Success Story. Single Sign-On (SSO) Projekt. TOYOTA Deutschland GmbH. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g

Transkript

1 Success Story Single Sign-On (SSO) Projekt T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g T o y o t a G T 8 6

2 Komfortabel und konsequent sicher: Toyota setzt auf bi-cube Single Sign-On und Biometrie Die (TDG) hat sich direkt im Anschluss an die erfolgreiche Einführung der bi-cube Identity & Access Management Lösung (IAM) des Rostocker Softwareherstellers ism-institut für System-Management Anfang 2012 für den zusätzlichen Einsatz des bi-cube Single Sign-On (SSO) entschieden. Indem Toyota die bestehende IAM-Lösung erweitert und in einem zweiten Schritt die Zugriffssteuerung effizienter und sicherer und gleichzeitig für Mitarbeiter einfacher und komfortabler gestaltet, folgt das Unternehmen seiner gelebten Tradition des Kaizen - der stetigen Verbesserung und Perfektionierung. Damit sollen die erklärten Grundprinzipien und Unternehmenswerte, die sich der japanische Multikonzern und weltweit drittgrößte Automobilhersteller bei der Herstellung seiner Produkte auf die Fahne schreibt, nämlich Innovation, Technologieführung, Qualität und Sicherheit. auch für diese internen Verwaltungsprozesse gelten. Motto des vereinfachten Anmeldeverfahrens könnte sein: Toyota Optimal LogOn - senkt Kosten, steigert Komfort, Leistung und Sicherheit Die SSO-Lösung, kombiniert mit dem biometrischen Finger- Print-Verfahren, bringt Toyota einen 4 - fachen Nutzen: Größerer Benutzerkomfort für die IT-Nutzer Steigerung der Arbeitseffizienz der Mitarbeiter Entlastung des User Help Desks durch Wegfall von Kennwortrücksetzungen Sicherheitsgewinn durch automatisierte, vereinfachte Anmeldung und sichere Authentifizierung. Seite 2 von 16

3 Summary Frühjahr Der erste wichtige Schritt im SSO-Projekt ist erreicht. Die Mitarbeiter der Toyota Deutschland GmbH (TDG) und der Toyota Informations-Systeme GmbH (TIS) in Köln authentifizieren sich heute nur noch ein einziges Mal per Fingerabdruck über den Fingerprint-Sensor eines biometrischen Devices am Betriebssystem. Sieben wichtige Unternehmensanwendungen wurden bereits erfolgreich integriert, weitere evaluiert oder befinden sich derzeit noch in der Evaluierung und folgen in Kürze nach. Anschließend können die Mitarbeiter alle wichtigen Anwendungen, die sie nutzen dürfen, in einem Desktop aufrufen: das bi-cube SSO meldet sie dort automatisch an. Als Sensorhardware setzt TDG sowohl Zugsensoren an bereits vorhandenen Notebooks, als auch neue FingerTIP ID-Mäuse M-4200 von Cherry ein, wobei die Fingerprint-Technologie BioIDENTICA von Bromba Biometrics den Mischbetrieb der verschiedenen Sensorgeräte ermöglicht. Damit hat sich TDG für eine äußerst sichere Variante der Identitätsfeststellung und Zugriffssicherung entschieden: ein SSO in Kombination mit Biometrie. Wobei die biometrische Erkennung nur eine von mehreren Möglichkeiten einer starken Authentifizierung ist, die der bi-cube LogOn Manager für dieses Prozedere bereitstellt. Eine solche wäre z.b. auch durch die Smartcard, das Security Token und SMS Token gegeben. Daneben gibt es natürlich weiterhin die herkömmliche Methode über die User ID, die bei TDG allerdings nur dann zum Tragen kommt, wenn das Bio-Device einmal nicht zur Verfügung steht. Die Kombination verschiedener Authentifizierungsmethoden (gesicherte bzw. duale bzw. 2-Faktor- Authentifikation) oder eine Authentifikation mit dem Vier-Augen-Prinzip ermöglicht es überdies, besonders sensible Anwendungen zusätzlich zu sichern. Und das ist längst nicht alles. Die Lösung bietet viele weitere Funktionen, die Toyota jetzt schon nutzt und solche, deren künftiger Einsatz noch geprüft wird: einen automatisierten Kennwortwechsel und Password Self Service im Web, den schnellen Benutzerwechsel (der beim PC-Sharing in der Toyota Werkstatt schon stattfindet), die Userselbstregistrierung (das Aufnehmen eigener Anwendungen durch den Mitarbeiter selbst), Radius, PKI und die integrierte Dateiverschlüsselung. Die Gefahr, auf Grund einer Vielzahl verschiedener Kennwörter möglichst einfache oder immer die gleichen zu verwenden und diese womöglich auch noch allgemein zugänglich aufzubewahren (gelbe Klebezettel!) ist dadurch gebannt. Auch strengere Kennwortregeln können jetzt durchgesetzt und die Interne Revision und Wirtschaftsprüfung mit umfassenden und aktuellen Daten zum Stand der Berechtigungen versorgt werden. Ein großes Plus für die interne Sicherheit im Unternehmen. Doch nicht nur der Sicherheitsaspekt war Auslöser für das Projekt bei der TDG. In erster Linie sollten die Vorgänge rund um die Authentifizierung und den Kennwortwechsel für die Mitarbeiter gravierend vereinfacht, beschleunigt und damit ihre Arbeitseffizienz und letztlich Zufriedenheit gesteigert werden. Dass durch ein vereinfachtes und automatisiertes Kennwortmanagement gleichzeitig der UHD maßgeblich entlastet wird, ist ein weiterer positiver Seiteneffekt für TDG. Seite 3 von 16

