| 1.7.2009 | IdM Infotag Walldorf 20091
Identity und Access Management
mit SAP NetWeaver IdM bei der
BLANCO GmbH + Co KG
Basierend auf der Synchronisation von Daten aus
dem SAP Human Capital Management
Werner Gassner, stellv. Leiter IT, BLANCO GmbH & Co. KG
Loren Heilig, IBSolution GmbH
Walldorf, 1.7.2008
| 1.7.2009 | IdM Infotag Walldorf 20092
Agenda – Teil 1
Aktuelle Situation und Anforderungen
Überblick BLANCO KT und BLANCO CS
Vision BLANCO Bits
BLANCO Infrastruktur
Die Rolle von SAP NetWeaver Identity Management
Zusammenfassung Argumente und Beweggründe
| 1.7.2009 | IdM Infotag Walldorf 20093
Mitarbeiter ca. 1300
Umsatz 2008: 260 Mio. €
Auslandsanteil über 2/3
Produktion an mehreren Standorten
in Deutschland und in Kanada
11 Tochtergesellschaften
USA, Kanada, Großbritannien, Frankreich,
Belgien, Niederlande, Schweiz, Österreich,
Tschechien, Russland, Ukraine
weltweites Vertriebsnetz - etwa 80 Staaten
BLANCO Küchentechnik (KT)
| 1.7.2009 | IdM Infotag Walldorf 20094
Mitarbeiter ca. 610
Umsatz 2008: 93 Mio. €
Produktion an zwei Standorten in Deutschland
sowie in Tschechien
Tochtergesellschaften in Belgien, Großbritannien,
Frankreich, Österreich, Schweiz und Tschechien
BLANCO CS ist ein international tätiges Unternehmen und
vertreibt seine Produkte zurzeit schwerpunktmäßig in Europa,
im Mittleren Osten und in Asien.
BLANCO CS
Ca
teri
ng
Sys
tem
e
(CA
)
Me
dic
al C
are
Sys
tem
e
(MC
)
Ind
us
tria
l C
om
po
ne
nts
(IC
)
| 1.7.2009 | IdM Infotag Walldorf 20095
Wir entwickeln und gestalten als Systemanbieter mit unseren
Geschäftsfreunden attraktive und arbeitserleichternde Lösungen
für Arbeitsplätze in der Haushaltsküche, der
Gemeinschaftsverpflegung und in medizinischen
Funktionsbereichen.
Wir erkennen, wecken und erfüllen Kundenwünsche.
Wir schaffen innovative, flexible Lösungen, die in Design,
Funktion, Qualität und Service vorbildlich sind.
Wir setzen auf Kompetenz, Engagement und Kreativität
unserer Mitarbeiter sowie fortschrittliche und
umweltfreundliche Technologien, um immer einen
Schritt voraus und weltweit der attraktivste Anbieter
zu sein.
Wir wollen ein “5 Sterne-Unternehmen” sein und unsere
Kunden begeistern.
Vision BLANCO / BITS
| 1.7.2009 | IdM Infotag Walldorf 20096
BLANCO Standorte und Anbindung
SAP
ERP
Planung/Optimizer
APO
Buchhaltung
Controlling
FI / CO
Vertrieb
SD
Qualitätssicherung
QM
$
$ $
Einkauf
Kisscat
Kontakte/Aktionen
CRM
Logistik
MM / WM
Aussenhandel
GTS
Fertigung
PP
Internet/HTML
Webshop
Service / Instandhaltung
CS / PM
Berichtswesen
BW
Personalmanagement
HR
Electronic Data Xchange
BIS / Tangro
Produktinformationssystem
Heiler PM
Archivierung
IXOS
Rückmeldesysteme
Solquest/Siemens/Trumatic/Salvagnini
BDE / MDE
Informationssysteme
ES / EP
ERP
| 1.7.20097 | IdM Infotag Walldorf 2009
| 1.7.2009 | IdM Infotag Walldorf 20098
Idee des zentralen Applikationsportals
Organisation
Vera
ntw
ortu
ng /
Pfle
ge
Tele
fonbuch
BV
W…
…..
