elektronische administration und services identity ... · identity management an der freien...
TRANSCRIPT
Elektronische Administration und Services
Identity Management an der Freien Universität Berlin Transparenz und Effizienz für Exzellenz
Dr. Christoph Wall Leiter „elektronische Administration und Services“
2HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Warum Identity Management?
Identity Management als Überlebensstrategie
3HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Agenda
Die Freie Universität Berlin
Die Föderation von IT Systemen an der FU Berlin und ihre Probleme
Die Lösung Stufe 1 mit ZBV und eigenen Schnittstellen
Offene Punkte
Die Lösung Stufe 2 mit SAP IdM
Benefits des Projekts
4HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Die Freie Universität Berlin
Gründung: 1948
Zahlen:- Studenten 31 000
- MitarbeiterInnen 6 100
- Fachbereiche und Zentralinstitute 15
IT Organisation- CIO Gremium
- FIT: 4 zentrale IT Bereiche
- IT-Beauftrage in jeder Organisationseinheit
5HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Die Konföderation unabhängiger Systeme an der FU Berlin
HR
FI
SLcM
SAP Web
HIS
PublikationsDB
MyVV
ProfilDB
Black-board
FUPortal
eSA
Intranet
Helpline
Aleph
IT-V DB
SBK
VoIP
MyFU
BSCW
Mangelnde Transparenz- Kein zentrales Nutzer- und
Berechtigungs Controlling
Mangelnde Sicherheit- Keine zentrales Deaktivieren
ausscheidender Mitarbeiter
Mangelnde Effizienz- User Administration in
jedem einzelnen System
6HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Lösungsstufe 1: FUDIS als zentraler Identitäts-Provider
FUDISFU Directory
Service
SAP Web
FI
HR
SLcM
HIS
PublikationsDB
MyVV
ProfilDB
FUPortal
SBK
Aleph
Intranet
Black-board
MyFU
eSA
Helpline
IT-V DBVoIP
BSCW
7HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
User Lifecycle Management (aktueller Lösungsstand)
create
modify
delet
e
8HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Create (Onboarding & Berechtigung)
ZBV SLcMHIS
HR
FUDIS(FU Account)
Studenten
Mitarbeiter
Business PartnerStudent User
User
Ext. DozentenUser
Personaldaten
FI
User
SAP Web
User
Dozenten
Mitarbeiter
Studenten
Fach
bere
iche
Rolle
Rolle
Rol
len
Rol
len
Rol
len
FachabteilungenFachbereiche
SAP Admininstration
9HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Stufe 1 für Onboarding
Leistungen:- Personaldaten führen automatisch zur Erstellung einer FUDIS Identität
- Dozenten werden automatisch als User im Campus Management angelegt
- Studenten werden automatisch im Campus Management angelegt
Offene Punkte:- Proprietäre HR<->FUDIS Schnittstelle muss ständig gepflegt werden
- FUDIS->ZBV Schnittstelle muss neu konzipiert und in neuer Technologie reimplementiert werden
- Onboarding von Studenten muss neu konzipiert werden
- Berechtigungsvergabe durch dezentrale Einheiten ist zu ermöglichen
10HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
User Lifecycle Management
create
modify
delet
e
11HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Deaktivieren ausgeschiedener Mitarbeiter
ZBV SLcM
HR
FUDIS(FU Account)
Students
Mitarbeiter
Business PartnerStudent User
User
Ext. DozentenUser
Personaldaten
FI
User
SAP Web
User
Fach
abte
ilung
en
SAP Admininstration
HISStudenten
12HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Stufe 1 für Deaktivierung
Leistungen:- Löschung von Personaldaten führt automatisch zur Deaktivierung einer
FUDIS Identität
- Exmatrikulierte Studenten werden automatisch in FUDIS deaktiviert
Offene Punkte:- FUDIS Deaktivierung führt nicht zu Konsequenzen in der SAP
Benutzerverwaltung
- SAP Administration hat Mehrarbeit, weil User manuell gelöscht werden müssen
- Intervalle zwischen Ausscheiden und Vermessung/Löschung führen zu:
- Kosten für ungenutzte Lizenzen
- Sicherheitsrisiko wegen möglichem Systemzugang durch
Ex-Mitarbeiter
13HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Lösungsansatz für die nächsten Projektschritte
Vorbereitete Schnittstellen zu HR und SLcM
Event basierter automatischer Workflow für Onboarding
FUDIS Integration mit Web-Services möglich
Workflow für dezentrale Berechtigungsvergabe vorhanden
Deaktivierung von FUDIS zu IdM kommunizierbar
14HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Evaluation SAP IdM
HR Anschluss
Projektphasen für SAP IdM in 2009
Jan. Feb.März April Mai Juni Juli Aug. Sept. Okt. Nov. Dez.
