            8.2.4 Installation des SAP NetWeaver Identity
                     Management User Interfaces .......................................                   257
            8.2.5 Installation des SAP Virtual Directory Servers ..............                           258
     8.3    Einrichtung und Bereitstellung .................................................              260
            8.3.1 Einrichtung der Identity-Center-Konfiguration ............                              260
            8.3.2 Einrichtung von Dispatcher und Event Agent
                     Service ........................................................................     261
            8.3.3 Bereitstellung des SAP NetWeaver Identity
                     Management UIs in SAP NetWeaver Portal .................                             262



10
Inhalt




9   Grundlegende Konzepte von SAP NetWeaver Identity
    Management ........................................................................ 265
    9.1     Datenhaltung ..........................................................................   265
            9.1.1 Datenmodell des Identity Centers ...............................                    266
            9.1.2 Globale Konfiguration: Repositorys, Konstanten und
                    Variablen ....................................................................    273
    9.2     Rollen und Berechtigungen ......................................................          275
            9.2.1 Berechtigungen im Identity Center ..............................                    275
            9.2.2 Rollen .........................................................................    277
            9.2.3 Aufbau von Rollenhierarchien .....................................                  281
            9.2.4 Änderung von Rollen oder Rollenhierarchien ..............                           283
    9.3     Regelbasierte Rollenzuweisung ................................................            283
    9.4     Tasks und Prozesse ..................................................................     286
            9.4.1 Passes .........................................................................    289
            9.4.2 Scripting .....................................................................     292
            9.4.3 Jobs ............................................................................   292
            9.4.4 Tasks ...........................................................................   293
            9.4.5 Scheduling von Standardjobs ......................................                  296


10 Datenmodellierung ............................................................... 297
    10.1    Standard-Schema .....................................................................     297
            10.1.1 Allgemein verwendete Attribute .................................                   298
            10.1.2 Entry Type »MX_PERSON« ..........................................                  302
            10.1.3 Entry Type »MX_PRIVILEGE« ......................................                   305
            10.1.4 Entry Type »MX_ROLE« ..............................................                308
            10.1.5 Entry Type »MX_DYNAMIC_GROUP« .........................                            311
            10.1.6 Entry Type »MX_PENDING_VALUE« ...........................                          312
            10.1.7 Entry Type »MX_REPORT« ..........................................                  313
    10.2    Erweiterung des Datenmodells ................................................             313
            10.2.1 Datenmodellierung für SAP NetWeaver IdM ...............                            314
            10.2.2 Definition neuer Attribute ...........................................             317
            10.2.3 Definition neuer Entry Types .......................................               322
            10.2.4 Attributdefinitionen anpassen .....................................                324
            10.2.5 Tipps zur Datenmodellierung ......................................                 325
    10.3    Tabellen in der IC-Datenbank ..................................................           326
            10.3.1 Repräsentation von Nutzdaten und
                    Systemkonfiguration ...................................................           327
            10.3.2 Tabellen für Laufzeitinformationen ..............................                  330
            10.3.3 Besonderheiten für das Reporting ...............................                   332




                                                                                                        11
Inhalt




11 Modellierung von Provisionierungstasks ............................ 335
     11.1   Pass-Konfiguration ...................................................................       335
            11.1.1 Vorlagen und Platzhalter .............................................                338
            11.1.2 Repositorys, Variablen und Konstanten .......................                         339
            11.1.3 Source konfigurieren ...................................................              340
            11.1.4 Destination konfigurieren ............................................                340
            11.1.5 ToIdentityStore-Pass ...................................................              345
            11.1.6 Ablauf einer Jobausführung .........................................                  347
            11.1.7 Einsatz von Skripten ....................................................             348
            11.1.8 ToGeneric-Pass ...........................................................            353
     11.2   Jobkonfiguration ......................................................................      356
            11.2.1 Einstellungen ..............................................................          356
            11.2.2 Ergebnisbehandlung ....................................................               358
     11.3   Task-Konfiguration ..................................................................        359
            11.3.1 Ablaufsteuerung ..........................................................            360
            11.3.2 Ergebnisbehandlung ....................................................               361
            11.3.3 Repository ..................................................................         362
     11.4   Fehlerbehandlung und Ausfallsicherheit ...................................                   363
            11.4.1 Wiederholungen von Tasks .........................................                    365
            11.4.2 Fehlerskripte ...............................................................         365
            11.4.3 Tasks bei Fehlern aufrufen ...........................................                367
     11.5   Ausgewählte eingebaute Funktionen für Skripte ......................                         367
            11.5.1 Informationen über die Laufzeitumgebung
                    ermitteln .....................................................................      368
            11.5.2 Zugriff auf Entrys im Identity Store ..............................                   368
            11.5.3 Steuerung der Jobausführung ......................................                    370
            11.5.4 Hilfsfunktionen ...........................................................           370
            11.5.5 Zugriff auf Konstanten und Variablen ..........................                       372


12 Frontend-Gestaltung des SAP NetWeaver IdM
   User Interfaces ..................................................................... 373
     12.1   Konfiguration im Frontend ......................................................             373
            12.1.1 Generelle Konfiguration von Task Groups ....................                          374
            12.1.2 Direkter Aufruf von Task Groups und Approval
                     Tasks ...........................................................................   378
     12.2   Anordnung von Attributen und Elementen ..............................                        379
     12.3   Darstellung von Werten ...........................................................           382
     12.4   Zugriffssteuerung .....................................................................      387
            12.4.1 Zugreifende Identität festlegen ....................................                  387
            12.4.2 Zugriff auf Identitäten festlegen ..................................                  389


12
Inhalt




13 Prozessmodellierung ............................................................ 391
    13.1   Modellierung von Provisionierungsprozessen ...........................                    391
           13.1.1 Gruppieren von Provisionierungstasks .........................                     392
           13.1.2 Verzweigungen ...........................................................          396
           13.1.3 Genehmigungsschritte in Prozesse einfügen ................                         401
           13.1.4 Member Events ...........................................................          407
           13.1.5 Starten von (Sub-)Prozessen ........................................               412
    13.2   Modellierung von Batch-Prozessen ..........................................               415
           13.2.1 Importprozesse ...........................................................         416
           13.2.2 Exportprozesse ............................................................        423
           13.2.3 Zeitabhängige Prozesse ...............................................             424
           13.2.4 Scheduling ..................................................................      425
           13.2.5 Delta-Mechanismus ....................................................             428


14 SAP Provisioning Framework ............................................... 433
    14.1   Überblick über das SAP Provisioning Framework .....................                       434
           14.1.1 Bestandteile des SAP Provisioning Frameworks ...........                           434
           14.1.2 SAP Provisioning Framework in den Projektphasen .....                              436
    14.2   Importprozesse ........................................................................   437
           14.2.1 Importprozesse erstellen .............................................             437
           14.2.2 Übersicht der Templates für Importjobs ......................                      440
           14.2.3 Aufbau und Funktionsweise von Initial Load
                   Templates ...................................................................     442
           14.2.4 Aufbau und Funktionsweise von Update Templates ....                                452
           14.2.5 Datenkonsolidierung mit Importprozessen ..................                         455
           14.2.6 Weitere Standardjob-Templates ..................................                   460
    14.3   Provisionierungsprozesse .........................................................        462
           14.3.1 Konfiguration der Provsionierungsprozesse .................                        462
           14.3.2 Ablauf von Provisionierungsprozessen .........................                     463
           14.3.3 Task-Struktur des SAP Provisioning Frameworks ..........                           466
           14.3.4 Rule-Based Provisioning mit dem SAP Provisioning
                   Framework ..................................................................      468
           14.3.5 Provisionierung in die Zielsysteme ...............................                 473
           14.3.6 Vordefinierte Frontend-Masken ..................................                   482
           14.3.7 Erweitern der Provisionierungsprozesse .......................                     484


15 Weiterführende Integrationsthemen ................................... 491
    15.1   Typische Anwendungsfälle für die Anbindung von Systemen ... 492
           15.1.1 SAP HCM-Integration ................................................. 494



                                                                                                       13
Inhalt



             15.1.2 SAP NetWeaver Portal-Umgebung ..............................                          495
             15.1.3 Erweiterte SAP Business Suite-Integration ...................                         496
     15.2    Stammdatenverteilung und Synchronisation ............................                        497
             15.2.1 SAP HCM-Standardintegration ....................................                      497
             15.2.2 Erweiterte SAP Business Suite-Integration ...................                         507
             15.2.3 Nutzung von SAP NetWeaver Process Integration .......                                 511
     15.3    SAP Virtual Directory Server und Identity Services ...................                       514
             15.3.1 Standardprotokolle und Identity Services ....................                         514
             15.3.2 Konfiguration und Deployment ...................................                      516
             15.3.3 Identity Services – Beispiele ........................................                521
     15.4    SAP BusinessObjects GRC-Integration ......................................                   524
             15.4.1 Überblick über die GRC-Produkte der SAP ..................                            524
             15.4.2 Compliance-Phasen des
                     Berechtigungsmanagements ........................................                    528
             15.4.3 Compliant Identity Management .................................                       532
             15.4.4 Kommunikation zwischen den Komponenten .............                                  536
             15.4.5 Compliant Identity Management – Konfiguration der
                     Komponenten .............................................................            540


16 Betrieb von SAP NetWeaver IdM ........................................ 545
     16.1    Infrastruktur ............................................................................   545
             16.1.1 Sizing und Hochverfügbarkeit ......................................                   545
             16.1.2 Sicherheit ....................................................................       551
             16.1.3 Upgrades ....................................................................         553
     16.2    Transportwesen .......................................................................       554
             16.2.1 Transport der IC-Datenbank ........................................                   554
             16.2.2 Transport der Identity-Center-Konfiguration ...............                           556
             16.2.3 Transport der SAP Virtual Directory Server-
                      Konfiguration ..............................................................        560
     16.3    Monitoring ..............................................................................    562
             16.3.1 Jobprotokoll ................................................................         562
             16.3.2 Systemprotokoll und Trace-Protokoll ..........................                        566
             16.3.3 Genehmigungswarteschlange, Provisionierungs-
                      warteschlange und Provisionierungsaudit ....................                        568
             16.3.4 Historie von Einträgen .................................................              571
             16.3.5 Monitoring des SAP Virtual Directory Servers ..............                           573


17 Reporting .............................................................................. 577
     17.1    Report Samples ....................................................................... 578
             17.1.1 Entry Report ............................................................... 578



14
Inhalt



           17.1.2 Line Manager Report ..................................................                  580
           17.1.3 Privilege Report ..........................................................             581
           17.1.4 Role Report ................................................................            582
    17.2   Setup der Reporting-Funktionalität ..........................................                  583
           17.2.1 Installation und Konfiguration der Runtime Library .....                                583
           17.2.2 Erstellen eines Report Tasks im Identity Center ...........                             584
           17.2.3 Anfordern von Reports im IdM UI ...............................                         588
           17.2.4 Anzeigen von Reports .................................................                  589
    17.3   Eigene Reports erstellen ..........................................................            591
           17.3.1 Corporate Identity Report ...........................................                   592
           17.3.2 Conditional Format Report ..........................................                    594
           17.3.3 Data Transformation Report ........................................                     596
           17.3.4 Query Report ..............................................................             598


18 Zusammenfassung und Ausblick .......................................... 599
    18.1   Aktueller Stand ........................................................................       599
           18.1.1 Identity Center ............................................................            600
           18.1.2 SAP Virtual Directory Server ........................................                   600
           18.1.3 SAP NetWeaver IdM User Interface ............................                           601
           18.1.4 SAP NetWeaver IdM und SAP BusinessObjects
                   Access Control ............................................................            601
           18.1.5 SAP NetWeaver IdM und SAP BusinessObjects
                   Crystal Reports ............................................................           602
           18.1.6 Verfügbare Konnektoren im Identity Center ................                              602
           18.1.7 SAP NetWeaver IdM und SAP HCM ............................                              603
    18.2   Ausblick und »Wunschliste« für zukünftige
           Produktversionen ....................................................................          603
           18.2.1 Integration in den SAP Solution Manager ....................                            603
           18.2.2 Verschmelzung mit SAP BusinessObjects Access
                   Control .......................................................................        604
           18.2.3 SAP NetWeaver Composition Environment und
                   Business Process Management ....................................                       604
           18.2.4 Vorgefertigtes, sofort einsatzbereites Berichtswesen ....                               605
    18.3   Organisatorische Herausforderungen .......................................                     605
           18.3.1 Schaffung der organisatorischen Akzeptanz von
                   SAP NetWeaver IdM ...................................................                  605
           18.3.2 Etablierung eines durchgängigen und aktuellen
                   Fachrollenmodells .......................................................              606
    18.4   Schluss ....................................................................................   606




                                                                                                           15
Inhalt




      Anhang ................................................................................. 607
A     Weiterführende Literatur ....................................................................          609
      A.1   Bücher und Artikel ...................................................................           609
      A.2   Onlinequellen nach Kapiteln ....................................................                 610
B     Die Autoren .......................................................................................    619

Index ......................................................................................................... 623




16
SAP NetWeaver IdM ist zentraler Bestandteil der SAP NetWeaver-
         Plattform. Es wird zur Verwaltung von Identitäten und deren Berech-
         tigungen in SAP- sowie Nicht-SAP-Systemlandschaften verwendet. Die-
         ses Kapitel gibt einen Überblick über die zugrundeliegende Architektur
         von SAP NetWeaver IdM sowie die damit verbundenen Konzepte und
         Funktionalitäten.




4        SAP NetWeaver Identity Management
         im Überblick

Dieses Kapitel vermittelt einen Überblick über die Funktionen, Komponenten und
Besonderheiten von SAP NetWeaver Identity Management (SAP NetWeaver IdM)
und ist damit in erster Linie an Architekten und Projektleiter gerichtet. Es eignet
sich aber auch grundsätzlich zum Einstieg, um einen ersten Überblick über die Ein-
satzmöglichkeiten dieser Komponente zu bekommen. Um die Hintergründe für
die Integration einer Identity-Management-Lösung in das SAP NetWeaver-Portfo-
lio näher zu beleuchten, gehen wir zunächst kurz auf die Historie der Benutzer-
verwaltung in SAP-Umgebungen ein. Anschließend werden die Systemkompo-
nenten im Rahmen der SAP NetWeaver IdM-Architektur beschrieben und
grundlegende Konzepte der Datenmodellierung in Verbindung mit dem Standard-
datenmodell betrachtet, um dann wiederum im Rahmen der Datensynchronisa-
tion und Provisionierung auf die Verfügbarkeit und Funktionsweise mitgelieferter
Adapter einzugehen. Alle in diesem Kapitel aufgegriffenen Aspekte werden im
technischen Teil des Buches, beginnend mit der Installation in Kapitel 8, detail-
lierter beschrieben.



4.1      Historie
Mit der Zentralen Benutzerverwaltung (ZBV) steht in SAP-Landschaften bereits seit
dem R/3-Release 4.5B bzw. 4.6C ein Werkzeug zur Verfügung, mit dem eine zen-
trale Verwaltung von Benutzer- und damit verbundenen Berechtigungsinformati-
onen in einer SAP-ABAP-Landschaft möglich ist. Die ZBV nutzt dabei die zur Daten-
verteilung mithilfe von IDocs vorhandenen ALE-Mechanismen. Mithilfe von ALE
können Benutzerdaten sowie deren zugewiesene Berechtigungsrollen in dafür




                                                                                79
4   SAP NetWeaver Identity Management im Überblick



    definierten Nachrichtentypen an die angebundenen ZBV-Tochtersysteme übertra-
    gen und – je nach den Customizing-Einstellungen – kann ein Rückfluss von lokal
    gepflegten Attributen aus den Tochtersystemen ermöglicht werden.

    Die Nutzung der ALE-Technologie hat neben einigen Vorteilen allerdings auch
    einen zentralen Nachteil: Der Mechanismus ist grundsätzlich Systemen vorbehal-
    ten, die in der Lage sind, über entsprechende ALE-Verteilungsmodelle Daten aus-
    zutauschen. Somit ist eine Nutzung der ZBV zur Verwaltung von Benutzer- und
    Berechtigungsinformationen in ihrem vollen Funktionsumfang auf den AS ABAP
    beschränkt, sofern nicht weitere R/3-Basisfunktionalitäten wie beispielsweise der
    LDAP-Adapter genutzt werden. In Abhängigkeit von der Konfiguration eines AS
    Java-Systems können auch dessen Berechtigungen durch die ZBV verwaltet wer-
    den. Allerdings sind hierfür manuelle Zusatzarbeiten notwendig, um die Berech-
    tigungsobjekte des Java-Systems mit den im angebundenen ABAP-User-Store ver-
    fügbaren Rollen zu verknüpfen. Neben den technischen Restriktionen bei der
    Verwaltung unterschiedlicher Zielsystemtypen legt die ZBV außerdem den Fokus
    auf die in der ABAP-Benutzerpflege (Transaktion SU01 Benutzerpflege Ein-
    stieg) pflegbaren Attribute und Daten und unterstützt dabei keinerlei Prozesssteu-
    erung zur Beantragung und/oder Genehmigung von Berechtigungsoperationen.

    Betrachtet man das Thema Identity Management im Kontext einer zunächst sys-
    temunabhängigen zentralen Verwaltung von Identitäts- und Zugriffsdaten (siehe
    Kapitel 2), ist der Schritt der SAP nur konsequent, ein Werkzeug zu entwickeln,
    das eine historisch gewachsene und heterogene Systemlandschaft, bestehend aus
    SAP-Systemen, Verzeichnisdiensten, Windows-Anwendungen sowie Datenbank-
    anwendungen und sonstigen Eigenentwicklungen mit Identitäts- und Berechti-
    gungsinformationen versorgen kann. Bis zu diesem Zeitpunkt gab es für SAP-Kun-
    den, die ihre Identitäten zentral verwalten wollten, letztlich nur zwei Alternativen:
    entweder ein Third-Party-Tool1 für die Verwaltung der kompletten Systemumge-
    bung einzusetzen oder die ZBV für die SAP-Umgebung zu nutzen und für die rest-
    lichen Systeme ein anderes Werkzeug zu integrieren.

    Die Erweiterung des SAP NetWeaver-Portfolios durch ein Identity-Management-
    Werkzeug für heterogene System- und Anwendungslandschaften wurde mit der
    Akquisition von MaxWare in die Tat umgesetzt – mit dem Anspruch, weiterhin
    die komplexer werdende SAP-Umgebung hinsichtlich Identitätsdaten verwalten
    und zusätzlich auch Nicht-SAP-Systeme an dieselbe zentrale Identity-Manage-
    ment-Infrastruktur anbinden zu können.




    1 Perkins, Earl; Carpenter, Perry: Magic Quadrant for User Provisioning. Gartner RAS Core
      Research Note G00159740. http://mediaproducts.gartner.com/reprints/novell/159740.html
      (1.06.2009)




    80
Historie   4.1


Die Computerwoche schrieb am 14. Mai 2007: »Identity-Management-Systeme die-
nen in komplexen Applikationsumgebungen dazu, Benutzer- und Zugriffsrechte
übergreifend zu verwalten. Einerseits senkt dies die Verwaltungskosten, anderer-
seits erhöht es die Sicherheit. Da in serviceorientierten Umgebungen eine Vielzahl
unterschiedlicher Softwarekomponenten, Unternehmen (Lieferanten, Kunden und
Partner) sowie Endanwender miteinander interagieren, steigt dort der Bedarf an
Identity-Management.«2 SAP NetWeaver IdM nimmt damit in Zukunft mit einem
erweiterten Funktionsumfang durch Genehmigungsworkflows, Reporting-Funkti-
onalität, die Nutzung komplexer Rollenmodelle und Regelwerke zur Automatisie-
rung der Berechtigungsverwaltung sowie zusätzlicher Adapter für die Anbindung
weiterer Anwendungen die Position der ZBV ein. Die von SAP NetWeaver IdM
bereitgestellten Funktionalitäten lassen sich wie folgt zusammenfassen:

   Metaverzeichnis
   Synchronisation, Konsolidierung und zentrale Datenhaltung der zu verwalten-
   den Identitätsdaten in einem auf einer relationalen Datenbank basierenden Me-
   taverzeichnis, dessen Datenmodell flexibel erweitert werden kann.
   Prozesssteuerung
   Aufbau komplexer Workflows zur Verwaltung der Identitätsdaten und Bean-
   tragung von Berechtigungen mit Workflow-Mechanismen wie beispielsweise
   der Umsetzung mehrstufiger Genehmigungsstrategien auf Basis paralleler und
   sequenzieller Verarbeitung von Anträgen durch Budgetverantwortliche, Vor-
   gesetzte, Daten- oder Systemverantwortliche inklusive der dynamischen Ermitt-
   lung von Prozessbeteiligten sowie der Konfiguration von Eskalations- und Be-
   nachrichtigungsmechanismen. SAP NetWeaver IdM erlaubt zusätzlich sowohl
   die Nutzung von Self-Services als auch die Möglichkeit delegierter Administra-
   tionsaufgaben in Abhängigkeit von Organisation, Zuständigkeit oder anderen
   gepflegten Attributen.
   Automatisierte und regelbasierte Provisionierung
   Auf Regelwerken basierende Anlage, Modifikation und Sperrung/Löschung
   von Benutzern in den angebundenen und verwalteten Systemen. Durch die Ab-
   bildung hierarchischer Rollenmodelle ist sowohl eine explizite (direkte) als
   auch eine implizite (vererbbare) Zuweisung von Berechtigungen unter Berück-
   sichtigung von gepflegten SoD-Konflikten (Segregation of Duties) durch SAP
   NetWeaver IdM möglich.
   Password Management
   Zentrale Verwaltung und Provisionierung von Passwörtern in SAP NetWeaver
   IdM inklusive der Abbildung von Szenarien zur Passwortrücksetzung.


2 Niemann, Frank: Update: SAP füllt mit MaxWare eine lange klaffende Lücke in NetWeaver.
  http://www.computerwoche.de/knowledge_center/enterprise_resource_planning/592733/
  (14.05.2007)




                                                                                     81
4   SAP NetWeaver Identity Management im Überblick



         Reporting und Audit
         Erzeugung von Berichten auf den aktuellen und den historischen Datenbestand
         mithilfe von SAP BusinessObjects Crystal Reports.

    Die Abschnitte dieses Kapitels beschreiben die Architektur, die zentralen Kompo-
    nenten sowie die Hauptfunktionalitäten und Prinzipien von SAP NetWeaver IdM.
    Ziel ist es, einen grundsätzlichen Überblick zu geben und die wichtigsten Begriffe
    und Möglichkeiten in den Bereichen Datenmodellierung inklusive Rollenmodel-
    len (siehe Kapitel 10) und Workflow-Steuerung (siehe Kapitel 13), Provisionierung
    (siehe Kapitel 11 und Kapitel 14), Monitoring (siehe Kapitel 16) und Reporting
    (siehe Kapitel 17) einführend zu erläutern.



