cosol GmbH Balderstrasse 24 CH-3007 Bern info@cosol.ch www.cosol.ch Compliance Enforcer Broschüre Version 07.11.2016 Status Klassifizierung freigegeben nicht klassifiziert cosol_eaim_broschuere-de_20161107_01.docx Seite 1 von 11
Inhaltsverzeichnis 1. (Big Picture)... 3 1.A Abgrenzung... 4 1.B Hauptfunktionen... 4 1.C Berechtigungs-Typen... 5 1.D User-Synchronisation... 5 1.E Integration in Umsysteme und Compliance Enforcer Komponenten... 6 1.E.1 Data & Trace-Analyzer... 6 1.E.2 Information Security Manager (ISM)... 6 2. Applikation... 7 2.A Navigation... 7 2.B CE-Workplace Selection User-Overview... 7 2.C User-Workplace... 9 2.D User-Destinationen... 9 2.E Authorizations... 10 2.F Masterdata... 11 Abbildungsverzeichnis 1-1 - Easy-AIM: Lifecycle-Management... 3 1-2 - Berechtigungstypen... 5 1-3 - User-Synchronization... 5 1-4 - Data & Trace Analyzer... 6 2-1 - Easy-AIM: Navigation... 7 2-2 - CE-Workplace... 7 2-3 - Selektionskriterien... 8 2-4 - Userliste... 8 2-5 - User-Workplace... 9 2-6 - Destinationen... 9 2-7 - Berechtigungen... 10 2-8 - Masterdate... 11 Tabellenverzeichnisverzeichnis 1-2 - Hauptfunktionen... 4 cosol_eaim_broschuere-de_20161107_01.docx Copyright cosol GmbH 2016 all rights reserved Seite 2 von 11
1. (Big Picture) Der Easy Access & Identity Manager (Easy-AIM) ist ein AddOn für SAP-Systeme. Seine Funktionen erfüllen alle Anforderungen des Lifecycle-Managements von SAP-Usern und SAP-Berechtigungen. Die Easy-AIM-Kernfunktionen decken die typischen Anforderungen einer Unternehmung ab. Für die Nutzung entstehen keine Lizenzkosten, ein Wartungsvertrag kann optional abgeschlossen werden. Die Implementierung kundenspezifischer Funktionen in den Bereichen Workflow, HR-Integration, AD-Integration und Compliance Prüfungen sind möglich. 1-1 - Easy-AIM: Lifecycle-Management Die Kern-Funktionen zeichnen sich durch folgende Merkmale aus: Es sind keinerlei Anpassungen an den Einstellungen der zu verwaltenden Systeme notwendig. o o o Die Zentrale Benutzerverwaltung kann aktiv oder inaktiv sein. Die Namenskonventionen der User und Berechtigungen können beibehalten werden. Die im Userstamm genutzten Attribute können unverändert weiterverwendet werden. Es werden ausschliesslich von SAP freigegebene Softwarekomponenten (BAPI, FB, etc.) genutzt. Die für eine Testphase notwendigen Arbeiten (Customizing) sind minimal und werden durch Installationsprogramme unterstützt. cosol_eaim_broschuere-de_20161107_01.docx Copyright cosol GmbH 2016 all rights reserved Seite 3 von 11
1.A Abgrenzung Der ist nicht ein Werkzeug für: Single Sign-On Identity- & User Management in NonSAP-Architekturen 1.B Hauptfunktionen Die Hauptfunktionen des (Easy AIM) können wie folgt beschrieben werden: Objekt Funktion Variante / Werkzeug erstellen, ändern, abgrenzen SU01 Zentrale Benutzerverwaltung verteilen & abgleichen Dialogfunktion im Easy-AIM SAP- Standard Easy-AIM User Berechtigungen Berechtigungen zuordnen Berechtigungs-Zuordnung verteilen & abgleichen erstellen, ändern, löschen Änderungen verteilen & abgleichen Ableitungen Workflow (4-Augen-Prinzip ) PFCG / SU01 Dialogfunktion im Easy-AIM Zentrale Benutzerverwaltung Dialogfunktion im Easy-AIM PFCG Transport / Up-Download / RFC-Abgleich