Identity Managemnt in the Automotive Industry. Prof. Dr. Hans-Ottmar Beckmann Volkswagen AG

Transkript

1 Identity Managemnt in the Automotive Industry Prof. Dr. Hans-Ottmar Beckmann Volkswagen AG Munich, June

2 Leadership in Innovation 2

3 Volkswagen Group Largest automotive manufacturer in Europa Brands: Audi, Bentley, Bugatti, Lamborghini, Seat, Škoda Auto, Volkswagen, VW Commercial vehicles Approx. 20% market share in Western Europe Approx. 10% market share worldwide Over 44 plants worldwide Figures 2005 production and sales: over 5 m units total revenue: 105 bn Euro over employees 3

4 Key Business Drivers Business Expansion Wie schnell können Services mit geringen Kosten erweitert werden? Etablieren neuer IT-Services dauert ca. 6-9 Monate, hinzu kommt der laufende Support IT Governance and Compliance Wie effektiv werden die Revisionsprozesse unterstützt? Bis zu 40% der User haben nicht genehmigten Zugriff auf Geschäftsdaten 4

5 Uneffektive Kenprozesse Bis zu 40% der User Rechte sind falsch Die IT Abteilungen brauchen Wochen die User Rechte manuell zu prüfen Bis zu 80% der Helpdesk Calls sind Passwort Resets Jeder Call verursacht ca. 16 an Kosten Bis zu 30% der Kosten für werden für Berechtigugsmodule ausgegeben Neue Services können nicht effektiv und zeitnah deployed werden Security Audits mussen manuell über alle Systeme durchgeführt werden Die IT verbringt viel Zeit mit der manuellen Überprüfung der Konfigurationen 5

6 Was ist..? ein service? wiederkehrende Aufgabe z.b., prüfen der Kreditlinie; anlegen eines Accounts service orientation? Weg der Integration des Business als verbundene Services service oriented architecture (SOA)? eine composite application? modulare Methode IT Systeme aufzubauen um Service-Orientierung zu unterstützen Set von in Beziehung stehenden & integrierten Services, die einen Geschäftsprozess unterstützen 6

7 Service Oriented Architecture Unterschiedliche Bedeutungen Roles Ressourcen, die ein Unternehmen seinen Partnern oder Kunden als Services zur Verfügung stellt Business Eine Software Architektur, die einen Service Provider, Requestor und eine Service Beschreibung benötigt. Kriterien sind lose Kopplung, Wiederverwend-barkeit sowie einfache und verbundene Implementierung. Architecture Programmier Methode mit Standards, Tools, Methoden und Technologien wie z.b. Web Services Vereinbarungen und Verträge zwischen Service Requestors und Service Provider, die die Qualität, die spezifizieren, messbare IT Ziele festlegen und den Geschätszweck definieren. 7 Implementation Operations

8 Users at Volkswagen Group Employees Business-to-business (B2B) Suppliers, dealers, importers, subsidiaries, etc. Business-to-consumer (B2C) Actual car user, other customers, etc. Engineer-to-engineer (e2e) Suppliers (e.g. R&D), subsidiaries, etc.... Some users have to meet two or more criteria at once for instance the role of a consumer and a supplier! 8

9 Service Oriented Architecture : Abhängigkeit vom Geschäftsprozess Service Oriented Business Process Bestellung von Original Ersatzteil Prüfen der Berechtigungen Kreditrahmen Prüfen Logistik Bestellung ausführen eparts / ET2000 UMS-INFO Lagerhaltung Packen Etc. Transport- Partner FI- Modul Services implement a specific business function functions correlate to business FSAG processes application usually server course-grained, task level functionality Service Oriented IT Infrastructure database server Spedition 9

10 SOA braucht Identity Management Service Oriented Business Process Bestellung von Original Ersatzteil Prüfen der Berechtigungen Kreditrahmen Prüfen Logistik Bestellung ausführen eparts / ET2000 Ottmar.Beckmann UMS-INFO OB FI- Modul FOX0BEC OBeck99 Lagerhaltung Packen Etc. Transport- Partner OB@TRANSNET Spedition application server FSAG Service Oriented IT Infrastructure database server braucht (Federated) Identity Mangement 10