    4.2       Architektur
    SAP NetWeaver IdM besteht aus zwei zunächst unabhängigen Komponenten: dem
    Identity Center (IC) und dem SAP Virtual Directory Server (SAP VDS). Das Identity
    Center bildet mit seinem Datenmodell auf Basis einer relationalen Datenbank, das
    mithilfe der Administrationskonsole ohne Programmieraufwand erweitert wer-
    den kann, das »Herzstück« des eigentlichen Identity-Management-Systems und
    stellt somit die im letzten Abschnitt beschriebenen grundlegenden Funktionalitä-
    ten zur Verfügung. Die Verwendung einer relationalen Datenbank bietet dabei,
    verglichen mit einem reinen Verzeichnisdienst, zusätzlich den Vorteil der trans-
    aktionalen Sicherheit. Während in einem Verzeichnisdienst immer die aktuelle
    Repräsentation eines Objekts in Form einer flachen Liste von Attributen abgelegt
    wird, erlaubt die Nutzung einer relationalen Datenbank außerdem die Speiche-
    rung historischer Werte sowie die Verknüpfung weiterer Daten beispielsweise zu
    Reporting-Zwecken.

    Der SAP Virtual Directory Server hingegen stellt die Funktionalität für den zentra-
    len und virtualisierten Echtzeitzugriff auf mehrere Datenquellen im Sinne einer
    Middleware mit speziellen Transformationsfunktionen – wie beispielsweise der
    Transformation von Attributwerten oder der Anreicherung aus anderen Daten-
    quellen zum Zeitpunkt der Abfrage – und der Unterstützung bestimmter, im IdM-
    Umfeld gängiger Protokolle wie LDAP oder SPML3 (Service Provisioning Markup
    Language) zur Verfügung. Dies gilt sowohl für den Zugriff auf externe Datenquel-
    len (aus Sicht des Identity Centers) als auch für den Zugriff auf die im Identity Cen-


    3 SPML ist ein offener Standard für die Integration und Übermittlung von Service-Provisio-
      nierungsanfragen. SPML Version 1.0 wurde im Oktober 2003 von OASIS (Organization for
      the Advancement of Structured Information Standards) als Standard freigegeben. Aktuelle In-
      formationen finden Sie unter http://www.oasis-open.org/specs/index.php#spmlv2.0 (Stand: Au-
      gust 2009).




    82
Architektur   4.2


ter verwalteten Identitätsdaten (für Beispiele relevanter Anwendungsfälle siehe
Abschnitt 4.2.2).


4.2.1      Identity Center
Das Identity Center lässt sich in drei Ebenen (siehe Abbildung 4.1) unterteilen:

   UI-Komponenten
   Datenbank und Identity Store(s)
   Laufzeitkomponenten (IC Runtime)

In den folgenden Abschnitten werden die oben dargestellten Bestandteile des
Identity Centers näher erläutert. Eine vierte Ebene bilden die Quell- und Zielsys-
teme, auf die wir in Abschnitt 4.4 eingehen werden.


   UI-Komponenten (1)

           Administrator Console               Überwachung/Workflow und End-User-Interface




     Microsoft Management Console (MMC)               SAP NetWeaver Application Server Java




                                          IC-Datenbank (2)



                    Event                                                 (De-)Zentrale
                   Agent(s)
                                           IC Runtime (3)                  Dispatcher




        SAP NetWeaver    SAP NetWeaver      Verzeichnis-                             Sonstige
                                                              Datenbanken
            ABAP              Java            dienste                                Nicht-SAP

                                     Quell- und Zielsysteme (4)


Abbildung 4.1 Bestandteile des Identity Centers


In Bezug auf die UI-Komponenten besteht das Identity Center (IC) aus zwei Teilen:
dem SAP NetWeaver IdM UI, das auf dem Java-basierten Teil des AS Java instal-
liert wird4, und der Administrationskonsole (IC Console) für Entwicklungs- sowie

4 Die unterstützten Versionen können Sie – wie auch für andere SAP NetWeaver-Komponen-
  ten – der Product Availability Matrix (PAM) unter http://service.sap.com/pam entnehmen
  (Stand: August 2009).




                                                                                                      83
4   SAP NetWeaver Identity Management im Überblick



    Konfigurations- und Customizing-Arbeiten, die mithilfe eines Plug-ins in der Mi-
    crosoft Management Console (MMC) zur Verfügung gestellt wird.

    Auf dem SAP NetWeaver AS werden neben dem Monitoring-Interface die Kom-
    ponenten für den Zugriff auf das zentrale End-User-Interface und die damit ver-
    fügbaren Workflow-Masken bereitgestellt. Die Benutzerverwaltung eines ange-
    bundenen AS Java (UME) zur Bereitstellung der UI-Komponenten enthält die
    Benutzer, die später Zugriff auf Identity-Management-Inhalte in Form von Em-
    ployee- oder Manager-Self-Services haben sollen. Dabei gelten bei der UME-Konfi-
    guration keine Einschränkungen bezüglich nutzbarer Authentisierungsquellen. In
    allen Fällen gilt, dass das Identity Center für die Anlage, Änderung und Verteilung
    der Benutzer in dem entsprechenden User Store sorgt und somit den verwalteten
    Identitäten einen Zugang zum IdM UI zur Änderung persönlicher Daten oder
    Beantragung von Zugriffsrechten bzw. sonstigen Ressourcen gestattet.

    Die Web-Dynpro-Komponenten für die Workflow-Masken werden zumeist auf
    einer bestehenden SAP NetWeaver-Portal-Landschaft aktiviert. Ein zentrales
    Unternehmensportal stellt in vielen Unternehmen bereits heute den Einstieg in
    zahlreiche Applikationen dar, beispielsweise Anwendungen aus dem Personalbe-
    reich wie das Zeit- und Reisemanagement, eine Vielzahl von Reporting- und Pla-
    nungsanwendungen oder Kollaborationswerkzeuge. Steht kein solches Unterneh-
    mensportal auf SAP NetWeaver-Basis zur Verfügung, kann das SAP NetWeaver
    IdM UI auf einem eigenen AS Java-System als Bestandteil des SAP NetWeaver IdM-
    Systems installiert werden. In beiden Fällen gilt, dass im UI keinerlei Programm-
    bzw. Provisionierungslogik abläuft und somit auch keine Beeinträchtigung des ver-
    wendeten AS Java – mit Ausnahme der eventuell steigenden Benutzerzahl – zu
    erwarten ist. Abbildung 4.2 zeigt die Sicht auf das SAP NetWeaver IdM UI in der
    Version 7.1.




    Abbildung 4.2 End-User-Interface – Self-Services




    84
Architektur   4.2


Das UI teilt sich in fünf Bereiche, die in Abhängigkeit von der SAP NetWeaver
IdM-Rolle der angemeldeten Benutzer sichtbar sind (siehe auch Kapitel 12):

   Self-Services
   Zu erledigen
   Verwalten
   Historie
   Überwachung

Die Registerkarte Self-Services enthält eine Liste von Links, mit denen der ange-
meldete Benutzer beispielsweise Berechtigungen für sich anfordern oder den Teil
seiner eigenen Daten ändern kann, der für die direkte Änderung im Rahmen des
entsprechenden Self-Services freigegeben ist. Alle Aktionen betreffen immer sei-
nen eigenen Benutzerstammsatz. Diese Registerkarte ist für jeden Benutzer sicht-
bar, der im Identity Store erfasst und als aktiv gekennzeichnet ist.

Die Registerkarte Zu erledigen (Abbildung 4.3) stellt den Arbeitsvorrat im Hin-
blick auf anstehende Aktivitäten, wie die Genehmigung von Anträgen oder die
Erfassung zusätzlicher Daten, des angemeldeten Benutzers im Identity Center dar.
Eine Integration in die Universal Worklist (UWL) in SAP NetWeaver Portal ist mög-
lich (für weiterführende Informationen siehe Literaturverzeichnis).




Abbildung 4.3 End-User-Interface – Arbeitsvorrat


Die Registerkarte Verwalten (Abbildung 4.4) bietet die Möglichkeit, delegierte
Aufgaben durchzuführen, also beispielsweise die Daten von anderen Personen zu
ändern oder als Vorgesetzter Berechtigungen für die eigenen Mitarbeiter zu bean-
tragen. Die Registerkarten Historie und Überwachung sind technischer Natur
und bleiben im Normalfall berechtigten Administratoren vorbehalten. In der His-
torie werden abgearbeitete Genehmigungsaufgaben angezeigt (Abbildung 4.5).




                                                                              85
4   SAP NetWeaver Identity Management im Überblick




    Abbildung 4.4 End-User-Interface – Verwalten




    Abbildung 4.5 End-User-Interface – Historie


    Die Informationen auf der Registerkarte Überwachung gestatten sowohl Einblick
    in Job- und Systemlog als auch eine Sicht auf die Warteschlange für Genehmi-
    gungsaufgaben und Provisionierungstasks (siehe Abbildung 4.6).

    Mit der eingangs erwähnten IC Console kommt der Endanwender und Prozess-
    beteiligte nicht in Berührung. Sie ist somit Entwicklern und Systemadministrato-
    ren vorbehalten. Die IC Console spielt vor allem bei der Implementierung und
    dem Betrieb der SAP NetWeaver IdM-Lösung eine zentrale Rolle. Details zu ihrer
    Nutzung sind deshalb auch ab Kapitel 8 zu finden. Über die IC Console wird der
    Bereich der Datenbank gepflegt, der die Entwicklungs- und Customizing-Einstel-
    lungen enthält.




    86
Architektur   4.2


Hier werden u. a. folgende Informationen gespeichert:

  Datenmodellbeschreibungen (siehe Kapitel 10)
  Konfigurationsdaten von angebundenen Systemen (siehe Abschnitte 4.4.2 und
  9.1.2)
  Konfiguration für Workflow-Abläufe (siehe Kapitel 13)
  Einstellungen für Masken (siehe Kapitel 12)
  Regeln zu Datensynchronisation und -transformation sowie zu zeitgesteuerten
  Ladevorgängen und Skripten (siehe Kapitel 11)




Abbildung 4.6 End-User-Interface – Überwachung


Neben den Customizing-Einstellungen bilden die konfigurierbaren Identity
Store(s) den zweiten zentralen Bestandteil einer SAP NetWeaver IdM-Datenbank-
instanz. In einem Identity Store werden die eigentlichen Identitätsdaten – basie-
rend auf dem zugrunde liegenden Datenmodell – verwaltet. Dazu gehören in
jedem Fall:

  Benutzerstammsätze (siehe Abschnitte 4.3.1 und 10.1.2)
  technische Rollen (siehe Abschnitte 4.3.1 und 10.1.3)
  Geschäftsrollen (siehe Abschnitte 4.3.1 und 10.1.4)
  (dynamische) Gruppen (siehe Abschnitte 4.3.1 und 10.1.5)
  Objekte für noch zu genehmigende oder zeitlich abgegrenzte Identitätsinfor-
  mationen (siehe Abschnitte 4.3.1 und 10.1.6)
  Anträge und kundenspezifische Objekte (siehe Abschnitt 10.2)



                                                                              87
4   SAP NetWeaver Identity Management im Überblick



    Zusätzlich zu den eigentlichen Daten gehören auch die Regelwerke zur Reaktion
    auf Ereignisse (Hinzufügen/Ändern/Löschen) zum jeweiligen Identity Store.

    Neben den aktuellen Datenbeständen werden in den dafür vorgesehenen Daten-
    banktabellen (siehe Abschnitt 10.3) die historischen Werte der verwalteten
    Objektklassen sowie Audit-Informationen über beantragte und genehmigte Res-
    sourcen für Auswertungszwecke vorgehalten. Mit Ausnahme sogenannter Job,
    Pass und Repository Templates, die der Anbindung zusätzlicher Systeme sowie der
    Konfiguration von Standardjobs und Provisionierungsaufgaben im Rahmen von
    Entwicklungs- und Konfigurationstätigkeiten dienen, stehen alle Daten für den
    Betrieb von SAP NetWeaver IdM in der zentralen Datenbankinstanz zur Verfü-
    gung. Templates werden dagegen auf dem Filesystem abgelegt und können bei den
    Konfigurationsarbeiten in der Administrationskonsole als Vorlage genutzt werden.

    Die Laufzeitkomponenten (IC Runtime) bilden neben den UI-Komponenten und
    der Datenbank die dritte Schicht der Identity-Center-Architektur. Grundsätzlich
    lassen sich zwei Laufzeitkomponenten unterscheiden: Dispatcher und Event
    Agents. Dispatcher werden konfiguriert, um Warteschlangen mit Jobs, Workflow-
    und Provisionierungsaufgaben abzuarbeiten, und sind somit das »ausführende Or-
    gan« innerhalb von SAP NetWeaver IdM. Es können in jedem Unternehmen ein
    oder mehrere Dispatcher in der Systemlandschaft verteilt konfiguriert werden.
    Dabei kann u. a. festgelegt werden, welche Art von Aufgaben ein bestimmter Dis-
    patcher erfüllt und in welchen Intervallen er dies tun soll. Eine verteilte Installation
    von mehreren Dispatchern kann aus Gründen der Lastverteilung sinnvoll, aber
    auch unter netzwerktopologischen Gesichtspunkten (Sicherheit, Firewall, Ge-
    schwindigkeit etc.) notwendig sein. Außerdem besteht die Möglichkeit, eine Ent-
    kopplung bestimmter hoch priorisierter oder eher unkritischer Aufgaben zu er-
    reichen (siehe Kapitel 16).

    In Release 7.1 von SAP NetWeaver IdM wird der Dispatcher noch immer für die
    beiden Laufzeitumgebungen Windows und Java ausgeliefert. Das hat u. a. den
    Grund, dass es auch im SAP Provisioning Framework (siehe Kapitel 14) noch aus-
    gelieferte Bestandteile der Instrumentierung gibt – beispielsweise für das User
    Management des Microsoft Active Directorys –, die die Windows-Laufzeit voraus-
    setzen, da sie Windows-spezifische Funktionalitäten wie beispielsweise das Active
    Directory Services Interface (ADSI) nutzen. Das Ziel von SAP ist aber, in Zukunft
    mit der Java-Laufzeitumgebung auszukommen und die Windows-Laufzeit nicht
    mehr zu nutzen, um eine entsprechende Plattformunabhängigkeit der IC-Runtime-
    Komponenten zu gewährleisten.

    Event Agents, die zweite Laufzeitkomponente, werden verwendet, um in Quell-
    und/oder Zielsystemen Ereignisse abzufangen, die im Identity Center wiederum
    die Ausführung von Jobs oder Tasks initiieren können (für weiterführende Infor-
    mationen siehe Literaturverzeichnis). Ein einfaches Beispiel ist die Überwachung



    88
Architektur   4.2


einer Datei durch einen Event Agent, der ein Ereignis auslöst, sobald die Datei aktu-
alisiert wurde. Daraufhin kann im Identity Center eine Aktion angestoßen werden,
die in Verbindung mit dem Delta-Handling die geänderten Datensätze aus der über-
wachten Datei in den Identity Store lädt. Event Agents stehen im Auslieferungs-
zustand lediglich für die folgenden wenigen Anwendungsfälle zur Verfügung:

  Überwachung von Anlage, Änderung oder Löschung von Objekten im Micro-
  soft Active Directory
  Überwachung von Änderungen in Datenbanken
  Überwachung von Dateien und Verzeichnissen
  Überwachung von Änderungen in weiteren LDAP-Verzeichnissen

Mithilfe einer Java-API können weitere Vorlagen für die Aktivierung von Event
Agents für den jeweiligen Anwendungsfall gebaut werden. Die Nutzung von Java
garantiert, wie oben beschrieben, auch hier die Plattformunabhängigkeit. Genau
wie der Dispatcher kann ein Event Agent in der Systemlandschaft auf unterschied-
lichen Systemen verteilt werden und so die auf den relevanten Systemen lokal auf-
tretenden Ereignisse abfangen bzw. weiterleiten, um weitere Aktionen auszulö-
sen. Sowohl Dispatcher als auch Event Agents lassen sich als lauffähige Services
konfigurieren, die in die Startup-Sequenzen der unterstützten Systemplattformen
eingebunden werden können.

Die Java-Laufzeitkomponenten nutzen unterschiedliche Klassen, um die Konnek-
tivität zu den Quell- und Zielsystemen herzustellen. Eine zentrale Klasse ermöglicht
dabei den Zugriff mithilfe von LDAP. Dieses Protokoll zum Zugriff auf Verzeich-
nisdienste wird – neben anderen Protokollen wie SPML und Webservice – auch vom
Virtual Directory Server unterstützt. Dieser spielt eine wichtige Rolle für verschie-
dene Schnittstellen (beispielsweise bei der GRC-Integration oder der Kommuni-
kation mit dem LDAP-Adapter im Rahmen der SAP Business Suite-Integration) und
wird in Zukunft durch die Verfügbarkeit der genannten Identity Services immer
mehr in den Mittelpunkt der Kommunikation mit dem Identity Center rücken.


4.2.2    SAP Virtual Directory Server
Der SAP Virtual Directory Server (SAP VDS) stellt grundsätzlich Funktionalitäten
für den virtualisierten und standardisierten Zugriff auf Datenquellen im Sinne
einer Middleware zur Verfügung. Er liefert damit spezielle Transformationsfunk-
tionen und unterstützt bestimmte, im Identity-Management-Umfeld gängige Pro-
tokolle wie LDAP oder SPML. Obwohl der SAP VDS im Rahmen der SAP NetWea-
ver IdM-Architektur zunächst eine optionale Komponente darstellt, nimmt er vor
allem hinsichtlich der Integration mit anderen Systemen sowie der Anreicherung
von Informationen aus unterschiedlichen Quellen eine zentrale Rolle ein. So wird




                                                                                  89
4   SAP NetWeaver Identity Management im Überblick



    der SAP VDS beispielsweise für die HCM-Integration (siehe Abschnitte 4.5.1 und
    15.2.1) sowie zur Integration mit SAP BusinessObjects Access Control (siehe
    Abschnitt 15.4) verwendet. SAP liefert hierzu die nötige Instrumentierung sowohl
    für das Identity Center als auch für den SAP VDS aus. Einige Beispiele für Anwen-
    dungsfälle einer Verwendung des SAP VDS sind neben den bereits genannten Inte-
    grationen:

         virtualisierter Zugriff auf unterschiedliche Datenquellen, wie Identity Stores
         des Identity Centers, Datenbanken oder Directory Services Markup Language
         v2 (DSMLv2), über LDAP und SPML
         Mapping und Transformation von einzelnen Attributwerten während des Zu-
         griffs, um den Anforderungen an Datenformate unterschiedlicher Quell- und
         Zielsysteme gerecht werden zu können
         Zusammenfassung von Attributen unterschiedlicher Systeme in einer Anfrage.
         Für die anfragende Anwendung ist nur eine Datenquelle sichtbar.
         Einschränkung von verfügbaren Attributen und Filterung der Wertemenge von
         Daten in Abhängigkeit von den Anmeldeinformationen des anfragenden Be-
         nutzers
         dynamische Ermittlung der Verbindungsdaten in Abhängigkeit von Attributen
         des Anwenders (beispielsweise E-Mail-Adresse)

    Zusätzlich zur grundlegenden Funktionalität für die Umsetzung der beschriebe-
    nen Anwendungsfälle übernimmt der SAP VDS durch die Unterstützung von Pro-
    tokollen wie LDAP, HTTP, SOAP und SPML im Zusammenspiel mit anderen SAP
    NetWeaver-Komponenten die Bereitstellung sogenannter Identity Services. Iden-
    tity Services stellen im Kontext von SAP NetWeaver IdM einen zentralen und stan-
    dardisierten Zugriffspunkt über Webservices und SPML für die Abfrage und die
    Verwaltung von Identitätsinformationen der kompletten Systemumgebung zur
    Verfügung. Außerdem ist mit dem SAP VDS ein Werkzeug vorhanden, das durch
    Nutzung der integrierten API die flexible Anbindung weiterer Systeme verein-
    facht. Weitere Informationen zur detaillierten Architektur, den Identity Services
    sowie weiteren Use Cases erhalten Sie in Abschnitt 15.3.


    4.2.3      Gesamtarchitektur – Identity Center und SAP VDS
    Kombiniert man die beiden Komponenten Identity Center und SAP VDS, entsteht
    eine Gesamtarchitektur mit einer sehr umfangreichen Schnittstelle für den einfa-
    chen Zugriff. Dies dient letztlich der Verwaltung, Verteilung und Bereitstellung
    der Identitätsdaten in der kompletten Unternehmenssystemlandschaft über einen
    zentralen Einstiegspunkt: SAP NetWeaver IdM.




    90
Daten- und Rollenmodell       4.3


Wie aus Abbildung 4.7 ersichtlich ist, können in der aktuellen Version Anwen-
dungen und Systeme sowohl direkt über die technischen Adapter des Identity
Centers als auch über den VDS angebunden werden. Allerdings wird die Anbin-
dung weiterer Systeme in Zukunft mithilfe des SAP VDS erfolgen. Zum einen han-
delt es sich um angebotene Schnittstellen, die auf einem offiziellen Standard basie-
ren, und zum anderen lässt der SAP VDS direkte Anfragen zum Lesen, Ändern und
Löschen von Identitätsdaten zu. Im Gegensatz dazu müssen die Adapter des Iden-
tity Centers immer vom Identity Center selbst – beispielsweise durch erzeugte
Ereignisse der Event Agents – getriggert werden, um Daten abzuholen, zu vertei-
len oder Benutzerkonten und Berechtigungen zu provisionieren.



