Die SENEC GmbH, ein führender deutscher Anbieter von intelligenten Stromspeichersystemen und Energielösungen, betreibt eine Reihe von internen und kundenorientierten Services wie SENEC.Cockpit, SENEC.Control und Mein SENEC.
Alle diese Dienste hatten ihre eigenen Authentifizierungs- und Autorisierungsmechanismen. Das führte zu:
- Stark fragmentierter Identitätsinfrastruktur mit sich überschneidenden Identitätsanbietern und -protokollen
- Doppeltem Aufwand bei der anwendungsübergreifenden Verwaltung der Zugriffskontrolle
- Erhöhtem Wartungsaufwand und Betriebskomplexität
- Inkonsistenter Benutzererfahrung und Schwierigkeiten bei der Skalierung von Sicherheitsrichtlinien
Unsere Lösung
Unravel entwickelte und implementierte eine zentralisierte, skalierbare IAM-Plattform, die Open-Source-Technologien und moderne Sicherheitspraktiken einsetzt. Die eingeführte Architektur:
Zentralisierte Authentifizierung mit Keycloak
- Keycloak wurde als zentraler Identitätsprovider (IdP) eingeführt und ersetzt damit die isolierten Authentifizierungslösungen.
- Integration mehrerer externer Identitätsquellen, einschließlich:
MEK IDP (benutzerdefinierter Unternehmens-IdP)
Azure Active Directory (für Microsoft 365 und internen Zugriff)
Mein SENEC (für Kundenlogins)
- Aktivierte OIDC- und SAML 2.0-Protokolle für einen nahtlosen Zusammenschluss
- Einsatz im Hochverfügbarkeits-Modus mit Session-Clustering und Datenbank-Failover für Ausfallsicherheit
- Unterstützung von Multi-Tenancy und Realm-basierter Segregation für verschiedene Benutzergruppen und Dienstgrenzen
Open Policy Agent (OPA) Autorisierung
- OPA wurde über Sidecar- und SDK-Integrationen in Anwendungen eingebettet
- Die Richtlinien wurden in Rego, der deklarativen OPA-Richtliniensprache verfasst.
- Ermöglichung zentralisierter Richtlinienverwaltung mit Versionskontrolle und Audit-Protokollierung
- Unterstützung von attributbasierter Zugriffskontrolle (ABAC) auf der Grundlage von Benutzerrollen, Anfragenkontext und Ressourcen-Metadaten
- Aus der Anwendungslogik ausgelagerte Richtlinienentscheidungspunkte (PDPs) zur Verbesserung der Wartbarkeit
Überwachung und Beobachtbarkeit
- Prometheus sammelte Metriken von IAM-Komponenten und benutzerdefinierten Diensten (z. B. Authentifizierungslatenz, Richtlinienbewertungszeiten, Login-Erfolgsraten)
- Integrierte Grafana-Dashboards lieferten Echtzeit-Visualisierungen von:
Login-Trends
Fehlgeschlagenen Authentifizierungen
Verteilung von Entscheidungen zu Richtlinien
Ressourcen-Zugriffsmuster
- OpsGenie ist mit Prometheus AlertManager verbunden, um in Echtzeit über Anomalien oder Ausfälle zu informieren und so schneller auf Vorfälle reagieren zu können.
Das Ergebnis
Die neu bereitgestellte IAM-Infrastruktur von SENEC:
- Nahtloses Single Sign-On (SSO) Erlebnis über alle Dienste hinweg, Verbesserung der Benutzeroberfläche für Kunden und Mitarbeiter
- Eine einheitliche, skalierbare IAM-Architektur, die den betrieblichen Aufwand reduziert
- Auf Zero Trust ausgerichtete Sicherheit mit zentraler Richtliniendurchsetzung und verbundenem Identitätsmanagement
- Verbesserte Sichtbarkeit und Reaktion auf Vorfälle durch zuverlässige Überwachung und Alarmierung
Dank dieser Umstellung ist SENEC in der Lage, sein Service-Ökosystem sicher zu skalieren und gleichzeitig die zentrale Kontrolle über die Zugriffs- und Sicherheitsrichtlinien zu behalten.