1. Peter Gergen, Loren Heilig, Andreas Müller
SAP NetWeaver Identity Management
®
Bonn Boston
2. Auf einen Blick
1 Einleitung ............................................................................ 17
2 Identity Management in Unternehmen .............................. 23
3 SAP NetWeaver Identity Management
im Kontext von SAP NetWeaver ........................................ 65
4 SAP NetWeaver Identity Management im Überblick ........ 79
5 Tipps und Tricks im Identity-Management-Projekt ........... 119
6 Identity Management bei der Industrie GmbH .................. 145
7 Identity Management bei Mechatronic .............................. 197
8 Installation und Setup ........................................................ 249
9 Grundlegende Konzepte von SAP NetWeaver Identity
Management ....................................................................... 265
10 Datenmodellierung ............................................................. 297
11 Modellierung von Provisionierungstasks ........................... 335
12 Frontend-Gestaltung des SAP NetWeaver IdM
User Interfaces .................................................................... 373
13 Prozessmodellierung ........................................................... 391
14 SAP Provisioning Framework ............................................. 433
15 Weiterführende Integrationsthemen ................................. 491
16 Betrieb von SAP NetWeaver IdM ....................................... 545
17 Reporting ............................................................................ 577
18 Zusammenfassung und Ausblick ........................................ 599
A Weiterführende Literatur ................................................... 609
B Die Autoren ......................................................................... 619
3. Inhalt
1 Einleitung ............................................................................. 17
1.1 Überblick und Einordnung ....................................................... 18
1.2 Projektvorgehensmethoden und Fallbeispiele .......................... 20
1.3 Technische Details und Referenzen .......................................... 20
2 Identity Management in Unternehmen ............................... 23
2.1 Motivationen für die Einführung von Identity Management ..... 25
2.1.1 Gesetzeskonformität und Wirtschaftsprüfung .............. 25
2.1.2 Sicherheitsrisiken reduzieren ....................................... 27
2.1.3 Kostenreduktion durch Automatisierung und
Prozessoptimierung ..................................................... 30
2.2 Lifecycle einer Identität im Unternehmen ................................ 32
2.3 Sammelkonten und priorisierte Accounts ................................. 35
2.4 Vergabe von Systemberechtigungen ........................................ 37
2.5 Identity-Management-Lösungen .............................................. 41
2.5.1 Anforderungen an das Identity Management .............. 42
2.5.2 Leistungen einer Identity-Management-Lösung .......... 44
2.5.3 Abgrenzung des Identity Managements vom
Systemmanagement .................................................... 55
2.5.4 Organisatorische Integration von Identity
Management .............................................................. 55
2.6 Aspekte der Projektierung ....................................................... 56
2.6.1 Modelle der Herangehensweise .................................. 57
2.6.2 Fragestellungen in Bezug auf die Zielarchitektur .......... 59
2.6.3 Betriebskonzept .......................................................... 60
2.7 Zusammenfassung ................................................................... 64
3 SAP NetWeaver Identity Management im Kontext von
SAP NetWeaver .................................................................... 65
3.1 Von der SAP-Basis zu SAP NetWeaver ..................................... 66
3.2 Verwaltung von Identitäten in SAP NetWeaver ........................ 69
3.3 SAP NetWeaver Application Server Java .................................. 69
3.4 User Management Engine ........................................................ 70
3.5 SAP NetWeaver Administrator ................................................. 71
3.6 SAP NetWeaver Portal ............................................................. 72
3.7 Zentrale Benutzerverwaltung ................................................... 74
7
4. Inhalt
3.8 SAP NetWeaver Process Integration ........................................ 74
3.8.1 System Landscape Directory ........................................ 75
3.8.2 Enterprise Services Repository ..................................... 76
3.8.3 Enterprise Services Directory ....................................... 76
3.9 SAP Human Capital Management ............................................ 76
3.9.1 Personalmanagement .................................................. 77
3.9.2 Organisationsmanagement .......................................... 77
4 SAP NetWeaver Identity Management im Überblick .......... 79
4.1 Historie ................................................................................... 79
4.2 Architektur .............................................................................. 82
4.2.1 Identity Center ............................................................ 83
4.2.2 SAP Virtual Directory Server ........................................ 89
4.2.3 Gesamtarchitektur – Identity Center und SAP VDS ...... 90
4.3 Daten- und Rollenmodell ........................................................ 91
4.3.1 Daten- und Rollenmodell im Identity Store ................. 93
4.3.2 Datenmodellierung und Workflows ............................. 97
4.3.3 Datenmodellierung und Reporting .............................. 98
4.4 Datensynchronisation und Provisioning ................................... 98
4.4.1 Prinzipien der Datensynchronisation ........................... 99
4.4.2 Quell- und Zielsysteme ............................................... 100
4.4.3 Technische Adapter .................................................... 101
4.4.4 Provisionierungslogik und Workflows .......................... 103
4.4.5 Provisionierungscontent .............................................. 105
4.4.6 Password Management ............................................... 106
4.5 Weitere Integrationsthemen .................................................... 107
4.5.1 Business-Suite-Integration ........................................... 108
4.5.2 Integration mit SAP BusinessObjects Access
Control ....................................................................... 110
4.5.3 Middleware zum Austausch von Daten ....................... 111
4.5.4 UI-Integration ............................................................. 113
4.6 Monitoring .............................................................................. 114
4.7 Reporting ................................................................................ 116
5 Tipps und Tricks im Identity-Management-Projekt ............ 119
5.1 Organisatorische Fallstricke ..................................................... 121
5.1.1 Vielzahl von Beteiligten und Betroffenen ..................... 121
5.1.2 Zielkonflikte ................................................................ 127
5.1.3 Persönliche Widerstände ............................................. 129
5.1.4 Organisatorisch begründete Widerstände .................... 131
5.1.5 Mangelnde organisatorische Reife ............................... 134
8
5. Inhalt
5.2 Komplexitätsrisiken ................................................................. 135
5.2.1 Ungeklärte Begriffe ..................................................... 135
5.2.2 Dynamisches Umfeld ................................................... 136
5.2.3 Unklare Abgrenzung des Projektumfangs .................... 140
5.2.4 Viele Schnittstellen ..................................................... 141
5.2.5 Komplexe Prozesse ..................................................... 143
6 Identity Management bei der Industrie GmbH ................... 145
6.1 Ausgangssituation .................................................................... 146
6.2 Systemlandschaft ..................................................................... 150
6.2.1 SAP-Umgebung .......................................................... 151
6.2.2 Windows-Umgebung .................................................. 154
6.3 Anforderungen ........................................................................ 155
6.3.1 Stammdaten ............................................................... 155
6.3.2 Prozesse und Antragswesen ........................................ 155
6.3.3 Berechtigungsverwaltung ............................................ 156
6.3.4 Reporting .................................................................... 157
6.3.5 Provisionierung ........................................................... 157
6.3.6 Authentisierung/Single Sign-on ................................... 157
6.4 Herausforderungen .................................................................. 158
6.5 Integriertes Projektvorgehen .................................................... 160
6.5.1 Roadmap und Phasenansatz ........................................ 161
6.5.2 Kick-off-Workshop ...................................................... 165
6.5.3 Installation einer zweistufigen Systemlandschaft ......... 165
6.5.4 Detaillierung des Fachkonzepts ................................... 167
6.5.5 Vorbetrachtung des Zielprozesses zur Anlage neuer
Identitäten .................................................................. 167
6.5.6 Vorbereitende Maßnahmen zur
Datenkonsolidierung ................................................... 168
6.5.7 Geplante Nutzung des Organisationsmanagements in
SAP HCM .................................................................... 170
6.5.8 Erstellung der Feinkonzeption ..................................... 171
6.6 Umsetzung der Identity-Management-Lösung ......................... 172
6.6.1 Phase 1: Aufbau einer konsistenten Datenbasis ........... 172
6.6.2 Phase 2: Self-Services und Genehmigungsprozesse ...... 182
6.7 Zusammenfassung und Ausblick .............................................. 191
6.7.1 Phase 3: Vollständige Integration der
Berechtigungsverwaltung ............................................ 192
6.7.2 Phase 4: Integration von SAP BusinessObjects
Access Control ............................................................ 194
6.8 Wertbetrachtung der Einführung von SAP NetWeaver IdM ...... 195
9
6. Inhalt
7 Identity Management bei Mechatronic ............................... 197
7.1 Entwicklung der IT bei Mechatronic ........................................ 199
7.2 Projektinitiierung ..................................................................... 204
7.3 Projektvorbereitungen ............................................................. 207
7.4 Erste Schritte – Meilenstein 1.0 ............................................... 211
7.4.1 Konzeptionsphase ....................................................... 211
7.4.2 Implementierungsphase .............................................. 213
7.4.3 Stabilisierungsphase .................................................... 218
7.5 Weitere Integrationen – Meilenstein 2.0 .................................. 219
7.5.1 Anforderungen der Fachbereiche nach Meilenstein 1.0 220
7.5.2 Implementierung von Meilenstein 2.0 ......................... 222
7.5.3 Stabilisierungsphase .................................................... 226
7.6 Zwischenphase – Meilenstein 2.1 ............................................ 227
7.6.1 Erfassung der Folgeanforderungen .............................. 228
7.6.2 Implementierung von Meilenstein 2.1 ......................... 230
7.6.3 Stabilisierung .............................................................. 234
7.7 Zwischenphase – Meilenstein 2.2 ............................................ 236
7.7.1 Implementierung von Meilenstein 2.2 ......................... 238
7.7.2 Stabilisierungsphase .................................................... 243
7.8 Projektende mit Meilenstein 3 ................................................. 244
7.9 Lessons Learned ...................................................................... 246
8 Installation und Setup ......................................................... 249
8.1 Vorbereitungen ....................................................................... 249
8.1.1 Planung der Systemumgebung .................................... 249
8.1.2 Bereitstellung des AS Java ........................................... 251
8.1.3 Bereitstellung der IC-Datenbank ................................. 251
8.2 Installation .............................................................................. 252
8.2.1 Installation der IC-Datenbank ..................................... 253
8.2.2 Installation der IC Runtime ......................................... 255
8.2.3 Installation der IC Console .......................................... 256
8.2.4 Installation des SAP NetWeaver Identity
Management User Interfaces ....................................... 257
8.2.5 Installation des SAP Virtual Directory Servers .............. 258
8.3 Einrichtung und Bereitstellung ................................................. 260
8.3.1 Einrichtung der Identity-Center-Konfiguration ............ 260
8.3.2 Einrichtung von Dispatcher und Event Agent
Service ........................................................................ 261
8.3.3 Bereitstellung des SAP NetWeaver Identity
Management UIs in SAP NetWeaver Portal ................. 262
10
7. Inhalt
9 Grundlegende Konzepte von SAP NetWeaver Identity
Management ........................................................................ 265
9.1 Datenhaltung .......................................................................... 265
9.1.1 Datenmodell des Identity Centers ............................... 266
9.1.2 Globale Konfiguration: Repositorys, Konstanten und
Variablen .................................................................... 273
9.2 Rollen und Berechtigungen ...................................................... 275
9.2.1 Berechtigungen im Identity Center .............................. 275
9.2.2 Rollen ......................................................................... 277
9.2.3 Aufbau von Rollenhierarchien ..................................... 281
9.2.4 Änderung von Rollen oder Rollenhierarchien .............. 283
9.3 Regelbasierte Rollenzuweisung ................................................ 283
9.4 Tasks und Prozesse .................................................................. 286