                        Sonstige Systeme und Anwendungen


                   Identity Services



      SAP Virtual Directory
                                                         End-User-Inferface
       Server (SAP VDS)
                                                         Identity Center (IC)

                                                            (De-)Zentrale        Event
                                          IC-Datenbank       Dispatcher         Agent(s)
      Connector Framework



             Identity
            Services


                                 Sonstige                                        Sonstige
   SAP HCM         SAP GRC                           SAP ABAP        SAP Java
                                (Nicht-SAP)                                     (Nicht-SAP)
           Quell- und Zielsysteme                            Quell- und Zielsysteme


Abbildung 4.7 Gesamtarchitektur – Identity Center und SAP VDS



4.3        Daten- und Rollenmodell
Dieser Abschnitt gibt einen Überblick über die Möglichkeiten der Datenmodellie-
rung im Identity Center. Eine genaue Beschreibung aller benannten Komponenten
und Bestandteile sowie deren Funktionen finden Sie in den Kapiteln 9 und 10. In
der IC-Datenbank wird mithilfe der Administrationskonsole das Datenmodell für
einen oder mehrere Identity Stores definiert und verwaltet – das sogenannte Iden-




                                                                                              91
4   SAP NetWeaver Identity Management im Überblick



    tity-Store-Schema5. Das Datenmodell ist dabei die Grundlage einer SAP NetWeaver
    IdM-Installation und -Konfiguration und bildet damit die Basis für eine erfolgrei-
    che Implementierung. Im Rahmen einer Standardinstallation werden alle im Stan-
    darddatenmodell definierten Objektklassen sowie deren Eigenschaften in einem
    Identity Store angelegt, die für die grundsätzliche Funktionsweise des Systems,
    vordefinierte Funktionen (beispielsweise der abgrenzbaren Zuweisung von
    Berechtigungen) sowie für das von SAP ausgelieferte SAP Provisioning Framework
    (siehe Kapitel 14) benötigt werden. Die Anpassung im Identity Center auf die spe-
    ziellen Anforderungen in der Systemlandschaft – vor allem bezogen auf die umzu-
    setzenden Prozesse – setzt allerdings in den meisten Fällen auch die Erweiterung
    des bestehenden Datenmodells voraus und damit die Ausarbeitung eines soliden
    Konzepts. Grundsätzlich sollte das Konzept für ein Datenmodell die folgenden
    Einflussfaktoren und Fragestellungen berücksichtigen:

         Welche Informationen sollen mit welchem Detailgrad im Identity Store abge-
         bildet werden, und für welche Anwendungsfälle werden die Daten benötigt?
         Welche Objektklassen werden dafür benötigt?
         Welche Attribute sind Bestandteil dieser Objektklassen?
         Werden Attribute mehrsprachig oder einsprachig gepflegt?
         Stehen die Objekte miteinander in Beziehung? Handelt es sich dabei um eine
         1:1-, 1:n- oder eine m:n-Beziehung?
         Reicht es eventuell aus, Informationen als Wert eines bestimmten Attributs ei-
         ner Entität zu speichern, oder muss die Information mithilfe einer Objektklasse
         abgebildet werden, zu der dann entsprechende Relationen aufgebaut werden?
         Welche Attribute und Objekte haben Steuerungsfunktionen in späteren An-
         trags- und Genehmigungsprozessen?
         Welche Attribute sind führend in welchem System? Können Prioritäten festge-
         legt werden?
         In welcher Form sollen die Informationen im User Interface präsentiert wer-
         den? Welche Validierungen sollen bei der Eingabe der Attributwerte angewen-
         det werden?
         Welche Quellen (angebundene Quell- und Zielsysteme oder manuelle Eingabe-
         prozesse) sind führend für die verwendeten Attribute?
         Welche Transformationen müssen beim Beziehen der Daten aus den Quellen
         durchgeführt werden?


    5 Eine detaillierte Beschreibung des ausgelieferten Datenmodells finden Sie im Dokument
      mit dem Titel SAP NetWeaver Identity Management Identity Center Identity Store Schema –
      Technical Reference im SDN unter https://www.sdn.sap.com/irj/sdn/nw-identitymanagement
      (Stand: August 2009).




    92
Daten- und Rollenmodell     4.3


  Wie lange müssen (historische) Daten im Rahmen geltender Audit-Anforderun-
  gen im System vorgehalten werden?

Die Liste der Fragestellungen könnte an dieser Stelle noch fortgesetzt werden.
Wichtig ist, dass letztlich genau die Informationen abgebildet werden, die zur Ver-
waltung der Identitäten und Steuerung der dafür notwendigen Prozesse benötigt
werden – nicht weniger, aber auch nicht mehr.


4.3.1    Daten- und Rollenmodell im Identity Store
Das Datenmodell mit Objektklassen und deren Eigenschaften definiert sich im
Identity Center über sogenannte Entry Types und die dazugehörenden Attribute.
Ein Entry Type entspricht dabei einer Objektklasse für die Abbildung von ausge-
wählten Informationen der jeweiligen Entität, beispielsweise einer Person mit den
Attributen Vorname und Nachname. Attribute werden zunächst unabhängig vom
Entry Type definiert. Anschließend wird festgelegt, welches Attribut für welchen
Entry Type genutzt werden kann. Ein Attribut hat verschiedene Eigenschaften, die
gepflegt werden müssen. Dazu gehören:

  Datentyp für die Speicherung des Attributwerts im Identity Store
  Anzeigetyp im UI (Checkbox, Radio Button, Dropdown-Liste etc.)
  Anzeigenamen im UI (dieser kann mehrsprachig gepflegt werden)
  ein- oder mehrsprachig hinterlegte gültige Wertelisten
  Validierungsfunktionen in Form regulärer Ausdrücke6
  führende Systeme für dieses Attribut
  Festlegung von Aktionen, die bei Anlage, Änderung oder Löschung des Attri-
  buts ausgeführt werden sollen. Mit diesen Aktionen können beispielsweise
  Verteilungsvorgänge in Zielsysteme gestartet werden, sobald sich das jeweilige
  Attribut ändert.

Auf den Entry Types basierende Objekte können miteinander – auch hierarchisch
– in Beziehung stehen. Dabei sorgt das Identity Center für die Integrität der Daten,
sodass eine Beziehung zwischen Objekten immer bidirektional angelegt, modifi-
ziert oder entfernt wird. Jedes angelegte Objekt wird in Form von Attribut-
name/Attributwert-Paaren anhand des gültigen Schemas im Identity Store abgelegt
und hat immer ein eindeutiges Schlüsselattribut (MSKEYVALUE). Dieses Attribut ist
innerhalb des kompletten Identity Stores und über alle Entry Types eindeutig und
ein Pflichtfeld. Deshalb gehört neben der Klärung zuvor genannter Fragestellungen


6 Ein regulärer Ausdruck ist eine Zeichenkette, die der Beschreibung von Mengen bezie-
  hungsweise Untermengen von Zeichenketten mithilfe bestimmter syntaktischer Regeln
  dient.




                                                                                   93
4   SAP NetWeaver Identity Management im Überblick



    auch die Definition eines Namenskonzepts für dieses Schlüsselattribut zu den Auf-
    gaben der Datenmodellierung. Neben dem Schlüsselattribut MSKEYVALUE ist auch
    das Attribut MX_ENTRYTYPE ein Pflichtfeld für alle Objekte und definiert, zu welcher
    Objektklasse ein bestimmter Eintrag gehört. Die folgenden Entry Types – immer
    mit dem Namensraum MX_ als von SAP definierte Objekte gekennzeichnet – wer-
    den im Rahmen einer Standardinstallation im Identity Store angelegt (Tabelle 4.1).

    Entry Type              Kurze Beschreibung
    Identität/Person        Zentrale Objektklasse zur Verwaltung einer digitalen Identität.
    (MX_PERSON)             Dies sind meist Personen, also interne oder externe Mitarbei-
                            ter oder Geschäftspartner (siehe Abschnitt 10.1.2).

    Berechtigung/           Objektklasse zur Verwaltung und Pflege von Berechtigungsob-
    technische Rolle        jekten angebundener Systeme. Objekte vom Typ MX_PRIVI-
    (MX_PRIVILEGE)          LEGE können beispielsweise Einzel- oder Sammelrollen aus
                            ABAP-Systemen, Java-Rollen oder Java-Gruppen aus SAP-
                            Java-Systemen, Sicherheitsgruppen aus dem Active Directory
                            etc. sein. In der Identity-Center-Dokumentation wird von
                            technischen Rollen gesprochen (siehe Abschnitt 10.1.3).

    Rolle/Business-Rolle    Im Gegensatz zum Typ MX_PRIVILEGE können mit dem Entry
    (MX_ROLE)               Type MX_ROLE Rollen verwaltet werden, die Objekte vom Typ
                            MX_PRIVILEGE aus unterschiedlichen Systemen enthalten. In
                            der Identity-Center-Dokumentation wird von Fachrollen oder
                            Business-Rollen gesprochen. Objekte vom Typ MX_ROLE erlau-
                            ben Vater/Kind-Beziehungen und somit den Aufbau von kom-
                            plexen hierarchischen, aber nicht zyklischen Rollenmodellen
                            mit beeinflussbarer Vererbungsfunktion (siehe Abschnitt
                            10.1.4).

    Dynamische Gruppe       Der Entry Type MX_DYNAMIC_GROUP erlaubt die Verwaltung
    (MX_DYNAMIC_GROUP)      von Regelwerken zur Ermittlung von Gruppenmitgliedern auf
                            Basis bestimmter Filterkriterien (Attributkombinationen).
                            Durch die Zugehörigkeit zu einer dynamischen Gruppe können
                            beispielsweise Rechte vergeben werden, die wieder automa-
                            tisch entzogen werden, sobald die entsprechende Person nicht
                            mehr den Filterkriterien entspricht (siehe Abschnitt 10.1.5).

    Wert in Bearbeitung     Die Objektklasse MX_PENDING_VALUE gestattet es, Attribute,
    (MX_PENDING_VALUE)      die zeitlich abgegrenzt bzw. deren Gültigkeit zeitlich befristet
                            ist oder für die noch eine Genehmigung aussteht, so im Sys-
                            tem abzulegen, dass das System am Anfang bzw. am Ende des
                            Gültigkeitszeitraums für die Änderung des Wertes an der ent-
                            sprechenden Person sorgt (siehe Abschnitt 10.1.6).

    Tabelle 4.1 Objektklassen im Standarddatenmodell




    94
Daten- und Rollenmodell    4.3



Entry Type              Kurze Beschreibung
Gruppe                  Der Entry Type MX_GROUP dient zum Aufbau von Gruppen-
(MX_GROUP)              hierarchien im Identity Store. Aus einer Gruppenmitgliedschaft
                        kann wiederum die Zuweisung einer Berechtigungsrolle resul-
                        tieren. So werden beispielsweise bei der Anbindung eines
                        Active Directorys Gruppen sowohl als MX_PRIVILEGE als auch
                        als MX_GROUP abgebildet. Über die Gruppenzugehörigkeit kön-
                        nen somit wiederum implizit beispielsweise weitere Berechti-
                        gungen vergeben werden (siehe Kapitel 10 und Abschnitt
                        14.3).

Firmenadresse           Entry Type zur Verwaltung und Pflege der Adressattribute
(MX_COMPANY_            einer Firmenadresse. Die Attribute dieses Entry Types sind an
ADDRESS)                die im ABAP-Stack verfügbaren Firmenadressattribute ange-
                        lehnt (siehe Kapitel 10 und Abschnitt 14.3).

Anwendung               Der Entry Type MX_APPLICATION wird im Rahmen der Identity
(MX_APPLICATION)        Services sowie der SAP Business Objects GRC-Integration zur
                        Gruppierung von Berechtigungsrollen auf Anwendungsebene
                        verwendet (siehe Abschnitte 15.3 und 15.4).

Asynchroner Request Dieser Entry Type wird im Rahmen der Nutzung des SAP VDS
vom VDS             genutzt, um Objekte nicht synchron im Identity Store zu
(MX_ASYNC_REQUEST) ändern, sondern zunächst einen »temporären« Eintrag anzule-
                    gen, der dann auch die Nutzung des Delta-Mechanismus beim
                    Fortschreiben der Werte gestattet (siehe Kapitel 10 und
                    Abschnitt 15.3).

Beantragter/erzeug-     Der Entry Type MX_REPORT wurde mit der Version 7.1. SP02
ter Report              eingeführt und enthält beantragte, in Bearbeitung befindliche
(MX_REPORT)             oder erzeugte Reports (siehe Kapitel 10 und Ábschnitt
                        17.2.2).

Tabelle 4.1 Objektklassen im Standarddatenmodell (Forts.)

Das ausgelieferte Standarddatenmodell und die eingebaute Anwendungslogik
erlauben durch die Nutzung der dargestellten Objektklassen den Aufbau umfang-
reicher Rollenmodelle, mit deren Hilfe sowohl eine explizite (direkte) als auch eine
implizite Vergabe von Rollen und Rechten, basierend auf Attributwerten der ver-
walteten Identitäten, möglich ist (für mehr Details siehe Kapitel 10). Durch die sys-
temübergreifende Zusammenfassung von Berechtigungsobjekten aus angebunde-
nen Systemen in hierarchisch strukturierbare Business-Rollen lassen sich
Rollenmodelle realisieren, wie in Abbildung 4.8 dargestellt. Neben den in der
Abbildung aufgezeigten Verknüpfungen können zusätzliche Eigenschaften für die
Rollen definiert werden, die u. a. das Verhalten bei der Beantragung oder Zuwei-
sung steuern. Ein Beispiel ist der gegenseitige Ausschluss von Rollen. Wird ein sol-
cher Ausschluss definiert, verhindert das System die Zuweisung einer Rolle, sofern



                                                                                    95
4   SAP NetWeaver Identity Management im Überblick



    die damit in Konflikt stehende Rolle der entsprechenden Identität bereits zuge-
    wiesen wurde. Im Gegensatz zum SAP BusinessObjects Access Control (siehe
    Abschnitte 4.5.2 und 15.4) können im Identity Center allerdings nur statische Aus-
    schlüsse hinterlegt werden. Zudem lassen sich Positiv- und Negativlisten für Rol-
    len definieren, die die Zuweisung für die Zielidentität ausdrücklich erlauben oder
    eben ausdrücklich verbieten. Genehmigungsstrategien können – einstufig oder
    mehrstufig mit dynamisch ermittelten oder in Rollen und Prozessen festgelegten
    Beteiligten – durch Definition unterschiedlicher Genehmigungsaufgaben (siehe
    Abschnitte 4.4.4 und 13.1.3) für einzelne Rollen hinterlegt werden. Attribute zur
    Festlegung des Rollenbesitzers können wiederum bei der Ermittlung von gültigen
    Genehmigern verwendet werden.


                             Business-Rollen
                                                                                          Manager



                                                             Abteilungsleiter




                                           Mitarbeiter




         Technische Rollen

                                                                                              Zugriff
                        Windows-        E-Mail-          Portalzugriff    Portalzugriff
                                                                                             Manager-
                          User           User                ESS              MSS
                                                                                             Cockpit


         Zielsysteme
                                                    SAP NetWeaver SAP NetWeaver SAP NetWeaver
                       Microsoft AD   Lotus Notes
                                                        Portal        Portal         BW



    Abbildung 4.8 Rollenmodell im Identity Center


    Die Zuweisung der dargestellten technischen Rollen und Business-Rollen kann
    durch dedizierte Beantragung im Rahmen von Self-Services und anschließender
    Genehmigung erfolgen. Außerdem ist die automatisierte Zuweisung aufgrund von
    definierbaren Regelwerken eine Möglichkeit, Rollen über die Filterung von Attri-
    butausprägungen – beispielsweise der Zugehörigkeit zu einer Organisationsein-
    heit oder der Besetzung einer Planstelle – zu vergeben.

    In vielen Projekten besteht die Anforderung, die Verwaltung von Rechten anhand
    von Regeln zu gestalten, die beispielsweise auf Basis der organisatorischen Zuord-
    nung und des im letzten Abschnitt erläuterten Rollenmodells automatisch Rechte



    96
Daten- und Rollenmodell   4.3


für entsprechende Personen vergeben. Die Abbildung der Organisationsstruktur
in zusätzlichen Datenobjekten ist ein sinnvolles Beispiel für die Einführung wei-
terer Objektklassen für Objekte wie Organisationseinheiten, Planstellen etc.
Durch die Nutzung von Entry Types kann nämlich auch die Organisationshierar-
chie im Identity Store mithilfe von entsprechenden Beziehungen abgebildet wer-
den und damit – im Vergleich zu anderen IdM-Lösungen – ein mächtiges Modell
für die Verwaltung von Berechtigungen anhand der im Organisationsmodell
gepflegten Struktur entstehen.


4.3.2   Datenmodellierung und Workflows
Die Datenmodellierung spielt nicht nur im Rahmen der Verwaltung von Identi-
tätsdaten eine wesentliche Rolle, sondern hat ganz besonders auf die abgebildete
Workflow-Steuerung in SAP NetWeaver IdM Einfluss. Grundsätzlich lassen sich
dazu die folgenden relevanten Gesichtspunkte in Verbindung mit dem Datenmo-
dell zur Workflow-Steuerung aufzeigen:

  Berechtigungsprüfungen
  Berechnung/Auflösung von Rechten in Workflows, basierend auf gesetzten At-
  tributwerten. Dies erfolgt auf Basis der sogenannten Berechtigungsregeln der
  entsprechenden Workflow-Komponenten. Grundsätzlich kann damit die
  Frage, wer welche Aktion mit welchem Objekt durchführen darf, zur Laufzeit
  unter Einbeziehung der relevanten Umgebungsparameter und Attributwerte
  beantwortet werden.
  Wertefilterung
  Filterung von gültigen Werten in Auswahllisten, basierend auf Attributwerten
  der angemeldeten Person sowie des momentan bearbeiteten Objekts
  Workflow-Steuerung
  Auswertung von speziellen Attributen zum Start von Genehmigungsaufgaben
  und -strategien, die mit dem beantragten Objekt (beispielsweise einer Berech-
  tigungsrolle) verknüpft sind. Dazu gehören Attribute wie MX_APPROVAL_TASK
  oder MX_APPROVERS.
  Statuswerte
  Speicherung von Statuswerten in dafür vorgesehenen Attributen wie MX_
  APPROVALS (Status der für ein Objekt aktiven Workflows) oder MX_STATE (Status
  eines in Bearbeitung befindlichen Wertes)
  Temporäre Attribute
  Speicherung temporärer Attribute für die Steuerung von Workflow-Aufgaben
  Entry Types
  ganze Entry Types – wie beispielsweise MX_PENDING_VALUE – die letztlich
  »Werte in Bearbeitung« darstellen und von Workflow-Aufgaben erzeugt bzw.
  ausgewertet werden



                                                                              97
4   SAP NetWeaver Identity Management im Überblick



    Details zur Relevanz der genannten Attribute im Rahmen des Identity-Center-
    Berechtigungskonzepts sowie zur Steuerung der implementierten Workflows fin-
    den Sie ab Kapitel 9.


    4.3.3    Datenmodellierung und Reporting
    Neben der konsistenten Informationsspeicherung der Identitätsdaten sowie der
    Workflow-Steuerung sind die Anforderungen im Bereich des Reportings ebenfalls
    ein wichtiger Einflussfaktor für die Definition des Datenmodells. Bisher lag der
    Fokus der Betrachtung bei der Datenmodellierung auf den abgebildeten Objekt-
    klassen und deren Eigenschaften. Bei der Datenmodellierung für das Reporting
    geht es zusätzlich darum, wie lange bestimmte Informationen im System vorge-
    halten werden müssen und wie deren Historisierung gewährleistet werden kann.
    SAP NetWeaver IdM gestattet hierzu die Festlegung der Aufbewahrungszeit bzw.
    der Anzahl von Versionen auf Attributebene. Mit diesen Informationen werden
    jegliche Änderungen der verwalteten Objekte (Personen, Rollen, Berechtigungs-
    objekte etc.) in der Datenbank fortgeschrieben und stehen in speziellen Daten-
    banktabellen und -views (siehe Abschnitt 10.3) für Auswertungen zur Verfügung.
    Werden die historischen Daten mit den vorhandenen Audit-Daten über die Aus-
    führung von Workflows verknüpft, besteht die Möglichkeit, mithilfe entsprechen-
    der Abfragen Fragen im Rahmen des IdM wie »Wer hat wann welche Berechti-
    gungsrolle bekommen, und wer hat die Zuweisung genehmigt?« zu beantworten.
    Bei der Datenmodellierung hinsichtlich des Berichtswesens muss also letztlich dar-
    auf geachtet werden, dass alle Daten für die benötigten Auswertungen für den
    geforderten Zeitraum zur Verfügung stehen, da alle Informationen im Identity
    Store in Form von einwertigen und mehrwertigen Attributen abgelegt werden
    können.



    4.4      Datensynchronisation und Provisioning
    Die Verwaltung digitaler Identitäten setzt eine konsistente Datenbasis voraus,
    weswegen die in Abschnitt 4.3 beschriebene Datenmodellierung zentraler
    Bestandteil von Konzeption und Implementierung einer Identity-Management-
    Lösung sein sollte. Dieser Abschnitt beschreibt die grundlegenden Mechanismen,
    die in SAP NetWeaver IdM für die Synchronisation von Daten und somit für den
    Aufbau und Abgleich des Identity Stores mit den angeschlossenen Quell- und Ziel-
    systemen zur Verfügung stehen. Neben der Synchronisation und Verteilung der
    wesentlichen Identitätsstammdaten besteht die zweite Hauptaufgabe einer Iden-
    tity-Management-Lösung in der weitestgehend automatisierten Provisionierung
    von Benutzerdaten und deren – durch Antrags- und Genehmigungsprozesse zuge-
    wiesenen – Berechtigungsinformationen in die angebundenen Zielsysteme.




    98
Datensynchronisation und Provisioning        4.4


4.4.1       Prinzipien der Datensynchronisation
Bei der Synchronisation von Daten sind – zunächst unabhängig vom betrachteten
Datenobjekt – einige Regeln zu beachten. Dies gilt auch für den Aufbau eines Iden-
tity Stores in SAP NetWeaver IdM und die anschließende Verteilung der darin ver-
walteten Identitätsdaten. In den meisten Fällen sind die benötigten Daten bereits
in unterschiedlichen Datenquellen eines Unternehmens vorhanden. Daraus ergibt
sich aber auch, dass verschiedene Systeme zunächst führenden Charakter für ein-
zelne Bestandteile eines zentral zu verwaltenden Benutzerstammsatzes haben. Ein
sehr vereinfachtes Beispiel zeigt Abbildung 4.9.


    Personalsystem                                                    Telefonanlage
          Vorname                  Führendes System                       Vorname

          Nachname
                                      für Attribut                       Nachname

    Organisationseinheit                                             Organisationseinheit

         Telefon/Fax                                                     Telefon/Fax

        E-Mail-Adresse                                                 E-Mail-Adresse

    Berechtigungsrollen                                              Berechtigungsrollen




                                    Identity Store
    SAP NetWeaver
        IdM UI                                                          Messaging
          Vorname                                                         Vorname

          Nachname                                                       Nachname

    Organisationseinheit                                             Organisationseinheit

         Telefon/Fax                                                     Telefon/Fax

        E-Mail-Adresse                                                 E-Mail-Adresse

    Berechtigungsrollen                                              Berechtigungsrollen



Abbildung 4.9 Prinzipien der Datensynchronisation


In diesem Beispiel wird davon ausgegangen, dass sich der Stammsatz einer Iden-
tität vom Typ Interner Mitarbeiter aus Daten vier verschiedener Datenquellen
zusammensetzt:

   einem Personalsystem als führende Datenquelle für die Personendaten wie Vor-
   name, Nachname, Anrede, Titel etc. und Informationen zur organisatorischen
   Zuordnung sowie Eintritts- und Austrittsinformationen
   einem System (beispielsweise einer Telefonanlage) mit Informationen zu Tele-
   kommunikationsdaten der Mitarbeiter




                                                                                            99
4   SAP NetWeaver Identity Management im Überblick



      einem Messaging-System (beispielsweise Lotus Notes oder Exchange Server),
      führend für vergebene E-Mail-Adressen
      das SAP NetWeaver IdM-System selbst, führend für die Verwaltung von Berech-
      tigungsinformationen

    Die exemplarisch dargestellten Datenquellen liefern Informationen, die den Iden-
    titätsdatensatz im Identity Store komplettieren. Auch nach der erstmaligen Befül-
    lung eines Identity Stores aus unterschiedlichen Quellen würde für dieses Beispiel
    ein regelmäßiger Transfer ausgewählter (führender) Attribute aus den jeweiligen
    Datenquellen erfolgen – ereignisbasiert oder nach einem eingerichteten Zeitplan.

