IdM für den Lebensmitteleinzelhandel

Ziele des Projekts

Die IT des Lebensmitteleinzelhandel (LEH)-Konzerns stand vor der enormen Herausforderung ohne zusätzliche Personalressourcen in der IT

  • die Ausweitung der Öffnungszeiten im LEH zu unterstützen,
  • die Internationalisierung des Unternehmens mitzugehen,
  • zusätzliche Applikationen (Fachanwendungen und Portale) zu betreiben,
  • sich den wachsenden Anforderungen und dem Wettbewerbsdruck anzupassen.

Die Nutzung von intelligenten, sich selbst erklärenden Self-Service Modellen und eine weitgehende Automatisierung, auch in der Benutzer- und Berechtigungsverwaltung, sind die besten Lösungen um sowohl dem hohen Kostendruck in dieser Branche, als auch den Anforderungen gerecht zu werden. Self-Service Modelle setzen jedoch voraus, dass eine solide, einfache und sichere Benutzer- und Berechtigungsverwaltung vorliegt und eingebunden werden kann.

 

 Dauer des Projektes

  • Vorprojekt: 5 Monate
  • Realisierung Phase 1: 12 Monate bis zur Betriebsübergabe
  • Realisierung Phase 2: 12 Monate bis zur Betriebsübergabe
  • Realisierung Phase 3: Momentan in Realisierung

 

Angebundene Systeme in Phase 1

  • Active Directory Services
  • SAP ZBV zur Provisionierung in diverse SAP-Module
  • Personalverwaltungssystem als Quelle für Interne Mitarbeiter
  • GUI für LEH-Marktmitarbeiter, die nicht im Personalverwaltungssystem geführt werden
  • Ticketing System für das UHD zur Steuerung semi-automatischer und manueller Prozesse SAP-Portal-Lösung
  • Domino-Server
  • Zutrittskontrolle
  • Mail
  • eSSO

 

Methodik und Projektvorgehen

Die deron IST-Analyse

Aufgrund der komplexen Filialstruktur im LEH war es der IT schwer möglich, die Kontrolle über die bestehenden Accounts und vergebenen Berechtigungen zu behalten. Zu wenig Personal stand bereit, um alle anstehenden Aufgaben zu bewältigen. Die Zuteilung von Zugriffsberechtigung oder die Anlage von Accounts verlief noch relativ strukturiert. Die Aberkennung von Berechtigungen und die zugehörige „De-Provisionierung“ gelang selten noch vollständig. Anspruchsvolle Fluktuationsraten sowie organisatorische Veränderungen verschärften diese Situation. Hinzu kam, dass für jede Applikation ein individuelles Verfahren zur Berechtigungsverwaltung angewendet wurde. Das Berechtigungsmanagement wurde von den Mitarbeitern der IT regelmässig auf Zuruf und meist ohne vollständige und nachvollziehbare Dokumentation „nebenher“ erledigt.

Das deron Big Picture – das Vorprojekt

Um die besonderen Unternehmensstrukturen und Anforderungen eines Filialisten im Lebensmittelsektor in Berechtigungsverfahren abbilden zu können, ist bei der Prozessgestaltung besonders auf die Akzeptanz der Anwender zu achten. So war die Prüfung von Berechtigungen so zu gestaltet werden, dass Anwender (z.B. der Marktleiter) nicht durch die Beschäftigung mit Sicherheitsfragen von ihrem Tagesgeschäft abgehalten werden. Gleichzeitig mussten die Verfahren ohne Zutun der Zentral-IT sicher und einwandfrei funktionieren. Nur so kann z.B. die Aberkennung der Berechtigungen einer Kassiererin auf dem ERP-System des lokalen Supermarkts sofort, d.h. auch ausserhalb der Kernzeit der Zentral-IT und während der Arbeitszeit der Filialmitarbeiter, erfolgen.

 

Als positiver Nebeneffekt fiel bei dieser Prozessoptimierung ein Sicherheitszugewinn sowie eine Steigerung der Ablaufgeschwindigkeit ab, was zu einem besseren Ansehen der IT-Services im Unternehmen führte.

