elektronische administration und services identity ... · identity management an der freien...

Elektronische Administration und Services

Identity Management an der Freien Universität Berlin Transparenz und Effizienz für Exzellenz

Dr. Christoph Wall Leiter „elektronische Administration und Services“

2HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Warum Identity Management?

Identity Management als Überlebensstrategie

3HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Agenda

Die Freie Universität Berlin

Die Föderation von IT Systemen an der FU Berlin und ihre Probleme

Die Lösung Stufe 1 mit ZBV und eigenen Schnittstellen

Offene Punkte

Die Lösung Stufe 2 mit SAP IdM

Benefits des Projekts

4HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Die Freie Universität Berlin

Gründung: 1948

Zahlen:- Studenten 31 000

- MitarbeiterInnen 6 100

- Fachbereiche und Zentralinstitute 15

IT Organisation- CIO Gremium

- FIT: 4 zentrale IT Bereiche

- IT-Beauftrage in jeder Organisationseinheit

5HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Die Konföderation unabhängiger Systeme an der FU Berlin

HR

FI

SLcM

SAP Web

HIS

PublikationsDB

MyVV

ProfilDB

Black-board

FUPortal

eSA

Intranet

Helpline

Aleph

IT-V DB

SBK

VoIP

MyFU

BSCW

Mangelnde Transparenz- Kein zentrales Nutzer- und

Berechtigungs Controlling

Mangelnde Sicherheit- Keine zentrales Deaktivieren

ausscheidender Mitarbeiter

Mangelnde Effizienz- User Administration in

jedem einzelnen System

6HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Lösungsstufe 1: FUDIS als zentraler Identitäts-Provider

FUDISFU Directory

Service

SAP Web

FI

HR

SLcM

HIS

PublikationsDB

MyVV

ProfilDB

FUPortal

SBK

Aleph

Intranet

Black-board

MyFU

eSA

Helpline

IT-V DBVoIP

BSCW

7HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

User Lifecycle Management (aktueller Lösungsstand)

create

modify

delet

e

8HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Create (Onboarding & Berechtigung)

ZBV SLcMHIS

HR

FUDIS(FU Account)

Studenten

Mitarbeiter

Business PartnerStudent User

User

Ext. DozentenUser

Personaldaten

FI

User

SAP Web

User

Dozenten

Mitarbeiter

Studenten

Fach

bere

iche

Rolle

Rolle

Rol

len

Rol

len

Rol

len

FachabteilungenFachbereiche

SAP Admininstration

9HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Stufe 1 für Onboarding

Leistungen:- Personaldaten führen automatisch zur Erstellung einer FUDIS Identität

- Dozenten werden automatisch als User im Campus Management angelegt

- Studenten werden automatisch im Campus Management angelegt

Offene Punkte:- Proprietäre HR<->FUDIS Schnittstelle muss ständig gepflegt werden

- FUDIS->ZBV Schnittstelle muss neu konzipiert und in neuer Technologie reimplementiert werden

- Onboarding von Studenten muss neu konzipiert werden

- Berechtigungsvergabe durch dezentrale Einheiten ist zu ermöglichen

10HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

User Lifecycle Management

create

modify

delet

e

11HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Deaktivieren ausgeschiedener Mitarbeiter

ZBV SLcM

HR

FUDIS(FU Account)

Students

Mitarbeiter

Business PartnerStudent User

User

Ext. DozentenUser

Personaldaten

FI

User

SAP Web

User

Fach

abte

ilung

en

SAP Admininstration

HISStudenten

12HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Stufe 1 für Deaktivierung

Leistungen:- Löschung von Personaldaten führt automatisch zur Deaktivierung einer

FUDIS Identität

- Exmatrikulierte Studenten werden automatisch in FUDIS deaktiviert

Offene Punkte:- FUDIS Deaktivierung führt nicht zu Konsequenzen in der SAP

Benutzerverwaltung

- SAP Administration hat Mehrarbeit, weil User manuell gelöscht werden müssen

- Intervalle zwischen Ausscheiden und Vermessung/Löschung führen zu:

- Kosten für ungenutzte Lizenzen

- Sicherheitsrisiko wegen möglichem Systemzugang durch

Ex-Mitarbeiter

13HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Lösungsansatz für die nächsten Projektschritte

Vorbereitete Schnittstellen zu HR und SLcM

Event basierter automatischer Workflow für Onboarding

FUDIS Integration mit Web-Services möglich

Workflow für dezentrale Berechtigungsvergabe vorhanden

Deaktivierung von FUDIS zu IdM kommunizierbar

14HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Evaluation SAP IdM

HR Anschluss

Projektphasen für SAP IdM in 2009

Jan. Feb.März April Mai Juni Juli Aug. Sept. Okt. Nov. Dez.

