IdM für ein Warenhaus

Ziele des Projekts

Um sich dem Wettbewerb mit anderen Handelsunternehmen gut gerüstet stellen zu können, entwickelte das Warenhaus eine leistungsfähige und reaktionsfähige IT. Das Berechtigungs- und Zugriffsmanagement wurde jedoch vernachlässigt und war der Grösse des Unternehmens nicht gewachsen. Die Prozessabläufe bezüglich Identity und Access Management waren zu unstrukturiert und arbeitsintensiv, es gab Medienbrüche und dadurch bedingte Fehlerquellen. Die Nachvollziehbarkeit war nicht gewährleistet, die Flexibilität bei organisatorischen oder personellen Veränderungen ungenügend. Aus dieser Situation heraus entschied man sich deron als externen, herstellerunabhängigen und prozesserfahrenen Dienstleister beizuziehen.

Dauer des Projekts

  • Grobkonzept: 4 Monate
  • Realisierung der Phasen 1 – 2: 15 Monate von Feinkonzept bis zur Betriebsübergabe

Angebundene Systeme

  • e-Dir
  • SAP Systeme
  • Lotus Notes
  • Host (diverse Applikationen)
  • Weitere Anbindungen im Ausbau

Erzielte Ergebnisse

  • Implementierung der Mitarbeiterprozesse und der Filial-Mitarbeiter-Prozesse für Eintritt, Übertritt, Namensänderung usw. als Verfahren mit präventiver Berechtigungssteuerung. Damit kann das Business proaktiv agieren weil es zu Massnahmen aufgefordert wird, bevor kritische Situationen eintreten können. So erfolgen beispielsweise automatisierte Mitteilungen an Fachvorgesetzte zur Aberkennung von Berechtigungen bei Versetzungen von Mitarbeitern.
  • Fachvorgesetzte sind in der Lage, die Berechtigungen für neue Mitarbeiter weitestgehend ohne Mithilfe der Informatik / Administration selbst anzulegen.
  • Die IT wird entlastet durch automatisierte Berechtigungsvergabe bei den wichtigsten und am häufigsten genutzten Anwendungen.
  • Der Kunde ist in der Lage sein IdM selbst weiter zu entwickeln und weitere Zielsysteme anzubinden.
  • Es wurde eine Rollenmanagement etabliert, welches die Businessrollen anpasst und à jour hält.

Methodik und Projektvorgehen

deron IST-Analyse

Die Bestandsaufnahme nach deron Methodik ergab folgende Problematiken: Beispielsweise bei Einstellung oder Abteilungswechseln lieferte die HR nur zeitlich verzögert unvollständige Informationen über die Mitarbeiter an die IT Organisation. Ausserdem wurden Berechtigungen faktisch nie entzogen, da keine Information an die IT erfolgte. Die eindeutige Identifikation der Namen innerhalb der vergebenen Accounts war zum Teil nicht gegeben. Schon bei einer ersten Betrachtung wurde klar, dass bei einem technologisch getriebenen Lösungsansatz keine Verbesserung erreicht werden kann und Optimierungsaspekte der „IdM- Prozessebene“ aussen vor bleiben. Nur die Kombination von prozessualen und gleichzeitigen technologischen Verbesserungen konnte zielführend sein. Des Weiteren war es notwendig für die heterogenen Applikationen und Plattformen ein einheitliches Berechtigungsverfahren zu definieren.

deron Big Picture

deron erarbeitete die Life Cycle Modelle für Interne und Mitarbeiter der Filialen. Dabei wurde berücksichtigt, dass die HR ihre Personendaten im Quellsystem nicht zeitnah genug zur Verfügung stellen konnte. Zusätzliche organisatorische Massnahmen zur Generierung inhaltlich belastbarer Daten, die zeitnah den Berechtigungsverfahren zur Verfügung stehen, wurden nötig. Business Units und der IT mussten diese gemeinsam erstellen. Diese unterstützenden Verfahren wurden ebenfalls im IDM abgebildet. Nach intensiven Workshops konnte für HR, IT und die Unternehmenssicherheit ein für alle akzeptierter optimaler Prozess erarbeitet werden, der eine belastbare Basis für die Berechtigungsvergabe darstellt.

