PLM Open Hours - Zugriffsrechte in einem globalen PDM mit verteilter Entwicklung
0 gefällt mir1,848 aufrufe
Das Dokument diskutiert die Herausforderungen und Szenarien globaler Zusammenarbeit in einem Produktdatenmanagement (PDM) System, insbesondere in Bezug auf Zugriffsrechte und Berechtigungen. Es werden technologische Möglichkeiten hervorgehoben, darunter objektbasierte und kontextbasierte Berechtigungen sowie die Bedeutung von Effizienz, Sicherheit und Transparenz. Abschließend betont es die Notwendigkeit, ein durchdachtes Berechtigungs- und Sicherheitskonzept zu entwickeln, um uneingeschränkte Zusammenarbeit zu gewährleisten, ohne die Sicherheit zu gefährden.
![Datenraub
«Jedes vierte Unternehmen in Deutschland war in den letzten drei Jahren
Opfer von Computerkriminalität. Noch alarmierender: 86 Prozent der
Unternehmen stufen e-Crime inzwischen als große Gefahr ein, allen
voran die Stützen der deutschen Industrie, der Maschinenbau und die
Automobilindustrie. Das ist das Ergebnis einer repräsentativen KPMG-
Umfrage unter 500 Unternehmen in Deutschland.»
Schaden in DE im zweistelligen Milliardenbereich
48% der Delikte von Tätern aus dem eigenen Haus, weitere 24% von
Insidern.
[http://www.kpmg.de/Presse/21498.htm]
PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 7](https://image.slidesharecdn.com/pohaccessrights-120405012252-phpapp01/85/PLM-Open-Hours-Zugriffsrechte-in-einem-globalen-PDM-mit-verteilter-Entwicklung-7-320.jpg)
![Unser Beispiel
Konzern
Standort A
Herr Müller
[Entwicklung] Entwickler
Konsument
Entwickler
Herr Meier Standort B
[Vertrieb]
Regelbaum
• Entwickler darf Dokumente in
Herr Valdez seinem Kontext sehen
[Entwicklung] • Entwickler darf Dokumente in
seinem Kontext freigeben
PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 17](https://image.slidesharecdn.com/pohaccessrights-120405012252-phpapp01/85/PLM-Open-Hours-Zugriffsrechte-in-einem-globalen-PDM-mit-verteilter-Entwicklung-17-320.jpg)
![Zugriffsrechte auf Dokumente mit Klassifizierung
Globale Sichtweise
Verschiedenen Benutzer haben verschiedenen «Hüte»
5 in verschiedenen Organisationseinheiten an.
Standort A
1
Herr Müller [Entwicklung]
1 5
2
3
Herr Meier
Standort B
[Vertrieb]
Dokumente können auch verschiedenen
Organisationseinheiten z.B. einem Werk
Herr Valdez [Entwicklung] zugeordnet sein.
PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 24](https://image.slidesharecdn.com/pohaccessrights-120405012252-phpapp01/85/PLM-Open-Hours-Zugriffsrechte-in-einem-globalen-PDM-mit-verteilter-Entwicklung-24-320.jpg)
PLM Open Hours - Zugriffsrechte in einem globalen PDM mit verteilter Entwicklung
- 1. INTELLIACT PLM Open Hours | http://plmopenhours.net Zugriffsrechte in einem globalen PDM mit verteilter Entwicklung Felix Nyffenegger, 04.04.2012 Version 5, Freigegeben
- 2. Agenda Herausforderungen der globalen Zusammenarbeit Szenarien der Zusammenarbeit Technologische Möglichkeiten Objektbasierte Berechtigungen Kontextbasierte Berechtigungen Die Dilemmas in Berechtigungskonzepten Fazit PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 2
- 3. HERAUSFORDERUNGEN UND SZENARIEN DER GLOBALEN ZUSAMMENARBEIT PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 3
- 4. Global Networks PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 4
- 5. Herausforderungen der globalen Zusammenarbeit Kollaboration Concurrent Engineering Technologien (Gemeinsames Arbeiten in einer Baugruppe) Globale Prozesse und Hoheiten (Änderungsprozess) Kommunikation (Sprache, Zeit, Distanz) Performance (Netzwerk, Effizienz in den Tools und Prozessen) Lokalisierung Lokale Prozesse/Skills (z.B. Al-Schweissen) Lokales Sourcing insb. für Normteile (Qualität, Verfügbarkeit) Marktgerechte Entwicklung (Lokale Segmente, Kostenstrukturen) Sicherheit Know-how Schutz / Datenraub Transparenz PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 5