4 Vorteile der integrierten IAM / SSO - Lösung bei Toyota Deutschland Der übergreifende Charakter der Lösung wird durch mehrere Pluspunkte deutlich: Architektur und Technologie der Lösungen sind aus einem Guss, es gibt keine Brüche und Schnittstellenprobleme zwischen unterschiedlichen Plattformen. Das allgemeine Funktionsprinzip ist aus dem vorangegangenen IAM-Projekt bestens bekannt und wird bereits gelebt. Administrative und operative Geschäftsprozesse sowie die Aufbauorganisation und betriebsorganisatorische Tätigkeitsbereiche wurden bereits analysiert und im System abgebildet. Das bi-cube IAM stellt den Business Layer einschließlich Rollenkonzept, Prozessmanagement und Regelwerk bereit. Die Administratoren sind in der Konfiguration und Modellierung geschult - das Zusammenwirken der einzelnen Komponenten ist ihnen bekannt. TDG-Mitarbeiter nutzen bereits Self Services im Web, z.b. zum Stellen von Anträgen. TDG kann künftig auch für alle SSO-Systeme das umfassende Angebot an IAM - Reporting- und Compliance Funktionen nutzen, um Berichte zu erstellen und Analysen vorzunehmen. So könnten z.b. Standardreports wie User Life Cycle, Berechtigungsreports und Prozessreports für Ein- und Austritte SOX-Audits unterstützen und SQL-Reports für den Kennwortwechsel aufzeigen, wer wann für wen ein Kennwort geändert hat. Solche Berichte könnten sogar automatisch in bestimmten Intervallen erstellt und an entsprechende Sicherheitsstellen verschickt werden. Lizenzkosten - Projektkosten Das bi-cube Lizenzmodell sieht für die Nutzung einer integrierten IAM/SSO Lösung äußerst attraktive Konditionen vor. So bezahlen Anwender des IAM-integrierten bi-cube SSO einen Preis, der weit unter den Wettbewerbspreisen anderer Hersteller von reinen SSO-Softwarelösungen liegt. Zudem bietet das ism ein bi-direktionales UPGRADE an, um seinen Kunden den modularen Einstieg in die Gesamtlösung aus beiden Richtungen und somit entsprechend ihren priorisierten Zielen zu ermöglichen. Sie können ihr System also entweder in Richtung SSO oder in Richtung IAM aufrüsten. Die bereits vorhandene Produktfunktionalität und geleistete Vorarbeit im vorangegangenen IAM- Projekt kam der SSO-Einführung sehr zugute: der Aufwand für die einzelnen Projektschritte (Workshop, Pilot, Implementierung) konnte dadurch maßgeblich reduziert werden. Seit Ende 2011 ist bei der TDG bereits die bi-cube Identity & Access Management Lösung (IAM) erfolgreich im Einsatz. Projektpartner des ism in beiden Projekten (IAM und SSO) ist die Toyota Informations-Systeme GmbH (TIS), in deren Verantwortung die IT der TDG liegt. Dass uns mit der bi-cube IAM-Lösung gleich noch ein integriertes Single Sign-On mit Biometrie und Kennwort-management zur Verfügung steht, hat enorme Vorteile für uns, vor allem niedrige Kosten und Projektaufwände, verbunden mit einem hohen synergetischen Nutzen sagt: Herr Georg Molinari, Geschäftsführer der Toyota Informations-Systeme GmbH Seite 4 von 16

