So gegen Ende 2008 kam bei meinem damaligen Kunden im SAP Portal Team der Wunsch auf es Besser zu machen. Also, für die Anwender. Es hatte mal wieder eine Auswertung zur Zufriedenheit der Anwender gegeben und - oh Wunder - die SAP Anwendungen hatten mal wieder die Laterne geholt. Aufgenommen wurde das wiederkehrende Spiel mit Fatalismus. Ist halt so, aber dafür laufen die Prozesse. Oder, wie es das SAP Programm-Management zusammenfasste: die Umfrage ist Pflicht, aber hat keine Auswirkungen, da SAP als ERP gesetzt ist.

Wir hingegen waren das was man wohl die jungen Wilden nennt, oder kurz: jung und unerfahren. Wir nahmen den Kampf auf. Klar, arg optimistisch. Der Kunde war das, was mit international agierenden Großkonzern noch nett umschrieben ist. Prozesse, Hierarchien, Gremien, Budget, Landesfürsten, LOB Könige, und da all das nicht genug lähmen kann: Politik ohne Ende. Aber wir dachten uns: warum nicht. Unser Ziel: Single Sign-on. Warum SSO? Ein Problem bei der Nutzung von SAP war: der Login. Die Anwender mussten sich halt jedes mal neu mit Benutzer und Password anmelden. Damit war das Ziel klar: wer am Windows Rechner angemeldet ist, der öffnet das SAP Portal und ist angemeldet. Von dort aus: SSO auf alle weiteren integrierten Anwendungen. Für im SAP Portal angebundene Apps kein Problem, aber halt auch auf andere Apps, auch non-SAP App. Warum auch nicht, solange sie den MYSAPSSO2 Cookie akzeptieren.

Tools für das Speichern von Passwörtern waren 2008 noch nicht so verbreitet. Die Regel alle 3 Monate das Passwort zu ändern hingegen schon. Und für produktive Umgebungen war die Vorgabe durchaus etwas längere Passwörter mit Sonderzeichen zu verwenden.

Das hat keinen Spass gemacht.

Ein Timeout von 30 Minuten hat auch nicht geholfen die Akzeptanz der Anwender zu erhöhen.

Es war klar: das kann so nicht bleiben. Die Idee wie man etwas zum Besseren ändern könnte war schnell gefunden, die Evaluierung ob das geht auch, ein Konzept war schnell erstellt. Der erste POC dauerte schon etwas länger - Windows AD Konfiguration -, aber funktionierte einwandfrei in der Sandbox => Works on my Laptop.

Was dann kam war der Konzern.

Über mehrere Runden wurde die Idee validiert. Fragen der Usability, der Umsetzbarkeit, Budget, Team, Wartung, Nutzen, etc etc etc wurden in mehreren Meetings besprochen. Was in einer kleinen Runde gestartet war wuchs mit jeder Runde in der Breite und Höhe: mehr Leute, aber auch wichtigere Titel. Also vom Teamleiter zu Abteilungsleiter, Einheiten-Manager, Area-Direktor. Und fachlich: IT Manager, Security-Direktoren, UX, People, SAP, non-SAP, Solution Architect, Enterprise Architect, etc etc etc.

Irgendwann waren wir dann oben beim IT Management angekommen. Also die, die sich nicht mehr mit spezifischen Themen beschäftigen, sondern mit der IT an sich und sich dem C-Level gegenüber verantworten müssen, also direkt einem Board Member unterstellt sind. Hier kam das OK das Thema weiter zu bearbeiten. Und damit fängt dann die Bürokratie und Unternehmensstrukturen zu arbeiten. Also: Datenschutz, Sicherheit, Usability, Betriebsrat, alles was bei Entscheidungen die über einen bestimmten Anwenderkreis hinausgeht mitreden darf, war dabei. Es ist erstaunlich was so alles in einem Konzern auf Suche nach Daseinsberechtigung sein kann.

