Post on 29-May-2015
transcript
www.ibsolution.de © IBSolution GmbH
Revisionssichere Systemzugriffe für mehr Energie
11. Oktober 2012
Nils Sibold
IBSolution GmbH
Webinar-Reihe 2012
www.ibsolution.de © IBSolution GmbH
IBSolution GmbH - Webinar-Reihe 2012
Willkommen zum Webinar „Revisionssichere Systemzugriffe für mehr Energie“
Die Unterlagen finden Sie nach dem Webinar unter: http://www.slideshare.net/IBSolutionGmbH http://www.youtube.com/IBSolution
Weitere Webinar-Termine:
15.10.2012 // Integrierte Planung mit Stammdatenpflege in SAP BW
22.10.2012 // SAP NetWeaver IdM: Performance optimieren
Infos und Anmeldung über www.ibsolution.de/veranstaltungen
www.ibsolution.de © IBSolution GmbH
Ihre Moderatoren
Nils Sibold Chat-Moderatorin: Natascha Unger
www.ibsolution.de © IBSolution GmbH
IBSolution GmbH: Beratungsschwerpunkte
Business Intelligence
Prozess-optimierung
Technologie Beratung
www.ibsolution.de © IBSolution GmbH
IBSolution GmbH: Unsere Standorte
Nordrhein-Westfalen
Neuss
Baden-Württemberg
Heilbronn
Bayern
München
Schweiz
Zürich
Bulgarien
Sofia
www.ibsolution.de © IBSolution GmbH
IBSolution Compliant Identity Management Expertise
Die meisten SAP IdM Projekte seit 2007 mit 800 – 100.000 Identitäten, von der Toolauswahl bis zum globalen Rollout und Support
Einer der ersten SAP Special Expertise Partner für SAP IdM seit 2008
Compliant Identity Management (CIM) durch die Integration mit SAP GRC Access Control
Individuelle Single Sign-On Szenarien für SAP & Non-SAP
Unsere Kunden erzählen über ihren Erfolg in Success-Stories, Best-Practices, DSAG- und TechEd-Vorträgen
Autorenteam SAP IdM Buch der SAP Press, SDN Blogs, IT Fachmagazine
www.ibsolution.de © IBSolution GmbH
Chat-Funktion für Fragen / Einstellungen
Teilnehmer sind während der Präsentation stumm geschaltet
Bitte nutzen Sie für Fragen die Chat-Funktion
Zum Ende des Webinars wird gesammelt auf die Fragen eingegangen
www.ibsolution.de © IBSolution GmbH
AGENDA
1. Begrüßung und Einführung
2. Identity Management im Energiesektor
3. GRC Access Control im Energiesektor
4. Single Sign On im Energiesektor
5. Kundenszenario aus dem Energiesektor
6. Einführungsszenarien Identity Management, Access Control und Single Sign On
7. ROI-Betrachtung
8. Diskussion
www.ibsolution.de © IBSolution GmbH
Compliant Identity Management
Identity Management im Energiesektor
SAP Single Sign-On
SAP GRC Access Control
SAP Identity Management
www.ibsolution.de © IBSolution GmbH
Identity Management im Energiesektor
Reduzierung Aufwand für Berechtigungsadministration
Teil-Automatisierung der Berechtigungsvergabe
Vermeidung Mehrfacherfassung & Medienbrüche
Genehmigungsverfahren bei der Vergabe von Berechtigungen
Automatische Protokollierung und vereinfachtes Reporting
Trennung von Netz und Betrieb einfach möglich
Etablierung Employee Self Services
Berechtigungsantrag
Rücksetzen Passwort
Konsistente Verteilung in heterogene Systemlandschaft
Integration SAP-Systeme & ZBV-Ablösung
Integration Verzeichnisse (Active Directory), RACF, Datenbanken, Eigenentwicklungen etc.
Angepasste Regeln für SAP IS-U umsetzbar
www.ibsolution.de © IBSolution GmbH
Identity Management im Energiesektor
Geschäftsprozesse machen nicht vor Systemgrenzen Halt!
Anwender arbeiten auf unterschiedlichen Business Systemen – ERP, BW, Portal, Verzeichnissen...