    Die Synchronisation von Daten (sowohl die erste Befüllung als auch die fortlau-
    fende Aktualisierung) inklusive definierter Regeln muss vom eingesetzten Werk-
    zeug unterstützt werden. So unterstützt SAP NetWeaver IdM beispielsweise nicht
    nur die Definition von führenden Systemen für bestimmte Identitätsinformatio-
    nen, sondern erlaubt u. a. auch eine Befüllung bzw. einen Update eines bestimm-
    ten Attributs unter Berücksichtigung festgelegter Prioritäten. Liegt beispielsweise
    keine Telefonnummer aus der Telefonanlage für einen Mitarbeiter vor, erlaubt das
    System die Pflege über das User Interface oder den Import aus anderen Daten-
    quellen. Wurde die Telefonnummer aber einmal aus der Telefonanlage und somit
    aus dem führenden System importiert, kann sie nicht mehr durch Daten aus nied-
    riger priorisierten Datenquellen überschrieben werden.

    Wie in Abbildung 4.9 zu sehen war, kann auch das User Interface selbst das »füh-
    rende System« für unterschiedliche Bestandteile des Identitätsstammsatzes sein.
    Die folgenden Abschnitte erläutern die Begrifflichkeiten, die mit der Datensyn-
    chronisation in Zusammenhang stehen. Darüber hinaus geben wir Ihnen einen
    kurzen Überblick über die SAP NetWeaver IdM-Standardadapter für SAP- und
    Nicht-SAP-Systeme/-Anwendungen und gehen auf die von SAP ausgelieferten
    Pakete für die Provisionierung von Standardkomponenten einer Infrastruktur,
    wie beispielsweise einem Windows Active Directory, ein.


    4.4.2    Quell- und Zielsysteme
    Jede Anwendung, die an SAP NetWeaver IdM angebunden wird, wird als soge-
    nanntes Repository angelegt. Ein Repository repräsentiert somit eine Anwendung,
    die entweder Daten im Rahmen der Synchronisation von Identitätsdaten an SAP
    NetWeaver IdM liefert oder Empfänger von veränderten Daten ist – oder beides.
    Die im letzten Abschnitt angesprochene Prioritätensteuerung führender Systeme
    für einzelne Attribute basiert auf der Zuweisung sogenannter Owner Repositorys.
    Diese können auf Attributebene im Identity Center definiert werden. Durch diese
    Information sowie die Tatsache, dass für jedes gespeicherte Attribut im Identity
    Store neben dem Anlage- bzw. Änderungszeitpunkt auch die Herkunft in Form des




    100
Datensynchronisation und Provisioning       4.4


Repository-Namens abgelegt wird, kann das System die Priorität entsprechend
steuern und verhindert, dass ein Wert aus dem führenden System durch einen
qualitativ niederwertigeren Wert überschrieben wird. In den angelegten Reposi-
torys werden mithilfe der Definition von Konstanten notwendige Informationen
zu einem Repository abgelegt, um u. a. die Verbindungsdaten nicht redundant an
unterschiedlichen Stellen vorhalten zu müssen:

   Typ der angebundenen Anwendung (LDAP, DB, ABAP, XML etc.)
   Verbindungsdaten für den Zugriff auf die relevanten Daten der Anwendung
   Repository-Konstanten, die die eindeutige ID der Identity-Center-Instrumen-
   tierung enthalten, die im Rahmen der Provisionierung aufgerufen werden müs-
   sen, wenn sich für eine verwaltete Identität auf dem mit diesem Repository ver-
   knüpften Zielsystem ein relevantes Attribut ändert

Alle Komponenten, die im Rahmen der Datensynchronisation und Provisionie-
rung genutzt werden, beziehen sich immer auf ein bestimmtes – teilweise zur
Laufzeit ermitteltes – Repository und werden aus der Repository-Definition mit
allen notwendigen Daten versorgt, damit zum einen der Zugriff auf die Anwen-
dung in technischer Hinsicht möglich ist (Verbindungsdaten) und zum anderen
bei den durchzuführenden Datenmanipulationsaufgaben die korrekte Logik für
diese Anwendung angewendet wird. So werden beispielsweise bei der Zuweisung
von Berechtigungsrollen in einem SAP-ABAP-System dem betroffenen Benutzer
die Rollen zugewiesen. Ein Benutzer in einem Microsoft Active Directory muss
aber in die ihm zugeordneten berechtigungsrelevanten Sicherheitsgruppen aufge-
nommen werden. Neben der Tatsache, dass jeweils ein entsprechender techni-
scher Adapter verwendet werden muss, ist somit auch die Logik der Berechti-
gungszuweisung vom Repository-Typ abhängig.


4.4.3     Technische Adapter
SAP NetWeaver IdM besitzt verschiedene Adapter, mit denen bereits ein Großteil
der Systeme und Anwendungen in einer Unternehmensinfrastruktur an SAP Net-
Weaver IdM angebunden werden kann.7 Tabelle 4.2 zeigt eine Übersicht. Mit die-
sen technischen Adaptern lassen sich verschiedene Anwendungen und Systeme
anbinden, die die jeweiligen Protokolle oder Zugriffsmechanismen unterstützen.




7 SAP stellt im SDN ein laufend aktualisiertes Slideset zur Verfügung, das Informationen über
  IDM-Adapter und die damit unterstützten Anwendungen enthält. Es ist zu finden unter:
  SAP NetWeaver Product • Complementary Offerings • SAP NetWeaver Identity Ma-
  nagement • Product Overview: SAP NetWeaver Identity Management • IDM Connec-
  tor Overview (Stand: Juni 2009).




                                                                                         101
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management
Sappres Netweaver Identity Management

Weitere ähnliche Inhalte

Was ist angesagt?

Elektronischer Geschäftsverkehr in Mittelstand und Handwerk 2010 - Ergebniss...
Elektronischer Geschäftsverkehr in Mittelstand und Handwerk 2010 -  Ergebniss...Elektronischer Geschäftsverkehr in Mittelstand und Handwerk 2010 -  Ergebniss...
Elektronischer Geschäftsverkehr in Mittelstand und Handwerk 2010 - Ergebniss...eBusinessLotse-Suedwestfalen-Hagen
 
Venture Philanthropy. Ein Partnerschaftsmodell zwischen Unternehmen und Nonpr...
Venture Philanthropy. Ein Partnerschaftsmodell zwischen Unternehmen und Nonpr...Venture Philanthropy. Ein Partnerschaftsmodell zwischen Unternehmen und Nonpr...
Venture Philanthropy. Ein Partnerschaftsmodell zwischen Unternehmen und Nonpr...
Sira Saccani
 
Agorum core-entwickler-dokumentation-6 4-0
Agorum core-entwickler-dokumentation-6 4-0Agorum core-entwickler-dokumentation-6 4-0
Agorum core-entwickler-dokumentation-6 4-0
agorum Software GmbH
 
The book I wrote: You can order it:http://www.amazon.de/Teile-Lagermanagement...
The book I wrote: You can order it:http://www.amazon.de/Teile-Lagermanagement...The book I wrote: You can order it:http://www.amazon.de/Teile-Lagermanagement...
The book I wrote: You can order it:http://www.amazon.de/Teile-Lagermanagement...
Bernhard Seilz
 
Social Media Relations - Studie zu Erfolgsfaktoren in der Krisenkommunikation...
Social Media Relations - Studie zu Erfolgsfaktoren in der Krisenkommunikation...Social Media Relations - Studie zu Erfolgsfaktoren in der Krisenkommunikation...
Social Media Relations - Studie zu Erfolgsfaktoren in der Krisenkommunikation...
Tobi Mattl
 
SPSS: Praxis-Leitfaden
SPSS: Praxis-LeitfadenSPSS: Praxis-Leitfaden
SPSS: Praxis-LeitfadenRené Reineke
 
[DE] Dr. Ulrich Kampffmeyer - Artikel auf Wikipedia | 2015
[DE] Dr. Ulrich Kampffmeyer - Artikel auf Wikipedia | 2015[DE] Dr. Ulrich Kampffmeyer - Artikel auf Wikipedia | 2015
[DE] Dr. Ulrich Kampffmeyer - Artikel auf Wikipedia | 2015
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
HTML5 und CSS3 Übersicht
HTML5 und CSS3 ÜbersichtHTML5 und CSS3 Übersicht
HTML5 und CSS3 Übersicht
Sven Brencher
 
Wettbewerbsanalyse - Blick ins Buch (Auszug)
Wettbewerbsanalyse - Blick ins Buch (Auszug)Wettbewerbsanalyse - Blick ins Buch (Auszug)
Wettbewerbsanalyse - Blick ins Buch (Auszug)
ACRASIO
 
DUK Krems Projektarbeit
DUK Krems ProjektarbeitDUK Krems Projektarbeit
DUK Krems Projektarbeitheiko.vogl
 
Bachelorarbeit - Die vergleichende Potentialanalyse des Reittourismus im inte...
Bachelorarbeit - Die vergleichende Potentialanalyse des Reittourismus im inte...Bachelorarbeit - Die vergleichende Potentialanalyse des Reittourismus im inte...
Bachelorarbeit - Die vergleichende Potentialanalyse des Reittourismus im inte...Roxana Darjan
 
SITEFORUM Tutorial v7
SITEFORUM Tutorial v7SITEFORUM Tutorial v7
SITEFORUM Tutorial v7
anuvito
 
Agorum core-administrations-handbuch-6 4-0a
Agorum core-administrations-handbuch-6 4-0aAgorum core-administrations-handbuch-6 4-0a
Agorum core-administrations-handbuch-6 4-0a
agorum Software GmbH
 
Blended learning mathe_v1.7_03052010
Blended learning mathe_v1.7_03052010Blended learning mathe_v1.7_03052010
Blended learning mathe_v1.7_03052010
Carsten Freundl
 
Machbarkeitsanalyse und prototypische Entwicklung eines eMagazines für das A...
Machbarkeitsanalyse und prototypische Entwicklung eines eMagazines für das A...Machbarkeitsanalyse und prototypische Entwicklung eines eMagazines für das A...
Machbarkeitsanalyse und prototypische Entwicklung eines eMagazines für das A...
Jonathan Keller
 
Team Oldenburger Robo-Fußball – Abschlussbericht der Projektgruppe 2010
Team Oldenburger Robo-Fußball – Abschlussbericht  der Projektgruppe  2010Team Oldenburger Robo-Fußball – Abschlussbericht  der Projektgruppe  2010
Team Oldenburger Robo-Fußball – Abschlussbericht der Projektgruppe 2010Johannes Diemke
 
Mhb info bsc_ws1011_de_lang
Mhb info bsc_ws1011_de_langMhb info bsc_ws1011_de_lang
Mhb info bsc_ws1011_de_langGodlyEngi
 
METRAS Umfrageergebnis - Bericht, Akkreditierung
METRAS Umfrageergebnis - Bericht, AkkreditierungMETRAS Umfrageergebnis - Bericht, Akkreditierung
METRAS Umfrageergebnis - Bericht, Akkreditierungwernerweninger
 
Game Design Document - Pogomania
Game Design Document - PogomaniaGame Design Document - Pogomania
Game Design Document - Pogomania
Philipp Strecker
 

Was ist angesagt? (20)

Hb Autopilot
Hb AutopilotHb Autopilot
Hb Autopilot
 
Elektronischer Geschäftsverkehr in Mittelstand und Handwerk 2010 - Ergebniss...
Elektronischer Geschäftsverkehr in Mittelstand und Handwerk 2010 -  Ergebniss...Elektronischer Geschäftsverkehr in Mittelstand und Handwerk 2010 -  Ergebniss...
Elektronischer Geschäftsverkehr in Mittelstand und Handwerk 2010 - Ergebniss...
 
Venture Philanthropy. Ein Partnerschaftsmodell zwischen Unternehmen und Nonpr...
Venture Philanthropy. Ein Partnerschaftsmodell zwischen Unternehmen und Nonpr...Venture Philanthropy. Ein Partnerschaftsmodell zwischen Unternehmen und Nonpr...
Venture Philanthropy. Ein Partnerschaftsmodell zwischen Unternehmen und Nonpr...
 
Agorum core-entwickler-dokumentation-6 4-0
Agorum core-entwickler-dokumentation-6 4-0Agorum core-entwickler-dokumentation-6 4-0
Agorum core-entwickler-dokumentation-6 4-0
 
The book I wrote: You can order it:http://www.amazon.de/Teile-Lagermanagement...
The book I wrote: You can order it:http://www.amazon.de/Teile-Lagermanagement...The book I wrote: You can order it:http://www.amazon.de/Teile-Lagermanagement...
The book I wrote: You can order it:http://www.amazon.de/Teile-Lagermanagement...
 
Social Media Relations - Studie zu Erfolgsfaktoren in der Krisenkommunikation...
Social Media Relations - Studie zu Erfolgsfaktoren in der Krisenkommunikation...Social Media Relations - Studie zu Erfolgsfaktoren in der Krisenkommunikation...
Social Media Relations - Studie zu Erfolgsfaktoren in der Krisenkommunikation...
 
SPSS: Praxis-Leitfaden
SPSS: Praxis-LeitfadenSPSS: Praxis-Leitfaden
SPSS: Praxis-Leitfaden
 
[DE] Dr. Ulrich Kampffmeyer - Artikel auf Wikipedia | 2015
[DE] Dr. Ulrich Kampffmeyer - Artikel auf Wikipedia | 2015[DE] Dr. Ulrich Kampffmeyer - Artikel auf Wikipedia | 2015
[DE] Dr. Ulrich Kampffmeyer - Artikel auf Wikipedia | 2015
 
HTML5 und CSS3 Übersicht
HTML5 und CSS3 ÜbersichtHTML5 und CSS3 Übersicht
HTML5 und CSS3 Übersicht
 
Wettbewerbsanalyse - Blick ins Buch (Auszug)
Wettbewerbsanalyse - Blick ins Buch (Auszug)Wettbewerbsanalyse - Blick ins Buch (Auszug)
Wettbewerbsanalyse - Blick ins Buch (Auszug)
 
DUK Krems Projektarbeit
DUK Krems ProjektarbeitDUK Krems Projektarbeit
DUK Krems Projektarbeit
 
Bachelorarbeit - Die vergleichende Potentialanalyse des Reittourismus im inte...
Bachelorarbeit - Die vergleichende Potentialanalyse des Reittourismus im inte...Bachelorarbeit - Die vergleichende Potentialanalyse des Reittourismus im inte...
Bachelorarbeit - Die vergleichende Potentialanalyse des Reittourismus im inte...
 
SITEFORUM Tutorial v7
SITEFORUM Tutorial v7SITEFORUM Tutorial v7
SITEFORUM Tutorial v7
 
Agorum core-administrations-handbuch-6 4-0a
Agorum core-administrations-handbuch-6 4-0aAgorum core-administrations-handbuch-6 4-0a
Agorum core-administrations-handbuch-6 4-0a
 
Blended learning mathe_v1.7_03052010
Blended learning mathe_v1.7_03052010Blended learning mathe_v1.7_03052010
Blended learning mathe_v1.7_03052010
 
Machbarkeitsanalyse und prototypische Entwicklung eines eMagazines für das A...
Machbarkeitsanalyse und prototypische Entwicklung eines eMagazines für das A...Machbarkeitsanalyse und prototypische Entwicklung eines eMagazines für das A...
Machbarkeitsanalyse und prototypische Entwicklung eines eMagazines für das A...
 
Team Oldenburger Robo-Fußball – Abschlussbericht der Projektgruppe 2010
Team Oldenburger Robo-Fußball – Abschlussbericht  der Projektgruppe  2010Team Oldenburger Robo-Fußball – Abschlussbericht  der Projektgruppe  2010
Team Oldenburger Robo-Fußball – Abschlussbericht der Projektgruppe 2010
 
Mhb info bsc_ws1011_de_lang
Mhb info bsc_ws1011_de_langMhb info bsc_ws1011_de_lang
Mhb info bsc_ws1011_de_lang
 
METRAS Umfrageergebnis - Bericht, Akkreditierung
METRAS Umfrageergebnis - Bericht, AkkreditierungMETRAS Umfrageergebnis - Bericht, Akkreditierung
METRAS Umfrageergebnis - Bericht, Akkreditierung
 
Game Design Document - Pogomania
Game Design Document - PogomaniaGame Design Document - Pogomania
Game Design Document - Pogomania
 

Andere mochten auch

Presentación productos VIP Amado Salvador
Presentación productos VIP Amado SalvadorPresentación productos VIP Amado Salvador
Presentación productos VIP Amado Salvador
Ricardo Hoyos
 
Escuela de conducción para conductores profesionales
Escuela de conducción para conductores profesionalesEscuela de conducción para conductores profesionales
Escuela de conducción para conductores profesionales
viniciojoel
 
Mon youth bulletin vol 28
Mon youth bulletin vol 28Mon youth bulletin vol 28
Mon youth bulletin vol 28
ဗညာ ၐုိပ္
 
Travel digital iq 2011
Travel digital iq 2011Travel digital iq 2011
Travel digital iq 2011
Gabriela Otto
 
E-learning 2.0: Nuevas oportunidades para aprender en red
E-learning 2.0: Nuevas oportunidades para aprender en redE-learning 2.0: Nuevas oportunidades para aprender en red
E-learning 2.0: Nuevas oportunidades para aprender en red
David Delgado ✔
 
Plan de marketig
Plan de marketigPlan de marketig
Plan de marketig
Manografica Chile
 
Cocktail PGI Open source fait par et pour le Secteur public
Cocktail PGI Open source fait par et pour le Secteur publicCocktail PGI Open source fait par et pour le Secteur public
Cocktail PGI Open source fait par et pour le Secteur public
LINAGORA
 
Practica #4 ph de la leche
Practica #4 ph de la lechePractica #4 ph de la leche
Practica #4 ph de la leche
Richrad Alexander Valarezo Avila
 
Beef framework 2016
Beef framework 2016Beef framework 2016
Beef framework 2016
Tensor
 
Macsfs apologetica i el rapto
Macsfs apologetica i el raptoMacsfs apologetica i el rapto
Macsfs apologetica i el rapto
defiendetufe
 
Diapositivas rosadas regimennn
Diapositivas rosadas regimennnDiapositivas rosadas regimennn
Diapositivas rosadas regimennn
carolina0505
 
Presentaciones de apuntes de integración cad cam
Presentaciones de apuntes de integración cad camPresentaciones de apuntes de integración cad cam
Presentaciones de apuntes de integración cad cam
epnmecanica
 
TRabajo de la voz y sonido
TRabajo de la voz y sonidoTRabajo de la voz y sonido
TRabajo de la voz y sonido
Joan-Llorenç Alba
 
Tabelaprecosee201201
Tabelaprecosee201201Tabelaprecosee201201
Tabelaprecosee201201
Miguel Silva
 
Coldplay
ColdplayColdplay
Coldplay
isme_beltran
 
Text Classification Powered by Apache Mahout and Lucene
Text Classification Powered by Apache Mahout and LuceneText Classification Powered by Apache Mahout and Lucene
Text Classification Powered by Apache Mahout and Lucene
lucenerevolution
 
Creative Classroom õpistsenaariumid
Creative Classroom õpistsenaariumidCreative Classroom õpistsenaariumid
Creative Classroom õpistsenaariumid
Mart Laanpere
 
Gerencia de proyectos mapa conceptual
Gerencia de proyectos mapa conceptualGerencia de proyectos mapa conceptual
Gerencia de proyectos mapa conceptual
Ana Cristina
 
El concepto de la criptomoneda
El concepto de la criptomonedaEl concepto de la criptomoneda
El concepto de la criptomoneda
Jose Luis Gonzalez
 
Lululemon v. Athleta Social Strategy Comparison
Lululemon v. Athleta Social Strategy ComparisonLululemon v. Athleta Social Strategy Comparison
Lululemon v. Athleta Social Strategy Comparison
Laura Hailey
 

Andere mochten auch (20)

Presentación productos VIP Amado Salvador
Presentación productos VIP Amado SalvadorPresentación productos VIP Amado Salvador
Presentación productos VIP Amado Salvador
 
Escuela de conducción para conductores profesionales
Escuela de conducción para conductores profesionalesEscuela de conducción para conductores profesionales
Escuela de conducción para conductores profesionales
 
Mon youth bulletin vol 28
Mon youth bulletin vol 28Mon youth bulletin vol 28
Mon youth bulletin vol 28
 
Travel digital iq 2011
Travel digital iq 2011Travel digital iq 2011
Travel digital iq 2011
 
E-learning 2.0: Nuevas oportunidades para aprender en red
E-learning 2.0: Nuevas oportunidades para aprender en redE-learning 2.0: Nuevas oportunidades para aprender en red
E-learning 2.0: Nuevas oportunidades para aprender en red
 
Plan de marketig
Plan de marketigPlan de marketig
Plan de marketig
 
Cocktail PGI Open source fait par et pour le Secteur public
Cocktail PGI Open source fait par et pour le Secteur publicCocktail PGI Open source fait par et pour le Secteur public
Cocktail PGI Open source fait par et pour le Secteur public
 
Practica #4 ph de la leche
Practica #4 ph de la lechePractica #4 ph de la leche
Practica #4 ph de la leche
 
Beef framework 2016
Beef framework 2016Beef framework 2016
Beef framework 2016
 
Macsfs apologetica i el rapto
Macsfs apologetica i el raptoMacsfs apologetica i el rapto
Macsfs apologetica i el rapto
 
Diapositivas rosadas regimennn
Diapositivas rosadas regimennnDiapositivas rosadas regimennn
Diapositivas rosadas regimennn
 
Presentaciones de apuntes de integración cad cam
Presentaciones de apuntes de integración cad camPresentaciones de apuntes de integración cad cam
Presentaciones de apuntes de integración cad cam
 
