Kundenstory
Lösungen auf einen Blick
Konsolidierung der heterogenen IDP-Landschaft in eine gruppen- weite Lösung
Implementierung einer Federa- tion-Plattform auf Basis von Ping Identity für bis zu 17 Millionen Kunden |
Konsequenter Einsatz von Industriestandards für einfache Integration
Einhaltung höchster Sicherheits- standards und regulatorischer Vorgaben
Die Nutzung von Identity Federation bei der Raiffeisen Bank International.
Die Zielsetzung
Die Raiffeisen Bank International (RBI) mit Sitz in Wien gehört mit ihren zwölf Netzwerkbanken (NWB) in Zentral- und Osteuropa zu den führenden Banken- gruppen des Kontinents. Als die NWBs in den frühen neunziger Jahren gegründet bzw. übernommen wurden, galt es, eine Reihe wichtiger Weichenstellungen vor- zunehmen: darunter auch, ob die Verantwortung über die IT-Infrastrukturen auf nationaler Ebene verbleiben oder zentralisiert werden sollte. Die Verantwort- lichen wählten mit Blick auf den hohen Integrationsaufwand und die heterogenen Landschaften die erste Option – und waren mit diesem Modell drei Jahrzehnte lang überaus erfolgreich. Doch in der digitalisierten Welt von heute zeigen sich immer mehr die Schattenseiten der nationalen IT-Lösungen: Gruppenweite In- novationsprojekte erfordern ein hohes Maß an Agilität, das durch die dezentrale Organisation oft nur schwer zu gewährleisten ist – und auch auf der Kostenseite macht sich die fehlende Standardisierung innerhalb der Gruppe bemerkbar, weil attraktive Einsparpotenziale nicht erschlossen werden können.
Die Herausforderung
Um die Weichen auf Zukunft zu stellen, treibt die RBI deshalb aktuell mit Nachdruck die Digitalisierung, Standardisierung und Konsolidierung ihrer IT voran, wie Yaron Zehavi, Customer IAM Product Owner bei der RBI, erklärt: „Unser strategisches Ziel ist es, für unsere Netzwerkbanken standardisierte Banking-Anwendungen zu entwickeln und zentralisiert als Service über alle Kanäle bereitzustellen. Die dafür erforderlichen, ebenfalls standardisierten APIs und Event-Streaming-Lösungen haben wir inzwischen gemeinsam implemen- tiert. Was uns aber lange Zeit fehlte, war eine durchgängige Identity- und Access- Management-Lösung, mit der sich Kunden sicher an den zentral bereitgestellten Anwendungen authentisieren und autorisieren können. Ohne eine solche Lösung musste jeder Dienst die IAM-Prozesse separat mit den NWBs aushandeln – was zu problematischen Identity-Silos und aufwändigen Integrationsprojekten führte.“
Die Lösung
Ping Identity, mit iC Consult implementiert
Die Suche nach einem geeigneten, unternehmensweiten Customer-IAM gestaltete sich alles andere als einfach: Immerhin galt es, die fragmentierte IT-Landschaft der zwölf NWBs mit ihren multiplen IDP-Lösungen – von OpenAM über GAAS bis hin zu Azure AAD – und ihrem bunten Mix an On-Prem- und Cloud-Topologien in einer einheitlichen Lösung zusammenzuführen. Diese sollte dabei nicht nur den strengen regulatorischen Vorgaben des europäischen Bankwesens genügen, sondern auch die von den Kunden geforderte Sicherheit und Usability bieten – und bei all dem als Cloud-basierter Service in der finalen Ausbaustufe auf bis zu 17 Millionen Benutzer skalierbar sein. Entsprechend umfangreich und detailliert war der Anforderungskatalog, mit dem Yaron Zehavi in die Marktevaluierung ging:
Die neue unternehmensweite IAM-Lösung sollte für alle Anwendungen einen bequemen Single-Sign-on mit hochsicherer Multifaktor-Authentisierung ermöglichen und dabei höchsten Sicherheitsstandards und allen regulatori- schen Vorgaben des europäischen Bankwesens genügen, am besten, ohne die vorhandenen Zugangsdaten der Kunden ablösen zu müssen.
