Ausgangssituation

Der internationale Luftfahrtkonzern verfügt über einen äußerst umfangreichen Mitarbeiterstamm, der auf mehrere Tochterunternehmen verteilt ist: Passagierbeförderung, Cargo, technischer Service, IT-Service und weitere. Aufgrund dieser weit verzweigten Struktur war es für das Unternehmen zunehmend schwierig geworden, die 160.000 Benutzer in den diversen Systemen und Anwendungen effizient zu verwalten.

Darüber hinaus benötigte das Unternehmen eine Provisioning Lösung, um das Unternehmensverzeichnis stets aktuell zu halten und damit die Sicherheitsanforderungen des Unternehmens zu erfüllen und eine effektive Überprüfung zu ermöglichen. Bei dem Luftfahrtunternehmen erkannte man, dass ein Identity Management-System benötigt wurde, um die Benutzerverwaltung zu zentralisieren und zu automatisieren.
Die Aufgaben des neuen Systems bestanden darin, alle Benutzer- und Unternehmensdaten aus ver- schiedenen Quellen zu bündeln, zu verarbeiten und an die entsprechenden Zielsysteme weiterzuleiten.

Nach sorgfältiger Prüfung entschied sich das Unternehmen für GARANCY, da diese Lösung leistungsfähige Provisioning Funktionalitäten bietet, höchst skalierbar ist und sich problemlos in eine verzeichnisbasierte Umgebung einbinden lässt.

Herausforderung

Der Konzern betreibt eines der weltweit größten Novell-Netzwerke. Daher musste eine IdM-Lösung (Automatisiertes IAM-Lösung) gefunden werden, die hervorragend mit der Novell NetWare-Umgebung interagiert und zudem diverse unterschiedliche Systeme wie RACF, vier Windows NTDomänen, ein SAP-System, das Unternehmensverzeichnis und andere LDAP-Verzeichnisse sowie drei unternehmensintern entwickelte Anwendungen (ein Unisys-basiertes Buchungssystem und zwei Mannschaftsverwaltungs- systeme) einbinden kann.

Eine weitere Herausforderung bestand darin, dass alle 160.000 Benutzerprofile des Unternehmensver- zeichnisses über 50 unterschiedliche Attributstypen pro Benutzer enthalten. Daher musste die Provisioning-Lösung in der Lage sein, eine Reihe von Eingansquellen zu unterstützen und damit das Verzeichnis per- manent aktuell zu halten, Sicherheitslücken zu vermeiden und eine präzise Überwachung der Abläufe zu ermöglichen. Diese Funktionen sollten ohne manuelle Eingriffe der Administratoren ausgeführt werden – daher war die vollständige Automatisierung der Abläufe erforderlich.

Aus verwaltungstechnischen Gründen war es notwendig, die angebundenen Tochterfirmen innerhalb desselben IdM-Systems als eigenständige Unternehmen zu behandeln, da nur auf diese Weise die Vertraulichkeit des Datenverkehrs sowie eine saubere Administration sichergestellt werden konnte.

Umsetzung

Um den ROI in möglichst kurzer Zeit zu erreichen, setzte der Konzern zunächst auf die Optimierung und Automatisierung der Benutzerverwaltung. Als erste Maßnahme wurden das Novell NetWareNetzwerk, RACF sowie die Windows- und Unisys-Systeme an SAM angebunden und die Benutzerverwaltung der Konzern- gesellschaft für Passagierbeförderung automatisiert. Dabei wurden fünf Datenquellen mit GARANCY verbunden: zwei HR-Systeme, eine Datenbank externer Partner und zwei Datenquellen für unternehmens- bezogene Informationen. Änderungen in diesen Systemen wurden an GARANCY übermittelt und anhand eines regelbasierenden Vorgangs in Benutzerkonten, Gruppenverbindungen sowie Autorisierungen der diversen angebundenen Sicherheitssysteme umgewandelt.

Der erfolgreiche Produktivbetrieb des Systems für die erste Tochtergesellschaft ermutigte das Projektteam dazu, die umfangreiche Konzerngesellschaft Cargo in die Lösung mit einzubeziehen. Da sich mit GARANCY sehr einfach mehrere Organisationen innerhalb einer einzelnen IdM-Lösung verwalten lassen, konnte die hinzugefügte Tochtergesellschaft mühelos in die Verwaltung eingebunden werden. Gleichzeitig wurde SAP als weiteres Zielsystem integriert, um auch hier von der automatisierten Benutzerverwaltung zu profitieren.

Bereits im Jahr 2000 hatte sich die Gesellschaft für die Einführung von GARANCY als IdM-Lösung (Automatisiertes IAM-Lösung) entschieden. Im Laufe der Jahre kamen wesentliche neue Funktionen hinzu, darunter das Biometrische Passwort Reset über Voice Recognition, Self-Service-Funktionen, eine SPML-Schnittstelle für User-Daten sowie Integrationsmöglichkeit über Webservices. Durch die permanente Weiterentwicklung der eingesetzten Lösung und kontinuierliche Updates auf jeweils aktualisierte Programmversionen konnten sämtliche aktuellen Anforderungen im Bereich IdM optimal erfüllt werden.

