Kundenstory

Lösungen auf einen Blick

Konsolidierung der heterogenen IDP-Landschaft in eine gruppen- weite Lösung

Implementierung einer Federa- tion-Plattform auf Basis von Ping Identity für bis zu 17 Millionen Kunden

Konsequenter Einsatz von Industriestandards für einfache Integration

Einhaltung höchster Sicherheits- standards und regulatorischer Vorgaben

Die Nutzung von Identity Federation bei der Raiffeisen Bank International.

Die Zielsetzung

Die Raiffeisen Bank International (RBI) mit Sitz in Wien gehört mit ihren zwölf Netzwerkbanken (NWB) in Zentral- und Osteuropa zu den führenden Banken- gruppen des Kontinents. Als die NWBs in den frühen neunziger Jahren gegründet bzw. übernommen wurden, galt es, eine Reihe wichtiger Weichenstellungen vor- zunehmen: darunter auch, ob die Verantwortung über die IT-Infrastrukturen auf nationaler Ebene verbleiben oder zentralisiert werden sollte. Die Verantwort- lichen wählten mit Blick auf den hohen Integrationsaufwand und die heterogenen Landschaften die erste Option – und waren mit diesem Modell drei Jahrzehnte lang überaus erfolgreich. Doch in der digitalisierten Welt von heute zeigen sich immer mehr die Schattenseiten der nationalen IT-Lösungen: Gruppenweite In- novationsprojekte erfordern ein hohes Maß an Agilität, das durch die dezentrale Organisation oft nur schwer zu gewährleisten ist – und auch auf der Kostenseite macht sich die fehlende Standardisierung innerhalb der Gruppe bemerkbar, weil attraktive Einsparpotenziale nicht erschlossen werden können.

Die Herausforderung

Um die Weichen auf Zukunft zu stellen, treibt die RBI deshalb aktuell mit Nachdruck die Digitalisierung, Standardisierung und Konsolidierung ihrer IT voran, wie Yaron Zehavi, Customer IAM Product Owner bei der RBI, erklärt: „Unser strategisches Ziel ist es, für unsere Netzwerkbanken standardisierte Banking-Anwendungen zu entwickeln und zentralisiert als Service über alle Kanäle bereitzustellen. Die dafür erforderlichen, ebenfalls standardisierten APIs und Event-Streaming-Lösungen haben wir inzwischen gemeinsam implemen- tiert. Was uns aber lange Zeit fehlte, war eine durchgängige Identity- und Access- Management-Lösung, mit der sich Kunden sicher an den zentral bereitgestellten Anwendungen authentisieren und autorisieren können. Ohne eine solche Lösung musste jeder Dienst die IAM-Prozesse separat mit den NWBs aushandeln – was zu problematischen Identity-Silos und aufwändigen Integrationsprojekten führte.“

Die Lösung

Ping Identity, mit iC Consult implementiert

Die Suche nach einem geeigneten, unternehmensweiten Customer-IAM gestaltete sich alles andere als einfach: Immerhin galt es, die fragmentierte IT-Landschaft der zwölf NWBs mit ihren multiplen IDP-Lösungen – von OpenAM über GAAS bis hin zu Azure AAD – und ihrem bunten Mix an On-Prem- und Cloud-Topologien in einer einheitlichen Lösung zusammenzuführen. Diese sollte dabei nicht nur den strengen regulatorischen Vorgaben des europäischen Bankwesens genügen, sondern auch die von den Kunden geforderte Sicherheit und Usability bieten – und bei all dem als Cloud-basierter Service in der finalen Ausbaustufe auf bis zu 17 Millionen Benutzer skalierbar sein. Entsprechend umfangreich und detailliert war der Anforderungskatalog, mit dem Yaron Zehavi in die Marktevaluierung ging:

Die neue unternehmensweite IAM-Lösung sollte für alle Anwendungen einen bequemen Single-Sign-on mit hochsicherer Multifaktor-Authentisierung ermöglichen und dabei höchsten Sicherheitsstandards und allen regulatori- schen Vorgaben des europäischen Bankwesens genügen, am besten, ohne die vorhandenen Zugangsdaten der Kunden ablösen zu müssen.

