CSU

Passwortsynchronisation zwischen AD und IBM i

CSU logo

CSU

  • Automatisieren des Benutzerkontenmanagements, einschließlich Workflow, und weniger Passwörter durch Passwortsynchronisierung und "Single Sign-On"
  • Weniger Druck für den Helpdesk, weil die Benutzer ihr Passwort selbst zurücksetzen und Genehmigungen selbst anfragen können und weil Änderungen an Benutzerkonten automatisch erfolgen

CSU-Benutzer profitieren von der Passwortsynchronisation zwischen AD und IBM i

Das Reinigungsunternehmen CSU Total Care (einschließlich der Gartenpflegeorganisation Tzorg) gehört mit ca. 14.000 festen Mitarbeitern und 21 Niederlassungen zu den größten nationalen Reinigungsunternehmen in den Niederlanden. Ende 2010 wollte die IT-Abteilung die Prozesse um das Benutzermanagement beschleunigen. Außerdem bestand der Wunsch, für die 650 Benutzer den Anmeldevorgang bequemer zu gestalten. Ben Helleman, Manager für ICT-Verwaltung bei CSU: "Wir erhalten beim Helpdesk viele Anfragen, neue Benutzer und Genehmigungen anzulegen und zu ändern. Diese Anfragen mussten wir manuell bearbeiten. Auch bearbeiteten wir völlig unnötige Anfragen. Das kommt, weil wir nach einer Kostenstellenstruktur arbeiten. Alle Benutzer sind für ihre eigene Kostenstelle verantwortlich, können aber manchmal auch auf eine andere Kostenstelle zugreifen. Oft wurden Genehmigungen für eine Kostenstelle beantragt, die man sowie bereits nutzen durfte. Außerdem gingen beim Helpdesk viele Anrufe aufgrund von Passwort-Resets ein. Unsere Benutzer müssen uns täglich an verschiedenen Systemen, wie Windows, IBM i (ehemals OS/400 und i5/OS), sowie an unterschiedlichen Websites anmelden. Hierdurch wird der Anmeldevorgang umständlich. Wir möchten, dass die Benutzer nur 1 Passwort haben, um auf ihr sämtlichen Anwendungen zuzugreifen."

Schnittstelle zu IBM i

CSU begann, eine geeignete Lösung zu suchen, die unbedingt mit IBM i kompatibel sein sollte. Dieses System umfasst unternehmenskritische Anwendungen von UNIT4. Dabei müssen die Berechtigungen von Benutzern stimmen. Das sind z. B. das ERP-System sowie die Finanz- und Personaldaten (FIS) und (EMIS).

Als vor einigen Jahren Novell-Produkte ausrangiert wurden, trennte sich CSU vom Novell Identity Manager. Jedoch bot auch der Nachfolger von Microsoft, wie Ben Helleman erklärte, nicht die richtige Flexibilität zur Verknüpfung mit der Umgebung IBM i. "Als wir mit Microsoft innerhalb von IBM i arbeiten wollten, mussten wir überaus viel anpassen, bis es funktionierte. Bspw. mussten wir Kerberos einrichten. Auch das IBM-Paket hatte zu viele Lücken, denke ich."

Ben Helleman ergänzt: "Als weitere Anforderung sollte es nur ein Paket bzw. Zulieferer sein - sowohl für Benutzerkontenmanagement, Single Sign-On, Passwortsynchronisation und Passwort-Self-Service. In Tools4ever fanden wir den Zulieferer, der mit den Produkten UMRA, E-SSOM, PSM und SSRPM dieses alles anbietet."

"Wir wollten nur ein Paket bzw. nur einen Zulieferer für Benutzerkontenmanagement, Single Sign-On, Passwortsynchronisation und Passwort-Self-Service"

Ben Helleman, Manager für ICT-Verwaltung bei der CSU

Passwortsynchronisation zwischen AD und IBM I

Über ein Powershell-Skript erstellt die Tools4ever-Lösung UMRA eine Verknüpfung mit IBM i. So wurden verschiedene Aufgaben zur Benutzerverwaltung direkt in den UNIT4-Paketen angepasst. Anhand eines elektronischen Formulars gibt der Helpdesk an, welche Änderungen erfolgen müssen. Zum Beispiel wird ein Benutzer aktiviert und deaktiviert. Danach führt UMRA diese Änderung automatisch durch. Außerdem realisiert PSM von Tools4ever die Passwortsynchronisation zwischen dem Active Directory und dieser Plattform. Dadurch benötigen die Benutzer für beide Umgebungen nur noch ein einziges Passwort. Ebenfalls speist UMRA eine Datenbank. Danach kann per SQL eine Abfrage für Berichte, z. B. über Kostenstellen, erfolgen.

Workflow-Management

Vorteilhaft ist jedoch nicht nur, dass Benutzer zur Anmeldung nur noch ein einziges Passwort brauchen. CSU bemerkte zudem, dass dank SSRPM von Tools4ever die Zahl der Anrufe beim Helpdesk wegen eines Passwort-Resets schnell sank. Diese Passwort-Reset-Anrufe machten zuvor 30 % der Gesamtanrufe aus. Auch verminderte das Workflow-Management-Modul von UMRA zügig den Druck auf den Helpdesk. Es hat ein web-basiertes Dashboard, auf dem die Manager und Benutzer selbst Genehmigungen anfordern und abstimmen können. UMRA setzt die Änderungen direkt im Netzwerk um. Künftig will Ben Helleman auch andere Anfrageprozesse über das Workflow-Modul laufen lassen. Das kann z. B. die Bestellung eines Handys sein. Dank der TOPdesk-Verknüpfung bei CSU kann UMRA Informationen extern auf TOPdesk speichern. So wird automatisch ein Ticket erstellt. Neben den automatisierten Aufgaben zur Benutzerverwaltung profitiert die IT-Abteilung auf diese Art auch von den vereinfachten ITIL-Verwaltungsprozessen.