Sie brauchen Berechtigungskonzepte für Ihre Anwendungslandschaft? Wie viele dürfen es denn sein? Zehn? Hundert? Oder besser tausend? Für eine Rückversicherung haben wir – ja! – über tausend Berechtigungskonzepte erstellt, aktualisiert und am Ende in einem IDM-System konsolidiert. Tutti completti mit SoD-Klassifizierung, 4-Augen-Bestellprozess, Rezertifizierung und den notwendigen Joiner-, Mover-, Leaver-Prozessen.
Und auch wenn man denkt „alles doch schon mal da gewesen“, dann lehren einen die Realität und die BaFin die notwendige Demut, mit der solche Anforderungen aufgenommen, dokumentiert und abgestimmt werden müssen. Leidenschaftliches strukturiertes und akribisches Arbeiten kombiniert mit einem langen Atem – in diesem Projekt haben wir all das unter Beweis gestellt.
Vorbei ist die Zeit, in der IAM-Systeme vornehmlich aus Convenience-Gründen die Identitäten und Berechtigungen von Mitarbeitern gemanaged haben. Die Anforderungen an Berechtigungsmanagement und Zugriffschutz sind aufgrund regulatorischer Anforderungen und den vorhandenen Bedrohungslagen im digitalen Raum extrem gestiegen. Zero Trust ist eine Antwort auf diese Entwicklung, Ping Identity das Werkzeug und wir bei Castelity bringen beides zusammen.
Bei einer internationalen Finanzgruppe haben wir die dezentralen Prozesse, Systeme und Strukturen im Berechtigungsmanagement zuerst gesichtet und dokumentiert, dann gegen die regulatorischen Anforderungen und internen Sicherheitsvorgaben gespiegelt und zuletzt in ein umsetzbares Modernisierungskonzept überführt.
Für einen Kunden aus der Gesundheitsbranche haben wir unter Verwendung von IdentityGateway und PingAM eine Systemlandschaft konzipiert, die sowohl den strengen regulatorischen Anforderungen als auch den Bedürfnissen nach bestmöglicher Datensicherheit gerecht wird. Neben der sehr großen Zahl von verwalteten Identitäten, maximaler Ausfallsicherheit und der Anbindung verschiedenster Applikationen mittels SAML und OIDC, stellte insbesondere die transparente Anmeldung aus und für unterschiedliche Domänen (CDSSO) eine Herausforderung dar.
Wir haben dafür gesorgt, dass das Überschreiten von Domänen- und Netzwerkgrenzen für die Anwender sicher und komfortabel möglich ist. Und uns hat das Projekt mal wieder gezeigt, dass sich IT-Sicherheit und Arbeitserleichterung nicht gegenseitig ausschließen müssen.
Mit einer IAM-Landschaft ist es manchmal nicht getan. Neben verschiedenen Entwicklungs- und Test-Umgebungen betreiben einige unserer Kunden mehrere hundert, ja gar tausende produktive PingAM- und PingIDM-Systeme. Die skalieren entweder über ein Multi-Tenant-Konzept in der Cloud oder über VMs auf Bare Metal im eigenen Rechenzentrum.
Eine IAM-Landschaft dieser Größenordnung haben wir für einen Kunden hinsichtlich ihres System-Lifecycles voll automatisiert: ihren Aufbau, die Aktualisierung und auch die DSGVO-konforme Dekomissionierung. Notwendig waren dafür neben dem Expertenwissen in den Systemen von Ping Identity auch Fähigkeiten im Betrieb von Private-Cloud-Umgebungen, der Softwareautomatisierung (Ansible, Puppet, etc) und – steuernd - auch im System Lifecycle Management.
Bei einem unserer größten Projekte aus der Finanzindustrie decken die konfigurierbaren und sehr flexibel einsetzbaren Produkte von Ping Identity die klassischen Anforderungen an Identitätsverwaltung und Zugriffsschutz wunderbar ab. Und dann gibt es im Banken-Universum auch noch Umsysteme, die sich allen Standard-Konnektoren und Protokollen zu verweigern scheinen. Für uns beginnt dann erste der eigentliche Spaß!
Mit hoher Entwicklungskompetenz bauen wir beispielswiese spezifische Konnektoren für das ICF oder Custom Nodes für den PingAM. Separat betreibbare, barrierefreie UIs für die Ping Produkte oder klassisches Scripting mit Groovy oder JavaScript machen wir natürlich gleich mit.
In diesem Projekt haben wir gemeinsam mit unserem Kunden eine sichere und skalierbare Authentifizierungslösung auf Basis des Access Management Systems PingAM geschaffen. Der dazugehörige Architekturentwurf steht im Kontext eines Föderierten Identitätsmanagements (FIM) und ist in die Infrastruktur eines hoch abgesicherten Behördennetzwerks eingebettet. Besonders herausfordernd waren die spezifischen Anforderungen aus den Fachbereichen auf der einen und die regulatorischen Anforderungen aus dem Öffentlichen Sektor und dem Gesundheitswesen auf der anderen Seite.
In aufeinander aufbauenden Workshops haben wir die Anforderungen strukturiert aufgenommen, anschließend eine tragfähige Ziellösung erarbeitet und diese dann gemeinsam mit dem Kunden vollständig umgesetzt: Produktauswahl, Systemmodernisierung, Prozessmodellierung, Live-Coding, Implementierung der Prozesse und schließlich die Übergabe in den Betrieb.
Auch nachdem ein IDM- oder AM-System mit der Unterstützung unserer Berater eingeführt und in Betrieb genommen ist, müssen unsere Kunden nicht auf die Erfahrung und die Expertise von Castelity verzichten. Ein großer internationaler Handelskonzern beispielsweise stellt den unternehmenskritischen Betrieb seiner auf PingAM basierenden Sicherheitsinfrastruktur heute gemeinsam mit Castelity sicher.
Unsere Berater sind direkt in die Support-Strukturen des Kunden eingebunden und bearbeiten dort parallel zum Ausbau der Systeme auch 2nd- und 3rd-Level-Anfragen. Und das auch gerne mal vierundzwanzig-sieben! Die Kunden und Anwender unseres Kunden schätzen dabei unsere hohe Qualifikation und kulturelle Nähe – was zu kurzen Lösungszeiten und sehr hoher Anwenderzufriedenheit führt.
Einen Kunden aus der Versicherungsbranche haben wir dabei unterstützt, die bestehende Authentifizierung mit RSA Token auf eine alternative Authentifizierung mit FIDO2 Token umzustellen. Primäre Zielgruppe des neuen Authentifizierungsverfahrens sind freie Makler, die über keine einheitliche IT-Infrastruktur verfügen und deren IT-Know-how sich ebenfalls sehr stark unterscheidet.
Castelity hat das Roll-out-Projekt gemeinsam mit dem Fachbereich auf Versicherungsseite agil durchgeführt und gesteuert. Dabei gelang es, die mehr als 1000 Makler sowie die Verantwortlichen von mehr als 40 Versicherungsprodukten weitestgehend geräuschlos auf das neue Authentifzierungsverfahren umzustellen.
