System zur Stammdaten- und Rollenverwaltung löst dezentrale Benutzerstruktur abDatenschiefstände ausschließen und Compliance optimieren

26. Oktober 2020

Beim Verwalten von Nutzerstammdaten und dem Berechtigungsmanagement sollten IT-Verantwortliche unangenehmen Situationen einen Riegel vorschieben: Medienbrüche und mangelhafte Datenqualität lassen sich bei der Arbeit mit SAP und Fremdsystemen durch das passende System vermeiden. Die Gefahr für Datenschiefstände wird ausgemerzt und die Compliance optimiert, sobald Unternehmen auf einen Identity Manager setzen, bei dem diverse Fremdsysteme ohne zusätzliche Programmierung angebunden werden können. Die Sicherheit wächst und der manuelle Aufwand sinkt drastisch, wenn eine dezentrale Benutzerstruktur in der Systemlandschaft vermieden wird.

Vielen Firmen stellt sich das Problem der User- und Berechtigungsverwaltung, vor allem wenn verschiedene Systeme und externe Cloud-Lösungen zum Einsatz kommen. Das bedingt, dass dieselben Personen oft mehrfach angelegt werden müssen: Eine Abteilung legt den Mitarbeiter im SAP-System an und das Gleiche wird in Anwendungen wie der Einkaufslösung notwendig.

Das hat mehrere Nachteile: Zum einen erfordert es den doppelten manuellen, aber auch den doppelten Pflegeaufwand. Zum anderen verwirren dezentrale Systeme zur Benutzer- und Rechteverwaltung mit eigenen Logiken und Oberflächen.

So entstehen Differenzen und Daten unterschiedlicher Qualität, wenn an manchen Stellen Aktualisierungen stattfinden, in anderen Systemen aber nicht. Fehlerhafte oder veraltete Daten sind gerade in den Benutzerstammdaten hochproblematisch.

Werden zum Beispiel Ein- und Austrittsprozesse in der Personalsoftware (HR) nicht ganzheitlich abgebildet, bleiben Accounts offen. Werden Rechte nicht entzogen, können Benutzer Zugriff auf Daten und Informationen erhalten, die längst hätten gesperrt sein müssen. Auch Kompetenzen von Mitarbeitern verändern sich während ihres Berufslebens und damit auch die zugewiesenen Berechtigungen in den Systemen eines Unternehmens.

Ein gängiges Problem stellen hier die Auszubildenden dar: Die häufen über ihre Wechsel durch alle Abteilungen Berechtigungen an, bekommen sie in der Regel aber nicht mehr entzogen. Schnell lässt sich nicht mehr nachvollziehen, welche Rechte benötigt werden und welche nicht, da die Kausalitäten nicht mehr zu durchdringen sind. Je weiter der Prozess voranschreitet, desto verunreinigter und unübersichtlicher werden die Berechtigungen. So entstehen Sicherheitslücken und in letzter Konsequenz auch Datenschutzverstöße.

Identity Manager mit zentraler und zielsystemunabhängiger Verwaltung

Die manuelle Pflege von Berechtigungen und Rollen macht viel Arbeit. Sie zu homogenisieren und abzubilden, stellt viele Unternehmen vor Herausforderungen. Abhilfe schafft ein Tool, das SAP-Systeme, die auf ABAP (Advanced Business Application Programming) basieren, mit einem Nutzer- und Berechtigungsmanagement versieht. Ein Identity Manager verwaltet und dokumentiert zentral und zielsystemunabhängig die Systemzugänge und Berechtigungen der Anwender, seien es Stammdaten, Benutzerparameter oder Rollenzuordnungen.

In der zentralen Personenverwaltung eines Identity Managers werden die Daten wie Adresse, Firma und Abteilung sowie Telefonnummern gespeichert und können von dort aus mit den angeschlossenen Fremdsystemen synchronisiert werden. Änderungen müssen nur einmal für alle Systeme erfolgen. Benutzeränderungen werden automatisch dokumentiert, und Änderungen am Benutzerstamm durchlaufen ein automatisiertes Antrags- und Freigabeverfahren: eine wesentliche Voraussetzung für eine revisionssichere Dokumentation.

