Generische Prozessmodellierung Inhalt 1 ZIEL...2 2 DIE STANDARDPROZESSE...4 3 UMSETZUNG IM bi-cube PROZESS-MANAGER V7...6
Generische Prozessmodellierung mit bi-cube IPM 7.0 1 Ziel Die Einführung von IPM 1 -Lösungen bedingt die Überarbeitung vieler administrativer und operativer Geschäftsprozesse. Diese Prozesse müssen unternehmensweit definiert und abgestimmt sein, bevor sie implementiert und durch Systeme unterstützt werden können. Erfahrungsgemäß führt dieser Schritt zum mit Abstand größten Anteil am Gesamtaufwand bei der Einführung von IPM-Lösungen. Die in den Unternehmen definierten Prozess-Modelle für IPM bilden im Prinzip immer ähnliche der gleiche Diese müssen den Erfordernissen der Ordnungsmäßigkeit und Sicherheit entsprechen und gleichzeitig die ausufernden Aufwände in der IT-Administration reduzieren. Sie sind für das Unternehmen in Richtung eines Ranking in Bezug auf die Sicherheit der operativen Prozesse (nach SOX, Basel II, KontraG usw.) von hoher Bedeutung. Definition und Implementierung der generischen IPM-Prozesse, die einen hohen Allgemeinheitsgrad haben und durch die Generik aber gestatten, spezifische Belange der Unternehmen zu berücksichtigen. Bereitstellung von steuernden Regeln für die Automatisierung dieser Prozesse. In der IPM Lösung des ism - bi-cube - sind verschiedene Unternehmensprozesse nach den gängigen Standards zur Verfügung gestellt. Diese Standards wurden im Rahmen des Kompetenzzentrums Identity Management der NIFIS-Organisation durch ein Expertenteam von Anwendern, Herstellern, Beratern und Analysten definiert. Als Mitglied des Kompetenzzentrums war das ism auf Grund seiner zahlreichen Projekterfahrungen maßgeblich an der Definition beteiligt. In der neuen Version 7 bi-cube IPM werden im Vergleich zur Vorgängerversion 6.2. einige wesentliche Neuerungen eingeführt: Trennung der technischen und manuellen Transaktionen Gesichertes Transaktionsmanagement innerhalb der Prozess-Steuerung in bi-cube D.h. technische Transaktionen zur Rechtevergabe in den angeschlossenen Systemen werden innerhalb der Prozesse separat gesteuert und überwacht. Verbesserung des Customizing für die Prozess-Modellierung, so dass die IPM-Prozesse wesentlich leichter zu konfigurieren sind und somit optimal in die Unternehmenslandschaft eingegliedert werden können. Die Orientierung an die Business Prozesse im Unternehmen spiegelt sich auch in der Möglichkeit der freien Stellendefinition wieder. Stellen werden im Object Manager definiert und den Aktionen im Prozess-Modell als Aktoren zugeordnet. Somit ist es möglich, im Genehmigungsvorgang eines Antragsverfahrens den Genehmigenden an eine Stelle zu binden, die auch Organisationseinheitsübergreifend sein kann. Folglich können auch bestimmte Funktionsbereiche wie z.b. Datenowner, Revisor oder Sicherheitsbeauftragter im Unternehmen in den Genehmigungsprozess eingebunden werden. Unterstützung von SOA Konzepten: Die Trennung in technische und manuelle Transaktionen ermöglicht die Steuerung der IPM Prozesse in bi-cube durch eine externe Workflow-Engine, die benötigten Funktionsaufrufe können direkt über eine API oder in Kombination über Web-Services durch die externe Workflow-Engine aufgerufen werden. 1 IPM = Identity- und Provisioning-Management
Es werden wesentlich mehr Prozesse unterstützt im Vergleich zur Version 6.2. Dazu gehören folgende Generischen Prozess-Modelle (GPM): 1. Antragsverfahren Rollen (Zuteilung oder Entzug) 2. Automatische Berechtigungsvergabe für neue Mitarbeiter (Mitarbeiter-Eintritt) 3. Richtlinien-Bestätigung und Richtlinien-Verwaltung (separat und integriert in den Antragsprozess) 4. Automatisches Mitarbeiteraustrittsverfahren 5. Sofortiges Usersperren 6. Berücksichtigung gleitender Übergänge / Wechselprozesse (z.b. OE Wechsel) 7. Wiedereintritt in Konzernstrukturen 8. Allgemeiner dokumentenbasierter Antrags-Prozess 9. Antrag für allgemeine Applikationen ohne Strukturierung der Berechtigungen 10. Supportanfrage an NBV (Nutzer- u Berechtigungsverwaltung) 11. Re-Lizenzierung (regelmäßige Bestätigung einer bereits erteilten Lizenz) 12. Re-Zertifizierung (regelmäßige Bestätigung eines bereits erteilten Nutzungsrechts) 13. Abwesenheits- / Urlaubsverwaltung (zur Steuerung des Taskmanager) 14. Passwort Self-Service
2 Die Standardprozesse Folgende Prozesse werden in bi-cube IPM Version 7 abgebildet. Diese Prozesse erfüllen den Standard. Wünscht der Anwender jedoch Abweichungen von diesem Standard, dann können diese auf Grund der Flexibilität der Modelle frei konfiguriert werden. Beispielsweise können weitere Genehmigungsstufen oder zusätzliche Info-Mails implementiert werden. Infolgedessen können die Prozesse nach einer Art Baukastenprinzip anhand einer grafischen Oberfläche im Object Manager ganz einfach modelliert werden. In bi-cube IPM Version 7wird ein Standard-Set von Prozessen abgebildet. Mitarbeitereintritt Mitarbeiteraustritt Rollenantragsverfahren Wechsel der Organsiationseinheit Dokumentenbasiertes Antragsverfahren Das Rollenantragsverfahren beispielsweise besteht aus einer Genehmigung der Rolle und den Genehmigungen für die Systeme, die in der Rolle enthalten sind. Außerdem werden die Rollen- bzw. Systemverantwortlichen aufgefordert etwaige Zwangsattribute einzugeben. Der Antragsteller wird über den Fortschritt der Rollenzuweisung informiert. Die Rolle wird nicht zugewiesen, wenn die Rolle oder eines der enthaltenen Systeme abgelehnt wird. Das Dokumentenbasierte Antragsverfahren dient zur Antragstellung eines beliebigen Sachverhalts in einem Dokument. Dieses wird über zwei Genehmigungsstufen an einen Final-User verschickt. Dieser führt die notwendigen Schritte des beantragten Sachverhalts aus und bestätigt die Erledigung des Antrags. Der Antragsteller wird über den Fortschritt informiert.
