Die Herausforderung

Ein großer europäischer Telekommunikationsbetreiber betrieb ein veraltendes Identity-Management-System, das den Anforderungen eines modernen, multi-Entity-Unternehmens nicht mehr gerecht wurde.

Der Betreiber musste evaluieren, ob Evolveum midPoint sein veraltetes IAM-System ersetzen, den vollständigen Identitätslebenszyklus abdecken und sich sowohl mit bestehenden als auch modernen Systemen integrieren kann — ohne den laufenden Betrieb zu stören.

Was wir geliefert haben

In 5 Monaten lieferte ein 2-Personen-Team von WKI: ein Autorisierungskonzept als Ersatz für Excel-basiertes Zugriffsmanagement, Lebenszyklusautomatisierung für 6 Identitätstypen, 6 Unternehmenssystem-Integrationen einschließlich 2 maßgeschneiderter Konnektoren, ein Kubernetes-Deployment mit vollständigen CI/CD-Pipelines und strukturierten Wissenstransfer.

Autorisierungskonzept — Von Tabellenkalkulationen zu Richtlinien

Wir haben ein Autorisierungskonzept entworfen und implementiert, das das Excel-basierte Zugriffsmanagement vollständig ersetzte.

Wir haben eine strukturierte Rollenarchitektur in midPoint aufgebaut:

• Anwendungsrollen verknüpft mit dem realen Anwendungsinventar, einschließlich Geschäftskritikalitäts- und Risikoklassifizierung
• Berechtigungsrollen mit granularen Zugriffsrechten, abgeleitet aus Geschäftsregeln
• Geschäftsrollen die Berechtigungen in sinnvolle Bündel gruppieren
• Meta-Rollen die Voraussetzungen und Ausschlüsse zur Vermeidung toxischer Zugriffskombinationen durchsetzen (Funktionstrennung)

Zugriffsanfragen verlagerten sich von E-Mail-Ketten zu einem Self-Service-Rollenkatalog mit automatischer Weiterleitung durch Vorgesetztenfreigabe, Sicherheitsbeauftragten-Prüfung und Rolleneigner-Genehmigung.

Automatisierung des Identitätslebenszyklus

Wir haben Lebenszyklusmanagement für sechs verschiedene Identitätskategorien implementiert:

• Interne Mitarbeiter (mehrere Organisationseinheiten)
• Auftragnehmer (mehrere Organisationseinheiten)
• Externe Händler und Vertriebsmitarbeiter
• Maschinen- und Systemkonten

Bei Deaktivierung einer Identität werden alle Berechtigungszuweisungen automatisch über alle verbundenen Systeme entfernt. Keine manuelle Bereinigung, keine vergessenen Konten.

Integration von Unternehmenssystemen

Wir haben midPoint mit sechs Unternehmenssystemen verbunden:

Eingehend:

• Enterprise-HR-System — tägliche Synchronisation aller Mitarbeiter- und Organisationsdaten
• Autorisierungskonzept-Datenfeed — täglicher Import der Rollen-Berechtigungs-Zuordnung

Ausgehend:

• Unternehmensverzeichnis — Kontenprovisionierung und Zugriffskontrolle. Neues Application-Onboarding innerhalb von Minuten
• Entwicklungsplattform — automatisierte Benutzerprovisionierung
• Interne Asset-Management-Plattform — maßgeschneiderter Connector von Grund auf entwickelt
• Ticketing-System — automatisierte Ticketerstellung zur Nachverfolgung von Zugriffsänderungen

Kubernetes-natives Deployment mit vollständigem CI/CD

Die gesamte midPoint-Umgebung wurde auf Kubernetes mit einem vollständigen GitOps-Workflow bereitgestellt:

• Versionskontrollierte Konfiguration — die gesamte midPoint-Konfiguration in Git gespeichert
• Automatisierte CI/CD-Pipelines — Build-, Test- und Deploy-Automatisierung durch Entwicklungs-, Test- und Produktionsumgebungen
• Multi-Environment-Management — identischer Deployment-Prozess über alle Umgebungen mittels Helm-Charts
• Secrets-Management — Zugangsdaten und Zertifikate über einen dedizierten Vault verwaltet

Wissenstransfer

Während des gesamten Engagements führten wir strukturierte Schulungen durch. Am Ende hatte das Team des Betreibers volle Unabhängigkeit, die Plattform eigenständig zu betreiben und weiterzuentwickeln.