Zentrale Access Management Lösung
für deutsche Metropole

Auf Mitarbeiterseite ging es nicht nur um die Authentifizierung von Personen per Single Sign-on, sondern auch um die Bereitstellung einer Berechtigungssteuerung, so dass über Gruppen Nutzer kategorisiert werden. Anwendungen können dann diese Gruppenzuordnungen beziehen und für Autorisierungsentscheidungen über verschiedene Integrationswege (SAML, OIDC) heranziehen.

Großen Wert legten die Stadtwerke auf 2-Faktor-Authentifizierung (2FA) für Mitarbeiter, um über einfache Passwörter hinaus zusätzliche Sicherheit zu bieten. Dabei sollten neben einer bestehenden Hardwaretoken-Lösung auch verschiedene 2FA-Smartfon-App-Verfahren sowie SMS-TAN als Übergangsverfahren berücksichtigt werden. iC Consult hatte die entsprechenden Vorbereitungen getroffen und zusammen mit dem Kunden erprobt. Über eine primär kostenbasierte Abwägung (Lizenzkosten für manche Verfahren) wurde letzten Endes eine SMS-TAN-Lösung, eine ForgeRock Push-App und FIDO2 mit YubiKey-Hardwaretokens umgesetzt.

Auf Kundenseite stand vor allem die zuverlässige Integration eines Login-Portals im Vordergrund, über das die Kunden auf zahlreiche Dienste zugreifen können. Diese reichen von der Stromzählererfassung über den Fahrkartenkauf per Smartphone bis hin zu Drittanbieterlösungen wie Handyparken. Insgesamt handelt es sich um rund 100 Anwendungen, die nach dem Projektende sukzessive an die neue Plattform angebunden werden. 2FA spielt hier derzeit noch eine geringere Rolle. Um mittelfristig vorbereitet zu sein und interessierten Kunden schon heute eine entsprechende Option zu bieten, wurde SMS-TAN umgesetzt. Darüber hinaus wurde die ForgeRock-Lösung im Kundenbereich in beachtlichem Umfang technisch angepasst, um kundenindividuelle Anforderungen der Stadtwerke optimal umzusetzen.

Die Anbindung von Diensten an das zentrale Kundenportal erfolgt über OpenID Connect bzw. OAuth 2.0. Auf der Mitarbeiterseite war ursprünglich ein breiteres Protokollspektrum vorgesehen. Dort ging es nicht allein um ein zentrales System zur Anbindung verschiedener Anwendungen, sondern um eine Single-Sign-on Drehscheibe zwischen Windows, Azure Cloud und verschiedenen Webanwendungen des bisherigen CAS-Systems. Aktuell werden OpenID Connect, OAuth 2.0 und SAML 2.0 genutzt.

Ergebnis

Das Projekt wurde von Januar bis August 2020 realisiert. Im Laufe des Projekts ergab sich eine Folgebeauftragung, um während des Projektverlaufs zusätzlich hinzugekommene Kundenwünsche umzusetzen.

Zu Beginn wurde ein Proof of Concept erstellt, um eine möglichst effiziente Priorisierung der einzelnen Teilaufgaben zu ermöglichen. Dabei erwiesen sich einige Planänderungen gegenüber der ursprünglichen Beauftragung als erforderlich. Vor allem den Themenbereichen 2FA-Verfahren und Risikogerechte Authentifizierung wurde deutlich mehr Raum gegeben. Die sehr unterschiedlichen Anforderungen für den Mitarbeiter- und Kundenbereich machten zudem eine technische Trennung notwendig, um die im Kundenbereich zusätzlich erforderlichen Anpassungen ohne unnötigen Mehraufwand umsetzen zu können.

Ursprünglich sollten alle Arbeiten direkt beim Kunden vor Ort ausgeführt werden. Dem aber machte die Corona-Pandemie einen Strich durch die Rechnung. Durch eine vom Kunden kurzfristig bereitgestellte Remote-Access-Lösung konnte das Projekt dann aber auch ohne physische Präsenz durchgeführt werden. Nach einer kurzen Eingewöhnung erwies sich das dezentrale Arbeiten zusammen mit dem sehr agilen Projektmanagement als ausgesprochen effizient, so dass das gesamte Projekt zur allseitigen Zufriedenheit abgeschlossen werden konnte – in time und in budget. Zusätzlich zur rundum gelungenen Durchführung demonstriert das Projekt praxisnah, welche Vorteile eine zuverlässige und sichere Anbindung von Partner, Lieferanten und Dienstleister bieten kann.