Access Manager - SUIM...Das IKS wird durch unsere Werkzeuge bei der Definition der Vorgaben...
Transcript of Access Manager - SUIM...Das IKS wird durch unsere Werkzeuge bei der Definition der Vorgaben...
Das Berechtigungsmanagement
für Ihre SAP Systeme
Access Manager
Der Access Manger ist Bestandteil
unseres Softwarepakets
SUIM-AIM und wurde von
SAP zertifiziert.
Big Picture
Der Access Manger (AM) ist ein zentrales Berechtigungsmanagementsystem. Es
befähigt Sie auch die komplexesten Berechtigungen übersichtlich, der Organisation
Ihres Unternehmens entsprechend und in Echtzeit zu Verwalten. Ableitungen von
Rollen werden automatisch erzeugt und auf Ihre ganze Systemlandschaft verteilt. Der
Access Manager verwaltet sämtliche Berechtigungsobjekte, dazu gehören
selbstverständlich auch BW Analyseberechtigungen welche nach Ihren vorgegebenen
AM ermöglicht die Verwaltung der gesamten
SAP-Produktpalette (unabhängig vom
Releasestand) aus einem zentralen System.
AM verwaltet, generiert und transportiert für
Sie SAP-Rollen, -Profile, OLAP Profile oder
andere Gruppen in der ganzen
Systemlandschaft.
Mit der SUIM-AIM Suite
besitzen Sie ein effizientes
Werkzeug zur Bewirtschaftung
des gesamten User Lifecyles.
Das AM Modul ermöglicht Ihnen
eine einfache Verwaltung der
Berechtigungsvergaben
direkt durch Super User und
Abteilungsleiter. Diese
wählen die gewünschten
Business-Rollen und
Organisationen in der
übersichtlichen
Berechtigungsmatrix aus
teilen somit die
Berechtigungen zu. Nach
einer automatischen
Risikoüberprüfung im
optionalen Compliance
Enforcer Modul generiert der
Access Manager die nötigen
Ableitungen und führt
transparent die
Provisionierung der
Berechtigungen aus.
Umständliche
Berechtigungsanträge
gehören der Vergangenheit
an.
eine schnelle und
kostengünstige Anpassung
der Berechtigungen auf
Unternehmensebene. Sie
können kurzfristig komplexe
Berechtigungen anpassen
und somit Marktchancen
effizient wahrnehmen.
Restrukturierungen sowie
Mergers & Akquisitions
können schnellstens im SAP
System umgesetzt werden.
das Qualitätsmanagement
der Berechtigungsobjekte
sicher zu stellen und verstärkt
Unser Quality Cockpit hilf Ihnen Inkonsistenzen in Rollen und Profilen zu eliminieren.
Somit sind Sie sicher, dass Ihr Berechtigungskonzept nicht nur auf Papier sondern
auch in Ihren Systemen korrekt ist.
Highlights
Berechtigungsmatrix
In einem einzigen Screen kann Ihr
Berechtigungsverantwortlicher alle für seine Rolle
typischen Aufgaben durchführen. Neben der
Zuteilung der Soll-Berechtigungen zu einem SAP-
User kann auch die Segragation of Duty (SoD)
Prüfung und der Genehmigungsprozess
angestossen werden.
AM gibt Ihnen die Möglichkeit Berechtigungen
regelbasierte (auch periodisch wiederkehrende)
zuzuordnen
Die Strukturierung durch AM-Organisationen und
AM-Systeme ermöglicht die sehr ergonomische
Darstellung
als Berechtigungsmatrix.
AM-Rollen
Eine AM-Rolle ist eine sinnvolle Kombination von
Berechtigungselementen (ERP-, BI-, strukturelle
Berechtigung, Org.Management-Objekten, Active
directory, etc.) welche über mehrere Systeme
verteilt sein können.
Durch die Integration der zwei Dimensionen
Systemarchitektur und Berechtigungselemente,
können die oftmals komplexen
Berechtigungsanforderungen als Business Rollen
flexibel abgebildet werden und gleichzeitig wird
das operative Lifecyclemanagement wesentlich
vereinfacht.
AM-Rollenableitung / BI-Profil-
Generierung
Aufgrund der definierten Ableitungs- und
Verteilungsregeln werden organisationsspezifische
Ableitungen einer Masterrolle automatisch und
ohne manuelle Eingriffe im Zielsystem erstellt.
Rollenverteilung
Die Verteilung von Berechtigungselementen zu
einem User wird realtime und direkt im Zielsystem
durchgeführt. Dabei wird sichergestellt, dass der
User insgesamt nur die Soll-Berechtigungen hat.
Auch eine temporäre Nichtverfügbarkeit eines
Zielsystems wird durch entsprechendes Queuing
ausgeglichen.
Rollen können ebenfalls zeitabhängig nach Regeln
und Intervallen zugeteilt werden.