Transportprogramm im Dialog PFCG Generierungsprogramm HR-Integration- User HR-Integration- Berechtigungen HR-Integration Strukturelle Berechtigungen BW-Integration Analyseberechtigungen erstellen, ändern, abgrenzen zuordnen, Zuordnung verteilen & abgleichen Zuordnen, Zuordnung verteilen &abgleichen Zuordnen, Zuordnung verteilen &abgleichen Indirekt über Objekt P_ORGINCON Direkt in Tabelle T77US Indirekt über Objekt P_ORGINCON Direkt mit FB RSEC_ASSIGN_AU- THS_TO_USERS zuordnen 1-1 - Hauptfunktionen Geplante Weiterentwicklung cosol_eaim_broschuere-de_20161107_01.docx Copyright cosol GmbH 2016 all rights reserved Seite 4 von 11
1.C Berechtigungs-Typen Folgende Berechtigungsobjekte werden von Easy-AIM unterstützt. 1-2 - Berechtigungstypen 1.D User-Synchronisation User-Sync-AD Active-Directory-Accounts mit der SAP-Systemlandschaft synchronisieren User-Sync-HCM HR-User mit der SAP-Systemlandschaft synchronisieren User-Sync-Complete HR-Infotypen, HR-Organisationsdaten, AD-Daten, User-Stammdaten und User-Berechtigungen werden umfassten synchronisiert. 1-3 - User-Synchronization cosol_eaim_broschuere-de_20161107_01.docx Copyright cosol GmbH 2016 all rights reserved Seite 5 von 11
1.E Integration in Umsysteme und Compliance Enforcer Komponenten 1.E.1 Data & Trace-Analyzer Die Hauptaufgaben des Data & Trace-Analyzer sind: Data-Collection: Lesen der Daten in den Source-Systemen -> Speichern der Daten in der CE-Datenbank Rule-Calculation: Customizing und Berechnung der Regeln 1-4 - Data & Trace Analyzer Wir legen grössten Wert darauf, dass die Regeln im CE-Rule Calculator rasch und unkompliziert an neue Anforderungen angepasst werden können. Die Regeln können ohne Programmieraufwand durch Customizing angelegt und angepasst oder auch deaktiviert werden. Diese Eigenschaft reduziert den Betriebs- und Wartungsaufwand erheblich. 1.E.2 Information Security Manager (ISM) Durch die Anbindung unserer Komponenten ISM kann die Real-Time Risiko-Analyse von Berechtigungen (potentielle Risiken) zu einem User bei der Zuordnung von Berechtigungen sichergestellt werden Funktion Berechtigungszuordnung & werte Rollenzuordnung Profilzuordnungen Sammelrollenzuordnung BI-Profilzuordnung & -werte Beschreibung Risiken aufgrund kritischer Berechtigungsobjekte, oder Kombinationen von mehreren Berechtigungsobjekten die in gemeinsam ein Risko darstellen Risiken aufgrund von Rollenzuordnungen und Kombinationen Risiken aufgrund von Profilzuordnungen und Kombinationen Risiken aufgrund von Sammelrollenzuordnungen und Kombinationen Risiken aufgrund von Zugeordneten Analyseberechtigungsprofilen, und darin enthaltenen Merkmalen und Merkmalswerten 1-5 - Potentielle Risiken - Access & SoD Security cosol_eaim_broschuere-de_20161107_01.docx Copyright cosol GmbH 2016 all rights reserved Seite 6 von 11
2. Applikation 2.A Navigation 2-1 - Easy-AIM: Navigation 2.B CE-Workplace Selection User-Overview Der Einstieg zum User-Workplace führt über den CE-Workplace (A), dann eine Selection (B) und die User-Overview (C). A. Den Easy Access & Identity Manager wählen 2-2 - CE-Workplace cosol_eaim_broschuere-de_20161107_01.docx Copyright cosol GmbH 2016 all rights reserved Seite 7 von 11
