Datan synkronointi identiteetinhallinnan ja toiminnanohjausjärjestelmän välillä

Abstract

Tämän insinöörityön aiheeksi valikoitui Case-yrityksen identiteetinhallinnan sekä toiminnanohjausjärjestelmän välisen tiedonkulun sekä siinä ilmenevien haasteiden havainnointi. Lisäksi olennaista oli tutustua identiteetin provisiointiprosessiin, SAP-järjestelmän erilaisiin roolikokonaisuuksiin sekä näihin vaikuttaviin erilaisiin tekijöihin. Työn pääasiallisena tavoitteena oli synkronoida tiedot järjestelmien välillä sekä selvittää, miksei tieto pysy ajantasaisena.

Työ toteutettiin aikavälillä syyskuu 2023 – maaliskuu 2024. Tietoa ongelmasta kerättiin yrityksen sisäisistä materiaaleista sekä dokumenttianalyysin ja avoimien haastatteluiden avulla. Työn vaiheet pitivät sisällään analysointityötä aktiivisten ja inaktiivisten käyttäjien rooleista, roolien poistoa inaktiivisilta käyttäjiltä sekä raportointia.

Olennaisena tuloksena havaittiin, että identiteetinhallinnan ja SAP-toiminnanohjausjärjestelmän välillä ilmeni eroavaisuuksia esimerkiksi käyttäjien sekä roolien lukumäärässä useammasta syystä. SAP-järjestelmän roolipaketteja haettiin sekä lisättiin käyttäjätunnuksille, joiden provisiointiprosessi ei ollut valmistunut täysin identiteetinhallinnassa. Tämä oli omiaan aiheuttamaan ongelmia. Myös yrityksen automatisoidussa deprovisiointiprosessin toiminnallisuudessa ilmeni puutteita. Lisäksi havaittiin, että rooleja oli lisätty käyttäjille tavoilla, joka eivät olleet nykyisen käytännön mukaisia.

Tuloksia hyödynnetään jatkokehityksessä, jossa ylimääräisten sekä väärinmyönnettyjen roolien poistoprosessia laajennetaan myös aktiivisten käyttäjien pariin.

The topic of the study was to observe the data flow between the identity management and the enterprise resource planning system SAP, alongside with the challenges that arise in it. In addition, it was essential to become familiar with the identity provisioning process, the various role entities within SAP and the various factors influencing these. The main goal was to synchronize the data between the two systems and to find out why data does not stay up to date.

The study was carried out between September 2023 and March 2024. A comprehensive picture of the extent of the problem was formed by collecting information from the Case company's internal materials, document analysis and open interviews. This included analyzing the roles of active and inactive users, removing roles from inactive users, and frequent reporting to relevant stakeholders.

As a significant result, it was found that differences between the identity management and the SAP were caused by several reasons. The role packages in SAP were requested for and added to user IDs whose provisioning process had not been fully completed in identity management, and this was apt to cause errors. The functionality of the Case company's automated deprovisioning process also showed deficiencies. Additionally, it was found that roles had been added to users in ways that did not conform to the current policy.

The results will be used in further development where the process of removing extra and wrongly assigned roles will also be extended to active users.