AM-Organisationen, AM-Systeme
und AM-Rollenkatalog
Die Strukturierung durch Organisationen, Systeme
und Kataloge ermöglicht einerseits eine sehr
einfache
Umsetzung der Anforderungen und andererseits
können auch sehr komplexe
Anforderungsszenarien sauber abgebildet werden.
AM-Organisationsebene
Berechtigungsfelder können im AM nicht nur
grundsätzlich, sondern auch rollenspezifisch als
Organisationsfeld definiert werden. Dies
ermöglicht den Freiheitsgrad, um in den
komplexen Konstellationen die richtige
Lösung zu finden.
Massen-Rollenableitung / BI-Profil-
Massengenerierung
Bei Änderungen an Masterrollen oder der
Integration einer neuen Organisation in das
Unternehmen entstehen oft sehr grosse
Anpassungsnotwendigkeiten. Durch die
Möglichkeit alle relevanten Ableitungen
automatisch anzupassen oder neu anzulegen
reduziert sich der Arbeitsaufwand auf ein
Minimum.
Massen-Rollenverteilung
Die AM-Verteilungsmechanismen können auch zur
Massenverarbeitung genutzt werden
Risiko-Analyse
Bei der Zuteilung einer Berechtigung / eines BI-
Profils zu einem User kann automatisch geprüft
werden, ob dadurch eine Konstellation entsteht,
die den definierten SoD-Regeln widerspricht.
Als kritisch eingestufte Berechtigungen sowie
kritische Aktionen werden ausgewiesen.
User Lifecycle: AM-Workplace
Berechtigungsmatrix Die AM-Berechtigungsmatrix ist das am häufigsten
genutzte Werkzeug im User Lifecycle Management.
Sie dient der Anzeige und Mutation aller
Berechtigungszuordnungen zu den SAP-Usern. Die
SoD- und Risiko-Prüfungen sowie die definierten
Workflow-Prozessschritte vom Antrag über die
Genehmigung bis zur physischen Zuteilung der
Berechtigungen auf den dezentralen Systemen
werden ebenfalls aus dieser Matrix angestossen. Die
Berechtigungsmatrix kann sowohl via Web als auch
via den SAP-GUI genutzt werden.
Der Zugriff auf die Berechtigungsmatrix sowie
sämtliche weiteren Funktionen des Access Managers
erfolgt über einen übersichtlich gestalteten
Hauptfunktionen
Berechtigungen zuordnen:
- Auswahl der Berechtigungen durch Markieren der
Checkbox in der Matrix.
- Abbildung komplexer Zeitabhängigkeiten durch
die AM-Zeitregeln.
Zugeordnete Rollen anzeigen:
Soll- / Ist-Vergleich der Berechtigungselemente
des SAP-Users in den entsprechenden
Zielsystemen.
Ein Simulationsmodus erlaubt es Ihnen die
Auswirkung von Berechtigungszuteilungen
durchzuspielen
Berechtigungen verteilen:
Verteilung der Soll-Berechtigungszuordnungen des
SAP-Users in den entsprechenden Zielsystemen.
Actionlog:
Anzeige der Änderungsbelege zum gewählten SAP
User Lifecycle: AM-Workflow
AM-Standardprozess
AM stellt Ihnen verschiedene
Lösungsansätze zu Anträgen und
Zuteilungen von Berechtigungen.
Diese reichen vom Employeee Self
Service (ESS) über verantwortliche Super
User in den jeweiligen
Geschäftsbereichen bis zu dedizierten
Berechtigungsteams hin.
Damit Berechtigungen nicht willkürlich
vergeben werden, haben wir einen
optionalen Workflow Prozess in die
Berechtigungsvergabe integriert. Dieser
kann je nach Rolle und deren Kritikalität
angestossen werden. Damit wird in
diesen Fällen das Vier-Augen Prinzip
gewährleistet.
Im optionalen Standardprozess wird
nach erfolgter Risikoprüfung der
Workflow angestossen, wenn der
Super-User die AM Rollenzuordnung
eines Benutzers ändert.
Der Vorgesetzte des Antragstellers
wird ermittelt und erhält das aus dem
Berechtigungsantrag entstandene
Workitem zur Bearbeitung
in seinen Eingangskorb.
Der Berechtigungsantrag
wird durch den
Vorgesetzten genehmigt
oder abgelehnt. Die
Verteilung der
Berechtigungs-zuordnung
(inkl. der Erstellung einer
allfälligen Ableitung von der
Masterrolle im Zielsystem)
kann direkt aus der
Workitembearbeitung
Risikoanalyse & Qualitätssicherung
Qualitätssicherung AM stellt für die Überwachung und Steuerung der
Qualität der Berechtigungsobjekte das AM-Quality-
Cockpit zur Verfügung. Die Prüf– und
Bereinigungsfunktionen konzentrieren sich auf
folgende Aufgaben:
Qualitätsprüfung der einzelnen Rollen in der SAP-
Landschaft.
