• Home
• Über uns
  • Geschäftsführung
  • Geschichte
  • Kultur
  • Kunden
  • Case Studies & Fact Sheets
  • Partner
  • Mitgliedschaften
  • International
• Kompetenzen
  • Systems & Software Engineering
  • Simulation & Training
  • SAP Consulting
  • IT Infrastruktur Services
  • Qualitätssicherung & Testmanagement
• Märkte
  • Verteidigung
  • Raumfahrt
  • Luftfahrt
  • Finanzen
  • Public
• Karriere
  • VEGA als Arbeitgeber
  • Stellenangebote
  • Freie Mitarbeit
  • Studenten - Schüler
• News
  • News
  • Veranstaltungen
  • Pressekontakt
• Kontakt
  • Adresse
  • Ansprechpartner

Das 1x1 des systemübergreifenden User-Managements

Ein User-Management für alle Systeme gibt es nicht – oder doch?

Jedes IT-System besitzt – aus guten Gründen – immer noch sein höchst eigenes User-Management, jede Fachanwendung natürlich auch. Folglich hat jede Organisation - je System - eine Fülle von Aktivitäten zu erledigen,

wenn User angelegt, gelöscht oder Security-Attribute geändert werden müssen. Organisationsprobleme und

Fehlerquellen inklusive. Daher wäre es wünschenswert, nur ein Verfahren zu nutzen, das allen Berechtigungserfordernissen bzgl. aller User und aller Systeme, also enterprise-wide, genügt. Und hier beißt sich nun die Fachwelt bis heute die Zähne aus, die damit verbundenen Problemstellungen durch ein „Konsolidierungswerk“ zu lösen. Ob Active Directoryi, LDAP oder andere Ansätze – alle bisher angebotenen.

Verfahren sind auf die gängigen Betriebssysteme und verbundene Tools ausgerichtet. Andere Systeme, insbesondere Fachanwendungen mit ihren zum Teil umfangreichen Anforderungen an individuelle Policies, bleiben weitgehend auf der Strecke. Daher stellt VEGA Deutschland auf Basis ihres ECMF (Enterprise Control Manager Framework) jetzt eine systemübergreifende User-Management-Lösung zur Verfügung, die sämtliche benutzerbezogenen Steuerungen und Schnittstellen für alle Systeme – Fachanwendungen, Middleware und Betriebssysteme – enterprise-wide mit nur einem SW-Produkt unterstützt.

Konzept und Implementierung

Das User-Management innerhalb eines Systems sorgt dafür, dass nur bestimmte User ausgewählte Programmfunktionen anwenden und Daten verändern können (Policy).

Security, Identity und Access Manager

User, die gleiche Rechte besitzen, und Systemfunktionen, die zusammen gehören, werden auch im ECMF in Gruppen

und Rollen sowie in weiteren Object-Typs gebündelt. ECMF unterscheidet ferner, mit welchen Aspect-Typs, d.h. für welche Systeme, die verschiedenen Berechtigungs-Attribute spezifiziert sind. In die entsprechende Matrix sind Classes „eingehängt“, die dazu alle für ein systemübergreifendes User- Management benötigten Regeln repräsentieren (auf Basis der X.500- und POSIX-Standards).

Für allgemeine, organisationsübergreifende und user-bezogene Attribute sowie hinsichtlich bestimmter Betriebs- und

Standardsysteme sind entsprechende Classes vorhanden. Weitere Systeme, Middleware und Fachanwendungen werden

im Zuge der ECMF-Weiterentwicklung nach Bedarf mit berücksichtigt. Um ECMF im Zusammenspiel mit kundeneigenen Systemen einzusetzen, werden die benötigten Regularien im Rahmen des Customizings implementiert. Für jedes Attribut können Default- und Validation-Policies erzeugt werden. Eine Default-Policy schlägt einen im Umfeld des Kunden sinnvollen Attributwert vor; Validation-Policies dienen der Überpüfung, ob die jeweils vorgenommenen Eingaben sinnvoll und zulässig sind. Dies entlastet die User-Administration wirksam. Kundenseitig konsequent genutzt, kann auf diese Weise auch ein Single Signon unterstützt werden.

User Interface und Sicherheit

Zur Pflege aller Object- und Aspect-Daten („User-Datenpflege“) steht ein universelles, webbasiertes, customizingfreundliches

Frontend zur Verfügung. Hier finden die ECMF-User (User-Administratoren) in ansprechender Form alle erforderlichen Funktionalitäten. Jeder User-Administrator muss von einem speziell autorisierten Sicherheits-Administrator im ECMF definiert werden. Hierbei vergibt er auch das Initial-Passwort und „verordnet“ ein Zugriffs-Profil. Das Initial-Passwort ist vom User-

Administrator bei seiner ersten ECMFNutzung zwingend zu ändern. In Zugriffs-Profiles werden Rechte zu Datenbereichen

hinterlegt. Ist ein Passwort-Reset oder die Sperre eines User-Administrators nötig, so kann auch dies nur durch einen

Sicherheits-Administrator erfolgen. Jede Datenmanipulation wird vom VEGA Deutschland ECMF protokolliert, so dass

auch hier dem Datenschutz entsprechend Tribut gezollt wird.

Data Management und Data Distribution

ECMF speichert alle User Management-Daten unter LDAP. Die Aufgabe, die derart erzeugten Userdaten den jeweiligen

Systemen zur Verfügung zu stellen, übernehmen aktive Agenten (Java), so dass an den Systemen selbst in der Regel keine

Anpassungen erfolgen müssen. Für einige Systeme sind Agenten vorhanden (z.B. AIXii, MS Windows3, Lotus Notes3, Samba, u.a.); solche für andere Standard-Systeme werden mit der laufenden ECMF Weiterentwicklung nach Bedarf bereitgestellt

(z.B. DB23, SAP). Agenten für kundenindividuelle Systeme können bei ECMF-Installation im Rahmen des Customizing mit vertretbarem Aufwand in kurzer Zeit implementiert werden.