TRabajo de la voz y sonido
TRabajo de la voz y sonidoTRabajo de la voz y sonido
TRabajo de la voz y sonido
 
Tabelaprecosee201201
Tabelaprecosee201201Tabelaprecosee201201
Tabelaprecosee201201
 
Coldplay
ColdplayColdplay
Coldplay
 
Text Classification Powered by Apache Mahout and Lucene
Text Classification Powered by Apache Mahout and LuceneText Classification Powered by Apache Mahout and Lucene
Text Classification Powered by Apache Mahout and Lucene
 
Creative Classroom õpistsenaariumid
Creative Classroom õpistsenaariumidCreative Classroom õpistsenaariumid
Creative Classroom õpistsenaariumid
 
Gerencia de proyectos mapa conceptual
Gerencia de proyectos mapa conceptualGerencia de proyectos mapa conceptual
Gerencia de proyectos mapa conceptual
 
El concepto de la criptomoneda
El concepto de la criptomonedaEl concepto de la criptomoneda
El concepto de la criptomoneda
 
Lululemon v. Athleta Social Strategy Comparison
Lululemon v. Athleta Social Strategy ComparisonLululemon v. Athleta Social Strategy Comparison
Lululemon v. Athleta Social Strategy Comparison
 

Ähnlich wie Sappres Netweaver Identity Management

Erfolsfaktor Musikmarketing im Social Web
Erfolsfaktor Musikmarketing im Social WebErfolsfaktor Musikmarketing im Social Web
Erfolsfaktor Musikmarketing im Social Web
DigiMediaL_musik
 
Projektkommunikation: Leseprobe
Projektkommunikation: LeseprobeProjektkommunikation: Leseprobe
Projektkommunikation: Leseprobe
vdf Hochschulverlag AG
 
Marketingkonzept für Möbel-Einzelhandel Behr Accessoires in Leverkusen / Dipl...
Marketingkonzept für Möbel-Einzelhandel Behr Accessoires in Leverkusen / Dipl...Marketingkonzept für Möbel-Einzelhandel Behr Accessoires in Leverkusen / Dipl...
Marketingkonzept für Möbel-Einzelhandel Behr Accessoires in Leverkusen / Dipl...
Annette Elias
 
Diplomarbeit
DiplomarbeitDiplomarbeit
Diplomarbeit
Thorsten Grün
 
Large Scale Multilayer Perceptron
Large Scale Multilayer PerceptronLarge Scale Multilayer Perceptron
Large Scale Multilayer Perceptron
Sascha Jonas
 
Inhaltsverzeichnis
InhaltsverzeichnisInhaltsverzeichnis
Inhaltsverzeichnisflorianbauer
 
Inhaltsverzeichnis Basiswissen Business-Analyse
Inhaltsverzeichnis Basiswissen Business-AnalyseInhaltsverzeichnis Basiswissen Business-Analyse
Inhaltsverzeichnis Basiswissen Business-Analyse
Gerstbach Business Analyse
 
Seminarkatalog
Seminarkatalog Seminarkatalog
Seminarkatalog
CON.ECT Eventmanagement
 
Inhaltsverzeichnis: amzn.to/emailBuch
Inhaltsverzeichnis: amzn.to/emailBuchInhaltsverzeichnis: amzn.to/emailBuch
Inhaltsverzeichnis: amzn.to/emailBuch
Rene Kulka
 
Inhaltsverzeichnis: amzn.to/emailBuch
Inhaltsverzeichnis: amzn.to/emailBuchInhaltsverzeichnis: amzn.to/emailBuch
Inhaltsverzeichnis: amzn.to/emailBuch
Rene Kulka
 
Master thesis pascal_mueller01
Master thesis pascal_mueller01Master thesis pascal_mueller01
Master thesis pascal_mueller01guest39ce4e
 
Handbuch CONSIDEO Modeler V 5.0
Handbuch CONSIDEO Modeler V 5.0Handbuch CONSIDEO Modeler V 5.0
Handbuch CONSIDEO Modeler V 5.0
Detlef Kahrs
 
Vergleich des Scala Web-Frameworks Lift mit dem Java EE Programmiermodell
Vergleich des Scala Web-Frameworks Lift mit dem Java EE ProgrammiermodellVergleich des Scala Web-Frameworks Lift mit dem Java EE Programmiermodell
Vergleich des Scala Web-Frameworks Lift mit dem Java EE Programmiermodell
adesso AG
 
eBook Website Profit Leseprobe
eBook Website Profit LeseprobeeBook Website Profit Leseprobe
eBook Website Profit Leseprobe
Travelan
 
Web Analytics
Web AnalyticsWeb Analytics
Web Analytics
BusinessVillage GmbH
 
Final Opentrans 2.0 Rfq
Final Opentrans 2.0   RfqFinal Opentrans 2.0   Rfq
Final Opentrans 2.0 Rfqguest6f1fb4
 
Dreamweaver cs5 hilfe
Dreamweaver cs5 hilfeDreamweaver cs5 hilfe
Dreamweaver cs5 hilfe
fersel2015
 
[DE] Records Management: Prinzipien, Standards & Trends | Ulrich Kampffmeyer ...
[DE] Records Management: Prinzipien, Standards & Trends | Ulrich Kampffmeyer ...[DE] Records Management: Prinzipien, Standards & Trends | Ulrich Kampffmeyer ...
[DE] Records Management: Prinzipien, Standards & Trends | Ulrich Kampffmeyer ...
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
Masterarbeit / Fakultät für Mathematik und Informatik / Lehrgebiet Datenverar...
Masterarbeit / Fakultät für Mathematik und Informatik / Lehrgebiet Datenverar...Masterarbeit / Fakultät für Mathematik und Informatik / Lehrgebiet Datenverar...
Masterarbeit / Fakultät für Mathematik und Informatik / Lehrgebiet Datenverar...
Melanie Eibl
 
[DE] PROJECT CONSULT Newsletter 20090226
[DE] PROJECT CONSULT Newsletter 20090226[DE] PROJECT CONSULT Newsletter 20090226

Ähnlich wie Sappres Netweaver Identity Management (20)

Erfolsfaktor Musikmarketing im Social Web
Erfolsfaktor Musikmarketing im Social WebErfolsfaktor Musikmarketing im Social Web
Erfolsfaktor Musikmarketing im Social Web
 
Projektkommunikation: Leseprobe
Projektkommunikation: LeseprobeProjektkommunikation: Leseprobe
Projektkommunikation: Leseprobe
 
Marketingkonzept für Möbel-Einzelhandel Behr Accessoires in Leverkusen / Dipl...
Marketingkonzept für Möbel-Einzelhandel Behr Accessoires in Leverkusen / Dipl...Marketingkonzept für Möbel-Einzelhandel Behr Accessoires in Leverkusen / Dipl...
Marketingkonzept für Möbel-Einzelhandel Behr Accessoires in Leverkusen / Dipl...
 
Diplomarbeit
DiplomarbeitDiplomarbeit
Diplomarbeit
 
Large Scale Multilayer Perceptron
Large Scale Multilayer PerceptronLarge Scale Multilayer Perceptron
Large Scale Multilayer Perceptron
 
Inhaltsverzeichnis
InhaltsverzeichnisInhaltsverzeichnis
Inhaltsverzeichnis
 
Inhaltsverzeichnis Basiswissen Business-Analyse
Inhaltsverzeichnis Basiswissen Business-AnalyseInhaltsverzeichnis Basiswissen Business-Analyse
Inhaltsverzeichnis Basiswissen Business-Analyse
 
Seminarkatalog
Seminarkatalog Seminarkatalog
Seminarkatalog
 
Inhaltsverzeichnis: amzn.to/emailBuch
Inhaltsverzeichnis: amzn.to/emailBuchInhaltsverzeichnis: amzn.to/emailBuch
Inhaltsverzeichnis: amzn.to/emailBuch
 
Inhaltsverzeichnis: amzn.to/emailBuch
Inhaltsverzeichnis: amzn.to/emailBuchInhaltsverzeichnis: amzn.to/emailBuch
Inhaltsverzeichnis: amzn.to/emailBuch
 
Master thesis pascal_mueller01
Master thesis pascal_mueller01Master thesis pascal_mueller01
Master thesis pascal_mueller01
 
Handbuch CONSIDEO Modeler V 5.0
Handbuch CONSIDEO Modeler V 5.0Handbuch CONSIDEO Modeler V 5.0
Handbuch CONSIDEO Modeler V 5.0
 
Vergleich des Scala Web-Frameworks Lift mit dem Java EE Programmiermodell
Vergleich des Scala Web-Frameworks Lift mit dem Java EE ProgrammiermodellVergleich des Scala Web-Frameworks Lift mit dem Java EE Programmiermodell
Vergleich des Scala Web-Frameworks Lift mit dem Java EE Programmiermodell
 
eBook Website Profit Leseprobe
eBook Website Profit LeseprobeeBook Website Profit Leseprobe
eBook Website Profit Leseprobe
 
Web Analytics
Web AnalyticsWeb Analytics
Web Analytics
 
Final Opentrans 2.0 Rfq
Final Opentrans 2.0   RfqFinal Opentrans 2.0   Rfq
Final Opentrans 2.0 Rfq
 
Dreamweaver cs5 hilfe
Dreamweaver cs5 hilfeDreamweaver cs5 hilfe
Dreamweaver cs5 hilfe
 
[DE] Records Management: Prinzipien, Standards & Trends | Ulrich Kampffmeyer ...
[DE] Records Management: Prinzipien, Standards & Trends | Ulrich Kampffmeyer ...[DE] Records Management: Prinzipien, Standards & Trends | Ulrich Kampffmeyer ...
[DE] Records Management: Prinzipien, Standards & Trends | Ulrich Kampffmeyer ...
 
Masterarbeit / Fakultät für Mathematik und Informatik / Lehrgebiet Datenverar...
Masterarbeit / Fakultät für Mathematik und Informatik / Lehrgebiet Datenverar...Masterarbeit / Fakultät für Mathematik und Informatik / Lehrgebiet Datenverar...
Masterarbeit / Fakultät für Mathematik und Informatik / Lehrgebiet Datenverar...
 
[DE] PROJECT CONSULT Newsletter 20090226
[DE] PROJECT CONSULT Newsletter 20090226[DE] PROJECT CONSULT Newsletter 20090226
[DE] PROJECT CONSULT Newsletter 20090226
 

