IAM-Integration mit weißen Handschuhen

Kestra Holdings betreibt eine der erfolgreichsten Online-Vermögensverwaltungsplattformen in den Vereinigten Staaten, die ein Ökosystem von über 2.400 unabhängigen Finanzfachleuten in sechs Niederlassungen unterstützt und über 700 Mitarbeitende beschäftigt. Mit dem Ziel, Mitarbeitende und das Netzwerk aus Finanzexperten sicher und bequem mit der zentralen Plattform zu verbinden, konsolidierte Kestra Holdings seine Identity und Access Management Lösung mit Unterstützung von iC Consult Experten in einer End-to-End-Identitätslösung von Okta – und legte damit eine nachhaltige Grundlage für zukünftige Akquisitionen und Innovationen.

Auf einen Blick

Branche:
Vermögensverwaltung


Region:
Vereinigte Staaten


Herausforderung:
Entwicklung einer unternehmensweiten IAM Strategie, Definition von Standards für die Anbindung interner und externer Nutzer sowie das Ersetzen der bestehenden Altsysteme durch eine zeitgemäße Identitätslösung.


Products und services:
Identity-Lösungen von Okta und SailPoint


Ergebnisse:

  • Starke Identitätslösung mit MFA & SSO: Nutzer können sich je nach Kontext und Risikostufe mit unterschiedlichen Faktoren anmelden.
  • Erfolgreicher Roll-out: Über 90% der 5.000 Berater übernehmen die Lösung vor dem offiziellen Launch.
  • Einbindung aller Beteiligten: Regelmäßige Berichte über die Lösung und die erreichten Meilensteine gewährleisteten die volle Unterstützung aller Stakeholder.
  • Nächster Meilenstein: Migration der Services auf eine neugestaltete, viel leistungsfähigere Plattform der nächsten Generation.
  • Identity-as-a-Service ist die Zukunft: Mittelfristig könnten IaaS-Services in allen Niederlassungen und für jeden Berater bereitgestellt werden, um die Zusammenarbeit mit Partnern weiter zu stärken.

Überblick

Kestra Holdings hat sich seit jeher zum Ziel gesetzt, die Zukunft der Vermögensverwaltung durch erstklassigen Service, modernste Technologien und ein breites Spektrum an Back-Office-Support völlig neu zu definieren. Bei der Betreuung seiner Kunden und Partner setzt das Unternehmen daher auf eine zeitgemäße digitale Plattform, über die interne und externe Nutzer derzeit auf rund 50 Business-Apps und umfangreiche Ressourcen zugreifen können.

Allerdings war es in der komplexen und historisch gewachsenen Infrastruktur nicht immer einfach, einen sicheren Zugang zu diesen Tools zu gewähren, berichtet Kyle Weckman, Head of Cybersecurity and Technology Risk bei Kestra Holdings: „Kestra ist in den letzten Jahren schnell gewachsen – teils organisch, teils durch Übernahmen. Zu unserer Holdinggesellschaft gehören inzwischen sechs Tochtergesellschaften, die lange Zeit jeweils ihre eigenen Identitäten und Zugriffsrechte verwaltet haben. Darüber hinaus nutzten die vielen Tausend Finanzfachleute, mit denen wir zusammenarbeiten, bis zur Gründung der Holdings Co. heterogene und manchmal veraltete Lösungen. Es fehlte an Architekturstandards, einheitlichen Prozessen und für die Skalierung notwendige Automatisierung – also haben wir die Experten von iC Consult hinzugezogen, um das Thema Identität von Grund auf neu anzugehen und auf eine robuste und zukunftssichere Basis zu stellen.“

Herausforderung

Okta punktet mit hoher Interoperabilität
Hauptziel des Projekts war es, eine unternehmensweite Strategie für das Identity und Access Management zu entwickeln, klare Standards für die Anbindung von Mitarbeitenden, externen Beratern und Kunden zu definieren und die bestehenden Altsysteme durch eine zeitgemäße, sichere und einfach zu bedienende Enterprise IAM-Lösung zu ersetzen.