11 AIM als Service Orientierte Architektur Policy Administration Point PAP IAS Identity Administration Service Administration Policy Store PS IUS Identity & User Store Policy Decission Point PDP ADP Authentication Decission Point Authorisation Authentication Policy Enforcement Point OASIS XACML / RFC 3198 PEP Audit LOG AEP Authentication Enforcement Point Audit 11

12 Access und Identity Management Heute PAP IAP PS IS PDP ADP PEP AEP Audit LOG Authentisierung, Policy Deccision und Policy Enforcement durch Proxyarchitektur vor der Anwendung, z.b. TAM oder in der Anwendung 12

13 AIM in einer SOA PAP IAP PS IS Anwendung PDP ADP PEP Die Anwendung enthält das Policy Enforcement, schreibt LOG Daten in den gemeinsamen LOG Datenspeichen und beeinflusst den PAP. Audit LOG AEP 13

14 1 AIM Services bei VW VW Audi Bentley HR Administration Service... 2 Identity Consolidation und Information Service 3 User Administration und Provisioning Service 4 Authentication Service 5 Authorization Service VW Audi Bentley... 14

15 Overview Access and Identity Management SAP HR Importers /... FremIT Dealers LDB/ KDB Information flow VCD Siemens DirX User Management System BMC PKI SAP AD TAM RACF Unix Linux S1 S2 S3 S4 S5 S6 LDAP... Siemens LDAP Sn 15

16 AIM Ziele Schaffung eines zentralen Konzernsystems zur Verwaltung von internen und externen Identitäten. Konsolidierung der konzern-internen Identitäten durch direkten HR Feed (ca Personen aus ). Prozesse zur Zuordnung von Identitäten zu Rollen und Rechtestrukturen. Anbindung der Systeme für Zugangs- und Zugriffskontrollen Schaffung der Grundlagen für Single- Sign-On Bereitstellung von Berechtigungen durch Rollen und Rechte als Basis für Portale und Authorisierungssysteme. Ablösung der Kernfunktionalität einer Eigenentwicklung (RACER) durch das Teilprojekt UMS im Rahmen von AIM. Aufbau von Trustrelationships entlang der Wertschöpfungskette (FIM). 16

17 Aktueller Stand Identitäten ( ) Administratoren Einzelberechtigungen Geschäftsregeln Business Rules (35) mit Regeln werden Profile befüllt Rollen UMS-Profile RACER-Ressource (32.000) Profile können in n-gruppen abgebildet werden Gruppen ( ) Accounts ( ) 95 % aus SAP-Systemen Systemen 17

18 Herausforderung Content Berechtigungen im Portal Wie kann ein Redakteur seinen Content im CMS editieren und dabei sicherstellen, dass die Änderung von ACEs im CMS entsprechende Änderungen im DMS und im WPS nach sich zieht, damit der Anwender den Content aufrufen kann? Die Lösung soll auch für Personen mit geringen IT-Kenntnissen leicht verständlich seien. 18 WPS ACEs LDAP Dir Generic Portlet CMS ACEs User DB User DB DMS ACEs ACEs cqportlet Statischer Kontent Documents

19 Zusammenspiel der verschiedenen Rollen im Gesamtkontext Portalstruktur A B Benutzer Mandant A Deployment Mandant B Administrator Genehmigung Approver Verantwortlicher Fachbereich A Änderungen Verantwortlicher Fachbereich B 19

20 System Kontext der IT-Landschaft WebCenter-II Shared Services mynet mobil WebSphere Portal Server K-UMS BMC Master-Replikation LDAP V5.0.2 WebSphere Application Server V5.0.2 Sun ONE Directory Server V5.1 CMS Day CQ LAN RRV/ PCM BMC IBM LDAP (Spiider) Sun ONE Directory Server V5.1 WebCenter-II Intranet-Zone mynet WebSphere Portal Server X.500 (Zebra) Schedule-Prozesse DMS SSO Tivoli Access Manager V5.1 V5.1 WebSphere Business Integration Server Foundation V5.1.1 CMS 20

21 Kontext PCM (PAP) Attribute Redakteur CMS / DMS berechtigt über Objektstruktur internes Mapping von Attributen auf Objektstruktur Administrator PCM liefert Mapping von Attributen auf Objektstruktur 21