Eines der Hauptziele des Projekts war es, den Integrationsaufwand beim Deployment neuer Banking-Anwendungen für die NWBs so weit wie mög- lich zu reduzieren. Dafür musste die Lösung mit den Infrastrukturen aller Netzwerkbanken uneingeschränkt kompatibel sein.

Die Lösung musste herausragende Ausfallsicherheit, Stabilität, Resilienz und Performance bei nahezu unbegrenzter Skalierbarkeit garantieren – immerhin würde ein Ausfall der IAM-Infrastruktur auch den Ausfall aller RBI-Dienste in sämtlichen Ländern bedeuten.

Die Autorisierung sollte über sichere, einheitliche Access Token in einem standardisierten Format erfolgen, um die Validierung der Token auf API-Ebene über die gesamte Gruppe hinweg zu vereinfachen.

Und schließlich, auf technischer Ebene: Das zentralisierte IAM sollte für agile Entwicklungsumgebungen ausgelegt sein und zeitgemäße CI-/CD-Verfahren unterstützen, um neue Funktionalitäten kontinuierlich testen und validieren zu können.

Der breite Anforderungskatalog war aber nicht die einzige Herausforderung – auch der Zeitplan des ambitionierten Integrationsprojekts war eng gesteckt. Yaron Zehavi erinnert sich: „Der Startschuss für das Customer-IAM fiel bei uns im Mai 2021, und unser Ziel war es, mit der neuen Lösung vier Monate später in den Live-Betrieb zu gehen. Daher entwickelten wir eine pragmatische und agile Roadmap: Wir entschieden uns, im ersten Schritt nur das kritische Thema Login-Security einschließlich der Authentisierung, der Identities und der Autorisierung anzugehen, und erst dann nach und nach die komplexeren Autorisierungsmetadaten einzubinden. In der dritten Phase gilt es dann, das Berechtigungshandling für Bankgeschäfte zu integrieren.“

Ping punktet mit starker Federation

Nach vielen Gesprächen und einer umfassenden Analyse des Marktes entschied sich die RBI, die neue Customer-IAM-Lösung auf der Basis der Produkte von Ping Identity zu realisieren. Die Cloud-basierte und hochverfügbare Kombination aus PingFederate und PingDirectory versprach, alle Anforderungen der Kunden abzubilden und überzeugte mit durchdachten Lösungen für den sicheren Login und das Handling der Berechtigungen.

Und noch eine zweite wichtige Weichenstellung nahm das RBI-Team in dieser Frühphase des Projekts vor: Angesichts der Integrationstiefe und des Integra- tionsaufwands entschied man sich, mit iC Consult ein externes Consulting-Team hinzuzuziehen, um die internen Identity-Experten im weiteren Projektverlauf als Ideen- und Impulsgeber zu unterstützen.

Anbindung von 60.000 Usern in zwei NWBs

Der Startschuss für die Umsetzung fiel Mitte 2021 mit der Implementierung der neuen IAM-Architektur und der Anbindung der ersten beiden NWBs. Um den strengen Vorgaben an die Sicherheit und Compliance der Lösung gerecht zu werden, implementierte das Projektteam dafür eine resiliente, skalierbare und hochverfügbare Multi-Cloud-Architektur, und hielt sich bei der IAM-Integration eng an die Best-Practice-Vorgaben für eine sichere OAuth 2.0- und OpenID Connect-Einführung. Die AWS-Funktionalitäten ELB (Elastic Load Balancing) und WAF (Web Application Firewall) sorgen für einen stabilen und sicheren Betrieb, und die Monitoring-Lösung Prometheus liefert lückenlose Transparenz über die Umgebung.

Sicherheit ohne Kompromisse

„Das Thema Sicherheit hat für uns als Finanzinstitut allerhöchste Priorität. Daher folgen wir bei der Integration und beim Betrieb der Architektur sehr streng den geltenden Best Practises für das AWS Cloud Deployment – und auch die Cookbooks von Ping Identity können wir uneingeschränkt als wertvolle Informationsquelle weiterempfehlen“, so Yaron Zehavi. „Darüber hinaus testen wir die Infrastruktur einmal pro Tag, nach jedem Deployment und stellen sie einmal jährlich bei einem Pen-Test auf die Probe. Als Mitglied der OpenID halten wir uns durchgehend über neue Drafts und Entwicklungen auf dem Laufenden.“

Nach dem Deployment ist vor dem Deployment

Um Ausfälle nach dem Rollout von Apps, Updates oder Changes zu verhindern, hat das Projektteam zusätzlich eine hoch performante Testumgebung eingerichtet, in der jede Änderung vor der Umsetzung rigoros getestet wird. Der Test-Stack – eine Demo-NWB-IDP mit einem Demo-Client – umfasst über 150 Testszenarien mit Client- und IDP-seitigen Errors und Grenzfällen und ermöglicht es der RBI, Umgebungen proaktiv und forensisch zu testen.