9.4.1 Passes ......................................................................... 289
9.4.2 Scripting ..................................................................... 292
9.4.3 Jobs ............................................................................ 292
9.4.4 Tasks ........................................................................... 293
9.4.5 Scheduling von Standardjobs ...................................... 296
10 Datenmodellierung ............................................................... 297
10.1 Standard-Schema ..................................................................... 297
10.1.1 Allgemein verwendete Attribute ................................. 298
10.1.2 Entry Type »MX_PERSON« .......................................... 302
10.1.3 Entry Type »MX_PRIVILEGE« ...................................... 305
10.1.4 Entry Type »MX_ROLE« .............................................. 308
10.1.5 Entry Type »MX_DYNAMIC_GROUP« ......................... 311
10.1.6 Entry Type »MX_PENDING_VALUE« ........................... 312
10.1.7 Entry Type »MX_REPORT« .......................................... 313
10.2 Erweiterung des Datenmodells ................................................ 313
10.2.1 Datenmodellierung für SAP NetWeaver IdM ............... 314
10.2.2 Definition neuer Attribute ........................................... 317
10.2.3 Definition neuer Entry Types ....................................... 322
10.2.4 Attributdefinitionen anpassen ..................................... 324
10.2.5 Tipps zur Datenmodellierung ...................................... 325
10.3 Tabellen in der IC-Datenbank .................................................. 326
10.3.1 Repräsentation von Nutzdaten und
Systemkonfiguration ................................................... 327
10.3.2 Tabellen für Laufzeitinformationen .............................. 330
10.3.3 Besonderheiten für das Reporting ............................... 332
11
8. Inhalt
11 Modellierung von Provisionierungstasks ............................ 335
11.1 Pass-Konfiguration ................................................................... 335
11.1.1 Vorlagen und Platzhalter ............................................. 338
11.1.2 Repositorys, Variablen und Konstanten ....................... 339
11.1.3 Source konfigurieren ................................................... 340
11.1.4 Destination konfigurieren ............................................ 340
11.1.5 ToIdentityStore-Pass ................................................... 345
11.1.6 Ablauf einer Jobausführung ......................................... 347
11.1.7 Einsatz von Skripten .................................................... 348
11.1.8 ToGeneric-Pass ........................................................... 353
11.2 Jobkonfiguration ...................................................................... 356
11.2.1 Einstellungen .............................................................. 356
11.2.2 Ergebnisbehandlung .................................................... 358
11.3 Task-Konfiguration .................................................................. 359
11.3.1 Ablaufsteuerung .......................................................... 360
11.3.2 Ergebnisbehandlung .................................................... 361
11.3.3 Repository .................................................................. 362
11.4 Fehlerbehandlung und Ausfallsicherheit ................................... 363
11.4.1 Wiederholungen von Tasks ......................................... 365
11.4.2 Fehlerskripte ............................................................... 365
11.4.3 Tasks bei Fehlern aufrufen ........................................... 367
11.5 Ausgewählte eingebaute Funktionen für Skripte ...................... 367
11.5.1 Informationen über die Laufzeitumgebung
ermitteln ..................................................................... 368
11.5.2 Zugriff auf Entrys im Identity Store .............................. 368
11.5.3 Steuerung der Jobausführung ...................................... 370
11.5.4 Hilfsfunktionen ........................................................... 370
11.5.5 Zugriff auf Konstanten und Variablen .......................... 372
12 Frontend-Gestaltung des SAP NetWeaver IdM
User Interfaces ..................................................................... 373
12.1 Konfiguration im Frontend ...................................................... 373
12.1.1 Generelle Konfiguration von Task Groups .................... 374
12.1.2 Direkter Aufruf von Task Groups und Approval
Tasks ........................................................................... 378
12.2 Anordnung von Attributen und Elementen .............................. 379
12.3 Darstellung von Werten ........................................................... 382
12.4 Zugriffssteuerung ..................................................................... 387
12.4.1 Zugreifende Identität festlegen .................................... 387
12.4.2 Zugriff auf Identitäten festlegen .................................. 389
12
9. Inhalt
13 Prozessmodellierung ............................................................ 391
13.1 Modellierung von Provisionierungsprozessen ........................... 391
13.1.1 Gruppieren von Provisionierungstasks ......................... 392
13.1.2 Verzweigungen ........................................................... 396
13.1.3 Genehmigungsschritte in Prozesse einfügen ................ 401
13.1.4 Member Events ........................................................... 407
13.1.5 Starten von (Sub-)Prozessen ........................................ 412
13.2 Modellierung von Batch-Prozessen .......................................... 415
13.2.1 Importprozesse ........................................................... 416
13.2.2 Exportprozesse ............................................................ 423
13.2.3 Zeitabhängige Prozesse ............................................... 424
13.2.4 Scheduling .................................................................. 425
13.2.5 Delta-Mechanismus .................................................... 428
14 SAP Provisioning Framework ............................................... 433
14.1 Überblick über das SAP Provisioning Framework ..................... 434
14.1.1 Bestandteile des SAP Provisioning Frameworks ........... 434
14.1.2 SAP Provisioning Framework in den Projektphasen ..... 436
14.2 Importprozesse ........................................................................ 437
14.2.1 Importprozesse erstellen ............................................. 437
14.2.2 Übersicht der Templates für Importjobs ...................... 440
14.2.3 Aufbau und Funktionsweise von Initial Load
Templates ................................................................... 442
14.2.4 Aufbau und Funktionsweise von Update Templates .... 452
14.2.5 Datenkonsolidierung mit Importprozessen .................. 455
14.2.6 Weitere Standardjob-Templates .................................. 460
14.3 Provisionierungsprozesse ......................................................... 462
14.3.1 Konfiguration der Provsionierungsprozesse ................. 462
14.3.2 Ablauf von Provisionierungsprozessen ......................... 463
14.3.3 Task-Struktur des SAP Provisioning Frameworks .......... 466
14.3.4 Rule-Based Provisioning mit dem SAP Provisioning
Framework .................................................................. 468
14.3.5 Provisionierung in die Zielsysteme ............................... 473
14.3.6 Vordefinierte Frontend-Masken .................................. 482
14.3.7 Erweitern der Provisionierungsprozesse ....................... 484
15 Weiterführende Integrationsthemen ................................... 491
15.1 Typische Anwendungsfälle für die Anbindung von Systemen ... 492
15.1.1 SAP HCM-Integration ................................................. 494
13
10. Inhalt
15.1.2 SAP NetWeaver Portal-Umgebung .............................. 495
15.1.3 Erweiterte SAP Business Suite-Integration ................... 496
15.2 Stammdatenverteilung und Synchronisation ............................ 497
15.2.1 SAP HCM-Standardintegration .................................... 497
15.2.2 Erweiterte SAP Business Suite-Integration ................... 507
15.2.3 Nutzung von SAP NetWeaver Process Integration ....... 511
15.3 SAP Virtual Directory Server und Identity Services ................... 514
15.3.1 Standardprotokolle und Identity Services .................... 514
15.3.2 Konfiguration und Deployment ................................... 516
15.3.3 Identity Services – Beispiele ........................................ 521
15.4 SAP BusinessObjects GRC-Integration ...................................... 524
15.4.1 Überblick über die GRC-Produkte der SAP .................. 524
15.4.2 Compliance-Phasen des
Berechtigungsmanagements ........................................ 528
15.4.3 Compliant Identity Management ................................. 532
15.4.4 Kommunikation zwischen den Komponenten ............. 536
15.4.5 Compliant Identity Management – Konfiguration der
Komponenten ............................................................. 540
16 Betrieb von SAP NetWeaver IdM ........................................ 545
16.1 Infrastruktur ............................................................................ 545
16.1.1 Sizing und Hochverfügbarkeit ...................................... 545
16.1.2 Sicherheit .................................................................... 551
16.1.3 Upgrades .................................................................... 553
16.2 Transportwesen ....................................................................... 554
16.2.1 Transport der IC-Datenbank ........................................ 554
16.2.2 Transport der Identity-Center-Konfiguration ............... 556
16.2.3 Transport der SAP Virtual Directory Server-
Konfiguration .............................................................. 560
16.3 Monitoring .............................................................................. 562
16.3.1 Jobprotokoll ................................................................ 562
16.3.2 Systemprotokoll und Trace-Protokoll .......................... 566
16.3.3 Genehmigungswarteschlange, Provisionierungs-
warteschlange und Provisionierungsaudit .................... 568
16.3.4 Historie von Einträgen ................................................. 571
16.3.5 Monitoring des SAP Virtual Directory Servers .............. 573
17 Reporting .............................................................................. 577
17.1 Report Samples ....................................................................... 578
17.1.1 Entry Report ............................................................... 578
14
11. Inhalt
17.1.2 Line Manager Report .................................................. 580
17.1.3 Privilege Report .......................................................... 581
17.1.4 Role Report ................................................................ 582
17.2 Setup der Reporting-Funktionalität .......................................... 583
17.2.1 Installation und Konfiguration der Runtime Library ..... 583
17.2.2 Erstellen eines Report Tasks im Identity Center ........... 584
17.2.3 Anfordern von Reports im IdM UI ............................... 588
17.2.4 Anzeigen von Reports ................................................. 589
17.3 Eigene Reports erstellen .......................................................... 591
17.3.1 Corporate Identity Report ........................................... 592
17.3.2 Conditional Format Report .......................................... 594
17.3.3 Data Transformation Report ........................................ 596
17.3.4 Query Report .............................................................. 598
18 Zusammenfassung und Ausblick .......................................... 599
18.1 Aktueller Stand ........................................................................ 599
18.1.1 Identity Center ............................................................ 600
18.1.2 SAP Virtual Directory Server ........................................ 600
18.1.3 SAP NetWeaver IdM User Interface ............................ 601
18.1.4 SAP NetWeaver IdM und SAP BusinessObjects
Access Control ............................................................ 601
18.1.5 SAP NetWeaver IdM und SAP BusinessObjects
Crystal Reports ............................................................ 602
18.1.6 Verfügbare Konnektoren im Identity Center ................ 602
18.1.7 SAP NetWeaver IdM und SAP HCM ............................ 603
18.2 Ausblick und »Wunschliste« für zukünftige
Produktversionen .................................................................... 603
18.2.1 Integration in den SAP Solution Manager .................... 603
18.2.2 Verschmelzung mit SAP BusinessObjects Access
Control ....................................................................... 604
18.2.3 SAP NetWeaver Composition Environment und
Business Process Management .................................... 604
18.2.4 Vorgefertigtes, sofort einsatzbereites Berichtswesen .... 605
18.3 Organisatorische Herausforderungen ....................................... 605
18.3.1 Schaffung der organisatorischen Akzeptanz von
SAP NetWeaver IdM ................................................... 605
18.3.2 Etablierung eines durchgängigen und aktuellen
Fachrollenmodells ....................................................... 606
18.4 Schluss .................................................................................... 606
15
12. Inhalt
Anhang ................................................................................. 607
A Weiterführende Literatur .................................................................... 609
A.1 Bücher und Artikel ................................................................... 609
A.2 Onlinequellen nach Kapiteln .................................................... 610
B Die Autoren ....................................................................................... 619
Index ......................................................................................................... 623
16
13. SAP NetWeaver IdM ist zentraler Bestandteil der SAP NetWeaver-
Plattform. Es wird zur Verwaltung von Identitäten und deren Berech-
tigungen in SAP- sowie Nicht-SAP-Systemlandschaften verwendet. Die-
ses Kapitel gibt einen Überblick über die zugrundeliegende Architektur
von SAP NetWeaver IdM sowie die damit verbundenen Konzepte und
Funktionalitäten.
