Управление учетными данными с SAP NetWeaver Identity Management Public
Управление учетными данными с
SAP NetWeaver Identity Management
Public
© 2013 SAP AG. All rights reserved. 2 Public
Типовой жизненный цикл сотрудника организации
Дата выхода
на работу
Доступно:
Временные
учетные
данные
Иван
Горемыкин
устроился на
работу
Три недели
спустя
Доступно:
Портал
Интернет
Бухгалтерия
Иван
Горемыкин
может
работать
бухгалтером
Один год
спустя
Доступно:
Портал
Интернет
Бухгалтерия
CRM
(Сибирь)
Маркетинг
(Сибирь)
Иван
Горемыкин
перешел в
продажи
Семь лет
спустя
Иван
Горемыкин
стал виде-
президентом
по продажам
Восемь лет
спустя
Иван
Горемыкин
уволился
Все
известные
учетные
записи
удалены
Десять лет
спустя
Иван
Горемыкин
продолжает
иметь доступ
Доступно:
Портал
Интернет
Бухгалтерия
CRM
(Глобально)
Маркетинг
(Глобально)
Доступно:
Бухгалтерия
Маркетинг
(Глобально)
© 2013 SAP AG. All rights reserved. 3 Public
Требования
соблюдения
политик, правил и
законодательства
Непостоянные
бизнес-процессы
Операционные
издержки
Проблемные области управления учетными данными
Множественные источники учетных данных
Ручное распространение учетных данных
Трудоемкий, бумажный процесс согласования
Ручной процесс смены паролей
Внутренние требования организации по
распространению учетных данных
Присутствие неоднородных и неформальных
процессов
Отсутствие информации какие пользователи
имеют какие права к каким ресурсам
Невозможность централизованного удаления
прав учетной записи после увольнения
Невозможность предоставить аудиторам
полную историю учетных данных
© 2013 SAP AG. All rights reserved. 5 Public
Решение SAP NetWeaver Identity Management
Виртуализация учетных данных
Управление паролями и самообслуживание
Открытые протоколы для интеграции
Легкое администрирование
Хранит, управляет и синхронизирует
учетные записи и пароли во всем ИТ ландшафте
Синхронизация учетных данных
Управление ролями и полномочиями
Распространения, согласования и рабочие процессы
Отчетность и аудит
© 2013 SAP AG. All rights reserved. 6 Public
Определение и распространение ролей
Определение ролей
Выполняется единожды
Сбор информации о доступе от целевых
систем, включая: роли, группы,
полномочия и т.д.
Определение иерархии бизнес-ролей
Присвоение технических ролей бизнес-
ролям
Создание правил для присвоения ролей
Портал Бухгалтер Руководитель
HR
SAP HR AD SAP FI E-Mail SAP
Portal
E-mail AD
Бизнес-роли
Технические роли
Руководитель
Сотрудник
Бухгалтер
Распространение ролей
Выполняется регулярно
Присвоение / отторжение ролей
Посредством рабочего процесса
согласования
Вручную администратором
Автоматически, например: через HR
Автоматическое изменение мастер-
данных и присвоение технических прав в
целевых системах
© 2013 SAP AG. All rights reserved. 7 Public
Управление ролями на основе бизнес-процессов
Создание бизнес-роли
«Создание заказа»
Присвоение полномочий
необходимых для исполнения
бизнес-процесса
Создание правила для автоматического
присвоения бизнес-роли пользователям
«Продавец»
SAP ERP HCM
SAP NetWeaver
Identity Management
Настройка
Исполнение
Создание
заказа в
SAP CRM
Проверка
стоимости в
SAP IPC
Проверка наличия
в SAP SCM
1 3 2
© 2013 SAP AG. All rights reserved. 8 Public
Присвоение ролей в контексте С версии 7.2
Контекст
Типы контекстов определяются заказчиком
Примеры: завод, магазин, проект, место
расположения и т.д.
Пример использования
Пользователь имеет определенную роль на
заводе, например: «Кладовщик»
Используя присвоение ролей в контексте нет
необходимости дублировать эту роль для
каждого завода
Роли
Пользователи
Заводы
Присвоение пользователям ролей и полномочий
с учета контекста
Выгода
1 000 ролей, 20 заводов
IDM 7.1: 20 000 записей
IDM 7.2: 1 020 записей
© 2013 SAP AG. All rights reserved. 9 Public
Рабочие процессы в SAP NetWeaver IDM
Взаимодействие с записями в
Identity Store
Ручное управление в тонком клиенте
Запуск задач распространения
Согласование запросов
Отслеживание статусов исполнения
Запуск рабочего процесса из
Тонкого клиента
Задачи по событию
Изменения присвоения полномочий
Действий в мета-директории
Логика обработки включает
Последовательные действия
Параллельные действия
Действия по условию
Согласования
Identity
Store
Правила Роли
Приложения
Среда исполнения
рабочих процессов
Среда исполнения
распространений
Владелец
бизнес-процесса Уведомление
Запрос
Оповещение
Согласование
1 5
2 3
Приложения
4
Распространение
Пользователь
Identity
Center
© 2013 SAP AG. All rights reserved. 12 Public
Интеграция SAP NetWeaver IDM и SAP ERP HCM
Линейный менеджер
Отдел кадров обеспечивает
полноту информации по
сотруднику, например:
должность и дата начала
работы.