Der Mitarbeitereintritt beispielsweise wird bei Aufnahme eines neuen Mitarbeiters (MA) über den User Manager, die Userverwaltung im bi-cube Web-Portal oder die Übernahme des neuen Mitarbeiters durch die Standard-Import Schnittstelle User-IC automatisch ausgelöst. Mitarbeitereintritt GPM MA-Eintritt Aufnahme eines neuen Mitarbeiters (in bi-cube über IPM Webportal, User- Manager oder User-IC) 1 Konsequenzprüfung Prüfung Useranlage als Dublette Dublette? Neuer User 12 Sub-Prozess Dublette auflösen ----------- Konsequenzprüfung 2 Sub-Prozess Userattribute prüfen genehmigt 9 Sub-Prozess Rollen-Antrag bearbeiten 4 Prüfung auf genehmigungspflichtige Rollen 3 Info-Mail an den Leiter zum MA-Eintritt abgelehnt Vorhanden? genehmigt 10 Sub-Prozess System-Antrag bearbeiten 5 Prüfung auf genehmigungspflichtige Systeme Vorhanden? 11 Sub-Prozess Systemattribute bearbeiten 6 Prüfung auf Systemzwangsattribute für Rechtevergabe Werte vorhanden? abgelehnt 7 Sub-Prozess Rolle zuweisen 8 Info-Mail an den Leiter Ende
3 Umsetzung im bi-cube Prozess-Manager V7 Folgendes Architektur- und Funktionskonzept ist im Prozess-Manager V7 umgesetzt: Die Konsequenzprüfung initiiert im Wesentlichen die Transaktion (und Prozesse)! Die PX-Engine startet die Prozesse und übernimmt die Steuerung, wenn User-Interaktionen einbezogen sind, die wiederum den Prozessverlauf (Entscheidungen) beeinflussen! Der TX Monitor steuert den Ablauf von Transaktionen, in die keine User-Interaction einbezogen ist. Der Task-Manager steuert die Informationen für die manuellen Aktionen und teilt die einzelnen Tasks den Bearbeitern (Aktoren) zu. Im IPM Web-Portal können die manuellen Tasks bearbeitet werden. Der SMTP-Service verschickt im Prozess-Verlauf die Informationen an Antragsteller, Bearbeiter und Administratoren. PX - Engine Die generischen Prozess-Modelle können im Object Manager definiert werden Die Modelle bestehen aus verschiedenen Aktionen, die der Reihe nach verarbeitet werden. Ist ein Eingreifen eines Benutzers erforderlich, werden Bearbeiter (Akteure) ermittelt, die per Mail aufgefordert werden, etwas zu tun. Sie melden sich dann im Webportal von bi-cube IPM an und können dann die Aufgabe im dortigen Task-Manager erledigen. Die Aktionen können genehmigt oder bestätigt werden, woraufhin der Prozess jeweils einen anderen Verlauf nehmen kann. Sind alle Aktionen abgearbeitet, wird der Prozess abgeschlossen und die den Prozess startende Nachricht im Status weitergesetzt. Ein Prozess-Modell wird im Object Manager angelegt. Es werden Aktionen angelegt und miteinander verbunden. Die entsprechenden Aktionen werden angelegt und miteinander verbunden. Bei der Modellierung sind folgende Regeln zu beachten: Vorgänger und Nachfolger o Jede Aktion muss einen Vorgänger und einen Nachfolger haben. Ausnahmen sind Start und Endaktion die nur eins von beiden haben dürfen. Es darf nur jeweils eine Start- und End- Aktion geben.
o o Alle Aktionen müssen über die Vorgänger und Nachfolger (Pre- und Final-Event) komplett miteinander verbunden sein. Es darf keine Aktion geben, die ohne Verbindung zu anderen Aktionen ist. Zirkuläre Verzweigungen sind nicht gestattet. Zusammenführung von parallelen Aktionsabläufen o Bei parallelen Aktionsabläufen muss bei der Zusammenführung festgelegt sein, wann die nachfolgende Aktion starten darf. Bearbeiter o Zu jeder manuellen Aktion muss mindestens ein gültiger Bearbeiter (Aktor) definiert werden, der diese Aktion bearbeiten soll. Haben Sie Fragen? Wünschen sie weitere Informationen zu diesem Thema, dann kontaktieren Sie uns bitte!