4 SAP NetWeaver Identity Management
im Überblick
Dieses Kapitel vermittelt einen Überblick über die Funktionen, Komponenten und
Besonderheiten von SAP NetWeaver Identity Management (SAP NetWeaver IdM)
und ist damit in erster Linie an Architekten und Projektleiter gerichtet. Es eignet
sich aber auch grundsätzlich zum Einstieg, um einen ersten Überblick über die Ein-
satzmöglichkeiten dieser Komponente zu bekommen. Um die Hintergründe für
die Integration einer Identity-Management-Lösung in das SAP NetWeaver-Portfo-
lio näher zu beleuchten, gehen wir zunächst kurz auf die Historie der Benutzer-
verwaltung in SAP-Umgebungen ein. Anschließend werden die Systemkompo-
nenten im Rahmen der SAP NetWeaver IdM-Architektur beschrieben und
grundlegende Konzepte der Datenmodellierung in Verbindung mit dem Standard-
datenmodell betrachtet, um dann wiederum im Rahmen der Datensynchronisa-
tion und Provisionierung auf die Verfügbarkeit und Funktionsweise mitgelieferter
Adapter einzugehen. Alle in diesem Kapitel aufgegriffenen Aspekte werden im
technischen Teil des Buches, beginnend mit der Installation in Kapitel 8, detail-
lierter beschrieben.
4.1 Historie
Mit der Zentralen Benutzerverwaltung (ZBV) steht in SAP-Landschaften bereits seit
dem R/3-Release 4.5B bzw. 4.6C ein Werkzeug zur Verfügung, mit dem eine zen-
trale Verwaltung von Benutzer- und damit verbundenen Berechtigungsinformati-
onen in einer SAP-ABAP-Landschaft möglich ist. Die ZBV nutzt dabei die zur Daten-
verteilung mithilfe von IDocs vorhandenen ALE-Mechanismen. Mithilfe von ALE
können Benutzerdaten sowie deren zugewiesene Berechtigungsrollen in dafür
79
14. 4 SAP NetWeaver Identity Management im Überblick
definierten Nachrichtentypen an die angebundenen ZBV-Tochtersysteme übertra-
gen und – je nach den Customizing-Einstellungen – kann ein Rückfluss von lokal
gepflegten Attributen aus den Tochtersystemen ermöglicht werden.
Die Nutzung der ALE-Technologie hat neben einigen Vorteilen allerdings auch
einen zentralen Nachteil: Der Mechanismus ist grundsätzlich Systemen vorbehal-
ten, die in der Lage sind, über entsprechende ALE-Verteilungsmodelle Daten aus-
zutauschen. Somit ist eine Nutzung der ZBV zur Verwaltung von Benutzer- und
Berechtigungsinformationen in ihrem vollen Funktionsumfang auf den AS ABAP
beschränkt, sofern nicht weitere R/3-Basisfunktionalitäten wie beispielsweise der
LDAP-Adapter genutzt werden. In Abhängigkeit von der Konfiguration eines AS
Java-Systems können auch dessen Berechtigungen durch die ZBV verwaltet wer-
den. Allerdings sind hierfür manuelle Zusatzarbeiten notwendig, um die Berech-
tigungsobjekte des Java-Systems mit den im angebundenen ABAP-User-Store ver-
fügbaren Rollen zu verknüpfen. Neben den technischen Restriktionen bei der
Verwaltung unterschiedlicher Zielsystemtypen legt die ZBV außerdem den Fokus
auf die in der ABAP-Benutzerpflege (Transaktion SU01 Benutzerpflege Ein-
stieg) pflegbaren Attribute und Daten und unterstützt dabei keinerlei Prozesssteu-
erung zur Beantragung und/oder Genehmigung von Berechtigungsoperationen.
Betrachtet man das Thema Identity Management im Kontext einer zunächst sys-
temunabhängigen zentralen Verwaltung von Identitäts- und Zugriffsdaten (siehe
Kapitel 2), ist der Schritt der SAP nur konsequent, ein Werkzeug zu entwickeln,
das eine historisch gewachsene und heterogene Systemlandschaft, bestehend aus
SAP-Systemen, Verzeichnisdiensten, Windows-Anwendungen sowie Datenbank-
anwendungen und sonstigen Eigenentwicklungen mit Identitäts- und Berechti-
gungsinformationen versorgen kann. Bis zu diesem Zeitpunkt gab es für SAP-Kun-
den, die ihre Identitäten zentral verwalten wollten, letztlich nur zwei Alternativen:
entweder ein Third-Party-Tool1 für die Verwaltung der kompletten Systemumge-
bung einzusetzen oder die ZBV für die SAP-Umgebung zu nutzen und für die rest-
lichen Systeme ein anderes Werkzeug zu integrieren.
Die Erweiterung des SAP NetWeaver-Portfolios durch ein Identity-Management-
Werkzeug für heterogene System- und Anwendungslandschaften wurde mit der
Akquisition von MaxWare in die Tat umgesetzt – mit dem Anspruch, weiterhin
die komplexer werdende SAP-Umgebung hinsichtlich Identitätsdaten verwalten
und zusätzlich auch Nicht-SAP-Systeme an dieselbe zentrale Identity-Manage-
ment-Infrastruktur anbinden zu können.
1 Perkins, Earl; Carpenter, Perry: Magic Quadrant for User Provisioning. Gartner RAS Core
Research Note G00159740. http://mediaproducts.gartner.com/reprints/novell/159740.html
(1.06.2009)
80
15. Historie 4.1
Die Computerwoche schrieb am 14. Mai 2007: »Identity-Management-Systeme die-
nen in komplexen Applikationsumgebungen dazu, Benutzer- und Zugriffsrechte
übergreifend zu verwalten. Einerseits senkt dies die Verwaltungskosten, anderer-
seits erhöht es die Sicherheit. Da in serviceorientierten Umgebungen eine Vielzahl
unterschiedlicher Softwarekomponenten, Unternehmen (Lieferanten, Kunden und
Partner) sowie Endanwender miteinander interagieren, steigt dort der Bedarf an
Identity-Management.«2 SAP NetWeaver IdM nimmt damit in Zukunft mit einem
erweiterten Funktionsumfang durch Genehmigungsworkflows, Reporting-Funkti-
onalität, die Nutzung komplexer Rollenmodelle und Regelwerke zur Automatisie-
rung der Berechtigungsverwaltung sowie zusätzlicher Adapter für die Anbindung
weiterer Anwendungen die Position der ZBV ein. Die von SAP NetWeaver IdM
bereitgestellten Funktionalitäten lassen sich wie folgt zusammenfassen:
Metaverzeichnis
Synchronisation, Konsolidierung und zentrale Datenhaltung der zu verwalten-
den Identitätsdaten in einem auf einer relationalen Datenbank basierenden Me-
taverzeichnis, dessen Datenmodell flexibel erweitert werden kann.
Prozesssteuerung
Aufbau komplexer Workflows zur Verwaltung der Identitätsdaten und Bean-
tragung von Berechtigungen mit Workflow-Mechanismen wie beispielsweise
der Umsetzung mehrstufiger Genehmigungsstrategien auf Basis paralleler und
sequenzieller Verarbeitung von Anträgen durch Budgetverantwortliche, Vor-
gesetzte, Daten- oder Systemverantwortliche inklusive der dynamischen Ermitt-
lung von Prozessbeteiligten sowie der Konfiguration von Eskalations- und Be-
nachrichtigungsmechanismen. SAP NetWeaver IdM erlaubt zusätzlich sowohl
die Nutzung von Self-Services als auch die Möglichkeit delegierter Administra-
tionsaufgaben in Abhängigkeit von Organisation, Zuständigkeit oder anderen
gepflegten Attributen.
Automatisierte und regelbasierte Provisionierung
Auf Regelwerken basierende Anlage, Modifikation und Sperrung/Löschung
von Benutzern in den angebundenen und verwalteten Systemen. Durch die Ab-
bildung hierarchischer Rollenmodelle ist sowohl eine explizite (direkte) als
auch eine implizite (vererbbare) Zuweisung von Berechtigungen unter Berück-
sichtigung von gepflegten SoD-Konflikten (Segregation of Duties) durch SAP
NetWeaver IdM möglich.