До приема на работу
Выгрузка
данных
сотрудника
по событию
1
3 4
Первый рабочий день
На основе должности
«Бухгалтер» в HCM
бизнес-роль
присваивается
автоматически
Руководитель
сотрудника
согласует
присвоение
роли
Отдел кадров
Создание бизнес-
партнера
Создание ролей
Создание
пользователя
Создание
пользователя
2
Иван Горемыкин устроился на работу бухгалтером.
С первого рабочего дня он получает доступ ко всем необходимым
системам, включая SAP FI, портал самообслуживания и т.д.
SAP NetWeaver Identity Management
Создание
пользователя
© 2013 SAP AG. All rights reserved. 13 Public
Интеграция SAP NetWeaver IDM и SAP ERP HCM
SAP NetWeaver Identity Management
Иван Горемыкин стал вице-президентом по продажам.
В первый день в новой роли у него есть доступ к порталу
самообслуживания для руководителей и всем необходимым для
его работы системам.
Первый день в
новой роли
Обновление
пользователя
Отдел кадров обеспечивает
полноту информации по
сотруднику, например:
должность и дата начала
работы в новой роли.
Выгрузка
данных
сотрудника
по событию
1
3 Добавление роли сотруднику
«Руководитель». Добавление ролей
в системах.
Отдел кадров
2
Обновление
пользователя
Обновление ролей
Обновление
пользователя
© 2013 SAP AG. All rights reserved. 14 Public
Интеграция SAP NetWeaver IDM и SAP ERP HCM
SAP NetWeaver Identity Management
Отдел кадров обеспечивает
полноту информации по
сотруднику, например:
последний рабочий день.
Выгрузка
данных
сотрудника
по событию
1
3 SAP NetWeaver Identity Management
автоматически удаляет все роли и
полномочия пользователя во всем
ландшафте
Отдел кадров
2
Первый день после
увольнения
Удаление
пользователя
После восьми лет Иван Горемыкин уходит из организации. В
последний день работы он заканчивает работу в системах.
На следующий день он не имеет больше доступа к этим
системам.
Удаление
пользователя
Удаление
пользователя
Удаление
пользователя
© 2013 SAP AG. All rights reserved. 16 Public
Базовая отчетность
Срез по приложениям
Полный обзор полномочий доступа к
приложениям
Срез по пользователям
Полный обзор прав конкретных
пользователей
Срез по полномочиям
Кто какие привилегии имел в какой период
времени. Разделение обязанностей.
Аттестация.
Мета-данные
Текущие данные, исторические данные,
время / дата, кем изменено, флаги для
аудита
Согласования
Кто что когда согласовал
Журнал задач
История задач запущенных на / от учетной
записи
© 2013 SAP AG. All rights reserved. 17 Public
Расширенная отчетность с SAP BW
Полномочия Роли Присвоение
Пользователи
История
изменений
до даты
последней
синхронизации
Шаблоны отчетов SAP BW
поставляются с
пользователями,
полномочиями, ролями и их
изменениями в течение
периодов времени и на
определенную дату
Расширенные опции
фильтрации и сортировки
Контроль доступа: роли для
пользователей отчетов
(Администратор, Менеджер,
Владелец)
Гибкость с помощью отчетов
Business Explorer
© 2013 SAP AG. All rights reserved. 22 Public
Управление паролями
Пользователь Портал
самообслуживания
SAP NetWeaver
Identity
Management Ландшафт
Сменить пароль?
Получить новый взамен забытого / истекшего?