Das Projektteam evaluierte den Markt und entschied sich schließlich für den IAM-Plattformanbieter Okta: „Die sichere und belastbare Plattform von Okta hat uns auf Anhieb gefallen“, so Kyle Weckman. „Ausschlaggebend war aber letztlich die Tatsache, dass das Unternehmen ein herstellerneutraler Identitätsanbieter ist, was bedeutet, dass Okta äußerst flexibel mit anderen Lösungen kombiniert werden kann. In unserer heterogenen und dynamischen Landschaft ist das genau die Flexibilität, die wir brauchen.“

Lösung

Cross-Identitäten werden zum Schmerzfaktor
Das Projektteam implementierte die Okta‘s Workforce- und Customer-Plattformen als unternehmensweite Authentifizierungs- und Autorisierungslösung für Mitarbeitende, Berater und Kunden – und konsolidierte die bestehenden Altsysteme der Tochtergesellschaften zu einer Gesamtlösung. Die klare Rollenverteilung konnte in der Praxis jedoch nicht immer durchgesetzt werden: Viele Nutzer von Kestra Holdings besitzen mehrere Rollen – etwa Kunden, die gleichzeitig Berater sind, oder freiberufliche Berater, die angeworben und als Mitarbeiter eingestellt werden. „Der Umgang mit Identitäten, die aufgrund der Art unseres Geschäfts mehrere Mitarbeitertypen umfassen, erwies sich als äußerst komplex“, erklärt Kyle Weckman. „Im Laufe des Projekts haben wir uns daher gemeinsam mit den Experten von iC Consult entschieden, die Identity Governance Lösung von SailPoint als dedizierte Orchestrierungsplattform zu implementieren. Dies half uns, Identitäten und Zugriffsrechte zuverlässig über alle Mitarbeitenden und Kunden hinweg zu verwalten.“

Die wichtigsten Highlights der IAM-Lösung:

  • Starke Multi-Faktor-Authentifizierung (MFA) für Mitarbeitende: Okta unterstützt eine starke adaptive MFA, bei der sich Nutzer je nach Kontext und Risikostufe mit unterschiedlichen Faktoren anmelden können – zum Beispiel per Passwort, Fingerabdruck, Magic Link oder Einmal-Password. Das ist nicht nurr sicher, sondern auch komfortabel – und entlastet den Helpdesk nachhaltig.
  • Mitarbeiterportal mit Single Sign-on (SSO): Im Rahmen des Projekts integrierte Kestra Holdings ein neues Anwendungsportal, über das Mitarbeitende und Berater nach einmaliger Anmeldung jederzeit auf mehr als 40 Geschäftsanwendungen zugreifen können. Auch für Kestra’s Kunden wurden dedizierte Anwendungsportale eingerichtet.
  • Automatisierung des Account-Lebenszyklus: Okta automatisiert weitgehend das Onboarding und Offboarding von Mitarbeitenden, einschließlich der Zuweisung von granularen Zugriffsrechten. So kann Kestra Holdings sicherstellen, dass neue Kollegen vom ersten Tag an Zugriff auf alle Anwendungen und Ressourcen haben, die sie benötigen – ohne dass das IT-Team eingreifen muss.
  • Verbesserte Benutzerfreundlichkeit für Kunden und Mitarbeitende: Flexible, in vielen Fällen passwortlose Authentifizierungsoptionen und praktisches Single Sign-on bieten Kunden und Mitarbeitenden jederzeit eine erstklassige Nutzererfahrung.
  • Zuverlässige Einhaltung der regulatorischen Anforderungen: Als Vermögensverwalter agiert Kestra Holdings in einem streng regulierten Markt und muss die Einhaltung nationaler und internationaler Anforderungen – wie SEC- und FINRA-Richtlinien – sicherstellen. Diese schreiben unter anderem den Einsatz von MFA-Technologie zwingend vor, eine Anforderung, die Kestra Holdings mit Okta durchgängig erfüllt.

Kyle Weckman
Head of Cybersecurity and Technology Risk bei Kestra Holdings

„Unsere neue Architektur ermöglicht es uns, die Lücke zwischen unseren Altsystemen und unserer neuen cloudbasierten Microservices-Plattform zu schließen, die demnächst in Betrieb genommen wird. Die Nutzer können sich dann problemlos mit ihren bestehenden Identitäten anmelden und vom ersten Tag an produktiv und sicher arbeiten. Dies war ein Schmerzpunkt und ein Must-have für unsere Kunden.“

Über Kestra Holdings:
Kestra Holdings bietet branchenführende Vermögensverwaltungsplattformen für unabhängige Vermögensverwaltungsexperten in den gesamten Vereinigten Staaten. Mit einer innovativen Kultur, die die Unabhängigkeit zelebriert, will das Unternehmen die Zukunft der Beratungsbranche neu definieren – durch erstklassigen Service, modernste Technologien und herausragende Ressourcen, die jeder Finanzprofi braucht, um jetzt und in den kommenden Jahren auf dem Markt erfolgreich zu sein.