5 Beschreibung des SSO-Projekts bei Toyota Deutschland: Das Ganze ist mehr als die Summe seiner Teile Aufsetzend auf die 2010/2011 erfolgreich eingeführte bi-cube Identity & Access Management Lösung beabsichtigt die Toyota Deutschland GmbH (TDG), durch eine Ergänzung des IAM- Softwarepaketes um zusätzliche sinnvolle Funktionen, mit wenig Aufwand weitere positive Synergieeffekte für das Unternehmen und seine Mitarbeiter erzielen. Diese Möglichkeit einer modularen Erweiterung um ein Single Sign-On mit starker Authentifikation zu einem späteren Zeitpunkt war schon ein wesentliches Entscheidungskriterium bei der Vergabe des IAM-Projekts im Jahr Mitte Februar 2012 wurde das ism schließlich mit der Implementierung des bi-cube SSO in die Geschäftsprozesse von Toyota beauftragt. Nach dem SSO-Workshop Mitte Januar 2012 zur Aufnahme der kundenseitigen Anforderungen und Festlegung des weiteren Ablaufs fiel am 6. März der Startschuss für die zweiwöchige Pilotinstallation, die Ende April in einem Fachkonzept mit Lösungsvorschlag und Einführungskonzept zum SSO- Einsatz mündete und deren Ergebnisse direkt in das anschließende Einführungsprojekt einflossen. In diesem galt es, wie schon im früheren IAM-Projekt, einige wichtige Grundsätze zu berücksichtigen: Grundsätze für das Vorgehen im Projekt Etablierte Basis-Prozesse, die das ganze Unternehmen betreffen, sind möglichst zu integrieren und nicht komplett zu ersetzen. Die Umsetzung muss in transparenter Weise erfolgen (der alltägliche IT-Betrieb darf nicht negativ beeinflusst werden). In der Einführungsphase muss es stets möglich sein, kurzfristig auf die vorherige Betriebsart zurücksetzen zu können. Jede Komponente wird vorher in einem möglichst realitätsnahen Systemumfeld eingesetzt (Live Test) und dann in einem Piloten (Teilbereich des Unternehmens) semi-produktiv genutzt. Jede Komponente wird einzeln (in logisch bedingter Reihenfolge) eingesetzt. Das Rollout und die mit dem SSO-Einsatz verbundene Verteilung von Client Software erfolgt schrittweise (z.b. abteilungs- bzw. bereichsweise). Projektablauf Die Produkteinführung führte über mehrere Einzelschritte Mitte Februar 2013 zur Produktivsetzung: Installation und Grundkonfiguration in einer Testumgebung Übernahme, Synchronisation und Pflege der für den Betrieb in Phase 1 erforderlichen Userstamm-, Berechtigungs- und Organisationsdaten Einrichtung der Import-Schnittstellen für die regelmäßige Übernahme der Änderungs-aten Einsatz der Prozessmodelle Eintritt und Austritt Definition der Basisrollen im SSO-Betrieb Anbindung von 7 SSO-Zielsystemen Integration der Biometrie Devices für die Authentifizierung Einrichtung von Kennwortmanagement- und Report-Funktionen Installation des Produktivservers Pilotbetrieb in ausgewählten Einheiten Schrittweise Inbetriebnahme des Systems Projektstatus Frühjahr 2013 Die erste wichtige Projektetappe wurde erreicht. Zum jetzigen Zeitpunkt werden von den ca. 20 wichtigsten Systemen, die von vielen Mitarbeitern verwendet werden, bereits sieben via SSO genutzt. Dazu gehören SAP, Novell, Cisco VPN Client, Lotus Notes 7, Dorma Time (ohne Kennwortwechsel), Oracle e-business und Oracle Hyperion. Weitere Systeme wurden für eine Integration in das SSO bereits evaluiert bzw. sind noch in der Evaluierung. Ihre Anbindung soll in den kommenden Monaten sukzessive erfolgen. Seite 5 von 16

