IBsolution Standard-Prozess-Paket ZBV Variante für SAP Identity Management Version: 2.0 Datum: November 2015 www.ibsolution.de © IBSolution GmbH Ausgangslage Anforderungen aus unterschiedlichen Bereichen Weniger Aufwand für die Berechtigungsadministration Teil-Automatisierung der Berechtigungsvergabe Vermeidung von Mehrfacherfassungen & Medienbrüchen Etablierung Employee Self Services Berechtigungsantrag Passwort-Rücksetzung Konsistente Verteilung in heterogene Systemlandschaften SAP- und NonSAP-Systeme AS ABAP / AS Java HANA Integration Active Directory Nachweisführung Genehmigungsverfahren bei der Vergabe von Berechtigungen Seite 2 www.ibsolution.de © IBsolution GmbH Identity Management Lösung www.ibsolution.de © IBSolution GmbH IBsolution Standard-Prozess-Paket für SAP IdM „Das Fertighaus für Ihre Identity Management Lösung im Unternehmen“ Vorgefertigte Benutzer Prozesse Vorbereitete technische Anbindungen Umgesetzte fachliche Anforderungen Support *) *) Support ist eine optionale Komponente und nicht Bestandteil des Standard Prozess Pakets Seite 4 www.ibsolution.de © IBsolution GmbH Einleitung Übersicht Inhalt des IBSolution Standard-Prozess-Pakets Vordefinierte Prozesse basierend auf 3D Planungskonzept Beschreibung der Prozesse Anbindung von Quell- und Zielsystemen SAP, Active Directory und Exchange Vordefiniertes Verteilmodell Umgesetzte fachliche Anforderungen Genehmigungswege Berechtigungen anhand Organisationszugehörigkeit Liefergegenstände Standard Implementierungspaket (erweiterbar) Benutzer- und Administrationshandbuch Standardsprache der Dokumentation: Deutsch Seite 5 www.ibsolution.de © IBsolution GmbH IBsolution Standard-Prozess-Paket für SAP IdM Prozesse Abgebildete Prozesse für Mitarbeiter (User Lifecycle) Eintrittsprozess Austrittsprozess Änderungsprozesse Stammdaten (ohne Genehmigung) Berechtigungsantrag (dedizierte Rechte, Freitext) Abwesenheit Sperren/Entsperren von Benutzern Passwort Management Seite 6 Initiale Kennwörter für angebundene Systeme www.ibsolution.de © IBsolution GmbH IBsolution Standard-Prozess-Paket für SAP IdM Anbindungen Enthaltene Anbindungen Seite 7 Quellsystem: SAP HCM Gemeinsamer Schlüssel: Personalnummer Rückschreiben Infotyp 105 Zielsysteme: SAP AS ABAP SAP AS Java MS Active Directory 2008R2 MS Exchange 2010 Funktionen: Anlage Berechtigungen vergeben/entziehen Sperren/Entsperren Löschen Setzen initiales Kennwort www.ibsolution.de © IBsolution GmbH IBsolution Standard-Prozess-Paket für SAP IdM Fachliche Anforderungen Fachliche Anforderungen im Standard Genehmigungswege Berechtigungen anhand Organisationszugehörigkeit Dynamische Gruppenzugehörigkeit auf Basis von SAP HCM Daten Berechtigungen können hier Organisationseinheiten (Abteilungen) zugeordnet werden Administrative Unterstützung Massenänderungen Reporting Seite 8 Einstufige Genehmigung Ad-Hoc Berichte für Berechtigungen einer Person (aktuell und historisch) www.ibsolution.de © IBsolution GmbH IBsolution Standard-Prozess-Paket für SAP IdM Support Der Support für das IBsolution Standard-Prozess-Paket für SAP