Смена пароля
Снижение количества звонков в ИТ для смены
паролей
Распространение паролей в разнородных
ландшафтах
Требование:
Централизованное управление
паролями
© 2013 SAP AG. All rights reserved. 23 Public
Виртуализация учетных данных
Единый цельный интерфейс и точка ввода для
множественных распределенных источников
учетных данных
SPML
СУБД
SPML LDAP
LDAP JDBC
Приложение Служба
каталогов
Служба
каталогов
Virtual Directory Server
Не создается дополнительный источник
данных
Быстрое развертывание
Поддержка легче и дешевле Сервис потребления учетных данных для внешних
приложений по стандартным протоколам LDAP,
SPML
Слой абстракции для нижележащих хранилищ
данных
Преобразование входящих LDAP запросов и
подключение напрямую к существующим
репозиториям данных
Данные остаются в рамках первоначальных
источников
Эффективное кэширование
Доступ к учетным данным в режиме реального
времени
Нет необходимости консолидировать источники
данных
© 2013 SAP AG. All rights reserved. 24 Public
Способы взаимодействия с
SAP NetWeaver Identity Management
Приложения
SAP Business Suite
SAP Access Control (GRC)
Lotus Domino / Notes
Остальные
SAP Application Server
Microsoft Windows NT
Unix/Linux
Shell-скрипты
Собственные Java адаптеры
Базы данных
Microsoft SQL Server
Microsoft Access
Oracle database
Технологии
SPML
LDAP
ODBC / JDBC / OLE-DB
RFC
LDIF-файлы
XML-файлы
CSV-файлы
Службы каталогов
Microsoft Active Directory
IBM Tivoli Directory
Novell eDirectory
SunONE Java Directory
Oracle Internet Directory
Microsoft Active Directory
Application Mode (ADAM)
Siemens DirX
OpenLDAP
eB2Bcom View500 Directory Server
CA eTrust Directory
SAP NetWeaver IDM Virtual
Directory Server
Любая совместимая с LDAP v3
IBM UDB (DB2)
MySQL
Sybase
Microsoft Exchange
RSA ClearTrust
RSA SecurID
© 2013 SAP AG. All rights reserved. 25 Public
Соблюдение политик
и управление
доступом
SAP Access Control
Идентификация и
единый вход
SAP NetWeaver
Single Sign-On
Управление
учетными данными
SAP NetWeaver
Identity Management
Управление учетными данными с соблюдением политик,
правил, законодательства и единый вход
Интегрированные решения по безопасности
© 2013 SAP AG. All rights reserved. 26 Public
Ключевые заказчики
США Европа Азия
Status: Summer 2007
Техническая часть
© 2013 SAP AG. All rights reserved. 31 Public
Архитектура SAP NetWeaver Identity Management
База данных
Identity Store
Хранилище учетных данных
Настройки
Логика обработки
Интерфейс рабочих процессов
Основной интерфейс для пользователей и
менеджеров
Интерфейс мониторинга
Интерфейс мониторинга и аудита для
администраторов
Консоль управления
Графический интерфейс настройки и
управления
Диспетчер
Исполнение распространения и обработки,
включая адаптеры
Агент событий
Мониторинг подключенных систем и инициация
синхронизации
SAP NetWeaver IDM
Identity Center
Интерфейс рабочих процессов и мониторинга
(AS Java)
Консоль управления
Диспетчер Агент событий
Обнаружение изменений Запись / чтение
SA
P
GR
C
Веб
-
сл
уж
бы
…
Virtu
al D
irec
tory
Se
rve
r
База данных
E-Mail AD SAP
Portal
SAP
ERP
Другие
системы
…
Virtual Directory Server
Слой виртуализации учетных данных
© 2013 SAP AG. All rights reserved. 32 Public
Хранение компонент Identity Center
Распространение на основе учетных данных
из хранилища
Хранение ролей и прав
Хранение данных для запуска и исполнения
рабочих процессов
Поддержка учетных данных в актуальном
состоянии путем администрирования
директории мета-данных
Свойства хранилища
Хранение истории учетных данных для
поддержки аудита и соблюдения политик
Определение сроков действия для ролей и
прав
Запуск рабочих процессов по событиям
Ссылка на виртуальные атрибуты во внешних
источниках
Откат учетных данных на предыдущее
состояние
Identity Store Центральное хранилище учетных данных
HR Телефонная
система E-mail CA
Учетная запись
Телефон: + 47 73934649
Email: [email protected] Identity
Store
© 2013 SAP AG. All rights reserved. 33 Public
Identity Store
Реляционная база данных, не служба каталогов
Поддержка MS SQL Server и Oracle DB
Identity Store
© 2013 SAP AG. All rights reserved. 34 Public
Virtual Directory Server
Входящие протоколы
Управление
конфигурациями
и контроль
версий
LDAP Extensible Transformation
Framework
Ядро
Virtual Directory
Платформа адаптеров
Кэш
Адаптеры к протоколам
Адаптеры к веб-службам
Адаптеры к приложениям
LDAP DB API SPML DSML … SAP Sales
Force …
Java
GUI
© 2013 SAP AG. All rights reserved. 35 Public