6 Motivation Ziele Business Values Die wesentlichen Gründe für den Einsatz eines SSO waren für Toyota Deutschland zum einen das als nicht hinreichend erachtete Sicherheitsniveau im Kennwortmanagement, zum anderen die Unzufriedenheit der Mitarbeiter mit dem umständlichen Verfahren und Zeitverlust beim Wechsel der Kennwörter. Erreichen wollte die TDG vor allem folgende Ziele: Eine Entlastung des UHD durch ein automatisiertes Kennwortmanagement Eine Vereinfachung des Authentifizierungsvorgangs für die Mitarbeiter Eine Vereinfachung des Kennwortwechsels (SSO erinnert den Mitarbeiter an den Kennwortwechsel, schlägt ein passendes Kennwort vor und führt den Kennwortwechsel selbständig durch) Eine Erhöhung der Sicherheit des Authentifizierungsvorgangs durch: - Einführung einer starken Authentifizierung für alle User (Fingerprint-Anmeldung) - Schließen von Sicherheitslücken (einfache, immer gleiche und notierte Kennwörter) Nachvollziehbarkeit der aktuellen Berechtigungsstände für die Interne Revision und Wirtschaftsprüfung (Report-Möglichkeiten schaffen) Als Business Values einer kombinierten IAM / SSO - Lösung sieht man bei der TDG: - Aus Sicht der Mitarbeiter Eine enorme Erhöhung der Benutzerfreundlichkeit bei den Anmeldevorgängen an Anwendungen Der SSO Client meldet den User an den meisten Zielsystemen automatisch an Es ist keine Aktion des Mitarbeiters notwendig Der Mitarbeiter muss sich keine Kennwörter mehr merken und sich nicht mehr durch unterschiedlichste Anmeldeprozeduren kämpfen Mehr Zufriedenheit durch bessere Usability und höhere Arbeitseffizienz - Aus Sicht der IT- Organisation Massive Entlastung der Administration, des Welcome Centers und des User Help Desks Aufwands- und Kostenreduzierung Nur noch ein Bestand an User-Daten für alle Systeme Keine zusätzlichen Pflegeprozesse für andere Systeme mit User-Daten Durchgängige Nachweisfähigkeit gegenüber Wirtschaftsprüfern und Revision Integration selbständiger Units (Händler) mit der Möglichkeit der dezentraler Administration - Aus Sicht der Prozess-Sicherheit Nachvollziehbarkeit aller Prozesse Keine Dubletten in den Systemen Nur tätigkeits- bzw. aufgabenbezogene Berechtigungen Gutes Rating im Risk & Compliance Management Höhere Zugangssicherheit im Zusammenspiel mit SSO und einer sicheren Authentifizierung Möglichkeit einer späteren Automatisierung bei der zukünftigen Windows User-Account- Verwaltung (Anlage und Löschung von Benutzerrechten, Berechtigungsvergabe etc.) Aufgrund der Automatismen und der einfachen Wartbarkeit immer aktueller Datenbestand der Benutzerdaten (inkl. Telefonnummern etc.) In der Summe massive Einsparungen im laufenden Betrieb und der Wartung der Windows Welt Berechtigungsübersicht des Benutzers auf Knopfdruck Extremer Sicherheitsgewinn durch Automatisierung der Berechtigungsverwaltung und revisionssichere Dokumentation (wann hat wer welche Rechte und wer hat ihm diese erteilt?) Alle SSO-Zielsysteme liegen in einem zentralen Container (SSO Client Desktop) - keine unnötigen zusätzlichen Verknüpfungen auf dem Windows Desktop Ob im jetzigen NDS-Umfeld oder der künftigen ADS-Domäne: der SSO-Client kann den Mitarbeiter sicher authentifizieren und einfach an den Zielsystemen anmelden Seite 6 von 16

7 SSO, Kennwortverwaltung, Authentifizierung, Biometrie & Co. bi-cube SSO - Architektur Integration der SSO Komponente in die bi-cube Architektur Anmeldung via Fingerprint im bi-cube Logon Manager Seite 7 von 16