Die Bereitstellung neuer Funktionalitäten erfolgt agil nach den Prinzipien der Continuous Delivery. „Um die Geduld der Kunden nicht durch manuelle Updates zu strapazieren und das eigene Team auch nicht zu unnötigen Nachtschichten verpflichten zu müssen, werden die neuen Releases inzwischen automatisiert getestet, verifiziert und im laufenden Betrieb bereitgestellt“, erklärt Henrik Kroll, IAM Consultant bei iC Consult. „Das Verfahren funktioniert dabei so gut, dass die RBI ohne Qualitätsprobleme 3 Millionen Kunden betreuen kann, während die PingFederate- und PingDirectory-Pods neu hochgeladen werden. Das ist wirklich beeindruckend, und schafft bei der Planung der Deployments natürlich ganz neue Freiräume.“

Weichenstellung für die Zukunft

Ende 2021 ging die Ping-Lösung online, und inzwischen wurden auch die ersten beiden Banking-Anwendungen daran angebunden. Dabei erweis sich die föderierte Architektur vom ersten Tag an als äußerst intuitiv und flexibel, und etablierte sich innerhalb der Gruppe schnell als der De-Facto-Standard im Bereich Customer-Identity. Und auch auf Seiten der Kunden findet die Lösung viel Anklang: Diese schätzen dabei vor allem die verbesserte User-Experience, die es ihnen ermöglicht, die digitalen Angebote der RBI jederzeit und komfortabel zu nutzen – ohne neue Zugangsdaten, über die vertraute Oberfläche und in der jeweiligen Landessprache.

Ergebnisse

Mit der Implementierung von Ping Identity hat die RBI erfolgreich den Grundstein für die sichere und effiziente Bereitstellung von standardisierten Bankanwendungen für ihre zwölf Netzwerkbanken gelegt - unabhängig von den von ihnen verwendeten Identitätstechnologien und zu einem Bruchteil der Kosten, die bei der Entwicklung kundenspezifischer Integrationen angefallen wären.

Es überrascht nicht, dass die erste Analyse von Yaron Zehavi sehr positiv ausfällt: "Wir sind wirklich stolz, wenn eine neue NWB oder eine neue Bankanwendung in Betrieb geht und die ersten Kunden darauf zugreifen. Mit den Lösungen von Ping Identity und iC Consult als Partner haben wir ein solides Fundament für unsere zukünftige Identitätsstrategie gelegt - und wir freuen uns sehr darauf, dieses ehrgeizige und hochkarätige Modernisierungsprojekt gemeinsam erfolgreich abzuschließen."

Weitere Geschichten, die Ihnen gefallen werden

DB Schenker

DB Schenker hat sich für Ping Identity entschieden, um risikobasierte Multifaktor-Authentifizierung (MFA) zu implementieren und das Identitäts- und Zugriffsmanagement (IAM) zu konsolidieren. Hier erfahren Sie warum.

Lesen Sie die Story hier

Gett

Gett hat sich an Ping gewandt, um fünf verschiedene, sich entwickelnde Betrugsszenarien mit nur einer Lösung zu bewältigen.

Lesen Sie die Story hier

Gates

Gates nutzt die Anwendungen und Partnerschaften von Ping für die erfolgreiche Implementierung einer globalen Authentifizierungsinstanz auf internationaler Ebene.

Lesen Sie die Story hier

Flinks

Ping Identity und Simeio das Unternehmen Flinks bei der Gestaltung eines sicheren und skalierbaren Online-Banking-Erlebnisses für Finanzunternehmen und ihre Kunden unterstützen konnten.

Lesen Sie die Story hier

Wenn Ihnen gefällt, was Ping für Raiffeisen Bank International leisten konnte, können wir gerne darüber sprechen, was wir für Sie tun können

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

+1 877-898-2905

Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.