Ein solches Tool ermöglicht damit bessere Workflows und schlankere Prozesse: Über den Identity Manager können zum Beispiel Arbeitsplätze definiert werden, die den Benutzern Berechtigungen in verschiedenen Systemen zusammenstellen: Ein Mitarbeiter im operativen Einkauf benötigt Rollen im ERP, aber auch in der Zeitwirtschaft, die vielleicht über ein neues Cloud-System abgedeckt wird. Sie alle können zusammengeführt werden – der Mitarbeiter erhält dann gebündelt für alle relevanten Systeme alle Berechtigungen, die er benötigt, um seiner Arbeit nachzukommen.

Spezialsysteme mit einem Cloud Connector anbinden

Die Anbindung verschiedener und spezialisierter Systeme, wie dem SAP Business Warehouse an einen Rechtemanager, war nicht immer einfach. Auch hatte SAP in der Vergangenheit einige Fremdsysteme wie Success Factors oder Ariba eingekauft, die nicht auf der originären SAP-Technologie basieren. Software-Anbieter sind oft nur in der Lage, einige wenige Systeme anzubinden, was für die Kunden unbefriedigend ist.

Eine Lösung wäre hier ein Connector, der ausnahmslos alle Systeme mit dem Identity Manager zu verknüpfen. Ein Cloud Connector leistet genau dies: Mit ihm können ohne weitere Programmierung beliebige Systeme mit Webanbindung über definierte Vorlagen an den Identity Manager angebunden werden. Dabei spielt es keine Rolle, ob diese Drittsysteme in der Cloud oder im eigenen Rechenzentrum on premise gehostet werden.

Ein Cloud Connector eignet sich für beide. Da alle Verbindungen zentral dargestellt werden, ist der Überblick gegeben, welche Systeme an die Suite angeschlossen sind. Die User merken nicht, dass ein Cloud Connector im Einsatz ist – die angebundenen Systeme verhalten sich, als wären sie voll integriert, die Useroberflächen ändern sich dadurch nicht.

Mit dem Cloud Connector ist das Problem der hohen Programmieraufwände gelöst. Bei Tools zur Rollenverwaltung werden die Anbindungen für die einzelnen Systeme oft mit sehr hohem Aufwand programmiert. Die Kosten, die je nach System schnell zwischen 20.000 und 80.000 Euro liegen können, trägt am Ende oftmals der Kunde. Eine solche Programmierung ist nicht nur initial aufwändig: Auch die Wartung und Updates sind weitaus mühsamer, wenn Neuerungen wie zusätzliche Felder erst programmiert, dann getestet und ins Produktivsystem übertragen werden müssen.

Der Cloud Connector ermöglicht es nun, die Anbindungen für die Einzelsysteme nicht mehr neu programmieren zu müssen – sie müssen lediglich konfiguriert werden. Eine gute Ergänzung ist es, dass so für die anzubindenden Systeme eine Template-Bibliothek entsteht, die mit jeder Anbindung an Umfang zunimmt. Durch die nicht mehr notwendige harte Programmierung kann der User seine Systeme über die Anpassung der Konfiguration selbst anbinden. Viele Schnittstellen der Cloudanbieter sind dafür gut und ausführlich dokumentiert.

Mit einem System zur Stammdaten- und Rollenverwaltung kann Datenschiefständen vorgebeugt und mit einer revisionssicheren Dokumentation die Compliance gewährleistet werden. Wo früher eine aufwändige Programmierung für die Anbindung jedes einzelnen Fremdsystems notwendig war, entfällt diese mit einem Tool wie dem Cloud Connector. Er ist beliebig erweiterbar und ersetzt die Programmierung durch eine Konfiguration. So können so viele Systeme wie nötig angebunden werden – auch unbekannte Spezialsysteme, wie z.B. solche zur Verwaltung von Blaupausen im Maschinenbau.

Philipp Latini ist Geschäftsführer SIVIS GmbH.

SIVIS GmbH

Lesen Sie auch