Aufbau eines zentralen Access Management System
Die Stadtwerke betrieben unterschiedliche Access Management Systeme für ihre Mitarbeiter und Kunden. Für die Mitarbeiter war das eine eigene Lösung auf Basis des Open Source Pakets Central Authentication Service (CAS). Für die Authentifizierung über SAML 2 wurde zusätzlich Azure AD genutzt. Dies war jedoch nur als Übergangslösung gedacht. Personalfluktuationen führten außerdem dazu, dass der Support für CAS nicht mehr mit den eigenen Spezialisten geleistet werden konnte.
Seitens der Kundenanbindung gab es eine selbst implementierte Lösung, die mehrere Altsysteme für die verschiedenen Logins einband. Dazu gehörten Konten für ein breites Leistungsspektrum – von der Versorgung mit Strom, Wasser oder Gas über das Parkraummanagement bis hin zum Ticketverkauf für den ÖPNV. Um diese sehr heterogene Landschaft zu vereinheitlichen, Betrieb und Wartung zu vereinfachen und eine solide Basis für künftiges Wachstum zu schaffen, schrieben die Stadtwerke 2019 ein entsprechendes Projekt bundesweit aus. In dieser konnte iC Consult mit seinem Angebot überzeugen und begann im Dezember desselben Jahres mit der Planung und Umsetzung.
Maßgeschneiderte Zugangsverwaltung mit kosteneffizienten Strategien
Ursprünglich wünschten die Auftraggeber eine gemeinsame Access Management Lösung sowohl für die Mitarbeiter als auch für den Kundenbereich. iC Consult erstellte ein entsprechendes technisches Konzept und empfahl eine Lösung auf Basis von Ping Identity-Produkten. Im weiteren Verlauf zeigte sich aber rasch, dass die Realisierung und die spätere Wartung in dieser Form zu aufwändig wären. Im laufenden Projekt änderte man daher die Ausrichtung auf zwei separate, nachwie vor aber auf PingAM aufbauende Lösungen. Als Directory wurden auf Kundenseite PingDS eingesetzt, während für die Mitarbeiter ein bereits vorhandener Verzeichnisdienst weitergenutzt wird.
Auf Mitarbeiterseite ging es nicht nur um die Authentifizierung von Personen per Single Sign-on, sondern auch um die Bereitstellung einer Berechtigungssteuerung, so dass über Gruppen Nutzer kategorisiert werden. Anwendungen können dann diese Gruppenzuordnungen beziehen und für Autorisierungsentscheidungen über verschiedene Integrationswege (SAML, OIDC) heranziehen.
Großen Wert legten die Stadtwerke auf 2-Faktor-Authentifizierung (2FA) für Mitarbeiter, um über einfache Passwörter hinaus zusätzliche Sicherheit zu bieten. Dabei sollten neben einer bestehenden Hardwaretoken-Lösung auch verschiedene 2FA-Smartfon-App-Verfahren sowie SMS-TAN als Übergangsverfahren berücksichtigt werden. iC Consult hatte die entsprechenden Vorbereitungen getroffen und zusammen mit dem Kunden erprobt. Über eine primär kostenbasierte Abwägung (Lizenzkosten für manche Verfahren) wurde letzten Endes eine SMS-TAN-Lösung, eine Ping Identity Push-App und FIDO2 mit YubiKey-Hardwaretokens umgesetzt.
Auf Kundenseite stand vor allem die zuverlässige Integration eines Login-Portals im Vordergrund, über das die Kunden auf zahlreiche Dienste zugreifen können. Diese reichen von der Stromzählererfassung über den Fahrkartenkauf per Smartphone bis hin zu Drittanbieterlösungen wie Handyparken. Insgesamt handelt es sich um rund 100 Anwendungen, die nach dem Projektende sukzessive an die neue Plattform angebunden werden. 2FA spielt hier derzeit noch eine geringere Rolle. Um mittelfristig vorbereitet zu sein und interessierten Kunden schon heute eine entsprechende Option zu bieten, wurde SMS-TAN umgesetzt. Darüber hinaus wurde die Ping Identity-Lösung im Kundenbereich in beachtlichem Umfang technisch angepasst, um kundenindividuelle Anforderungen der Stadtwerke optimal umzusetzen.
Die Anbindung von Diensten an das zentrale Kundenportal erfolgt über OpenID Connect bzw. OAuth 2.0. Auf der Mitarbeiterseite war ursprünglich ein breiteres Protokollspektrum vorgesehen. Dort ging es nicht allein um ein zentrales System zur Anbindung verschiedener Anwendungen, sondern um eine Single-Sign-on Drehscheibe zwischen Windows, Azure Cloud und verschiedenen Webanwendungen des bisherigen CAS-Systems. Aktuell werden OpenID Connect, OAuth 2.0 und SAML 2.0 genutzt.
Nahtlose Integration und zukunftssichere Lösungen
Das Projekt wurde von Januar bis August 2020 realisiert. Im Laufe des Projekts ergab sich eine Folgebeauftragung, um während des Projektverlaufs zusätzlich hinzugekommene Kundenwünsche umzusetzen.
Zu Beginn wurde ein Proof of Concept erstellt, um eine möglichst effiziente Priorisierung der einzelnen Teilaufgaben zu ermöglichen. Dabei erwiesen sich einige Planänderungen gegenüber der ursprünglichen Beauftragung als erforderlich. Vor allem den Themenbereichen 2FA-Verfahren und Risikogerechte Authentifizierung wurde deutlich mehr Raum gegeben. Die sehr unterschiedlichen Anforderungen für den Mitarbeiter- und Kundenbereich machten zudem eine technische Trennung notwendig, um die im Kundenbereich zusätzlich erforderlichen Anpassungen ohne unnötigen Mehraufwand umsetzen zu können.
Ursprünglich sollten alle Arbeiten direkt beim Kunden vor Ort ausgeführt werden. Dem aber machte die Corona-Pandemie einen Strich durch die Rechnung. Durch eine vom Kunden kurzfristig bereitgestellte Remote-Access-Lösung konnte das Projekt dann aber auch ohne physische Präsenz durchgeführt werden. Nach einer kurzen Eingewöhnung erwies sich das dezentrale Arbeiten zusammen mit dem sehr agilen Projektmanagement als ausgesprochen effizient, so dass das gesamte Projekt zur allseitigen Zufriedenheit abgeschlossen werden konnte – in time und in budget. Zusätzlich zur rundum gelungenen Durchführung demonstriert das Projekt praxisnah, welche Vorteile eine zuverlässige und sichere Anbindung von Partner, Lieferanten und Dienstleister bieten kann.
Im Rahmen des 3-Jahres-Vertrags mit einer optionalen Verlängerung um zwei weitere Jahre leistet iC Consult 3rd-Level-Support. Darüber hinaus unterstützt iC Consult die Stadtwerke bei der Entwicklung und Einbindung zusätzlicher Funktionalitäten.