Projektantrag
Installation SAP IdM Test-System
Projektfreigabe durch CIO
Abnahme technisches Konzept
Technisches Architektur-Konzept
Go Live Feb. 2010
Ist Analyse FUDIS Schnittstellen
SLcM Anschluss
Aufbau P-Umgebung
GA für SAP NW 7.1
15HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
User Lifecycle Management with SAP IdM
create
modify
delet
e
16HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Create (Onboarding & Berechtigung)
IdM
HR
FUDIS(FU Account)
User
Personaldaten
17HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Problem:
SAP IdM ist nicht das führende
Identitäts Management System !!
18HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Die Lösung: Staging im IdM
19HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Übernahme der Mitarbeiterdaten aus HCM
20HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Automatisches Anlegen eins LDAP Eintrags
21HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Create (Onboarding & Berechtigung)
IdM SLcM
HR
FUDIS(FU Account)
Studenten
Mitarbeiter
HISBusiness Partner
Student User
User
Ext. DozentenUser
Personaldaten
FI
User
SAP Web
User
Rollen
Rol
len
Rolle
Rolle
Studenten
Fachabteilungen
Fachbereiche
22HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Provisioning in IdM
23HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Workflow für Rollenanforderung und -vergabe
1) Anforderung
2) Genehmigung
3) Protokollierung
24HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
1) Anforderung
25HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
2) Genehmigung
26HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
3) Provisionierung und Protokollierung
27HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Stufe 2 für Onboarding
Leistungen:- Personaldaten führen automatisch zur Erstellung einer FUDIS Identität
- Dozenten werden automatisch als User im Campus Management angelegt
- Studenten werden automatisch im Campus Management angelegt
Vorteile mit IdM:- Schnittstellen in moderner Technologie sind vorhanden
- Onboarding von Studenten kann über einheitliche Schnittstelle automatisiert werden
- Berechtigungsvergabe durch dezentrale Einheiten ist mit differenziertem Rollenmodell revisionssicher möglich
28HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
User Lifecycle Management
create
modify
delet
e
29HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Deaktivieren ausgeschiedener Mitarbeiter
IdM SLcM
HR
FUDIS(FU Account)
Studenten
Mitarbeiter
Business PartnerStudent User
User
Ext. DozentenUser
Personaldaten
FI
User
SAP Web
User
Exmatriculation
30HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Stufe 2 für Deaktivierung
Leistungen:- Löschung von Personaldaten führt automatisch zur Deaktivierung einer
FUDIS Identität
- Exmatrikulierte Studenten werden automatisch in FUDIS deaktiviert
Vorteile mit IdM:- FUDIS Deaktivierung führt automatisch zur Deaktivierung des SAP Users
- Intervalle zwischen Ausscheiden und Vermessung/Löschung verschwinden
- Keine unnötigen Kosten für ungenutzte Lizenzen
- Kein Sicherheitsrisiko durch möglichen Systemzugang von
Ex-Mitarbeitern
31HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Ausblick GRC (governance, risk and compliance)
32HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Benefits des Projekt :
33HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Transparenz
34HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Effizientere Arbeit der Systemadministration
35HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Effizientere Arbeit der Systemadministration
36HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Einsparung unnötiger Kosten
37HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Einsparung unnötiger Kosten
38HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Begrenzung von Sicherheitsrisiken
39HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Identity Management mit SAP IdMan der
Freien Universität Berlin ist :
40HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Ein großer Schritt …
… zu mehr Transparenz und Effizienz
41HERUG.DS 2009: Identity Management @ FU Berlin, November 2009
Vielen Dank für Ihre Aufmerksamkeit