Redesign aller SAP-Berechtigungen mit Sicherheitsgarantie bei Coop Mineraloel
Mithilfe der Xiting Authorizations Management Suite (XAMS) konnte die Coop Mineraloel AG die Rollen eines zentralen ERP-Systems in nur fünf Monaten neu gestalten und in der Anzahl drastisch reduzieren – ohne während der Implementierung des neuen Berechtigungskonzepts den laufenden Betrieb zu beeinträchtigen. Möglich wurde das durch den Einsatz des automatisierten Werkzeugs für den Rollenbau, dem Role Designer der XAMS. Zusätzlich wurde mit der Einführung der Lösung Xiting Central Workflows (XCW) den Revisionsanforderungen zur Nachvollziehbarkeit bei den Prozessen der Benutzererstellung, Benutzeränderung, Rollenänderung und Rollenvergabe Rechnung getragen. Um die Sicherheit als auch die Benutzungsfreundlichkeit zu erhöhen wurde außerdem mit SAP Single Sign-On 3.0 eine SAP-Lösung durch Xiting implementiert.
Inhaltsverzeichnis
Über Coop Mineraloel AG
Nachhaltigkeit prägt die Coop Gruppe heute mehr denn je. Als Unternehmen im Geschäftsbereich Detailhandel der Coop Gruppe zählt die Coop Mineraloel AG als das führende Schweizer Unternehmen im Mineralöl-, Tankstellen- und Convenience-Bereich. Mit rund 120 Mitarbeiterinnen und Mitarbeitern im Jahr 2019 konnte die Coop Mineraloel AG einen Umsatz von rund 2.5 Milliarden CHF verbuchen. Die Coop Mineraloel stützt sich auf drei wesentliche Tätigkeitsbereiche: Betreiben der Convenience-Shops Coop Pronto mit oder ohne Tankstelle, Betreiben der Coop Tankstellen und der Beschaffung und Verkauf von Mineralölprodukten (Treibstoffe, Heizöl).
Sicherheit nach außen, Sicherheit von innen
Nicht selten sind die Nutzer von IT-Systemen mit zu weitreichenden Berechtigungen ausgestattet. Diesen Befund hatte auch die Analyse des Rollenkonzepts des zentralen ERP-Systems für rund 100 Anwender ergeben, die die Coop Minerlaoel AG Mitte 2019 durch die interne Revision durchführte. Zu weitreichende Berechtigungen können zu Verletzungen des Vier-Augen-Prinzips (Segregation of Duties, SoD) führen und bergen somit hohe Sicherheitsrisiken, etwa Verstöße gegen geltendes Recht oder den Datenschutz. Dem wollte die Coop Mineraloel AG mit einem Redesign ihres Rollenkonzepts nachhaltig entgegenwirken. Zusätzlich sollte aus Gründen der Sicherheit, der Nachvollziehbarkeit und der Benutzungsfreundlichkeit auch noch Xiting Central Workflows (XCW) und SAP Single Sign-On (SSO) implementiert werden.
Viele Unternehmen meiden solche Berechtigungsprojekte aus Angst vor langen Projekt- und Ausfallzeiten, Belastungen der Mitarbeiterinnen und Mitarbeiter in den Geschäftsbereichen sowie den hohen Kosten. Die Coop Mineraloel AG setzte daher voll auf die automatisierten Werkzeuge der XAMS – und konnte für deren Implementierung und das Rollenprojekt mit der Xiting AG einen festen Zeitplan zum Fixpreis vereinbaren. Im Juni 2019 wurde das Redesign gestartet. Dabei sind normalerweise in herkömmlichen Berechtigungsprojekten die Arbeitsplatzanalysen, das Rollen-Design – bestehend aus der inhaltlichen Definition und der technischen Erstellung der Rollen – sowie das Testen die zeitaufwändigsten Teile eines Berechtigungsprojektes. Xiting hat daher für diese Aufgaben ganz spezielle Werkzeuge entwickelt.