Sappres Netweaver Identity Management

  • 1. Peter Gergen, Loren Heilig, Andreas Müller SAP NetWeaver Identity Management ® Bonn Boston
  • 2. Auf einen Blick 1 Einleitung ............................................................................ 17 2 Identity Management in Unternehmen .............................. 23 3 SAP NetWeaver Identity Management im Kontext von SAP NetWeaver ........................................ 65 4 SAP NetWeaver Identity Management im Überblick ........ 79 5 Tipps und Tricks im Identity-Management-Projekt ........... 119 6 Identity Management bei der Industrie GmbH .................. 145 7 Identity Management bei Mechatronic .............................. 197 8 Installation und Setup ........................................................ 249 9 Grundlegende Konzepte von SAP NetWeaver Identity Management ....................................................................... 265 10 Datenmodellierung ............................................................. 297 11 Modellierung von Provisionierungstasks ........................... 335 12 Frontend-Gestaltung des SAP NetWeaver IdM User Interfaces .................................................................... 373 13 Prozessmodellierung ........................................................... 391 14 SAP Provisioning Framework ............................................. 433 15 Weiterführende Integrationsthemen ................................. 491 16 Betrieb von SAP NetWeaver IdM ....................................... 545 17 Reporting ............................................................................ 577 18 Zusammenfassung und Ausblick ........................................ 599 A Weiterführende Literatur ................................................... 609 B Die Autoren ......................................................................... 619
  • 3. Inhalt 1 Einleitung ............................................................................. 17 1.1 Überblick und Einordnung ....................................................... 18 1.2 Projektvorgehensmethoden und Fallbeispiele .......................... 20 1.3 Technische Details und Referenzen .......................................... 20 2 Identity Management in Unternehmen ............................... 23 2.1 Motivationen für die Einführung von Identity Management ..... 25 2.1.1 Gesetzeskonformität und Wirtschaftsprüfung .............. 25 2.1.2 Sicherheitsrisiken reduzieren ....................................... 27 2.1.3 Kostenreduktion durch Automatisierung und Prozessoptimierung ..................................................... 30 2.2 Lifecycle einer Identität im Unternehmen ................................ 32 2.3 Sammelkonten und priorisierte Accounts ................................. 35 2.4 Vergabe von Systemberechtigungen ........................................ 37 2.5 Identity-Management-Lösungen .............................................. 41 2.5.1 Anforderungen an das Identity Management .............. 42 2.5.2 Leistungen einer Identity-Management-Lösung .......... 44 2.5.3 Abgrenzung des Identity Managements vom Systemmanagement .................................................... 55 2.5.4 Organisatorische Integration von Identity Management .............................................................. 55 2.6 Aspekte der Projektierung ....................................................... 56 2.6.1 Modelle der Herangehensweise .................................. 57 2.6.2 Fragestellungen in Bezug auf die Zielarchitektur .......... 59 2.6.3 Betriebskonzept .......................................................... 60 2.7 Zusammenfassung ................................................................... 64 3 SAP NetWeaver Identity Management im Kontext von SAP NetWeaver .................................................................... 65 3.1 Von der SAP-Basis zu SAP NetWeaver ..................................... 66 3.2 Verwaltung von Identitäten in SAP NetWeaver ........................ 69 3.3 SAP NetWeaver Application Server Java .................................. 69 3.4 User Management Engine ........................................................ 70 3.5 SAP NetWeaver Administrator ................................................. 71 3.6 SAP NetWeaver Portal ............................................................. 72 3.7 Zentrale Benutzerverwaltung ................................................... 74 7
  • 4. Inhalt 3.8 SAP NetWeaver Process Integration ........................................ 74 3.8.1 System Landscape Directory ........................................ 75 3.8.2 Enterprise Services Repository ..................................... 76 3.8.3 Enterprise Services Directory ....................................... 76 3.9 SAP Human Capital Management ............................................ 76 3.9.1 Personalmanagement .................................................. 77 3.9.2 Organisationsmanagement .......................................... 77 4 SAP NetWeaver Identity Management im Überblick .......... 79 4.1 Historie ................................................................................... 79 4.2 Architektur .............................................................................. 82 4.2.1 Identity Center ............................................................ 83 4.2.2 SAP Virtual Directory Server ........................................ 89 4.2.3 Gesamtarchitektur – Identity Center und SAP VDS ...... 90 4.3 Daten- und Rollenmodell ........................................................ 91 4.3.1 Daten- und Rollenmodell im Identity Store ................. 93 4.3.2 Datenmodellierung und Workflows ............................. 97 4.3.3 Datenmodellierung und Reporting .............................. 98 4.4 Datensynchronisation und Provisioning ................................... 98 4.4.1 Prinzipien der Datensynchronisation ........................... 99 4.4.2 Quell- und Zielsysteme ............................................... 100 4.4.3 Technische Adapter .................................................... 101 4.4.4 Provisionierungslogik und Workflows .......................... 103 4.4.5 Provisionierungscontent .............................................. 105 4.4.6 Password Management ............................................... 106 4.5 Weitere Integrationsthemen .................................................... 107 4.5.1 Business-Suite-Integration ........................................... 108 4.5.2 Integration mit SAP BusinessObjects Access Control ....................................................................... 110 4.5.3 Middleware zum Austausch von Daten ....................... 111 4.5.4 UI-Integration ............................................................. 113 4.6 Monitoring .............................................................................. 114 4.7 Reporting ................................................................................ 116 5 Tipps und Tricks im Identity-Management-Projekt ............ 119 5.1 Organisatorische Fallstricke ..................................................... 121 5.1.1 Vielzahl von Beteiligten und Betroffenen ..................... 121 5.1.2 Zielkonflikte ................................................................ 127 5.1.3 Persönliche Widerstände ............................................. 129 5.1.4 Organisatorisch begründete Widerstände .................... 131 5.1.5 Mangelnde organisatorische Reife ............................... 134 8
  • 5. Inhalt 5.2 Komplexitätsrisiken ................................................................. 135 5.2.1 Ungeklärte Begriffe ..................................................... 135 5.2.2 Dynamisches Umfeld ................................................... 136 5.2.3 Unklare Abgrenzung des Projektumfangs .................... 140 5.2.4 Viele Schnittstellen ..................................................... 141 5.2.5 Komplexe Prozesse ..................................................... 143 6 Identity Management bei der Industrie GmbH ................... 145 6.1 Ausgangssituation .................................................................... 146 6.2 Systemlandschaft ..................................................................... 150 6.2.1 SAP-Umgebung .......................................................... 151 6.2.2 Windows-Umgebung .................................................. 154 6.3 Anforderungen ........................................................................ 155 6.3.1 Stammdaten ............................................................... 155 6.3.2 Prozesse und Antragswesen ........................................ 155 6.3.3 Berechtigungsverwaltung ............................................ 156 6.3.4 Reporting .................................................................... 157 6.3.5 Provisionierung ........................................................... 157 6.3.6 Authentisierung/Single Sign-on ................................... 157 6.4 Herausforderungen .................................................................. 158 6.5 Integriertes Projektvorgehen .................................................... 160 6.5.1 Roadmap und Phasenansatz ........................................ 161 6.5.2 Kick-off-Workshop ...................................................... 165 6.5.3 Installation einer zweistufigen Systemlandschaft ......... 165 6.5.4 Detaillierung des Fachkonzepts ................................... 167 6.5.5 Vorbetrachtung des Zielprozesses zur Anlage neuer Identitäten .................................................................. 167 6.5.6 Vorbereitende Maßnahmen zur Datenkonsolidierung ................................................... 168 6.5.7 Geplante Nutzung des Organisationsmanagements in SAP HCM .................................................................... 170 6.5.8 Erstellung der Feinkonzeption ..................................... 171 6.6 Umsetzung der Identity-Management-Lösung ......................... 172 6.6.1 Phase 1: Aufbau einer konsistenten Datenbasis ........... 172 6.6.2 Phase 2: Self-Services und Genehmigungsprozesse ...... 182 6.7 Zusammenfassung und Ausblick .............................................. 191 6.7.1 Phase 3: Vollständige Integration der Berechtigungsverwaltung ............................................ 192 6.7.2 Phase 4: Integration von SAP BusinessObjects Access Control ............................................................ 194 6.8 Wertbetrachtung der Einführung von SAP NetWeaver IdM ...... 195 9
  • 6. Inhalt 7 Identity Management bei Mechatronic ............................... 197 7.1 Entwicklung der IT bei Mechatronic ........................................ 199 7.2 Projektinitiierung ..................................................................... 204 7.3 Projektvorbereitungen ............................................................. 207 7.4 Erste Schritte – Meilenstein 1.0 ............................................... 211 7.4.1 Konzeptionsphase ....................................................... 211 7.4.2 Implementierungsphase .............................................. 213 7.4.3 Stabilisierungsphase .................................................... 218 7.5 Weitere Integrationen – Meilenstein 2.0 .................................. 219 7.5.1 Anforderungen der Fachbereiche nach Meilenstein 1.0 220 7.5.2 Implementierung von Meilenstein 2.0 ......................... 222 7.5.3 Stabilisierungsphase .................................................... 226 7.6 Zwischenphase – Meilenstein 2.1 ............................................ 227 7.6.1 Erfassung der Folgeanforderungen .............................. 228 7.6.2 Implementierung von Meilenstein 2.1 ......................... 230 7.6.3 Stabilisierung .............................................................. 234 7.7 Zwischenphase – Meilenstein 2.2 ............................................ 236 7.7.1 Implementierung von Meilenstein 2.2 ......................... 238 7.7.2 Stabilisierungsphase .................................................... 243 7.8 Projektende mit Meilenstein 3 ................................................. 244 7.9 Lessons Learned ...................................................................... 246 8 Installation und Setup ......................................................... 249 8.1 Vorbereitungen ....................................................................... 249 8.1.1 Planung der Systemumgebung .................................... 249 8.1.2 Bereitstellung des AS Java ........................................... 251 8.1.3 Bereitstellung der IC-Datenbank ................................. 251 8.2 Installation .............................................................................. 252 8.2.1 Installation der IC-Datenbank ..................................... 253 8.2.2 Installation der IC Runtime ......................................... 255 8.2.3 Installation der IC Console .......................................... 256 8.2.4 Installation des SAP NetWeaver Identity Management User Interfaces ....................................... 257 8.2.5 Installation des SAP Virtual Directory Servers .............. 258 8.3 Einrichtung und Bereitstellung ................................................. 260 8.3.1 Einrichtung der Identity-Center-Konfiguration ............ 260 8.3.2 Einrichtung von Dispatcher und Event Agent Service ........................................................................ 261 8.3.3 Bereitstellung des SAP NetWeaver Identity Management UIs in SAP NetWeaver Portal ................. 262 10
  • 7. Inhalt 9 Grundlegende Konzepte von SAP NetWeaver Identity Management ........................................................................ 265 9.1 Datenhaltung .......................................................................... 265 9.1.1 Datenmodell des Identity Centers ............................... 266 9.1.2 Globale Konfiguration: Repositorys, Konstanten und Variablen .................................................................... 273 9.2 Rollen und Berechtigungen ...................................................... 275 9.2.1 Berechtigungen im Identity Center .............................. 275 9.2.2 Rollen ......................................................................... 277 9.2.3 Aufbau von Rollenhierarchien ..................................... 281 9.2.4 Änderung von Rollen oder Rollenhierarchien .............. 283 9.3 Regelbasierte Rollenzuweisung ................................................ 283 9.4 Tasks und Prozesse .................................................................. 286 9.4.1 Passes ......................................................................... 289 9.4.2 Scripting ..................................................................... 292 9.4.3 Jobs ............................................................................ 292 9.4.4 Tasks ........................................................................... 293 9.4.5 Scheduling von Standardjobs ...................................... 296 10 Datenmodellierung ............................................................... 297 10.1 Standard-Schema ..................................................................... 297 10.1.1 Allgemein verwendete Attribute ................................. 298 10.1.2 Entry Type »MX_PERSON« .......................................... 302 10.1.3 Entry Type »MX_PRIVILEGE« ...................................... 305 10.1.4 Entry Type »MX_ROLE« .............................................. 308 10.1.5 Entry Type »MX_DYNAMIC_GROUP« ......................... 311 10.1.6 Entry Type »MX_PENDING_VALUE« ........................... 312 10.1.7 Entry Type »MX_REPORT« .......................................... 313 10.2 Erweiterung des Datenmodells ................................................ 313 10.2.1 Datenmodellierung für SAP NetWeaver IdM ............... 314 10.2.2 Definition neuer Attribute ........................................... 317 10.2.3 Definition neuer Entry Types ....................................... 322 10.2.4 Attributdefinitionen anpassen ..................................... 324 10.2.5 Tipps zur Datenmodellierung ...................................... 325 10.3 Tabellen in der IC-Datenbank .................................................. 326 10.3.1 Repräsentation von Nutzdaten und Systemkonfiguration ................................................... 327 10.3.2 Tabellen für Laufzeitinformationen .............................. 330 10.3.3 Besonderheiten für das Reporting ............................... 332 11
  • 8. Inhalt 11 Modellierung von Provisionierungstasks ............................ 335 11.1 Pass-Konfiguration ................................................................... 335 11.1.1 Vorlagen und Platzhalter ............................................. 338 11.1.2 Repositorys, Variablen und Konstanten ....................... 339 11.1.3 Source konfigurieren ................................................... 340 11.1.4 Destination konfigurieren ............................................ 340 11.1.5 ToIdentityStore-Pass ................................................... 345 11.1.6 Ablauf einer Jobausführung ......................................... 347 11.1.7 Einsatz von Skripten .................................................... 348 11.1.8 ToGeneric-Pass ........................................................... 353 11.2 Jobkonfiguration ...................................................................... 356 11.2.1 Einstellungen .............................................................. 356 11.2.2 Ergebnisbehandlung .................................................... 358 11.3 Task-Konfiguration .................................................................. 359 11.3.1 Ablaufsteuerung .......................................................... 360 11.3.2 Ergebnisbehandlung .................................................... 361 11.3.3 Repository .................................................................. 362 11.4 Fehlerbehandlung und Ausfallsicherheit ................................... 363 11.4.1 Wiederholungen von Tasks ......................................... 365 11.4.2 Fehlerskripte ............................................................... 365 11.4.3 Tasks bei Fehlern aufrufen ........................................... 367 11.5 Ausgewählte eingebaute Funktionen für Skripte ...................... 367 11.5.1 Informationen über die Laufzeitumgebung ermitteln ..................................................................... 368 11.5.2 Zugriff auf Entrys im Identity Store .............................. 368 11.5.3 Steuerung der Jobausführung ...................................... 370 11.5.4 Hilfsfunktionen ........................................................... 370 11.5.5 Zugriff auf Konstanten und Variablen .......................... 372 12 Frontend-Gestaltung des SAP NetWeaver IdM User Interfaces ..................................................................... 373 12.1 Konfiguration im Frontend ...................................................... 373 12.1.1 Generelle Konfiguration von Task Groups .................... 374 12.1.2 Direkter Aufruf von Task Groups und Approval Tasks ........................................................................... 378 12.2 Anordnung von Attributen und Elementen .............................. 379 12.3 Darstellung von Werten ........................................................... 382 12.4 Zugriffssteuerung ..................................................................... 387 12.4.1 Zugreifende Identität festlegen .................................... 387 12.4.2 Zugriff auf Identitäten festlegen .................................. 389 12
  • 9. Inhalt 13 Prozessmodellierung ............................................................ 391 13.1 Modellierung von Provisionierungsprozessen ........................... 391 13.1.1 Gruppieren von Provisionierungstasks ......................... 392 13.1.2 Verzweigungen ........................................................... 396 13.1.3 Genehmigungsschritte in Prozesse einfügen ................ 401 13.1.4 Member Events ........................................................... 407 13.1.5 Starten von (Sub-)Prozessen ........................................ 412 13.2 Modellierung von Batch-Prozessen .......................................... 415 13.2.1 Importprozesse ........................................................... 416 13.2.2 Exportprozesse ............................................................ 423 13.2.3 Zeitabhängige Prozesse ............................................... 424 13.2.4 Scheduling .................................................................. 425 13.2.5 Delta-Mechanismus .................................................... 428 14 SAP Provisioning Framework ............................................... 433 14.1 Überblick über das SAP Provisioning Framework ..................... 434 14.1.1 Bestandteile des SAP Provisioning Frameworks ........... 434 14.1.2 SAP Provisioning Framework in den Projektphasen ..... 436 14.2 Importprozesse ........................................................................ 437 14.2.1 Importprozesse erstellen ............................................. 437 14.2.2 Übersicht der Templates für Importjobs ...................... 440 14.2.3 Aufbau und Funktionsweise von Initial Load Templates ................................................................... 442 14.2.4 Aufbau und Funktionsweise von Update Templates .... 452 14.2.5 Datenkonsolidierung mit Importprozessen .................. 455 14.2.6 Weitere Standardjob-Templates .................................. 460 14.3 Provisionierungsprozesse ......................................................... 462 14.3.1 Konfiguration der Provsionierungsprozesse ................. 462 14.3.2 Ablauf von Provisionierungsprozessen ......................... 463 14.3.3 Task-Struktur des SAP Provisioning Frameworks .......... 466 14.3.4 Rule-Based Provisioning mit dem SAP Provisioning Framework .................................................................. 468 14.3.5 Provisionierung in die Zielsysteme ............................... 473 14.3.6 Vordefinierte Frontend-Masken .................................. 482 14.3.7 Erweitern der Provisionierungsprozesse ....................... 484 15 Weiterführende Integrationsthemen ................................... 491 15.1 Typische Anwendungsfälle für die Anbindung von Systemen ... 492 15.1.1 SAP HCM-Integration ................................................. 494 13
  • 10. Inhalt 15.1.2 SAP NetWeaver Portal-Umgebung .............................. 495 15.1.3 Erweiterte SAP Business Suite-Integration ................... 496 15.2 Stammdatenverteilung und Synchronisation ............................ 497 15.2.1 SAP HCM-Standardintegration .................................... 497 15.2.2 Erweiterte SAP Business Suite-Integration ................... 507 15.2.3 Nutzung von SAP NetWeaver Process Integration ....... 511 15.3 SAP Virtual Directory Server und Identity Services ................... 514 15.3.1 Standardprotokolle und Identity Services .................... 514 15.3.2 Konfiguration und Deployment ................................... 516 15.3.3 Identity Services – Beispiele ........................................ 521 15.4 SAP BusinessObjects GRC-Integration ...................................... 524 15.4.1 Überblick über die GRC-Produkte der SAP .................. 524 15.4.2 Compliance-Phasen des Berechtigungsmanagements ........................................ 528 15.4.3 Compliant Identity Management ................................. 532 15.4.4 Kommunikation zwischen den Komponenten ............. 536 15.4.5 Compliant Identity Management – Konfiguration der Komponenten ............................................................. 540 16 Betrieb von SAP NetWeaver IdM ........................................ 545 16.1 Infrastruktur ............................................................................ 545 16.1.1 Sizing und Hochverfügbarkeit ...................................... 545 16.1.2 Sicherheit .................................................................... 551 16.1.3 Upgrades .................................................................... 553 16.2 Transportwesen ....................................................................... 554 16.2.1 Transport der IC-Datenbank ........................................ 554 16.2.2 Transport der Identity-Center-Konfiguration ............... 556 16.2.3 Transport der SAP Virtual Directory Server- Konfiguration .............................................................. 560 16.3 Monitoring .............................................................................. 562 16.3.1 Jobprotokoll ................................................................ 562 16.3.2 Systemprotokoll und Trace-Protokoll .......................... 566 16.3.3 Genehmigungswarteschlange, Provisionierungs- warteschlange und Provisionierungsaudit .................... 568 16.3.4 Historie von Einträgen ................................................. 571 16.3.5 Monitoring des SAP Virtual Directory Servers .............. 573 17 Reporting .............................................................................. 577 17.1 Report Samples ....................................................................... 578 17.1.1 Entry Report ............................................................... 578 14