Password Management
Zentrale Verwaltung und Provisionierung von Passwörtern in SAP NetWeaver
IdM inklusive der Abbildung von Szenarien zur Passwortrücksetzung.
2 Niemann, Frank: Update: SAP füllt mit MaxWare eine lange klaffende Lücke in NetWeaver.
http://www.computerwoche.de/knowledge_center/enterprise_resource_planning/592733/
(14.05.2007)
81
16. 4 SAP NetWeaver Identity Management im Überblick
Reporting und Audit
Erzeugung von Berichten auf den aktuellen und den historischen Datenbestand
mithilfe von SAP BusinessObjects Crystal Reports.
Die Abschnitte dieses Kapitels beschreiben die Architektur, die zentralen Kompo-
nenten sowie die Hauptfunktionalitäten und Prinzipien von SAP NetWeaver IdM.
Ziel ist es, einen grundsätzlichen Überblick zu geben und die wichtigsten Begriffe
und Möglichkeiten in den Bereichen Datenmodellierung inklusive Rollenmodel-
len (siehe Kapitel 10) und Workflow-Steuerung (siehe Kapitel 13), Provisionierung
(siehe Kapitel 11 und Kapitel 14), Monitoring (siehe Kapitel 16) und Reporting
(siehe Kapitel 17) einführend zu erläutern.
4.2 Architektur
SAP NetWeaver IdM besteht aus zwei zunächst unabhängigen Komponenten: dem
Identity Center (IC) und dem SAP Virtual Directory Server (SAP VDS). Das Identity
Center bildet mit seinem Datenmodell auf Basis einer relationalen Datenbank, das
mithilfe der Administrationskonsole ohne Programmieraufwand erweitert wer-
den kann, das »Herzstück« des eigentlichen Identity-Management-Systems und
stellt somit die im letzten Abschnitt beschriebenen grundlegenden Funktionalitä-
ten zur Verfügung. Die Verwendung einer relationalen Datenbank bietet dabei,
verglichen mit einem reinen Verzeichnisdienst, zusätzlich den Vorteil der trans-
aktionalen Sicherheit. Während in einem Verzeichnisdienst immer die aktuelle
Repräsentation eines Objekts in Form einer flachen Liste von Attributen abgelegt
wird, erlaubt die Nutzung einer relationalen Datenbank außerdem die Speiche-
rung historischer Werte sowie die Verknüpfung weiterer Daten beispielsweise zu
Reporting-Zwecken.
Der SAP Virtual Directory Server hingegen stellt die Funktionalität für den zentra-
len und virtualisierten Echtzeitzugriff auf mehrere Datenquellen im Sinne einer
Middleware mit speziellen Transformationsfunktionen – wie beispielsweise der
Transformation von Attributwerten oder der Anreicherung aus anderen Daten-
quellen zum Zeitpunkt der Abfrage – und der Unterstützung bestimmter, im IdM-
Umfeld gängiger Protokolle wie LDAP oder SPML3 (Service Provisioning Markup
Language) zur Verfügung. Dies gilt sowohl für den Zugriff auf externe Datenquel-
len (aus Sicht des Identity Centers) als auch für den Zugriff auf die im Identity Cen-
3 SPML ist ein offener Standard für die Integration und Übermittlung von Service-Provisio-
nierungsanfragen. SPML Version 1.0 wurde im Oktober 2003 von OASIS (Organization for
the Advancement of Structured Information Standards) als Standard freigegeben. Aktuelle In-
formationen finden Sie unter http://www.oasis-open.org/specs/index.php#spmlv2.0 (Stand: Au-
gust 2009).
82
17. Architektur 4.2
ter verwalteten Identitätsdaten (für Beispiele relevanter Anwendungsfälle siehe
Abschnitt 4.2.2).
4.2.1 Identity Center
Das Identity Center lässt sich in drei Ebenen (siehe Abbildung 4.1) unterteilen:
UI-Komponenten
Datenbank und Identity Store(s)
Laufzeitkomponenten (IC Runtime)
In den folgenden Abschnitten werden die oben dargestellten Bestandteile des
Identity Centers näher erläutert. Eine vierte Ebene bilden die Quell- und Zielsys-
teme, auf die wir in Abschnitt 4.4 eingehen werden.
UI-Komponenten (1)
Administrator Console Überwachung/Workflow und End-User-Interface
Microsoft Management Console (MMC) SAP NetWeaver Application Server Java
IC-Datenbank (2)
Event (De-)Zentrale
Agent(s)
IC Runtime (3) Dispatcher
SAP NetWeaver SAP NetWeaver Verzeichnis- Sonstige
Datenbanken
ABAP Java dienste Nicht-SAP
Quell- und Zielsysteme (4)
Abbildung 4.1 Bestandteile des Identity Centers
In Bezug auf die UI-Komponenten besteht das Identity Center (IC) aus zwei Teilen:
dem SAP NetWeaver IdM UI, das auf dem Java-basierten Teil des AS Java instal-
liert wird4, und der Administrationskonsole (IC Console) für Entwicklungs- sowie
4 Die unterstützten Versionen können Sie – wie auch für andere SAP NetWeaver-Komponen-
ten – der Product Availability Matrix (PAM) unter http://service.sap.com/pam entnehmen
(Stand: August 2009).
83
18. 4 SAP NetWeaver Identity Management im Überblick
Konfigurations- und Customizing-Arbeiten, die mithilfe eines Plug-ins in der Mi-
crosoft Management Console (MMC) zur Verfügung gestellt wird.
Auf dem SAP NetWeaver AS werden neben dem Monitoring-Interface die Kom-
ponenten für den Zugriff auf das zentrale End-User-Interface und die damit ver-
fügbaren Workflow-Masken bereitgestellt. Die Benutzerverwaltung eines ange-
bundenen AS Java (UME) zur Bereitstellung der UI-Komponenten enthält die
Benutzer, die später Zugriff auf Identity-Management-Inhalte in Form von Em-
ployee- oder Manager-Self-Services haben sollen. Dabei gelten bei der UME-Konfi-
guration keine Einschränkungen bezüglich nutzbarer Authentisierungsquellen. In
allen Fällen gilt, dass das Identity Center für die Anlage, Änderung und Verteilung
der Benutzer in dem entsprechenden User Store sorgt und somit den verwalteten
Identitäten einen Zugang zum IdM UI zur Änderung persönlicher Daten oder
Beantragung von Zugriffsrechten bzw. sonstigen Ressourcen gestattet.
Die Web-Dynpro-Komponenten für die Workflow-Masken werden zumeist auf
einer bestehenden SAP NetWeaver-Portal-Landschaft aktiviert. Ein zentrales
Unternehmensportal stellt in vielen Unternehmen bereits heute den Einstieg in
zahlreiche Applikationen dar, beispielsweise Anwendungen aus dem Personalbe-
reich wie das Zeit- und Reisemanagement, eine Vielzahl von Reporting- und Pla-
nungsanwendungen oder Kollaborationswerkzeuge. Steht kein solches Unterneh-
mensportal auf SAP NetWeaver-Basis zur Verfügung, kann das SAP NetWeaver
IdM UI auf einem eigenen AS Java-System als Bestandteil des SAP NetWeaver IdM-
Systems installiert werden. In beiden Fällen gilt, dass im UI keinerlei Programm-
bzw. Provisionierungslogik abläuft und somit auch keine Beeinträchtigung des ver-
wendeten AS Java – mit Ausnahme der eventuell steigenden Benutzerzahl – zu
erwarten ist. Abbildung 4.2 zeigt die Sicht auf das SAP NetWeaver IdM UI in der
Version 7.1.
Abbildung 4.2 End-User-Interface – Self-Services
84
19. Architektur 4.2
Das UI teilt sich in fünf Bereiche, die in Abhängigkeit von der SAP NetWeaver
IdM-Rolle der angemeldeten Benutzer sichtbar sind (siehe auch Kapitel 12):
Self-Services
Zu erledigen
Verwalten
Historie
Überwachung
Die Registerkarte Self-Services enthält eine Liste von Links, mit denen der ange-
meldete Benutzer beispielsweise Berechtigungen für sich anfordern oder den Teil
seiner eigenen Daten ändern kann, der für die direkte Änderung im Rahmen des
entsprechenden Self-Services freigegeben ist. Alle Aktionen betreffen immer sei-
nen eigenen Benutzerstammsatz. Diese Registerkarte ist für jeden Benutzer sicht-
bar, der im Identity Store erfasst und als aktiv gekennzeichnet ist.
Die Registerkarte Zu erledigen (Abbildung 4.3) stellt den Arbeitsvorrat im Hin-
blick auf anstehende Aktivitäten, wie die Genehmigung von Anträgen oder die
Erfassung zusätzlicher Daten, des angemeldeten Benutzers im Identity Center dar.
Eine Integration in die Universal Worklist (UWL) in SAP NetWeaver Portal ist mög-
lich (für weiterführende Informationen siehe Literaturverzeichnis).
Abbildung 4.3 End-User-Interface – Arbeitsvorrat
Die Registerkarte Verwalten (Abbildung 4.4) bietet die Möglichkeit, delegierte
Aufgaben durchzuführen, also beispielsweise die Daten von anderen Personen zu
ändern oder als Vorgesetzter Berechtigungen für die eigenen Mitarbeiter zu bean-
tragen. Die Registerkarten Historie und Überwachung sind technischer Natur
und bleiben im Normalfall berechtigten Administratoren vorbehalten. In der His-
torie werden abgearbeitete Genehmigungsaufgaben angezeigt (Abbildung 4.5).
85
20. 4 SAP NetWeaver Identity Management im Überblick
Abbildung 4.4 End-User-Interface – Verwalten
Abbildung 4.5 End-User-Interface – Historie
Die Informationen auf der Registerkarte Überwachung gestatten sowohl Einblick
in Job- und Systemlog als auch eine Sicht auf die Warteschlange für Genehmi-
gungsaufgaben und Provisionierungstasks (siehe Abbildung 4.6).
Mit der eingangs erwähnten IC Console kommt der Endanwender und Prozess-
beteiligte nicht in Berührung. Sie ist somit Entwicklern und Systemadministrato-
ren vorbehalten. Die IC Console spielt vor allem bei der Implementierung und
dem Betrieb der SAP NetWeaver IdM-Lösung eine zentrale Rolle. Details zu ihrer
Nutzung sind deshalb auch ab Kapitel 8 zu finden. Über die IC Console wird der
Bereich der Datenbank gepflegt, der die Entwicklungs- und Customizing-Einstel-
lungen enthält.
