CWS-boco

Flexible Benutzerverwaltung mit SAP-Synchronisation und eigenen Skripten

CWS-boco logo

CWS-boco

  • Mit IAM gestaltet CWS-boco die Benutzerverwaltung durch systemübergreifendes User Provisioning aus dem Personalsystem in Active Directory und Mailsystem deutlich effizienter.
  • Die automatisierte Berechtigungsvergabe durch IAM entlastet die IT- und Personalabteilung. RBAC-Rollen werden aus dem Active Directory für mobile Endgeräte übernommen und unterschiedliche Dateneingabeverfahren durch eigene Skripte flexibel integriert.

Flexible Benutzerverwaltung mit SAP-Synchronisation und eigenen Skripten

Als ein führender Anbieter von professionellen Waschraumhygiene-Lösungen und Textilservice-Leistungen bietet CWS-boco Komplettlösungen für Unternehmen aller Branchen und Größen. Gestützt auf ein flächendeckendes Servicenetz mit über 50 Standorten und mehr als 600 Servicefahrzeugen ist CWS-boco Deutschland eine der 16 Landesgesellschaften der CWS-boco Gruppe in Zentraleuropa. Um die Angebote zu Waschraumhygiene, Berufskleidung und Reinraum-Full-Service effizient umzusetzen, erhalten die rund 10.800 Mitarbeiter durch Tools4evers UMRA / IAM jederzeit mobil und stationär Zugriff auf ihre persönlichen Anwendungen wie Mailclient oder Intranet sowie die Servicefahrer auf ihre Tourinformationen.

Camillo Haase, Systemadministrator bei CWS-boco erklärt die Schwierigkeiten bei der Berechtigungsvergabe: „CWS-boco ermöglicht als überregionaler Serviceanbieter seinen Servicemitarbeitern den Zugriff auf die Systeme auch unterwegs. Im Unternehmen kommen daher ganz unterschiedliche Endgeräte zum Einsatz. Trotz dieser komplexen Struktur müssen wir sicherstellen, dass die Berechtigungen stets korrekt sind – unabhängig von Standort und Gerät.“ Insgesamt geht es um über 10.000 Mitarbeiter, die je nach Position und Geschäftsbereich individuelle Anwendungen benötigen und deren AD-Accounts dadurch rollenbasierte Berechtigungen erfordern. „Die Benutzerdatenpflege stellt eine wichtige Aufgabe im Unternehmen dar. Wir brauchten daher eine effiziente Möglichkeit, die Benutzerkonten unternehmensweit und systemübergreifend konsistent zu verwalten.“

Zentrale Datenquelle Personalsystem

Verantwortlich für die Verwaltung der Beschäftigten bei CWS-boco ist die Personalabteilung. Diese pflegt neue Mitarbeiter in das Personalsystem ein und vermerkt Änderungen und Abgänge. So werden für jeden User Kontaktdaten wie Mailadresse oder Telefonnummer hinterlegt, aber auch eine Gruppenzugehörigkeit je nach Position im Unternehmen und damit standardmäßige Zugriffsberechtigungen. Dabei kommen unterschiedliche Verfahren zum Einsatz, einige Landesgesellschaften nutzen ein Webinterface für die Dateneingabe, andere stellen CSV-Dateien zur Verfügung. All diese Nutzerdaten besitzen eine große Relevanz für unterschiedliche Ressourcen wie Active Directory, Mailsystem oder Intranet. Camillo Haase erläutert: „Wir sorgen dafür, dass die Daten aus dem Personalsystem jeden Tag mit den relevanten Ressourcen synchronisiert werden.“ Die IT-Abteilung ist auch dafür zuständig, die Vorgaben aus den unterschiedlichen Ländern zu erfüllen. „Wir können die Benutzerdatenpflege sehr flexibel gestalten. Die User können ihre Daten im Intranet sogar selbst aktualisieren. Schließlich wissen die Mitarbeiter zuerst, ob sich beispielsweise ihre Telefonnummer geändert hat.“

„Wir können die Nutzerdaten jetzt unternehmensweit und systemübergreifend konsistent verwalten. IAM bietet die Möglichkeit, unterschiedliche Eingabeverfahren per Synchronisation flexibel mit eigenen Skripten zu ergänzen.“

Camillo Haase, Systemadministrator bei CWS-boco

Flexible Kombination: IAM & eigene Skripte

Möglich ist die Synchronisation der Nutzerdaten zwischen unterschiedlichen Systemen und Ressourcen mit Hilfe des Identity & Access Managements (IAM) von Tools4ever. Damit werden alle Informationen der Userkonten vom Personalystem in das Active Directory und Mailsystem übertragen. Haase hat dafür sogar eigene Skripte geschrieben. „IAM ist flexibel und bietet die Möglichkeit, Funktionen selbst zu programmieren. So können wir zum Beispiel per Knopfdruck CSV-Dateien mit den Berechtigungen aller Nutzer erzeugen und diese per selbstgeschriebenem Skript einfach in unsere Intranet-Anwendung einlesen. Diese Flexibilität hat uns sehr geholfen.“ Haases Abteilung ist für das Intranet des gesamten Konzerns zuständig und sorgt dafür, dass die User ihre eigenen Daten dort im Self-Service pflegen können. „Dabei ist es egal, wo ein Mitarbeiter angestellt ist. Jeder Beschäftigte in jeder Landesgesellschaft besitzt die nötigen Zugriffsrechte im Intranet und kann Änderungen selbständig vermerken, die dann in das Mailsystem übernommen werden.“

RBAC für unterschiedliche Endgeräte

Als überregional und international aufgestelltes Serviceunternehmen verfügt CWS-boco über eine große Flotte von Außendienstfahrzeugen und -mitarbeitern. Um den reibungslosen Ablauf der mobilen Einheiten sicherzustellen, können die Mitarbeiter auch von unterwegs per mobilem Endgerät auf wichtige Daten zugreifen. Dazu wurde ein Mobile Device Management (MDM) aufgebaut, mit dem sich beispielsweise Apps auf die Geräte übertragen lassen. „Damit ein Mitarbeiter sein mobiles Gerät nutzen kann, ist eine Mitgliedschaft im Active Directory erforderlich, die auch den Zugriff auf Apps regelt.“ Die deutsche Landesgesellschaft hat dazu Profile für Role Based Access Control (RBAC) entwickelt, sodass beispielsweise ein Servicefahrer immer über standardisierte Zugriffsrechte verfügt. „Unser Identity & Access Manager weiß über die Schnittstelle zum Personalsystem, dass der Mitarbeiter einer bestimmten Gruppe angehört. Auf dieser Basis erhält er dann die jeweiligen Berechtigungen“, so Haase. Durch diese rollenbasierte Rechtevergabe lassen sich die Endgeräte schnell und unkompliziert verwalten.

Ergebnis

IAM macht die Benutzerverwaltung bei CWS-boco durch systemübergreifende Synchronisation und Self-Service für die Mitarbeiter schneller und effizienter. Eigene Skripte ergänzen individuelle Funktionen, wie den Datenexport ins Intranet. Durch RBAC können Mitarbeiter über verschiedene Endgeräte immer nur auf die für sie vorgesehenen Daten zugreifen.