SAP IdM: HR-basierte Identity-Lifecycle Prozesse

www.ibsolution.de © IBSolution GmbH

// 30. Oktober 2014

// 14.00 – 15.00 Uhr

// Moderator: Marc Röder

WebinarSAP IDM:HR-basierte Identity-Lifecycle Prozesse


// AGENDA 30. Oktober 2014

14.00 Uhr Begrüßung & Vorstellung IBsolution// Marc Röder, IBsolution GmbH

Praxisorientierte Beispiele für die Prozesse Eintritt, Austritt, Organisatorischer Wechsel

Ziele einer ersten Phase & mögliche Erweiterungen

Wir freuen uns auf Ihre Teilnahme!

Zu klärende Fragestellungen

Zusammenfassung


Chat-Funktion für Fragen / Einstellungen

Teilnehmer sind während der Präsentation stumm geschaltet

Bitte nutzen Sie für Fragen die Chat-Funktion

Zum Ende des Webinars wird gesammelt auf die Fragen eingegangen

3


IBsolution GmbH: Unsere Standorte

Nordrhein-Westfalen

Neuss

Baden-Württemberg

Heilbronn

Bayern

München

Schweiz

ZürichBulgarien

Sofia

4


IBsolution GmbH: Beratungsschwerpunkte

BusinessIntelligence

Prozess-optimierung

TechnologieBeratung

5


Unser Spezialwissen

IBsolution Leistungsportfolio

Bu

sin

ess

In

tellig

en

ce

Pro

zess-

op

tim

ieru

ng

Tech

no

log

ieB

eratu

ng

SAP IdM

SAP GRC Access Control

Secure Single Sign On

SAP MDM

SAP MDGx

SAP BPM

SAP BO Data Services

SAP BO Information Stuart

SAP Composition Environment/ NWDI

Web Dynpro Java/ ABAP

Open Source / Java / WebTechnologien

SAP Portal

AGIMENDO

Sybase Unwired Plattform

Sybase Afaria

SAP BW

SAP HANA

SAP BO Crystal Reports

SAP BO Web Intelligence

SAP BO Dashboards

SAP BO Analysis (MS Office & Web)

SAP BO Explorer

SAP BO-PC

Identity und Access Management

Compliant Identity Management

Materialstammprozesse

Lieferantenstammprozesse

Kundenstammprozesse

Produktkatalog

IT- Strategie, Architektur, Bebauungspläne

Mobile Lösungen/ mobiler Arbeitsplatz

Cloud Computing

Custom Development

BI-Strategie

Reporting und Analyse

Data Warehousing

Dashboards und Visualisierung

Konzern-/ Gruppenberichtswesen

Integrierte/ Operative Planung

Rolling Forecast

…

6

www.ibsolution.de © IBSolution GmbHSeite 7

Unser Verhaltenskodex

Wir halten uns an Termine. Garantiert!

Wir zeigen Kompetenz. Im Voraus!

Wir hören zu, verstehen und handeln. Systematisch!

Wir geben Grenzen zu und sagen nein. Wenn nötig!

Wir beraten ehrlich. Immer!

Wir machen unsere Kunden erfolgreich. Ständig!


• Technischer Überblick


www.ibsolution.de © IBSolution GmbH 30.10.2014Seite 9

Lebenszyklus einer Identität im Unternehmen

Onboarding

Einarbeitung

Karriere Abteilungswechsel Elternzeit

Wiedereinstieg

KündigungRe-Boarding

Identity Life Cycle


IdM Architektur

SAP NetWeaver Identity Management 7.2

Identity Center

ManagementConsole

DispatcherRuntime Engine

Event AgentService

Detect changesRead / write

SAP

GRC

Web

serv

ices

SAP

HCM

Virtu

al D

irecto

ry S

erv

er

Identity Center Database

…

Identity Center DatenbankIdentitäten-, Konfigurations- und Rollen-Speicher, Prozess-Logik

Workflow BenutzerschnittstelleHaupt-Interface für User und Manager,Monitorung und Audit Interface fürAdministratoren

Konfigurations-OberflächeKonfigurations-Schnittstelle

Laufzeitsystem und DispatcherProzess- und Provisioning-Logikinklusive Konnektoren

EreignisüberwachungÜberwacht angeschlossene Systeme und initiiert Datensynchronization beiFeststellung von Änderungen

Workflow and Monitoring UI

(AS Java)


SAP HCM

Konfiguration

Anhand SAP Doku !

