Branche: Pharma und Krankenhäuser
Produkte: IAM
Haas Automation, Inc.
- Regelbasiert automatisiert dank IAM und HelloID
- Menschen verbinden und Daten schützen bei Haas Automation, Inc.
- Haas, Inc. überarbeitet die Unternehmens-IT mit einem modernen Identity und Access Management von Tools4ever
Haas Automation, Inc. ist ein privates Industrieunternehmen mit Sitz in Oxnard, Kalifornien und produziert seit 1983 eine breite Auswahl an CNC-Werkzeugmaschinen. Derzeit hat das Unternehmen 1.500 Mitarbeiter und 170 Vertriebsstellen weltweit. Als ein Spitzenreiter bei der Herstellung von Werkzeugmaschinen ist Haas allerdings auf eine besonders effektive IT-Infrastruktur angewiesen. Denn es gilt nicht nur Mitarbeitern den Zugang zu allen wichtigen Daten und Systemen zu ermöglichen, sondern diese Daten und Systeme auch zu schützen. Bisher erfolgte die Benutzerverwaltung jedoch manuell, wie beispielsweise die Vergabe von Passwörtern. „Unser Helpdesk erstellte Passwörter manuell, die nach dem ersten Login abgelaufen sind. Sie wurden per E-Mail an die User geschickt. Dieser Prozess war aber vor allem im Jahr 2020 nicht mehr haltbar, als ein Großteil der User von zu Hause gearbeitet hat“, erklärt Mike Schilling, System Engineer II bei Haas. Also entschließt sich das Unternehmen dazu, nach einer Lösung zu suchen.
Fündig wird es bei Tools4ever, einem internationalen Spezialisten für Identity und Access Management. Gemeinsam fällt die Entscheidung, zunächst ein Pilotprojet durchzuführen, das schnelle Erfolge liefert.
„Wir wollten mit einem Unternehmen zusammenarbeiten, das unsere Bedürfnisse versteht und uns dabei helfen kann, die passenden Lösungen für unsere Größe, Industrie und Unternehmenskultur zu finden“
Vincent Cacaro, SAP Security Lead bei Haas Automation, Inc.
Der Start
Die Startphase beginnt mit Identitäts- und Zugriffsmanagement, Single Sign-On und Passwortmanagement. Aber wie bei den meisten Unternehmen findet das Team schnell weitere Lücken, Probleme und Frustrationen – als größte Herausforderung stellt sich die Automatisierung des User Lifecycles dar. Sowohl die IT- als auch die Personalabteilung stolpern regelmäßig über die manuelle Erstellung von Konten für neue Mitarbeiter und Auftragnehmer. Wie Cacaro berichtet, sind sich die beiden Abteilungen oft nicht einig darüber, „wer wo arbeitet, wann er anfängt oder aufhört oder wer der Manager ist“. Und: Sobald neue Konten erstellt sind, gibt es es keine sichere Möglichkeit, Benutzernamen und Passwörter weiterzugeben.
Um das Problem anzugehen, entscheidet sich Haas für eine schrittweise Einführung von IAM von Tools4ever. Man will mit kleinen, schnellen Erfolgen beginnen und von dort aus aufbauen.
Sich die Füße nass machen
Ken Shannon, IT-Infrastruktur- und Sicherheitsmanager bei Haas, bereitet mit einem Team engagierter Mitarbeiter aus verschiedenen Abteilungen den Weg. Der zuständige Tools4ever Berater James Anderson gibt den Startschuss für das Projekt. Er setzt einen zweiwöchentlichen gemeinsamen Dialog an – daraus entwickelt sich die gemeinsame Aufgabenliste.
Haas beginnt klein und erst einmal mit der Synchronisierung von Passwörtern. Warum: Mehrere Instanzen in der SAP-Umgebung von Haas verfolgen die Änderungen der AD-Anmeldedaten nicht. Die Entwickler müssen sich bei diesen Systemen manuell anmelden, was für die SAP-Administratoren einen Haufen lästiger Reset-Tickets bedeutet. James macht dem ein Ende! Nach einer schnellen Implementierung beginnt der Password Synchronization Manager (PSM) von Tools4ever, alle Änderungen der AD-Anmeldedaten zu erfassen. Er synchronisiert sie automatisch mit allen SAP-Systemen. Dies führt zu einer sofortigen Zeitersparnis.
Nicht nur Spaß und Spiel
Nachdem PSM eingerichtet ist, wendet sich das Team der Bereitstellung von Benutzerverzeichnissen über IAM zu, der Vor-Ort-Lösung von Tools4ever. Nun… fast.
Die erste Regel bei der Benutzerbereitstellung lautet: „Garbage in, garbage out“. Nach Jahren des Unternehmenswachstums und wechselnder Prozesse sind die Personaldaten von Haas fragmentiert.