Unstrukturierte
Daten
FIL
E
MA
IL
KM
C3
UK
DE
FRUK
DE
FR
Strukturierte Daten
ERP CRM APO BW…
DE FR CAN …
Suche
BLANCO - InformationsWELT
1 (!) PORTAL (mit SSO)
| 1.7.2009 | IdM Infotag Walldorf 20099
IST: dezentrale User-Datenpflege pro System durch jew. ADMINS
Organisation
Ve
ran
two
rtung
/
Pfle
ge
Te
lefo
nb
uch
BV
W…
…..
Unstrukturierte
Daten
FIL
E
MA
IL
KM
C3
UK
DE
FRUK
DE
FR
Strukturierte Daten
ERP CRM APO BW…
DE FR CAN …
• schlechte Datenqualität da nur menschlisch abgestimmt (Meldung immer nur wenn was nicht mehr geht)
• hoher Administrationsaufwand
• Compliance-Anforderungen nicht vernünftig erfüllbar
• Berechtigungen sind personen- nicht rollen- oder prozessbezogen
Suche
| 1.7.2009 | IdM Infotag Walldorf 200910
SAP NW IDM als stabiles Fundament der Userdaten und Berechtigungen
Organisation
Ve
ran
two
rtung
/
Pfle
ge
Te
lefo
nb
uch
BV
W…
…..
Unstrukturierte
Daten
FIL
E
MA
IL
KM
C3
UK
DE
FRUK
DE
FR
Strukturierte Daten
ERP CRM APO BW…
DE FR CAN …
• Stammdaten werden dort erfasst wo sie entstehen und durchgängig verwendet (also richtig)
• IT ist für Systeme und nicht mehr für Inhalte verantwortlich
• neuer Ansatz => Einführung rollenbasiertes Berechtigungswesen wesentlich leichter
• Return nicht mehr nur für IT, sondern für jeden User (IDM nicht mehr reines IT-Projekt)
• Basis für alle Workflows
Suche
| 1.7.2009 | IdM Infotag Walldorf 200911
=> Personendaten
=> Räume
=> Externe
Identitäten bei BLANCO
| 1.7.2009 | IdM Infotag Walldorf 200912
Absprung auf User Datenbild
Weiterverwendung von korrekten Daten
‚die bisherige Insel Personalabteilung wird ans Festland angebunden‘
| 1.7.2009 | IdM Infotag Walldorf 200913
Agenda – Teil 2
Umsetzung mit SAP NetWeaver Identity Management 7.0
Ziele der ersten Projektphase
Aktuelle Architektur – Schaffen einer konsistenten Datenbasis
Übernahme von Mitarbeitern (SAP HCM) und Geschäftspartnern (SAP ERP)
Übername von Organisationsdaten
Prinzipien der Datensynchronisation
Prozesssteuerung mit Hilfe von Daten aus dem Org Management
Verwaltung von Berechtigungen basierend auf den OM Daten
Schrittweise Migration der bestehenden Benutzerdaten
| 1.7.2009 | IdM Infotag Walldorf 200914
Ziele in der ersten Projektphase
Schaffen einer konsistenten und zentralen Datenbasis für Identitätsdaten
Errichtung der technische Grundlage für eine automatisierte Berechtigungsverwaltung
Migration der bestehenden Benutzer auf eine neue einheitliche Benutzer ID
Prozess / Workflow für die Genehmigung von Basisberechtigungen (bspw. Internet,
VPN, PC-Fax, etc.) durch den jeweiligen Vorgesetzten
Zentrale Vergabe von Berechtigungen auf den angebundenen Systemen
Verbesserung der Datenqualität in den angebundenen Systemen
Anbindung der folgenden Systeme / Systemtypen:
Microsoft Active Directory
SAP Web AS ABAP (ERP, APO, CRM, GTS, BW, etc.)
