Mehr als die Summe der Teile: Identity Federation bei der Raiffeisen Bank International

Auf einen Blick

Branche:
Bankwesen

---

Region:
Mittel- und Osteuropa

---

Herausforderung:
Entwicklung eines geeigneten, unternehmensweiten Customer-IAM, das die heterogenen Identitätslandschaften von zwölf Tochtergesellschaften konsolidiert und die hohen Sicherheits- und Compliance-Anforderungen der RBI erfüllt.

---

Produkte und Services:
PingFederate, PingDirectory

---

Ergebnisse:

• Konsolidierung der heterogenen IDP-Landschaft in eine gruppenweite Lösung
• Implementierung einer Federation-Plattform auf Basis von Ping Identity für bis zu 17 Millionen Kunden
• Konsequenter Einsatz von Industriestandards für einfache Integration
• Einhaltung höchster Sicherheitsstandards und regulatorischer Vorgaben
• Nachhaltige Senkung des Entwicklungsaufwands

Überblick

Die Raiffeisen Bank International (RBI) mit Sitz in Wien gehört mit ihren zwölf Netzwerkbanken (NWB) in Zentral- und Osteuropa zu den führenden Bankengruppen des Kontinents. Als die NWBs in den frühen neunziger Jahren zusammengeführt wurden, galt es, eine Reihe wichtiger Weichenstellungen vorzunehmen: darunter auch, ob die Verantwortung über die IT-Infrastrukturen auf lokaler Ebene verbleiben oder zentralisiert werden sollte. Die Verantwortlichen wählten mit Blick auf den hohen Integrationsaufwand und die heterogenen Landschaften die erste Option – und waren mit diesem Modell drei Jahrzehnte lang überaus erfolgreich. Doch in der digitalisierten Welt von heute zeigen sich immer mehr die Schattenseiten der lokalen IT-Lösungen: Gruppenweite Innovationsprojekte erfordern ein hohes Maß an Agilität, die durch die dezentrale Organisation oft nur schwer zu gewährleisten ist – und die fehlende Standardisierung innerhalb der Gruppe wirkt sich auch auf die Kosten aus, weil attraktive Einsparpotenziale nicht erschlossen werden können.

Um die Weichen auf Zukunft zu stellen, treibt die RBI deshalb aktuell mit Nachdruck die Digitalisierung, Standardisierung und Konsolidierung ihrer IT voran, wie Yaron Zehavi, Customer IAM Product Owner bei der RBI, erklärt: „Unser strategisches Ziel ist es, einmal standardisierte Omnichannel-Banking-Anwendungen zu entwickeln und sie in unseren Netzwerkbanken wiederzuverwenden. Wir hatten einen klare Roadmap für die Standardisierung von APIs und Event-Streaming-Lösungen. Was uns aber lange Zeit fehlte, war eine durchgängige Identity- und Access- Management-Lösung, mit der sich Kunden sicher an den zentral bereitgestellten Anwendungen authentisieren und autorisieren können. Ohne eine solche Lösung musste jeder Dienst die IAM-Prozesse separat mit den NWBs aushandeln – was zu problematischen Identity-Silos und aufwändigen Integrationsprojekten führte.“

Die Lösung

Ping Identity, mit iC Consult implementiert
Die Suche nach einer geeigneten, unternehmensweiten Customer-IAM Federation gestaltete sich alles andere als einfach: Immerhin galt es, die fragmentierte IT-Landschaft der zwölf NWBs mit ihren multiplen IDP-Lösungen – von OpenAM über GAAS bis hin zu Azure AAD – und ihrem bunten Mix an On-Prem- und Cloud-Topologien in einer einheitlichen Lösung zusammenzuführen. Diese sollte dabei nicht nur den strengen regulatorischen Vorgaben des europäischen Bankwesens genügen, sondern auch die von den Kunden geforderte Sicherheit und Usability bieten – und bei all dem als Cloud-basierter Service in der finalen Ausbaustufe auf bis zu 17 Millionen Benutzer skalierbar sein. Entsprechend umfangreich und detailliert war der Anforderungskatalog, mit dem Yaron Zehavi in die Marktevaluierung ging:

