Rollenbasierte Berechtigungsvergabe

Größe: px

Ab Seite anzeigen:

Download "Rollenbasierte Berechtigungsvergabe"

Karl Hummel
vor 8 Jahren
Abrufe

1 Rollenbasierte Berechtigungsvergabe 9. Mai st European Identity Conference, München Michael Niedermann, Leiter IT-Zugriffsmanagement, Seite 1

2 Agenda 1. Vorstellung 2. Ausgangslage Projekt IM- & Metabenutzer DB 3. Ziele Projekt IM- & Metabenutzer DB 4. Zielarchitektur 5. Stand der Implementierung Beispiel Administrationsautomatisierung Ergebnis Rollenmodellierung für 8. Nächste Schritte 9. Fragen Seite 2

3 Vorstellung 8'800 administrierte Benutzer 2'100 6'700 Raiffeisenbanken 2'350 Kontakte pro Monat 350 Passwort-Rückstellungen pro Monat 100 Abklärungen / Telefon-Rücksprachen 1'900 Anträge Antragsbearbeitung durchläuft mehrere Stellen / Genehmigungsstufen Seite 3

Passwort-Rückstellungen pro Monat 100 Abklärungen /

4 Ausgangslage Projekt IM- & Metabenutzer DB Workflow basiertes Antragswesen für Rollen und Einzelrechte Transparenz für Antragsteller Rollenbasiertes und automatisiertes Provisioning Einfache Verwaltung von Rollen Flexibilität in der Gestaltung der End-Benutzeroberfläche (Customizing) Abbildung der Organisation Transparenz in den Mitarbeiterprozessen (Eintritt, Mutation, Austritt) Zentrale Haltung aller relevanten Mitarbeiter-Informationen Seite 4

Flexibilität in der Gestaltung der End-Benutzeroberfläche (Customizing) Abbildung der Organisation Transparenz

5 Ziele Projekt IM- & Metabenutzer DB Phase 1 Aufbau einer Identity Management Lösung Implementierung von Workflow & Rollen Aufbau eines Directory Phase 2 Phase 3 Ausbreitung zu Anbindung weiterer Zielsysteme Einführung Change- & Konfigurationsmanagement Ausbreitung zu den Raiffeisenbanken Harmonisierung und Standardisierung der Mitarbeiterprozesse Erweiterte, zentrale Haltung von mitarbeiterrelevanten Daten heute in Planung Seite 5

Einführung Change- & Konfigurationsmanagement Ausbreitung zu den Raiffeisenbanken Harmonisierung und

6 Zielarchitektur Berechtigungsverwaltung Self Provisioning Passwort Service Zentrale MA-Verwaltung HR-Systeme MMDB Mitarbeiterstammdaten Ziel-/Quellsysteme MMDB Raummanagement Telefonie- Anlagen MA-Stamm edir Rollenbasierte Berechtigungsergabe System X OPX2 OTMS AD Lotus Domino Telefon- Liste HelpDesk Org Manager System Y Zielsysteme mit zentraler Berechtigungsverwaltung Integration bestehender Systeme Zielsysteme MMDB Integration neuer Systeme Seite 6

Berechtigungsergabe System X OPX2 OTMS AD Lotus Domino Telefon- Liste HelpDesk Org Manager System Y Zielsysteme

7 Stand der Implementierung User Self Service Globales Passwort-Management Beantragung und Löschung von Rollen Beantragung, Modifikation und Löschung von Einzelrechten Beantragung, Modifikation und Löschung von Laufwerkzugriffen Beantragung, Modifikation und Löschung von Software Automatisierung der Administration Identitäten werden direkt aus dem HR- Feed eingelesen und verarbeitet Rollen sind direkt mit Kostenstelle verknüpft und werden automatisch verarbeitet System-Anbindungen Mit Agenten Active Directory Lotus Notes ( ) OTMS Quantax RACF (in Arbeit) SAP (in Arbeit) edirectory OPX2 Internet-Proxy (in Arbeit) Seite 7

Administration Identitäten werden direkt aus dem HR- Feed eingelesen und verarbeitet Rollen sind direkt mit Kostenstelle verknüpft und werden automatisch