SAP Web AS Java (Portal)SAP
ERP
Planung/Optimizer
APO
Buchhaltung
Controlling
FI / CO
Vertrieb
SD
Qualitätssicherung
QM
$
$ $
Einkauf
Kisscat
Kontakte/Aktionen
CRM
Logistik
MM / WM
Aussenhandel
GTS
Fertigung
PP
Internet/HTML
Webshop
Service / Instandhaltung
CS / PM
Berichtswesen
BW
Personalmanagement
HR
Electronic Data Xchange
BIS / Tangro
Produktinformationssystem
Heiler PM
Archivierung
IXOS
Rückmeldesysteme
Solquest/Siemens/Trumatic/Salvagnini
BDE / MDE
Informationssysteme
ES / EP
| 1.7.2009 | IdM Infotag Walldorf 200915
SAP Web AS Java
SAP HCMSAP ERP
MS Active Directory
MS ADMS Exchange
Telefonbuch-DB
SAP Portal
JDBC / LDAP
SAP IdM
Nachname, Geburtsname, Zweiter Name,
Vorname, Vollständiger Name, Rufname,
Anrede, Geschlechtsschlüssel, Titel, Titel2,
Vorsatzwort2, Zusatzwort, Organisationsdaten
SAP Systemname, SAP 2
Kzl., Interne PLZ, Telefax,
PC-Fax, Standard
Telefonnr. Weitere
Telefonnr / Tel. Privat,
Mobil, Mobil Privat,
Strasse und Hausnr., Ort,
Ortsteil, Länderschlüssel,
Stockwerk im Gebäude,
Gebäude
Personalabteilung
Telefonservice
IT-Abteilung + Fachbereiche
Fax-Server
SAP Web AS ABAPGTS
CRM
BW
APO
ERP
2
1a
1b
HRMD_A07
IDOC
8
7
3
4
5
Andere Drittsysteme
9
6
BUPA
PI
Aktuelle Architektur – Konsistente Datenbasis
SAP
ERP
Planung/Optimizer
APO
Buchhaltung
Controlling
FI / CO
Vertrieb
SD
Qualitätssicherung
QM
$
$ $
Einkauf
Kisscat
Kontakte/Aktionen
CRM
Logistik
MM / WM
Aussenhandel
GTS
Fertigung
PP
Internet/HTML
Webshop
Service / Instandhaltung
CS / PM
Berichtswesen
BW
Personalmanagement
HR
Electronic Data Xchange
BIS / Tangro
Produktinformationssystem
Heiler PM
Archivierung
IXOS
Rückmeldesysteme
Solquest/Siemens/Trumatic/Salvagnini
BDE / MDE
Informationssysteme
ES / EP
| 1.7.2009 | IdM Infotag Walldorf 200916
Übernahme von Mitarbeitern aus SAP HCM
Der Ministamm aus dem SAP HCM wird über ALE/IDOC inkl. OM in das zentrale SAP ERP System übernommen.
Im ERP System werden mit Hilfe der Verknüpfung über die Central Person aus den Mitarbeiterdatensätzen Geschäftspartner erzeugt.
Externe Mitarbeiter und Geschäftspartner können ebenfalls als Geschäftspartner im ERP angelegt werden.
Alle Geschäftspartner können über entsprechende Verknüpfungen den verfügbaren Planstellen im Organisationsmanagement zugeordnet werden.
Sowohl die Kopplung zwischen SAP HCM und SAP ERP als auch die Schnittstelle zwischen SAP ERP und SAP IDM beruhen auf der Nutzung von Standardschnittstellen und Extraktionsroutinen in den jeweiligen Systemen.