86
21. Architektur 4.2
Hier werden u. a. folgende Informationen gespeichert:
Datenmodellbeschreibungen (siehe Kapitel 10)
Konfigurationsdaten von angebundenen Systemen (siehe Abschnitte 4.4.2 und
9.1.2)
Konfiguration für Workflow-Abläufe (siehe Kapitel 13)
Einstellungen für Masken (siehe Kapitel 12)
Regeln zu Datensynchronisation und -transformation sowie zu zeitgesteuerten
Ladevorgängen und Skripten (siehe Kapitel 11)
Abbildung 4.6 End-User-Interface – Überwachung
Neben den Customizing-Einstellungen bilden die konfigurierbaren Identity
Store(s) den zweiten zentralen Bestandteil einer SAP NetWeaver IdM-Datenbank-
instanz. In einem Identity Store werden die eigentlichen Identitätsdaten – basie-
rend auf dem zugrunde liegenden Datenmodell – verwaltet. Dazu gehören in
jedem Fall:
Benutzerstammsätze (siehe Abschnitte 4.3.1 und 10.1.2)
technische Rollen (siehe Abschnitte 4.3.1 und 10.1.3)
Geschäftsrollen (siehe Abschnitte 4.3.1 und 10.1.4)
(dynamische) Gruppen (siehe Abschnitte 4.3.1 und 10.1.5)
Objekte für noch zu genehmigende oder zeitlich abgegrenzte Identitätsinfor-
mationen (siehe Abschnitte 4.3.1 und 10.1.6)
Anträge und kundenspezifische Objekte (siehe Abschnitt 10.2)
87
22. 4 SAP NetWeaver Identity Management im Überblick
Zusätzlich zu den eigentlichen Daten gehören auch die Regelwerke zur Reaktion
auf Ereignisse (Hinzufügen/Ändern/Löschen) zum jeweiligen Identity Store.
Neben den aktuellen Datenbeständen werden in den dafür vorgesehenen Daten-
banktabellen (siehe Abschnitt 10.3) die historischen Werte der verwalteten
Objektklassen sowie Audit-Informationen über beantragte und genehmigte Res-
sourcen für Auswertungszwecke vorgehalten. Mit Ausnahme sogenannter Job,
Pass und Repository Templates, die der Anbindung zusätzlicher Systeme sowie der
Konfiguration von Standardjobs und Provisionierungsaufgaben im Rahmen von
Entwicklungs- und Konfigurationstätigkeiten dienen, stehen alle Daten für den
Betrieb von SAP NetWeaver IdM in der zentralen Datenbankinstanz zur Verfü-
gung. Templates werden dagegen auf dem Filesystem abgelegt und können bei den
Konfigurationsarbeiten in der Administrationskonsole als Vorlage genutzt werden.
Die Laufzeitkomponenten (IC Runtime) bilden neben den UI-Komponenten und
der Datenbank die dritte Schicht der Identity-Center-Architektur. Grundsätzlich
lassen sich zwei Laufzeitkomponenten unterscheiden: Dispatcher und Event
Agents. Dispatcher werden konfiguriert, um Warteschlangen mit Jobs, Workflow-
und Provisionierungsaufgaben abzuarbeiten, und sind somit das »ausführende Or-
gan« innerhalb von SAP NetWeaver IdM. Es können in jedem Unternehmen ein
oder mehrere Dispatcher in der Systemlandschaft verteilt konfiguriert werden.
Dabei kann u. a. festgelegt werden, welche Art von Aufgaben ein bestimmter Dis-
patcher erfüllt und in welchen Intervallen er dies tun soll. Eine verteilte Installation
von mehreren Dispatchern kann aus Gründen der Lastverteilung sinnvoll, aber
auch unter netzwerktopologischen Gesichtspunkten (Sicherheit, Firewall, Ge-
schwindigkeit etc.) notwendig sein. Außerdem besteht die Möglichkeit, eine Ent-
kopplung bestimmter hoch priorisierter oder eher unkritischer Aufgaben zu er-
reichen (siehe Kapitel 16).
In Release 7.1 von SAP NetWeaver IdM wird der Dispatcher noch immer für die
beiden Laufzeitumgebungen Windows und Java ausgeliefert. Das hat u. a. den
Grund, dass es auch im SAP Provisioning Framework (siehe Kapitel 14) noch aus-
gelieferte Bestandteile der Instrumentierung gibt – beispielsweise für das User
Management des Microsoft Active Directorys –, die die Windows-Laufzeit voraus-
setzen, da sie Windows-spezifische Funktionalitäten wie beispielsweise das Active
Directory Services Interface (ADSI) nutzen. Das Ziel von SAP ist aber, in Zukunft
mit der Java-Laufzeitumgebung auszukommen und die Windows-Laufzeit nicht
mehr zu nutzen, um eine entsprechende Plattformunabhängigkeit der IC-Runtime-
Komponenten zu gewährleisten.
Event Agents, die zweite Laufzeitkomponente, werden verwendet, um in Quell-
und/oder Zielsystemen Ereignisse abzufangen, die im Identity Center wiederum
die Ausführung von Jobs oder Tasks initiieren können (für weiterführende Infor-
mationen siehe Literaturverzeichnis). Ein einfaches Beispiel ist die Überwachung
88
23. Architektur 4.2
einer Datei durch einen Event Agent, der ein Ereignis auslöst, sobald die Datei aktu-
alisiert wurde. Daraufhin kann im Identity Center eine Aktion angestoßen werden,
die in Verbindung mit dem Delta-Handling die geänderten Datensätze aus der über-
wachten Datei in den Identity Store lädt. Event Agents stehen im Auslieferungs-
zustand lediglich für die folgenden wenigen Anwendungsfälle zur Verfügung:
Überwachung von Anlage, Änderung oder Löschung von Objekten im Micro-
soft Active Directory
Überwachung von Änderungen in Datenbanken
Überwachung von Dateien und Verzeichnissen
Überwachung von Änderungen in weiteren LDAP-Verzeichnissen
Mithilfe einer Java-API können weitere Vorlagen für die Aktivierung von Event
Agents für den jeweiligen Anwendungsfall gebaut werden. Die Nutzung von Java
garantiert, wie oben beschrieben, auch hier die Plattformunabhängigkeit. Genau
wie der Dispatcher kann ein Event Agent in der Systemlandschaft auf unterschied-
lichen Systemen verteilt werden und so die auf den relevanten Systemen lokal auf-
tretenden Ereignisse abfangen bzw. weiterleiten, um weitere Aktionen auszulö-
sen. Sowohl Dispatcher als auch Event Agents lassen sich als lauffähige Services
konfigurieren, die in die Startup-Sequenzen der unterstützten Systemplattformen
eingebunden werden können.
Die Java-Laufzeitkomponenten nutzen unterschiedliche Klassen, um die Konnek-
tivität zu den Quell- und Zielsystemen herzustellen. Eine zentrale Klasse ermöglicht
dabei den Zugriff mithilfe von LDAP. Dieses Protokoll zum Zugriff auf Verzeich-
nisdienste wird – neben anderen Protokollen wie SPML und Webservice – auch vom
Virtual Directory Server unterstützt. Dieser spielt eine wichtige Rolle für verschie-
dene Schnittstellen (beispielsweise bei der GRC-Integration oder der Kommuni-
kation mit dem LDAP-Adapter im Rahmen der SAP Business Suite-Integration) und
wird in Zukunft durch die Verfügbarkeit der genannten Identity Services immer
mehr in den Mittelpunkt der Kommunikation mit dem Identity Center rücken.
4.2.2 SAP Virtual Directory Server
Der SAP Virtual Directory Server (SAP VDS) stellt grundsätzlich Funktionalitäten
für den virtualisierten und standardisierten Zugriff auf Datenquellen im Sinne
einer Middleware zur Verfügung. Er liefert damit spezielle Transformationsfunk-
tionen und unterstützt bestimmte, im Identity-Management-Umfeld gängige Pro-
tokolle wie LDAP oder SPML. Obwohl der SAP VDS im Rahmen der SAP NetWea-
ver IdM-Architektur zunächst eine optionale Komponente darstellt, nimmt er vor
allem hinsichtlich der Integration mit anderen Systemen sowie der Anreicherung
von Informationen aus unterschiedlichen Quellen eine zentrale Rolle ein. So wird
89
24. 4 SAP NetWeaver Identity Management im Überblick
der SAP VDS beispielsweise für die HCM-Integration (siehe Abschnitte 4.5.1 und
15.2.1) sowie zur Integration mit SAP BusinessObjects Access Control (siehe
Abschnitt 15.4) verwendet. SAP liefert hierzu die nötige Instrumentierung sowohl
für das Identity Center als auch für den SAP VDS aus. Einige Beispiele für Anwen-
dungsfälle einer Verwendung des SAP VDS sind neben den bereits genannten Inte-
grationen:
virtualisierter Zugriff auf unterschiedliche Datenquellen, wie Identity Stores
des Identity Centers, Datenbanken oder Directory Services Markup Language
v2 (DSMLv2), über LDAP und SPML
Mapping und Transformation von einzelnen Attributwerten während des Zu-
griffs, um den Anforderungen an Datenformate unterschiedlicher Quell- und
Zielsysteme gerecht werden zu können
Zusammenfassung von Attributen unterschiedlicher Systeme in einer Anfrage.
Für die anfragende Anwendung ist nur eine Datenquelle sichtbar.
Einschränkung von verfügbaren Attributen und Filterung der Wertemenge von
Daten in Abhängigkeit von den Anmeldeinformationen des anfragenden Be-
nutzers
dynamische Ermittlung der Verbindungsdaten in Abhängigkeit von Attributen
des Anwenders (beispielsweise E-Mail-Adresse)
Zusätzlich zur grundlegenden Funktionalität für die Umsetzung der beschriebe-
nen Anwendungsfälle übernimmt der SAP VDS durch die Unterstützung von Pro-
tokollen wie LDAP, HTTP, SOAP und SPML im Zusammenspiel mit anderen SAP
NetWeaver-Komponenten die Bereitstellung sogenannter Identity Services. Iden-
tity Services stellen im Kontext von SAP NetWeaver IdM einen zentralen und stan-
dardisierten Zugriffspunkt über Webservices und SPML für die Abfrage und die
Verwaltung von Identitätsinformationen der kompletten Systemumgebung zur
Verfügung. Außerdem ist mit dem SAP VDS ein Werkzeug vorhanden, das durch
Nutzung der integrierten API die flexible Anbindung weiterer Systeme verein-
facht. Weitere Informationen zur detaillierten Architektur, den Identity Services
sowie weiteren Use Cases erhalten Sie in Abschnitt 15.3.