- 6. Herausforderungen der globalen Zusammenarbeit : Rechtekonzept Kollaboration Concurrent Engineering Technologien (Gemeinsames Arbeiten in einer Baugruppe) Globale Prozesse und Hoheiten (Änderungsprozess) Kommunikation (Sprache, Zeit, Distanz) Performance (Netzwerk, Effizienz in den Tools und Prozessen) Lokalisierung Lokale Prozesse/Skills (z.B. Al-Schweissen) Lokales Sourcing insb. für Normteile (Qualität, Verfügbarkeit) Marktgerechte Entwicklung (Lokale Segmente, Kostenstrukturen) Sicherheit Know-how Schutz / Datenraub Transparenz PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 6
- 7. Datenraub «Jedes vierte Unternehmen in Deutschland war in den letzten drei Jahren Opfer von Computerkriminalität. Noch alarmierender: 86 Prozent der Unternehmen stufen e-Crime inzwischen als große Gefahr ein, allen voran die Stützen der deutschen Industrie, der Maschinenbau und die Automobilindustrie. Das ist das Ergebnis einer repräsentativen KPMG- Umfrage unter 500 Unternehmen in Deutschland.» Schaden in DE im zweistelligen Milliardenbereich 48% der Delikte von Tätern aus dem eigenen Haus, weitere 24% von Insidern. [http://www.kpmg.de/Presse/21498.htm] PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 7
- 8. Herausforderungen der globalen Zusammenarbeit : Rechtekonzept Kollaboration Concurrent Engineering Technologien (Gemeinsames Arbeiten in einer Baugruppe) Globale Prozesse und Hoheiten (Änderungsprozess) Kommunikation (Sprache, Zeit, Distanz) Performance (Netzwerk, Effizienz in den Tools und Prozessen) Lokalisierung Lokale Prozesse/Skills (z.B. Al-Schweissen) Lokales Sourcing insb. für Normteile (Qualität, Verfügbarkeit) Marktgerechte Entwicklung (Lokale Segmente, Kostenstrukturen) Sicherheit Know-how Schutz / Datenraub Transparenz PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 8
- 9. Globales PLM: Wer darf und wer muss was sehen? Entwicklungsstandort A Produktionswerk 1 Externer A Produktionswerk 3 Externer B Produktionswerk 4 Zulieferer X Produktionswerk 2 Alternative Zulieferer X Entwicklungsstandort B Produkt für Highend Markt Produkt für Midrange Markt PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 9
- 10. Globales PLM: Wer darf und wer muss was sehen? Entwicklungsstandort A Produktionswerk 1 Externer A Produktionswerk 3 Externer B Produktionswerk 4 Zulieferer X Produktionswerk 2 Alternative Zulieferer X Entwicklungsstandort B Produkt für Highend Markt Produkt für Midrange Markt PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 10
- 11. Szenarien der globalen Zusammenarbeit Zusammenarbeit Entwicklungsstandort mit lokalen Werken Zusammenarbeit zwischen Entwicklungsstandorten Zusammenarbeit mit Externen/Zulieferern PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 11
- 12. PLM WERKZEUGE UM BERECHTIGUNGSKONZEPTE ABZUBILDEN PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 12
- 13. Objektbasierte Berechtigungen (Owner Group World) User R W D Objekt Owner X X Owner (1:1) (Artikel, Doku ment) Group X X World X Group (1:n) Ein Objekt (Artikel, Dokument) kennt in der Regel Group einen Besitzer ist einer oder mehreren Gruppen zugeordnet Auf dem Objekt wird definiert, welche Rechte der Besitzer, die Gruppe und die übrigen User besitzen PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 13
- 14. Werkzeuge kontextbasierter Berechtigungen Zuordnung von Objekten zu Kontexten Kontext Objekt Kontext Job: Zuordnung von User mit Kontext-Struktur Rolle zu einem Regelbaum Rolle Kontext ACL User Im Detail unterscheiden sich die Konzepte ja nach System PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 14
- 15. Objekte Objekt, User, Gruppe Kontext: Bereich, dem Objekte (Artikel, Dokumente) und Benutzer in einer bestimmten Rolle zugeordnet werden. Organisationseinheit (Entwicklung, Businessunit) Projekt Rolle, ACL, Regelbaum: Ein Benutzer-unabhängiges Berechtigungsprofil. In einer ACL oder einem Regelbaum wird definiert, welche Rolle unter welchen Randbedingungen (z.B. Ein Objektstatus, Kontext) auf welchen Objekttypen welche Rechte hat. Projektleiter -> Darf neue Benutzer zum Projekt einladen Entwickler -> Darf Dokumente und Artikel erstellen und freigeben PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 15
