La mission
DB Schenker est un leader mondial de la logistique et le partenaire de grandes organisations qui comptent sur des livraisons ponctuelles et des services stables et sûrs. DB Schenker veut se démarquer de ses concurrents plus connus en proposant des transports terrestres et des solutions de fret aérien et maritime à l‘échelle mondiale qui redéfinissent les normes existantes.
La culture de l‘innovation de DB Schenker concerne toute l‘entreprise, y compris la gestion des identités. Après avoir reconnu la nécessité d‘un service d‘authentification plus sûr et plus moderne, l‘entreprise a décidé de saisir l‘opportunité d‘une transformation numérique plus importante et de fournir aux employés et aux clients un accès plus efficace aux ressources et aux informations.
L‘équipe de DB Schenker, dirigée par James Naughton (responsable de la gestion des identités), souhaitait étendre son infrastructure existante de gestion des identités et des accès (IAM) afin de sécuriser l‘accès des employés et de profiter des avantages du cloud. Schenker avait besoin de soutien pour l‘introduction de protocoles d‘authentification modernes basés sur le web, tels que SAML et OpenID Connect, ainsi que l‘authentification à facteurs multiples (MFA). De plus, la nouvelle solution devait prendre en charge d‘autres protocoles d‘authentification et d‘autorisation basés sur le web, notamment SCIM et RADIUS.
Le défi
À la recherche d‘une solution « Schenker » qui conserve la continuité de l‘aspect et de la sensation, James et l‘équipe ont défini une exigence plutôt inhabituelle : ils voulaient se concentrer sur un seul service de gestion des identités pour tous les utilisateurs, c‘est-à-dire les employés, les entrepreneurs, les partenaires et les clients. Cela nécessitait une solution flexible et personnalisable, capable de prendre en charge des configurations uniques d‘interface utilisateur et de flux pour chaque type d‘utilisateur.
En outre, l‘équipe de DB Schenker a dû relever des défis liés à l‘exploitation en parallèle d‘un service d‘authentification central et d‘une solution Azure AD pour l‘accès des employés à Microsoft. Ils voulaient fournir un MFA à chaque employé sans compromettre l‘expérience utilisateur ou la facilité d‘utilisation des deux services. Enfin, la nouvelle solution devait garantir la stabilité ainsi que le déploiement dans leur cluster Kubernetes afin de permettre une évolutivité à la demande.
La solution
James et l‘équipe ont demandé à iC Consult, en tant que consultant IAM et intégrateur de systèmes, d‘effectuer une preuve de concept. Ils ont finalement opté pour Ping Identity afin de pouvoir offrir les fonctions d‘authentification et d‘autorisation nécessaires à la fourniture d‘un service de gestion des identités consolidé et centralisé. Soutenue par les développeurs d‘iC Consult, l‘équipe de DB Schenker a commencé à déployer la nouvelle solution Ping parallèlement au service d‘authentification existant. Ils ont ensuite commencé à migrer les services intégrés vers Ping.
La première phase de l‘implémentation comprenait le déploiement de la plateforme, y compris l‘authentification simple et un produit minimal pour le MFA des clients. Cette première version comprenait une interface utilisateur adaptée à Schenker pour l‘authentification et l‘intégration complète dans l‘infrastructure de gestion des identités existante de DB Schenker. Ils ont également fourni une suite complète d‘options de vérification pour tous les utilisateurs, y compris les applications mobiles et de bureau PingID et le SDK mobile, ainsi que les SMS.
Ensuite, l‘équipe de DB Schenker a étendu la solution en y ajoutant les premières politiques d‘authentification basées sur les risques. Celles-ci se basent sur le type d‘utilisateur et d‘application auquel il tente d‘accéder. Cela leur a permis d‘optimiser l‘accès en minimisant les frictions sur les demandes d‘accès à faible risque, tout en ouvrant la voie à une future authentification sans mot de passe.
Les résultats
Grâce à une véritable plate-forme de fédération, l‘équipe Identity de DB Schenker est en mesure de gérer de manière centralisée les politiques de sécurité critiques et de contrôler l‘accès et l‘authentification à leurs applications. L‘ajout d‘un MFA basée sur les risques offre un niveau de sécurité encore plus élevé pour l‘accès à l‘environnement informatique, ce qui rassure à la fois l‘équipe et leurs clients. De plus, le temps d‘intégration a été réduit à 30 minutes, soit une amélioration de 75 % par rapport au flux de travail précédent.
Comme beaucoup de personnes occupant des postes similaires, l‘équipe de DB Schenker doit prouver la valeur de la gestion de l‘identité à sa direction. Les dispositions prises en matière de bureau à domicile pendant COVID-19 leur ont donné l‘occasion de marquer des points. Un délai de mise sur le marché court était nécessaire pour garantir une activité commerciale ininterrompue pour les clients. L‘équipe a été en mesure de reprendre rapidement le service d‘authentification existant et d‘y ajouter l‘authentification RADIUS. Cela a à son tour augmenté la capacité VPN pour un accès à distance fiable et sécurisé des employés.
L‘équipe continuera à chercher des moyens d‘améliorer la gestion des identités et de repousser ses limites. Les initiatives actuelles comprennent le développement de l‘authentification sans mot de passe et l‘amélioration continue de la productivité des employés.