• Die neue unternehmensweite IAM-Lösung sollte für alle Anwendungen einen bequemen Single-Sign-on mit hochsicherer Multifaktor-Authentisierung ermöglichen und dabei höchsten Sicherheitsstandards und allen regulatorischen Vorgaben des europäischen Bankwesens genügen, am besten, ohne die vorhandenen Zugangsdaten der Kunden ablösen zu müssen.
• Eines der Hauptziele des Projekts war es, den Integrationsaufwand beim Deployment neuer Banking-Anwendungen für die NWBs so weit wie möglich zu reduzieren. Dafür musste die Lösung mit den Infrastrukturen aller Netzwerkbanken uneingeschränkt kompatibel sein.
• Die Lösung musste herausragende Ausfallsicherheit, Stabilität, Resilienz und Performance bei nahezu unbegrenzter Skalierbarkeit garantieren – immerhin würde ein Ausfall der IAM-Infrastruktur auch zu Ausfällen von verlässlichen RBI-Diensten in sämtlichen Ländern führen.
• Die Autorisierung sollte über sichere, einheitliche Access Token in einem standardisierten Format erfolgen, um die Validierung der Token auf API-Ebene über die gesamte Gruppe hinweg zu vereinfachen.
• Und schließlich, auf technischer Ebene: Das zentralisierte IAM sollte für agile Entwicklungsumgebungen ausgelegt sein und zeitgemäße CI-/CD-Verfahren unterstützen, um neue Funktionalitäten kontinuierlich testen und validieren zu können.

Der breite Anforderungskatalog war aber nicht die einzige Herausforderung – auch der Zeitplan des ambitionierten Integrationsprojekts war eng gesteckt. Yaron Zehavi erinnert sich: „Der Startschuss für das Customer-IAM fiel bei uns im Mai 2021, und unser Ziel war es, mit der neuen Lösung vier Monate später in den Live-Betrieb zu gehen. Daher entwickelten wir eine pragmatische und agile Roadmap: Wir entschieden uns, im ersten Schritt nur das kritische Thema Login-Security einschließlich der Authentisierung, der Identities und der Autorisierung anzugehen, und erst dann nach und nach die komplexeren Autorisierungsmetadaten einzubinden. In der dritten Phase gilt es dann, das Berechtigungshandling für Bankgeschäfte zu integrieren.“

Ping punktet mit starker Federation
Nach vielen Gesprächen und einer umfassenden Analyse des Marktes entschied sich die RBI, die neue Customer-IAM-Lösung auf der Basis der Produkte von Ping Identity zu realisieren. Die Cloud-basierte und hochverfügbare Kombination aus PingFederate und PingDirectory versprach, alle Anforderungen der Kunden abzubilden und überzeugte mit durchdachten Lösungen für den sicheren Login und das Handling der Berechtigungen.

Und noch eine zweite wichtige Weichenstellung nahm das RBI-Team in dieser Frühphase des Projekts vor: Angesichts der Integrationstiefe und des Integrationsaufwands entschied man sich, mit iC Consult ein externes Consulting-Team hinzuzuziehen, um die internen Identity-Experten im weiteren Projektverlauf als Ideen- und Impulsgeber zu unterstützen.

Anbindung von 60.000 Usern in zwei NWBs
Der Startschuss für die Umsetzung fiel Mitte 2021 mit der Implementierung der neuen IAM-Architektur und der Anbindung der ersten beiden NWBs. Um den strengen Vorgaben an die Sicherheit und Compliance der Lösung gerecht zu werden, implementierte das Projektteam dafür eine resiliente, skalierbare und hochverfügbare Multi-Cloud-Architektur, und hielt sich bei der IAM-Integration eng an die Best-Practice-Vorgaben für eine sichere OAuth 2.0- und OpenID Connect-Einführung. Die AWS-Funktionalitäten ELB (Elastic Load Balancing) und WAF (Web Application Firewall) sorgen für einen stabilen und sicheren Betrieb, und die Monitoring-Lösung Prometheus liefert lückenlose Transparenz über die Umgebung.

