Die meisten Marketing-Experten, Auto-Enthusiasten und Stickersammler sind sich wahrscheinlich nicht bewusst, dass sie Stan Avery und Dorothy Durfee Avery zu Dank verpflichtet sind. In den 1930er Jahren, als Stan und Dorothy noch verlobt waren, lieh Dorothy Stan 100 Dollar. Mit diesem Geld war Stan in der Lage, das weltweit erste Selbstklebeetikett zu erfinden und herzustellen. Das Paar gründete damals gemeinsam ein Unternehmen, um dieses neue Produkt zu verkaufen.
Heute, 80 Jahre und etliche Unternehmensübernahmen später, ist dieses kleine Unternehmen zu Avery Dennison herangewachsen, einem weltweit tätigen Unternehmen im Bereich Materialwissenschaften, das sich auf Etiketten- und Grafikmaterialien, Einzelhandelsmarken- und Informationslösungen sowie Industrie- und Gesundheitsmaterialien spezialisiert hat. „Wir stellen eine Vielzahl funktionaler Produkte her, die täglich verwendet werden, von chromfarbenen Autofolierungsprodukten und Buswerbetafeln bis hin zu Bekleidungsetiketten“, sagt Niro Cantillo, Senior Manager of Enterprise Security bei Avery Dennison.
Benutzer an erster Stelle
Ebenso wie einst seine Gründer geht auch Avery Dennison die Herausforderungen gern direkt an – und der Technologieansatz des Unternehmens spiegelt das wider. Als Avery Dennison wuchs, wurde die IT-Landschaft immer komplexer.
Merger und Akquisitionen führten zu zahlreichen neuen Anwendungen und Lösungen, für die jeweils mehrere inkonsistente und komplexe Benutzernamen und Passwörter erforderlich waren. Avery Dennison suchte schon bald nach einer Möglichkeit, den Authentifizierungsprozess für Mitarbeiter und Kunden zu optimieren.
„Solange sich unsere Benutzer bei irgendeiner Anwendung authentifizieren müssen, müssen wir die User Experience weiter verbessern“, sagt Cantillo. „Das bedeutet auch, dass wir die Identität unserer Benutzer verifizieren, um unsere Sicherheit zu stärken. Unsere digitale Strategie wächst weiter und ist sehr stark mit Lösungen zur Identitäts- und Zugriffsverwaltung (IAM) verknüpft.“
Bei der Suche nach einem Anbieter berücksichtigte Avery Dennison unter anderem Okta, Ping Identity, Proofpoint und Duo. Okta Single Sign-On (SSO) bot eine breite Palette vorkonfigurierter Integrationen, mit denen Avery Dennison den Anmeldeprozess für seine wichtigsten Anwendungen – Google Workspace und Kontiki – vereinfachen konnte.
Im nächsten Schritt erweiterte das Unternehmen Okta auf mehr Cloud-Anwendungen und führte Multi-Faktor-Authentifizierung (MFA) ein, um seine Umgebung mit einer zusätzlichen, reibungslosen Sicherheitsebene zu schützen. Ende 2015 konnten bereits 18.500 Benutzer optimierte, sichere Zugriffe auf 27 integrierte Anwendungen genießen.
Avery Dennison suchte jedoch nach weiteren neuen Möglichkeiten, die User Experience mit Okta-Produkten zu verbessern. „Das Unternehmen führte neue Anwendungen mit zusätzlichen Attributen ein, die von den grundlegenden Single Sign-On-Funktionen nicht unterstützt wurden“, sagt Cantillo. „Daher haben wir uns Universal Directory angesehen. Die Lösung hat uns geholfen, die zusätzlichen Attribute aus Active Directory in unsere Okta-Umgebung zu übertragen.“
Später stärkte das Unternehmen seine Sicherheit, indem es adaptive Multi-Faktor-Authentifizierung implementierte und API Access Management einführte, um Token-Validierung und -Austausch für seine Business-to-Business-Endpoints wie Etikettenscanner und Drucker bereitzustellen.
Voller Einsatz
Ende 2019 hatte sich Avery Dennison erfolgreich als Cloud-First-Unternehmen positioniert. Dazu hatte das Unternehmen insgesamt 117 Anwendungen in Okta integriert, wodurch es die Effizienz der Mitarbeiter steigern, die Sicherheitslage verbessern und die Skalierbarkeit erhöhen konnte. Es gab aber immer noch mehrere Anwendungen, die noch nicht integriert waren, weil sie kein SSO unterstützten. Dazu gehörte zum Beispiel Oracle EBS.