Role Design

Eine vereinfachte Prozessplattform allein erhöht die Usability für den Berechtigungsverantwortlichen im Fach zu wenig. Die Erstellung eines Konzepts mit einer reduzierten, kontextorientierten Auswahl an Berechtigungen war nötig. Dies setzt ein Business Rollenmodell mit sprechenden Rollen und einer begrenzten Anzahl an Auswahlmöglichkeiten voraus. Interne Vorgesetzte und Abteilungsleiter in den Filialen sollten ein einfaches, für sie verständliches User Interface erhalten. In dieser Phase des Grobkonzeptes wurde daher die interne Organisation und die der Filialen dahingehend untersucht, welche Rollen-Systematik für sie am besten geeignet ist. Zudem wurde die Basis für ein zukünftiges Rollenmodell zusammen mit dem Kunden und seinen Filialvertretern erarbeitet. Die Vertreter des Faches bewerteten dieses Rollenmodell äußerst positiv, da zum ersten Mal kein tiefes und IT-technischen Fachwissen notwendig war um einen Mitarbeiter mit seinen Berechtigungen auszustatten.

deron Produktevaluation

Bisher konnte die Berechtigungsverwaltung trotz diverser Hilfstools nur mittels intensivem Mailverkehr zwischen Business & IT, sowie engagierter Administratoren bewältigt werden. Die neuen IdM Verfahren sollten dagegen automatisiert ablaufen, um die Administration zu entlasten. deron entwickelte für die zukünftige Lösung einen Anforderungskatalog (deron Katalog, ergänzt mit kundenspezifischen Anforderungen) mit über 170 Kriterien, der u.a. folgende Themen berücksichtigte:

  • Workflow Engine zur Abbildung der Prozesse
  • Integration eines Rollenmodells zur einfachen Berechtigungsvergabe mit Auflösung der Rollen in Einzelberechtigungen
  • automatisierte Berechtigungsvergabe in den wichtigsten Applikationen

Auf der Basis dieser Anforderungen entscheid sich der Kunde für ein geeignetes IdM Produkt, das sich bis heute voll und ganz in der Praxis bewährt.

deron Masterplan

Der Kunde wünschte eine schnelle Umsetzbarkeit und zeitnahe Ergebnisse für die Endanwender in kurzer Zeit bei limitierten internen Ressourcen. Elemente welche die grösste Entlastung bringen, sollte zuerst umgesetzt werden. Mit der deron Masterplan Methodik wird die Einführung des IdM in kleinen Projektschritten möglich, weil damit jeder Projektschritt intelligent priorisiert wird. Insgesamt definierte deron 8 Teilphasen und setzte das Projket in Zusammenarbeit mit dem Kunden um. Es erfolgte ein Know-How Transfer um den Unterhalt und die Weiterentwicklung zu ermöglichen.

Projektrealisierung und resultierende Verbesserungen

Nachdem der Masterplan mit dem Kunden erarbeitet war und die Priorisierung der Teilprojekte definiert werden konnte, erfolgte die Erstellung der fachlichen und technischen Feinkonzepte mit allen notwendigen Ausnahmeregelungen. Dabei wurde auf die Vielzahl der deron Vorlagen und Erfahrungswerte zurückgegriffen, die es ermöglichten, die Feinkonzepte innerhalb von nur 3 Monaten fertigzustellen.

Die Implementierung erfolgte nach dem typischen 3-Stufen Modell (Entwicklung, Test, Produktion), so dass eine partielle Qualitätssicherung durch den Kunden bereits durchgeführt werden konnte, während weitere Elemente noch entwickelt wurden.