Die Werkzeuge der XAMS: automatisiert, zeitsparend, effektiv
So konnten bei der Coop Mineraloel AG beispielsweise mit dem in die XAMS integrierten Role Designer die verwendeten Prozesse erfasst und hieraus Rollenvorschläge erstellt werden. Diese zunächst rein virtuellen Rollen wurden dann geprüft und unter Beachtung der späteren Benutzerzuordnung (Deckungsgrad) verändert. Dabei folgt der Role Designer allgemeinen Vorgaben für SoD und kritische Berechtigungen, erprobten SAP Best Practices sowie dem Prüfleitfaden der Deutschsprachigen SAP-Anwendergruppe (DSAG). Am Ende, so die Zielsetzung, werden so wenig Rollen wie möglich behalten, um die Administration des künftigen Berechtigungssystems zu erleichtern.
Bei der Überprüfung der Vorschlagsrollen sind auch die Eigenentwicklungen im SAP-System miteingeschlossen. Entsprechend der realen Prozesse bei der Coop Mineraloel AG enthalten einige der neuen Rollen auch sogenannte Z-Transaktionen (Parametertransaktionen), mit denen der Anwender Eigenentwicklungen starten kann.
Die Eigenentwicklungen wurden zudem einer SU24-Analyse und -Bereinigung unterzogen und die Rollen anschließend automatisch mit den richtigen Berechtigungsobjekten und -werten angereichert. Sind alle notwendigen Rollen virtuell erzeugt, erfolgt die Übergabe an das SAP-System und das Testen. Hierfür hat Xiting die Produktive Testsimulation (PTS) entwickelt: Dabei wird die Benutzung der neuen Berechtigungsrollen unter Aufsicht der automatisierten Werkzeuge Role Builder und Xiting Times im Produktivsystem simuliert. So lassen sich Unschärfen im neuen Berechtigungsdesign unmittelbar erkennen und beheben. Der Go-Live erfolgte ohne jedes Risiko für den produktiven Betrieb, da in einer Übergangsphase (Phase des Protected Go-Live) die Anwender im Hintergrund ihre alte Rolle beibehielten und diese bei etwaigen Problemen temporär noch einmal nutzen konnten.
Nachhaltige Verwaltung der Berechtigungen dank XAMS und Xiting Central Workflows
Mit einem manuellen Ansatz wäre das Redesign weniger nachhaltig. Im aktuellen Projekt wurde die Anzahl der vorhandenen Rollen von ca. 130 Rollen (plus etlichen zugewiesenen SAP-Standard-Rollen) auf 50 reduziert. Künftig kann die Coop Mineraloel AG ihre Berechtigungen mit der XAMS zuverlässig selbst verwalten. Dank der automatisierten Prozesse wurden zudem die Mitarbeiter in den Fachabteilungen nur minimal beansprucht. Ohne Xiting Times hätten die Fachabteilungen bei der Coop Mineraloel AG einem Go-Live sehr kritisch gegenübergestanden. Doch so wurden sie durch das Redesign nur wenig belastet.
Als zusätzliche Maßnahme der nachhaltigen Benutzer- und Rollenverwaltung wurde noch die neue Lösung Xiting Central Workflows (XCW) innerhalb von nur zwei Tagen implementiert. In Zukunft laufen Änderungen als auch Neuanlagen von Rollen und Benutzern kontrolliert, nachvollziehbar und über ein Genehmigungsverfahren automatisiert ab.
Darüber hinaus konnte Coop Mineraloel AG eine Aufgabe lösen, die viele Unternehmen beschäftigt: Die Funktionalitäten der XAMS im Zusammenspiel mit der professionellen Umsetzung des Implementierungspartners Xiting hat es der Coop Mineraloel AG ermöglicht, einen sehr engen Projektzeitplan einzuhalten und nachweislich einen ROI innerhalb der Projektlaufzeit zu erzielen. Bei allen aufkommenden Problemen konnte der Xiting Support in der Regel noch am gleichen Tag eine Lösung bereitstellen.