- 16. Beziehungen «Job»: Definiert welche Rollen ein User in einem bestimmten Kontext einnimmt Objekt-Kontext-Beziehung: Zuordnung zwischen Objekten und Kontexten. In der Regel wird unterschieden zwischen Ownership: Das Objekt gehört diesem Kontext (einmal) Consumer: Das Objekt darf von diesem Kontext gesehen werden. Kontext-Hierarchie: Gewisse Systeme erlauben auch eine hierarchische Strukturierung von Kontexten Rechte vererben sich über die Kontexthierarchie Manche Systeme erlauben den Unterbruch der Vererbung («Top Secret Projekte») Manche Systeme erlauben der Vererbung ein Regelwerk zu Hinterlegen PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 16
- 17. Unser Beispiel Konzern Standort A Herr Müller [Entwicklung] Entwickler Konsument Entwickler Herr Meier Standort B [Vertrieb] Regelbaum • Entwickler darf Dokumente in Herr Valdez seinem Kontext sehen [Entwicklung] • Entwickler darf Dokumente in seinem Kontext freigeben PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 17
- 18. Fazit technologische Betrachtung Rein objektbasierte Berechtigungen sind sehr starr und eignen sich nur in seltenen Fällen für globale Szenarien. Die technischen Möglichkeiten von Kontext basierten Berechtigungen in einem modernen PLM System sind mächtig und komplex. Die Realisierbarkeit scheitert kaum an technischen Problemen Ein gutes Gesamtkonzept ist essentiell Wer ein PDM System evaluiert und globale Prozesse im Fokus hat, sollte diese Möglichkeiten und die Erfahrungswerte beim Anbieter genau prüfen. PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 18
- 19. DIE DILEMMAS VON BERECHTIGUNGSKONZEPTEN PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 19
- 20. Grundsätze Globale Berechtigungskonzepte sind immer komplex Berechtigungskonzepte gehen fast immer über die Systemgrenze hinaus. Es gilt also auch die Umsysteme zu berücksichtigen Es gibt selten Richtig oder Falsch. Vielmehr geht es darum, sich in diversen Trade-offs bewusst der Unternehmensstrategie entsprechend zu platzieren: Offenheit versus Sicherheit Tiefe versus flache Strukturen Lokale versus zentrale Verantwortung Das Berechtigungskonzept nicht für andere Defizite missbrauchen Transparenz ist essentiell PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 20
- 21. Systemübergreifende Konzepte ERP PDM Ersatzteilkatalog Welche Möglichkeiten und Konzepte haben die anderen Systeme Viele ERP Systeme sehen es nicht vor, dass Artikelstammdaten geschützt sind. Es macht entsprechend nur in seltenen Fällen Sinn, diese im PDM unter ein Berechtigungssystem zu stellen. Schnittstelle für Dokumente: Kopie oder Referenz Referenz = Schnittstelle für den Dokumentbezug. Das PDM muss auch die Kontexte der nachfolge Systeme verstehen (z.B. in welchem Werk darf ein Dokument gesehen werden). Kopie = Übergabe ans Folgesystem mir entsprechenden Berechtigungen, die Nachfolgesysteme müssen das Berechtigungskonzept PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 21
- 22. Offenheit versus Sicherheit Die Zielsetzung einer effizienten Zusammenarbeit und einer hohen Wiederverwendung von Komponenten steht dem Bedürfnis nach Sicherheit gegenüber. Grundsatz «Deny all and allow» versus «Allow all and restrict» Welche Objekte tragen die wirklich die sensitive Information? Konzept I: Know-how ausschliesslich auf Zeichnungen -> 3D Teile können generell offen sein und brauchen nur in Sonderfällen eingeschränkt zu werden Konzept II: Know-how in 3D Modellen -> Es muss mit Neutralformaten/Vereinfachungen für Baugruppen gearbeitet werden. Pragmatischer Ansatz: Arbeiten mit Sicherheitsstufen (öffentlich, vertraut, geheim) auf den Objekten. Für vertraute und geheime Dokumente müssen die Benutzer innerhalb des Kontextes die Berechtigt sein, vertraute oder geheime Dokumente zu lesen. PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 22
- 23. Zugriffsrechte auf Dokumente mit Klassifizierung Erstellen und Freigeben Entwickler Jedes Dokument, das er erstellt gehört automatisch seiner Organisationseinheit 5 Standort A 1 5 Herr Müller Spätestens bei Freigabe, muss er das Dokument klassieren, … darf als Entwickler z.B. mit «öffentlich» 1 oder «vertraulich» 5 Dokumente erstellen. Die Zugehörigkeit zu einer Organisationseinheit und die Klassierung definieren wer das Dokument öffnen darf. PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 23
