Rahmenbedingungen wie bei der Rehau AG sind eine echte Herausforderung für das Identity Management (IdM): Rund 20.000 aktive Identitäten muss der Spezialist für Kunststoff- und Polymerlösungen über das IdM verwalten. Darüber hinaus sind 80 ABAP-Mandanten, 35 Active-Directory-Domänen und diverse 3rd-Party-Applikationen angebunden. Hinzu kommt, dass die angebundenen Systeme – von der HR-Software bis zum produktionsnahen MES-System – unterschiedliche Berechtigungsmerkmale benötigen. Angesichts dieser heterogenen IT-Landschaft ist Flexibilität ein entscheidender Aspekt: Die IdM-Architektur muss einfach erweiterbar sein, damit bei Bedarf weitere Systeme angebunden werden können.
Im Webinar stellt die Rehau AG ihr SAP IdM-System vor.
Um eine zentrale Oberfläche für die IdM-Prozesse zu schaffen, die Self-Services für Manager und Mitarbeiter bereitstellt, hat sich die Rehau AG für SAPUI5 als neues User Interface entschieden. Der Go-Live erfolgte Ende 2017 im Rahmen der Migration auf IdM 8.0. Seitdem orientieren sich Optik und Usability an zeitgemäßen Smartphone-Applikationen, mit deren Umgang die Mitarbeiter vertraut sind. Die hohe Benutzerfreundlichkeit erleichtert es den Anwendern, die Self-Services zu nutzen, und entlastet die IT-Abteilung durch den geringeren Supportbedarf.
SAPUI5 stellt ein modernes Framework mit zeitgemäßer Technologie zur Verfügung, das nicht nur eine hohe Performance bietet, sondern auch responsiv ist. Das heißt, die Darstellung passt sich automatisch dem verwendeten Endgerät an und ist damit auch für die mobile Nutzung optimiert.
Die Startseite von SAPUI5 bei der Rehau AG hat starke Ähnlichkeit mit dem SAP Fiori Launchpad. Die Kacheln enthalten jeweils eine Funktion und lassen sich nach logischen Inhalten gruppieren. Je nach Berechtigung des Anwenders werden Kacheln dynamisch ein- oder ausgeblendet. So sieht jeder nur das, was er sehen muss bzw. sehen darf.
Die wichtigste IdM-Funktion ist die Beantragung von Rollen und Berechtigungen. Rehau setzt hier auf ein Business-Rollenkonzept. Das bedeutet, dass der Anwender sich nicht um die technischen Berechtigungen im Endsystem kümmern muss, sondern einfach die Rollen beantragt, die er für seine Tätigkeit benötigt. Das finale Aussehen des User Interface für den Rollenantrag ist übrigens das Ergebnis mehrerer Evolutionsstufen. Nach dem Praxistest verschiedener Prototypen haben die Anwender schließlich die Variante ausgewählt, die am benutzerfreundlichsten ist.
Beim Rollenantrag unterstützen umfangreiche Suchfunktionen den Anwender. Neben der Volltextsuche gibt es die Möglichkeit, nach Rollensets zu suchen, die der IT-Bereich in Zusammenarbeit mit den Fachabteilungen definiert hat. Solche Rollensets umfassen typische Berechtigungen, die notwendig sind, um einen Mitarbeiter arbeitsfähig zu machen. Zudem gibt es eine Prozesssuche und Rollenvorschläge. Bei diesen ermittelt das System anhand der Stellenbeschreibung eines Mitarbeiters Empfehlungen, die auf den Berechtigungen von Kollegen mit gleicher oder ähnlicher Tätigkeit basieren.
Die beantragten Rollen kann der Anwender entweder in einem Warenkorb speichern und am Ende gesammelt abschicken oder er beantragt jede einzelne Rolle direkt. Der Workflow der Anträge ist jederzeit einsehbar. Aus dem Status geht hervor, bei wem der Antrag gerade liegt, ob er bereits genehmigt wurde oder ob noch manuelle Tätigkeiten notwendig sind, damit der Genehmiger den Antrag bearbeiten kann.
Der Arbeitsvorrat enthält eine Übersicht aller gestellten Anträge. In der Detailansicht kontrolliert er, ob die beantragten Rollen zum Antragsteller passen. Je nachdem, wie seine Einschätzung ausfällt, genehmigt er den Antrag oder lehnt ihn ab. Über die Multiselect-Funktion hat er die Möglichkeit, mehrere Anträge auf einmal zu genehmigen oder abzulehnen.
Neben der Beantragung von Rollen und Berechtigungen lassen sich über die IdM-Startseite auch Identitäten verwalten. Führungskräfte und Vorgesetzte haben einen Überblick über die Berechtigungen ihrer Mitarbeiter und können beispielsweise Benutzereinstellungen ändern, ein Passwort-Reset durchführen oder Rollen begrenzen bzw. löschen. Vor der Einführung von SAPUI5 waren Rollenanträge für neue Mitarbeiter ziemlich kompliziert. Dafür mussten mehrere Anträge parallel laufen. Jetzt ist der Prozess in einer einzigen Funktion zusammengefasst; das Onboarding eines neuen Mitarbeiters erfolgt innerhalb einer Antragsmaske.
Ein weiteres neues Feature im SAPUI5 sind die Ressourcenanträge. Dort lassen sich Verteilerlisten in Outlook, Berechtigungsgruppen, Projektlaufwerke oder Dropbox-Teamordner zusammenstellen und beantragen. Nach der Genehmigung legt das System im Hintergrund das Projektlaufwerk an, erzeugt und befüllt die entsprechenden Active-Directory-Gruppen. Zudem wird das Laufwerk automatisch im Windows Explorer eingebunden.
Ein sehr komplexes Rollenmodell und die Integration von Themen wie Ressourcenanträge und Dropbox-Teamordner, die für ein konventionelles IdM eher untypisch sind – die Rehau AG stellt hohe Anforderungen an ihr IdM. Um diese Vielfalt abzubilden und gleichzeitig eine intuitive Bedienbarkeit auf SAPUI5-Basis sicherzustellen, nutzt das Unternehmen das IBsolution-Produkt SECMENDO.selfservice als Add-On zu SAP Identity Management. Das Feedback der Anwender ist durchweg positiv. Und die erforderliche Flexibilität ist nicht nur mit Blick auf die Anbindung neuer Systeme, sondern auch hinsichtlich der Darstellung gegeben: Während sich die Rehau AG für SAPUI5 als vollumfängliches User Interface entschieden hat, gibt es auch die Option, die WebDynpro-Oberfläche beizubehalten und SAPUI5 als zusätzliches UI zu nutzen.
Bildquelle: Rehau AG