Mehr Sicherheit und Benutzerfreundlichkeit mit SAP Single Sign-On
Mit Einführung von SAP SSO 3.0 ist der Zugriff auf die SAP-Systeme nicht nur sicherer (keine Kennworte mehr an den Bildschirmen oder unter der Tastatur), sondern auch wesentlich benutzerfreundlicher. Falsch eingegebene Kennworte, Benutzersperren und damit einhergehende Helpdesk-Calls gehören nun der Vergangenheit an.
Single Sign-On bedeutet die Benutzerauthentifizierung nur einmal durchzuführen. Bei Coop Mineraloel AG erfolgt diese Anmeldung direkt beim Start des PC bzw. durch Anmeldung am Terminalserver. Anschließend kann der Zugriff auf alle für SSO konfigurierten Anwendungen SAP GUI, SAP Enterprise Portal, SAP ICF-Services oder SAP BusinessObjects ohne erneute Anmeldung durchgeführt werden. Die Authentifizierung erfolgt durchgängig mittels sicher verschlüsselter Kerberos-Tickets.
Das Passwortmanagement in den verschiedenen SAP-Systemen konnte somit für alle SAP-Anwender entfallen. Ein zusätzlicher Vorteil besteht in der Möglichkeit, bestimmte Anwender schnell aus allen SAP-Systemen auszusperren. Kein Zugriff auf das Active Directory bedeutet auch, dass kein Zugriff auf integrierte SAP-Anwendungen mehr möglich ist.
Der Einsatz einer Verschlüsselung der Netzwerkkommunikation war fester Bestandteil der Revisionsanforderungen im Kontext der Prüfung von SAP-Systemen. Zielsetzung war die Umsetzung einer Ende-zu-Ende Verschlüsselung und gesicherten Authentisierung der Systeme, Schnittstellen und Benutzer. Verbindungen sollten immer dann verschlüsselt werden, wenn Kennwörter, personenbezogene oder sensible Daten über das Netzwerk übertragen werden. Dies betrifft sowohl die Kommunikation zwischen SAP-Systemen als auch die Client-zu-Server-Kommunikation, z. B. über die SAP GUI oder den Browser.
Neben SSO als Komfortfunktion wurde somit auch gleichzeitig die im Standard fehlende Verschlüsselung für die SAP-Protokolle DIAG und RFC und eine durchgängige Nutzung von HTTPS für webbasierte SAP-Anwendungen umgesetzt, um dieser Anforderung Rechnung zu tragen. Grundlage hierfür bieten die Technologien SAP Secure Network Communications (SNC) und Transport Layer Security (TLS).
Projekterfolge auf einen Blick
Durch ein Redesign der SAP-Berechtigungen mit Hilfe der XAMS und einer workflowgesteuerte Berechtigungsvergabe konnten folgende Erfolge erzielt werden:
- Minimaler projektbezogener Arbeitszeitausfall der Fachabteilungen während der gesamten Projektlaufzeit vor allem durch die produktive Testsimulation auf dem Produktivsystem – transparent für den Benutzer
- Problemloser Go-Live durch die Möglichkeit des selbständigen Aktivierens der „alten“ Berechtigungen durch den Benutzer
- Reduzierter Supportaufwand durch neu konzipierte arbeitsplatzspezifische Rollen
- Revisionsanforderungen (SoD, Bereinigung kritischer Berechtigungen) erfüllt
- Nachhaltige Implementierung des neuen Berechtigungskonzepts durch den Einsatz der workflowbasierten Tools zur automatisierten Rollen- und Benutzerpflege
Der Einsatz von SAP Single Sign-On bei Coop Mineraloel AG bietet viele Vorteile aus Sicht der Produktivität und Security und schaffte eine höhere Akzeptanz der Endanwender und Systembetreiber:
- Einmalige Anmeldung und benutzerfreundlicher Zugang zu SAP-Anwendungen
- Verbesserung der IT Security und Compliance
- Entfall von Passwörtern sowie der Passwortverwaltung
- Einfache und sichere Authentifizierung für viele Anwendungen und Szenarien