8 Generelle bi-cube SSO - Eigenschaften Installation und Ablauf Für die lokale Installation wird der SSO Client und Logon Manager auf dem Standard Arbeitsplatz (XP Client) installiert. Der bi-cube Server liefert in einem verschlüsselten Nutzerprofil die vom SSO-Client für den angemeldeten User anfragten SSO-Anmeldedaten aus der Datenbank an die Arbeitsstation. Nach erfolgreicher Anmeldung am Rechner startet der SSO Client automatisch und stellt die SSO Anwendungen für den Mitarbeiter bereit. Offline-Betrieb Der SSO-Client hält seine benötigten Daten offline in einem lokalen Profil vor, so dass das Anmelden an Windows und das Starten von Applikationen jederzeit möglich ist - auch bei Ausfall des Servers bzw. wenn keine Verbindung zum Server möglich ist. Beim Ändern von Kennwörtern ist sichergestellt, dass diese bei nicht verfügbarem SSO-Server vom Client gespeichert und beim nächstmöglichen Serverzugriff in die Datenbank übertragen werden. Mehrsprachigkeit Der Mitarbeiter kann sich bei Erstaufruf des Clients für eine Sprache entscheiden (deutsch, englisch) und diese Einstellung im Nachhinein auch jederzeit ändern. Diese Festlegung wird im Profil in einem Attribut am SSO Objekt und zentral in der Datenbank gespeichert und ist so an jedem Arbeitsplatz für den User (im lokalen Profil) wirksam. Mehrfach-Accounts Besitzt ein Mitarbeiter in einem Zielsystem mehrere Accounts (z.b. einen Test-Account und einen Administrator-Account) und wird das Zielsystem nicht aus dem SSO Client heraus gestartet (in dem jeder Account sein eigenes Icon hat), so erscheint ein Auswahlfenster zur Auswahl des gewünschten Accounts. Mehrere System-Instanzen Es ist möglich, den SSO Client komfortabel für mehrere Instanzen eines Systems einzusetzen, so dass der User durch den SSO Client zur richtigen Anmeldung in einem Test-, Integrations- oder auch Produktivsystem geführt wird. Verschiedene System-Instanzen können als separate SSO Zielsysteme in verschiedenen Registern eingeordnet werden. In jeder einzelnen Instanz können wiederum Mehrfach-Accounts des Users verwaltet werden. Corporate Design Sämtliche für den Mitarbeiter zugänglichen Komponenten wie Logon-Manager (Startbildschirm und GINA bzw. Credential Provider ) oder Web Portal können, sofern dies erwünscht ist, an das Corporate Design des Anwender-Unternehmens angeglichen werden. Sicherheit von SSO-Kennwörtern Im Standard ist sichergestellt, dass auf dem SSO-Server und -Client gespeicherte Kennwörter, die zur Anmeldung an die verschiedenen Applikationen verwendet werden: auf dem SSO-Server nur verschlüsselt gespeichert werden vom SSO-Server zum SSO-Client nur verschlüsselt übertragen werden auf dem SSO-Client nur verschlüsselt gespeichert werden nur für die Übergabe an eine Applikation entschlüsselt und in dieser unverschlüsselten Form nur im Arbeitsspeicher gehalten werden SSO User Self Services Eine Vielzahl von intelligenten Funktionen gewährleistet einen sicheren und flexiblen Einsatz der SSO Komponente. Insbesondere die Self Services im SSO Umfeld bieten dem Mitarbeiter einen erhöhten Komfort in der Arbeit mit seinen IT Ressourcen. Dazu gehören u.a.: Seite 8 von 16

9 a) Schneller Benutzerwechsel am SSO Client Diese Funktion gestattet es, an Arbeitsplätzen die mit einem System-Account arbeiten, das SSO Profil des Mitarbeiters zu wechseln ohne eine erneute Windows Anmeldung durchführen zu müssen. Diese Funktion nutzt die Toyota Werkstatt ein, in der sich mehrere Mitarbeiter einen PC teilen. b) Definition eigener SSO-Zielanwendungen im lokalen Profil Diese Funktion erlaubt es den Mitarbeitern des Unternehmens, den SSO Wizard für die Aufnahme eigener Anwendungen in ihre lokalen SSO-Profile zu nutzen (Beispiele: Bankanwendungen, Reiseportale etc.). Diese werden bei Aktualisierung des Profils durch den SSO Server nicht überschrieben. SSO Wizard: Neue Anwendung in das lokale Profil aufnehmen Für beide Self Services a) und b) kann in der zentralen Rechteverwaltung die Nutzung durch Mitarbeiter zugelassen oder untersagt werden. c) Manuelle Kennwort-Synchronisation d) Userselbstregistrierung für SSO Zielanwendungen als Alternative zur zentralen Vergabe e) Intelligenter Self Service im Logon Manager (Windows Anmeldung) zur Anforderung eines neuen Kennworts durch den Mitarbeiter selbst f) Duale (2-Faktor) Authentifikation durch Kombination verschiedener Verfahren (z.b. Biometrie) zur zusätzlichen Absicherung kritischer bzw. sicherheitsrelevanter Anwendungen In welchem Rahmen und Umfang die TDG alle vom bi-cube SSO generell zur Verfügung gestellten Funktionen tatsächlich nutzen wird, hängt in erster Linie von den Unternehmensrichtlinien und weiteren strategischen Überlegungen bei Toyota ab. Seite 9 von 16

