Wie ein Global Player in nur einem Jahr
zu einer neuen CIAM-Plattform kam

Die letzten beiden Jahre wurde von der iC Consult Group einiges an Energie, frischen Ideen und Ausdauer gefordert. So war 2019 ganz vom Aufbau einer neuen chinesischen CIAM-Plattform für einen der weltweit führenden Automobilkonzerne geprägt. Die in der Folge nötigen Migrationen beschäftigten uns weltweit auch 2020 noch. Was wir dabei alles erlebt haben und leisten konnten, haben Fabian Zoller (Teamleiter und Consultant), Thomas Kramer (Project Lead) und Heiko Klarl (Chief Marketing and Sales Officer) noch einmal gemeinsam rekapituliert.

Heiko: „Ein Premium-Automobilhersteller, ein Wirtschaftsriese wie China und gerade mal ein Jahr Zeit, um eine neue CIAM-Plattform von Grund auf auszubauen. Mal ehrlich, wie habt Ihr das eigentlich geschafft?“

Fabian:

Ja, das war schon ein ziemlicher Brocken. Aber es ist nun einmal so: Den ganzen Berg kennt man erst am Gipfel. Unabhängig davon war es von Anfang an eine spannende Aufgabe: Eine zentral gehostete Plattform aufteilen, regionalisieren und synchron in den Betrieb überführen. Dabei ging es anfangs nur darum, die kundeneigene, weltweit genutzte und in Deutschland gehostete CIAM-Plattform rechtlich kompatibel zu veränderten Vorschriften in China zu halten.

Heiko: „Weil es dort neue Datenschutzrichtlinien gab, oder?“

Fabian:

Richtig. Daten von chinesischen Bürgern dürfen seit ca. 2017 nicht mehr im Ausland gespeichert werden. Deshalb musste sich der Kunde vom zentralen System verabschieden und die persönlichen Daten in einem eigenen Directory in China vorhalten. Das hat rein technisch gut geklappt, verstärkte aber die bestehenden Perfomance-Schwankungen und Latenzen zusätzlich.

Heiko: „Kann ich mir vorstellen: Ein Nutzer in Beijing ruft eine App auf, die Anfrage geht nach Deutschland, dort werden IDs benötigt, die in Shanghai liegen und von dort wieder erneut nach Deutschland gesendet werden und so weiter …“

Fabian:

Eben, die Geduld der Nutzer so zu strapazieren, ist für ein global agierendes Unternehmen nicht akzeptabel. Da die Technik außerdem schon ein paar Jahre älter war, sollten wir das vorhandene System im Rahmen bestehender Bestellungen durch ein neues, dezentrales auf Basis modernster Technologien ersetzen.

Sie möchten Ihr IAM Projekt starten?

Unsere Experten beraten Sie gerne.

Thomas:

Konkret ging es um zwei regionale Zentren: eines in China für China und eines in Deutschland für EMEA sowie alle anderen Märkte. Als Basis wählten wir eine Managed Kubernetes Infrastruktur, die von der Hybrid Cloud des Kunden bereitgestellt wurde. Als Produkte setzten wir Lösungen von Ping Identity ein: PingAccess, PingFederate, PingDataSync und PingDirectory. Die Managed Kubernetes-Lösung realisierten wir mit Service Layers. Das ermöglichte es uns, sowohl Infrastruktur als auch Konfiguration als Code anzulegen und den sehr engen Zeitrahmen einzuhalten. Mit unserem Managed Service Angebot „Service Layers“ bieten wir unseren Kunden etwas wirklich Einzigartiges: IAM als Managed Service, mit weltweiter Verfügbarkeit und basierend auf marktführenden Produkten. Die Plattform kombiniert die Flexibilität von On-Premises-Produkten mit der Einfachheit von IDaaS und all das mit 100%iger Unterstützung für DevOps und agile Arbeitsmodelle. Wir bieten unseren Managed Service in der öffentlichen Cloud-Instanz des Kunden (“Bring your own Cloud”), in seinem Rechenzentrum oder gehostet in der öffentlichen Cloud von Service Layers an.

Heiko: „Vom Konzept bis zum stabil laufenden System in einem Jahr. Warum war der Zeitrahmen denn derart ambitioniert?“

Fabian:

Es kamen mehrere Faktoren zusammen. Zunächst einmal hatte China einen in Stein gemeißelten Termin vorgegeben, zu dem eine Reihe von Anwendung veröffentlicht werden sollten. Davon abgesehen ließ uns ein Konkurrenzteam, das parallel ein System entwickelte keinen Verhandlungsspielraum. Also haben wir getan, was wir konnten.

