Als zentrale Dienstleistungsgesellschaft der Friedhelm Loh Group betreut, berät und unterstützt die 2000 gegründete Loh Services GmbH die 95 Tochtergesellschaften der Gruppe in einer Reihe zentraler Schnittstellenfunktionen: Das Service-Portfolio umfasst dabei neben klassischen administrativen Aufgaben wie Controlling, Rechnungswesen oder HR, auch die Betreuung der IT-Infrastrukturen.
Ein zentraler Aspekt ist das Management der Identitäten und Zugriffsrechte aller 12.100 Mitarbeitenden, das jüngst im Rahmen eines ambitionierten, mit Unterstützung von iC Consult realisierten Greenfield-Projektes auf ein robustes und zukunftssicheres Fundament gestellt wurde.
Herausforderung
„Noch vor einigen Jahren waren wir in der Lage, unsere Workforce-Identitäten und Zugriffsrechte vollständig manuell zu verwalten. Aber nachdem unsere Angestelltenzahl kontinuierlich stieg und immer mehr Business-Prozesse digitalisiert wurden, nahm der Zeitaufwand rasant zu“, erläutert Martin Jonek, Head of Collaboration & Identity Services bei Loh Services. „Am Ende gaben zwei Faktoren den Ausschlag, uns Mitte 2021 auf die Suche nach einer zeitgemäßen, möglichst automatisierten IAM-Lösung zu machen: Der strategische Treiber für das Projekt war das anstehende Audit für eine neue Zertifizierung; der operative war das Management der Joiner-, Mover- und Leaver-Prozesse (JML), das im Alltag immer mehr Ressourcen band.“
Zentralisierte IGA-Lösung statt manueller Pflege
Ziel des Projekts war es, die Identitäten der Mitarbeitenden über die gesamte Unternehmensgruppe hinweg in einer zentralisierten Lösung zusammenzuführen. Anschließend sollte schrittweise die gesamte Anwendungslandschaft in das IAM eingebunden werden. Die höchste Priorität hatte dabei im ersten Schritt die Migration der geschäftskritischen SAP- und Microsoft 365-Landschaften sowie die Integration der Citrix- und VPN-Umgebungen für eine sichere Remote-Anbindung der Beschäftigten. Aus dem Audit ergaben sich darüber hinaus weitere Anforderungen: Konkret sollte die Verwaltung der Admin-, Service- und Test-Accounts neu aufgesetzt und die bestehenden externen Konten in die OneIM-Umgebung migriert und in die JML-Prozesse integriert werden.
„Nachdem unser internes Team eng in einer Vielzahl anderer Projekte eingebunden war, entschieden wir uns bereits in der Frühphase des Projekts, einen externen Integrationspartner hinzuzuziehen“, erklärt Martin Jonek. „Mit Blick auf den Umfang und die Komplexität des Vorhabens war dies definitiv die richtige Entscheidung. Unsere Wahl fiel auf iC Consult, die uns von der Konzeption bis zur Betriebsübergabe begleitete und federführend für die Umsetzung verantwortlich zeichnete. Die Zusammenarbeit erwies sich dabei als echter Glücksfall – unsere Teams ergänzten sich vom ersten Tag an perfekt und wir erhielten viele wertvolle Impulse für die Weiterentwicklung unserer Architektur.“
Analyse des Identity Lifecycles im Unternehmen
Die Frühphase des Projekts stand – wie so oft – zunächst ganz im Zeichen der Datenerfassung und Analyse: Die Expertinnen und Experten von iC Consult untersuchten und dokumentierten die Lifecycle-Prozesse im Unternehmen und erfassten detailliert die Anforderungen, die das interne Team an das neue Identity Management stellte. Ausgehend davon wurden dann in einem iterativen, mehrere Monate andauernden Prozess, die Joiner-, Mover- und Leaver-Abläufe für die gesamte Unternehmensgruppe neu definiert, wie Mario Zschaler, Projektverantwortlicher bei iC Consult, erklärt: „Von Anfang an robuste Prozesse zu definieren, ist bei einem Greenfield-Projekt dieser Größenordnung ebenso wichtig wie die Wahl der richtigen Technologie. Effiziente, automatisierte Abläufe werden das interne Team nachhaltig entlasten und auf Anwenderseite maßgeblich zur User Experience beitragen, sind also für den Projekterfolg entscheidend. Und auch die Sicherheit und die Compliance steht und fällt mit den Prozessen – etwa, wenn es gilt, mithilfe robuster Policies versehentliche Rechte-Eskalationen beim Abteilungswechsel zu verhindern.“
Cloud-native Plattform von One Identity
Als technologisches Fundament der neuen IAM-Umgebung implementierte iC Consult den One Identity Manager – eine zeitgemäße, in der Microsoft Azure Cloud betriebene Plattform, die Identity Governance and Administration, Access Management, Privileged Access Management und Active Directory Management in einer einheitlichen Lösung zusammenführt. „Der ganzheitliche Plattform-Ansatz von One Identity war für uns ein ganz zentraler Aspekt, weil wir auf diese Weise nicht auf dedizierte Insellösungen angewiesen sind“, so Martin Jonek. „Und weil es sich um eine Cloud-native Lösung handelt, lässt sich die Plattform auch sehr flexibel an unsere Anforderungen anpassen – zumal mit Unterstützung von iC Consult, die uns sehr kompetent mit der Entwicklung und Modifikation benötigter Schnittstellen unterstützt haben.“
Terraform-basiertes Deployment der Umgebung
Um einen reibungslosen Rollout sicherzustellen, integrierte iC Consult den One Identity Manager zunächst in einer isolierten, mithilfe von Terraform designten Testumgebung – inklusive eigener Netzwerk-, Server-, Datenbank- und Load-Balancing-Ressourcen. Dies ermöglichte es den am Projekt beteiligten Entwicklern, Qualitätsmanagern und Projektverantwortlichen, die Umgebung weiterzuentwickeln und kontinuierlich zu testen, ohne Gefahr zu laufen, den täglichen Betrieb zu stören.