Zusammenfassung technischer Rollen nach fachlichen Prozessen
Vereinfachung von Antragsprozessen durch Fachrollen
HR getrieben Prozesse
Interne Mitarbeiterstammdaten und organisatorische Einordnungen werden häufig im (SAP) HR gepflegt
Einsparung von Lizenzen und bessere Datenqualität durch Abgleich der Benutzer- und Personalstämme
Automatische Anlage-, Wechsel- und Austrittsprozesse für die Vergabe und Wegnahme von Zugriffen
www.ibsolution.de © IBSolution GmbH
AGENDA
1. Begrüßung und Einführung
2. Identity Management im Energiesektor
3. GRC Access Control im Energiesektor
4. Single Sign On im Energiesektor
5. Kundenszenario aus dem Energiesektor
6. Einführungsszenarien Identity Management, Access Control und Single Sign On
7. ROI-Betrachtung
8. Diskussion
www.ibsolution.de © IBSolution GmbH
Compliant Identity Management
SAP GRC Access Control im Energiesektor
SAP Single Sign-On
SAP GRC Access Control
SAP Identity Management
www.ibsolution.de © IBSolution GmbH
Vorstellung SAP GRC Access Control 10
Risikofrei werden Risikofrei bleiben
SAP GRC Access Control
Risikoanalyse und
Bereinigung
Unternehmensweites
Rollenmanagement
Regel- und gesetztes-
konforme Vergabe von
Berechtigungen
Management von
Superuser-Berechtigungen
www.ibsolution.de © IBSolution GmbH
Vorstellung SAP GRC Access Control 10
Risikostrukturen
Regelwerk A „Global“
Geschäftsprozess „HR & Personalabrechnung“
Geschäftsprozess „Rechnungswesen“
Geschäftsprozess „n“
Risiko H001 Personalabrechnungsstammdaten
ändern und anschließend Personalabrechnung verarbeiten
Risiko B Benutzer kann fiktives Sachkonto anlegen und
Journalaktivitäten erzeugen
Funktion HR03: Mitarbeiterstammdaten (PA)
bearbeiten – 0008 - 0009 (Grundbezüge
und Bank)
Aktionen/Berechtigungen SAP ERP
Aktionen/Berechtigungen SAP ERP
Aktionen/Berechtigungen SAP ERP
Aktionen/Berechtigungen SAP ERP
Aktionen/Berechtigungen SAP ERP
Funktion PY04: Personalabrechnung
verarbeiten
Funktion 3: Pflege von Sachkonten-
stammsätzen
Funktion 4: Buchen von
Journaleinträgen
Funktion 5: …
Risiko C Benutzer kann …
www.ibsolution.de © IBSolution GmbH
GRC Access Control 10
Funktionstrennungen bei SAP IS-U:
Vertrieb
Abrechnung
Netznutzung
Geschäftspartner
Energy Data Management
Intercompany Data Exchange
…
Beispielrisiko bei SAP IS-U:
Vertragskontenanlage und Rechnungsbelegbuchung
www.ibsolution.de © IBSolution GmbH
AGENDA
1. Begrüßung und Einführung
2. Identity Management im Energiesektor
3. GRC Access Control im Energiesektor
4. Single Sign On im Energiesektor
5. Kundenszenario aus dem Energiesektor
6. Einführungsszenarien Identity Management, Access Control und Single Sign On
7. ROI-Betrachtung
8. Diskussion
www.ibsolution.de © IBSolution GmbH
Compliant Identity Management
SAP Single Sign On im Energiesektor
SAP Single Sign-On
SAP GRC Access Control
SAP Identity Management
www.ibsolution.de © IBSolution GmbH
Benutzer / Passwort
SAP Logon Tickets
Cookies im Webbrowser
Kerberos
Zum Beispiel Anbindung an den AD Kerberos Service
SNC (Secure Network Communication)
SAP GUI Logon
Zertifikate (auch smartcards)
Zum Beispiel vom AD ausgestellte Zertifikate im Browser
SAML (Security Assertion Markup Language)
Identity und Service Provider
OpenID
Vgl. mit SAML ‚nur‘ in übergreifenden Szenarien.
Single Sign On im Energiesektor
SAP NW SSO
Secure Login
Enterprise SSO
Identity Federation (SAML 2.0)
Web Access Management (WAM)
www.ibsolution.de © IBSolution GmbH
Kundenbeispiel für SSO im Energiesektor
Der Kunde • 450 SAP Benutzer • MS Active Directory • SAP Netweaver
Ausgangslage • Einführung IdM & Portal • Verschiedene Benutzerkennungen in verschiedenen SAP Systemen
Architektur • Verwendung von Zertifikaten für Single Sign On • Eigene ‘einfache’ Certificate Authority (CA) auf Basis Windows 2003
Nutzen • Kein Passwort Rollout • Verwendung der Zertifikaten auch in existierenden SAP Systemen • Stufenweise Einführung von SSO
www.ibsolution.de © IBSolution GmbH
AGENDA
1. Begrüßung und Einführung
2. Identity Management im Energiesektor
3. GRC Access Control im Energiesektor
4. Single Sign On im Energiesektor
5. Kundenszenario aus dem Energiesektor
6. Einführungsszenarien Identity Management, Access Control und Single Sign On
7. ROI-Betrachtung
8. Diskussion
Ausgangssituation
14 SAP-Systeme mit 58 Mandanten
davon 6 Systeme mit 18 Mandanten bei externem Dienstleister
ca. 520 Benutzer davon 100 extern SAP
ca. 1.200 Benutzer davon 80 extern
Active
Directory
Ausgangssituation
ca. 80 Berechtigungsanträge pro Monat in Papierform
davon ca. 60 für durchschnittlich 9 SAP-Mandanten + Active Directory
nur zwei hauptverantwortliche Benutzeradministratoren
unterschiedliche Regeln zur Bildung des Benutzernamens in SAP intern,
SAP extern und Active Directory
kein Single Sign-on im Einsatz
gleiche Vorgehensweise für die Vergabe von SAP- und
Active Directory Rechten
Ablösung der papierbasierten Berechtigungsanträge und
Integration der Rollen-Owner durch Genehmigungsworkflows
systemübergreifende Passwortresets, Sperren, Entsperren
Massenänderungen
Integration des SAP IdM ins SAP Portal und Realisierung von
Single Sign-on ans Portal über Benutzer-Zertifikate
Nachvollziehbarkeit von Änderungen durch SAP IdM
Standardprotokollierung
revisionssichere Vergabe von Berechtigungen durch
Genehmigungsworkflows
Entlastung der Benutzeradministration
Was wurde realisiert?
