7. Berechtigungsmanagement:
Herkömmliches Verfahren
RACF
Gruppe
SAP HR
SAP-Rolle
Eigene Systeme
Gruppen / individuelle Rechte
Leben Bestand
Individuelle Rechte
Partnersystem
Individuelle Rechte
Notes/Outlook
Gruppe
LDAP
z.B. Gruppenzugehörigkeit
Datenbanken
Mitarbeiter
Zahlreiche System-Administratoren
Indiv. / Rolle
Einzelsysteme häufig mit Individualrechtevergabe
Neuzugang, Fluktuation,
Abteilungswechsel
30.10.2013
ORG Produktpräsentation
7
8. Lösung: ORG
Zentrale, rollenbasierte Berechtigungsvergabe
Schnittstellen:
SPML-Systeme:
- Novell Identity Manager
- IBM Tivoli Directory Integrator
- openSPML
Directory Systeme
‐
‐
‐
-
Mitarbeiter
Neuzugang,
Abteilungswechsel
Fluktuation
Zentrale, schlanke Administration
Benutzerrechte basieren auf:
- Rollen/Rechte-Modell
- Attributen
Andere Systeme
‐ SAP R3
‐ RACF
‐ INTERFLEX
APIs
-
Externe Person
Kunde
Interessent
…
Microsoft AD
IBM Tivoli Directory Server
openLDAP
Novell eDirectory
SUN one Directory Server
…
Java (SE & EE)
Windows / Unix (C)
z/OS (Cobol, PL/1, C)
Automatische Rechteverteilung
auf die Systeme
30.10.2013
ORG Produktpräsentation
8
11. Model: Historisierung und Lebenszyklus
Zeitablauf
Objektstatus:
zukünftig
anlegen
Objektstatus:
aktuell
ändern oder löschen
Keine physische
Löschung: Der Datensatz
wird als “gelöscht” markiert
Objektstatus:
historisiert
abgelaufen oder gelöscht
Historisierung aller Änderungen
eines Objekts oder einer Relation
zwischen Objekten inklusive des
Initiators und Zeitpunktes
30.10.2013
ORG Produktpräsentation
11
12. SPML Webservice
Schnittstellen zu Genehmigungsworkflows:
• ORG Approve
• Lotus Notes
• SharePoint
• etc.
Schnittstelle zu übergeordneten Systemen:
• HR-Systeme (z.B. SAP HR, …)
• IDM-Systeme (z.B. IBM TIM, Novell IDM, …)
• etc.
30.10.2013
ORG Produktpräsentation
12
13. Genehmigungsworkflow (mit ORG Approve)
• Selfservice
• Beantragbare Berechtigungen sind abhängig
von eigener Rolle (z.B. „normaler“ Mitarbeiter kann
keine Vorstandsberechtigungen beantragen)
• 4-Augenprinzip wird unterstützt
(parallel und sequenziell)
• MaRisk AT 7.2 konform
30.10.2013
ORG Produktpräsentation
13
15. Model: Standardsoftware
Modellierung
• Benutzer und Rolle sind immer
vorhanden
• Stelle, Rollengruppe und
Organisationseinheit sind optional
Typische Verwendung
Fremdsystem
Benutzer
Organisations
-einheit
Stelle
• Systeme mit eigener Ablage von
Detailberechtigungen
• Das System muss z.B. Rollen oder
Gruppen als Berechtigungsträger
unterstützen
Rollengruppe
Rolle
Beispiele
• LDAP-Directory (z.B. Active Directory)
• SAP
• RACF
30.10.2013
Benutzer
Rolle oder
Gruppe
Einzelrechte
ORG Produktpräsentation
15
17. ORG Connector: Attributabbildungen
Attributabbildungen sind frei konfigurierbar
Quelle in ORG können sein:
Attribute des Benutzers
Werte aus einer Kompetenz des Benutzers zu einem beliebigen Kompetenzschema
Zusammengesetzte Werte über Bildungsregel
30.10.2013
ORG Produktpräsentation
17
19. Model: Eigenentwicklungen
Modellierung
Benutzer
• Benutzer und Kompetenzschema sind
immer vorhanden.
• Stelle, Rollengruppe, Rolle und
Organisationseinheit sind optional.
• Kompetenzen können für Benutzer,
Stellen oder Rollen definiert werden.
Typische Verwendung
Stelle
Organisationseinheit
Rollengruppe
Rolle
• Eigenentwicklungen
• Systeme, in denen ein Exit zur
Beschaffung
von Berechtigungen vorgesehen ist.
30.10.2013
Kompetenz
Kompetenzschema
ORG Produktpräsentation
19
20. ORG APIs: Zugriff auf die Laufzeitdatenbanken
30.10.2013
ORG Produktpräsentation
20
21. Ablauflogik: Zugriff auf die Laufzeitdatenbanken
Anwendung
“Leben”
Fachliche
Berechtigungskapsel
ORG
API
Auszahlung prüfen
istAuszahlungErlaubt(userid,betrag)
hasCompetence(userid,“VertragAuszahlen“,
“Leben“,“Betrag“)
Datenbank-Abfrage
Ergebnis (Ja oder Nein)
Ergebnis (Ja oder Nein)
•
•
Ablauflogik ist in allen APIs prinzipiell gleich
Sinnvoll ist die Zusammenfassung aller fachlicher Berechtigungen einer Anwendung in einer
anwendungsspezifischen, fachlichen Berechtigungskapsel.
30.10.2013
ORG Produktpräsentation
21
22. Schnittstellen
SPML Systeme:
• Novell Identity Manager
• IBM Tivoli Directory Integrator
• openSPML
Weitere Connectoren:
Directory Systeme:
•
SAP
• Microsoft Active Directory
•
RACF
• IBM Tivoli Directory Server
•
SharePoint
• openLDAP
•
INTERFLEX
• Novell eDirectory
• SUN one Directory Server
APIs für folgende Plattformen:
• ApacheDS
•
Java (SE & EE)
• RACF LDAP-Server
•
Windows / Unix (C)
• andere Systeme
•
z/OS (Cobol, PL/1, C)
30.10.2013
ORG Produktpräsentation
22
23. Zusammenfassung
• Single Point of Administration and Control
• Reduktion von Zeit, Kosten und Komplexität
• Historisierung / Revisionssicher
• Unterstützt RBAC / ABAC
• Integration in heterogene Systemlandschaft ist gesichert
• Informationen über Organisationsstruktur integrierbar
• Dezentrale und delegierte Administration (konfigurierbar)
• Mandantenfähig
• Hohe Performance und ausfallsicher
• Corporate Design integrierbar
30.10.2013
ORG Produktpräsentation
23