10 bi-cube Logon Manager und Biometrie Die Anmeldung am SSO erfolgt bei der TDG mittels biometrischer Authentifizierung. Dafür wurde jedem TDG-Mitarbeiter ein neues Biometrie Device am Arbeitsplatz zur Verfügung gestellt (Cherry Biometrie Maus) bzw. können alternativ die in den Notebooks bereits vorhandenen Devices (Zugsensoren) genutzt werden. Der Einsatz der Fingerprint-Technologie BioIDENTICA ermöglicht den Mischbetrieb verschiedener Sensorgeräte und stellt die Anmeldung via Biometrie über beide Bio- Devices sicher. Steht der Fingerprint zur Authentifizierung nicht zur Verfügung (dies ist z.b. der Fall, wenn das Device defekt bzw. nicht vorhanden ist oder bei Remote Anmeldung vom Notebook, Heim-PC oder von Meetingräumen aus über Internet via VPN über Citrix Session auf der Arbeitsstation), so kann die Anmeldung alternativ über Benutzername und Kennwort erfolgen. Der bi-cube Logon Manager ermöglicht es den TDG-Mitarbeitern, sich an ihren Arbeitsplatz- Rechnern nun per Fingerprint anzumelden und ihre Fingerprints auch selbst aufzunehmen. Dabei wird die Fingerprintdatei des Users am Rechner in kodierter Form gespeichert und auf den bi-cube Server übertragen, wodurch der Mitarbeiter in der Lage ist, sich auch an einem anderen Arbeitsplatz mit seinem Fingerprint anzumelden. Fingerprint aufnehmen im bi-cube Logon Manager Seite 10 von 16

11 bi-cube Kennwortmanagement Für jedes SSO-Zielsystem kann eine eigene Kennwortregel (Policy) in bi-cube hinterlegt werden. Der Kennwortwechsel für diese Systeme kann entweder zentral über einen Connector oder dezentral über den SSO Client erfolgen. Bei Toyota erfolgen aktuell alle Kennwortwechsel dezentral über den SSO Client. Einstellungen zu Kennwortregeln und zur Synchronisation innerhalb bi-cube Diverse SSO Zielsysteme bei TDG besitzen keine eigene Kennwortverwaltung sondern authentifizieren sich gegen führende Systeme. Für den SSO-Einsatz können diese Zielsysteme für eine interne Kennwortsynchronisation zusammengelegt werden. Bei den einzelnen Applikationen wird dann das führende Synchronisationsobjekt hinterlegt und die Kennwortregeln selbst am führenden Objekt eingetragen. Erkennt der SSO Client, dass ein System in einer Synchronisationsgruppe eingetragen ist, so lässt er in diesem Fall nur am führenden System die manuelle Synchronisation zu. Für alle SSO Zielsysteme ist standardmäßig der automatische Kennwortwechsel voreingestellt - unabhängig davon, ob das Kennwort dann zentral über einen Connector oder dezentral über den SSO Client gewechselt werden soll. Für bestimmte Anwendungen kann aber ein manueller Wechsel des Kennworts im SSO durch den Mitarbeiter erforderlich sein. Dies immer dann, wenn diese Anwendungen für den betroffenen Mitarbeiter auch ohne SSO erreichbar sein müssen. Deshalb kann je Zielsystem festgelegt werden, ob der Kennwortwechsel: - manuell außerhalb von bi-cube, - manuell mit bi-cube oder - automatisch durch bi-cube erfolgen soll (Standardeinstellung). Diese Einstellung kann entweder zentral durch die Administration oder manuell durch den Mitarbeiter erfolgen. Dazu wird die Einstellung je Zielsystem in einem Attribut am SSO Objekt gesetzt, zentral in der Datenbank gespeichert und ist so an jedem Arbeitsplatz für den Mitarbeiter (im lokalen Profil) wirksam. Seite 11 von 16

12 SPEZIFIKA DER TDG INSTALLATION SSO Zielsysteme Im ersten Projektschritt wurden bisher sieben wichtige SSO-Zielsysteme angeschlossen bei denen der Kennwortwechsel dezentral über den SSO Client erfolgt und ein automatischer Wechsel voreingestellt ist: SAP Novell Cisco VPN Client Lotus Notes 7 Dorma Time Oracle e-business Oracle Hyperion Weitere Systeme wurden für eine Integration in das SSO bereits evaluiert bzw. sind noch in der Evaluierung. Ihre Anbindung soll in den kommenden Monaten sukzessive erfolgen. Dazu zählen u.a.: VLS Content Creator Backup/Restore Außendienst-Portal TME CWS TME Toyota Connect TME DOS TME Sales/Marketing EKC TME Sales/Marketing Sitebuild TME AfterSale TSM Cognos 8 TME TechDoc TSM Client: "Kaizen Evaluation Tool" andere Anpassung Neue Funktionalität: SSO im NDS-Umfeld Die Standard bi-cube SSO-Lösung ist für eine Authentifizierung gegen das Microsoft AD ausgelegt. Dem AD sind alle User und deren Kennwörter bekannt. Somit kann sich jeder Mitarbeiter jederzeit an jedem Rechner anmelden sein Profil wird ihm zentral vom AD bereitgestellt. Bei TDG ist derzeit noch keine ADS Domäne im Einsatz. Die Rechner werden aktuell in einer NDS Domäne (Novell) verwaltet, d.h. alle User sind nur lokal auf ihren Rechnern eingerichtet und können sich somit auch nur an ihrem eigenen PC und nicht an einem beliebigen Arbeitsplatz anmelden. Um die sichere Authentifizierung des lokalen Users im NDS-Umfeld zu ermöglichen, wurde die fiktive AD-Domäne entwickelt, in der die gesamte SSO Konfiguration inkl. dem bi-cube Logon- Manager betrieben wird. Dabei denkt der SSO Client, dass er in einer AD-Domäne arbeitet und führt alle aus dem AD-Umfeld bekannten Funktionen auch für lokale Benutzer durch. Seite 12 von 16