- 24. Zugriffsrechte auf Dokumente mit Klassifizierung Globale Sichtweise Verschiedenen Benutzer haben verschiedenen «Hüte» 5 in verschiedenen Organisationseinheiten an. Standort A 1 Herr Müller [Entwicklung] 1 5 2 3 Herr Meier Standort B [Vertrieb] Dokumente können auch verschiedenen Organisationseinheiten z.B. einem Werk Herr Valdez [Entwicklung] zugeordnet sein. PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 24
- 25. Zugriffsrechte auf Dokumente mit Klassifizierung 5 Standort A 1 Herr Müller 5 2 Standort B Herr Müller ist Autorisiert, vertrauliche Dokumente ( 5 ) seines Standorts zu sehen. Er sieht also beide Dokumente PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 25
- 26. Zugriffsrechte auf Dokumente mit Klassifizierung Standort A 1 1 5 2 Herr Meier Standort B Herr Meier darf nur öffentliche Dokumente ( 1 )anschauen, er kann also nicht alle Dokumente seines Standorts öffnen PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 26
- 27. Zugriffsrechte auf Dokumente mit Klassifizierung Herr Valdez kann das öffentliche Dokument öffnen und jenes, das Standort A seinem Werk zugeordnet ist. 1 Aber nicht das Vertrauliche aus dem Standort A. 5 2 3 Standort B Herr Valdez PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 27
- 28. Tiefe versus Flache Strukturen Konzern Regel A Regel A Regel A Regel A Projekt A Projekt B Projekt C Standort A Standort B Regel B Entwicklung Regel C Projekt B Projekt A Komplexität steigt und Transparenz verliert sich über tiefe Strukturen Ändern von Regeln in flachen Strukturen kann sehr aufwendig werden PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 28
- 29. Lokale versus zentrale Verantwortung Definiert Konzern globale Rechte Konzern IT Standort A Standort B Definiert Rechte innerhalb Standort Lokale IT Konzern IT Entwicklung Projekt B Projekt A Definiert Rechte im Projekt Projektleiter Links: Klarheit mit hohem Aufwand und wenig Flexibilität Rechts: Viel Freiheit, eher wenig Transparenz, benötigt Eigenverantwortung PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 29
- 30. «Missbrauch» des Berechtigungssystems Das Berechtigungssystem soll nicht verwendet werden um User vor Fehlmanipulationen zu schützen. Solche Konzepte sind fast immer an Ausnahmen und Ausnahme der Ausnahme gekoppelt «Mauern» aufbauen vermeiden Zielsetzung ist eine Reibungslose und sichere Zusammenarbeit. Wie gross ist der Schaden durch aufgebaute Berechtigungsmauern? Zu Viele Einschränkungen wirken sich negativ auf die Effizienz und die Transparenz aus Nicht mehr Schützen als sich in der gesamten Systemwelt schützen lässt Eine vermeintliche Sicherheit ist schlimmer als eine bewusste Lücke PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 30
- 31. Transparenz Entflechtung von Sichtbarkeit (was kann ein User sehen) und Rollen (was darf ein User machen) Zugehörigkeit zu einem Kontext definiert die Sichtbarkeit Rolle definiert was ein User mit dem Objekt machen darf Es sollte auf dem Objekt ersichtlich sein welchen Kontexten es zugehörig ist. Flache Strukturen führen zu mehr Transparenz Kontextstruktur Regelbäume PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 31
- 32. FAZIT PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 32
- 33. Zusammenfassung Über die Grenzen hinaus denken Bedeutung für die Werke Bedeutung für andere Standorte Gesamter Lebenszyklus beachten Entscheiden, welche Objekte die echten Know-how Träger sind Bewusst die Position des Unternehmens in den Dilemmas wählen Zentral vs. verteilte Verantwortung Tiefe der Kontextstruktur Offenheit vs. Sicherheit Pragmatische Lösungen suchen, um die Transparenz hoch zu halten Nicht mehr schützen als notwendig oder möglich Keine Berechtigungen aus Angst vor Fehlmanipulationen Keine Sicherheit vorgaukeln, wenn diese nicht über alle Systeme gegeben ist PLM OPEN HOURS_ GLOBAL ACCESS RIGHTS _ 04.04.2012 33