Transaktionen: SQ01, HRLDAP_MAP, LDAP, SM59, SA38

Berechtigungen:

Erstellung Transportauftrag in HCM Entwicklung

Achtung!!!

Anpassung LDAP Query (Maßnahme, Hiredate, Firedate)

Datenschutz bei gewissen Feldern (Geb-Datum, Gründe für Maßnahmen)

Nur benötigte Felder (private Kontonummern oder Adressen)

Kenntnis der Infotypen & organisatorischen Attribute

Pers-Nr des Vorgesetzten


LDAP Query

In der Query werden die benötigten Infotypen und Attribute ausgewählt. Das Ergebnis der Auswahl kann mit Ausführung der Query getestet werden.


Mapping der Attribute

Auf das korrekte Mapping und die Gruppen & Namen achten !!!

Teil 1: HRLDAP_MAP


LDAP Konfiguration

LDAP Konfiguration

Teil 2: LDAP & Mapping


LDAP Konfiguration

Mapping im LDAP

Ebenfalls auf Korrektheit achten!!!

Teil 2: LDAP & Mapping


Ausführung Export

Über SA38

Für einzelne Pers-Nr. oder Bereich


Praxisorientierte Beispiele für die Prozesse Eintritt, Austritt, Organisatorischer Wechsel


www.ibsolution.de © IBSolution GmbH 30.10.201418

Beispiele für die Prozesse

Beschreibung

Ausgehend von verschiedenen Maßnahmen die HR Mitarbeiter für einen Personalstamm in HR pflegen, können Prozesse im Identity Management gestartet werden.

Beispielprozesse sind:

Einstellung eines Mitarbeiters zu einem bestimmten Datum

Organisatorischer Wechsel

Austritt des Mitarbeiters ebenfalls zu einem bestimmten Datum

Maßnahmen in HR

Art: Eintritt – Code: 01,51,Z1 etc.

Art: Organisatorischer Wechsel – Code: 02, Z2, etc.

Art: Austritt – Code: 10, etc.

Szenario


Prozess Eintritt intern

HR gesteuert

Step Instanz Beschreibung

1.0 HR Mitarbeiter Erstellung HR Stammsatz. Maßnahme zur Einstellung anwenden

2.0 IdM Neue inaktive Identität wird erstellt. Versand der Infomail an den Vorgesetzten.

3.0 Vorgesetzter Erteilt Freigabe führt zur Erstellung AD Account etc. Identität wird aktiviert.

3.1 Vorgesetzter Wird keine Freigabe erteilt, endet der Prozess.

4.0 IdM AD Account wird mit Homefolder erstellt

4.1 IdM Infomail mit User / PW wird an Vorgesetzten versendet

4.2 IdM Mail Postfach wird erstellt.

5.0 KeyUser Erhält eine Infomail wenn Berechtigungen beantragt werden sollen und kann dann

den Berechtigungsantrag dafür nutzen.


Prozess Eintritt

HR Export

Zyklisch, z.B. alle 24, 12, 6 Stunden


Prozess organisatorischer Wechsel

Durch HR Massnahme


1.0 HR Mitarbeiter Wendet Maßnahme auf Stammsatz an. Dabei wird ein Datum für Gültigkeit des Wechsels

gesetzt.

