Eine zentrale
IAM-Lösung
für die Hochschule RheinMain
 

Mit rund 12 300 Studierenden an vier Standorten, mehr als 1.100 Beschäftigten, darunter etwa 260 Professorinnen und Professoren, und einer Vielzahl externen Dienstleistern, sind die Ansprüche der Hochschule RheinMain (HSRM) an die IT hoch. Aufgrund der rasanten technologischen Entwicklung, muss sie laufend den aktuellen Begebenheiten angepasst werden. Das Ziel des 50-köpfigen IT-Teams unter der Leitung von CIO Tamara Sass ist es, den stetigen Paradigmenwechsel eng zu begleiten und allen Involvierten einen ausgezeichneten Service zu bieten. Ein einfacher und sicherer Zugriff auf die Systeme gehört dazu. 

Bis anhin gestalteten sich die Vergabe von Identitäten und Berechtigungen aufwendig und das Einloggen für die Nutzerinnen und Nutzer zeitraubend: Es existierten viele einzelne Systeme und Datenbanken, für deren Zugriff man sich immer wieder aufs Neue identifizieren und anmelden musste. Identitäten und Rechte wurden durch verschiedene dezentrale Stellen verwaltet. Für Tamara Sass war klar: Dies entsprach nicht mehr dem heutigen Standard und den hohen Sicherheitsanforderungen einer öffentlichen Hochschule. Es brauchte eine zentral geführte Identity- und Access-Management-Lösung (IAM).

Gemeinsam mit Experten und Partnern prüften die Verantwortlichen bei der HSRM mehrere Lösungen und entschieden sich für One Identity Manager. Für die Umsetzung und Implementierung suchte man mittels Ausschreibung einen passenden IAM-Partner. Aufgrund des guten Angebots, der überzeugenden Präsentation und der ausgewiesenen Expertise fiel die Wahl auf IPG.

Der One Identity Manager (OneIM) sollte die bestehende IAM-Lösung auf Basis des Microsoft Forefront Identity Managers (FIM) ablösen. Mit einem einheitlichen und modernen Identity Management sollten die bisher vorhandenen Medienbrüche eliminiert und die Identitäten konsolidiert werden, mit dem Ziel, den Aufwand für die Nutzenden und die IT an der Hochschule zu reduzieren und die Sicherheit zu verbessern. Insbesondere sollte das IAM auch die Verwaltung der grossen Anzahl an Ein- und Austritten von Studierenden grundlegend vereinfachen. 

Die Vorgabe war, die bestehenden Prozesse zur Verwaltung der Identitäten, Benutzerkonten und Berechtigungen in die neue Lösung zu übernehmen und zu erweitern. Zusätzlich sollten neue Geschäftsprozesse zur automatisierten Verwaltung der Identitäten, Benutzerkonten und Berechtigungen von Studierenden implementiert werden. 

Das Projekt umfasste neben der Implementierung der Identitätsgeschäftsprozesse auch: 

• die Beschaffung und Lizenzierung einer IAM-Lösung 
• die Wartung, Pflege und Support der IAM-Lösung 
• die Unterstützung der HSRM im Betrieb der IAM-Lösung 
• die Schulung der IAM-Administratoren der HSRM 
• den Early-Life-Support nach Inbetriebnahme der IAM-Lösung 

Im Rahmen der Inbetriebnahme sollten auch die Bestandsdaten aus dem FIM übernommen werden, um einen reibungslosen Übergang zwischen dem FIM und der neuen IAM-Lösung zu gewährleisten. 

Bevor per Ausschreibung ein passender Partner gesucht wurde, formulierte das Team der HSRM die Ziele, erstellte eine detaillierte Bestandsaufnahme und identifizierte allfällige Stolpersteine, um diese von Anfang an möglichst aus dem Weg zu räumen. Mit IPG hatte man einen erfahrenen IAM-Anbieter an der Seite – die beste Voraussetzung, um das Projekt planmässig und professionell anzupacken und umzusetzen.  

