Flughafen München arbeitet komfortabel durch Single Sign-On und Identity Management
Eine Person, ein zentraler Zugang
Mit einem gut durchdachten und einfach handhabbaren Identity- und Access-Management (IAM) lässt sich die Benutzerverwaltung optimieren, eine hohe Datenqualität erzielen und Sicherheitsrisiken minimieren. Das hat auch der Flughafen München erkannt. Der Flughafenbetreiber setzt dafür auf ein Single Sign-On (SSO) und ein Identity Management für die sichere Authentifizierung und zentrale Verwaltung sämtlicher Benutzerdaten.
Als bedeutendes Drehkreuz ist der Flughafen München ein leistungsfähiger Verteilerknoten für den internationalen Luftverkehr. Reisende aus aller Welt schätzen die hohe Service- und Aufenthaltsqualität ebenso wie das schnelle und bequeme Umsteigen in München. Von seinen Fluggästen wird er deshalb regelmäßig zu den weltweit fünf besten Flughäfen gewählt. Rund 5.000 Mitarbeiter der Flughafen München GmbH (FMG) sorgen dafür, dass dieses hohe Qualitätsniveau durchgängig sichergestellt wird. Etwa 3.000 davon greifen auf eine Vielzahl von Softwareprogrammen zu. Aufgrund der heterogenen IT-Landschaft wurde die Verwaltung von Accounts und deren Berechtigungen im Laufe der Zeit immer komplexer. Denn Änderungen mussten in jedem System einzeln durchgeführt werden. Die Mitarbeiter mussten sich bis zu zwölf verschiedene Passwörter merken, um sich an den unterschiedlichen Programmen anzumelden. Ein Umstand, der das Passwort-Handling sowohl für die Anwender als auch die IT-Abteilung erschwerte und im Hinblick auf die Datensicherheit und -integrität für die FMG auf Dauer nicht mehr tragbar war.
Zentrale und einfache Benutzerverwaltung erforderlich
Der Münchner Flughafen beschloss deshalb, eine zentrale Lösung für das Identity Management einzuführen und diese mit einer benutzerfreundlichen und zugleich sicheren Enterprise Single-Sign-On-Lösung zu ergänzen. "Wir haben nach einer Lösung gesucht, die uns zum einen in der IT-Abteilung eine zentrale Benutzerverwaltung ermöglicht. Zum anderen wollten wir unseren Anwendern künftig ermöglichen, auf Basis einer einzigen Anmeldung verschiedene Programme zu nutzen", erläutert Franz Spirk, Corporate Information Manager der FMG. Nach einem mehrstufigen Auswahlverfahren fiel die Entscheidung bei der IAM-Lösung auf den Sun Identity Manager und bei der SSO-Lösung auf das Enterprise Single Sign-On von Evidian . Die Einführung und die Systemintegration der beiden Systeme sowie die Anwenderschulung übernahmen die IT-Berater von Devoteam . Darüber hinaus liefert der IT-Dienstleister seither den Second-Line-Support für die neuen Lösungen.
"Die Entscheidung, Devoteam ins Boot zu holen, war absolut richtig", so Franz Spirk. "Unser Implementierungspartner verfügt über fundierte Fachkenntnis bei der Einführung und Konfiguration der von uns ausgewählten Software und hat uns immer sachkundig unterstützt." Das Projekt dauerte insgesamt nur neun Monate. "Die kurze Projektdauer kommt durch die parallele Einführung der beiden Lösungen. Die frühe Einführung eines Single Sign-On verbessert zudem das Workflowdesign und die Datenqualität im Identity Management", ist sich Jürgen Gögelein, Senior Solution Architekt bei Devoteam sicher.
Starke Lösung für sichere Authentifizierung
Seit der Freigabe des Enterprise Single Sign-On verrichtet dieses reibungslos und wirkungsvoll seine Dienste: Jeder Anwender authentifiziert sich nun nur noch einmalig an seinem PC mit seiner Domain-Kennung. Für diese Anmeldung müssen sich die Mitarbeiter nur noch ihr Windows-Passwort merken. Alle weiteren Login-Vorgänge werden vom Single Sign-On im Hintergrund überwacht und gesteuert. Erstmalige Login-Vorgänge erkennt die Evidian-Lösung bei antrainierten Anwendungen und speichert die zugehörigen Zugangsdaten verschlüsselt im Active Directory ab. Jede weitere Anmeldung übernimmt die Lösung automatisch. Vorausgesetzt der Mitarbeiter ist durch sein Profil dazu berechtigt. Auch die regelmäßig fälligen Passwortwechsel kann die Software automatisch vornehmen. Dabei entspricht jedes generierte Passwort der Password Policy des Flughafens. Der Aufwand für das manuelle Zurücksetzen der Passwörter sank dadurch stark ab. "Wir entlasten damit unseren Servicedesk nachhaltig und können gleichzeitig unser Sicherheitsniveau deutlich verbessern", beschreibt Florian Kalb, System Engineer der FMG, den Nutzen.
