Mehr Automatismen und Sicherheit im Hochschulbetrieb
Mit rund 12 300 Studierenden an vier Standorten, mehr als 1.100 Beschäftigten, darunter etwa 260 Professorinnen und Professoren, und einer Vielzahl externen Dienstleistern, sind die Ansprüche der Hochschule RheinMain (HSRM) an die IT hoch. Aufgrund der rasanten technologischen Entwicklung, muss sie laufend den aktuellen Begebenheiten angepasst werden. Das Ziel des 50-köpfigen IT-Teams unter der Leitung von CIO Tamara Sass ist es, den stetigen Paradigmenwechsel eng zu begleiten und allen Involvierten einen ausgezeichneten Service zu bieten. Ein einfacher und sicherer Zugriff auf die Systeme gehört dazu.
Ausgangslage
Zeitgemässe IAM-Lösung für die Hochschule RheinMain
Bis anhin gestalteten sich die Vergabe von Identitäten und Berechtigungen aufwendig und das Einloggen für die Nutzerinnen und Nutzer zeitraubend: Es existierten viele einzelne Systeme und Datenbanken, für deren Zugriff man sich immer wieder aufs Neue identifizieren und anmelden musste. Identitäten und Rechte wurden durch verschiedene dezentrale Stellen verwaltet. Für Tamara Sass war klar: Dies entsprach nicht mehr dem heutigen Standard und den hohen Sicherheitsanforderungen einer öffentlichen Hochschule. Es brauchte eine zentral geführte Identity- und Access-Management-Lösung (IAM).
Gemeinsam mit Experten und Partnern prüften die Verantwortlichen bei der HSRM mehrere Lösungen und entschieden sich für One Identity Manager. Für die Umsetzung und Implementierung suchte man mittels Ausschreibung einen passenden IAM-Partner. Aufgrund des guten Angebots, der überzeugenden Präsentation und der ausgewiesenen Expertise fiel die Wahl auf IPG.
Auftrag und Zielsetzung
Weniger Aufwand, mehr Sicherheit und ein reibungsloser Übergang
Der One Identity Manager (OneIM) sollte die bestehende IAM-Lösung auf Basis des Microsoft Forefront Identity Managers (FIM) ablösen. Mit einem einheitlichen und modernen Identity Management sollten die bisher vorhandenen Medienbrüche eliminiert und die Identitäten konsolidiert werden, mit dem Ziel, den Aufwand für die Nutzenden und die IT an der Hochschule zu reduzieren und die Sicherheit zu verbessern. Insbesondere sollte das IAM auch die Verwaltung der grossen Anzahl an Ein- und Austritten von Studierenden grundlegend vereinfachen.
Die Vorgabe war, die bestehenden Prozesse zur Verwaltung der Identitäten, Benutzerkonten und Berechtigungen in die neue Lösung zu übernehmen und zu erweitern. Zusätzlich sollten neue Geschäftsprozesse zur automatisierten Verwaltung der Identitäten, Benutzerkonten und Berechtigungen von Studierenden implementiert werden.
Das Projekt umfasste neben der Implementierung der Identitätsgeschäftsprozesse auch:
- die Beschaffung und Lizenzierung einer IAM-Lösung
- die Wartung, Pflege und Support der IAM-Lösung
- die Unterstützung der HSRM im Betrieb der IAM-Lösung
- die Schulung der IAM-Administratoren der HSRM
- den Early-Life-Support nach Inbetriebnahme der IAM-Lösung
Im Rahmen der Inbetriebnahme sollten auch die Bestandsdaten aus dem FIM übernommen werden, um einen reibungslosen Übergang zwischen dem FIM und der neuen IAM-Lösung zu gewährleisten.
Vorgehen und Methodik
Ohne Stolpersteine direkt vom Start ins Ziel
Bevor per Ausschreibung ein passender Partner gesucht wurde, formulierte das Team der HSRM die Ziele, erstellte eine detaillierte Bestandsaufnahme und identifizierte allfällige Stolpersteine, um diese von Anfang an möglichst aus dem Weg zu räumen. Mit IPG hatte man einen erfahrenen IAM-Anbieter an der Seite – die beste Voraussetzung, um das Projekt planmässig und professionell anzupacken und umzusetzen.
Zuerst erstellten IPG und HSRM auf Basis der zuvor definierten Anforderungen einen detaillierten Projektplan, unterteilten ihn in einzelne Aufgabenpakete und setzten diese unter Beachtung von Abhängigkeiten in eine sinnvolle Reihenfolge. Dann plante das Team durch präzise Abschätzungen der aus den Aufgaben entstehenden Zeitaufwände den Projektablauf. Zu Beginn des Projekts wurden die in der Ausschreibung gestellten Anforderungen in enger Zusammenarbeit weiter verfeinert und der Projektplan entsprechend angepasst.