4.2.3 Gesamtarchitektur – Identity Center und SAP VDS
Kombiniert man die beiden Komponenten Identity Center und SAP VDS, entsteht
eine Gesamtarchitektur mit einer sehr umfangreichen Schnittstelle für den einfa-
chen Zugriff. Dies dient letztlich der Verwaltung, Verteilung und Bereitstellung
der Identitätsdaten in der kompletten Unternehmenssystemlandschaft über einen
zentralen Einstiegspunkt: SAP NetWeaver IdM.
90
25. Daten- und Rollenmodell 4.3
Wie aus Abbildung 4.7 ersichtlich ist, können in der aktuellen Version Anwen-
dungen und Systeme sowohl direkt über die technischen Adapter des Identity
Centers als auch über den VDS angebunden werden. Allerdings wird die Anbin-
dung weiterer Systeme in Zukunft mithilfe des SAP VDS erfolgen. Zum einen han-
delt es sich um angebotene Schnittstellen, die auf einem offiziellen Standard basie-
ren, und zum anderen lässt der SAP VDS direkte Anfragen zum Lesen, Ändern und
Löschen von Identitätsdaten zu. Im Gegensatz dazu müssen die Adapter des Iden-
tity Centers immer vom Identity Center selbst – beispielsweise durch erzeugte
Ereignisse der Event Agents – getriggert werden, um Daten abzuholen, zu vertei-
len oder Benutzerkonten und Berechtigungen zu provisionieren.
Sonstige Systeme und Anwendungen
Identity Services
SAP Virtual Directory
End-User-Inferface
Server (SAP VDS)
Identity Center (IC)
(De-)Zentrale Event
IC-Datenbank Dispatcher Agent(s)
Connector Framework
Identity
Services
Sonstige Sonstige
SAP HCM SAP GRC SAP ABAP SAP Java
(Nicht-SAP) (Nicht-SAP)
Quell- und Zielsysteme Quell- und Zielsysteme
Abbildung 4.7 Gesamtarchitektur – Identity Center und SAP VDS
4.3 Daten- und Rollenmodell
Dieser Abschnitt gibt einen Überblick über die Möglichkeiten der Datenmodellie-
rung im Identity Center. Eine genaue Beschreibung aller benannten Komponenten
und Bestandteile sowie deren Funktionen finden Sie in den Kapiteln 9 und 10. In
der IC-Datenbank wird mithilfe der Administrationskonsole das Datenmodell für
einen oder mehrere Identity Stores definiert und verwaltet – das sogenannte Iden-
91
26. 4 SAP NetWeaver Identity Management im Überblick
tity-Store-Schema5. Das Datenmodell ist dabei die Grundlage einer SAP NetWeaver
IdM-Installation und -Konfiguration und bildet damit die Basis für eine erfolgrei-
che Implementierung. Im Rahmen einer Standardinstallation werden alle im Stan-
darddatenmodell definierten Objektklassen sowie deren Eigenschaften in einem
Identity Store angelegt, die für die grundsätzliche Funktionsweise des Systems,
vordefinierte Funktionen (beispielsweise der abgrenzbaren Zuweisung von
Berechtigungen) sowie für das von SAP ausgelieferte SAP Provisioning Framework
(siehe Kapitel 14) benötigt werden. Die Anpassung im Identity Center auf die spe-
ziellen Anforderungen in der Systemlandschaft – vor allem bezogen auf die umzu-
setzenden Prozesse – setzt allerdings in den meisten Fällen auch die Erweiterung
des bestehenden Datenmodells voraus und damit die Ausarbeitung eines soliden
Konzepts. Grundsätzlich sollte das Konzept für ein Datenmodell die folgenden
Einflussfaktoren und Fragestellungen berücksichtigen:
Welche Informationen sollen mit welchem Detailgrad im Identity Store abge-
bildet werden, und für welche Anwendungsfälle werden die Daten benötigt?
Welche Objektklassen werden dafür benötigt?
Welche Attribute sind Bestandteil dieser Objektklassen?
Werden Attribute mehrsprachig oder einsprachig gepflegt?
Stehen die Objekte miteinander in Beziehung? Handelt es sich dabei um eine
1:1-, 1:n- oder eine m:n-Beziehung?
Reicht es eventuell aus, Informationen als Wert eines bestimmten Attributs ei-
ner Entität zu speichern, oder muss die Information mithilfe einer Objektklasse
abgebildet werden, zu der dann entsprechende Relationen aufgebaut werden?
Welche Attribute und Objekte haben Steuerungsfunktionen in späteren An-
trags- und Genehmigungsprozessen?
Welche Attribute sind führend in welchem System? Können Prioritäten festge-
legt werden?
In welcher Form sollen die Informationen im User Interface präsentiert wer-
den? Welche Validierungen sollen bei der Eingabe der Attributwerte angewen-
det werden?
Welche Quellen (angebundene Quell- und Zielsysteme oder manuelle Eingabe-
prozesse) sind führend für die verwendeten Attribute?
Welche Transformationen müssen beim Beziehen der Daten aus den Quellen
durchgeführt werden?
5 Eine detaillierte Beschreibung des ausgelieferten Datenmodells finden Sie im Dokument
mit dem Titel SAP NetWeaver Identity Management Identity Center Identity Store Schema –
Technical Reference im SDN unter https://www.sdn.sap.com/irj/sdn/nw-identitymanagement
(Stand: August 2009).
92
27. Daten- und Rollenmodell 4.3
Wie lange müssen (historische) Daten im Rahmen geltender Audit-Anforderun-
gen im System vorgehalten werden?
Die Liste der Fragestellungen könnte an dieser Stelle noch fortgesetzt werden.
Wichtig ist, dass letztlich genau die Informationen abgebildet werden, die zur Ver-
waltung der Identitäten und Steuerung der dafür notwendigen Prozesse benötigt
werden – nicht weniger, aber auch nicht mehr.
4.3.1 Daten- und Rollenmodell im Identity Store
Das Datenmodell mit Objektklassen und deren Eigenschaften definiert sich im
Identity Center über sogenannte Entry Types und die dazugehörenden Attribute.
Ein Entry Type entspricht dabei einer Objektklasse für die Abbildung von ausge-
wählten Informationen der jeweiligen Entität, beispielsweise einer Person mit den
Attributen Vorname und Nachname. Attribute werden zunächst unabhängig vom
Entry Type definiert. Anschließend wird festgelegt, welches Attribut für welchen
Entry Type genutzt werden kann. Ein Attribut hat verschiedene Eigenschaften, die
gepflegt werden müssen. Dazu gehören:
Datentyp für die Speicherung des Attributwerts im Identity Store
Anzeigetyp im UI (Checkbox, Radio Button, Dropdown-Liste etc.)
Anzeigenamen im UI (dieser kann mehrsprachig gepflegt werden)
ein- oder mehrsprachig hinterlegte gültige Wertelisten
Validierungsfunktionen in Form regulärer Ausdrücke6
führende Systeme für dieses Attribut
Festlegung von Aktionen, die bei Anlage, Änderung oder Löschung des Attri-
buts ausgeführt werden sollen. Mit diesen Aktionen können beispielsweise
Verteilungsvorgänge in Zielsysteme gestartet werden, sobald sich das jeweilige
Attribut ändert.
Auf den Entry Types basierende Objekte können miteinander – auch hierarchisch
– in Beziehung stehen. Dabei sorgt das Identity Center für die Integrität der Daten,
sodass eine Beziehung zwischen Objekten immer bidirektional angelegt, modifi-
ziert oder entfernt wird. Jedes angelegte Objekt wird in Form von Attribut-
name/Attributwert-Paaren anhand des gültigen Schemas im Identity Store abgelegt
und hat immer ein eindeutiges Schlüsselattribut (MSKEYVALUE). Dieses Attribut ist
innerhalb des kompletten Identity Stores und über alle Entry Types eindeutig und
ein Pflichtfeld. Deshalb gehört neben der Klärung zuvor genannter Fragestellungen
6 Ein regulärer Ausdruck ist eine Zeichenkette, die der Beschreibung von Mengen bezie-
hungsweise Untermengen von Zeichenketten mithilfe bestimmter syntaktischer Regeln
dient.
93
28. 4 SAP NetWeaver Identity Management im Überblick
auch die Definition eines Namenskonzepts für dieses Schlüsselattribut zu den Auf-
gaben der Datenmodellierung. Neben dem Schlüsselattribut MSKEYVALUE ist auch
das Attribut MX_ENTRYTYPE ein Pflichtfeld für alle Objekte und definiert, zu welcher
Objektklasse ein bestimmter Eintrag gehört. Die folgenden Entry Types – immer
mit dem Namensraum MX_ als von SAP definierte Objekte gekennzeichnet – wer-
den im Rahmen einer Standardinstallation im Identity Store angelegt (Tabelle 4.1).
Entry Type Kurze Beschreibung
Identität/Person Zentrale Objektklasse zur Verwaltung einer digitalen Identität.
(MX_PERSON) Dies sind meist Personen, also interne oder externe Mitarbei-
ter oder Geschäftspartner (siehe Abschnitt 10.1.2).
Berechtigung/ Objektklasse zur Verwaltung und Pflege von Berechtigungsob-
technische Rolle jekten angebundener Systeme. Objekte vom Typ MX_PRIVI-
(MX_PRIVILEGE) LEGE können beispielsweise Einzel- oder Sammelrollen aus
ABAP-Systemen, Java-Rollen oder Java-Gruppen aus SAP-
Java-Systemen, Sicherheitsgruppen aus dem Active Directory
etc. sein. In der Identity-Center-Dokumentation wird von
technischen Rollen gesprochen (siehe Abschnitt 10.1.3).
Rolle/Business-Rolle Im Gegensatz zum Typ MX_PRIVILEGE können mit dem Entry
(MX_ROLE) Type MX_ROLE Rollen verwaltet werden, die Objekte vom Typ
MX_PRIVILEGE aus unterschiedlichen Systemen enthalten. In
der Identity-Center-Dokumentation wird von Fachrollen oder
Business-Rollen gesprochen. Objekte vom Typ MX_ROLE erlau-
ben Vater/Kind-Beziehungen und somit den Aufbau von kom-
plexen hierarchischen, aber nicht zyklischen Rollenmodellen
mit beeinflussbarer Vererbungsfunktion (siehe Abschnitt
10.1.4).
