Die Universität Basel modernisiert ihre historisch gewachsene und komplexe IAM-Landschaft grundlegend. Statt einer Vielzahl unterschiedlicher Identity Provider und uneinheitlicher MFA-Verfahren gibt es heute eine zentrale Identity Fabric, die bis zu 30.000 Nutzerkonten zusammenführt, Authentifizierungen vereinheitlicht und Sicherheitslücken schliesst.
Gemeinsam mit iC Consult führt die Hochschule einen zentralen Identity Provider und ein Privileged Access Management (PAM) ein – und schafft damit die Grundlage für mehr Sicherheit, geringere Angriffsflächen und eine deutlich einfachere Administration.
Inhalt
Steckbrief & Projektüberblick
Kundensteckbrief
Branche: Öffentlicher Sektor
Hauptsitz: Basel, Schweiz
Mitarbeitende: > 5.000
Anzahl Identitäten: 30. 0000
Die 1460 gegründete Universität Basel ist die älteste Universität der Schweiz. Mit insgesamt sieben Fakultäten ist sie eine forschungsstarke, international ausgerichtete Universität mit Schwerpunkten in den Life Sciences und der Medizin. Heute zählt die Universität Basel rund 13.000 Studierende aus über hundert Nationen, darüber hinaus rund 3.000 Forschende, Doktorierende und Postdoc. Internationale Hochschulrankings zählen sie zu den 150 besten Universitäten der Welt und zu den Top 15 im deutschsprachigen Raum.
Aufbau einer skalierbaren Identity Fabric-Landschaft und Implementierung eines robusten Privileged Access Management mit PingAM und One Identity Safeguard für bis zu 30.000 interne und externe Identitäten, inklusive Migration
- One Identity Safeguard
- Ping Identity Plattform
- Systemintegration durch iC Consult
Erfolge
Zusammenführung von bis zu 30.000 aktiven Identitäten in einer einheitlichen Identity Fabric mit konsistenten Sicherheits- und Datenschutzstandards
Einführung des zentralen Identity Providers (IDP) auf Basis der Technologie von Ping Identity für die gesamte Anwendungslandschaft zur Vereinheitlichung der Authentifizierung und MFA-Prozesse
Hohe Skalierbarkeit dank modularer Architektur für die zukünftige Anbindung hunderter weiterer Applikationen
Anbindung sämtlicher Administratoren des zentralen IT-Providers „IT-Services“ an die PAM-Lösung One Identity Safeguard zur zentralen Kontrolle privilegierter Zugriffe
Vollautomatisierte Passwortrotation für privilegierte Konten zur Minimierung von Missbrauchsrisiken und Erhöhung der Compliance
Reibungslose Installation von One Identity Safeguard mit erfolgreicher Umsetzung Standard-Use-Cases innerhalb von sechs Monaten
Hintergrund
Die Universität Basel stand vor der Herausforderung, ihr über die Jahre gewachsenes, stark fragmentiertes Identity Management zu vereinheitlichen und zu modernisieren. Zahlreiche Fakultäten und externe Einrichtungen setzten unterschiedliche Identity Provider und MFA-Verfahren ein – mit abweichenden Sicherheits- und Datenschutzstandards. Die Folge: hoher Administrationsaufwand, unübersichtliche Prozesse und erhöhte Sicherheitsrisiken.
Bisher nutzte die Universität ausschliesslich die integrierten Identity-Management-Funktionen von SAP. Als der ERP-Anbieter 2020 ankündigte, bestimmte IAM-Komponenten nur noch bis 2027 zu unterstützen, war klar: Es musste rechtzeitig eine tragfähige Alternative gefunden werden.