| 1.7.2009 | IdM Infotag Walldorf 200917
Übernahme der Geschäftspartner und OM Daten aus SAP ERP
Übernahme der Geschäftspartner
Standardschnittstelle ABABusinessPartner (Bestandteil SAP_APPL)
Übernahme wichtiger Prüftabellen mit Hilfe des Generischen Extraktors für MDM (MDMGX)
Nutzung von ESR Content / SAP PI Schnittstellencontent
Übernahme der OM Daten
Organisationseinheiten und Planstellen
Personalbereich / Personalteilbereich
Übernahme von Verknüpfungen
Hierarchie der Organisationseinheiten
Planstellen Organisationseinheiten
Leitungsfunktion einer Planstelle für eine Organisationseinheiten
Zuordnung Mitarbeiter / Geschäftspartner Planstelle
| 1.7.2009 | IdM Infotag Walldorf 200918
Prinzipien der Datensynchronisation in SAP NW IdM
SAP HR / SAP ERPDatenhoheit
SAP Netweaver
Identity Management
Telefonbuch
Zielsysteme, bspw. MS Active Directory
Berechtigungen / Rollen
Vollständiger Name
Vorname
Nachname
Telefonnummer
Mobilnummer
Faxnummer
Berechtigungen / Rollen
Displayname
Attribute 1
Attribute 2
Telefonnummer
Mobilnummer
Faxnummer
Berechtigungen / Rollen
Vollständiger Name
Vorname
Nachname
Telefnonnummer
Mobilnummer
Faxnummer
GP Nummer: Unique ID GP Nummer: Unique ID
GP Nummer: Unique ID
| 1.7.2009 | IdM Infotag Walldorf 200919
Übernahme der Geschäftpartner aus SAP ERP (1)
Die Übernahme der Geschäftspartner
aus dem ERP wird über in
regelmäßigen Intervallen über einen
Standardreport gestartet.
Bei diesem Extrakt werden zunächst
lediglich die Geschäftpartnerdaten,
nicht aber die OM Daten an SAP NW
IdM weitergegeben.
Die Übergabe erfolgt über eine in der
SAP_APPL Komponente definierte
Standardschnittstelle durch Nutzung
des SAP PI ABAP Proxy Frameworks
und den von der SAP ausgelieferten
Standard ESR Content.
| 1.7.2009 | IdM Infotag Walldorf 200920
Übernahme der Geschäftpartner aus SAP ERP (2)
Durch die Replikation des Ministamms aus HR werden Geschäftspartner generiert.
Dieses werden bei der Übernahme automatisch den Organisationseinheiten im OM zugewiesen.
Somit ist im OM die Information vorhanden, welcher Geschäftspartner welcher Planstelle und somit welcher Organisationseinheit zugewiesen ist.
Außerdem wird durch die Relation Planstelle Orgeinheit auch die Information zu Leitungsfunktion im entsprechenden Verknüpfungstyp abgelegt.
Planstelle
Org Unit
MA
aus
HCM
GP
| 1.7.2009 | IdM Infotag Walldorf 200921
Übernahme der Geschäftpartner aus SAP ERP (4)
Extraktion der Geschäftspartnerdaten
über Standardreport:
ABA_BUSINESS_PARTNER_SEND
1
2
3
| 1.7.2009 | IdM Infotag Walldorf 200922
Übernahme der replizierten OM Daten aus SAP ERP
Aktivierung von Änderungszeigern zur regelmäßigen Übertragung von geänderten Infotypen.
Nutzung des Reports RHALEINI
Extraktion verschiedener Objekttypen Organisationseinheit
Planstelle
Personalbereich
Personalteilbereich
etc.
Übertragung von Attributen mit steuerndem Charakter
Bei BLANCO werden momentan die folgenden Daten aus dem OM übernommen:
OrgEinheit
Planstelle
Leitungsfunktion
Kostenstelle
| 1.7.2009 | IdM Infotag Walldorf 200923
Übernahme von OM Informationen und GP => Ergebnis
| 1.7.2009 | IdM Infotag Walldorf 200924
Modellierung der Daten im Identity Store
Datenmodell des Identity Stores ist erweiterbar
Objektklassen => ENTRY_TYPES
Attribute (Relevant für bestimmte ENTRY_TYPES)
Relationen können zwischen den ENTRY_TYPES aufgebaut und gepflegt werden. Dabei sind
sowohl 1:n als auch m:n Beziehungen möglich.