Natürlich sind alle erst mal dagegen. Erstens: man versucht ja was zu ändern. Änderungen werden oft als Gefahr gesehen. Zweitens: warum was ändern? Mein Highlight: da ja täglich etliche Anwender Hilfe wegen ihrem Passwort benötigen, hat man ja auch etliche Support-Mitarbeiter beschäftigt. Ja, was wenn es jetzt keine Aufgaben wegen dem Zurücksetzen des Passwortes mehr gibt? Für das Szenario gibt es auch einen im täglichen Einsatz gestählten Prozess. SSO bedeutet das die Anwender auf einmal sich in Systeme einloggen können. Einfach so! Systeme für die sie freigeschaltet sind! Ohne das sie es mitbekommen. Der Schulungsbedarf, die Sicherheitstrainings, …

So wurde man so etwas in der Bürokratie aufgerieben. Eines darf man ja nicht versgessen: es gibt halt in Konzernen eine nicht unbedingt geringe Anzahl an Leuten die sich ihere Aufgaben suchen. Hat man 10 Leute in der IT Security, so filtern diese Aufgaben nach Wichtigkeit. Hat man hingegen z.B. 1.000 Leute dort, so suchen die sich ihre Aufgabe - oder Daseinsberechtigung. Jetzt kam es zu einem Ereignis das dafür sorgte das all diese Bedenken ausgeräumt wurden. Über Nacht gab es das OK. SSO ist Einzuführen, ASAP. Und dazu dann noch die Frage warum es denn noch nict so weit sei. Das ist, gerade wenn von weiter oben so die Ansage kommt, in Konzernen das Äquivalent zu die Ohren langziehen. Zum Glück nicht uns, sondern den anderen Teams die anstatt zu ermöglichen mehr mit verhindern beschäftigt waren.

Was war passiert?

Das Management war auf Reisen. Auf einer SAPPHIRE NOW. Und was passierte dort? Manager treffen andere Manager und reden über ihre Probleme und zeigen auch mal voller Stolz ihr System und was so alles gut läuft. In diesen Runden war es dann so das die anderen Manager SSO hatten. Also: Laptop auf, anmelden, und sie konnten loslegen und zeigen. Es ging in ein System, in ein anderes, in ein SAP und non-SAP und kein Logon notwendig. Alles war mit SSO angebunden. Die Manager unseres Unternehmens durften ebenfalls mehrmals was zeigen und es war wie man es sich denken kann: ein Logon hier, ein Passwort dort, eine andere User ID hier und dort und während bei den meisten Präsentation man was zeigen konnte, so zeigte man selbst die unterschiedlichsten Anmeldemasken. Das klappt auch nicht immer perfekt, so das man auch zeigen konnte wie der Support einen wieder freischaltet.

Wie dies bei den Managern ankam so vorgeführt zu werden kann man sich vorstellen. Das Ergebnis war damit klar: SSO. Oder wie ein IT Security Manager der dabei war sagte: es kann doch nicht sein das alle es hinbekommen, nur wir sitzen X Mal vor dem Rechner und tippen ein 20 stelliges Passwort ab.

Damit waren alle Hürden aus dem Weg geräumt. SSO kam dann recht schnell, es waren alle zufrieden und ja, die Zufriedenheit mit dem SAP zu arbeiten stieg. Das SSO bei SAP lief führte auch dazu das andere Anwendungen gezwungen waren auf SSO umzusteigen. Was als Optional betrachtet war, wurde in kürzester Zeit eine Notwendigkeit. Man kann sich ausrechnen: andere Probleme gingen zurück: Passwortklau, gesperrte Benutzer, unterschiedliche User IDs, etc.

Lessons Learned

Man kann viele gute Ideen haben. Man braucht die aktive Unterstüztung von Leuten die etwas zu sagen haben. Wenn das obere Management Ergebnisse einfordert und ein Machtwort spricht, dann kann man viele Hürden und Blocker aus dem Weg bekommen. Ohne das ist zwar auch möglich, dauert aber ungleich länger und ist viel anstrengender. Ein Fall von dem auch das Management - oder der Auftraggeber - profitiert ist der Beste Weg etwas zu bewegen.