13 Modellierung & Konfiguration a) Aufbauorganisation Im Organigramm wurde eine weitere OE lost & found (Dummy OE) hinzugefügt. Diese ist erforderlich, um das Standardvorgehen beim automatischen Datenimport für die Userstammdaten in bi-cube sicherzustellen, falls es zu Abweichungen in der OE-Struktur zwischen dem liefernden System und bi-cube kommen sollte. b) Rollen Für die SSO-Administration steht das integrierte bi-cube Fachrollenmodell zur Verfügung. Das Provisioning / Deprovisioning der SSO-Berechtigung kann auf zwei Arten erfolgen: entweder automatisiert über zwei zu definierende Basisrollen (=> Basis Set Intern und Basis Set Extern), die den Mitarbeitern beim Mitarbeitereintrittsprozess automatisch zugeteilt und beim Mitarbeiteraustrittsprozess automatisch wieder entzogen werden (Customizing und Einsatz dieser Prozesse ist Ziel der Phase 1). oder direkt durch eine manuelle Vergabe Dabei steuern Restriktionsrollen für Administratoren, dass diese jeweils immer nur die Rechte für ihr jeweiliges Zielsystem administrieren dürfen. c) Konfiguration der Benutzeroberfläche in der User-Verwaltung Interne Mitarbeiter kommen aus dem HR-System, Externe Mitarbeiter werden direkt in bi-cube gepflegt. Dazu wurde die GUI entsprechend konfiguriert - alle nicht benötigten Attribute wurden aus der Maske entfernt und die restlichen umsortiert. Seite 13 von 16

14 Ausblick Projektphase 2 Geplant sind in einer Folgephase: Die Umstellung auf den SSO Betrieb in der ADS Domäne Der Anschluss weiterer Zielsysteme wie ADP World, ComAssistant 2,, die aus den unterschiedlichsten Gründen noch nicht angebunden wurden (z.b. von zu wenigen Mitarbeitern verwendet, firmenpolitische Aspekte usw.) Der Einsatz von Connectoren wie z.b. SAP, ADS u.a. für ein zentrales, automatisiertes Kennwortmanagement Mit Umstellung von NDS auf ADS sind für TDG noch mehr Funktionen nutzbar, beispielsweise im: bi-cube Logon Manager (integriert in der Windows Anmeldung) Die Anforderung eines neuen Windows (ADS) Kennwortes Ein SMS-Versand des neuen Kennwortes Dazu benötigt TDG bei einem externen Provider einen entsprechenden gesicherten Service. ism bietet dazu einen integrierten SMS Service an, der vom bi-cube Server via Web-Service aufgerufen werden kann. Anfordern eines neuen Kennwortes aus dem Logon-Manager über das Internet (Rechner ist nicht in der Domäne) bi-cube - Web Portal Neues Windows (ADS) Kennwort anfordern bei Anmeldung an der Domäne mit Angabe des Versandmodus für das neue Kennwort: - per SMS - per Mail - per Mail an den Leiter Kennwortverwaltung - Self Service Die Mitarbeiter können sich eigene Kennwörter setzen Hierzu ist der Einsatz weiterer Connectoren erforderlich (z.b. für SAP) Für die Nutzung des Kennwort Self Services können Sicherheitsabfragen definiert werden Der User hinterlegt persönliche Fragen und Antworten dazu, die nur er kennt. Der UHD wird als Entscheidungsgrundlage für den Einsatz des Kennwort Self Services die Häufigkeit von Kennwort Reset Anforderungen ermitteln. Seite 14 von 16