Eines der Hauptziele des Projekts war es, den Integrationsaufwand beim Deployment neuer Banking-Anwendungen für die NWBs so weit wie mög- lich zu reduzieren. Dafür musste die Lösung mit den Infrastrukturen aller Netzwerkbanken uneingeschränkt kompatibel sein.
Die Lösung musste herausragende Ausfallsicherheit, Stabilität, Resilienz und Performance bei nahezu unbegrenzter Skalierbarkeit garantieren – immerhin würde ein Ausfall der IAM-Infrastruktur auch den Ausfall aller RBI-Dienste in sämtlichen Ländern bedeuten.
Die Autorisierung sollte über sichere, einheitliche Access Token in einem standardisierten Format erfolgen, um die Validierung der Token auf API-Ebene über die gesamte Gruppe hinweg zu vereinfachen.
Und schließlich, auf technischer Ebene: Das zentralisierte IAM sollte für agile Entwicklungsumgebungen ausgelegt sein und zeitgemäße CI-/CD-Verfahren unterstützen, um neue Funktionalitäten kontinuierlich testen und validieren zu können.
Der breite Anforderungskatalog war aber nicht die einzige Herausforderung – auch der Zeitplan des ambitionierten Integrationsprojekts war eng gesteckt. Yaron Zehavi erinnert sich: „Der Startschuss für das Customer-IAM fiel bei uns im Mai 2021, und unser Ziel war es, mit der neuen Lösung vier Monate später in den Live-Betrieb zu gehen. Daher entwickelten wir eine pragmatische und agile Roadmap: Wir entschieden uns, im ersten Schritt nur das kritische Thema Login-Security einschließlich der Authentisierung, der Identities und der Autorisierung anzugehen, und erst dann nach und nach die komplexeren Autorisierungsmetadaten einzubinden. In der dritten Phase gilt es dann, das Berechtigungshandling für Bankgeschäfte zu integrieren.“
Ping punktet mit starker Federation
Nach vielen Gesprächen und einer umfassenden Analyse des Marktes entschied sich die RBI, die neue Customer-IAM-Lösung auf der Basis der Produkte von Ping Identity zu realisieren. Die Cloud-basierte und hochverfügbare Kombination aus PingFederate und PingDirectory versprach, alle Anforderungen der Kunden abzubilden und überzeugte mit durchdachten Lösungen für den sicheren Login und das Handling der Berechtigungen.
Und noch eine zweite wichtige Weichenstellung nahm das RBI-Team in dieser Frühphase des Projekts vor: Angesichts der Integrationstiefe und des Integra- tionsaufwands entschied man sich, mit iC Consult ein externes Consulting-Team hinzuzuziehen, um die internen Identity-Experten im weiteren Projektverlauf als Ideen- und Impulsgeber zu unterstützen.
Anbindung von 60.000 Usern in zwei NWBs
Der Startschuss für die Umsetzung fiel Mitte 2021 mit der Implementierung der neuen IAM-Architektur und der Anbindung der ersten beiden NWBs. Um den strengen Vorgaben an die Sicherheit und Compliance der Lösung gerecht zu werden, implementierte das Projektteam dafür eine resiliente, skalierbare und hochverfügbare Multi-Cloud-Architektur, und hielt sich bei der IAM-Integration eng an die Best-Practice-Vorgaben für eine sichere OAuth 2.0- und OpenID Connect-Einführung. Die AWS-Funktionalitäten ELB (Elastic Load Balancing) und WAF (Web Application Firewall) sorgen für einen stabilen und sicheren Betrieb, und die Monitoring-Lösung Prometheus liefert lückenlose Transparenz über die Umgebung.