Identity Manager als Rückgrat
Während das Enterprise Single Sign-On am Front-End der IT angesiedelt ist, arbeitet der Sun Identity Manager am Back-End der IT und damit für die Anwender im "Verborgenen". Deshalb ist er jedoch nicht weniger wichtig: Gibt er doch zuverlässig Auskunft über die Datenverteilung, einzelne Benutzerprofile und Rollen. Daten aus unterschiedlichen Quellen lassen sich zudem über die Verbindung zum Active Directory problemlos synchronisieren. Das System stößt einen Workflow an, der schnell und effizient die Accounts der angeschlossenen Applikationen automatisch aktualisiert. Der Identity Manager liefert so stets aktuelle Informationen darüber, welche Mitarbeiter oder externe Kräfte aus welchen Abteilungen Zugang zu unseren Applikationen haben.
"Der Identity Manager ist für uns das Rückgrat. Mit ihm betreiben wir ein hochverfügbares und unabhängiges System, das uns nicht nur eine durchgängige Verzeichnisinfrastruktur liefert, sondern uns auch einen sicheren, skalierbaren und dabei einfachen Zugriff auf sämtliche Identitätsdaten ermöglicht", erläutert Florian Kalb. Auch so genannte Funktionskennungen lassen sich so beim Flughafenbetreiber effizient und unbürokratisch verwalten. "Solche Kennungen werden in Anwendungen eingerichtet, wenn sie aus technischen und organisatorischen Gründen nicht personalisiert werden können", so Florian Kalb.
Schnittstelle ins SAP-System sorgt für Durchblick
Damit der zentrale Verzeichnisdienst stets mit aktuellen, personenbezogenen Informationen versorgt wird, hat das Projektteam eine Schnittstelle von SAP HR (Human Resources) zum Sun Identity Manager implementiert. Die Benutzerprofile und -konten von Mitarbeitern, die eine Abteilung wechseln oder ganz aus dem Unternehmen ausscheiden, können so umgehend aktualisiert oder deaktiviert werden. Die notwendigen Informationen hierfür liefert das Personalsystem mehrmals täglich. Auch bei neu eingestelltem Personal erweist sich der Sun Identity Manager als komfortabel und effizient. So erhält die IT-Abteilung mit Abschluss eines Arbeitsvertrags also in der Regel bereits Wochen vor Arbeitsbeginn eines neuen Kollegen alle Informationen, um Anforderungen nach IT-Ressourcen von Beginn an richtig zuordnen zu können. Vor dessen erstem Arbeitstag werden seine digitale Identität angelegt und PC oder Laptop komplett installiert. "Wir vermeiden so, dass Personaländerungen zu spät oder lückenhaft an die IT gemeldet werden", erläutert Franz Spirk. So lasse sich die Fehlerquote auf ein Minimum reduzieren, eine manuelle und dezentrale Bearbeitung komplett vermeiden und damit die Datenqualität entscheidend erhöhen.
IT kann Organisation vereinfachen
Das IAM-Einführungsprojekt beim Flughafen München zeigt, dass ein leistungsfähiger Identity- und Access-Management-Prozess mehr leisten kann, als das bloße Verwalten von Berechtigungen. Er kann organisatorische Aspekte im gesamten Unternehmen entscheidend vereinfachen. Voraussetzung dafür ist, dass alle Abteilungen – von der IT über die Personalabteilung bis zur Unternehmensleitung – an einem Strang ziehen. "Genau dies haben wir im Verlauf unseres Einführungsprojektes gelernt. Heute haben wir diese einheitliche Sicht auf unsere Systemlandschaft hinsichtlich der Benutzer noch nicht ganz erreicht", resümiert Franz Spirk. Nur, wer dieses Optimierungspotenzial abteilungsübergreifend konsequent ausschöpft, kann administrative Tätigkeiten und Verzeichnisdienste überhaupt erst zentral steuern, digitale Identitäten leicht überprüfen und Datenmissbrauch zuverlässig vermeiden. Daran zu arbeiten, ist eine ständige Herausforderung und geht weit über ein Einführungsprojekt hinaus.
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by DisqusWeitere Artikel zum Thema
alle Artikel zum Thema
© 2012 FEiG & PARTNER