Best Practice für die Einführung einer IdM-Lösung mit Compliance Prüfung

Jürgen von den Berken

Vibracoustic GmbH&Co.KG

Nils Sibold

IBSolution GmbH

Best Practice für die

Einführung einer IdM Lösung

mit Compliance Prüfung

214.10.2011 | Alle Rechte bei Vibracoustic GmbH & Co. KG | Höhnerweg 2-4 | 69469 Weinheim

[email protected] | www.vibracoustic.de

Agenda

1. Unternehmensprofil der Vibracoustic

2. Ausgangssituation, IT-Systeme

3. Anlass

4. Analyse, Lösungsansätze

5. Kurzfristig ergriffene Maßnahmen

6. Langfristige Maßnahmen

7. Take Aways



Automobil - Lieferant

2300 Mitarbeiter in Europa

360 Mio € Umsatz (2009)

2001 Gründung als Joint Venture

(Freudenberg und Phoenix)

… mit Weinheim als Hauptstandort

… seit 2005 ein Unternehmen

der Freudenberg-Gruppe

Vibracoustic, Unternehmensprofil

Unsere Kunden

http://images.google.de/imgres?imgurl=http://www.namedevelopment.com/blog/archives/tata_logo.gif&imgrefurl=http://www.namedevelopment.com/blog/archives/product_naming/&h=176&w=164&sz=5&hl=de&start=1&tbnid=jRNPsRa6lCBDOM:&tbnh=100&tbnw=93&prev=/images?q=Tata+Logo&ndsp=18&svnum=10&hl=de&lr=&sa=N

http://images.google.de/imgres?imgurl=http://www.ikco.ru/img/logo.gif&imgrefurl=http://www.ikco.ru/samand_info_18el.html&h=125&w=94&sz=9&hl=de&start=2&tbnid=2lUpRMGxRed0RM:&tbnh=90&tbnw=68&prev=/images?q=Iran+Khodro+Logo&svnum=10&hl=de&lr=

http://images.google.de/imgres?imgurl=http://www.jdrf.org/images/Chapters_and_Affiliates/greater_cincinnati_chapter/ToyotaLogoRedVer.jpg&imgrefurl=http://www.jdrf.org/index.cfm?page_id=101745&h=899&w=947&sz=216&hl=de&start=4&tbnid=Wj0RPjKQGXtj6M:&tbnh=140&tbnw=148&prev=/images?q=Toyota+Logo&svnum=10&hl=de&lr=

http://images.google.de/imgres?imgurl=http://www.elbschrauber.de/assets/images/Fiat_Logo-aktuell.jpg&imgrefurl=http://www.elbschrauber.de/&h=150&w=150&sz=16&hl=de&start=48&tbnid=skalh_82vrBVRM:&tbnh=96&tbnw=96&prev=/images?q=Fiat+Logo&start=36&ndsp=18&svnum=10&hl=de&lr=&sa=N

http://images.google.de/imgres?imgurl=http://www.autokorbel.de/Dateien/porsche logo.jpg&imgrefurl=http://www.autokorbel.de/autoporsche.html&h=1937&w=1678&sz=436&hl=de&start=5&tbnid=27XckTgRFVwpaM:&tbnh=150&tbnw=130&prev=/images?q=Porsche+Logo&svnum=10&hl=de&lr=

http://www.psa-peugeot-citroen.com/en/index.php

http://images.google.de/imgres?imgurl=http://www.nissan.ca/images/sp_n_logo.jpg&imgrefurl=http://www.nissan.ca/&h=206&w=239&sz=11&hl=de&start=1&tbnid=1nuq2vPObNrgtM:&tbnh=94&tbnw=109&prev=/images?q=Nissan+Logo&svnum=10&hl=de&lr=



Vibracoustic, Standorte

Technology Center Production Partner

Manchester, NH - USA

Plymouth, MI - USA

Ligonier, IN - USA

Taubaté - Brasil

Hamburg - D

Nyíregyháza - HU

Melnik - CZ

Hradec Králové - CZ

Sroda Slaska - PL I + II

Chandigarh - India

Tianjin - China

Daegu - Korea

Tottori - Japan

Wuxi - China

Cuautla - Mexico

Bursa - TR

Lerma - Mexico

Bangkok - Thailand

Yokosuka - Japan

Neuenburg - D

Weinheim - D

Trebechovice - CZTrebechovice - CZ

Yantai - China



Vibracoustic, Produkte

Hydro MountAll-terrain Vehicle

MountMulti Function

MountElectrically Switchable

Hydro Mount

Torsional

Vibration

Damper

Decoupled

Pulley

Drive Shaft

DamperCompression

Arm Bush

Suspension Link

Conventional BushIntegral Link

Tie Blade

Bush

Air Spring

PC

Air Spring

PC

Air Spring

Damper

Engine Mounts

Torsional VibrationDampers

Air Spring/MCU

Chassis Parts

We convert noise and vibration into sound and comfort

Air Spring CV

MCU Jounce Bumper



Agenda



3. Anlass






Active Directory

1000 Benutzer

ca. 2000 Gruppen

SAP (R/3, BW, GRC, IdM)