Sicherheit ohne Kompromisse
„Das Thema Sicherheit hat für uns als Finanzinstitut allerhöchste Priorität. Daher folgen wir bei der Integration und beim Betrieb der Architektur sehr streng den geltenden Best Practises für das AWS Cloud Deployment – und auch die Cookbooks von Ping Identity können wir uneingeschränkt als wertvolle Informationsquelle weiterempfehlen“, so Yaron Zehavi. „Darüber hinaus testen wir die Infrastruktur einmal pro Tag, nach jedem Deployment und stellen sie einmal jährlich bei einem Pen-Test auf die Probe. Als Mitglied der OpenID halten wir uns durchgehend über neue Drafts und Entwicklungen auf dem Laufenden.“
Nach dem Deployment ist vor dem Deployment
Um Ausfälle nach dem Rollout von Apps, Updates oder Changes zu verhindern, hat das Projektteam zusätzlich eine hoch performante Testumgebung eingerichtet, in der jede Änderung vor der Umsetzung rigoros getestet wird. Der Test-Stack – eine Demo-NWB-IDP mit einem Demo-Client – umfasst über 150 Testszenarien mit Client- und IDP-seitigen Errors und Grenzfällen und ermöglicht es der RBI, Umgebungen proaktiv und forensisch zu testen.
Die Bereitstellung neuer Funktionalitäten erfolgt agil nach den Prinzipien der Continuous Delivery. „Um die Geduld der Kunden nicht durch manuelle Updates zu strapazieren und das eigene Team auch nicht zu unnötigen Nachtschichten verpflichten zu müssen, werden die neuen Releases inzwischen automatisiert getestet, verifiziert und im laufenden Betrieb bereitgestellt“, erklärt Henrik Kroll, IAM Consultant bei iC Consult. „Das Verfahren funktioniert dabei so gut, dass die RBI ohne Qualitätsprobleme 3 Millionen Kunden betreuen kann, während die PingFederate- und PingDirectory-Pods neu hochgeladen werden. Das ist wirklich beeindruckend, und schafft bei der Planung der Deployments natürlich ganz neue Freiräume.“
Weichenstellung für die Zukunft
Ende 2021 ging die Ping-Lösung online, und inzwischen wurden auch die ersten beiden Banking-Anwendungen daran angebunden. Dabei erweis sich die föderierte Architektur vom ersten Tag an als äußerst intuitiv und flexibel, und etablierte sich innerhalb der Gruppe schnell als der De-Facto-Standard im Bereich Customer-Identity. Und auch auf Seiten der Kunden findet die Lösung viel Anklang: Diese schätzen dabei vor allem die verbesserte User-Experience, die es ihnen ermöglicht, die digitalen Angebote der RBI jederzeit und komfortabel zu nutzen – ohne neue Zugangsdaten, über die vertraute Oberfläche und in der jeweiligen Landessprache.
Ergebnisse
Mit der Implementierung von Ping Identity hat die RBI erfolgreich den Grundstein für die sichere und effiziente Bereitstellung von standardisierten Bankanwendungen für ihre zwölf Netzwerkbanken gelegt - unabhängig von den von ihnen verwendeten Identitätstechnologien und zu einem Bruchteil der Kosten, die bei der Entwicklung kundenspezifischer Integrationen angefallen wären.
Es überrascht nicht, dass die erste Analyse von Yaron Zehavi sehr positiv ausfällt: "Wir sind wirklich stolz, wenn eine neue NWB oder eine neue Bankanwendung in Betrieb geht und die ersten Kunden darauf zugreifen. Mit den Lösungen von Ping Identity und iC Consult als Partner haben wir ein solides Fundament für unsere zukünftige Identitätsstrategie gelegt - und wir freuen uns sehr darauf, dieses ehrgeizige und hochkarätige Modernisierungsprojekt gemeinsam erfolgreich abzuschließen."
Weitere Geschichten, die Ihnen gefallen werden
DB Schenker
DB Schenker hat sich für Ping Identity entschieden, um risikobasierte Multifaktor-Authentifizierung (MFA) zu implementieren und das Identitäts- und Zugriffsmanagement (IAM) zu konsolidieren. Hier erfahren Sie warum.
Gates
Gates nutzt die Anwendungen und Partnerschaften von Ping für die erfolgreiche Implementierung einer globalen Authentifizierungsinstanz auf internationaler Ebene.
Flinks
Ping Identity und Simeio das Unternehmen Flinks bei der Gestaltung eines sicheren und skalierbaren Online-Banking-Erlebnisses für Finanzunternehmen und ihre Kunden unterstützen konnten.
Wenn Ihnen gefällt, was Ping für Raiffeisen Bank International leisten konnte, können wir gerne darüber sprechen, was wir für Sie tun können
Starten Sie jetzt
Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.