Projektantrag

Installation SAP IdM Test-System

Projektfreigabe durch CIO

Abnahme technisches Konzept

Technisches Architektur-Konzept

Go Live Feb. 2010

Ist Analyse FUDIS Schnittstellen

SLcM Anschluss

Aufbau P-Umgebung

GA für SAP NW 7.1

15HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

User Lifecycle Management with SAP IdM

create

modify

delet

e

16HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Create (Onboarding & Berechtigung)

IdM

HR

FUDIS(FU Account)

User

Personaldaten

17HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Problem:

SAP IdM ist nicht das führende

Identitäts Management System !!

18HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Die Lösung: Staging im IdM

19HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Übernahme der Mitarbeiterdaten aus HCM

20HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Automatisches Anlegen eins LDAP Eintrags

21HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Create (Onboarding & Berechtigung)

IdM SLcM

HR

FUDIS(FU Account)

Studenten

Mitarbeiter

HISBusiness Partner

Student User

User

Ext. DozentenUser

Personaldaten

FI

User

SAP Web

User

Rollen

Rol

len

Rolle

Rolle

Studenten

Fachabteilungen

Fachbereiche

22HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Provisioning in IdM

23HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Workflow für Rollenanforderung und -vergabe

1) Anforderung

2) Genehmigung

3) Protokollierung

24HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

1) Anforderung

25HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

2) Genehmigung

26HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

3) Provisionierung und Protokollierung

27HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Stufe 2 für Onboarding

Leistungen:- Personaldaten führen automatisch zur Erstellung einer FUDIS Identität

- Dozenten werden automatisch als User im Campus Management angelegt

- Studenten werden automatisch im Campus Management angelegt

Vorteile mit IdM:- Schnittstellen in moderner Technologie sind vorhanden

- Onboarding von Studenten kann über einheitliche Schnittstelle automatisiert werden

- Berechtigungsvergabe durch dezentrale Einheiten ist mit differenziertem Rollenmodell revisionssicher möglich

28HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

User Lifecycle Management

create

modify

delet

e

29HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Deaktivieren ausgeschiedener Mitarbeiter

IdM SLcM

HR

FUDIS(FU Account)

Studenten

Mitarbeiter

Business PartnerStudent User

User

Ext. DozentenUser

Personaldaten

FI

User

SAP Web

User

Exmatriculation

30HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Stufe 2 für Deaktivierung

Leistungen:- Löschung von Personaldaten führt automatisch zur Deaktivierung einer

FUDIS Identität

- Exmatrikulierte Studenten werden automatisch in FUDIS deaktiviert

Vorteile mit IdM:- FUDIS Deaktivierung führt automatisch zur Deaktivierung des SAP Users

- Intervalle zwischen Ausscheiden und Vermessung/Löschung verschwinden

- Keine unnötigen Kosten für ungenutzte Lizenzen

- Kein Sicherheitsrisiko durch möglichen Systemzugang von

Ex-Mitarbeitern

31HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Ausblick GRC (governance, risk and compliance)

32HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Benefits des Projekt :

33HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Transparenz

34HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Effizientere Arbeit der Systemadministration

35HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Effizientere Arbeit der Systemadministration

36HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Einsparung unnötiger Kosten

37HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Einsparung unnötiger Kosten

38HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Begrenzung von Sicherheitsrisiken

39HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Identity Management mit SAP IdMan der

Freien Universität Berlin ist :

40HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Ein großer Schritt …

… zu mehr Transparenz und Effizienz

41HERUG.DS 2009: Identity Management @ FU Berlin, November 2009

Vielen Dank für Ihre Aufmerksamkeit