IdM muss separat beauftragt werden. Folgende Leistungen enthält der Support Update Zyklen: 1 x im Quartal, bei neuem Service Pack für die eingesetzte SAP IdM Version Einzeltransporte und Dokumentationen über Änderungen und Anpassungen. Sicherstellen, dass die Identity Management Lösung als Gesamtes voll funktionsfähig und aktuell ist. Reaktiver Support Im Rahmen des Supports können Anfragen per Email gestellt werden. Die Bearbeitung der Anfragen wird über den tatsächlichen Aufwand abgerechnet (volle Stunden). Es gibt keine garantierten Antwortzeiten. Weitere Supportpakete auf Anfrage Seite 9 www.ibsolution.de © IBsolution GmbH Projektvorgehen Fahrplan www.ibsolution.de © IBSolution GmbH Vorgehen IdM Projekt Fahrplan Vorbereitung Aufbau •Workshops •Abstimmung funktionaler Umfang •Zeitplanung •Beschaffung Infrastruktur •Feinkonzeption •Grundinstallation •Anbindung Quellund Zielsysteme (Test) •Review Benutzeroberfläche •Implementierung von kleinen Erweiterungen •Abnahmen 1-3 Monate 2-3 Monate Produktivsetzung •Anbinden der produktiven Systeme •Inbetriebnahme •Übergabe an Support 1+ Monat Support •Pflege der Anwendung (Patches) •Kleine Erweiterungen Fortlaufend Im Zeitstrahl wird die Projektdauer beispielhaft angegeben, individuelle Abweichungen sind möglich. Seite 11 www.ibsolution.de © IBsolution GmbH Vorgehen IdM Projekt Fahrplan - Vorbereitung Entwurf fertiggestellt 1. Woche 2. Woche 3. Woche 4. Woche 5. Woche 6. Woche 7. Woche 8. Woche Power workshop N Woche N+1 Woche N+2 Woche N+3 Woche Funktionaler Umfang abgestimmt Funktionaler Umfang Dokumentation (Entwurf) Beauftragung Abstimmung Funktionaler Umfang Dokumentation Zeitplanung Beschaffung Infrastruktur Entwicklung und Produktion Seite 12 www.ibsolution.de © IBsolution GmbH Vorgehen IdM Projekt Fahrplan - Aufbau 1. Woche 2. Woche 3. Woche Projekt Abstimmung 4. Woche JF 5. Woche 6. Woche JF 7. Woche 8. Woche 9. Woche JF 10. Woche JF 11. Woche N. Woche JF Verteilmodell definiert und abgestimmt Fragebögen bearbeiten Verteilmodell DEV: HCM Quellsystem angebunden Grundinstallation Entwicklung KickOff DEV: Installation abgeschlossen Anbindung Quellsystem DEV: 2 Zielsysteme angebunden Benutzeroberfläche abgenommen Anbindung Zielsysteme Review User Interface UAT* Paket Feinkonzept Erweiterungen Optionale Leistungen Nicht im Paket enthalten Paketänderungen abgenommen Testplan Erweiterungen JF Implementierung Erweiterungen, UAT* * UAT: User Acceptance Test Seite 13 www.ibsolution.de © IBsolution GmbH Vorgehen IdM Projekt Fahrplan – Produktivsetzung & Support -2. Woche -1. Woche 1. Woche 2. Woche JF JF 3. Woche Produktion initialisiert Grundinstallation Produktion PRD: Installation abgeschlossen 4. Woche 5. Woche 6. Woche JF 7. Woche 8. Woche JF PRD: Quell- und 2 Zielsysteme angebunden Alle Zielsysteme angebunden Projektabschlussfeier Transport auf Produktion Produktiv setzung Übergang in Regelbetrieb Übergabe an Support www.ibsolution.de 10. Woche JF Unterstützung nach der Produktivsetzung Seite 14 9. Woche © IBsolution GmbH Anbindungen www.ibsolution.de © IBSolution