Herr Fontana, können Sie sich und das Projekt, das Sie zwischen Trianon und einem Unternehmen in der Region Lausanne koordiniert haben, kurz vorstellen?
Ich bin seit etwa zwölf Jahren Projektleiter (PMP) bei der Atos AG und arbeite bei den Kunden vor Ort, um die Umsetzung ihrer IT-Projekte zu koordinieren. Die Einführung von Single Sign-on (SSO) für die Trianon-Plattform war Teil eines allgemeinen Vorhabens, den Zugang zu allen im Unternehmen genutzten Cloud-Diensten sicherer zu gestalten.
Sie haben SSO (Single Sign-on) erwähnt. Können Sie es näher erklären?
Das SSO ist ein System, dank dem ein Benutzer sich nur einmal anmelden muss, um auf mehrere Plattformen zuzugreifen. Typischerweise meldet sich der oder die Mitarbeitende im Firmennetzwerk an und kann dann ohne weitere Anmeldevorgänge auf Dienste wie das EBC (Employee Benefits Center) zugreifen.
Die Technologie dahinter ist ein SAML-Protokoll. Der Cloud-Dienst «delegiert» die Authentifizierung über sein Active Directory an das Unternehmen. Der Benutzer braucht also nur mehr einen Benutzernamen und ein Passwort für alles.
Dank des SSO-Systems können Unternehmen bei Bedarf gezielt starke Authentifizierungsmethoden (2FA) anwenden (z. B. für HR-Verantwortliche) und zentral verwalten, wer Zugriff auf welche Plattform hat (die Deaktivierung des Firmenkontos blockiert auch gleich den Zugang zu den Cloud-Diensten).
Was sind die wichtigsten Gründe für die Einführung von SSO zwischen dem HRMS (Human Resources Management System) und der Online-Plattform Employee Benefits Center von Trianon?
Heutzutage nutzen Unternehmen immer öfter Cloud-Dienste im Rahmen ihrer täglichen Aktivitäten. Diese Plattformen können vertrauliche Informationen enthalten, insbesondere wenn es sich um HR-Lösungen handelt. Noch dazu nimmt das Risiko, dass solche Daten gestohlen oder veröffentlicht werden, in den letzten Jahren immer weiter zu (die Gemeinde Rolle ist dafür nur ein Beispiel).
Stellen Sie sich vor, das Konto eines HR-Verantwortlichen ist beeinträchtigt: Der Hacker bekommt darüber Zugang zu allen Daten aller Mitarbeitenden (Adressen, Telefonnummern, Bankdaten, Löhne usw.). Die Einführung von SSO erlaubt dem Unternehmen zu garantieren, dass der Zugang zu den Cloud-Diensten, die es verwendet, genauso sicher ist, wie jener auf die internen Anwendungen.
Wie ist dieses Projekt abgelaufen, insbesondere in Bezug auf die Kapazität und die Reaktivität der Teams von Trianon?
Die neue Version der EBC-Plattform von Trianon, mit der das SSO möglich ist, war noch in Entwicklung, als das Projekt des Kunden gestartet hat. Wir haben daher intensiv mit Trianon zusammengearbeitet. Nach ersten Gesprächen um abzuklären, was in Zukunft möglich sein soll (Integration mit Azure AD vs. ADFS), haben wir einen Test organisiert, um den Ansatz zu bestätigen, noch bevor die Validierungen vonseiten Trianon abgeschlossen waren. Nach dem Go-live der neuen Version des EBC hat Trianon vorübergehend einen SSO-Zugang aktiviert, damit wir die Einstellungen von Azure AD testen konnten (conditional access). Dank dieser Tests waren wir perfekt auf das Go-live des Kunden vorbereitet, welches dann auch ohne Unterbrechungen für die Benutzer stattfinden konnte.
Die Zusammenarbeit mit den Teams von Trianon war sehr angenehm. Die Experten von Trianon sind uns für alle technischen Fragen und Tests zur Verfügung gestanden. Aufseiten der Projektkoordination wurden die jeweiligen Zeitpläne angepasst, um auf die Einschränkungen des jeweils anderen Rücksicht zu nehmen.
Als Consultant haben Sie mit vielen unterschiedlichen Unternehmen zu tun. Was sind die wichtigsten Entwicklungsschritte der letzten Jahre in Bezug auf das Anmelden bei verschiedenen Systemen in einem Unternehmen – insbesondere aus der Perspektive der Benutzer?
Nach einer Phase, in der die Unternehmen zögerlich waren, von Cloud-Lösungen Gebrauch zu machen, gab es eine Trendwende, als die grossen Anbieter die Stabilität und Sicherheit ihrer Dienste verbessert hatten. Angesichts dessen, dass immer mehr lokale Konten für Cloud-Dienste erstellt werden müssen, ist das SSO ein erster Schritt, um den Benutzern den Zugriff auf die Unternehmensplattformen zu erleichtern. Aktuell bewegt sich der Trend hin zu einer föderierten Identität (Federated Identity Management), die die Verwaltung des Zugriffs eines Benutzers auf die Dienste von mehreren Unternehmen ermöglicht.
Eines der grössten Probleme ist derzeit, einen geeigneten Kompromiss zwischen Sicherheit und einfachem Zugang zu finden. Indem sie die Anzahl an Konten und an Authentifizierungsmethoden reduzieren (eine einzige Identität, die zentral bestätigt wird), bieten die oben genannten Ansätze einen Teil der Lösung dafür: Nach einer ersten, sehr sicheren Authentifizierung kann ganz einfach auf verschiedene Dienste zugegriffen werden.
Wir bedanken uns herzlich bei Herrn Fontana für die Beantwortung unserer Fragen sowie für die Umsetzung des Projekts.
Sie wollen mehr über unser Employee Benefits Center erfahren? Kontaktieren Sie uns für eine Demo unserer Kommunikationstools.