B. Selektionskriterium für die Userliste eingeben 2-3 - Selektionskriterien C. User mit Doppelklick oder mit der Drucktaste "Benutzer Detail" auswählen 2-4 - Userliste cosol_eaim_broschuere-de_20161107_01.docx Copyright cosol GmbH 2016 all rights reserved Seite 8 von 11
2.C User-Workplace Im User-Workplace sind alle relevanten Informationen zum User und seinen Berechtigungen übersichtlich dargestellt. Auf der linken Seite die Destinationen, und rechts die Registerkarten Berechtigungen, Stammdaten, Application-Log und Customizing. 2-5 - User-Workplace 2.D User-Destinationen In der Ansicht User-Destination wird die Systemlandschaft und gleichzeitig die wichtigsten Information zum User auf den Destinationen dargestellt. In der täglichen Arbeit wird die Anzeige dieser Information von Mitarbeiter meistens auf ein Minimum reduziert. Die Drucktasten oberhalb der Liste beziehen sich immer auf die/das ausgewählten Systeme. 2-6 - Destinationen cosol_eaim_broschuere-de_20161107_01.docx Copyright cosol GmbH 2016 all rights reserved Seite 9 von 11
2.E Authorizations Die Registerkarte Authorizations dient: der Anzeige der möglichen Berechtigungen der Zuteilung der Soll-Berechtigungen sowie der Verteilung der Soll-Berechtigungen in der Systemlandschaft Die angezeigten Berechtigungen (Rollen, Profile, Strukturelle-Berechtigungen, Analyse-Berechtigungen und Portalrollen) werden anhand einer oder mehrerer Regeln die den User betreffen angezeigt. Die Defaultregeln und die Organisationsspezifischen Regeln werden immer automatisch angewendet, userspezifische Regeln können manuell noch hinzugefügt werden. Das Zuordnen von Berechtigungen ist ein zweistufiges Verfahren, bei dem zuerst nur der Sollzustand erstellt wird, ohne die Berechtigung zuzuordnen, im zweiten Schritt wird der Sollzustand verteilt und die Rollen zugeordnet. Beim Einsatz von Workflow wird der Beantrager eine Berechtigung beantragen um einen Sollzustand herzustellen, der Genehmiger kann anschliessend den Sollzustand für die Rollen in seinem Verantwortungsbereich genehmigen und den Sollzustand verteilen. 2-7 - Berechtigungen cosol_eaim_broschuere-de_20161107_01.docx Copyright cosol GmbH 2016 all rights reserved Seite 10 von 11
2.F Masterdata Die Registerkarte Masterdata dient: der Pflege der User-Stammdaten der Verteilung der User-Stammdaten in der Systemlandschaft dem interaktiven Starten der User-Synchronisation Die Pflege der Benutzerstammdaten geschieht direkt in der SU01 im Zentralsystem über die Funktion "Benutzer Pflegen". Wenn eine oder mehrere unserer Schnittstellen für die User-Synchronisation eingerichtet ist, hat automatisch das beliefernde System den Lead. Die User-Synchronisation umfasst drei Hauptfunktionen: User-Sync-AD Active-Directory-Accounts mit der SAP-Systemlandschaft synchronisieren User-Sync-HCM HR-User mit der SAP-Systemlandschaft synchronisieren User-Sync-Complete HR-Infotypen, HR-Organisationsdaten, AD-Daten, User-Stammdaten und User-Berechtigungen werden umfassten synchronisiert. Durch unsere offene Schnittstellentechnik können Kundenbedürfnisse einfach implementiert, und auch NonSAP-Clientsysteme eingerichtet werden. 2-8 - Masterdate cosol_eaim_broschuere-de_20161107_01.docx Copyright cosol GmbH 2016 all rights reserved Seite 11 von 11