Die Datenhoheit von Attributen kann anhand so genannter Owner Repositories festgelegt
werden.
Erweitertes Datenmodell kann mit Hilfe von Standardfunktionalität in das Workflow
Portal mit aufgenommen werden.
| 1.7.2009 | IdM Infotag Walldorf 200925
Modellierung der Daten im Identity Store – Beispiel
Beispiel:
Verknüpfung von
Orgeinheit und
MS AD DN
| 1.7.2009 | IdM Infotag Walldorf 200926
Prozesssteuerung mit Hilfe von Daten aus dem
Organisationsmanagement
Genehmigung von Basisberechtigungen bei Eintritt und Organisationswechsel durch
den jeweiligen Vorgesetzten
Automatisierte Zuweisung von Grundberechtigungen durch Zugehörigkeit zu einer
bestimmten Organisationseinheit (Vererbbar durch gepflegte Hierarchie)
Einordnung des Mitarbeiters in die im Workflow UI festgelegte OU basierend auf der
Organisationseinheit
Zuweisung von Standortadressen auf Basis des Personalteilbereichs
…
| 1.7.2009 | IdM Infotag Walldorf 200927
Beispiel Prozesssteuerung: Genehmigung von Basisberechtigungen
Basisberechtigungen
Setzen durch
Genehmigungsschritt
bei Neuanlage oder
Orgwechsel
| 1.7.2009 | IdM Infotag Walldorf 200928
Beispiel Prozesssteuerung: Automatische Zuweisung von FachrollenVerwaltung von Berechtigungen basierend auf den OM Daten
Neben der Steuerung von Workflows mit Hilfe der OM Daten werden diese auch
genutzt, um teilweise automatisiert Fachrollen zuzuweisen.
Bspw. könnte eine Fachrolle für Führungskräfte zugewiesen werden aufgrund er
Tatsache, dass der Mitarbeiter eine Planstelle besetzt, die ihn als Leiter einer
Organisationseinheit ausweist.
Die automatische Zuweisung erfolgt im SAP NW IdM dabei über so genannte
Dynamische Gruppen. Diese Dynamischen Gruppen erlauben die Definition von
Regeln, wann eine mit der Dynamischen Gruppe verknüpfte Fachrolle einer Person
zugewiesen wird.
| 1.7.2009 | IdM Infotag Walldorf 200929
Schrittweise Migration der bestehenden Benutzerdaten (1)
Ziel der Migration
Vereinheitlichung der Benutzer ID in
unterschiedlichen Systemen
Schritte bei der Benutzermigration
Festlegung, ob die Benutzer für den
entsprechenden Mitarbeiter / Geschäftspartner
bereits existiert hat und somit migriert werden
muss.
Pflege von Attributen, die den Namen des
bisherigen Accounts pro Zielsystem zulassen.
Flag, das den Migrationsstatus pro Repository
repräsentiert
Flag, das den Start der Migration steuert
| 1.7.2009 | IdM Infotag Walldorf 200930
Schrittweise Migration der bestehenden Benutzerdaten (2)
Schritte bei der Benutzermigration - Fortsetzung
Durchführung der Migration für ein bestimmtes
Zielsystem, falls
Bisheriger Benutzername gepflegt
Flag für den Migrationsstatus = NICHT MIGRIERT
Flag für den Start der Migration = TRUE
Im MS Active Directory:
Umbenennung des sAMAccountName
Verschiebung in von der Organisationseinheit
abgeleitete OU
Übernahme der bisher zugewiesenen AD Gruppen
Im SAP Web AS ABAP
Umbenennung des Accounts
Übernahme der bisher zugwiesenen Einzel- und
Sammelrollen
Ihre Fragen?
Herzlichen Dank für Ihre Aufmerksamkeit
Werner Gassner ([email protected]), BLANCO IT Services
und
Loren Heilig ( [email protected] ), IBSolution GmbH
| 1.7.200931 | IdM Infotag Walldorf 2009