Rollenbasierte Berechtigungsvergabe 9. Mai 2007 1st European Identity Conference, München Michael Niedermann, Leiter IT-Zugriffsmanagement, Seite 1
Agenda 1. Vorstellung 2. Ausgangslage Projekt IM- & Metabenutzer DB 3. Ziele Projekt IM- & Metabenutzer DB 4. Zielarchitektur 5. Stand der Implementierung 6. 7. Beispiel Administrationsautomatisierung Ergebnis Rollenmodellierung für 8. Nächste Schritte 9. Fragen Seite 2
Vorstellung 8'800 administrierte Benutzer 2'100 6'700 Raiffeisenbanken 2'350 Kontakte pro Monat 350 Passwort-Rückstellungen pro Monat 100 Abklärungen / Telefon-Rücksprachen 1'900 Anträge Antragsbearbeitung durchläuft mehrere Stellen / Genehmigungsstufen Seite 3
Ausgangslage Projekt IM- & Metabenutzer DB Workflow basiertes Antragswesen für Rollen und Einzelrechte Transparenz für Antragsteller Rollenbasiertes und automatisiertes Provisioning Einfache Verwaltung von Rollen Flexibilität in der Gestaltung der End-Benutzeroberfläche (Customizing) Abbildung der Organisation Transparenz in den Mitarbeiterprozessen (Eintritt, Mutation, Austritt) Zentrale Haltung aller relevanten Mitarbeiter-Informationen Seite 4
Ziele Projekt IM- & Metabenutzer DB Phase 1 Aufbau einer Identity Management Lösung Implementierung von Workflow & Rollen Aufbau eines Directory Phase 2 Phase 3 Ausbreitung zu Anbindung weiterer Zielsysteme Einführung Change- & Konfigurationsmanagement Ausbreitung zu den Raiffeisenbanken Harmonisierung und Standardisierung der Mitarbeiterprozesse Erweiterte, zentrale Haltung von mitarbeiterrelevanten Daten heute in Planung Seite 5
Zielarchitektur Berechtigungsverwaltung Self Provisioning Passwort Service Zentrale MA-Verwaltung HR-Systeme MMDB Mitarbeiterstammdaten Ziel-/Quellsysteme MMDB Raummanagement Telefonie- Anlagen MA-Stamm edir Rollenbasierte Berechtigungsergabe System X OPX2 OTMS AD Lotus Domino Telefon- Liste HelpDesk Org Manager System Y Zielsysteme mit zentraler Berechtigungsverwaltung Integration bestehender Systeme Zielsysteme MMDB Integration neuer Systeme Seite 6
Stand der Implementierung User Self Service Globales Passwort-Management Beantragung und Löschung von Rollen Beantragung, Modifikation und Löschung von Einzelrechten Beantragung, Modifikation und Löschung von Laufwerkzugriffen Beantragung, Modifikation und Löschung von Software Automatisierung der Administration Identitäten werden direkt aus dem HR- Feed eingelesen und verarbeitet Rollen sind direkt mit Kostenstelle verknüpft und werden automatisch verarbeitet System-Anbindungen Mit Agenten Active Directory Lotus Notes (E-Mail) OTMS Quantax RACF (in Arbeit) SAP (in Arbeit) edirectory OPX2 Internet-Proxy (in Arbeit) Seite 7
Beispiel Administrationsautomatisierung HR Berechtigungsverwaltung Rolle Kostenstelle Zielsystem Berechtigung R_DEVISEN 511000 AD RCH_PROJEKTE MMDB Erstellung Identity Rolle RCH_ZB_AA_R RCH_ZB_TRUS RCH_ZB_TRUS_Devise n RCH_ZENTRALBANK Agent Agent OTMS 72 73 Import Tabelle OTMS-DB Active Directory 74 79 80 OTMS Unix DB-Server Windows 2003 Server 82 90 99 104 106 Seite 8
Beispiel Administrationsautomatisierung HR MMDB Import Tabelle Berechtigungsverwaltung Erstellung Identity Agent OTMS-DB OTMS Unix DB-Server Rolle Agent Active Directory Windows 2003 Server Kern-Funktionen: Benutzer erstellen Benutzer updaten Benutzer löschen Zuweisung von Gruppen über Rollen Zuweisung von Gruppen als Einzelrecht Entzug von Rechten Passwort-Management Sperren eines Benutzers Entsperren eines Benutzers Seite 9
Ergebnis Rollenmodellierung für Rolle A Standardrolle Rolle B B 0001 B 0002 B 0003 B 1001 B 1002 System (Active Directory) System (OTMS) Seite 10
Ergebnis Rollenmodellierung für Anzahl Benutzer Total: 1 500 (davon 130 auch OTMS-Benutzer) AD OTMS Anzahl Berechtigungen 1 650 33 Anzahl Benutzer <-> Berechtigung 46 400 Ø 31 Berechtigungen/Benutzer 1 170 Ø 9 Berechtigungen/Benutzer Anzahl Rollen Total: 163 Standardrollen Funktionsrollen Anzahl Benutzer <-> Rollen Verwaltungseinheiten Anzahl Rollen <-> Berechtigungen Verwaltungseinheiten 2 (keine OTMS Berechtigungen) 161 (12 mit OTMS Berechtigungen) Total: 3 000 (davon 130 auch für OTMS) Jeder Benutzer hat 1 Standardrolle + 1 KST-Rolle Ø 9 Benutzer / Rolle 1 700 Ø 10 Berechtigungen / Rolle 110 Ø 9 Berechtigungen / Rolle Anzahl Individualberechtigungen 6 650 Ø 4.5 Individualberechtigungen / Benutzer 230 Ø 1.7 Individualberechtigungen / Benutzer Seite 11
Ergebnis Rollenmodellierung für 100% 47 570 AD + OTMS Berechtigungen 25 % 6 890 Individualberechtigungen 1 810 3 000 Rollen <-> Berechtigungen Benutzer <-> Rollen Seite 12
Nächste Schritte Aktivität Termin Ausbreitung zu den Raiffeisenbanken 31. Dezember 2007 Anbindung der definierten Zielsysteme Internet proxy, RACF, SAP 31. Dezember 2007 Ausbau der Business-Rollen für Berechtigungsvergabe 31. Dezember 2007 Anbindung weiterer Ziel- / Quellsysteme mit mitarbeiterrelevanten Daten 2007 / 2008 Seite 13
Fragen Seite 14