22 UM-Rights (PAP) Struktur Fahrzeugstruktu r OE-Struktur Regeln Adaption Stücklistensyste m ESS Client Web Client Komplexe Rechte UM Rights UMS Regelbasierte Synchronisation UMS Online-Schnitstelle Person ACE Zuordnungen Account Rolle Ressource Gruppe Auth. Service TAM RDBMS 22

23 Internes API für User-, Rollen- u. Rechte- Daten (PAP) UM-Data-Interface UM-API RDBMS Resource Manager RDBMS User Manager UM-Daten-Filter UM-Daten-Interface RDBMS API Security Context = WS ConnectionPool Resource Manager User Manager Auth. Service LDAP DB Host umsapi.properties Port ProzessUser Account LDAP-Account 23

24 Authorisation Service (PDP) Drei Rechtekonzepte werden umgesetzt: Nur Authentifizierung (Zugangskontrolle) im B2B-UMS, Rechte- und Rollenverwaltung liegt bei der Applikation oder Rechte- und Rollenverwaltung im UMS, Applikation fragt über Schnittstellen (UMS-Info-Bean, UMS-WebService) diese Attribute ab oder Rechteticket-Verwaltung mit einschränkenden Attributen im B2B-UMS (erweitertes Rechtesystem mit Boundaries), Applikation fragt über Schnittstellen diese Attribute ab. 24

25 Abstraktes Berechtigungsmodell (PEP) schlankes virtuelles Berechtigungsmodell für Administration 1 2 Entkopplung von Akteuren und Berechtigungsvergabe durch Rolle Entkopplung von Berechtigungen und Zielmengen durch Attributierung der Zielobjekte Metamodell Berechtigungsmodell Administration innerhalb der Anwendung Abstraktion Befugnisse Abstraktion Rolle 1 Zielmenge 2 UMS Person Vertrag Profil Rolle Mapping von Rolle auf Person Zielmenge anwendungsnah Befug1 Befug2... Mapping der Objekte auf Befugnisse (Attribute) 25

26 Beispiel für abstraktes Berechtigungsmodell System STAR Abstraktion Abstraktion Rolle Zielmenge 1 Einkäufer Felgen 2 UMS anwendungsnah alt neu Attribut Felge GKN MWR alt Felge Sharan neu (zusätzlich) Felge Sharan-Nachfolger Einkäufer MWR übernimmt Aufgaben von GKN. Berechtigungsmodell in STAR und UMS bleibt gleich. Rechteticket wird von GKN an MWR umgehängt (UMS). Neues Fahrzeugprodukt hat neue Felgen (werden hinzugefügt). Berechtigungsmodell in UMS bleibt gleich. Mapping Attribut Felge wird um Felge Sharan-Nachfolger erweitert. 26

27 Fortsetzung des Beispiels E2E (DMS): Abstraktion (Zielmenge) ist nicht vorhanden. 2 Rolle Einkäufer System STAR Zielmenge Felgen Felge Sharan Auswirkung: Berechtigungsmodell in UMS ändert sich Pflege aller Zielobjekte in UMS (Mengenproblem / mangelnde Übersichtlichkeit) Gefahr der Explosion der Berechtigungsdaten System STAR Großtechnisch nicht betreibbar Rolle Einkäufer Zielmenge Felgen Felge Sharan Felge Sharan-Nachfolger Konsequenz: Abstraktion 2 (Zielmenge) schnellstmöglich einführen. 27

28 Abstraktion (Zielmengen) Attribuierung von losen Zielobjekten: 2 Mapping von Attributen auf Objekte findet in den Zielsystemen statt. z. B. in der Beschaffung: (Marke), Commodity, Werkstoffgruppe... d. h. mit 5-10 Attribute sind alle Objekte beschrieben Attribuierung von Zielobjektbäumen (CMS / DMS): PCM Portal Configuration Mangament (Mapping Attribute auf Objektknoten) verwaltet Objektbäume pflegt die Attribute an Knoten stellt den Zielsystemen Daten zur Verfügung Konfigurations- Administrator PCM A 1 = 7 A 1 = 3 A 2 = 4 Mapping Mapping CMS DMS 28