Диспетчер
Работает как сервис на каждой машине, где выполняются задачи
Запускает среду исполнения для выполнения задач и автоматических
заданий
Windows / Java
© 2013 SAP AG. All rights reserved. 36 Public
Агент событий
Снижает замедление передачи данных
Срабатывает по триггерам в базах данных
Мониторит журнал изменений LDAP
Добавляет в расписание автоматические задания для выполнения
© 2013 SAP AG. All rights reserved. 37 Public
Интерфейс рабочих процессов
Тонкий клиент для регистрации и согласований
Тонкий клиент самообслуживания
Тонкий клиент смены пароля
© 2013 SAP AG. All rights reserved. 38 Public
Интерфейс рабочих процессов
© 2013 SAP AG. All rights reserved. 39 Public
Интерфейс мониторинга
Тонкий клиент для мониторинга
Для системных администраторов
Журналы
Очереди
© 2013 SAP AG. All rights reserved. 40 Public
Интерфейс мониторинга
© 2013 SAP AG. All rights reserved. 41 Public
Консоль управления
Администрирование
Управление
Интерфейс на основе MS Management Console
© 2013 SAP AG. All rights reserved. 42 Public
Консоль управления
Администрирование
Управление
Интерфейс на основе MS Management Console
© 2013 SAP AG. All rights reserved. 48 Public
Пользовательский интерфейс на Web Dynpro
Интегрирован с порталом
Отдельностоящий клиент
© 2013 SAP AG. All rights reserved. 49 Public
Собственные пользовательские интерфейсы для
SAP IDM c Open API на RESTful веб-службах
Архитектура
REST (Representational State Transfer)
JSON (Java Script Object Notation)
Схемы
Получение информации по схемам
Записи
Поиск записей
Получение записей и атрибутов
Изменение значений атрибутов
Смена паролей
Согласования
Получение открытых согласований
Обработка согласований
Сервер приложений (Java)
Identity Store
Тонкий клиент
RESTful веб-службы
Мобильное
устройство
© 2013 SAP AG. All rights reserved. 50 Public
Собственный интерфейс с REST API Запрос добавления / изменения / удаления роли
© 2013 SAP AG. All rights reserved. 51 Public
Собственный интерфейс с REST API Пользовательский интерфейс
© 2013 SAP AG. All rights reserved. 52 Public
Распространение
Инициализация системы
Очистка данных
Регулярная работа
Первоначальное наполнение
Первоначальное распространение
Обновление учетных данных
Сброс и повтор
© 2013 SAP AG. All rights reserved. 53 Public
Распространение изменений в учетных записях
ModifyUser (общая задача)
MX_PERSON
Событие: Изменение
Скрипт: sap_modifyUser
Распространение
изменений в
репозитории А
Репозиторий A Репозиторий D
Репозиторий B Репозиторий C
Задание MX_PERSON
Задание выполняет скрипт sap_modifyUser
Скрипт находит все
репозитории, содержащие
учетную запись
Скрипт вызывает задачи,
специфичные для
репозитория, для
изменения в учетной
записи
Распространение
изменений в
репозитории В
Распространение
изменений в
репозитории С
Распространение
изменений в
репозитории D
© 2013 SAP AG. All rights reserved. 54 Public
Задание ABAP
Запись данных во временные
таблицы в БД
Запись данных в Identity Store
посредством сопоставления
атрибутов
© 2013 SAP AG. All rights reserved. 55 Public
Задание ABAP
Задания привязаны к репозиториям
Каждый репозиторий имеет три основных константы: Provision / Deprovision /
Modify, которые привязывают их к ассоциированным задачам, которые
выполняются по действиям
© 2013 SAP AG. All rights reserved. 56 Public
Шаблоны заданий
Общие шаблоны заданий
Clean IS MS-SQL with Delta
Clean IS Oracle with Delta
Clean Provisioning Queue MS-SQL
Clean Provisioning Queue Oracle
Шаблоны заданий сервера приложений ABAP
AS ABAP – Initial Load
AS ABAP – Reset Delta MS-SQL
AS ABAP – Reset Delta Oracle
AS ABAP – Initial Provisioning
AS ABAP – Update
Шаблоны заданий HCM
HCM - Read Employees
© 2013 SAP AG. All rights reserved. 57 Public
Шаблоны заданий сервера приложений Java
AS Java (Database) – Initial Load
AS Java (Database) – Reset Delta MS-SQL
AS Java (Database) – Reset Delta Oracle
AS Java (Database) – Initial Provisioning
AS Java (LDAP) – Reset Delta MS-SQL
AS Java (LDAP) – Reset Delta Oracle AS Java (Database) – Update
AS Java (LDAP) – Initial Load
AS Java (LDAP) – Initial Provisioning
AS Java (LDAP) – Update
© 2013 SAP AG. All rights reserved. 58 Public
Шаблоны заданий LDAP
LDAP (SUNONE) – Initial Load
LDAP (SUNONE) – Reset Delta MS-SQL
LDAP (SUNONE) – Reset Delta Oracle
LDAP (SUNONE) – Initial Provisioning
LDAP (SUNONE) – Update All
LDAP (SUNONE) – Update Groups
© 2013 SAP AG. All rights reserved. 59 Public
Шаблоны заданий MS AD