Thomas:

Wir nahmen es sportlich. Tatsächlich drehte sich für uns zunächst alles um den Aufbau bzw. die Zusammenführung eines neuen Teams beim Kunden. Auch eine entsprechende Wissensbasis musste dort erst einmal geschaffen werden. Und dann war da noch die Abstimmung zwischen all den involvierten Abteilungen. Diese arbeiten zwar selbst agil. Wegen des sehr breit aufgestellten Projektes, gab es aber mehrere Product Owner mit unterschiedlichen Priorisierungen. Zu Beginn bestand unsere Rolle oft im Vermitteln und dem Empfehlen von Alternativen, die für alle Beteiligten tragbar waren.

White Paper

IAM: Globalization & Large-Scale Enterprise

By Warwick Ashford, KuppingerCole

Fabian:

Dann war da auch noch das neu entwickelte chinesische Frontend. Die chinesischen Kollegen seitens des Kunden machten einen guten Job. Aber die Abstimmung, das Testen und das Bugfixing waren mitunter etwas schwierig. Auch weil teilweise noch Drittunternehmen mit eingebunden waren.

Heiko: „Für uns war das sicher nicht optimal. Aus Kundensicht ist diese Offenheit aber doch ein klarer Vorteil. Gerade wenn es später um kleinere Anpassungen durch Dienstleister vor Ort geht.“

Thomas:

Schon, schon. Es gab eben ein paar Punkte, deren Auswirkungen nicht allen von Anfang an klar waren. Wie etwa die ADA Anpassungen für den amerikanischen Markt. ADA ist der Americans with Disabilities Act. Der macht wirklich sehr strenge Vorgaben, was die Bedienbarkeit durch körperlich eingeschränkte Menschen betrifft. Und dann waren da auch noch die oft sehr dynamisch getroffenen Entscheidungen. Aber, hey, letzten Endes haben wir es geschafft.

Heiko: „Das eigentliche Go-live war dann aber auch noch mal eine Herausforderung, oder?“

Fabian:

Ja, natürlich. Schließlich mussten wir drei Instanzen synchronisieren und dabei alle jeweiligen rechtlichen Vorgaben erfüllen: das alte CIAM-System und beide regionalen Instanzen des neuen Systems in China und Deutschland. Und dann waren da auch noch die über 200 Applikationen, die in beiden Regionen migriert werden mussten. Darunter Schwergewichte wie die chinesische Universal-App WeChat mit mehreren Millionen integrierten Usern. Ich glaube, vor dem Go-live waren alle Beteiligten gleichermaßen nervös – bis hinauf in die Vorstandsebene, die das Projekt von Anfang an mit höchster Priorität vorangetrieben hatte.

Thomas:

Aber es hat geklappt. Für ein Projekt dieser Größe und angesichts des sehr ambitionierten Zeitrahmens gestaltete sich der Start ausgesprochen gut. Auch die folgenden Monate mit der Migration der Applikationen liefen weitgehend reibungslos. Die letzten paar werden Ende Q1 umgezogen sein, so dass dann das Altsystem abgeschaltet werden kann. Ein wirklich schöner Erfolg für alle drei Beteiligten: xdi360, iC Consult und Service Layers.

Heiko: „Und wo stehen wir heute? Wie geht’s weiter?“

Fabian:

Wir haben jetzt erst einmal ein solides, regionalisiertes CIAM an den Start gebracht. Der Umzug des Altsystems ist fast abgeschlossen. Jetzt wird es darum gehen, all die zukunftsorientierten Features zu realisieren, von denen die verschiedenen Stakeholder im Unternehmen schon lange träumen und die deutlich über die Funktionalität der nun abgelösten CIAM-Lösung hinausgehen.

Für den Kunden hat sich das Projekt auf ganzer Linie gelohnt. Erstens ist jetzt eine rechtskonforme Nutzung der chinesischen Anwenderdaten möglich. Zweitens profitieren alle Märkte von einem erheblich performanteren System. Und drittens lassen sich künftige Erweiterungen, zusätzliche Regionalisierungen oder Anpassungen an andere Marken dank unseres Ansatzes mit Service Layers mit minimalem Aufwand realisieren.

Doch, man kann schon sagen, dass wir da einen wirklich soliden Job hingelegt haben.

Webinar recording

Globalize Your IAM with Identity as a Service (IDaaS)

Watch now

Reference story

Siemens’ Journey to a State-Of-The-Art Authentication Platform

Read Story

Analyst Report: IAM Globalization & Large-Scale Enterprise

Get the Report

CIAM: A Guide for Global Success

Watch now