29 Zusammenspiel am Beispiel DMS1 AIM PP-RIGHTS 3 1 2a Schnittstelle PP-RIGHTS UMS Schnittstelle UMS Autorisierungsmodul UMS 4 5a 2a Autorisierungsmodul Rechtetickets ACE 6 (E2E) 7 implizites Anlegen von Zielobjektknoten UMS-API DMS feingranulare Rechte User / Rollen (Gruppen) 5 PCM 5 6 Mapping Berechtigungsattribute auf Zielobjektknoten Berechtigungsmodul 4 7 Interne Benutzerverwaltung a Import Berechtigungen UMS DMS Import feingranulare Rechte Autorisierungsmodul DMS Temporärer Import Zielobjektknoten Autorisierungsmodul DMS Einbindung UMS-API in DMS Schnittstelle PP-RIGHTS Autorisierungsmodul Umstellung Berechtigung von Zielobjektknoten auf Berechtigungsattributen Aufbau PCM Schnittstelle PCM DMS 1 Dokumenten Management System 2 Access & Identity Management 3 Berechtigungssystem der FE 4 User Management System 29 5 Portal Configuration Management 6 Access Control Entry 7 Engineering to Engineering

30 Das Problem multipler Identitäten Ein typischer Anwender hat ein Set getrennter Identitäten Bei Jeder sind redundante Informationen gespeichert - Informationen zur Person und zur Authentisierung Identity 1 Firma A Identity 2 Firma B Identity 3 Firma C User Identity 4 Firma D Das Ergebnis ist frustrierend für den Anwender und teuer für die Firmen 30

31 FIM High Level Modell Zulieferer Volkswagen TRUST Layer Verträge / PKI Identity Administration Layer Identity Consolidation Layer User Administration Layer Identity Administration Layer Identity Consolidation Layer User Administration Layer Authentication Layer FIM Gateway FIM Gateway Authorisation und Access Layer Service Provider Anwendung (z.b. ) 31

32 FIM Value Propositions Zentraler Zugangspunkt für Absicherung und Risiko Vermeidung Zentraler Zugriff auf die Sicherheits Infrastruktur und Prozesse Unterstützt Policies und Prozesse, vulnerability assessments und intrusion detection Gemeinsame Autentisierungs und Autorisierungs Infrastruktur Access management für Web Anwendungen Verwaltet Authentication und Autorisation Rechte für legacy Anwendungen Kann starke Authentisierung für Anwendungen ermöglichen FIM erhöht die Wertschöpfung durch Auslagerung der User Lifecycle Prozesse an den Verursacher 32

33 AIM Erreichte Ziele Aim automatisiert die Provisionierung der User Zugriffe IT Kosten sinken, die Einhaltung der Security Policy wird deutlich besser AIM stellt weitgehendes Single Login und Self-Service zur Verfügung IT werden reduziert, die Anwenderzufriedenheit steigt AIM zentralisiert den sicheren Zugriff auf Anwendungen, Daten und Systemeess Business und IT Kosten sinken AIM zentralisiert das Auditing über Systeme und Daten IT kosten sinken, die Auditierbarkeit wird deutlich verbessert 33

34 Wirtschaftlichkeit AIM qualitativ Kosteneinsparungen 1. Systemengeneering Vermiedene Kosten durch Reduzierung von mehrfachen Entwicklungen für das Identity Management in Applikationen (~ 50 T pro neu entwickelten System). Schnittstellenreduzierung durch strategische Positionierung des VCD (z. B. Telefonbücher). 2. Support Nutzen durch Reduzierung des Supports (z.b. User Help Desk, EHD) und Betriebsaufwänden, z.b. KAM s (Key Access Manager), um ~ 15%. Reduzierung der RACER Administratoren (RAM) um ~ 33% von 150 MA auf 100 MA. Einsparpotenziale bei den dezentralen User Administratoren um mind. 25%. Verlagerung der Administration der externen Mitarbeiter an externe Admins. 3. Lizenzen Reduzierung der Lizenzen im SAP Umfeld um ~ 15% durch Deprovisionierung von Usern und Optimierung des Lizenzmanagements. Effizienzsteigerung durch weitere Lizenzoptimierung im Rahmen transparenter Nutzungsprofile aus Analysen des User Managements. 4. Zeiteinsparung Ersparnisse durch die Einführung von Single SignOn 34

35 Danke für Ihre Aufmerksamkeit 35