Dynamische Gruppe Der Entry Type MX_DYNAMIC_GROUP erlaubt die Verwaltung
(MX_DYNAMIC_GROUP) von Regelwerken zur Ermittlung von Gruppenmitgliedern auf
Basis bestimmter Filterkriterien (Attributkombinationen).
Durch die Zugehörigkeit zu einer dynamischen Gruppe können
beispielsweise Rechte vergeben werden, die wieder automa-
tisch entzogen werden, sobald die entsprechende Person nicht
mehr den Filterkriterien entspricht (siehe Abschnitt 10.1.5).
Wert in Bearbeitung Die Objektklasse MX_PENDING_VALUE gestattet es, Attribute,
(MX_PENDING_VALUE) die zeitlich abgegrenzt bzw. deren Gültigkeit zeitlich befristet
ist oder für die noch eine Genehmigung aussteht, so im Sys-
tem abzulegen, dass das System am Anfang bzw. am Ende des
Gültigkeitszeitraums für die Änderung des Wertes an der ent-
sprechenden Person sorgt (siehe Abschnitt 10.1.6).
Tabelle 4.1 Objektklassen im Standarddatenmodell
94
29. Daten- und Rollenmodell 4.3
Entry Type Kurze Beschreibung
Gruppe Der Entry Type MX_GROUP dient zum Aufbau von Gruppen-
(MX_GROUP) hierarchien im Identity Store. Aus einer Gruppenmitgliedschaft
kann wiederum die Zuweisung einer Berechtigungsrolle resul-
tieren. So werden beispielsweise bei der Anbindung eines
Active Directorys Gruppen sowohl als MX_PRIVILEGE als auch
als MX_GROUP abgebildet. Über die Gruppenzugehörigkeit kön-
nen somit wiederum implizit beispielsweise weitere Berechti-
gungen vergeben werden (siehe Kapitel 10 und Abschnitt
14.3).
Firmenadresse Entry Type zur Verwaltung und Pflege der Adressattribute
(MX_COMPANY_ einer Firmenadresse. Die Attribute dieses Entry Types sind an
ADDRESS) die im ABAP-Stack verfügbaren Firmenadressattribute ange-
lehnt (siehe Kapitel 10 und Abschnitt 14.3).
Anwendung Der Entry Type MX_APPLICATION wird im Rahmen der Identity
(MX_APPLICATION) Services sowie der SAP Business Objects GRC-Integration zur
Gruppierung von Berechtigungsrollen auf Anwendungsebene
verwendet (siehe Abschnitte 15.3 und 15.4).
Asynchroner Request Dieser Entry Type wird im Rahmen der Nutzung des SAP VDS
vom VDS genutzt, um Objekte nicht synchron im Identity Store zu
(MX_ASYNC_REQUEST) ändern, sondern zunächst einen »temporären« Eintrag anzule-
gen, der dann auch die Nutzung des Delta-Mechanismus beim
Fortschreiben der Werte gestattet (siehe Kapitel 10 und
Abschnitt 15.3).
Beantragter/erzeug- Der Entry Type MX_REPORT wurde mit der Version 7.1. SP02
ter Report eingeführt und enthält beantragte, in Bearbeitung befindliche
(MX_REPORT) oder erzeugte Reports (siehe Kapitel 10 und Ábschnitt
17.2.2).
Tabelle 4.1 Objektklassen im Standarddatenmodell (Forts.)
Das ausgelieferte Standarddatenmodell und die eingebaute Anwendungslogik
erlauben durch die Nutzung der dargestellten Objektklassen den Aufbau umfang-
reicher Rollenmodelle, mit deren Hilfe sowohl eine explizite (direkte) als auch eine
implizite Vergabe von Rollen und Rechten, basierend auf Attributwerten der ver-
walteten Identitäten, möglich ist (für mehr Details siehe Kapitel 10). Durch die sys-
temübergreifende Zusammenfassung von Berechtigungsobjekten aus angebunde-
nen Systemen in hierarchisch strukturierbare Business-Rollen lassen sich
Rollenmodelle realisieren, wie in Abbildung 4.8 dargestellt. Neben den in der
Abbildung aufgezeigten Verknüpfungen können zusätzliche Eigenschaften für die
Rollen definiert werden, die u. a. das Verhalten bei der Beantragung oder Zuwei-
sung steuern. Ein Beispiel ist der gegenseitige Ausschluss von Rollen. Wird ein sol-
cher Ausschluss definiert, verhindert das System die Zuweisung einer Rolle, sofern
95
30. 4 SAP NetWeaver Identity Management im Überblick
die damit in Konflikt stehende Rolle der entsprechenden Identität bereits zuge-
wiesen wurde. Im Gegensatz zum SAP BusinessObjects Access Control (siehe
Abschnitte 4.5.2 und 15.4) können im Identity Center allerdings nur statische Aus-
schlüsse hinterlegt werden. Zudem lassen sich Positiv- und Negativlisten für Rol-
len definieren, die die Zuweisung für die Zielidentität ausdrücklich erlauben oder
eben ausdrücklich verbieten. Genehmigungsstrategien können – einstufig oder
mehrstufig mit dynamisch ermittelten oder in Rollen und Prozessen festgelegten
Beteiligten – durch Definition unterschiedlicher Genehmigungsaufgaben (siehe
Abschnitte 4.4.4 und 13.1.3) für einzelne Rollen hinterlegt werden. Attribute zur
Festlegung des Rollenbesitzers können wiederum bei der Ermittlung von gültigen
Genehmigern verwendet werden.
Business-Rollen
Manager
Abteilungsleiter
Mitarbeiter
Technische Rollen
Zugriff
Windows- E-Mail- Portalzugriff Portalzugriff
Manager-
User User ESS MSS
Cockpit
Zielsysteme
SAP NetWeaver SAP NetWeaver SAP NetWeaver
Microsoft AD Lotus Notes
Portal Portal BW
Abbildung 4.8 Rollenmodell im Identity Center
Die Zuweisung der dargestellten technischen Rollen und Business-Rollen kann
durch dedizierte Beantragung im Rahmen von Self-Services und anschließender
Genehmigung erfolgen. Außerdem ist die automatisierte Zuweisung aufgrund von
definierbaren Regelwerken eine Möglichkeit, Rollen über die Filterung von Attri-
butausprägungen – beispielsweise der Zugehörigkeit zu einer Organisationsein-
heit oder der Besetzung einer Planstelle – zu vergeben.
In vielen Projekten besteht die Anforderung, die Verwaltung von Rechten anhand
von Regeln zu gestalten, die beispielsweise auf Basis der organisatorischen Zuord-
nung und des im letzten Abschnitt erläuterten Rollenmodells automatisch Rechte
96
31. Daten- und Rollenmodell 4.3
für entsprechende Personen vergeben. Die Abbildung der Organisationsstruktur
in zusätzlichen Datenobjekten ist ein sinnvolles Beispiel für die Einführung wei-
terer Objektklassen für Objekte wie Organisationseinheiten, Planstellen etc.
Durch die Nutzung von Entry Types kann nämlich auch die Organisationshierar-
chie im Identity Store mithilfe von entsprechenden Beziehungen abgebildet wer-
den und damit – im Vergleich zu anderen IdM-Lösungen – ein mächtiges Modell
für die Verwaltung von Berechtigungen anhand der im Organisationsmodell
gepflegten Struktur entstehen.
4.3.2 Datenmodellierung und Workflows
Die Datenmodellierung spielt nicht nur im Rahmen der Verwaltung von Identi-
tätsdaten eine wesentliche Rolle, sondern hat ganz besonders auf die abgebildete
Workflow-Steuerung in SAP NetWeaver IdM Einfluss. Grundsätzlich lassen sich
dazu die folgenden relevanten Gesichtspunkte in Verbindung mit dem Datenmo-
dell zur Workflow-Steuerung aufzeigen:
Berechtigungsprüfungen
Berechnung/Auflösung von Rechten in Workflows, basierend auf gesetzten At-
tributwerten. Dies erfolgt auf Basis der sogenannten Berechtigungsregeln der
entsprechenden Workflow-Komponenten. Grundsätzlich kann damit die
Frage, wer welche Aktion mit welchem Objekt durchführen darf, zur Laufzeit
unter Einbeziehung der relevanten Umgebungsparameter und Attributwerte
beantwortet werden.
Wertefilterung
Filterung von gültigen Werten in Auswahllisten, basierend auf Attributwerten
der angemeldeten Person sowie des momentan bearbeiteten Objekts
Workflow-Steuerung
Auswertung von speziellen Attributen zum Start von Genehmigungsaufgaben
und -strategien, die mit dem beantragten Objekt (beispielsweise einer Berech-
tigungsrolle) verknüpft sind. Dazu gehören Attribute wie MX_APPROVAL_TASK
oder MX_APPROVERS.
Statuswerte
Speicherung von Statuswerten in dafür vorgesehenen Attributen wie MX_
APPROVALS (Status der für ein Objekt aktiven Workflows) oder MX_STATE (Status
eines in Bearbeitung befindlichen Wertes)
Temporäre Attribute
Speicherung temporärer Attribute für die Steuerung von Workflow-Aufgaben
Entry Types
ganze Entry Types – wie beispielsweise MX_PENDING_VALUE – die letztlich
»Werte in Bearbeitung« darstellen und von Workflow-Aufgaben erzeugt bzw.
ausgewertet werden
97
32. 4 SAP NetWeaver Identity Management im Überblick
Details zur Relevanz der genannten Attribute im Rahmen des Identity-Center-
Berechtigungskonzepts sowie zur Steuerung der implementierten Workflows fin-
den Sie ab Kapitel 9.
4.3.3 Datenmodellierung und Reporting
Neben der konsistenten Informationsspeicherung der Identitätsdaten sowie der
Workflow-Steuerung sind die Anforderungen im Bereich des Reportings ebenfalls
ein wichtiger Einflussfaktor für die Definition des Datenmodells. Bisher lag der
Fokus der Betrachtung bei der Datenmodellierung auf den abgebildeten Objekt-
klassen und deren Eigenschaften. Bei der Datenmodellierung für das Reporting
geht es zusätzlich darum, wie lange bestimmte Informationen im System vorge-
halten werden müssen und wie deren Historisierung gewährleistet werden kann.