  • 11. Inhalt 17.1.2 Line Manager Report .................................................. 580 17.1.3 Privilege Report .......................................................... 581 17.1.4 Role Report ................................................................ 582 17.2 Setup der Reporting-Funktionalität .......................................... 583 17.2.1 Installation und Konfiguration der Runtime Library ..... 583 17.2.2 Erstellen eines Report Tasks im Identity Center ........... 584 17.2.3 Anfordern von Reports im IdM UI ............................... 588 17.2.4 Anzeigen von Reports ................................................. 589 17.3 Eigene Reports erstellen .......................................................... 591 17.3.1 Corporate Identity Report ........................................... 592 17.3.2 Conditional Format Report .......................................... 594 17.3.3 Data Transformation Report ........................................ 596 17.3.4 Query Report .............................................................. 598 18 Zusammenfassung und Ausblick .......................................... 599 18.1 Aktueller Stand ........................................................................ 599 18.1.1 Identity Center ............................................................ 600 18.1.2 SAP Virtual Directory Server ........................................ 600 18.1.3 SAP NetWeaver IdM User Interface ............................ 601 18.1.4 SAP NetWeaver IdM und SAP BusinessObjects Access Control ............................................................ 601 18.1.5 SAP NetWeaver IdM und SAP BusinessObjects Crystal Reports ............................................................ 602 18.1.6 Verfügbare Konnektoren im Identity Center ................ 602 18.1.7 SAP NetWeaver IdM und SAP HCM ............................ 603 18.2 Ausblick und »Wunschliste« für zukünftige Produktversionen .................................................................... 603 18.2.1 Integration in den SAP Solution Manager .................... 603 18.2.2 Verschmelzung mit SAP BusinessObjects Access Control ....................................................................... 604 18.2.3 SAP NetWeaver Composition Environment und Business Process Management .................................... 604 18.2.4 Vorgefertigtes, sofort einsatzbereites Berichtswesen .... 605 18.3 Organisatorische Herausforderungen ....................................... 605 18.3.1 Schaffung der organisatorischen Akzeptanz von SAP NetWeaver IdM ................................................... 605 18.3.2 Etablierung eines durchgängigen und aktuellen Fachrollenmodells ....................................................... 606 18.4 Schluss .................................................................................... 606 15
  • 12. Inhalt Anhang ................................................................................. 607 A Weiterführende Literatur .................................................................... 609 A.1 Bücher und Artikel ................................................................... 609 A.2 Onlinequellen nach Kapiteln .................................................... 610 B Die Autoren ....................................................................................... 619 Index ......................................................................................................... 623 16
  • 13. SAP NetWeaver IdM ist zentraler Bestandteil der SAP NetWeaver- Plattform. Es wird zur Verwaltung von Identitäten und deren Berech- tigungen in SAP- sowie Nicht-SAP-Systemlandschaften verwendet. Die- ses Kapitel gibt einen Überblick über die zugrundeliegende Architektur von SAP NetWeaver IdM sowie die damit verbundenen Konzepte und Funktionalitäten. 4 SAP NetWeaver Identity Management im Überblick Dieses Kapitel vermittelt einen Überblick über die Funktionen, Komponenten und Besonderheiten von SAP NetWeaver Identity Management (SAP NetWeaver IdM) und ist damit in erster Linie an Architekten und Projektleiter gerichtet. Es eignet sich aber auch grundsätzlich zum Einstieg, um einen ersten Überblick über die Ein- satzmöglichkeiten dieser Komponente zu bekommen. Um die Hintergründe für die Integration einer Identity-Management-Lösung in das SAP NetWeaver-Portfo- lio näher zu beleuchten, gehen wir zunächst kurz auf die Historie der Benutzer- verwaltung in SAP-Umgebungen ein. Anschließend werden die Systemkompo- nenten im Rahmen der SAP NetWeaver IdM-Architektur beschrieben und grundlegende Konzepte der Datenmodellierung in Verbindung mit dem Standard- datenmodell betrachtet, um dann wiederum im Rahmen der Datensynchronisa- tion und Provisionierung auf die Verfügbarkeit und Funktionsweise mitgelieferter Adapter einzugehen. Alle in diesem Kapitel aufgegriffenen Aspekte werden im technischen Teil des Buches, beginnend mit der Installation in Kapitel 8, detail- lierter beschrieben. 4.1 Historie Mit der Zentralen Benutzerverwaltung (ZBV) steht in SAP-Landschaften bereits seit dem R/3-Release 4.5B bzw. 4.6C ein Werkzeug zur Verfügung, mit dem eine zen- trale Verwaltung von Benutzer- und damit verbundenen Berechtigungsinformati- onen in einer SAP-ABAP-Landschaft möglich ist. Die ZBV nutzt dabei die zur Daten- verteilung mithilfe von IDocs vorhandenen ALE-Mechanismen. Mithilfe von ALE können Benutzerdaten sowie deren zugewiesene Berechtigungsrollen in dafür 79
  • 14. 4 SAP NetWeaver Identity Management im Überblick definierten Nachrichtentypen an die angebundenen ZBV-Tochtersysteme übertra- gen und – je nach den Customizing-Einstellungen – kann ein Rückfluss von lokal gepflegten Attributen aus den Tochtersystemen ermöglicht werden. Die Nutzung der ALE-Technologie hat neben einigen Vorteilen allerdings auch einen zentralen Nachteil: Der Mechanismus ist grundsätzlich Systemen vorbehal- ten, die in der Lage sind, über entsprechende ALE-Verteilungsmodelle Daten aus- zutauschen. Somit ist eine Nutzung der ZBV zur Verwaltung von Benutzer- und Berechtigungsinformationen in ihrem vollen Funktionsumfang auf den AS ABAP beschränkt, sofern nicht weitere R/3-Basisfunktionalitäten wie beispielsweise der LDAP-Adapter genutzt werden. In Abhängigkeit von der Konfiguration eines AS Java-Systems können auch dessen Berechtigungen durch die ZBV verwaltet wer- den. Allerdings sind hierfür manuelle Zusatzarbeiten notwendig, um die Berech- tigungsobjekte des Java-Systems mit den im angebundenen ABAP-User-Store ver- fügbaren Rollen zu verknüpfen. Neben den technischen Restriktionen bei der Verwaltung unterschiedlicher Zielsystemtypen legt die ZBV außerdem den Fokus auf die in der ABAP-Benutzerpflege (Transaktion SU01 Benutzerpflege Ein- stieg) pflegbaren Attribute und Daten und unterstützt dabei keinerlei Prozesssteu- erung zur Beantragung und/oder Genehmigung von Berechtigungsoperationen. Betrachtet man das Thema Identity Management im Kontext einer zunächst sys- temunabhängigen zentralen Verwaltung von Identitäts- und Zugriffsdaten (siehe Kapitel 2), ist der Schritt der SAP nur konsequent, ein Werkzeug zu entwickeln, das eine historisch gewachsene und heterogene Systemlandschaft, bestehend aus SAP-Systemen, Verzeichnisdiensten, Windows-Anwendungen sowie Datenbank- anwendungen und sonstigen Eigenentwicklungen mit Identitäts- und Berechti- gungsinformationen versorgen kann. Bis zu diesem Zeitpunkt gab es für SAP-Kun- den, die ihre Identitäten zentral verwalten wollten, letztlich nur zwei Alternativen: entweder ein Third-Party-Tool1 für die Verwaltung der kompletten Systemumge- bung einzusetzen oder die ZBV für die SAP-Umgebung zu nutzen und für die rest- lichen Systeme ein anderes Werkzeug zu integrieren. Die Erweiterung des SAP NetWeaver-Portfolios durch ein Identity-Management- Werkzeug für heterogene System- und Anwendungslandschaften wurde mit der Akquisition von MaxWare in die Tat umgesetzt – mit dem Anspruch, weiterhin die komplexer werdende SAP-Umgebung hinsichtlich Identitätsdaten verwalten und zusätzlich auch Nicht-SAP-Systeme an dieselbe zentrale Identity-Manage- ment-Infrastruktur anbinden zu können. 1 Perkins, Earl; Carpenter, Perry: Magic Quadrant for User Provisioning. Gartner RAS Core Research Note G00159740. http://mediaproducts.gartner.com/reprints/novell/159740.html (1.06.2009) 80
  • 15. Historie 4.1 Die Computerwoche schrieb am 14. Mai 2007: »Identity-Management-Systeme die- nen in komplexen Applikationsumgebungen dazu, Benutzer- und Zugriffsrechte übergreifend zu verwalten. Einerseits senkt dies die Verwaltungskosten, anderer- seits erhöht es die Sicherheit. Da in serviceorientierten Umgebungen eine Vielzahl unterschiedlicher Softwarekomponenten, Unternehmen (Lieferanten, Kunden und Partner) sowie Endanwender miteinander interagieren, steigt dort der Bedarf an Identity-Management.«2 SAP NetWeaver IdM nimmt damit in Zukunft mit einem erweiterten Funktionsumfang durch Genehmigungsworkflows, Reporting-Funkti- onalität, die Nutzung komplexer Rollenmodelle und Regelwerke zur Automatisie- rung der Berechtigungsverwaltung sowie zusätzlicher Adapter für die Anbindung weiterer Anwendungen die Position der ZBV ein. Die von SAP NetWeaver IdM bereitgestellten Funktionalitäten lassen sich wie folgt zusammenfassen: Metaverzeichnis Synchronisation, Konsolidierung und zentrale Datenhaltung der zu verwalten- den Identitätsdaten in einem auf einer relationalen Datenbank basierenden Me- taverzeichnis, dessen Datenmodell flexibel erweitert werden kann. Prozesssteuerung Aufbau komplexer Workflows zur Verwaltung der Identitätsdaten und Bean- tragung von Berechtigungen mit Workflow-Mechanismen wie beispielsweise der Umsetzung mehrstufiger Genehmigungsstrategien auf Basis paralleler und sequenzieller Verarbeitung von Anträgen durch Budgetverantwortliche, Vor- gesetzte, Daten- oder Systemverantwortliche inklusive der dynamischen Ermitt- lung von Prozessbeteiligten sowie der Konfiguration von Eskalations- und Be- nachrichtigungsmechanismen. SAP NetWeaver IdM erlaubt zusätzlich sowohl die Nutzung von Self-Services als auch die Möglichkeit delegierter Administra- tionsaufgaben in Abhängigkeit von Organisation, Zuständigkeit oder anderen gepflegten Attributen. Automatisierte und regelbasierte Provisionierung Auf Regelwerken basierende Anlage, Modifikation und Sperrung/Löschung von Benutzern in den angebundenen und verwalteten Systemen. Durch die Ab- bildung hierarchischer Rollenmodelle ist sowohl eine explizite (direkte) als auch eine implizite (vererbbare) Zuweisung von Berechtigungen unter Berück- sichtigung von gepflegten SoD-Konflikten (Segregation of Duties) durch SAP NetWeaver IdM möglich. Password Management Zentrale Verwaltung und Provisionierung von Passwörtern in SAP NetWeaver IdM inklusive der Abbildung von Szenarien zur Passwortrücksetzung. 2 Niemann, Frank: Update: SAP füllt mit MaxWare eine lange klaffende Lücke in NetWeaver. http://www.computerwoche.de/knowledge_center/enterprise_resource_planning/592733/ (14.05.2007) 81
  • 16. 4 SAP NetWeaver Identity Management im Überblick Reporting und Audit Erzeugung von Berichten auf den aktuellen und den historischen Datenbestand mithilfe von SAP BusinessObjects Crystal Reports. Die Abschnitte dieses Kapitels beschreiben die Architektur, die zentralen Kompo- nenten sowie die Hauptfunktionalitäten und Prinzipien von SAP NetWeaver IdM. Ziel ist es, einen grundsätzlichen Überblick zu geben und die wichtigsten Begriffe und Möglichkeiten in den Bereichen Datenmodellierung inklusive Rollenmodel- len (siehe Kapitel 10) und Workflow-Steuerung (siehe Kapitel 13), Provisionierung (siehe Kapitel 11 und Kapitel 14), Monitoring (siehe Kapitel 16) und Reporting (siehe Kapitel 17) einführend zu erläutern. 4.2 Architektur SAP NetWeaver IdM besteht aus zwei zunächst unabhängigen Komponenten: dem Identity Center (IC) und dem SAP Virtual Directory Server (SAP VDS). Das Identity Center bildet mit seinem Datenmodell auf Basis einer relationalen Datenbank, das mithilfe der Administrationskonsole ohne Programmieraufwand erweitert wer- den kann, das »Herzstück« des eigentlichen Identity-Management-Systems und stellt somit die im letzten Abschnitt beschriebenen grundlegenden Funktionalitä- ten zur Verfügung. Die Verwendung einer relationalen Datenbank bietet dabei, verglichen mit einem reinen Verzeichnisdienst, zusätzlich den Vorteil der trans- aktionalen Sicherheit. Während in einem Verzeichnisdienst immer die aktuelle Repräsentation eines Objekts in Form einer flachen Liste von Attributen abgelegt wird, erlaubt die Nutzung einer relationalen Datenbank außerdem die Speiche- rung historischer Werte sowie die Verknüpfung weiterer Daten beispielsweise zu Reporting-Zwecken. Der SAP Virtual Directory Server hingegen stellt die Funktionalität für den zentra- len und virtualisierten Echtzeitzugriff auf mehrere Datenquellen im Sinne einer Middleware mit speziellen Transformationsfunktionen – wie beispielsweise der Transformation von Attributwerten oder der Anreicherung aus anderen Daten- quellen zum Zeitpunkt der Abfrage – und der Unterstützung bestimmter, im IdM- Umfeld gängiger Protokolle wie LDAP oder SPML3 (Service Provisioning Markup Language) zur Verfügung. Dies gilt sowohl für den Zugriff auf externe Datenquel- len (aus Sicht des Identity Centers) als auch für den Zugriff auf die im Identity Cen- 3 SPML ist ein offener Standard für die Integration und Übermittlung von Service-Provisio- nierungsanfragen. SPML Version 1.0 wurde im Oktober 2003 von OASIS (Organization for the Advancement of Structured Information Standards) als Standard freigegeben. Aktuelle In- formationen finden Sie unter http://www.oasis-open.org/specs/index.php#spmlv2.0 (Stand: Au- gust 2009). 82
  • 17. Architektur 4.2 ter verwalteten Identitätsdaten (für Beispiele relevanter Anwendungsfälle siehe Abschnitt 4.2.2). 4.2.1 Identity Center Das Identity Center lässt sich in drei Ebenen (siehe Abbildung 4.1) unterteilen: UI-Komponenten Datenbank und Identity Store(s) Laufzeitkomponenten (IC Runtime) In den folgenden Abschnitten werden die oben dargestellten Bestandteile des Identity Centers näher erläutert. Eine vierte Ebene bilden die Quell- und Zielsys- teme, auf die wir in Abschnitt 4.4 eingehen werden. UI-Komponenten (1) Administrator Console Überwachung/Workflow und End-User-Interface Microsoft Management Console (MMC) SAP NetWeaver Application Server Java IC-Datenbank (2) Event (De-)Zentrale Agent(s) IC Runtime (3) Dispatcher SAP NetWeaver SAP NetWeaver Verzeichnis- Sonstige Datenbanken ABAP Java dienste Nicht-SAP Quell- und Zielsysteme (4) Abbildung 4.1 Bestandteile des Identity Centers In Bezug auf die UI-Komponenten besteht das Identity Center (IC) aus zwei Teilen: dem SAP NetWeaver IdM UI, das auf dem Java-basierten Teil des AS Java instal- liert wird4, und der Administrationskonsole (IC Console) für Entwicklungs- sowie 4 Die unterstützten Versionen können Sie – wie auch für andere SAP NetWeaver-Komponen- ten – der Product Availability Matrix (PAM) unter http://service.sap.com/pam entnehmen (Stand: August 2009). 83
  • 18. 4 SAP NetWeaver Identity Management im Überblick Konfigurations- und Customizing-Arbeiten, die mithilfe eines Plug-ins in der Mi- crosoft Management Console (MMC) zur Verfügung gestellt wird. Auf dem SAP NetWeaver AS werden neben dem Monitoring-Interface die Kom- ponenten für den Zugriff auf das zentrale End-User-Interface und die damit ver- fügbaren Workflow-Masken bereitgestellt. Die Benutzerverwaltung eines ange- bundenen AS Java (UME) zur Bereitstellung der UI-Komponenten enthält die Benutzer, die später Zugriff auf Identity-Management-Inhalte in Form von Em- ployee- oder Manager-Self-Services haben sollen. Dabei gelten bei der UME-Konfi- guration keine Einschränkungen bezüglich nutzbarer Authentisierungsquellen. In allen Fällen gilt, dass das Identity Center für die Anlage, Änderung und Verteilung der Benutzer in dem entsprechenden User Store sorgt und somit den verwalteten Identitäten einen Zugang zum IdM UI zur Änderung persönlicher Daten oder Beantragung von Zugriffsrechten bzw. sonstigen Ressourcen gestattet. Die Web-Dynpro-Komponenten für die Workflow-Masken werden zumeist auf einer bestehenden SAP NetWeaver-Portal-Landschaft aktiviert. Ein zentrales Unternehmensportal stellt in vielen Unternehmen bereits heute den Einstieg in zahlreiche Applikationen dar, beispielsweise Anwendungen aus dem Personalbe- reich wie das Zeit- und Reisemanagement, eine Vielzahl von Reporting- und Pla- nungsanwendungen oder Kollaborationswerkzeuge. Steht kein solches Unterneh- mensportal auf SAP NetWeaver-Basis zur Verfügung, kann das SAP NetWeaver IdM UI auf einem eigenen AS Java-System als Bestandteil des SAP NetWeaver IdM- Systems installiert werden. In beiden Fällen gilt, dass im UI keinerlei Programm- bzw. Provisionierungslogik abläuft und somit auch keine Beeinträchtigung des ver- wendeten AS Java – mit Ausnahme der eventuell steigenden Benutzerzahl – zu erwarten ist. Abbildung 4.2 zeigt die Sicht auf das SAP NetWeaver IdM UI in der Version 7.1. Abbildung 4.2 End-User-Interface – Self-Services 84
  • 19. Architektur 4.2 Das UI teilt sich in fünf Bereiche, die in Abhängigkeit von der SAP NetWeaver IdM-Rolle der angemeldeten Benutzer sichtbar sind (siehe auch Kapitel 12): Self-Services Zu erledigen Verwalten Historie Überwachung Die Registerkarte Self-Services enthält eine Liste von Links, mit denen der ange- meldete Benutzer beispielsweise Berechtigungen für sich anfordern oder den Teil seiner eigenen Daten ändern kann, der für die direkte Änderung im Rahmen des entsprechenden Self-Services freigegeben ist. Alle Aktionen betreffen immer sei- nen eigenen Benutzerstammsatz. Diese Registerkarte ist für jeden Benutzer sicht- bar, der im Identity Store erfasst und als aktiv gekennzeichnet ist. Die Registerkarte Zu erledigen (Abbildung 4.3) stellt den Arbeitsvorrat im Hin- blick auf anstehende Aktivitäten, wie die Genehmigung von Anträgen oder die Erfassung zusätzlicher Daten, des angemeldeten Benutzers im Identity Center dar. Eine Integration in die Universal Worklist (UWL) in SAP NetWeaver Portal ist mög- lich (für weiterführende Informationen siehe Literaturverzeichnis). Abbildung 4.3 End-User-Interface – Arbeitsvorrat Die Registerkarte Verwalten (Abbildung 4.4) bietet die Möglichkeit, delegierte Aufgaben durchzuführen, also beispielsweise die Daten von anderen Personen zu ändern oder als Vorgesetzter Berechtigungen für die eigenen Mitarbeiter zu bean- tragen. Die Registerkarten Historie und Überwachung sind technischer Natur und bleiben im Normalfall berechtigten Administratoren vorbehalten. In der His- torie werden abgearbeitete Genehmigungsaufgaben angezeigt (Abbildung 4.5). 85
  • 20. 4 SAP NetWeaver Identity Management im Überblick Abbildung 4.4 End-User-Interface – Verwalten Abbildung 4.5 End-User-Interface – Historie Die Informationen auf der Registerkarte Überwachung gestatten sowohl Einblick in Job- und Systemlog als auch eine Sicht auf die Warteschlange für Genehmi- gungsaufgaben und Provisionierungstasks (siehe Abbildung 4.6). Mit der eingangs erwähnten IC Console kommt der Endanwender und Prozess- beteiligte nicht in Berührung. Sie ist somit Entwicklern und Systemadministrato- ren vorbehalten. Die IC Console spielt vor allem bei der Implementierung und dem Betrieb der SAP NetWeaver IdM-Lösung eine zentrale Rolle. Details zu ihrer Nutzung sind deshalb auch ab Kapitel 8 zu finden. Über die IC Console wird der Bereich der Datenbank gepflegt, der die Entwicklungs- und Customizing-Einstel- lungen enthält. 86
  • 21. Architektur 4.2 Hier werden u. a. folgende Informationen gespeichert: Datenmodellbeschreibungen (siehe Kapitel 10) Konfigurationsdaten von angebundenen Systemen (siehe Abschnitte 4.4.2 und 9.1.2) Konfiguration für Workflow-Abläufe (siehe Kapitel 13) Einstellungen für Masken (siehe Kapitel 12) Regeln zu Datensynchronisation und -transformation sowie zu zeitgesteuerten Ladevorgängen und Skripten (siehe Kapitel 11) Abbildung 4.6 End-User-Interface – Überwachung Neben den Customizing-Einstellungen bilden die konfigurierbaren Identity Store(s) den zweiten zentralen Bestandteil einer SAP NetWeaver IdM-Datenbank- instanz. In einem Identity Store werden die eigentlichen Identitätsdaten – basie- rend auf dem zugrunde liegenden Datenmodell – verwaltet. Dazu gehören in jedem Fall: Benutzerstammsätze (siehe Abschnitte 4.3.1 und 10.1.2) technische Rollen (siehe Abschnitte 4.3.1 und 10.1.3) Geschäftsrollen (siehe Abschnitte 4.3.1 und 10.1.4) (dynamische) Gruppen (siehe Abschnitte 4.3.1 und 10.1.5) Objekte für noch zu genehmigende oder zeitlich abgegrenzte Identitätsinfor- mationen (siehe Abschnitte 4.3.1 und 10.1.6) Anträge und kundenspezifische Objekte (siehe Abschnitt 10.2) 87
  • 22. 4 SAP NetWeaver Identity Management im Überblick Zusätzlich zu den eigentlichen Daten gehören auch die Regelwerke zur Reaktion auf Ereignisse (Hinzufügen/Ändern/Löschen) zum jeweiligen Identity Store. Neben den aktuellen Datenbeständen werden in den dafür vorgesehenen Daten- banktabellen (siehe Abschnitt 10.3) die historischen Werte der verwalteten Objektklassen sowie Audit-Informationen über beantragte und genehmigte Res- sourcen für Auswertungszwecke vorgehalten. Mit Ausnahme sogenannter Job, Pass und Repository Templates, die der Anbindung zusätzlicher Systeme sowie der Konfiguration von Standardjobs und Provisionierungsaufgaben im Rahmen von Entwicklungs- und Konfigurationstätigkeiten dienen, stehen alle Daten für den Betrieb von SAP NetWeaver IdM in der zentralen Datenbankinstanz zur Verfü- gung. Templates werden dagegen auf dem Filesystem abgelegt und können bei den Konfigurationsarbeiten in der Administrationskonsole als Vorlage genutzt werden. Die Laufzeitkomponenten (IC Runtime) bilden neben den UI-Komponenten und der Datenbank die dritte Schicht der Identity-Center-Architektur. Grundsätzlich lassen sich zwei Laufzeitkomponenten unterscheiden: Dispatcher und Event Agents. Dispatcher werden konfiguriert, um Warteschlangen mit Jobs, Workflow- und Provisionierungsaufgaben abzuarbeiten, und sind somit das »ausführende Or- gan« innerhalb von SAP NetWeaver IdM. Es können in jedem Unternehmen ein oder mehrere Dispatcher in der Systemlandschaft verteilt konfiguriert werden. Dabei kann u. a. festgelegt werden, welche Art von Aufgaben ein bestimmter Dis- patcher erfüllt und in welchen Intervallen er dies tun soll. Eine verteilte Installation von mehreren Dispatchern kann aus Gründen der Lastverteilung sinnvoll, aber auch unter netzwerktopologischen Gesichtspunkten (Sicherheit, Firewall, Ge- schwindigkeit etc.) notwendig sein. Außerdem besteht die Möglichkeit, eine Ent- kopplung bestimmter hoch priorisierter oder eher unkritischer Aufgaben zu er- reichen (siehe Kapitel 16). In Release 7.1 von SAP NetWeaver IdM wird der Dispatcher noch immer für die beiden Laufzeitumgebungen Windows und Java ausgeliefert. Das hat u. a. den Grund, dass es auch im SAP Provisioning Framework (siehe Kapitel 14) noch aus- gelieferte Bestandteile der Instrumentierung gibt – beispielsweise für das User Management des Microsoft Active Directorys –, die die Windows-Laufzeit voraus- setzen, da sie Windows-spezifische Funktionalitäten wie beispielsweise das Active Directory Services Interface (ADSI) nutzen. Das Ziel von SAP ist aber, in Zukunft mit der Java-Laufzeitumgebung auszukommen und die Windows-Laufzeit nicht mehr zu nutzen, um eine entsprechende Plattformunabhängigkeit der IC-Runtime- Komponenten zu gewährleisten. Event Agents, die zweite Laufzeitkomponente, werden verwendet, um in Quell- und/oder Zielsystemen Ereignisse abzufangen, die im Identity Center wiederum die Ausführung von Jobs oder Tasks initiieren können (für weiterführende Infor- mationen siehe Literaturverzeichnis). Ein einfaches Beispiel ist die Überwachung 88
  • 23. Architektur 4.2 einer Datei durch einen Event Agent, der ein Ereignis auslöst, sobald die Datei aktu- alisiert wurde. Daraufhin kann im Identity Center eine Aktion angestoßen werden, die in Verbindung mit dem Delta-Handling die geänderten Datensätze aus der über- wachten Datei in den Identity Store lädt. Event Agents stehen im Auslieferungs- zustand lediglich für die folgenden wenigen Anwendungsfälle zur Verfügung: Überwachung von Anlage, Änderung oder Löschung von Objekten im Micro- soft Active Directory Überwachung von Änderungen in Datenbanken Überwachung von Dateien und Verzeichnissen Überwachung von Änderungen in weiteren LDAP-Verzeichnissen Mithilfe einer Java-API können weitere Vorlagen für die Aktivierung von Event Agents für den jeweiligen Anwendungsfall gebaut werden. Die Nutzung von Java garantiert, wie oben beschrieben, auch hier die Plattformunabhängigkeit. Genau wie der Dispatcher kann ein Event Agent in der Systemlandschaft auf unterschied- lichen Systemen verteilt werden und so die auf den relevanten Systemen lokal auf- tretenden Ereignisse abfangen bzw. weiterleiten, um weitere Aktionen auszulö- sen. Sowohl Dispatcher als auch Event Agents lassen sich als lauffähige Services konfigurieren, die in die Startup-Sequenzen der unterstützten Systemplattformen eingebunden werden können. Die Java-Laufzeitkomponenten nutzen unterschiedliche Klassen, um die Konnek- tivität zu den Quell- und Zielsystemen herzustellen. Eine zentrale Klasse ermöglicht dabei den Zugriff mithilfe von LDAP. Dieses Protokoll zum Zugriff auf Verzeich- nisdienste wird – neben anderen Protokollen wie SPML und Webservice – auch vom Virtual Directory Server unterstützt. Dieser spielt eine wichtige Rolle für verschie- dene Schnittstellen (beispielsweise bei der GRC-Integration oder der Kommuni- kation mit dem LDAP-Adapter im Rahmen der SAP Business Suite-Integration) und wird in Zukunft durch die Verfügbarkeit der genannten Identity Services immer mehr in den Mittelpunkt der Kommunikation mit dem Identity Center rücken. 4.2.2 SAP Virtual Directory Server Der SAP Virtual Directory Server (SAP VDS) stellt grundsätzlich Funktionalitäten für den virtualisierten und standardisierten Zugriff auf Datenquellen im Sinne einer Middleware zur Verfügung. Er liefert damit spezielle Transformationsfunk- tionen und unterstützt bestimmte, im Identity-Management-Umfeld gängige Pro- tokolle wie LDAP oder SPML. Obwohl der SAP VDS im Rahmen der SAP NetWea- ver IdM-Architektur zunächst eine optionale Komponente darstellt, nimmt er vor allem hinsichtlich der Integration mit anderen Systemen sowie der Anreicherung von Informationen aus unterschiedlichen Quellen eine zentrale Rolle ein. So wird 89
  • 24. 4 SAP NetWeaver Identity Management im Überblick der SAP VDS beispielsweise für die HCM-Integration (siehe Abschnitte 4.5.1 und 15.2.1) sowie zur Integration mit SAP BusinessObjects Access Control (siehe Abschnitt 15.4) verwendet. SAP liefert hierzu die nötige Instrumentierung sowohl für das Identity Center als auch für den SAP VDS aus. Einige Beispiele für Anwen- dungsfälle einer Verwendung des SAP VDS sind neben den bereits genannten Inte- grationen: virtualisierter Zugriff auf unterschiedliche Datenquellen, wie Identity Stores des Identity Centers, Datenbanken oder Directory Services Markup Language v2 (DSMLv2), über LDAP und SPML Mapping und Transformation von einzelnen Attributwerten während des Zu- griffs, um den Anforderungen an Datenformate unterschiedlicher Quell- und Zielsysteme gerecht werden zu können Zusammenfassung von Attributen unterschiedlicher Systeme in einer Anfrage. Für die anfragende Anwendung ist nur eine Datenquelle sichtbar. Einschränkung von verfügbaren Attributen und Filterung der Wertemenge von Daten in Abhängigkeit von den Anmeldeinformationen des anfragenden Be- nutzers dynamische Ermittlung der Verbindungsdaten in Abhängigkeit von Attributen des Anwenders (beispielsweise E-Mail-Adresse) Zusätzlich zur grundlegenden Funktionalität für die Umsetzung der beschriebe- nen Anwendungsfälle übernimmt der SAP VDS durch die Unterstützung von Pro- tokollen wie LDAP, HTTP, SOAP und SPML im Zusammenspiel mit anderen SAP NetWeaver-Komponenten die Bereitstellung sogenannter Identity Services. Iden- tity Services stellen im Kontext von SAP NetWeaver IdM einen zentralen und stan- dardisierten Zugriffspunkt über Webservices und SPML für die Abfrage und die Verwaltung von Identitätsinformationen der kompletten Systemumgebung zur Verfügung. Außerdem ist mit dem SAP VDS ein Werkzeug vorhanden, das durch Nutzung der integrierten API die flexible Anbindung weiterer Systeme verein- facht. Weitere Informationen zur detaillierten Architektur, den Identity Services sowie weiteren Use Cases erhalten Sie in Abschnitt 15.3. 4.2.3 Gesamtarchitektur – Identity Center und SAP VDS Kombiniert man die beiden Komponenten Identity Center und SAP VDS, entsteht eine Gesamtarchitektur mit einer sehr umfangreichen Schnittstelle für den einfa- chen Zugriff. Dies dient letztlich der Verwaltung, Verteilung und Bereitstellung der Identitätsdaten in der kompletten Unternehmenssystemlandschaft über einen zentralen Einstiegspunkt: SAP NetWeaver IdM. 90