Das Unternehmen nutzt die Gelegenheit, um mit der Einführung von IAM seine Systeme zukunftssicher zu machen. Das bedeutete einen tiefen Einblick in die Personaldaten in SAP. Haas aktualisiert alles und fegt die Spinnweben weg. Die Abteilungsstrukturen und Unterstrukturen werden feinjustiert – und das regelbasiert. Dies ist ein wichtiger Schlüssel zum Erfolg. Es stellt sicher, dass IAM jeden einzelnen Mitarbeiter, unabhängig von seiner Position, korrekt bereitstellen kann.
Nach der Datenbereinigung beginnt James mit der IAM-Implementierung. Er richtet ein automatisches Provisioning aller Mitarbeiter in einem einzigen Verzeichnissystem ein – in diesem Fall Active Directory.
In dieser Phase ist die volle Zustimmung der Personalabteilung erforderlich. Vincent Cacaro dazu: „Ohne ihre Beteiligung und Flexibilität wäre das alles nicht möglich gewesen.“ Kim Reed, IT-Ausbilderin und Dokumentationsspezialistin bei Haas, fügt hinzu: „Die Personalabteilung als zentrale Anlaufstelle für das Onboarding und Offboarding gibt uns eine bessere Kontrolle darüber, wer Zugriff hat. Die manuellen Prozesse zur Erstellung von Benutzerkonten oder zur Deaktivierung gekündigter Benutzer entfallen. Durch die Verwendung von SAP als Datensatzsystem werden auch Fehler vermieden, die nach der Kontoerstellung korrigiert werden müssen.“
Pause für Password Reset
Nachdem alle Mitarbeiter von SAP in AD provisioniert wurden, kann Haas den Self-Service Reset Password Manager (SSRPM) von Tools4ever einbinden. Das Unternehmen benötigt ein Webportal, das für alle Mitarbeiter, überall, jederzeit und auf jedem Gerät funktioniert – auch für Mitarbeiter, die keinen eigenen Arbeitsplatz haben.
James macht die Aufgabe zur Chefsache und erledigt sie schnell. Nach der Einrichtung von IAM ist es ein Leichtes, SSRPM einzuschalten. Der Passwort-Self-Service ist sofort verfügbar. Das IT-Supportteam kann nun Anrufe zum Zurücksetzen von Passwörtern an die Selbstbedienungslösung weiterleiten. Noch besser: Mit dem Modul Account Claiming von SSRPM erhält Haas eine neue, sichere Methode zur Verteilung von Konten. Wenn nun ein neuer AD-Benutzer von SAP aus bereitgestellt wird, erstellt SSRPM einen sicheren Link zur Beantragung eines Kontos. Neue Mitarbeiter können diesen Link einfach nutzen, um ihr Konto zu beantragen, ihr eigenes Passwort festzulegen und sich für das Reset-Tool anzumelden. Die IT wird entlastet.
Laut Mike Schilling, System Engineer II, war dies eine komplette Umkehrung des ursprünglichen Prozesses. Zuvor „erstellte der Helpdesk manuell ein Passwort, das nach der ersten Anmeldung ablief. Sie schickten es per E-Mail an den Benutzer. Dieser Prozess war aus heutiger Sicht nicht mehr tragbar, insbesondere weil in der Coronazeit die meisten unserer Benutzer von zu Hause aus arbeiteten. SSRPM, ähnlich wie IAM, hätte zu keinem besseren Zeitpunkt kommen können.“
James freut sich über die Entwicklung: „Es ist einfach scön zu hören, wie das Team in unseren Meetings darüber diskutiert, dass sie die neuen Tools nutzen, ihnen vertrauen und sie einfach funktionieren!“
„Der Helpdesk erstellt manuell ein Passwort, das nach der ersten Anmeldung ablief. Sie schickten es per E-Mail an den Benutzer. Dieser Prozess war nicht haltbar, insbesondere im letzten Jahr, als die meisten unserer Benutzer von zu Hause aus arbeiteten. SSRPM, ähnlich wie IAM, hätte zu keinem besseren Zeitpunkt kommen können.“
Mike Schilling, System Engineer II at Haas Automation, Inc.
Leichteres Onboarding? Dafür gibt es eine regelbasierte Logik
Der nächste Schritt ist die Entwicklung einer Logik für die Bereitstellung von Konten für die wichtigsten Zielsysteme von Haas – Exchange und eine Handvoll SAP-Ziele.
„Exchange ist einfach“, erklärt James. „Wir stellen einfach Regeln auf, die festlegen, wer ein Postfach erhält.“ SAP ist schwieriger. „Wir haben innerhalb von IAM eine Konnektorlogik entwickelt, die wir für mehrere SAP-Ziele wiederverwenden können. Jeder Mitarbeiter benötigt Zugang zu einer anderen Gruppe von Zielen.“ Das Ziel ist es, zukunftssichere Regeln zu erstellen, damit das Team von Haas selbständig neue SAP-Ziele hinzufügen und neue Auslöser definieren kann.
James arbeitet mit den SAP-Administratoren und Entwicklern von Haas zusammen, um eine Handvoll weiterer Funktionen anzupassen. Er kombiniert sein IAM-Fachwissen mit dem Fachwissen des Teams über die lokale IT-Umgebung von Haas. Gemeinsam nehmen sie Details in Angriff, darunter benutzerdefinierte Benutzerfelder und Wiederanmeldungsabläufe.