SAP NetWeaver IdM gestattet hierzu die Festlegung der Aufbewahrungszeit bzw.
der Anzahl von Versionen auf Attributebene. Mit diesen Informationen werden
jegliche Änderungen der verwalteten Objekte (Personen, Rollen, Berechtigungs-
objekte etc.) in der Datenbank fortgeschrieben und stehen in speziellen Daten-
banktabellen und -views (siehe Abschnitt 10.3) für Auswertungen zur Verfügung.
Werden die historischen Daten mit den vorhandenen Audit-Daten über die Aus-
führung von Workflows verknüpft, besteht die Möglichkeit, mithilfe entsprechen-
der Abfragen Fragen im Rahmen des IdM wie »Wer hat wann welche Berechti-
gungsrolle bekommen, und wer hat die Zuweisung genehmigt?« zu beantworten.
Bei der Datenmodellierung hinsichtlich des Berichtswesens muss also letztlich dar-
auf geachtet werden, dass alle Daten für die benötigten Auswertungen für den
geforderten Zeitraum zur Verfügung stehen, da alle Informationen im Identity
Store in Form von einwertigen und mehrwertigen Attributen abgelegt werden
können.
4.4 Datensynchronisation und Provisioning
Die Verwaltung digitaler Identitäten setzt eine konsistente Datenbasis voraus,
weswegen die in Abschnitt 4.3 beschriebene Datenmodellierung zentraler
Bestandteil von Konzeption und Implementierung einer Identity-Management-
Lösung sein sollte. Dieser Abschnitt beschreibt die grundlegenden Mechanismen,
die in SAP NetWeaver IdM für die Synchronisation von Daten und somit für den
Aufbau und Abgleich des Identity Stores mit den angeschlossenen Quell- und Ziel-
systemen zur Verfügung stehen. Neben der Synchronisation und Verteilung der
wesentlichen Identitätsstammdaten besteht die zweite Hauptaufgabe einer Iden-
tity-Management-Lösung in der weitestgehend automatisierten Provisionierung
von Benutzerdaten und deren – durch Antrags- und Genehmigungsprozesse zuge-
wiesenen – Berechtigungsinformationen in die angebundenen Zielsysteme.
98
33. Datensynchronisation und Provisioning 4.4
4.4.1 Prinzipien der Datensynchronisation
Bei der Synchronisation von Daten sind – zunächst unabhängig vom betrachteten
Datenobjekt – einige Regeln zu beachten. Dies gilt auch für den Aufbau eines Iden-
tity Stores in SAP NetWeaver IdM und die anschließende Verteilung der darin ver-
walteten Identitätsdaten. In den meisten Fällen sind die benötigten Daten bereits
in unterschiedlichen Datenquellen eines Unternehmens vorhanden. Daraus ergibt
sich aber auch, dass verschiedene Systeme zunächst führenden Charakter für ein-
zelne Bestandteile eines zentral zu verwaltenden Benutzerstammsatzes haben. Ein
sehr vereinfachtes Beispiel zeigt Abbildung 4.9.
Personalsystem Telefonanlage
Vorname Führendes System Vorname
Nachname
für Attribut Nachname
Organisationseinheit Organisationseinheit
Telefon/Fax Telefon/Fax
E-Mail-Adresse E-Mail-Adresse
Berechtigungsrollen Berechtigungsrollen
Identity Store
SAP NetWeaver
IdM UI Messaging
Vorname Vorname
Nachname Nachname
Organisationseinheit Organisationseinheit
Telefon/Fax Telefon/Fax
E-Mail-Adresse E-Mail-Adresse
Berechtigungsrollen Berechtigungsrollen
Abbildung 4.9 Prinzipien der Datensynchronisation
In diesem Beispiel wird davon ausgegangen, dass sich der Stammsatz einer Iden-
tität vom Typ Interner Mitarbeiter aus Daten vier verschiedener Datenquellen
zusammensetzt:
einem Personalsystem als führende Datenquelle für die Personendaten wie Vor-
name, Nachname, Anrede, Titel etc. und Informationen zur organisatorischen
Zuordnung sowie Eintritts- und Austrittsinformationen
einem System (beispielsweise einer Telefonanlage) mit Informationen zu Tele-
kommunikationsdaten der Mitarbeiter
99
34. 4 SAP NetWeaver Identity Management im Überblick
einem Messaging-System (beispielsweise Lotus Notes oder Exchange Server),
führend für vergebene E-Mail-Adressen
das SAP NetWeaver IdM-System selbst, führend für die Verwaltung von Berech-
tigungsinformationen
Die exemplarisch dargestellten Datenquellen liefern Informationen, die den Iden-
titätsdatensatz im Identity Store komplettieren. Auch nach der erstmaligen Befül-
lung eines Identity Stores aus unterschiedlichen Quellen würde für dieses Beispiel
ein regelmäßiger Transfer ausgewählter (führender) Attribute aus den jeweiligen
Datenquellen erfolgen – ereignisbasiert oder nach einem eingerichteten Zeitplan.
Die Synchronisation von Daten (sowohl die erste Befüllung als auch die fortlau-
fende Aktualisierung) inklusive definierter Regeln muss vom eingesetzten Werk-
zeug unterstützt werden. So unterstützt SAP NetWeaver IdM beispielsweise nicht
nur die Definition von führenden Systemen für bestimmte Identitätsinformatio-
nen, sondern erlaubt u. a. auch eine Befüllung bzw. einen Update eines bestimm-
ten Attributs unter Berücksichtigung festgelegter Prioritäten. Liegt beispielsweise
keine Telefonnummer aus der Telefonanlage für einen Mitarbeiter vor, erlaubt das
System die Pflege über das User Interface oder den Import aus anderen Daten-
quellen. Wurde die Telefonnummer aber einmal aus der Telefonanlage und somit
aus dem führenden System importiert, kann sie nicht mehr durch Daten aus nied-
riger priorisierten Datenquellen überschrieben werden.
Wie in Abbildung 4.9 zu sehen war, kann auch das User Interface selbst das »füh-
rende System« für unterschiedliche Bestandteile des Identitätsstammsatzes sein.
Die folgenden Abschnitte erläutern die Begrifflichkeiten, die mit der Datensyn-
chronisation in Zusammenhang stehen. Darüber hinaus geben wir Ihnen einen
kurzen Überblick über die SAP NetWeaver IdM-Standardadapter für SAP- und
Nicht-SAP-Systeme/-Anwendungen und gehen auf die von SAP ausgelieferten
Pakete für die Provisionierung von Standardkomponenten einer Infrastruktur,
wie beispielsweise einem Windows Active Directory, ein.
4.4.2 Quell- und Zielsysteme
Jede Anwendung, die an SAP NetWeaver IdM angebunden wird, wird als soge-
nanntes Repository angelegt. Ein Repository repräsentiert somit eine Anwendung,
die entweder Daten im Rahmen der Synchronisation von Identitätsdaten an SAP
NetWeaver IdM liefert oder Empfänger von veränderten Daten ist – oder beides.
Die im letzten Abschnitt angesprochene Prioritätensteuerung führender Systeme
für einzelne Attribute basiert auf der Zuweisung sogenannter Owner Repositorys.
Diese können auf Attributebene im Identity Center definiert werden. Durch diese
Information sowie die Tatsache, dass für jedes gespeicherte Attribut im Identity
Store neben dem Anlage- bzw. Änderungszeitpunkt auch die Herkunft in Form des
100
35. Datensynchronisation und Provisioning 4.4
Repository-Namens abgelegt wird, kann das System die Priorität entsprechend
steuern und verhindert, dass ein Wert aus dem führenden System durch einen
qualitativ niederwertigeren Wert überschrieben wird. In den angelegten Reposi-
torys werden mithilfe der Definition von Konstanten notwendige Informationen
zu einem Repository abgelegt, um u. a. die Verbindungsdaten nicht redundant an
unterschiedlichen Stellen vorhalten zu müssen:
Typ der angebundenen Anwendung (LDAP, DB, ABAP, XML etc.)
Verbindungsdaten für den Zugriff auf die relevanten Daten der Anwendung
Repository-Konstanten, die die eindeutige ID der Identity-Center-Instrumen-
tierung enthalten, die im Rahmen der Provisionierung aufgerufen werden müs-
sen, wenn sich für eine verwaltete Identität auf dem mit diesem Repository ver-
knüpften Zielsystem ein relevantes Attribut ändert
Alle Komponenten, die im Rahmen der Datensynchronisation und Provisionie-
rung genutzt werden, beziehen sich immer auf ein bestimmtes – teilweise zur
Laufzeit ermitteltes – Repository und werden aus der Repository-Definition mit
allen notwendigen Daten versorgt, damit zum einen der Zugriff auf die Anwen-
dung in technischer Hinsicht möglich ist (Verbindungsdaten) und zum anderen
bei den durchzuführenden Datenmanipulationsaufgaben die korrekte Logik für
diese Anwendung angewendet wird. So werden beispielsweise bei der Zuweisung
von Berechtigungsrollen in einem SAP-ABAP-System dem betroffenen Benutzer
die Rollen zugewiesen. Ein Benutzer in einem Microsoft Active Directory muss
aber in die ihm zugeordneten berechtigungsrelevanten Sicherheitsgruppen aufge-
nommen werden. Neben der Tatsache, dass jeweils ein entsprechender techni-
scher Adapter verwendet werden muss, ist somit auch die Logik der Berechti-
gungszuweisung vom Repository-Typ abhängig.
4.4.3 Technische Adapter
SAP NetWeaver IdM besitzt verschiedene Adapter, mit denen bereits ein Großteil
der Systeme und Anwendungen in einer Unternehmensinfrastruktur an SAP Net-
Weaver IdM angebunden werden kann.7 Tabelle 4.2 zeigt eine Übersicht. Mit die-
sen technischen Adaptern lassen sich verschiedene Anwendungen und Systeme
anbinden, die die jeweiligen Protokolle oder Zugriffsmechanismen unterstützen.
7 SAP stellt im SDN ein laufend aktualisiertes Slideset zur Verfügung, das Informationen über
IDM-Adapter und die damit unterstützten Anwendungen enthält. Es ist zu finden unter:
SAP NetWeaver Product • Complementary Offerings • SAP NetWeaver Identity Ma-
nagement • Product Overview: SAP NetWeaver Identity Management • IDM Connec-
tor Overview (Stand: Juni 2009).
101