Sicherheit ohne Kompromisse
„Das Thema Sicherheit hat für uns als Finanzinstitut allerhöchste Priorität. Daher folgen wir bei der Integration und beim Betrieb der Architektur sehr streng den geltenden Best Practises für das AWS Cloud Deployment – und auch die Cookbooks von Ping Identity können wir uneingeschränkt als wertvolle Informationsquelle weiterempfehlen“, so Yaron Zehavi. „Darüber hinaus testen wir die Infrastruktur einmal pro Tag, nach jedem Deployment und stellen sie einmal jährlich bei einem Pen-Test auf die Probe. Als Mitglied der OpenID halten wir uns durchgehend über neue Drafts und Entwicklungen auf dem Laufenden.“

Kontinuierliches Testen und Validieren
Um Ausfälle nach dem Rollout von Apps, Updates oder Changes zu verhindern, hat das Projektteam zusätzlich eine hoch performante Testumgebung eingerichtet, in der jede Änderung vor der Umsetzung rigoros getestet wird. Der Test-Stack – eine Demo-NWB-IDP mit einem Demo-Client – umfasst über 150 Testszenarien mit Client- und IDP-seitigen Errors und Grenzfällen und ermöglicht es der RBI, Umgebungen proaktiv und forensisch zu testen.

Die Bereitstellung neuer Funktionalitäten erfolgt agil nach den Prinzipien der Continuous Delivery. „Um die Geduld der Kunden nicht durch manuelle Updates zu strapazieren und das eigene Team auch nicht zu unnötigen Nachtschichten verpflichten zu müssen, werden die neuen Releases inzwischen automatisiert getestet, verifiziert und im laufenden Betrieb bereitgestellt“, erklärt Henrik Kroll, IAM Consultant bei iC Consult. „Das Verfahren funktioniert dabei so gut, dass die RBI ohne Qualitätsprobleme 3 Millionen Kunden betreuen kann, während die PingFederate- und PingDirectory-Pods neu hochgeladen werden. Das ist wirklich beeindruckend, und schafft bei der Planung der Deployments natürlich ganz neue Freiräume.“

Weichenstellung für die Zukunft
Ende 2021 ging die Ping-Lösung online, und inzwischen wurden auch die ersten beiden Banking-Anwendungen daran angebunden. Dabei erweis sich die föderierte Architektur vom ersten Tag an als äußerst intuitiv und flexibel, und etablierte sich innerhalb der Gruppe schnell als der De-Facto-Standard im Bereich Customer-Identity. Und auch auf Seiten der Kunden findet die Lösung viel Anklang: Diese schätzen dabei vor allem die verbesserte User-Experience, die es ihnen ermöglicht, die digitalen Angebote der RBI jederzeit und komfortabel zu nutzen – ohne neue Zugangsdaten, über die vertraute Oberfläche und in der jeweiligen Landessprache.

Fazit

Mit der Implementierung von Ping Identity legte die RBI erfolgreich das Fundament für die sichere und effiziente Bereitstellung standardisierter Banking-Applikationen für ihre zwölf Netzwerkbanken – unabhängig davon, welche Identity- Technologien diese nutzen, und zu einem Bruchteil der Kosten, die bei der Entwicklung individueller Integrationen angefallen wären.

Entsprechend positiv fällt die vorläufige Zwischenbilanz von Yaron Zehavi aus: „Wir sind immer noch richtig stolz, wenn eine neue NWB oder eine neue Banking-Anwendung live geht und die ersten Kunden darauf zugreifen. Mit den Lösungen von Ping Identity und iC Consult als Partner an unserer Seite haben wir einen wichtigen Grundstein für unsere künftige Identity-Strategie gelegt – und wir freuen uns sehr darauf, dieses ambitionierte und anspruchsvolle Modernisierungsprojekt gemeinsam zum erfolgreichen Abschluss zu führen.“