15 Eckdaten bi-cube IAM-Projekt 2010 / 2011 Ausschlaggebend für das JA zum bi-cube IAM im Jahr 2010 war für TOYOTA, dass die Lösung ein flexibles Rollen- und Prozessmanagement bietet, das die komplexe Organisations- und Händlerstruktur von Toyota abbilden kann, eine hohe Automatisierung der Prozesse ermöglicht und gleichzeitig den gestiegenen Anforderungen an Datenschutz, Sicherheit, Nachvollziehbarkeit und Compliance gerecht wird, sowie modular erweiterbar ist. Zudem sollte eine stufenweise, sanfte Implementierung durch den Hersteller selbst zu schnellen Projekterfolgen führen Schwerpunkt des Projekts war die Einführung personalisierter Accounts und der Übergang zu personen- und aufgabenbezogenen Berechtigungen (über Rollen) bei allen ca. 700 Toyota- Autohäusern mit insgesamt ca Mitarbeitern in ganz Deutschland. Anfang 2011 erfolgte die Produktivsetzung mit einer Pilotinstallation bei ausgewählten Händlern mit anschließendem Rollout im gesamten Händlernetz. Seit diesem Zeitpunkt sind alle Toyota - Händler auto nom bei der Mitarbeiterdatenpflege und Rechtevergabe. Das heißt, dass die Pflege der Mitarbeiterdaten und Rechtevergabe seitdem dezentral und damit zeitnaher - durch die Toyota Händlerbetriebe selbst erfolgt. Die Administration wird dadurch wesentlich effizienter und sicherer und das TIS Service Center spürbar entlastet. Weitere Informationen zum IAM-Projekt auf Anfrage (siehe IAM Success Story) Eckdaten bi-cube SSO-Projekt 2012 Die Partner ism Institut für System-Management GmbH (ism) Oldendorfer Straße 12, Rostock Tel. +49 (0) 381 / ism@secu-sys.de Internet TOYOTA Informations-Systeme GmbH (TIS) Toyota-Allee 5, Köln-Junkersdorf Tel. +49 (0) hotline@toyota-tis.de Internet Technologie-Partner des ism ZF Friedrichshafen AG Industrial Technology BU Electronic Systems H. Willi Münchmeier Cherrystraße, Auerbach/OPf. Tel. +49 (0) info@cherry.de Bromba GmbH Biometrics Dr. Manfred Broma, Geschäftsführer Geisenhausener Str. 11a, München Tel. +49 (0) Internet Seite 15 von 16

16 Das TIS IT Management Georg Molinari, Geschäftsführer Ralf Schriddels, Manager IT Enterprise Architecture Stefan Irle, Manager Servicecenter Das Projekt-Team TIS Projektleitung: Sascha Butzbach Projektmitarbeiterin: Nicole Gerdes-Röttgen ism Projekt-Management: Holger Görz Projektleitung: Heiko Michalk Projektmitarbeiter: Heiko Michalk, Mathias Ohlerich Technische Umsetzung, Tools und Projektverlauf bi-cube SSO bi-cube Kennwortmanagement mit der Möglichkeit des manuellen Kennwortwechsels bi-cube Authentication Server für verschiedene sichere Authentifizierungsmethoden inkl. Biometrie (Fingerprint) Die Anforderungen seitens TDG konnten im Standard der bi-cube SSO Lösung erfüllt werden. Eine separate Entwicklung für das Projekt war nicht erforderlich (Ausnahme: siehe Spezifika - NDS). Der Projektverlauf entsprach dem ism Standard-Vorgehensmodell (Workshop Pilot Projektphase 1 Projektphasen n) Leistungen Das ism übernahm bei diesem Projekt neben der Lieferung der bi-cube Softwarelösungen die Konzeptionierung des Daten- und Funktionsmodells, das technische und organisatorische Consulting sowie die Modellierung der Rollen und Prozesse und bot in der Einführungsphase eine weitreichende Vor-Ort-Unterstützung. Projektumfang IAM ca. 700 Händler mit ca Mitarbeitern SSO ca. 350 interne TDG-Mitarbeiter Projektaufwand und -kosten (ism) Consulting ca. 30 PT Anpassungsprogrammierung ca. 10 PT SSO Lizenzen (IAM-integriert) ca Zeitrahmen des Projekts IAM Februar 2010 bis Ende 2011 SSO Januar 2012 bis Februar tägiger Workshop wöchiger Pilot Projekt Phase Ende 2012 Schulung Während der Implementierung erfolgte projektbegleitend eine Schulung der Projektmitarbeiter. Da der Betrieb der Lösung durch die Toyota Informations-Systeme GmbH (TIS) erfolgt, besuchen die künftig für das bi-cube SSO System zuständigen Administratoren den Zertifizierungskurs bi-cube SSO CA (Certified Administrator) erstmals Mitte Mai Seite 16 von 16