Zuerst erstellten IPG und HSRM auf Basis der zuvor definierten Anforderungen einen detaillierten Projektplan, unterteilten ihn in einzelne Aufgabenpakete und setzten diese unter Beachtung von Abhängigkeiten in eine sinnvolle Reihenfolge. Dann plante das Team durch präzise Abschätzungen der aus den Aufgaben entstehenden Zeitaufwände den Projektablauf. Zu Beginn des Projekts wurden die in der Ausschreibung gestellten Anforderungen in enger Zusammenarbeit weiter verfeinert und der Projektplan entsprechend angepasst. 

Während der Implementierungsphase stellten regelmässige Tests die korrekte Umsetzung der Anforderungen und das Zusammenspiel der verschiedenen Komponenten sicher. Die Inbetriebnahme wurde mit einem detaillierten Drehbuch vorbereitet. Es beschrieb die notwendigen Schritte und Zuarbeiten sowie die Zuständigkeiten. Die Ablösung des FIM durch den OneIM, inklusive Übernahme der Bestandsdaten, sowie die Anbindung des Hochschulinformationssystems HISinOne als weitere Datenquelle wurden erfolgreich umgesetzt. 

Der Bereich Verwaltung der HSRM ist stark reguliert, wohingegen einzelne Fachbereiche sehr frei arbeiten. Dennoch muss die Hochschule als Einheit funktionieren und alle Anforderungen und Wünsche sowie die Restriktionen und Freiheiten unter einen Hut bringen. Für das IAM-Projekt stellte dies eine Herausforderung dar. Dank der partnerschaftlichen Zusammenarbeit und einer offenen Kommunikation gelang es, diese zu meistern.  

Auf Wunsch der HSRM wurde kurz vor Projektbeginn von einem gesamtheitlichen Projektplan auf mehrere getrennten Gewerke umgestellt. Dabei mussten gewerkübergreifende Abhängigkeiten aufgelöst und der Projektplan entsprechend angepasst werden. Als sich während der Umsetzung neue Erkenntnisse und Anforderungen ergaben, hat man diese gemeinsam spezifiziert, Lösungswege entwickelt und den Plan anhand der zusätzlichen technischen und personellen Ansprüche angepasst. 

Über das Quellsystem HISinOne, aus dem die Identitätsdaten der Studierenden geliefert wurden, gab es keine Dokumentation der verwendeten Schnittstellen. Die Verantwortlichen bei der HSRM und die Experten der IPG haben auch diese Hürde gemeinsam gemeistert. 

Was früher manuellen Aufwand generierte, wird heute automatisiert und zentral erledigt. Die Mitarbeitenden loggen sich schnell und sicher auf die freigegebenen Systeme ein. Zugriff beantragen, Antrag prüfen und genehmigen – dank der Implementierung von Schnittstellen erfolgt dies alles nun über ein einziges System. Einer Person können mehrere Identitäten zugeordnet werden, mühsames Ausloggen und neu Anmelden gehören der Vergangenheit an. Die Nutzenden können sich auf ihre Fachbereiche konzentrieren, der Aufwand für die IT-Abteilung hat sich deutlich reduziert.  

Eine Schulung der IAM-Administratorinnen und -Administratoren sowie ausgewählter Anwendergruppen stellte sicher, dass die HSRM das IAM künftig selbstständig verwalten kann. 

Einige Vorteile im Überblick: 

• Verbesserte IT-Sicherheit 

• Einfache Beantragung und Genehmigung von Berechtigungen 

• Effizientere Arbeitsabläufe dank automatisierter Prozesse 

• Umfassende Kontrolle über Zugriffe und Berechtigungen 

• Schulung und Wissensvermittlung, erhöhte IAM-Kompetenz des Kunden 

• Eliminierung von Fehlerquellen