tenfold Case Study: Sappi Fine Paper Europe

Das übergeordnete Ziel, eine unternehmensweite, automatisierte und rollenbasierte Zugriffsverwaltung zu etablieren, wurde in mehreren Schritten realisiert. Im Lieferumfang von tenfold sind bereits viele Plugins enthalten. Dazu zählen unter anderem Plugins für gängige Verzeichnisdienste, Anwendungen, Help-Desk-Lösungen oder HR-Systeme. Trotz der komplexen Struktur konnte das Active Directory mit Hilfe des Active-Directory Plugins voll integriert werden. Die Einbindung von SAP ERP in das Berechtigungskonzept wurde mit dem integrierten SAP Plugin von tenfold bewerkstelligt.

Philipp Straka, Manager Regional Applications bei Sappi, war verantwortlich für die Implementierung einer automatisierten Schnittstelle zwischen dem HR-System und tenfold. Das Ziel der Anbindung war es, dass tenfold zeitnah von Eintritten, Austritten und interner Fluktuation (zum Beispiel Wechsel der Abteilung oder des Standorts) erfährt und darauf basierend automatisch Anpassungen an Benutzerkonten und Zugriffsberechtigungen vornehmen kann.

tenfold hat die Schnittstelle binnen kurzer Zeit mithilfe einiger Best-Practice-Vorlagen für das Personalwesen realisiert. Durch diese Standardisierung entstand kein zusätzlicher Implementierungsaufwand. Die Schnittstelle musste lediglich an die Prozesse und Ausnahmeregelungen im HR-System angepasst werden.

Benutzerkonten werden jetzt für neue Mitarbeiter automatisch angelegt und mit den entsprechenden Rechten ausgestattet. Beim Austritt von Mitarbeitern werden die Benutzerkonten in allen Systemen gesperrt, beim Wechsel von Standort oder Abteilung werden die Zugriffsrechte entsprechend angepasst. Auch das Abbilden von befristeten Dienstverhältnissen (zum Beispiel für Praktikanten) ist in tenfold möglich, die Sperre der Benutzer erfolgt automatisch zum hinterlegten Austrittsdatum.

Vor der Implementierung von tenfold war vor allem das Handling von externen Personen (zum Beispiel Lieferanten), die auf den Sappi-Systemen Zugriff hatten, ein Problem. „Wir haben oftmals verspätete Informationen darüber erhalten, dass bestimmte Personen auf der Lieferantenseite nicht mehr für unser Unternehmen tätig sind“, beschreibt Karl Liebich das Problem.
tenfold schafft mit seinen Best-Practice Vorlagen für das Personalwesen Abhilfe: Nunmehr werden externe Personen in tenfold mit einem speziellen Personentyp hinterlegt und laufen nach einer definierten Zeit automatisch ab, sofern sie nicht aktiv verlängert werden.

Man ist bei Sappi mit der neuen Lösung sehr zufrieden: „Damit wird den verantwortlichen Abteilungsleitern periodisch vorgelegt, welche externen Partner zurzeit Zugriff haben und man kann entscheiden, ob der Zugriff verlängert werden soll, oder ob eine Sperre durchgeführt werden muss“. Auf die gleiche Weise wird nun auch der Zugriff für Kunden und Lieferanten gesteuert, welche über das E-Commerce-Portal mit den IT Systemen von Sappi interagieren.

In den Bereichen der Papierproduktion und der Qualitätssysteme betreibt Sappi zwei selbst entwickelte Anwendungen mit großem Funktionsumfang und komplizierten Berechtigungsstrukturen. Es handelt sich dabei um kritische Anwendungen, die auf hochsensible Daten zugreifen.
Nach einer Analyse der beiden Systeme hat man sich dazu entschlossen, das Interface zu tenfold mit Hilfe des tenfold Groovy Plugins zu realisieren. Das tenfold Groovy Plugin ist eine plattform- und herstellerunabhängige Komponente, um Fremdsysteme in das unternehmensweite Identity & Access Management einzubinden.

Die Realisierung wurde durch Sappi mit Unterstützung von tenfold realisiert. „Die Einbindung unserer Infosysteme in tenfold hat den Aufwand für das Benutzer- und Zugriffsmanagement wesentlich gesenkt. Gleichzeitig wurde die Qualität verbessert, da manuelle Eingriffe nun gänzlich entfallen. Durch die Integration können wir die Anforderungen an die Compliance nahtlos erfüllen“ erzählt Michael Samastur, der als Application Manager für die Informations- und Qualitätssysteme zuständig ist.

Viele Anwendungen werden den Anwendern bei Sappi über Citrix bereitgestellt. Um auch diesen Weg der Bereitstellung abzudecken, wurden die relevanten Teile des Active Directory, die den Zugriff steuern, über das tenfold Active Directory Gruppenzuweisungs-Plugin zugänglich gemacht. Um für einen Benutzer den Zugang zu einer Anwendung zu beantragen und freizugeben, sind jetzt lediglich ein paar Mausklicks notwendig; manuelle Arbeiten entfallen gänzlich.

Die zentrale Verwaltung von Benutzerstammdaten wird in tenfold durchgeführt. Bei Änderungen werden alle Systeme des Unternehmens aktiv mit den neuen Daten aktualisiert. Jede Änderung wird protokolliert, damit nachvollziehbar ist, welche Person zu welchem Zeitpunkt welche Daten geändert hat und wer die Änderung genehmigt hat. Außerdem wird dokumentiert in welchen Systemen die Daten daraufhin aktualisiert wurden.

Grundsätzliche Benutzerstammdaten werden aus dem HR-System zu tenfold übertragen und von dort an weitere Systeme verteilt. Allerdings ist das HR-System nicht bezüglich aller Daten eines Benutzers das führende System. „Es war von großem Vorteil, dass tenfold ermöglicht, sehr spezifisch zu definieren, welches System hinsichtlich welcher Daten einer Person als das führende System gilt“, erzählt Philipp Straka.

Komponenten wie Computer, Laptops oder Mobiltelefone werden bei Sappi in einer Configuration Management Database hinterlegt. Um für tenfold die Zuordnung zwischen Anwender und Hardware (zum Beispiel PCs, Laptops, Mobiltelefone) herstellen zu können, wurde eine Schnittstelle zum CMDB-System realisiert. Mit den Zuordnungen lässt sich somit auf einen Blick sagen, welche Services ein Anwender von der IT bezieht. Auf Basis der Daten aus tenfold erfolgt die Kostenumlage auf Abteilungsebene.