Integration und Migration
Im Fokus stand dabei zunächst Bereitstellung der benötigten Schnittstellen für die Integration in die Anwendungslandschaft, darunter Konnektoren für AD-Domänen, hybride Exchange-Server, Azure AD und SAP, die zum Teil neu entwickelt und zum Teil aus bestehenden Templates adaptiert wurden. Im zweiten Schritt wurden dann die Anwendungen eingebunden und die bestehenden Identity-Daten in den One Identity Manager migriert – all dies zunächst in der Development-Umgebung und von umfangreichen Testläufen begleitet, um zum breiten Launch reibungslose Abläufe und eine hochwertige User Experience zu garantieren.
Web-Frontend-Entwicklung mit Angular
Und noch ein wichtiges Teilprojekt nahm das Team in dieser Phase in Angriff: Um das Anlegen von neuen externen Mitarbeitenden zu vereinfachen und zu beschleunigen, entwickelte iC Consult im OneIM Angular Portal ein neues Web-Frontend. Zugriff auf das neue IAM Portal erhalten Mitarbeitende automatisch über komfortablen Single-Sign-On. Neue Kolleginnen und Kollegen werden automatisch mit grundlegenden Berechtigungen – etwa dem Zugriff auf Microsoft 365 und SAP – ausgestattet und können dann über die Weboberfläche jederzeit Zugang zu weiteren Services beantragen.
„Mit der Migration der Daten und dem Deployment des Front-Ends hatten wir Ende 2023 alle Weichen für einen erfolgreichen Launch der One Identity-Lösung gestellt“, so Matin Jonek. „Die Identitäten und Rollen des IT-Teams waren zu diesem Zeitpunkt auch schon alle auf die neue Plattform migriert worden – das gab uns viel Gelegenheit, die Funktionalitäten und die Usability zu testen.“ Eine Aufgabe blieb aber noch vor dem Launch: Um sicherzustellen, dass die Administratoren, die Hotline-Kollegen und die User vom ersten Tag an gut mit der Lösung zurechtkommen und gerne damit arbeiten würden, organisierte das Projektteam mehrere Schulungen, um die Mitarbeitenden mit der Lösung vertraut zu machen. Der Plan ging auf: Der One Identity Manager wurde von den Mitarbeitenden auf Anhieb sehr gut angenommen und hat sich binnen kürzester Zeit über alle Regionen und die gesamte Unternehmensgruppe hinweg als komfortable und effiziente Alternative zur manuellen Rechteverwaltung durchgesetzt.
Ausblick: Managed Services bringen Entlastung
Der Go-Live markierte nicht das Ende der erfolgreichen Zusammenarbeit zwischen Loh Services und iC Consult: Die Unternehmen entwickeln die Identity-Lösung nach wie vor mit vereinten Kräften weiter – etwa mit Blick auf die nach wie vor laufende Konsolidierung der AD-Verzeichnisse im Unternehmen, oder auf die Einbindung weiterer Anwendungen in die IGA-Lösung. Und, noch wichtiger: Loh Services hat sich entschieden, den Betrieb und die Wartung der One Identity Plattform auch in Zukunft in den Händen von iC Consult zu belassen, berichtet Martin Jonek: „Mit Blick auf die zunehmend komplexen Tech-Stacks und die dynamischen Bedrohungslandschaften bindet das Management der IT-Infrastruktur bei uns schon jetzt viele Ressourcen, und jede Form der Entlastung im Alltag ist mehr als willkommen. Daher haben wir beschlossen, den Betrieb im Rahmen eines Managed-Services-Modells an iC Consult zu übertragen. Deren Expertinnen und Experten kennen die Lösung genauso gut wie wir selbst – einen besseren Partner werden wir nicht finden.“