GmbH Technical Lifecycle HCM Anbindung (Quellsystem) Alle Tätigkeiten auf der SAP ABAP HCM Seite müssen vom Auftraggeber geliefert werden HCM Anbindungstypen: LDAP (SAP Standard Anbindung) Direktes Lesen (IBsolution ABAP Connector) Einschränkungen für LDAP Anbindung Für den Vorgesetzten muss das Feld MSTBR gepflegt werden Genehmigungen Führungskraft Mitteilungen an Führungskraft Manager Self Services (MSS) Keine dynamischen Gruppen auf Basis von Organisationsstruktur Einschränkungen für direktes Lesen Seite 16 Organisationsstruktur (OM) sollte gepflegt sein um alle Vorteile zu haben. www.ibsolution.de © IBsolution GmbH Technical Lifecycle Eigenschaften HCM Anbindung / mit OM Funktionalität Laden und Verarbeiten der Daten: eingeplante Tätigkeit (Jobs) Beliebige Anzahl an HCM Zeitscheiben können verarbeitet werden Unabhängigkeit von der Bearbeitung durch die Personalabteilung Eindeutiger Schlüssel ist konfigurierbar Personalnummer (PA0000 / PERNR) Atomare Aktionen Identitäten: Neuanlage (zukünftige Zeitscheibe / konfigurierbar) Modifikation (aktuelle Zeitscheibe) Sperren (aktuelle Zeitscheibe) – ausschließlich über Mitarbeiter Status (PA0000 / STAT2) Aktionen Organisationsmanagement (OM) Organisationen inklusive Referenzen zu Organisation (Hierarchie) Positionen inklusive Referenzen zu Organisation Manager Referenzen Seite 17 www.ibsolution.de © IBsolution GmbH Technical Lifecycle Eigenschaften HCM Anbindung / mit OM Funktionalität Fachliche Anforderungen Protokollierung der Aktionen (Excel Datei) Simulationsmodus Prüfung von Änderungsraten – Schwellwerte für Organisations Referenzen Modifikation Identitäten Neuanlage Identitäten Austritt (drei Prüfungen) Nicht berücksichtig werden Seite 18 Subtypen von Maßnahmen, ausschließliche Reaktion über den Mitarbeiter Status www.ibsolution.de © IBsolution GmbH Technical Lifecycle Verhalten HCM Anbindung A-1 B-1 B-2 B-3 C-1 C-2 Im IdM aktiv D-1 Im IdM unbekannt E-1 E-2 E-3 F-1 X+1Tag X X-1Tag +1 Tag Heute t (Zeit) stat2 = 3 stat2 = 0/1 X = Tag in der Zukunft Seite 19 www.ibsolution.de © IBsolution GmbH Technical Lifecycle Verhalten HCM Anbindung Fall Beschreibung Verhalten / Ergebnis im IdM A-1 Mitarbeiter-Eintritt in der Vergangenheit, Austritt in der Vergangenheit Datensatz wird ignoriert B-1 Mitarbeiter-Eintritt in der Vergangenheit, Austritt derzeit nicht bekannt, Änderung liegt vor (STAT2 = 3) Daten werden übernommen B-2 Mitarbeiter-Eintritt in der Vergangenheit, Austritt derzeit nicht bekannt, Änderung liegt vor (STAT2 = 3) Daten werden erst am nächsten Tag übernommen, Status wird nicht geändert B-3 Mitarbeiter-Eintritt in der Vergangenheit, Austritt derzeit nicht bekannt, es liegt keine Änderung vor (STAT2 = 3) Datensatz wird ignoriert, Status wird nicht geändert C-1 Mitarbeiter-Eintritt in der Vergangenheit, Austrittsdatum erreicht Identität wird gesperrt (Disable) C-2 Mitarbeiter-Eintritt in der Vergangenheit, Austrittsdatum bald erreicht Identität wird erst am nächsten Tag gesperrt (Disable) D-1 Mitarbeiter-Eintritt in der Vergangenheit, Austritt in der