Mit der Übernahme der Projektleitung im Januar 2021 entschied Alexander Kessinger, Teamleitung Identity- & Access und Windows-Services & Groupware, das Thema grundlegend neu aufzustellen – nicht nur technisch, sondern strategisch. Sein Ziel: ein sicheres, zukunftsfähiges und holistisches Identity & Access Management. Der Fahrplan sah vor, die verteilten Identity Provider zu konsolidieren, ein Privileged Access Management (PAM) einzuführen und Governance fest zu verankern. Langfristig sollten Identitäten, Zugriffe, Governance und privilegierte Accounts in einer einzigen Unified Self Service Plattform zusammengeführt werden.
Für die Vergabe startete die Universität ein zweistufiges Ausschreibungsverfahren. Die Anforderungen wurden in drei Lose aufgeteilt:
- Los 1: Identity Provider und Privileged Access Management
- Los 2: Identity Governance Administration
- Los 3: Unified Self Service Portal
iC Consult erhielt den Zuschlag für Los 1. Ausschlaggebend war die Erfahrung, die kulturelle Passung und das Vertrauen in eine partnerschaftliche Zusammenarbeit. „Uns war es besonders wichtig, einen Partner zu haben, der unsere Kultur versteht, unsere Bedürfnisse ernst nimmt und jederzeit verlässlich zur Seite steht“, betont Alexander Kessinger.
Bevor das Projekt startete, wurden die formalen Anforderungen des öffentlichen Sektors erfüllt: ein ausführlicher Proof of Concept sowie ein vom Kanton gefordertes Informationssicherheits- und Datenschutzkonzept (ISDS), um sicherzustellen, dass der Schutz kritischer Daten und Informationen jederzeit gewährleistet bleibt.
Lösung
Zentrale Identitäten und geschützte Privilegien in der neuen IAM-Architektur
Nach dem erfolgreichen Proof of Concept begann die Universität Basel gemeinsam mit iC Consult die Umsetzung der neuen Identity Fabric. Der erste Schritt war die Einführung eines zentralen Identity Providers (IDP).
Über viele Jahre hatte sich an der Universität eine heterogene Landschaft entwickelt: Jede Fakultät und viele externe Einrichtungen – darunter auch die angeschlossenen Universitätsspitäler – hatten eigene Lösungen und unterschiedliche Verfahren zur Multi-Faktor-Authentifizierung im Einsatz. Manche Systeme waren an das Active Directory angebunden, andere an Microsoft Entra ID oder an Switch edu-ID, den landesweiten und weltweit föderierten Login für Schweizer Hochschulangehörige. Diese Situation führte zu einer komplexen, schwer administrierbaren Architektur mit zahlreichen potenziellen Angriffspunkten.
Das Ziel war klar: Sämtliche Authentifizierungen sollten künftig über einen zentralen IDP laufen – mit einheitlicher, konsistenter MFA. Unabhängig davon, über welche Anwendung der Zugriff erfolgt, mündet die Anmeldung immer in derselben Lösung.
Produktseitig empfahlen die Expertinnen und Experten von iC Consult den Einsatz von Ping Identity. Ausschlaggebend war vor allem die Flexibilität und hohe Skalierbarkeit der Plattform, sodass sich die spezifischen Anforderungen der Universität passgenau abbilden lassen – insbesondere mit Blick auf die geplante Anbindung hunderter Applikationen.
Unsere Priorität war es, einen Partner zu finden, der nicht nur technologisch den Best Fit liefert – sondern auch das notwendige Vertrauen schafft und menschlich zu uns passt.
Alexander Kessinger, Teamleitung Identity- & Access und Windows-Services & Groupware, Universität Basel
Sicherheit, Kontrolle und Transparenz – mithilfe von One Identity Safeguard
Der zweite zentrale Baustein war die Einführung einer umfassenden PAM-Lösung für Konten mit weitreichenden Rechten, namentlich für IT-Admins. Der Fokus lag darauf, den Zugriff auf privilegierte Konten zu zentralisieren, nach dem Least-Privilege-Prinzip abzusichern und alle Aktivitäten auf den Zielsystemen lückenlos zu dokumentieren und kontrollierbar zu machen.
iC Consult implementierte One Identity Safeguard als zentrale PAM-Lösung. Die Software wurde als vorgehärtete virtuelle Maschine bereitgestellt und On-Premises in die bestehende VMware-Umgebung integriert. Nach der Basisinstallation erfolgte die Anbindung an das Active Directory, damit sich alle berechtigten Nutzer nahtlos mit ihren bestehenden Konten anmelden können. Safeguard erkennt privilegierte Accounts automatisch über einen Discovery-Mechanismus und synchronisiert sie kontinuierlich.