Die deron Produktevaluation

Für die Einführung der neuen IdM Verfahren war keine Technologieplattform beim Kunden vorhanden – die bisherige Berechtigungsverwaltung fand völlig dezentral in den einzelnen Systemen und Fachanwendungen statt. Um den Weg hin zu einer performanten und zudem in der Zukunft auch audit-fähigen Lösung zu öffnen, galt es Kunden-spezifische Anforderungen aus Technik und Fach zu sammeln, aufzubereiten und zu bewerten. Wesentliche Aspekte für die Entscheidung zugunsten der präferierten IDM-Plattform waren:

 

  • grosses Angebot an sehr guten und flexiblen Schnittestellen für die heterogene Systemwelt
  • ausgeprägte Rollenmodellierungsfähigkeit, die genau den Wünschen des Kunden entsprach

Die Roadmap

Die Einführung einer zentralen Benutzerverwaltung für mehr als 50.000 Mitarbeiter stellte eine planerische Herausforderung dar. Umso wichtiger war es, unserem Kunden einem auf das IdM Thema spezialisierten und mit 10 Jahren Markterfahrung ausgestatteten Berater (deron) die Planungen zum Masterplan zu übergeben. Elementar war für unseren Kunden, eine nachvollziehbare, auf mehrere Jahre belastbare und nutzenorientierte Bewertung der einzelnen Projektphasen zu erhalten. Damit konnte er, ohne zusätzliche Personalressourcen, den Projektablauf valide durchplanen. Durch die Priorisierung der Projektschritte war in kurzer Zeit ein Pilot für einen ersten Unternehmensbereich zu realisieren um identifizierte akute Probleme kurzfristig in den Griff zu bekommen. Diese saubere Abhängigkeitsplanung der einzelnen Schritte vermeidet teure Umwege und Change Requests und schont so die Ressourcen bei Mitarbeitern und Budget.

Die Umsetzungsphase  on going

Nachdem alle wichtigen Entscheidungen zum Big Picture, zur Produktauswahl und zum Masterplan getroffen waren, begann die Realisierung der ersten Phase. Diese beinhaltete die Bewirtschaftung des AD als Basis für die „sichere Primär-Authentisierung“ sowie die Anbindung der SAP-Portal-Lösung im Rahmen eines Piloten. Zudem wurden die Life Cycles für „Interne Mitarbeiter“ wie für die „Lebensmittelmärkte“ im Zuge der Detailkonzeptionierung festgelegt und zur gemeinsamen Abstimmung dokumentiert.

 

Um den gewünschten hohen Automatisierungsgrad zu erreichen, schlug deron seinem Kunden die Einführung eines Businessrollenmodells vor. Auf  Basis der Rollen-basierenden Vergabe von Accounts und Berechtigung konnte der Grossteil der Anfragen vollautomatisch und unter Berücksichtigung der unternehmensspezifischen SoD und Compliance-Vorgaben innerhalb von Sekunden abgearbeitet werden. Dabei war das System weiterhin so flexibel, dass Sonderfälle wie Urlaubsvertretung o. ä. durch den Einbezug der Fachvorgesetzten sicher entschieden werden konnten. Für die Erstellung der fachlichen und technischen Feinkonzepte mit allen notwendigen Ausnahmeregelungen konnte auf eine Vielzahl von deron Vorlagen und Erfahrungswerte zurückgegriffen werden. Dadurch waren die Feinkonzepte innerhalb weniger Monaten fertiggestellt. Bei der Implementierung wurde das typische 3-Stufen-Modell genutzt (Entwicklung, Test, Produktion), so dass eine partielle Qualitätssicherung durch den Kunden bereits durchgeführt werden konnte, während weitere Elemente noch entwickelt wurden.

 

In der nun gerade aktuell dritten Phase des Projektes geht es primär darum, weitere User-Zielgruppen sinnvoll und effektiv über das IDM mit Accounts und Berechtigungen auszustatten und weitere Fachanwendungen des LEH und Grosshandels zu konnektieren.