IdM für ein mittelständisches Unternehmen

Ausgangslage

Die IT des Kunden war geprägt von der typischen IT Heterogenität eines wachsenden Unternehmens. Aufgrund der gewollt hohen Flexibilität war die IT meist nur in der Lage, sich reaktiv auf die Bedürfnisse der Fachbereiche einzustellen. Die Folgen waren eine Vielzahl an Applikationen, oft sogar mehrere Varianten für den gleichen Arbeitszweck (Konstruktion, Warenwirtschaft, etc.). Vergleichbar reaktiv war auch das Management der IT Zugänge und der Berechtigungsverwaltungen. Eine kleine, typische Stichprobe mittels Mail an alle inaktiven Mailaccounts ergab kuriose Antworten der Mail-Abwesenheitsassistenten: Mail Inhaber waren seit einigen Jahren nicht mehr im Haus tätig. Bei alle anderen Applikationen sah es ähnlich aus.

Dauer des Projekts

  • Vorprojekt: 3 Monate
  • Realisierung Phasen 1 und 2: 9 Monate bis zur Betriebsübergabe

Angebunde Systeme

  • SAP HR / OM als Quellsysteme für Personendaten
  • IDM-inbound System für externe Personen
  • ADS (inkl. Redesign)
  • SAP FI, HR ohne ZBV
  • Catia
  • Lotus Notes
  • Warenwirtschaftssystem

Phase 3 in Realisierung

Parallel: 3rd Level Support und Betriebsunterstützung für IAM System

 

 

Methodik und Projektvorgehen

deron IST-Analyse

Die zentrale IT Organisation verfügte nicht zeitnah über alle berechtigungsrelevanten und notwendigen Informationen über Mitarbeiter. Besonders Mitarbeiter in den ausländischen Werken waren „anonym“. Abgänge wurden dort nicht dokumentiert. Zudem war es durch die Zeitverschiebung den Mitarbeitern in der Zentrale nicht möglich, jederzeit die Kollegen vor Ortzu erreichen. Aufgrund der schlechten Verfügbarkeit der IT-Ressourcen delegierte man kurzerhand sicherheitsrelevante Aufgaben in die Niederlassungen, ohne das Sicherheitsniveau das anzuwenden war, klar zu verankern. Letztendlich wurden dadurch Berechtigungen nie entzogen.

deron Big Picture

Die bestehenden Prozesse zur Berechtigungsverwaltung hielten dem Sicherheitsbedürfnis nicht stand und der administrative Aufwand war zu groß. Deron entwickelte daher zusammen mit den Fachbereichen, der IT, der Personalverwaltung und dem Sicherheitsbeauftragen mit der big-picture Methodik alle essentiellen Berechtigungsprozesse für Mitarbeiter aller Standorte, externe Personen und Lieferanten.

deron Produktevaluation

Bis zu diesem Zeitpunkt wurde die komplette Berechtigunsgverwaltung nur mittels kleiner Toolsets bewältigt. Für die zukünftige Lösung musste aber eine solide Plattform ausgewählt werden, die unter anderem  folgende Anforderungen erfüllen musste:

  • Workflowengine zur Abbildung der Prozesse
  • Ergonomisches UserFrontend inkl. Mehrsprachigkeit für alle Ländervertretungen
  • Zeitzonensupport
  • Provisionierungsplattform zur automatisierten Berechtigungsvergabe in den essentiellen Zielsystemen
  • Fachrollensystem zur einfachen Berechtigungsvergabe über sprechende Rollen
  • umfassendes Protokollieren und Audit

Mit Hilfe des deron Anforderungskatalogs identitfizierte man 187 kundenspezifische Anforderungen. Auf dieser Basis konnte sich der Kunde für die funktionell beste Lösung entscheiden. Abgesichert wurde die Entscheidungsvorlage durch eine zusätzliche Betrachtung der wirtschaftliche Parameter wie Lizenzkosten, Betriebsaufwände und Wartung.

deron Masterplan

Gerade bei mittelständischen Unternehmen darf man nicht davon ausgehen, dass beliebige Ressourcen in Form von Personal und Budget zur Verfügung stehen um Projekte in kürzester Zeit zu realisieren. Die Gesellschafter des Kunden differenzieren sehr genau, wie die Mittel einzusetzen sind. Daher wurde die deron Masterplan Methodik angewendet, welche die Einführung des IdM in kleinen Projektschritten ermöglichte. Deron definierte ein IdM Programm mit 7 Teilphasen. Die letzten Phasen sollten vom Kunden eigenständig erbracht werden. Mittels Coaching und Mitarbeit an den ersten Projektphasen erzielte deron den nötigen Wissensübertrag dafür.

Projektrealisierung und resultierende Verbesserungen

Nachdem alle wichtigen Entscheidungen zum Grobkonzept, dem richtigen Produkt und dem Masterplanvorgehen getroffen waren begann die Realisierung der ersten Phase, die unter anderem die Bereitstellung aller Personendaten zur sicheren Primär-Authentisierung  am AD als Ziel hatte.

 

  • Hierzu war ein Redesign des AD notwendig, da organisatorische und technische Anforderungen nicht mehr konform waren mit dem AD Design, das zuletzt im Jahre 2001 modifiziert wurde.

 

  • Der deron defraggler analysierte, welche der über 10.000 AD Gruppen notwendig waren, wie sie genutzt wurden und ob man Vereinfachungen finden konnte.

 

  • Eine organisatorische Analyse zeigte, in wie weit Gruppenmitgliedschaften mit organisatorischen Elementen zu Fachrollen kombinierbar sind. Es wurde ein Deckungsgrad von knapp 70% erreicht.

 

  • Für die Erstellung der fachlichen und technischen Feinkonzepte mit allen notwendigen Ausnahmeregelungen konnte auf eine Vielzahl von deron Vorlagen und Erfahrungswerten zurückgegriffen werden. Diese ermöglichten die Fertigstellung der Feinkonzepte innerhalb von 3 Monaten.

 

  • Bei der Implementierung wurde das bewährte 3 Stufen Modell genutzt (Entwicklung, Test, Produktion), so dass eine partielle Qualitätssicherung durch den Kunden bereits durchgeführt werden konnte, während weitere Elemente noch entwickelt wurden. Das sparte wertvolle Wartezeit ein und Ressourcen konnten effizient eingesetzt werden.