Role Based Provisioning mit SAP NW IdM
Es dauert häufig bis zu einer Woche, bis ein neuer Mitarbeiter die grundlegenden Berechtigungen zugewiesen hat, um produktiv arbeiten zu können. Dabei sind ohne eine Identity Management Lösung zeitaufwendige manuelle Prozesse notwendig. Dieser Aufwand ist bei jedem Abteilungs- bzw. Firmenwechsel innerhalb des Konzerns nötig. Die Erweiterung von SAP NetWeaver Identity Management mit Funktionalitäten des Role-Based Provisioning automatisiert den großen Teil der Berechtigungszuweisungen durch ein ausgeklügeltes Regelwerk basierend auf dem Benutzerstamm im SAP NetWeaver Identity Management.
Wie funktioniert Role Based Provisioning mit SAP NetWeaver Identity Management?
Zu der Erweiterung von SAP NetWeaver Identity Management um Funktionalitäten des Role Based Provisioning ist die Erstellung eines Rollenmodells innerhalb von SAP NetWeaver Identity Management notwendig. (siehe Projekt Rollenkonzepte) Abhängig vom angestrebten Automatisierungsgrad und von der Komplexität der Organisationsstruktur variiert der Aufwand zur Erstellung eines Rollenmodells.
Beispiel 1: Das folgende Beispiel soll das Grundprinzip vereinfacht darstellen:
Rolle1: Mitarbeiter
Rolle2: Mitarbeiter Intern Rolle3: Mitarbeiter Extern
Den Rollen sind die folgenden technischen Berechtigungen zugeordnet:
Rolle1: Email, Zugangskarte, Internetzugriff, Directory, Projektshare
Rolle2: Urlaubsantrag
Rolle3: Zeiterfassung
Das Rollenmodell in SAP NetWeaver Identity lässt sich hierarchisch aufbauen. Somit erbt die Rolle2 die technischen Berechtigungen der Rolle1. Ein interner Mitarbeiter, dem die Rolle2 zugeordnet ist, hat somit die folgenden Berechtigungen: Email, Zugangskarte, Internetzugriff, Directory, Projektshare, Urlaubsantrag.
Neben der manuellen Beantragung von Rollen über ein Berechtigungsworkflow können mit Role Based Provisioning die Rollen durch die Definition von Regeln automatisch den Benutzern, für die diese Regel zutrifft, zugewiesen werden. Eine Regel für das Beispiel 1 könnte wie folgt aussehen:
Regel Rolle2: Selektiere alle Mitarbeiter, die im Attribut "Mitarbeitertyp" den Wert "I" für interner Mitarbeiter stehen haben.
Role Based Provisioning sucht in frei definierbaren Intervallen nach allen Mitarbeitern, auf die diese Regel zutrifft und weist ihnen automatisch diese Rolle zu.
Beispiel 2: Das folgende Beispiel soll den Mehrwert von Role Based Provisioning verdeutlichen:
Rolle4: Mitarbeiter Deutschland
Rolle5: Mitarbeiter Firma D1 Rolle6: Mitarbeiter Firma D2
Den Rollen sind die folgenden technischen Berechtigungen zugeordnet:
Rolle4: Email DE, Internetzugriff, Projektshare Deutschland
Rolle5: Zugangskarte Gebäude D1, Directory Domain D1
Rolle6: Zugangskarte Gebäude D2, Directory Domain D2
Ein Mitarbeiter der Firma D1, der die Rolle5 zugeordnet hat, hat somit die folgenden Berechtigungen: Email DE, Internetzugriff, Projektshare Deutschland, Zugangskarte Gebäude D1, Directory Domain D1.
Regeln für das Beispiel 2 könnten wie folgt aussehen:
Regel Rolle5: Selektiere alle Mitarbeiter, die im Attribut "Buchungskreis" den Wert "D1" für Mitarbeiter der Firma D1 stehen haben.
Regel Rolle6: Selektiere alle Mitarbeiter, die im Attribut "Buchungskreis" den Wert "D2" für Mitarbeiter der Firma D2 stehen haben.
Role Based Provisioning sucht in frei definierbaren Intervallen nach allen Mitarbeitern, auf die diese Regel zutrifft, und weißt ihnen automatisch diese Rolle zu. Wechselt nun ein Mitarbeiter von Firma D1 zu Firma D2, wird automatisch die Rolle5 entzogen und die Rolle6 hinzugefügt. Somit hat der Mitarbeiter nach dem Firmenwechsel die Rolle6 mit folgenden technischen Berechtigungen: Email DE, Internetzugriff, Projektshare Deutschland, Zugangskarte Gebäude D2, Directory Domain D2.