_{DB Schenker führt das Identitätsmanagement für Mitarbeitende und Kunden zusammen}

Die Lösung auf einen Blick

---

Branche:
Logistik

---

Region:
Weltweit

---

Herausforderung:
Implementierung eines zentralisierten Identitätsmanagement-Service für alle Benutzer. Dies inkludiert Mitarbeitende, Auftragnehmer, Partner und Kunden weltweit.

---

Produkte und Services:
Ping Identity

---

Ergebnisse:

• Implementierung eines zentralisierten IAM für über 300.000 Mitarbeiter-, Auftragnehmer-, Partner- und Kundenidentitäten
• Verstärkte zweistufige Authentifizierung mit FIDO2-fähiger risikobasierter Authentifizierung
• Nahtlose Migration von 50 Anwendungen auf den neuen Authentifizierungsdienst dank der Unterstützung von Standards
• Integration in den zentralisierten Identity Service in 30 Minuten oder weniger

Die Aufgabe

DB Schenker ist ein weltweit führendes Logistikunternehmen und Partner großer Organisationen, die sich auf eine pünktliche Lieferung und stabile, sichere Dienstleistungen verlassen. DB Schenker will sich von bekannteren Wettbewerbern abheben, indem es Landtransporte sowie weltweite Luft- und Seefrachtlösungen anbietet, die bestehende Standards neu definieren.

Die Innovationskultur von DB Schenker betrifft das gesamte Unternehmen, einschließlich des Identitätsmanagements. Nachdem die Notwendigkeit eines sichereren und moderneren Authentifizierungsdienstes erkannt wurde, entschloss man sich, die Chance zu einer größeren digitalen Transformation zu ergreifen und sowohl Mitarbeitern als auch Kunden, einen besseren, effizienteren Zugang zu Ressourcen und Informationen zu ermöglichen.

Das Team von DB Schenker unter der Leitung von James Naughton (Head of Identity Management) wollte seine bestehende Infrastruktur für das Identitäts- und Zugriffsmanagement (IAM) erweitern, um den Mitarbeiterzugriff zu sichern und die Vorteile der Cloud zu nutzen. Schenker benötigte Unterstützung für die Einführung moderner webbasierter Authentifizierungsprotokolle wie SAML und OpenID Connect sowie Multi-Faktor-Authentifizierung (MFA). Zusätzlich sollte die neue Lösung weitere webbasierte Authentifizierungs- und Autorisierungsprotokolle unterstützen, darunter SCIM und RADIUS.

Die Herausforderung

Auf der Suche nach einer “Schenker”-Lösung, die Kontinuität im Look and Feel bewahrt, definierten James und das Team, eine ziemlich ungewöhnliche Anforderung: Sie wollten sich auf einen einzigen Identitätsmanagement-Service für alle Benutzer konzentrieren, also für Mitarbeiter, Auftragnehmer, Partner und Kunden. Dies erforderte eine flexible und anpassbare Lösung, die für jeden Benutzertyp einzigartige Konfigurationen der Benutzeroberfläche und des Ablaufs unterstützt.

Zusätzlich musste das DB Schenker-Team Herausforderungen meistern, die sich aus dem Parallelbetrieb eines zentralen Authentifizierungsdienstes und einer Azure AD-Lösung für den Microsoft-Zugang der Mitarbeiter ergaben. Sie wollten jedem Mitarbeiter MFA zur Verfügung stellen, ohne die Benutzererfahrung oder die Benutzerfreundlichkeit beider Dienste zu beeinträchtigen. Und schließlich musste die neue Lösung die Stabilität sowie die Bereitstellung in ihrem Kubernetes-Cluster gewährleisten, um eine bedarfsgerechte Skalierbarkeit zu ermöglichen.

Die Lösung

James und das Team baten iC Consult als IAM-Berater und Systemintegrator um einen Proof of Concept. Schließlich entschieden sie sich für Ping Identity, um die Authentifizierungs- und Autorisierungsfunktionen anbieten zu können, die für die Bereitstellung eines konsolidierten und zentralisierten Identitätsmanagement-Services erforderlich sind. Unterstützt von den Entwicklern der iC Consult begann das DB Schenker-Team mit dem Roll-out der neuen Ping-Lösung neben dem bestehenden Authentifizierungsservice. Anschließend begannen sie, die integrierten Dienste auf Ping zu migrieren.

Die erste Phase der Implementierung umfasste die Bereitstellung der Plattform, einschließlich einfacher Authentifizierung und eines Minimalprodukts für Kunden-MFA. Diese erste Version beinhaltete eine auf Schenker zugeschnittene Benutzeroberfläche für die Authentifizierung und die vollständige Integration in die bestehende Identity-Management-Infrastruktur von DB Schenker. Sie lieferten auch eine vollständige Suite von Verifizierungsoptionen für alle Benutzer, einschließlich der PingID-Mobil- und Desktop-Apps und des mobilen SDKs sowie der SMS.

Als nächstes erweiterte das DB Schenker-Team die Lösung um die ersten risikobasierten Authentifizierungsrichtlinien. Diese basieren auf der Art des Benutzers und der Anwendung, auf die er zuzugreifen versucht. Das ermöglichte es ihnen, den Zugriff zu optimieren, indem sie die Reibungsverluste bei Zugriffsanfragen mit geringem Risiko minimierten, und ebnete gleichzeitig den Weg für eine zukünftige Authentifizierung ohne Passwort.

Die Ergebnisse

Mit einer echten Föderationsplattform ist das DB Schenker Identity Team in der Lage, kritische Sicherheitsrichtlinien zentral zu verwalten und den Zugriff und die Authentifizierung auf ihre Anwendungen zu steuern. Die Erweiterung um eine risikobasierte MFA bietet ein noch höheres Maß an Sicherheit für den Zugriff auf die IT-Landschaft, was sowohl für das Team als auch für ihre Kunden ein beruhigendes Gefühl schafft. Außerdem konnte die Integrationszeit auf 30 Minuten reduziert werden – eine Verbesserung von 75 % gegenüber dem vorherigen Workflow.

Wie viele in ähnlichen Positionen muss auch das Team von DB Schenker den Wert des Identitätsmanagements gegenüber seiner Führung beweisen. Die während der COVID-19 erlassenen Home-Office-Anordnungen gaben ihnen die Gelegenheit, zu punkten. Eine kurze Time-to-Market war erforderlich, um einen ununterbrochenen Geschäftsbetrieb für die Kunden zu gewährleisten. Das Team war in der Lage, den bestehenden Authentifizierungsdienst schnell zu übernehmen und um eine RADIUS-Authentifizierung zu erweitern. Dies wiederum vergrößerte die VPN-Kapazität für einen zuverlässigen und sicheren Fernzugriff der Mitarbeiter.

Auch in Zukunft wird das Team nach Möglichkeiten suchen, das Identitätsmanagement zu verbessern und seine Grenzen zu erweitern. Zu den aktuellen Initiativen gehören die Weiterentwicklung der passwortlosen Authentifizierung und die kontinuierliche Steigerung der Mitarbeiterproduktivität.