Zentrale Access Management Lösung
für deutsche Metropole

Auf einen Blick


Branche:
Versorgungsunternehmen


Region:
Deutsche Metropole


Herausforderung:

Aufbau eines zentralen Access
Management System


Produkte und Services:
ForgeRock AM,
ForgeRock Directory Services


Ergebnisse:

  • Einheitliche, zentrale Access
    Management Plattform für
    Mitarbeiter und Kunden
  • Risikogerechte Authentifizierung
  • Anwendungsindividuell
    konfigurierbare Authentisierung
    und Autorisierung für Web­-
    applikationen und SaaS Services
  • Single Sign-on für SaaS und von
    On­Premises Web Applikationen
    mittels Security Token Service
    (STS) für Mitarbeiter

Die Stadtwerke einer deutschen Metropole wollten ihre dezentralen Zugangslösungen für Mitarbeiter und Kunden unter einem Dach vereinen. iC Consult konnte in einer bundesweiten Ausschreibung überzeugen und errichtete binnen weniger Monate die gewünschte Plattform für deutlich über eine Million Accounts.

Überblick

Der Kunde ist eines der größten Stadtwerke sowohl in Deutschland als auch in Europa. Er beschäftigt knapp 10.000 Mitarbeiter und versorgt über eine Million Kunden mit Strom, Wasser, Gas und Fernwärme. Darüber betreibt er öffentliche Einrichtungen und bietet Telekommunikationsdienstleistungen an.

Herausforderung

Die Stadtwerke betrieben unterschiedliche Access Management Systeme für ihre
Mitarbeiter und Kunden.

Für die Mitarbeiter war das eine eigene Lösung auf Basis des Open Source Pakets Central Authentication Service (CAS). Für die Authentifizierung über SAML 2 wurde zusätzlich Azure AD genutzt. Dies war jedoch nur als Übergangslösung gedacht. Personalfluktuationen führten außerdem dazu, dass der Support für CAS nicht mehr mit den eigenen Spezialisten geleistet werden konnte.

Seitens der Kundenanbindung gab es eine selbst implementierte Lösung, die mehrere Altsysteme für die verschiedenen Logins einband. Dazu gehörten Konten für ein breites Leistungsspektrum – von der Versorgung mit Strom, Wasser oder Gas über das Parkraummanagement bis hin zum Ticketverkauf für den ÖPNV.

Um diese sehr heterogene Landschaft zu vereinheitlichen, Betrieb und Wartung zu vereinfachen und eine solide Basis für künftiges Wachstum zu schaffen, schrieben die Stadtwerke 2019 ein entsprechendes Projekt bundesweit aus. In dieser konnte iC Consult mit seinem Angebot überzeugen und begann im Dezember desselben Jahres mit der Planung und Umsetzung.

Lösung

Ursprünglich wünschten die Auftraggeber eine gemeinsame Access Management Lösung sowohl für die Mitarbeiter als auch für den Kundenbereich. iC Consult erstellte ein entsprechendes technisches Konzept und empfahl eine Lösung auf Basis von ForgeRock-Produkten. Im weiteren Verlauf zeigte sich aber rasch, dass die Realisierung und die spätere Wartung in dieser Form zu aufwändig wären. Im laufenden Projekt änderte man daher die Ausrichtung auf zwei separate, nachwie vor aber auf ForgeRock AM aufbauende Lösungen. Als Directory wurden auf Kundenseite die ForgeRock Directory Services eingesetzt, während für die Mitarbeiter ein bereits vorhandener Verzeichnisdienst weitergenutzt wird.

Im Rahmen des 3-Jahres-Vertrags mit einer optionalen Verlängerung um zwei weitere Jahre leistet die ebenfalls zur iC Consult gehörende IAM Worx 3rd-Level-Support.
Darüber hinaus unterstützt iC Consult die Stadtwerke bei der Entwicklung und Einbindung zusätzlicher Funktionalitäten.

Auf Mitarbeiterseite ging es nicht nur um die Authentifizierung von Personen per Single Sign-on, sondern auch um die Bereitstellung einer Berechtigungssteuerung, so dass über Gruppen Nutzer kategorisiert werden. Anwendungen können dann diese Gruppenzuordnungen beziehen und für Autorisierungsentscheidungen über verschiedene Integrationswege (SAML, OIDC) heranziehen.