Avery Dennison hatte bereits eine EBS-Instanz mit SSO eingerichtet, indem Okta mit Oracle Access Management (OAM) integriert wurde. „Das hat super funktioniert“, berichtet Cantillo. „Die Instanz war robust und für unsere damaligen Anforderungen flexibel genug. Später mussten wir aber andere Elemente berücksichtigen, zum Beispiel die Zeit, die für die Veröffentlichung, Implementierung und Verwendung von Single Sign-On benötigt wurde. Wir hätten mehrere Monate damit verbringen können, alle benötigten Prozesse aufzubauen, aber wir brauchten eine schnelle Lösung.“
Um dieses Ziel zu erreichen, benötigte Avery Dennison eine Möglichkeit, die Benutzernamen für rund 4.700 Benutzer schnell zu standardisieren. „Diese neue Instanz war jedoch erheblich komplizierter, da es sich um eine Legacy-Instanz von Oracle handelte, die über viele Jahre gewachsen ist und deutlich vielfältigere IDs enthielt“, so Cantillo. „Einige Benutzer-IDs bestanden aus Mitarbeiter-IDs, andere aus Vor- und Nachnamen oder Kombinationen aus dem Anfangsbuchstaben des Vornamens und dem vollständigen Nachnamen und manche sogar aus E-Mail-Adressen.“
Avery Dennison musste auch berücksichtigen, wie sich die Änderung auf Benutzer auswirken würde. Cantillo wollte sicherstellen, dass das IT-Team die Helpdesk-Tickets schnell und effektiv abarbeiten kann, und vermeiden, dass dem IT-Stack eine weitere Identity-Lösung hinzugefügt wird.
Eine einfache und effektive Lösung
Viele der von Okta und Oracle Access Management angebotenen Funktionen waren gleich (z. B. Single Sign-On und Multi-Faktor-Authentifizierung). Damit Avery Dennison ohne zusätzliche IT-Technologie nahtlose und sichere User Experiences bereitstellen konnte, sollten sich jedoch alle neuen Cloud-basierten Anwendungen in Okta integrieren lassen.
„Bei Oracle Access Management hätten wir einige zusätzliche Komponenten benötigt“, sagt Cantillo. „Das sind zunächst E-Business Suite (EBS) und EBS AccessGate, dann WebGate und Oracle Access Manager und schließlich Oracle Internet Directory. Uns war aber Einfachheit besonders wichtig, und Okta Access Gateway hat nur die beiden virtuellen Appliances, die wir bereits bei einer Implementierung verwendeten, die Hochverfügbarkeit erforderte.“
Cantillo und sein Team erkannten auch, dass Okta Access Gateway es dem Unternehmen ermöglichen würde, mehr Anwendungen über SAML oder OpenID Connect zu integrieren. Dadurch konnten sie die Anzahl der Schritte für die Implementierung reduzieren und die User Experience weiter vereinfachen.
„Die Liste der bei Okta verfügbaren Services und Funktionen erinnert an ein Schweizer Taschenmesser“, sagt Cantillo. „Also haben wir überlegt, ob wir Duplizierungen vermeiden können, indem wir einfach die Funktionalität von Okta erweitern.“
Während des Proof of Concept stellte Cantillos Team fest, dass Okta eine einfache Möglichkeit zur Standardisierung der IDs für Single Sign-On bot. Dadurch konnte Avery Dennison seinen Benutzern verschiedene Arten von Benutzernamen anbieten, ohne dabei den Datenfluss zu kompromittieren.
Bei Oracle Access Management hätten Cantillo und sein Team geschätzt sechs Monate benötigt, um die meisten Benutzer-IDs in das bevorzugte Mitarbeiter-ID-Format umzuwandeln. Mit Access Gateway konnte das Unternehmen die bestehenden Oracle-Benutzer-IDs weiter verwenden, ohne die Funktionalitäten oder den Projektzeitplan zu beeinträchtigen.
„Wir hatten das Gefühl, dass die einfachste Lösung die Implementierung von Access Gateway war“, so Cantillo. „Also entschieden wir uns dafür. Von der Architektur her hat Okta Access Gateway nur die beiden virtuellen Appliances, die wir bereits bei einer Implementierung verwendeten, die Hochverfügbarkeit erforderte. Einfachheit war uns besonders wichtig – und genau die haben wir bekommen.“
Zur Unterstützung der Implementierung erwarb Avery Dennison auch ein Premier Plus Success-Paket von Okta, das einen zugewiesenen Customer Success Manager (CSM) umfasste, der das Unternehmen durch den Prozess führen sollte.
Implementierung leicht gemacht
Nachdem Avery Dennison beschlossen hatte, das Projekt voranzutreiben, erstellte der CSM einen Ablaufplan und erklärte klar und leicht verständlich, wie die Implementierung erfolgen sollte. Die Service- und Supportteams des Unternehmens arbeiteten zusammen, um zwei virtuelle Maschinen zu erstellen, die neuen Komponenten zu laden und die Konfiguration zu starten.