8 Beispiel Administrationsautomatisierung HR Berechtigungsverwaltung Rolle Kostenstelle Zielsystem Berechtigung R_DEVISEN AD RCH_PROJEKTE MMDB Erstellung Identity Rolle RCH_ZB_AA_R RCH_ZB_TRUS RCH_ZB_TRUS_Devise n RCH_ZENTRALBANK Agent Agent OTMS Import Tabelle OTMS-DB Active Directory OTMS Unix DB-Server Windows 2003 Server Seite 8

RCH_ZB_AA_R RCH_ZB_TRUS RCH_ZB_TRUS_Devise n RCH_ZENTRALBANK Agent Agent OTMS 72 73 Import

9 Beispiel Administrationsautomatisierung HR MMDB Import Tabelle Berechtigungsverwaltung Erstellung Identity Agent OTMS-DB OTMS Unix DB-Server Rolle Agent Active Directory Windows 2003 Server Kern-Funktionen: Benutzer erstellen Benutzer updaten Benutzer löschen Zuweisung von Gruppen über Rollen Zuweisung von Gruppen als Einzelrecht Entzug von Rechten Passwort-Management Sperren eines Benutzers Entsperren eines Benutzers Seite 9

Benutzer erstellen Benutzer updaten Benutzer löschen Zuweisung von Gruppen über Rollen Zuweisung von

10 Ergebnis Rollenmodellierung für Rolle A Standardrolle Rolle B B 0001 B 0002 B 0003 B 1001 B 1002 System (Active Directory) System (OTMS) Seite 10

11 Ergebnis Rollenmodellierung für Anzahl Benutzer Total: (davon 130 auch OTMS-Benutzer) AD OTMS Anzahl Berechtigungen Anzahl Benutzer <-> Berechtigung Ø 31 Berechtigungen/Benutzer Ø 9 Berechtigungen/Benutzer Anzahl Rollen Total: 163 Standardrollen Funktionsrollen Anzahl Benutzer <-> Rollen Verwaltungseinheiten Anzahl Rollen <-> Berechtigungen Verwaltungseinheiten 2 (keine OTMS Berechtigungen) 161 (12 mit OTMS Berechtigungen) Total: (davon 130 auch für OTMS) Jeder Benutzer hat 1 Standardrolle + 1 KST-Rolle Ø 9 Benutzer / Rolle Ø 10 Berechtigungen / Rolle 110 Ø 9 Berechtigungen / Rolle Anzahl Individualberechtigungen Ø 4.5 Individualberechtigungen / Benutzer 230 Ø 1.7 Individualberechtigungen / Benutzer Seite 11

Berechtigungen Verwaltungseinheiten 2 (keine OTMS Berechtigungen) 161 (12 mit OTMS Berechtigungen) Total: 3 000 (davon 130 auch für OTMS) Jeder Benutzer hat 1 Standardrolle + 1 KST-Rolle Ø 9

12 Ergebnis Rollenmodellierung für 100% AD + OTMS Berechtigungen 25 % Individualberechtigungen Rollen <-> Berechtigungen Benutzer <-> Rollen Seite 12

13 Nächste Schritte Aktivität Termin Ausbreitung zu den Raiffeisenbanken 31. Dezember 2007 Anbindung der definierten Zielsysteme Internet proxy, RACF, SAP 31. Dezember 2007 Ausbau der Business-Rollen für Berechtigungsvergabe 31. Dezember 2007 Anbindung weiterer Ziel- / Quellsysteme mit mitarbeiterrelevanten Daten 2007 / 2008 Seite 13

Dezember 2007 Ausbau der Business-Rollen für Berechtigungsvergabe 31.

14 Fragen Seite 14

Ähnliche Dokumente

Projektbericht. Daniel Löffler E-Mail: daniel.loeffler@fernuni-hagen.de Tel.: +49 2331 987-2868

Projektbericht. Daniel Löffler E-Mail: daniel.loeffler@fernuni-hagen.de Tel.: +49 2331 987-2868 Projektbericht Aufbau & Implementierung eines neuen Identity & Access- Management Systems basierend auf den Forefront Identity Manager 2010 Technischer Teil Daniel Löffler E-Mail: daniel.loeffler@fernuni-hagen.de