Prüfung und Sicherstellung der Berechtigungs-
Konsistenz zwischen den zentralen AM-Vorgaben
und den dezentralen Zielsystemen.
Prüfung und Sicherstellung der User-Konsistenz
zwischen den zentralen AM-Vorgaben und den
dezentralen Zielsystemen.
Analyse der Risiken und der
Segregation of Duties Funktionstrennung bedeutet, das bestimmte
Aufgaben eines Geschäftsprozesses nicht durch ein
und dieselbe Person oder Organisationseinheit
durchgeführt werden sollen.
(Quelle Wikipedia)
AM kann mit Hilfe des Zusatzmoduls
„Compliance Enforcer“ eine
umfangreiche Risikoüberprüfung
ausführen. Dabei werden drei
verschiedene Risikotypen unterschieden:
Segregation of Duties (SoD):
Überprüfung stellt sicher, dass die
Berechtigungskonstellation nicht eine
Verletzung der vorgegebenen
Funktionstrennungsprinzipien darstellt.
Kritische Berechtigungen (kritische
Berechtigungsobjekte)
Kritische Aktionen (kritische
Transaktionen)
Die im Compliance Enforcer definierten
Regeln und Risiken stellen sicher, dass
ein potentielles Risiko erkannt wird.
AM generiert im Risikofall einen
Workflow welcher nach Risiko und
Wichtigkeit an die zuständigen
Entscheider weitergeleitet wird.
Durch Projektrollouts, Reorganisationen, Fusionen
oder Übernahmen können im
Berechtigungsmanagement grosse Aufwände
entstehen. Diese sind als kritisch für den Erfolg des
Vorhabens einzustufen. AM stellt Ihnen für derartige
Massenverarbeitungen hocheffiziente Werkzeuge zur
Verfügung.
Massengenerierung Die AM-Massengenerierung generiert alle
Ableitungen von Masterrollen unter
Berücksichtigung der im AM-Customizing
definierten Struktur– und
Organisationselementen ohne manuellen
Aufwand.
Generierung aller Rollen für eine neue
Organisation (z.B. Buchungskreis oder
Werk).
Generierung der Ableitungen einer neuen
Rolle für alle Organisationen oder
selbstdefinierten Orgebenen.
Neugenerierung aller Ableitungen nach
Anpassungen an einer Masterrolle oder
Zwecks Bereinigung manueller Anpassungen an
Ableitungen in den Zielsystemen.
Massenzuordnung Die AM-Massenzuordnung generiert die
Berechtigungszuordnung für alle selektierten
User und Systeme ohne
manuellen Aufwand .
Initialmassenzuordnung für ein neues System
(basierend auf bereits vorhandenen Zuordnungen
im AM oder im Sinne einer Datenmigration aus
einer Excel Datei).
Massenzuordnung für die User einer neuen
Organisation in einem bestehenden System.
Neugenerierung der Berechtigungszuordnungen
Zwecks Bereinigung manueller Anpassungen an
Zuordnungen in den Zielsystemen.
Massentransport Der AM-Massentransport importiert die
Berechtigungsobjekte ohne manuellen Aufwand in die
relevanten Zielsysteme.
Massenarchivierung / -restore
Die AM-Massenarchivierung stellt sicher, dass Rollen
gelöscht und wiederhergestellt werden können.
Rollouts, Reorganisations, Mergers & Acquisitions
Unsere Softwareprodukte sind Zusatzmodule für SAP
oder Frontendapplikationen mit SAP-Integration. Wie
fokussieren auf das IT Service Management (ITSM) und
das Interne Kontrollsystem (IKS).
Im Bereich ITSM decken wir vom Service Design über
die Kalkulation, die Vereinbarung und das Reporting bis
zur Verrechnung alle „kundenorientierten“ Prozesse ab.
Auch der Betrieb des Access– und Identity
Managements, des User Logins und der Netzwerk-
sicherheit werden durch unsere Softwareprodukte
optimal unterstützt. Die typischen Anwender sind IT-
Organisationseinheiten und Shared Services
Centers.
Das IKS wird durch unsere Werkzeuge bei der
Definition der Vorgaben (Risiken) und bei der Prüfung
der Einhaltung (Compliance) unterstützt. Dabei decken
wir neben den
manuellen und automatischen Kontrollen auf
Prozessebene auch die generellen
IT-Kontrollen ab. Die typischen Anwender sind externe
und interne Revisoren oder IKS- und
Prozessverantwortliche.
unsere Softwareprodukte
Version 2015/1
SUIM GmbH Chemin du Marguery 15 1802 Corseaux, Switzerland www.suim.ch [email protected]