Pause für Principle of Least Privilege
Bevor die IAM-Implementierung abgeschlossen wird, unterstützt Tools4ever Haas bei einer internen Zugriffsprüfung. Dies ermöglicht eine saubere Zuordnung von Abteilungen zu Dateifreigaben. Außerdem wird damit die Grundlage für ein unternehmensweites Access-Governance-Modell geschaffen. Mit diesem Schritt wird sichergestellt, dass der gesamte Zugriff rollenabhängig ist, und der Anhäufung von Ressourcen und der schleichenden Ausweitung von Berechtigungen ein Ende gesetzt wird.
Letzter Schritt – Single Sign-On
Nachdem die Benutzer nun automatisch in AD und allen Zielanwendungen bereitgestellt werden, besteht der letzte Schritt in der Implementierung von Single Sign-On (SSO) über das HelloID Access Management-Modul von Tools4ever. HelloID ermöglicht den Zugriff auf alle Anwendungen von Haas, wie Jira, SAP, UltiPro, DocuSign und andere, mit einem Klick. Und dank der bedingten Zugriffsrichtlinien können sich Benutzer auf internen IPs ohne jegliche Anmeldung authentifizieren.
Darüber hinaus hat James das Service Automation-Modul von HelloID implementiert, um IT-Mitarbeiter beim Hinzufügen und Entfernen von Benutzern aus AD-Gruppen zu unterstützen. Für die Zukunft plant Haas, die Genehmigungsworkflows von Service Automation für die BYOD-Automatisierung zu nutzen.
Für den letzten Schliff integriert James das Passwort-Rücksetzungs-Widget von SSRPM in das HelloID-Dashboard. Das Team hat interne und externe Anwendungen farblich gekennzeichnet, eine schnelle und einfache Funktion für die Endbenutzer.
Die Ergebnisse
Die schrittweise Einführung des neuen Identity und Accessmanagements von Tools4ever bedeutet für Haas einen Paradigmenwechsel in der IT. Dieser war nur umsetzbar dank eines fantastischen Teams bei Haas. Alle haben ihre Arbeit ernst genommen und alle waren aufgeschlossen und neugierig. „Das Team war offen dafür, über Prozesse zu sprechen und nach Ideen, Anregungen oder Verbesserungen für die Zukunft zu fragen“, erinnert sich James. Ihre ausgezeichnete Kommunikation trug zum Erfolg des Projekts bei.
Infolgedessen ist Haas jetzt bei allen IT- und HR-Personalaufgaben effizienter. Die Ressourcen werden schnell verteilt. Die Benutzerakzeptanz ist gestiegen. Das Auditing ist einfacher. Die Verwaltung des Benutzerlebenszyklus ist vollständig automatisiert. Und es gibt viel weniger Sicherheitsrisiken.
„Wir haben die manuelle Dateneingabe abgeschafft. Tabellenkalkulationen, Post-it-Notizen, Erinnerungen…“, sagt Vince Cacaro. „Der Zeitaufwand für das Onboarding/Offboarding beträgt wahrscheinlich nur noch 25 % des früheren Zeitaufwands – mit dem zusätzlichen Vorteil, dass er korrekt ist.“
Ken Shannon erinnert sich: „Vor der Implementierung von IAM und HelloID kämpften wir mit dem Arbeitsaufwand und der Genauigkeit der manuellen Erstellung und Verwaltung von Konten in all unseren On-Premise- und Cloud-Systemen. Ich hatte in Erwägung gezogen, eigenes Personal einzustellen, um die wachsende Arbeitslast zu bewältigen. Aber diese Bedenken sind jetzt vom Tisch. Unser Team kann sich auf einen besseren Support für unsere Endbenutzer konzentrieren.“ Kim Reed fügt hinzu: „Da alle unsere Mitarbeiter mit AD arbeiten, können wir uns anderen Lösungen zuwenden, wie z. B. Learning Management für unsere zukünftigen Schulungskampagnen.“
Mit Blick auf die ungewöhnlichen Ereignisse des Jahres 2020 sagt Schilling: „Wir haben erlebt, dass viele Benutzer beurlaubt wurden und dann zurückkehrten. IAM hat uns unzählige Stunden in der Benutzerverwaltung erspart. Der Zeitpunkt für die Einführung hätte nicht besser gewählt werden können.“
Vorteile
- Schrittweise Einführung mit schnellen Erfolgen dank Modularität
- Klare Regeln sorgen dafür, dass alle User nur die Zugriffsberechtigungen erhalten, die sie brauchen
- Self-Service eliminiert die Ticket-Flut: User können selbstständig ein Passwort zurücksetzen
- Maßgeschneiderte Lösungen und ein schneller Service vermeiden eine langwierige Implementierung
- Mit Single Sign-on können sich Mitarbeiter mit nur einem Klick auf ihren Geräten anmelden
Tools4ever Informatik GmbH
Hauptstraße 145-147
51465 Bergisch Gladbach
Deutschland
Phone: +49 2202 2859-0
Email: [email protected]