2.0 IdM Stammdatenänderungen werden an der Identität zwischengespeichert

3.0 Abgebender

Vorgesetzter

Erhält ein Infomail über den Wechsel

3.1 Abgebender

Vorgesetzter

Kann über Web-Formular eine Karenzzeit definieren in der die aktuellen Rechte noch

gültig sind

4.0 Aufnehmender

Vorgesetzter

Erhält Infomail über den Wechsel und eine evtl. Karenzzeit

4.1 Aufnehmender

Vorgesetzter

Bestätigt die Karenzzeit oder lehnt diese ab

4.1a Aufnehmender

Vorgesetzter

Wird keine Karenzzeit durch den abgebenden Vorgesetzten gewählt bekommt der

aufnehmende Vorgesetzte nur eine Infomail

5.0 IdM Prüft die Karenzzeit. Keine Karenzzeit bedeutet die bestehenden Rechte werden zum

Wechseldatum (HR) entzogen, sonst nach Ablauf der Karenzzeit

5.1 IdM Stammdaten des MA werden zum Wechseldatum geändert

6.0 n.n. Neue Rechte können über den Berechtigungsantrag gestellt werden


Prozess Organisatorischer Wechsel

HR Export

Zyklisch

Direkt über SA38


Prozess Organisatorischer Wechsel

Freigabe durch aufnehmenden Vorgesetzten & Akzeptanz der Karenzzeit


Prozess Austritt interner Mitarbeiter

Durch HR Massnahme


1.0 HR Mitarbeiter Austrittsmaßnahme wird am Stammsatz durchgeführt. Das Datum des

Austritts wird gesetzt.

2.0 IdM Aktualisiert die Identität und setzt Austrittsdatum

3.0 Disziplinarischer

Vorgesetzter

Erhält Infomail über Austritt mit Link zu Freigabeformular

3.1 Disziplinarischer

Vorgesetzter

Kann über Freigabeformular ein vorzeitiges Sperrdatum setzen.

4.0 IdM Ist ein Sperrdatum gesetzt, werden an diesem Tag (kurz nach Mitternacht)

per Batch die Accounts (SAP, AD, etc.) gesperrt.

4.1 IdM Ist das Austrittsdatum überschritten kann IdM die folgenden Aktionen

durchführen:

• Entzug der SAP Rechte & Abgrenzung des Accounts

• Entzug AD Rechte & Verschiebung in andere OU


Prozess Austritt

HR Export

Ebenfalls zyklisch

Kann auch direkt über SA38 für Pers.Nrerfolgen

Erzeugt ebenfalls Freigabe


Ziele einer ersten Phase & mögliche Erweiterungen



Ziele einer ersten Phase

Ziele Phase 1

Kontrollierte und dokumentierte Prozesse, speziell Eintritt & Austritt

Nachvollziehbarkeit

Schnellere Einstellung (Anlage Accounts, Basisberechtigung)

Erhöhte Sicherheit beim Austritt (Sperre, Abgrenzung, Entzug von Rollen/Rechten)

Konstanter Informationsfluss per Mail


Mögliche Erweiterungen

Erweiterung bestehender Prozesse:

Zusätzliche wichtige Zielsysteme

Informationen an zusätzliche, auch administrative Stellen (Zutrittskarten, Reisebuchungen, etc.)

Rechtevergabe anhand von organisatorischen Merkmalen (Standort, Abteilung, Stelle, etc.)

Zusätzliche Prozesse:

Namensänderung (KEINE Maßnahme, sondern Änderung der Werte)

Abwesenheiten (Langzeit…)

Unternehmenswechsel (innerhalb einer Unternehmensgruppe)

Wiedereintritt






Einbindung HR-Abteilung

So früh wie möglich !!!

Prozessinitiierung findet dort statt

Frühzeitiger Start eines Prozesses (Eintritt, Austritt, etc.)

Paralleler Start von Maßnahmen (durch Befristung)

Quell-/Zielsysteme

1 HR

AD, SAP (Notes / Exchange)

Rechtlich

Betriebsrat / Personalrat, evtl. Betriebsvereinbarung


IBsolution GmbH

Im Zukunftspark 8

D - 74076 Heilbronn

www.ibsolution.de

KONTAKT

T +49 7131 / 27 11 – 3000

[email protected]

Technology

SAP IdM: HR-basierte Identity-Lifecycle Prozesse