Elektronische Administration und Services Identity ... · Identity Management an der Freien Universität Berlin Transparenz und Effizienz für Exzellenz ... User Lifecycle Management

Elektronische Administration und Services

Identity Management an der Freien Universität Berlin Transparenz und Effizienz für Exzellenz

Dr. Christoph Wall Leiter „elektronische Administration und Services“

2HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Warum Identity Management?

Identity Management als Überlebensstrategie


Agenda

Die Freie Universität Berlin

Die Föderation von IT Systemen an der FU Berlin und ihre Probleme

Die Lösung Stufe 1 mit ZBV und eigenen Schnittstellen

Offene Punkte

Die Lösung Stufe 2 mit SAP IdM

Benefits des Projekts


Die Freie Universität Berlin

Gründung: 1948

Zahlen:- Studenten 31 000

- MitarbeiterInnen 6 100

- Fachbereiche und Zentralinstitute 15

IT Organisation- CIO Gremium

- FIT: 4 zentrale IT Bereiche

- IT-Beauftrage in jeder Organisationseinheit


Die Konföderation unabhängiger Systeme an der FU Berlin

HR

FI

SLcM

SAP Web

HIS

PublikationsDB

MyVV

ProfilDB

Black-board

FUPortal

eSA

Intranet

Helpline

Aleph

IT-V DB

SBK

VoIP

MyFU

BSCW

Mangelnde Transparenz- Kein zentrales Nutzer- und

Berechtigungs Controlling

Mangelnde Sicherheit- Keine zentrales Deaktivieren

ausscheidender Mitarbeiter

Mangelnde Effizienz- User Administration in

jedem einzelnen System


Lösungsstufe 1: FUDIS als zentraler Identitäts-Provider

FUDISFU Directory

Service

SAP Web

FI

HR

SLcM

HIS

PublikationsDB

MyVV

ProfilDB

FUPortal

SBK

Aleph

Intranet

Black-board

MyFU

eSA

Helpline

IT-V DBVoIP

BSCW


User Lifecycle Management (aktueller Lösungsstand)

create

modify

delet

e


Create (Onboarding & Berechtigung)

ZBV SLcMHIS

HR

FUDIS(FU Account)

Studenten

Mitarbeiter

Business PartnerStudent User

User

Ext. DozentenUser

Personaldaten

FI

User

SAP Web

User

Dozenten

Mitarbeiter

Studenten

Fach

bere

iche

Rolle

Rolle

Rol

len

Rol

len

Rol

len

FachabteilungenFachbereiche

SAP Admininstration


Stufe 1 für Onboarding

Leistungen:- Personaldaten führen automatisch zur Erstellung einer FUDIS Identität

- Dozenten werden automatisch als User im Campus Management angelegt

- Studenten werden automatisch im Campus Management angelegt

Offene Punkte:- Proprietäre HR<->FUDIS Schnittstelle muss ständig gepflegt werden

- FUDIS->ZBV Schnittstelle muss neu konzipiert und in neuer Technologie reimplementiert werden

- Onboarding von Studenten muss neu konzipiert werden

- Berechtigungsvergabe durch dezentrale Einheiten ist zu ermöglichen


User Lifecycle Management

create

modify

delet

e


Deaktivieren ausgeschiedener Mitarbeiter

ZBV SLcM

HR

FUDIS(FU Account)

Students

Mitarbeiter


User

Ext. DozentenUser

Personaldaten

FI

User

SAP Web

User

Fach

abte

ilung

en

SAP Admininstration

HISStudenten


Stufe 1 für Deaktivierung

Leistungen:- Löschung von Personaldaten führt automatisch zur Deaktivierung einer

FUDIS Identität

- Exmatrikulierte Studenten werden automatisch in FUDIS deaktiviert

Offene Punkte:- FUDIS Deaktivierung führt nicht zu Konsequenzen in der SAP

Benutzerverwaltung

- SAP Administration hat Mehrarbeit, weil User manuell gelöscht werden müssen

- Intervalle zwischen Ausscheiden und Vermessung/Löschung führen zu:

- Kosten für ungenutzte Lizenzen

- Sicherheitsrisiko wegen möglichem Systemzugang durch

Ex-Mitarbeiter


Lösungsansatz für die nächsten Projektschritte

Vorbereitete Schnittstellen zu HR und SLcM

Event basierter automatischer Workflow für Onboarding

FUDIS Integration mit Web-Services möglich

Workflow für dezentrale Berechtigungsvergabe vorhanden

Deaktivierung von FUDIS zu IdM kommunizierbar


Evaluation SAP IdM

HR Anschluss

Projektphasen für SAP IdM in 2009

Jan. Feb.März April Mai Juni Juli Aug. Sept. Okt. Nov. Dez.

Projektantrag

Installation SAP IdM Test-System

Projektfreigabe durch CIO

Abnahme technisches Konzept

Technisches Architektur-Konzept

Go Live Feb. 2010

Ist Analyse FUDIS Schnittstellen

SLcM Anschluss

Aufbau P-Umgebung

GA für SAP NW 7.1


User Lifecycle Management with SAP IdM

create

modify

delet

e



IdM

HR

FUDIS(FU Account)

User

Personaldaten


Problem:

SAP IdM ist nicht das führende

Identitäts Management System !!


Die Lösung: Staging im IdM


Übernahme der Mitarbeiterdaten aus HCM


Automatisches Anlegen eins LDAP Eintrags



IdM SLcM

HR

FUDIS(FU Account)

Studenten

Mitarbeiter

HISBusiness Partner

Student User

User

Ext. DozentenUser

Personaldaten

FI

User

SAP Web

User

Rollen

Rol

len

Rolle

Rolle

Studenten

Fachabteilungen

Fachbereiche


Provisioning in IdM


Workflow für Rollenanforderung und -vergabe

1) Anforderung

2) Genehmigung

3) Protokollierung


1) Anforderung


2) Genehmigung


3) Provisionierung und Protokollierung


Stufe 2 für Onboarding

Leistungen:- Personaldaten führen automatisch zur Erstellung einer FUDIS Identität

- Dozenten werden automatisch als User im Campus Management angelegt

- Studenten werden automatisch im Campus Management angelegt

Vorteile mit IdM:- Schnittstellen in moderner Technologie sind vorhanden

- Onboarding von Studenten kann über einheitliche Schnittstelle automatisiert werden

- Berechtigungsvergabe durch dezentrale Einheiten ist mit differenziertem Rollenmodell revisionssicher möglich


User Lifecycle Management

create

modify

delet

e


Deaktivieren ausgeschiedener Mitarbeiter

IdM SLcM

HR

FUDIS(FU Account)

Studenten

Mitarbeiter


User

Ext. DozentenUser

Personaldaten

FI

User

SAP Web

User

Exmatriculation


Stufe 2 für Deaktivierung

Leistungen:- Löschung von Personaldaten führt automatisch zur Deaktivierung einer

FUDIS Identität

- Exmatrikulierte Studenten werden automatisch in FUDIS deaktiviert

Vorteile mit IdM:- FUDIS Deaktivierung führt automatisch zur Deaktivierung des SAP Users

- Intervalle zwischen Ausscheiden und Vermessung/Löschung verschwinden

- Keine unnötigen Kosten für ungenutzte Lizenzen

- Kein Sicherheitsrisiko durch möglichen Systemzugang von

Ex-Mitarbeitern


Ausblick GRC (governance, risk and compliance)


Benefits des Projekt :


Transparenz


Effizientere Arbeit der Systemadministration


Effizientere Arbeit der Systemadministration


Einsparung unnötiger Kosten


Einsparung unnötiger Kosten


Begrenzung von Sicherheitsrisiken


Identity Management mit SAP IdMan der

Freien Universität Berlin ist :


Ein großer Schritt …

… zu mehr Transparenz und Effizienz


Vielen Dank für Ihre Aufmerksamkeit

Elektronische Administration und Services Identity ... · Identity Management an der Freien Universität Berlin Transparenz und Effizienz für Exzellenz ... User Lifecycle Management

Documents