Vergangenheit, ist im IdM bekannt und aktiv Identität wird sofort gesperrt da keine Daten vom HCM (Disable) E-1 Mitarbeiter-Eintritt in der Zukunft Identität wird angelegt (Enabled) E-2 Mitarbeiter-Eintritt in der Zukunft Identität wird angelegt (Enabled) E-3 Mitarbeiter-Eintritt in der Zukunft Identität wird am nächsten Tag angelegt (Enabled) F-1 Mitarbeiter-Eintritt in der Vergangenheit, Maßnahme Ruhend bereits erfasst und umgesetzt, Ende Ruhend-Phase nahezu erreicht Identität wird / bleibt gesperrt, Aktivierung erst zum Stichtag Seite 20 www.ibsolution.de © IBsolution GmbH Technical Lifecycle SAP AS ABAP/Java Anbindung Alle Tätigkeiten auf der SAP AS ABAP und AS Java Seite müssen vom Auftraggeber geliefert werden Kommunikationsbenutzer IdM Standardrollen Portalintegration Funktionsumfang Anlage (UME Datasource) Berechtigungen vergeben/entziehen Sperren/Entsperren Initiale Kennwörter Soll/Ist Abgleich Seite 21 www.ibsolution.de © IBsolution GmbH Technical Lifecycle AD & Exchange Anbindung Alle Tätigkeiten auf der Microsoft Active Directory & Exchange Seite müssen vom Auftraggeber geliefert werden Kommunikationsbenutzer Funktionsumfang Anlage AD Account Anlage Exchange Postfach Berechtigungen (AD Gruppen) vergeben/entziehen Sperren/Entsperren Initiales Kennwort Soll/Ist Abgleich Seite 22 www.ibsolution.de © IBsolution GmbH Benutzeroberflächen & Administration www.ibsolution.de © IBSolution GmbH Benutzeroberfläche Benutzer- und Admin-Oberflächen Benutzer Eigene Daten (ESS) Antrag auf Berechtigungen (ESS/MSS) Genehmigung Antrag auf Berechtigung (MSS) Anlage Externer Mitarbeiter (ESS) Benutzerverwaltung (MSS) Admin (ausschließlich MSS) Erweiterte Benutzerverwaltung Reporting in den Dialogen Aktuelle Daten Historische Daten ZBV Dialog (SU01) Seite 24 Empfehlung: Pflege der Parameter dezentral (SU2) Pflege von Rollen und Berechtigungen Pflege Genehmiger Zusätzliche Hilfetexte www.ibsolution.de © IBsolution GmbH Benutzeroberfläche Delegierte Administration Im Manager Self Service (MSS) ist es erforderlich, die administrativen Bereiche klar abzugrenzen. Sichtbarkeit von Mitarbeitern Auf Basis der Organisationsstruktur Manager: alle Mitarbeiter in seiner Organisation Sichtbarkeit von Berechtigungen Alle Berechtigungen können beantragt werden Sichtbarkeit von Aufgaben Seite 25 Jede Aufgabe kann separat vergeben werden (via Privileg) www.ibsolution.de © IBsolution GmbH Beistellleistungen Abgrenzungen www.ibsolution.de © IBSolution GmbH Installation Vom Auftraggeber bereit zu stellen (Product Availability Matrix beachten) Server und Betriebssystem SAP AS Java (IdM UI) Datenbank Datenbank Client Installation Kerberos Principal für IdM UI SSO IBsolution Aufsetzten IdM Grundsystem (2x) Einspielen IBsolution Standard-Prozess-Paket für SAP IdM Konfigurieren JCO (AS ABAP), HTTPS (AS Java) und LDAPS (AD) Konfiguration SSO für SAP AS Java UI Transport der Anpassungen von Entwicklung auf Produktion Nicht enthalten Seite 27 ABAP Anbindung mit Verschlüsselung (SNC) www.ibsolution.de © IBsolution GmbH
© Copyright 2024 ExpyDoc