530 Benutzer

ca. 210 SAP Sammelrollen

Restliche Systeme

22 IT Syteme mit User-Administration

Restliche Rollen : 20 x 3 – 10 Rollen bis zu + 200 Rollen

Kundenportale

Kundenportale (SupplyOn, COVISINT, VW, …)

Anzahl User ? / Anzahl Rollen ? … COVISINT: 150 Applikationen

Ausgangssituation

IT Systeme



Ausgangssituation, Kundenportale, Beispiele

Ausgangssituation

IT Systeme

Erhöhter Support- Koordinationsaufwandaufwand,

intransparent, Mitarbeiterlöschung nur per inventur-

ähnlicher Suche …



Agenda



3. Anlass




7. Take Aways



Hinweis bei der Jahresabschlussprüfung

Zu viele Berechtigungen je Person

Fehlende Dokumentation

Die IT Security fordert …

Dokumentation aller Berechtigungsprozesse und -vergaben

Sofortiger, zeitnaher Entzug von Rechten

Transparenz

Regelmäßige Überprüfung der vergebenen Rechte

Anlass



Agenda



3. Anlass






Analyse

Prozesse Risikoanalyse

Fehlende Prozesse

Fehlende Dokumentation

Fehlende Transparenz

Zu umfangreiche

Berechtigungen

Fehlende Transparenz



Analyse, Lösungsansätze


Etablierung von

ordnungs-

gemäßen

Prozessen





Etablierung von

ordnungs-

gemäßen

Prozessen

Aufbau eines

Rollenkonzeptes





Etablierung von

ordnungs-

gemäßen

Prozessen

Fachbereich hat

Verantwortung

für Rolleninhalte

Aufbau eines

Rollenkonzeptes




Etablierung von

ordnungs-

gemäßen

Prozessen

Fachbereich hat

Verantwortung

für Rolleninhalte

Aufbau eines

Rollenkonzeptes

SAP Access Control

(GRC) Einführung


SAP Identity Management

Einführung



Agenda



3. Anlass



Prozess Rollengestaltung

Berechtigungsprozess


7. Take Aways



Kurzfristig ergriffene Maßnahmen


Verantwortung

in den

Fachabteilungen

Freigabe /

Genehmigung der

Rollengestaltung


Rollenkonzept

auf Basis der

SAP-Empfehlung




ca. 700 Einzelrollen

Aufbau eines SAP Aufgabenkatalogs (SAP Einzelrollen)






Aufgabenliste

Aufbau eines SAP Aufgabenlisten (SAP Sammelrollen)

ca. 210 Sammelrollen

Zuordnung neuer Einzelrollen / Transaktionen wird

durch den Owner veranlasst

Die Freigabe von Sammelrollen für einen Benutzer

wird ebenfalls vom Owner freigegeben (Unterschrift)




Etablierung eines Berechtigungsprozesses

Elektronisches

Antragsformular

Antrags- und Genehmigungs-

prozesse via User Help Desk

Genehmigung der

Rollenzuordnung

zu Usern

Verantwortung

in den

Fachabteilungen

Freigabe /

Genehmigung der

Rollengestaltung

Rollenkonzept

auf Basis der

SAP-Empfehlung





Etablierung eines Berechtigungsprozesses

Dokumentation mittels Antragsformular, Ablage



Agenda



3. Anlass




GRC Superuser Einführung

SAP Identity Management Einführung

GRC Risikoanalyse Einführung

7. Take Aways



Langfristige Maßnahmen

GRC Superuser Einführung

Nutzung des

Superuser –

Konzepts


Rollenkonzept

auf Basis der

SAP-Empfehlung

Verantwortung

in den

Fachabteilungen

Freigabe /

Genehmigung der

Rollengestaltung

Elektronisches

Antragsformular



Genehmigung der

Rollenzuordnung

zu Usern





Nutzung des

Superuser –

Konzepts


Rollenkonzept

auf Basis der

SAP-Empfehlung

Verantwortung

in den

Fachabteilungen

Freigabe /

Genehmigung der

Rollengestaltung

Elektronisches

Antragsformular



Genehmigung der

Rollenzuordnung

zu Usern


Einführung




Ziele des Identity Management - Projekts

Ablösung der bisherigen Prozesse und Formulare

Weiterentwicklung des Rollenverständnisses

Einbeziehung der Kundenportalberechtigungen

Reduktion der Prozesskosten und externe Kosten

Zügigere Prozessabwicklung, Zeiteinsparung bei den Mitarbeitern

Zeitnaher Entzug vergebener Rechte

Zentrale Dokumentation der vergebenen Rechte (IST-Zustand)

Dokumentation der Vergabeprozessse

Selfservices für die eigenen Stammdaten (Provisionierung in alle Systeme!)