Großen Wert legten die Stadtwerke auf 2-Faktor-Authentifizierung (2FA) für Mitarbeiter, um über einfache Passwörter hinaus zusätzliche Sicherheit zu bieten. Dabei sollten neben einer bestehenden Hardwaretoken-Lösung auch verschiedene 2FA-Smartfon-App-Verfahren sowie SMS-TAN als Übergangsverfahren berücksichtigt werden. iC Consult hatte die entsprechenden Vorbereitungen getroffen und zusammen mit dem Kunden erprobt. Über eine primär kostenbasierte Abwägung (Lizenzkosten für manche Verfahren) wurde letzten Endes eine SMS-TAN-Lösung, eine ForgeRock Push-App und FIDO2 mit YubiKey-Hardwaretokens umgesetzt.

Auf Kundenseite stand vor allem die zuverlässige Integration eines Login-Portals im Vordergrund, über das die Kunden auf zahlreiche Dienste zugreifen können. Diese reichen von der Stromzählererfassung über den Fahrkartenkauf per Smartphone bis hin zu Drittanbieterlösungen wie Handyparken. Insgesamt handelt es sich um rund 100 Anwendungen, die nach dem Projektende sukzessive an die neue Plattform angebunden werden. 2FA spielt hier derzeit noch eine geringere Rolle. Um mittelfristig vorbereitet zu sein und interessierten Kunden schon heute eine entsprechende Option zu bieten, wurde SMS-TAN umgesetzt. Darüber hinaus wurde die ForgeRock-Lösung im Kundenbereich in beachtlichem Umfang technisch angepasst, um kundenindividuelle Anforderungen der Stadtwerke optimal umzusetzen.

Die Anbindung von Diensten an das zentrale Kundenportal erfolgt über OpenID Connect bzw. OAuth 2.0. Auf der Mitarbeiterseite war ursprünglich ein breiteres Protokollspektrum vorgesehen. Dort ging es nicht allein um ein zentrales System zur Anbindung verschiedener Anwendungen, sondern um eine Single-Sign-on Drehscheibe zwischen Windows, Azure Cloud und verschiedenen Webanwendungen des bisherigen CAS-Systems. Aktuell werden OpenID Connect, OAuth 2.0 und SAML 2.0 genutzt.

Ergebnis

Das Projekt wurde von Januar bis August 2020 realisiert. Im Laufe des Projekts ergab sich eine Folgebeauftragung, um während des Projektverlaufs zusätzlich hinzugekommene Kundenwünsche umzusetzen.

Zu Beginn wurde ein Proof of Concept erstellt, um eine möglichst effiziente Priorisierung der einzelnen Teilaufgaben zu ermöglichen. Dabei erwiesen sich einige Planänderungen gegenüber der ursprünglichen Beauftragung als erforderlich. Vor allem den Themenbereichen 2FA-Verfahren und Risikogerechte Authentifizierung wurde deutlich mehr Raum gegeben. Die sehr unterschiedlichen Anforderungen für den Mitarbeiter- und Kundenbereich machten zudem eine technische Trennung notwendig, um die im Kundenbereich zusätzlich erforderlichen Anpassungen ohne unnötigen Mehraufwand umsetzen zu können.

Ursprünglich sollten alle Arbeiten direkt beim Kunden vor Ort ausgeführt werden. Dem aber machte die Corona-Pandemie einen Strich durch die Rechnung. Durch eine vom Kunden kurzfristig bereitgestellte Remote-Access-Lösung konnte das Projekt dann aber auch ohne physische Präsenz durchgeführt werden. Nach einer kurzen Eingewöhnung erwies sich das dezentrale Arbeiten zusammen mit dem sehr agilen Projektmanagement als ausgesprochen effizient, so dass das gesamte Projekt zur allseitigen Zufriedenheit abgeschlossen werden konnte – in time und in budget. Zusätzlich zur rundum gelungenen Durchführung demonstriert das Projekt praxisnah, welche Vorteile eine zuverlässige und sichere Anbindung von Partner, Lieferanten und Dienstleister bieten kann.

 


Auf Jobsuche?

Komm zu iC Consult!

Job finden

 

Whitepaper

IAM für das Cloud-Zeitalter

Jetzt lesen

Webinar: The IAM Cloud Journey

Jetzt ansehen

Zentralisiertes IAM für über 300.000 Identitäten | DB Schenker

Referenz lesen