Man hatte zwischenzeitlich auch Alternativlösungen evaluiert, sich aufgrund der langjährigen guten Zusammenarbeit mit Beta Systems aber dann dafür entschieden, beim bisherigen Technologielieferanten zu bleiben. Im Laufe der Jahre wurde GARANCY zudem auf weitere Konzerngesellschaften ausgedehnt – inzwischen werden rd. 200.000 Beschäftigte der Gesellschaft und ihrer Konzerntöchter mit der Beta Systems Lösung administriert. Auch weitere Anwendungssysteme wurden nach und nach integriert, darunter als eines der letzten Peregrine Asset Center.

Lösung

Das Unternehmen betreibt sein Unternehmensverzeichnis, das 160.000 Benutzer umfasst, auf Basis von Novell eDirectory. Die interne PKI (Public Key Infrastructure) und zahlreiche Anwendungen sind darauf angewiesen, dass die Benutzerdaten zuverlässig und zeitnah zur Verfügung stehen. Die Vorteile einer nahtlosen Integration der Provisioning-Lösung in das Unternehmensverzeichnis über den Standardkonnektor GARANCY eConnect lagen von Anfang an auf der Hand: Durch die Bündelung der Datenquellen und dank der leistungsfähigen Funktionen von GARANCY eConnect konnte einehäufige Aktualisierung der Benutzer, Benutzerattribute und Sicherheitsdefinitionen des Unternehmensverzeichnisses erzielt werden, die regelmäßig automatisiert durchgeführt wurde.

Zusätzlich zu den oben beschriebenen Provisioning-Funktionen bietet bzw. unterstützt GARANCY zahlreiche weitere Funktionalitäten zur Benutzerverwaltung. Zentrale Administratoren können beispielsweise GARANCY nutzen, um komplexe Verwaltungsaufgaben manuell durchzuführen. Supportmitarbeitern hingegen dient die Helpdesk-Funktionalität von GARANCY als bequeme Schnittstelle zum Einrichten und Löschen von Benutzern oder zum Ändern von Kennwörtern.

GARANCY ist mit dem kundenspezifischen Intranetportal verbunden. Dadurch können Mitarbeiter und externe Partner, Konten und Benutzerrechte über einen abgestimmten Genehmigungsworkflow beantragen. Die bewilligten Konten- und Rechteanfragen werden an GARANCY übermittelt. GARANCY wiederum führt diese in den verbundenen Systemen und Verzeichnissen aus. Dieser Prozess gestattet es der IT-Abteilung, ihren Kunden eine sehr hohe Servicequalität anzubieten: Dank der technischen Einbettung eines Work- flowsystems in GARANCY können alle Sicherheitssysteme bereits wenige Minuten nach der Erteilung der Genehmigung aktualisiert werden.

Unter Einsatz der plattformübergreifenden Berichterstellungs- und Überwachungsfunktionen von GARANCY kann der konzerneigene IT-Dienstleister vollautomatisch monatliche Prüfberichte erstellen, die alle relevanten Benutzer- und Sicherheitseinstellungen enthalten, und diese per E-Mail an die jeweils verantwortlichen Unternehmensmanager schicken. Pro Konzerngesellschaft wird zudem für die Sicherheitsadministratoren der unterschiedlichen Zielsysteme ein wöchentlicher Bericht über geänderte Benutzerattribute und deaktivierte bzw. gelöschte Konten generiert.

Aufgrund der zentralisierten und automatisierten Benutzerverwaltung ließen sich in der Administration erhebliche Kosteneinsparungen erzielen. Mit GARANCY verfügt die Fluggesellschaft über eine homogene Provisioning-Lösung für das Unternehmensverzeichnis und die strategischen Sicherheitssysteme. GARANCY versorgt alle angebundenen Systeme zuverlässig und zeitnah mit den benötigten Benutzerdaten. Dank GARANCY ist es der Fluggesellschaft möglich, die umfassende Benutzerverwaltung effizient durchzuführen und den übrigen Konzerngesellschaften einen hohen Service-Level zu garantieren. Die hohe Skalierbarkeit von GARANCY macht es außerdem möglich, die aktuelle Lösung beliebig um weitere Konzerngesellschaften oder externe Kunden zu erweitern, was die TCO sehr positiv beeinflusst.

Von Updates auf die jeweils neuesten Releases der IdM-Lösung von Beta Systems profitiert die Luftfahrtgesellschaft in zweierlei Hinsicht: Zum einen fügt sich die GARANCY-Architektur optimal in die neue Zielarchitektur des Konzerns ein. Während die Vorgängerversion auf einer Mainframe-Plattform basierte, läuft GARANCY auf dezentralen Servern und nutzt dabei auch Microsoft-Datenbanken. Weil der Betrieb von GARANCY in einer dezentralen Microsoft-Architektur wesentlich günstiger ist als auf Mainframe-Basis, spart die Gesellschaft durch den Wegfall der Mainframe DB2 und die und die Nutzung von GARANCY IAM nun auch deutlich Kosten.

Erfahren Sie hier mehr über die Methodik der IAM-Einführung

Jetzt kostenloses White Paper herunterladen!