Die Unternehmen von Kestra Holdings betreuen ein verwaltetes Vermögen von 146 Milliarden USDollar und unterstützen mehr als 2.400 unabhängige Finanzfachleute USA-weit bei der Bereitstellung umfassender Wertpapier-, Treuhandund Anlageberatungsdienste für deren Kunden.

Ergebnis

White-Glove Service für bestmögliche Akzeptanz
„Obwohl die vielen Vorteile der neuen Identitätsplattform auf der Hand lagen, war uns klar, dass der Erfolg der Einführung mit der Akzeptanz seitens unserer Kunden und Mitarbeitenden steht und fällt – und diese ist bei Tausenden von Nutzern, von denen viele keine Erfahrung mit modernen IAM-Lösungen haben, schwer vorherzusagen“, erklärt Kyle Weckman. „Deshalb haben wir uns gemeinsam mit iC Consult zu einem ungewöhnlichen Schritt entschlossen: Unser IT-Team entwickelte eigens für dieses Projekt einen neuen White-Glove-Service – quasi einen Rundum-Sorglos-VIP-Support-Service für Nutzer, der alle Anfragen persönlich bearbeitet, umfassende Hilfe anbietet und alle Nutzer vom ersten Tag an einbezieht. Das hat Wunder gewirkt: Über 90 Prozent unserer 5.000 Berater haben die Lösung noch vor dem offiziellen Launch eingerichtet.“

Proaktives Einbeziehen von Stakeholdern
Parallel zum „White-Glove“-Programm sicherte sich das Projektteam die Unterstützung der Geschäftsleitung aller Tochtergesellschaften: Alle CIOs und Stakeholder wurden regelmäßig über die Vorteile der neuen Plattform, das zukünftige Potenzial der Lösung und erreichte Meilensteine informiert. Auf diese Weise hatte das Projekt von Anfang an die volle Unterstützung der gesamten Geschäftsleitung – und es ist sogar gelungen, die hohen Erwartungen zu übertreffen, seit die Lösung in Betrieb ist: „Okta ist jetzt eine meiner Lieblingsapplikationen, da es die Anmeldung bei unseren verschiedenen Anwendungen mit unterschiedlichen Benutzernamen erleichtert und möglich macht.“, sagt Stephen Langlois, President bei Kestra Financial.

Nächster Meilenstein: Neue Plattform der nächsten Generation
Das hohe Level an Akzeptanz unter den Nutzern ist von zentraler Bedeutung. Die neue IAM-Plattform soll nicht nur kurzfristig Identitätsprobleme beheben, sondern stellt auch einen wichtigen langfristigen Meilenstein dar: „Wir planen, unsere Anwendungen und Dienste im Laufe des nächsten Jahres auf eine komplett neugestaltete, viel leistungsfähigere Plattform der nächsten Generation zu migrieren – und die neue IAM-Lösung ist die erste Schlüsselkomponente dieser neuen Plattform“, erklärt Kyle Weckman.

Identity-as-a-Service ist die Zukunft
Laut Kyle Weckman bietet die neue IAM-Plattform für Kestra Holdings mittelfristig aber noch ambitionierteres Potenzial: „Ich könnte mir gut vorstellen, dass wir in ein paar Jahren IaaS-Services auf Basis von Okta für alle 1.100 Niederlassungen anbieten. Das wäre aus unserer Sicht ein wirklich wegweisendes Modell, um die Zusammenarbeit mit unseren Partnern weiter zu stärken – und wir würden mit einer solchen Lösung einen ganz neuen Standard in der Branche setzen.“

 


Auf Jobsuche?

Komm zu iC Consult!

Job finden

 

Whitepaper

Der Business Case als zentrales Element einer IAM-Investition

Jetzt lesen

Webinar: IAM Managed Services

Jetzt ansehen

Zentralisiertes IAM für über 300.000 Identitäten | DB Schenker

Referenz lesen