Berechtigungsantrag in SAP IdM
1
2
3
4
5
Berechtigungsantrag in SAP IdM
6
7
8 9
Genehmigung durch Führungskraft
1
2
Einführung SAP IdM – Was ist wichtig?
Welche Systeme sollen angebunden werden?
Wie ist der Ablauf bei der Vergabe von Berechtigungen im
Unternehmen?
Auswahl des richtigen Partners
Auswahl einer Strategie für die Einführung im Unternehmen
Weiterentwicklung
www.ibsolution.de © IBSolution GmbH
AGENDA
1. Begrüßung und Einführung
2. Identity Management im Energiesektor
3. GRC Access Control im Energiesektor
4. Single Sign On im Energiesektor
5. Kundenszenario aus dem Energiesektor
6. Einführungsszenarien Identity Management, Access Control und Single Sign On
7. ROI-Betrachtung
8. Diskussion
www.ibsolution.de © IBSolution GmbH
Einführungsszenarien Compliant Identity Management
• Beantragung Benutzer
und Rollenzuweisungen für
SAP & Non-SAP Systeme
Antragssteller
•Einholung von
Genehmigungen
Vorgesetzter / Rollenowner / …
• Abschwächung von
Risiken
Compliance Beauftragter
SAP NW SSO
www.ibsolution.de © IBSolution GmbH
Einführungsszenarien
www.ibsolution.de © IBSolution GmbH
AGENDA
1. Begrüßung und Einführung
2. Identity Management im Energiesektor
3. GRC Access Control im Energiesektor
4. Single Sign On im Energiesektor
5. Kundenszenario aus dem Energiesektor
6. Einführungsszenarien Identity Management, Access Control und Single Sign On
7. ROI-Betrachtung
8. Diskussion
www.ibsolution.de © IBSolution GmbH
ROI Betrachtung
Wie gehe ich bei der Berechnung des Wertbeitrags vor?
Berechnung anhand Kennzahlen
Priorisierung
Validierung
www.ibsolution.de © IBSolution GmbH
ROI Betrachtung
Beispiel SAP Value Management
www.ibsolution.de © IBSolution GmbH
ROI Betrachtung – Häufige Einsparpotenziale
Identity Management:
Einsparungen bei der IT durch Delegation an die Fachbereiche
Einsparungen durch automatisierte Berechtigungsvergaben und -entzüge
Einsparungen durch Vermeidung von Mehrfacherfassungen
Einsparung von Lizenzen durch Zusammenführung und rechtzeitige Deaktivierung
…
GRC Access Control:
Weniger Aufwendungen für Audits mit Nacharbeiten
Sicherheitsgewinn durch das Verhindern von risikobehafteten Zugriffen in IS-U
…
Single Sign-On:
Einsparung bei bisheriger Anzahl Passwortresets * Zeitbedarf
Vermeidung von verlorener Arbeitszeit durch Warten auf Zugriff
Sicherheitsgewinn durch Vermeidung von Kennwörtern
…
www.ibsolution.de © IBSolution GmbH
AGENDA
1. Begrüßung und Einführung
2. Identity Management im Energiesektor
3. GRC Access Control im Energiesektor
4. Single Sign On im Energiesektor
5. Kundenszenario aus dem Energiesektor
6. Einführungsszenarien Identity Management, Access Control und Single Sign On
7. ROI-Betrachtung
8. Diskussion
www.ibsolution.de © IBSolution GmbH
IBSolution GmbH - Webinar-Reihe 2012
Vielen Dank für Ihre Teilnahme!
Die Unterlagen finden Sie nach dem Webinar unter: http://www.slideshare.net/IBSolutionGmbH http://www.youtube.com/IBSolution
Weitere Webinar-Termine:
15.10.2012 // Integrierte Planung mit Stammdatenpflege in SAP BW
22.10.2012 // SAP NetWeaver IdM: Performance optimieren
Infos und Anmeldung über www.ibsolution.de/veranstaltungen
www.ibsolution.de © IBSolution GmbH
IBSolution GmbH
Im Zukunftspark 8 D - 74076 Heilbronn
www.ibsolution.de