Um Sicherheitsrisiken durch mehrfach oder zu lange verwendete Passwörter zu vermeiden, generiert die Lösung diese automatisch, tauscht sie nach dem einmaligen Gebrauch aus und injiziert sie bei RDP-Sitzungen per Credential Injection direkt auf die Zielsysteme. Dadurch entfällt das manuelle Passwort-Handling, Missbrauchsrisiken werden drastisch reduziert. Gleichzeitig können alle privilegierten Sitzungen überwacht und bei Bedarf aufgezeichnet werden – ein zentraler Beitrag zu Compliance, Auditfähigkeit und lückenloser Nachverfolgbarkeit, „denn Safeguard fungiert als Gatekeeper zwischen privilegierten Usern und ihren Zielsystemen und stellt sicher, dass sie nur die Zugriffsrechte erhalten, die sie wirklich benötigen“, erklärt Floyd Spuhler, Senior Consultant & PAM Lead, iC Consult.
Ausblick
IAM-Modernisierung mit klarem Zielbild
Um einen reibungslosen Übergang zu gewährleisten, werden Identitäten und Zugriffsrechte vorerst weiterhin über die bestehende SAP-Identity-Management-Lösung verwaltet. Der zentrale Identity Provider übernimmt dabei bereits frühzeitig die Kontrolle über die Authentifizierung. Parallel dazu migriert die Universität schrittweise alle Konten in die neue Identity Fabric. Die Ablösung von SAP IdM durch den IGA-Baustein ist bis Ende 2027 vorgesehen; bis dahin sollen sämtliche human and non-human Accounts im zentralen Access Manager zusammengeführt sein.
Ein zentraler Aspekt des Projekts ist der sukzessive Know-how-Aufbau, der für einen eigenverantwortlichen Betrieb der IDP-Lösung erforderlich ist: Die Expertinnen und Experten von iC Consult begleiten die Universität Basel daher mit kontinuierlichen Schulungsmassnahmen dabei, die interne IAM-Kompetenz nachhaltig zu vertiefen. So soll das Team perspektivisch in die Lage versetzt werden, die gesamte Identity-Fabric-Landschaft selbstständig zu betreiben.
Die bisherigen Ergebnisse unterstreichen den Erfolg:
- 30.000 Identitäten – davon 13.000 Studierende, 5.000 Angestellte sowie 12.000 Doktorierenden-, Forschenden-, Postdoc-, NHI-, Service- und Funktions-Accounts, Assoziierte, Gäste und Externe – sind bereits in die Identity Fabric migriert.
- Die PAM-Lösung auf Basis von One Identity Safeguard wurde in nur sechs Monaten installiert und für erste Use Cases standardisiert.
- Die Lösung schafft die Grundlage für einen reduzierten administrativen Aufwand und geringere Angriffsflächen bei gleichzeitig höherer Governance und Transparenz – und nicht zuletzt auch für die Benutzenden selbst durch die Verringerung der Komplexität bei der automatisierten Verwaltung privilegierter Accounts durch Safeguard nach dem Least-Privilege-Konzept.
„Diese Meilensteine geben uns grosse Sicherheit für die Zukunft und bestätigen, dass wir auf dem richtigen Weg sind. Auch in ersten BCM-Tests haben sich die Stärken unserer modernen Architektur gezeigt“, betont Kessinger.
Mit diesem Fundament ist die Universität Basel bestens gerüstet, ihre Security- und Governance-Strategie langfristig selbstständig weiterzuentwickeln und künftige Anforderungen flexibel umzusetzen.