Während der Implementierungsphase stellten regelmässige Tests die korrekte Umsetzung der Anforderungen und das Zusammenspiel der verschiedenen Komponenten sicher. Die Inbetriebnahme wurde mit einem detaillierten Drehbuch vorbereitet. Es beschrieb die notwendigen Schritte und Zuarbeiten sowie die Zuständigkeiten. Die Ablösung des FIM durch den OneIM, inklusive Übernahme der Bestandsdaten, sowie die Anbindung des Hochschulinformationssystems HISinOne als weitere Datenquelle wurden erfolgreich umgesetzt.
Herausforderungen
Restriktionen und Freiheiten unter einen Hut bringen
Der Bereich Verwaltung der HSRM ist stark reguliert, wohingegen einzelne Fachbereiche sehr frei arbeiten. Dennoch muss die Hochschule als Einheit funktionieren und alle Anforderungen und Wünsche sowie die Restriktionen und Freiheiten unter einen Hut bringen. Für das IAM-Projekt stellte dies eine Herausforderung dar. Dank der partnerschaftlichen Zusammenarbeit und einer offenen Kommunikation gelang es, diese zu meistern.
Auf Wunsch der HSRM wurde kurz vor Projektbeginn von einem gesamtheitlichen Projektplan auf mehrere getrennten Gewerke umgestellt. Dabei mussten gewerkübergreifende Abhängigkeiten aufgelöst und der Projektplan entsprechend angepasst werden. Als sich während der Umsetzung neue Erkenntnisse und Anforderungen ergaben, hat man diese gemeinsam spezifiziert, Lösungswege entwickelt und den Plan anhand der zusätzlichen technischen und personellen Ansprüche angepasst.
Über das Quellsystem HISinOne, aus dem die Identitätsdaten der Studierenden geliefert wurden, gab es keine Dokumentation der verwendeten Schnittstellen. Die Verantwortlichen bei der HSRM und die Experten der IPG haben auch diese Hürde gemeinsam gemeistert.
Ergebnis
Flexible Rollenvergabe durch zentrale Stelle
Was früher manuellen Aufwand generierte, wird heute automatisiert und zentral erledigt. Die Mitarbeitenden loggen sich schnell und sicher auf die freigegebenen Systeme ein. Zugriff beantragen, Antrag prüfen und genehmigen – dank der Implementierung von Schnittstellen erfolgt dies alles nun über ein einziges System. Einer Person können mehrere Identitäten zugeordnet werden, mühsames Ausloggen und neu Anmelden gehören der Vergangenheit an. Die Nutzenden können sich auf ihre Fachbereiche konzentrieren, der Aufwand für die IT-Abteilung hat sich deutlich reduziert.
Eine Schulung der IAM-Administratorinnen und -Administratoren sowie ausgewählter Anwendergruppen stellte sicher, dass die HSRM das IAM künftig selbstständig verwalten kann.
Einige Vorteile im Überblick:
- Verbesserte IT-Sicherheit
Einfache Beantragung und Genehmigung von Berechtigungen
Effizientere Arbeitsabläufe dank automatisierter Prozesse
Umfassende Kontrolle über Zugriffe und Berechtigungen
Schulung und Wissensvermittlung, erhöhte IAM-Kompetenz des Kunden
Eliminierung von Fehlerquellen
Kundenstimme
Nicht nur auf der professionellen Ebene war die Zusammenarbeit mit IPG eine Bereicherung – auch menschlich hat es einfach gepasst. Wir haben nicht als Auftraggeber und Auftragnehmer zusammengearbeitet, sondern als Partner auf Augenhöhe. Wir haben uns gegenseitig immer unterstützt und an einem Strang gezogen. Dass wir bezüglich IAM weiterhin mit IPG zusammenarbeiten werden, steht ausser Frage. Bei einem so wichtigen Projekt ist ein guter Partner an der Seite Gold wert. Die Wahrscheinlichkeit ist gross, dass wir auch bei anderen Projekten auf das Know-how und die Kompetenzen von IPG zählen werden.
Tamara SassCIOHochschule RheinMainDurch die besonderen Anforderungen einer Hochschule an die Identitätsprozesse, insbesondere die hohe Komplexität des Lifecycles der Studierenden, hat uns die Ablösung der bestehenden FIM-Lösung durch den One Identity Manager vor vielfältige Herausforderungen gestellt. Durch die hohe Flexibilität des One Identity Managers konnten wir diese Herausforderungen erfolgreich bewältigen: In enger Zusammenarbeit mit der HSRM haben wir massgeschneiderte Identitätsprozesse sowohl für Mitarbeiter als auch Studierende umgesetzt.
Norbert SabrowskyHead Technical Consulting GermanyIPGÜber die Hochschule RheinMain
Über 70 Studienangebote an zwei Studienorten mit einem internationalen Netzwerk – das ist die Hochschule RheinMain. Rund 12.300 Studierende studieren in den Fachbereichen Architektur und Bauingenieurwesen, Design Informatik Medien, Sozialwesen und Wiesbaden Business School in Wiesbaden sowie im Fachbereich Ingenieurwissenschaften in Rüsselsheim am Main. Neben der praxisorientierten Lehre ist die Hochschule RheinMain anerkannt für ihre anwendungsbezogene Forschung.