Erfüllung aller IT-Security-Anforderungen





Abgebildete Workflows





Abgebildete Synchronisationen und Massenpflege





06. ‘10

Projektmanagement

11.2010: Schulung, Dokumentation & Go-Live

09.2010: kompl. Usermanagement & Reporting

08.2010: Rollen- u. Berechtigungs-Mgmt & Usermanagement Basis

06.2010: Infrastruktur E + Q & Quell- und Zielsysteme angebunden

Legende:

Meilenstein Analysephase Realisierungsphase Test & Abnahme

Kick-Off

IBSolution-interneQualitätsprüfung

Testfreigabe für Vibracoustic

08. ‘10 10. ‘10 12. ‘10 02. ‘11 04. ‘11 07. ‘11

07.2011: Resynchronisation, stabiler Betrieb






Drei Typen von Rechten

AD-Rechte (glob. Gruppen) > provisioniert

SAP-Systeme (R/3, BW, Dispute-M., GRC, IdM) > provisioniert

Alle anderen Systeme (eMAIL-Case - Fälle) > manuell (Admin)




Besonderheit … Lebenszyklus für Berechtigungen

Zusatzattribute

bei der Ressourcenauswahl- System- Bereich- Abteilung- Verantwortlicher- Funktion- …

AD

SAP

eMAIL-

Case

N/ Neu

L/ geLöscht

A/ Aktiv

Beantragungs- und

Genehmigungsprozess

Antrag

Genehmigung

D/ Deaktiviert






Wertevorgaben für „Standort“, „Firma“ und „Abteilung“

Automatische Initiierung von

Rechtebeantragungen auf

Basis von Zugehörigkeiten

(Standort, Abteilung, …),

jeweils mit oder ohne

Genehmigungsvorgang

zugeordnete

Rollen

Standard (Rollen) zugeordnet zu - Firma

- Standort

- Abteilung

Companies

locations

departments





Weiterentwicklung von den Einzelrechten zum Rollenkonzept:

Einzelrechte( AD, SAP/ GRC, eMAIL –Case )

Standards (Rollen) - Firma

- Standort

- Abteilung

Business Rollen

z.B.:- Logistik, SCM- Abteilung: Rechte für die Ausübung einer Funktion- Konstrukteur- Controlling …





IST-Situation: unsystematische Zuordnung von GLOBALEN GRUPPEN zu Verzeichnissen

Hier bedarf es noch einiger

Schritte bis zu einem

Rollenverständnis

(Ablagesystematik,

Zusammenfassung,

Rollensystematik, … )






Wertevorgaben für „Standort“, „Firma“ und „Abteilung“

Abteilung

Person

Rolle





Besonderheit.. Vererbung von Stammdaten

Beispiel Abteilung:

Share folder

Rollengenehmiger






Beispiel Standort:

Intern / Extern Flag

SAP: Firmenadresse, Zeitzone und Benutzergruppe

AD: Benutzereinordnung, Postfachspeicher, Anmeldescript und Maildomäne






Beispiel Firma:

SAP: Kommunikationstyp und Lizenzdaten






Demo Mitarbeitereintritt




IdM

- Person master data for SAP and AD- Organizational data- Name change (2nd mail address)- Business Roles-Privileges (SAP roles and AD groups)- …

Active Directory- Person master data- Name change (2nd mail address)- Group assignments

SAP Prod- SAP specific attributes

-Role assignments

SAP Dev etc.- Role assignments

Beispiel Resynchronisation:







GRC

Risikoanalyse

Einführung

Rollenkonzept

auf Basis der

SAP-Empfehlung

Verantwortung

in den

Fachabteilungen

Freigabe /

Genehmigung der

Rollengestaltung

Elektronisches

Antragsformular



Genehmigung der

Rollenzuordnung

zu Usern

Nutzung des

Superuser –

Konzepts


Einführung




Strategien der Entflechtung





Vorgehensweise




Agenda



3. Anlass




7. Take Aways



Take Aways

Phasenweises Vorgehen statt Big Bang

Lifecycle von Personen und Berechtigungen beachten

Früher Einbezug von Key Usern und Systemverantwortliche hilfreich

Detailkonzept für Synchronisationsregeln, Workflows etc. ist ein Must-Have

Verbesserung der Datenqualität und Entlastung der IT durch

Ownerschaften und Self-Services

Auditing „Wer hat wann was gemacht und warum“

Erst mit Access Control risikofrei werden, um dann einen Compliance Chek

für das IdM anzubieten

Best Practice für die Einführung einer IdM Lösung




Q & A

Jürgen von den Berken

Business Processes and Information Technology

Vibracoustic GmbH & Co. KG

Höhnerweg 2-4 . 69465 Weinheim, Germany

Phone +49 (0) 6201 80 2123. Fax +49 (0) 6201 88 2123

Mobile +49 (0) 172 633 2301

[email protected] www.vibracoustic.de

A company of the Freudenberg Group

Best Practice für die Einführung einer IdM Lösung


Nils Sibold

Solution Consultant

IBSolution GmbH

Salzstraße 140

74076 Heilbronn

Mobile (+49) 151 / 526 24 731

[email protected]

Best Practice für die Einführung einer IdM-Lösung mit Compliance Prüfung

Technology

Transcript of Best Practice für die Einführung einer IdM-Lösung mit Compliance Prüfung