  • 25. Daten- und Rollenmodell 4.3 Wie aus Abbildung 4.7 ersichtlich ist, können in der aktuellen Version Anwen- dungen und Systeme sowohl direkt über die technischen Adapter des Identity Centers als auch über den VDS angebunden werden. Allerdings wird die Anbin- dung weiterer Systeme in Zukunft mithilfe des SAP VDS erfolgen. Zum einen han- delt es sich um angebotene Schnittstellen, die auf einem offiziellen Standard basie- ren, und zum anderen lässt der SAP VDS direkte Anfragen zum Lesen, Ändern und Löschen von Identitätsdaten zu. Im Gegensatz dazu müssen die Adapter des Iden- tity Centers immer vom Identity Center selbst – beispielsweise durch erzeugte Ereignisse der Event Agents – getriggert werden, um Daten abzuholen, zu vertei- len oder Benutzerkonten und Berechtigungen zu provisionieren. Sonstige Systeme und Anwendungen Identity Services SAP Virtual Directory End-User-Inferface Server (SAP VDS) Identity Center (IC) (De-)Zentrale Event IC-Datenbank Dispatcher Agent(s) Connector Framework Identity Services Sonstige Sonstige SAP HCM SAP GRC SAP ABAP SAP Java (Nicht-SAP) (Nicht-SAP) Quell- und Zielsysteme Quell- und Zielsysteme Abbildung 4.7 Gesamtarchitektur – Identity Center und SAP VDS 4.3 Daten- und Rollenmodell Dieser Abschnitt gibt einen Überblick über die Möglichkeiten der Datenmodellie- rung im Identity Center. Eine genaue Beschreibung aller benannten Komponenten und Bestandteile sowie deren Funktionen finden Sie in den Kapiteln 9 und 10. In der IC-Datenbank wird mithilfe der Administrationskonsole das Datenmodell für einen oder mehrere Identity Stores definiert und verwaltet – das sogenannte Iden- 91
  • 26. 4 SAP NetWeaver Identity Management im Überblick tity-Store-Schema5. Das Datenmodell ist dabei die Grundlage einer SAP NetWeaver IdM-Installation und -Konfiguration und bildet damit die Basis für eine erfolgrei- che Implementierung. Im Rahmen einer Standardinstallation werden alle im Stan- darddatenmodell definierten Objektklassen sowie deren Eigenschaften in einem Identity Store angelegt, die für die grundsätzliche Funktionsweise des Systems, vordefinierte Funktionen (beispielsweise der abgrenzbaren Zuweisung von Berechtigungen) sowie für das von SAP ausgelieferte SAP Provisioning Framework (siehe Kapitel 14) benötigt werden. Die Anpassung im Identity Center auf die spe- ziellen Anforderungen in der Systemlandschaft – vor allem bezogen auf die umzu- setzenden Prozesse – setzt allerdings in den meisten Fällen auch die Erweiterung des bestehenden Datenmodells voraus und damit die Ausarbeitung eines soliden Konzepts. Grundsätzlich sollte das Konzept für ein Datenmodell die folgenden Einflussfaktoren und Fragestellungen berücksichtigen: Welche Informationen sollen mit welchem Detailgrad im Identity Store abge- bildet werden, und für welche Anwendungsfälle werden die Daten benötigt? Welche Objektklassen werden dafür benötigt? Welche Attribute sind Bestandteil dieser Objektklassen? Werden Attribute mehrsprachig oder einsprachig gepflegt? Stehen die Objekte miteinander in Beziehung? Handelt es sich dabei um eine 1:1-, 1:n- oder eine m:n-Beziehung? Reicht es eventuell aus, Informationen als Wert eines bestimmten Attributs ei- ner Entität zu speichern, oder muss die Information mithilfe einer Objektklasse abgebildet werden, zu der dann entsprechende Relationen aufgebaut werden? Welche Attribute und Objekte haben Steuerungsfunktionen in späteren An- trags- und Genehmigungsprozessen? Welche Attribute sind führend in welchem System? Können Prioritäten festge- legt werden? In welcher Form sollen die Informationen im User Interface präsentiert wer- den? Welche Validierungen sollen bei der Eingabe der Attributwerte angewen- det werden? Welche Quellen (angebundene Quell- und Zielsysteme oder manuelle Eingabe- prozesse) sind führend für die verwendeten Attribute? Welche Transformationen müssen beim Beziehen der Daten aus den Quellen durchgeführt werden? 5 Eine detaillierte Beschreibung des ausgelieferten Datenmodells finden Sie im Dokument mit dem Titel SAP NetWeaver Identity Management Identity Center Identity Store Schema – Technical Reference im SDN unter https://www.sdn.sap.com/irj/sdn/nw-identitymanagement (Stand: August 2009). 92
  • 27. Daten- und Rollenmodell 4.3 Wie lange müssen (historische) Daten im Rahmen geltender Audit-Anforderun- gen im System vorgehalten werden? Die Liste der Fragestellungen könnte an dieser Stelle noch fortgesetzt werden. Wichtig ist, dass letztlich genau die Informationen abgebildet werden, die zur Ver- waltung der Identitäten und Steuerung der dafür notwendigen Prozesse benötigt werden – nicht weniger, aber auch nicht mehr. 4.3.1 Daten- und Rollenmodell im Identity Store Das Datenmodell mit Objektklassen und deren Eigenschaften definiert sich im Identity Center über sogenannte Entry Types und die dazugehörenden Attribute. Ein Entry Type entspricht dabei einer Objektklasse für die Abbildung von ausge- wählten Informationen der jeweiligen Entität, beispielsweise einer Person mit den Attributen Vorname und Nachname. Attribute werden zunächst unabhängig vom Entry Type definiert. Anschließend wird festgelegt, welches Attribut für welchen Entry Type genutzt werden kann. Ein Attribut hat verschiedene Eigenschaften, die gepflegt werden müssen. Dazu gehören: Datentyp für die Speicherung des Attributwerts im Identity Store Anzeigetyp im UI (Checkbox, Radio Button, Dropdown-Liste etc.) Anzeigenamen im UI (dieser kann mehrsprachig gepflegt werden) ein- oder mehrsprachig hinterlegte gültige Wertelisten Validierungsfunktionen in Form regulärer Ausdrücke6 führende Systeme für dieses Attribut Festlegung von Aktionen, die bei Anlage, Änderung oder Löschung des Attri- buts ausgeführt werden sollen. Mit diesen Aktionen können beispielsweise Verteilungsvorgänge in Zielsysteme gestartet werden, sobald sich das jeweilige Attribut ändert. Auf den Entry Types basierende Objekte können miteinander – auch hierarchisch – in Beziehung stehen. Dabei sorgt das Identity Center für die Integrität der Daten, sodass eine Beziehung zwischen Objekten immer bidirektional angelegt, modifi- ziert oder entfernt wird. Jedes angelegte Objekt wird in Form von Attribut- name/Attributwert-Paaren anhand des gültigen Schemas im Identity Store abgelegt und hat immer ein eindeutiges Schlüsselattribut (MSKEYVALUE). Dieses Attribut ist innerhalb des kompletten Identity Stores und über alle Entry Types eindeutig und ein Pflichtfeld. Deshalb gehört neben der Klärung zuvor genannter Fragestellungen 6 Ein regulärer Ausdruck ist eine Zeichenkette, die der Beschreibung von Mengen bezie- hungsweise Untermengen von Zeichenketten mithilfe bestimmter syntaktischer Regeln dient. 93
  • 28. 4 SAP NetWeaver Identity Management im Überblick auch die Definition eines Namenskonzepts für dieses Schlüsselattribut zu den Auf- gaben der Datenmodellierung. Neben dem Schlüsselattribut MSKEYVALUE ist auch das Attribut MX_ENTRYTYPE ein Pflichtfeld für alle Objekte und definiert, zu welcher Objektklasse ein bestimmter Eintrag gehört. Die folgenden Entry Types – immer mit dem Namensraum MX_ als von SAP definierte Objekte gekennzeichnet – wer- den im Rahmen einer Standardinstallation im Identity Store angelegt (Tabelle 4.1). Entry Type Kurze Beschreibung Identität/Person Zentrale Objektklasse zur Verwaltung einer digitalen Identität. (MX_PERSON) Dies sind meist Personen, also interne oder externe Mitarbei- ter oder Geschäftspartner (siehe Abschnitt 10.1.2). Berechtigung/ Objektklasse zur Verwaltung und Pflege von Berechtigungsob- technische Rolle jekten angebundener Systeme. Objekte vom Typ MX_PRIVI- (MX_PRIVILEGE) LEGE können beispielsweise Einzel- oder Sammelrollen aus ABAP-Systemen, Java-Rollen oder Java-Gruppen aus SAP- Java-Systemen, Sicherheitsgruppen aus dem Active Directory etc. sein. In der Identity-Center-Dokumentation wird von technischen Rollen gesprochen (siehe Abschnitt 10.1.3). Rolle/Business-Rolle Im Gegensatz zum Typ MX_PRIVILEGE können mit dem Entry (MX_ROLE) Type MX_ROLE Rollen verwaltet werden, die Objekte vom Typ MX_PRIVILEGE aus unterschiedlichen Systemen enthalten. In der Identity-Center-Dokumentation wird von Fachrollen oder Business-Rollen gesprochen. Objekte vom Typ MX_ROLE erlau- ben Vater/Kind-Beziehungen und somit den Aufbau von kom- plexen hierarchischen, aber nicht zyklischen Rollenmodellen mit beeinflussbarer Vererbungsfunktion (siehe Abschnitt 10.1.4). Dynamische Gruppe Der Entry Type MX_DYNAMIC_GROUP erlaubt die Verwaltung (MX_DYNAMIC_GROUP) von Regelwerken zur Ermittlung von Gruppenmitgliedern auf Basis bestimmter Filterkriterien (Attributkombinationen). Durch die Zugehörigkeit zu einer dynamischen Gruppe können beispielsweise Rechte vergeben werden, die wieder automa- tisch entzogen werden, sobald die entsprechende Person nicht mehr den Filterkriterien entspricht (siehe Abschnitt 10.1.5). Wert in Bearbeitung Die Objektklasse MX_PENDING_VALUE gestattet es, Attribute, (MX_PENDING_VALUE) die zeitlich abgegrenzt bzw. deren Gültigkeit zeitlich befristet ist oder für die noch eine Genehmigung aussteht, so im Sys- tem abzulegen, dass das System am Anfang bzw. am Ende des Gültigkeitszeitraums für die Änderung des Wertes an der ent- sprechenden Person sorgt (siehe Abschnitt 10.1.6). Tabelle 4.1 Objektklassen im Standarddatenmodell 94
  • 29. Daten- und Rollenmodell 4.3 Entry Type Kurze Beschreibung Gruppe Der Entry Type MX_GROUP dient zum Aufbau von Gruppen- (MX_GROUP) hierarchien im Identity Store. Aus einer Gruppenmitgliedschaft kann wiederum die Zuweisung einer Berechtigungsrolle resul- tieren. So werden beispielsweise bei der Anbindung eines Active Directorys Gruppen sowohl als MX_PRIVILEGE als auch als MX_GROUP abgebildet. Über die Gruppenzugehörigkeit kön- nen somit wiederum implizit beispielsweise weitere Berechti- gungen vergeben werden (siehe Kapitel 10 und Abschnitt 14.3). Firmenadresse Entry Type zur Verwaltung und Pflege der Adressattribute (MX_COMPANY_ einer Firmenadresse. Die Attribute dieses Entry Types sind an ADDRESS) die im ABAP-Stack verfügbaren Firmenadressattribute ange- lehnt (siehe Kapitel 10 und Abschnitt 14.3). Anwendung Der Entry Type MX_APPLICATION wird im Rahmen der Identity (MX_APPLICATION) Services sowie der SAP Business Objects GRC-Integration zur Gruppierung von Berechtigungsrollen auf Anwendungsebene verwendet (siehe Abschnitte 15.3 und 15.4). Asynchroner Request Dieser Entry Type wird im Rahmen der Nutzung des SAP VDS vom VDS genutzt, um Objekte nicht synchron im Identity Store zu (MX_ASYNC_REQUEST) ändern, sondern zunächst einen »temporären« Eintrag anzule- gen, der dann auch die Nutzung des Delta-Mechanismus beim Fortschreiben der Werte gestattet (siehe Kapitel 10 und Abschnitt 15.3). Beantragter/erzeug- Der Entry Type MX_REPORT wurde mit der Version 7.1. SP02 ter Report eingeführt und enthält beantragte, in Bearbeitung befindliche (MX_REPORT) oder erzeugte Reports (siehe Kapitel 10 und Ábschnitt 17.2.2). Tabelle 4.1 Objektklassen im Standarddatenmodell (Forts.) Das ausgelieferte Standarddatenmodell und die eingebaute Anwendungslogik erlauben durch die Nutzung der dargestellten Objektklassen den Aufbau umfang- reicher Rollenmodelle, mit deren Hilfe sowohl eine explizite (direkte) als auch eine implizite Vergabe von Rollen und Rechten, basierend auf Attributwerten der ver- walteten Identitäten, möglich ist (für mehr Details siehe Kapitel 10). Durch die sys- temübergreifende Zusammenfassung von Berechtigungsobjekten aus angebunde- nen Systemen in hierarchisch strukturierbare Business-Rollen lassen sich Rollenmodelle realisieren, wie in Abbildung 4.8 dargestellt. Neben den in der Abbildung aufgezeigten Verknüpfungen können zusätzliche Eigenschaften für die Rollen definiert werden, die u. a. das Verhalten bei der Beantragung oder Zuwei- sung steuern. Ein Beispiel ist der gegenseitige Ausschluss von Rollen. Wird ein sol- cher Ausschluss definiert, verhindert das System die Zuweisung einer Rolle, sofern 95
  • 30. 4 SAP NetWeaver Identity Management im Überblick die damit in Konflikt stehende Rolle der entsprechenden Identität bereits zuge- wiesen wurde. Im Gegensatz zum SAP BusinessObjects Access Control (siehe Abschnitte 4.5.2 und 15.4) können im Identity Center allerdings nur statische Aus- schlüsse hinterlegt werden. Zudem lassen sich Positiv- und Negativlisten für Rol- len definieren, die die Zuweisung für die Zielidentität ausdrücklich erlauben oder eben ausdrücklich verbieten. Genehmigungsstrategien können – einstufig oder mehrstufig mit dynamisch ermittelten oder in Rollen und Prozessen festgelegten Beteiligten – durch Definition unterschiedlicher Genehmigungsaufgaben (siehe Abschnitte 4.4.4 und 13.1.3) für einzelne Rollen hinterlegt werden. Attribute zur Festlegung des Rollenbesitzers können wiederum bei der Ermittlung von gültigen Genehmigern verwendet werden. Business-Rollen Manager Abteilungsleiter Mitarbeiter Technische Rollen Zugriff Windows- E-Mail- Portalzugriff Portalzugriff Manager- User User ESS MSS Cockpit Zielsysteme SAP NetWeaver SAP NetWeaver SAP NetWeaver Microsoft AD Lotus Notes Portal Portal BW Abbildung 4.8 Rollenmodell im Identity Center Die Zuweisung der dargestellten technischen Rollen und Business-Rollen kann durch dedizierte Beantragung im Rahmen von Self-Services und anschließender Genehmigung erfolgen. Außerdem ist die automatisierte Zuweisung aufgrund von definierbaren Regelwerken eine Möglichkeit, Rollen über die Filterung von Attri- butausprägungen – beispielsweise der Zugehörigkeit zu einer Organisationsein- heit oder der Besetzung einer Planstelle – zu vergeben. In vielen Projekten besteht die Anforderung, die Verwaltung von Rechten anhand von Regeln zu gestalten, die beispielsweise auf Basis der organisatorischen Zuord- nung und des im letzten Abschnitt erläuterten Rollenmodells automatisch Rechte 96
  • 31. Daten- und Rollenmodell 4.3 für entsprechende Personen vergeben. Die Abbildung der Organisationsstruktur in zusätzlichen Datenobjekten ist ein sinnvolles Beispiel für die Einführung wei- terer Objektklassen für Objekte wie Organisationseinheiten, Planstellen etc. Durch die Nutzung von Entry Types kann nämlich auch die Organisationshierar- chie im Identity Store mithilfe von entsprechenden Beziehungen abgebildet wer- den und damit – im Vergleich zu anderen IdM-Lösungen – ein mächtiges Modell für die Verwaltung von Berechtigungen anhand der im Organisationsmodell gepflegten Struktur entstehen. 4.3.2 Datenmodellierung und Workflows Die Datenmodellierung spielt nicht nur im Rahmen der Verwaltung von Identi- tätsdaten eine wesentliche Rolle, sondern hat ganz besonders auf die abgebildete Workflow-Steuerung in SAP NetWeaver IdM Einfluss. Grundsätzlich lassen sich dazu die folgenden relevanten Gesichtspunkte in Verbindung mit dem Datenmo- dell zur Workflow-Steuerung aufzeigen: Berechtigungsprüfungen Berechnung/Auflösung von Rechten in Workflows, basierend auf gesetzten At- tributwerten. Dies erfolgt auf Basis der sogenannten Berechtigungsregeln der entsprechenden Workflow-Komponenten. Grundsätzlich kann damit die Frage, wer welche Aktion mit welchem Objekt durchführen darf, zur Laufzeit unter Einbeziehung der relevanten Umgebungsparameter und Attributwerte beantwortet werden. Wertefilterung Filterung von gültigen Werten in Auswahllisten, basierend auf Attributwerten der angemeldeten Person sowie des momentan bearbeiteten Objekts Workflow-Steuerung Auswertung von speziellen Attributen zum Start von Genehmigungsaufgaben und -strategien, die mit dem beantragten Objekt (beispielsweise einer Berech- tigungsrolle) verknüpft sind. Dazu gehören Attribute wie MX_APPROVAL_TASK oder MX_APPROVERS. Statuswerte Speicherung von Statuswerten in dafür vorgesehenen Attributen wie MX_ APPROVALS (Status der für ein Objekt aktiven Workflows) oder MX_STATE (Status eines in Bearbeitung befindlichen Wertes) Temporäre Attribute Speicherung temporärer Attribute für die Steuerung von Workflow-Aufgaben Entry Types ganze Entry Types – wie beispielsweise MX_PENDING_VALUE – die letztlich »Werte in Bearbeitung« darstellen und von Workflow-Aufgaben erzeugt bzw. ausgewertet werden 97
  • 32. 4 SAP NetWeaver Identity Management im Überblick Details zur Relevanz der genannten Attribute im Rahmen des Identity-Center- Berechtigungskonzepts sowie zur Steuerung der implementierten Workflows fin- den Sie ab Kapitel 9. 4.3.3 Datenmodellierung und Reporting Neben der konsistenten Informationsspeicherung der Identitätsdaten sowie der Workflow-Steuerung sind die Anforderungen im Bereich des Reportings ebenfalls ein wichtiger Einflussfaktor für die Definition des Datenmodells. Bisher lag der Fokus der Betrachtung bei der Datenmodellierung auf den abgebildeten Objekt- klassen und deren Eigenschaften. Bei der Datenmodellierung für das Reporting geht es zusätzlich darum, wie lange bestimmte Informationen im System vorge- halten werden müssen und wie deren Historisierung gewährleistet werden kann. SAP NetWeaver IdM gestattet hierzu die Festlegung der Aufbewahrungszeit bzw. der Anzahl von Versionen auf Attributebene. Mit diesen Informationen werden jegliche Änderungen der verwalteten Objekte (Personen, Rollen, Berechtigungs- objekte etc.) in der Datenbank fortgeschrieben und stehen in speziellen Daten- banktabellen und -views (siehe Abschnitt 10.3) für Auswertungen zur Verfügung. Werden die historischen Daten mit den vorhandenen Audit-Daten über die Aus- führung von Workflows verknüpft, besteht die Möglichkeit, mithilfe entsprechen- der Abfragen Fragen im Rahmen des IdM wie »Wer hat wann welche Berechti- gungsrolle bekommen, und wer hat die Zuweisung genehmigt?« zu beantworten. Bei der Datenmodellierung hinsichtlich des Berichtswesens muss also letztlich dar- auf geachtet werden, dass alle Daten für die benötigten Auswertungen für den geforderten Zeitraum zur Verfügung stehen, da alle Informationen im Identity Store in Form von einwertigen und mehrwertigen Attributen abgelegt werden können. 4.4 Datensynchronisation und Provisioning Die Verwaltung digitaler Identitäten setzt eine konsistente Datenbasis voraus, weswegen die in Abschnitt 4.3 beschriebene Datenmodellierung zentraler Bestandteil von Konzeption und Implementierung einer Identity-Management- Lösung sein sollte. Dieser Abschnitt beschreibt die grundlegenden Mechanismen, die in SAP NetWeaver IdM für die Synchronisation von Daten und somit für den Aufbau und Abgleich des Identity Stores mit den angeschlossenen Quell- und Ziel- systemen zur Verfügung stehen. Neben der Synchronisation und Verteilung der wesentlichen Identitätsstammdaten besteht die zweite Hauptaufgabe einer Iden- tity-Management-Lösung in der weitestgehend automatisierten Provisionierung von Benutzerdaten und deren – durch Antrags- und Genehmigungsprozesse zuge- wiesenen – Berechtigungsinformationen in die angebundenen Zielsysteme. 98
  • 33. Datensynchronisation und Provisioning 4.4 4.4.1 Prinzipien der Datensynchronisation Bei der Synchronisation von Daten sind – zunächst unabhängig vom betrachteten Datenobjekt – einige Regeln zu beachten. Dies gilt auch für den Aufbau eines Iden- tity Stores in SAP NetWeaver IdM und die anschließende Verteilung der darin ver- walteten Identitätsdaten. In den meisten Fällen sind die benötigten Daten bereits in unterschiedlichen Datenquellen eines Unternehmens vorhanden. Daraus ergibt sich aber auch, dass verschiedene Systeme zunächst führenden Charakter für ein- zelne Bestandteile eines zentral zu verwaltenden Benutzerstammsatzes haben. Ein sehr vereinfachtes Beispiel zeigt Abbildung 4.9. Personalsystem Telefonanlage Vorname Führendes System Vorname Nachname für Attribut Nachname Organisationseinheit Organisationseinheit Telefon/Fax Telefon/Fax E-Mail-Adresse E-Mail-Adresse Berechtigungsrollen Berechtigungsrollen Identity Store SAP NetWeaver IdM UI Messaging Vorname Vorname Nachname Nachname Organisationseinheit Organisationseinheit Telefon/Fax Telefon/Fax E-Mail-Adresse E-Mail-Adresse Berechtigungsrollen Berechtigungsrollen Abbildung 4.9 Prinzipien der Datensynchronisation In diesem Beispiel wird davon ausgegangen, dass sich der Stammsatz einer Iden- tität vom Typ Interner Mitarbeiter aus Daten vier verschiedener Datenquellen zusammensetzt: einem Personalsystem als führende Datenquelle für die Personendaten wie Vor- name, Nachname, Anrede, Titel etc. und Informationen zur organisatorischen Zuordnung sowie Eintritts- und Austrittsinformationen einem System (beispielsweise einer Telefonanlage) mit Informationen zu Tele- kommunikationsdaten der Mitarbeiter 99
  • 34. 4 SAP NetWeaver Identity Management im Überblick einem Messaging-System (beispielsweise Lotus Notes oder Exchange Server), führend für vergebene E-Mail-Adressen das SAP NetWeaver IdM-System selbst, führend für die Verwaltung von Berech- tigungsinformationen Die exemplarisch dargestellten Datenquellen liefern Informationen, die den Iden- titätsdatensatz im Identity Store komplettieren. Auch nach der erstmaligen Befül- lung eines Identity Stores aus unterschiedlichen Quellen würde für dieses Beispiel ein regelmäßiger Transfer ausgewählter (führender) Attribute aus den jeweiligen Datenquellen erfolgen – ereignisbasiert oder nach einem eingerichteten Zeitplan. Die Synchronisation von Daten (sowohl die erste Befüllung als auch die fortlau- fende Aktualisierung) inklusive definierter Regeln muss vom eingesetzten Werk- zeug unterstützt werden. So unterstützt SAP NetWeaver IdM beispielsweise nicht nur die Definition von führenden Systemen für bestimmte Identitätsinformatio- nen, sondern erlaubt u. a. auch eine Befüllung bzw. einen Update eines bestimm- ten Attributs unter Berücksichtigung festgelegter Prioritäten. Liegt beispielsweise keine Telefonnummer aus der Telefonanlage für einen Mitarbeiter vor, erlaubt das System die Pflege über das User Interface oder den Import aus anderen Daten- quellen. Wurde die Telefonnummer aber einmal aus der Telefonanlage und somit aus dem führenden System importiert, kann sie nicht mehr durch Daten aus nied- riger priorisierten Datenquellen überschrieben werden. Wie in Abbildung 4.9 zu sehen war, kann auch das User Interface selbst das »füh- rende System« für unterschiedliche Bestandteile des Identitätsstammsatzes sein. Die folgenden Abschnitte erläutern die Begrifflichkeiten, die mit der Datensyn- chronisation in Zusammenhang stehen. Darüber hinaus geben wir Ihnen einen kurzen Überblick über die SAP NetWeaver IdM-Standardadapter für SAP- und Nicht-SAP-Systeme/-Anwendungen und gehen auf die von SAP ausgelieferten Pakete für die Provisionierung von Standardkomponenten einer Infrastruktur, wie beispielsweise einem Windows Active Directory, ein. 4.4.2 Quell- und Zielsysteme Jede Anwendung, die an SAP NetWeaver IdM angebunden wird, wird als soge- nanntes Repository angelegt. Ein Repository repräsentiert somit eine Anwendung, die entweder Daten im Rahmen der Synchronisation von Identitätsdaten an SAP NetWeaver IdM liefert oder Empfänger von veränderten Daten ist – oder beides. Die im letzten Abschnitt angesprochene Prioritätensteuerung führender Systeme für einzelne Attribute basiert auf der Zuweisung sogenannter Owner Repositorys. Diese können auf Attributebene im Identity Center definiert werden. Durch diese Information sowie die Tatsache, dass für jedes gespeicherte Attribut im Identity Store neben dem Anlage- bzw. Änderungszeitpunkt auch die Herkunft in Form des 100
  • 35. Datensynchronisation und Provisioning 4.4 Repository-Namens abgelegt wird, kann das System die Priorität entsprechend steuern und verhindert, dass ein Wert aus dem führenden System durch einen qualitativ niederwertigeren Wert überschrieben wird. In den angelegten Reposi- torys werden mithilfe der Definition von Konstanten notwendige Informationen zu einem Repository abgelegt, um u. a. die Verbindungsdaten nicht redundant an unterschiedlichen Stellen vorhalten zu müssen: Typ der angebundenen Anwendung (LDAP, DB, ABAP, XML etc.) Verbindungsdaten für den Zugriff auf die relevanten Daten der Anwendung Repository-Konstanten, die die eindeutige ID der Identity-Center-Instrumen- tierung enthalten, die im Rahmen der Provisionierung aufgerufen werden müs- sen, wenn sich für eine verwaltete Identität auf dem mit diesem Repository ver- knüpften Zielsystem ein relevantes Attribut ändert Alle Komponenten, die im Rahmen der Datensynchronisation und Provisionie- rung genutzt werden, beziehen sich immer auf ein bestimmtes – teilweise zur Laufzeit ermitteltes – Repository und werden aus der Repository-Definition mit allen notwendigen Daten versorgt, damit zum einen der Zugriff auf die Anwen- dung in technischer Hinsicht möglich ist (Verbindungsdaten) und zum anderen bei den durchzuführenden Datenmanipulationsaufgaben die korrekte Logik für diese Anwendung angewendet wird. So werden beispielsweise bei der Zuweisung von Berechtigungsrollen in einem SAP-ABAP-System dem betroffenen Benutzer die Rollen zugewiesen. Ein Benutzer in einem Microsoft Active Directory muss aber in die ihm zugeordneten berechtigungsrelevanten Sicherheitsgruppen aufge- nommen werden. Neben der Tatsache, dass jeweils ein entsprechender techni- scher Adapter verwendet werden muss, ist somit auch die Logik der Berechti- gungszuweisung vom Repository-Typ abhängig. 4.4.3 Technische Adapter SAP NetWeaver IdM besitzt verschiedene Adapter, mit denen bereits ein Großteil der Systeme und Anwendungen in einer Unternehmensinfrastruktur an SAP Net- Weaver IdM angebunden werden kann.7 Tabelle 4.2 zeigt eine Übersicht. Mit die- sen technischen Adaptern lassen sich verschiedene Anwendungen und Systeme anbinden, die die jeweiligen Protokolle oder Zugriffsmechanismen unterstützen. 7 SAP stellt im SDN ein laufend aktualisiertes Slideset zur Verfügung, das Informationen über IDM-Adapter und die damit unterstützten Anwendungen enthält. Es ist zu finden unter: SAP NetWeaver Product • Complementary Offerings • SAP NetWeaver Identity Ma- nagement • Product Overview: SAP NetWeaver Identity Management • IDM Connec- tor Overview (Stand: Juni 2009). 101