Innerhalb einer Woche stand Cantillo und seinem Team alles zur Verfügung, was sie zum Starten des Projekts benötigten. Wie der Proof of Concept gezeigt hatte, mussten die vorhandenen Oracle Benutzer-IDs nicht standardisiert werden. Stattdessen konnten sie die Aktualisierungen direkt in Okta vornehmen und mit den vorhandenen Oracle-IDs weiterarbeiten. In weniger als zwei Stunden hatte Cantillos Team mehr als 4.700 Benutzernamen aktualisiert, und nur fünf Stunden später war Access Gateway betriebsbereit.
„Mit Access Gateway ist die Implementierung und Konfiguration einer neuen Anwendung (z. B. die Einrichtung von SSO und die Fehlerbehebung bei Endbenutzer-Problemen) viel einfacher“, sagt Cantillo. „Wenn ein Problem auftritt, handelt es sich um einen Tippfehler in Active Directory oder in Okta. Und da die Active Directory-Daten an Okta weitergeleitet werden, müssen wir den Fehler nur in Active Directory beheben, die Daten replizieren lassen und können dann weiterarbeiten.“
Avery Dennison hat in der Implementierungsphase außerdem 27 neue Anwendungen zu seinem IT-Stack hinzugefügt. „Wir haben auch die Möglichkeit zur Integration mit anderen Identity-Anbietern genutzt“, sagt Cantillo. „Die Authentifizierung erfolgt also nicht allein in den Okta-Lösungen. Vielmehr können wir die Authentifizierung an andere Anbieter wie Mobile Iron, Workspace ONE oder Microsoft weitergeben.“
Neue Möglichkeiten
Wenn Cantillo über den Erfolg der Implementierung nachdenkt, dreht sich wieder alles um die User Experience. „Es ist wichtig, die Experiences für unsere Benutzer einfacher, flexibler und sicherer zu machen“, sagt er. „Die Implementierung von Okta hat uns all das zweifellos ermöglicht. Dank Access Gateway ist unsere SSO-Lösung deutlich flexibler und vielseitiger geworden, sodass wir Anwendungen implementieren können, die vorher undenkbar waren.“
Neben nahtloseren, sichereren User Experiences und verbesserter Flexibilität gab es laut Cantillo auch unerwartete Vorteile. „Ich bin dankbar für das Team, das uns die ganze Zeit unterstützt hat“, sagt Cantillo. „Wenn wir mit dem Okta-Team sprechen, klingt alles immer so einfach. Aber die Wahrheit zeigt sich bekanntlich immer erst dann, wenn man es selbst umsetzen will. Eine der erfreulichsten Überraschungen war die Erkenntnis, dass es wirklich so einfach war, wie es bei Okta klang. Schon nach wenigen Stunden waren wir einsatzbereit.“
Vorteile von Okta Device Access
Avery Dennison sucht auch weiterhin nach neuen Möglichkeiten, seine Sicherheit zu stärken und gleichzeitig nahtlose Authentifizierungsprozesse für seine Benutzer zu gewährleisten.
„Derzeit führen wir einen Proof of Concept für Okta Device Access durch“, sagt Cantillo und bezieht sich auf einen neuen Okta-Service, der passwortlose Experiences für Benutzer bietet und Unternehmen die Kontrolle der Geräte ermöglicht, die auf ihre Umgebung zugreifen. „Wir führen Gespräche darüber, wie wir den intelligenten, adaptiven Zugriff umsetzen können, den Avery Dennison unserer Meinung nach bereitstellen soll und der von Unternehmen als Zero Trust bezeichnet wird.“
Cantillo sagt: „Im Idealfall funktioniert die Benutzerauthentifizierung völlig reibungslos, da die Benutzer neue Lösungen dann mit größerer Wahrscheinlichkeit akzeptieren. Okta Device Access ist ein weiterer Schritt zu diesem Ziel.“
„Mit Access Gateway stehen uns neue Funktionalitäten zur Verfügung, die wir für einige unserer internen Legacy-Systeme verwenden können, von denen wir dachten, dass wir sie nicht in Okta integrieren können“, sagt Cantillo. „Gleichzeitig sehen wir uns die Okta Device Access-Funktionen genauer an. Und all das erhalten wir innerhalb einer Lösung.“
Über Avery Dennison
Avery Dennison (NYSE: AVY) ist ein weltweit tätiges Unternehmen im Bereich Materialwissenschaften, das sich auf die Entwicklung und Herstellung verschiedenster Etikettier- und Funktionsmaterialien spezialisiert hat.
Zu den Produkten des Unternehmens, die in nahezu allen wichtigen Branchen eingesetzt werden, gehören druckempfindliche Materialien für Etiketten und grafische Anwendungen, Klebebänder und andere Klebelösungen für Industrie-, Medizin- und Einzelhandelsanwendungen, Etiketten und Verzierungen für Bekleidung sowie RFID-Lösungen (Radio Frequency Identification) für Einzelhandel, Bekleidungsindustrie und andere Märkte. Das Unternehmen mit Hauptsitz in Glendale, Kalifornien, beschäftigt mehr als 32.000 Mitarbeiter in mehr als 50 Ländern.
