TX Group setzt auf automatisiertes Identity- & Access-Management mit Okta
Jahre eingesparte Entwicklungszeit bei der Integration von 276 Apps
der Mitarbeiter durch das automatisierte HR-Provisioning
unnötige Lizenzen in einem Jahr eingespart
- Unabhängig, aber einheitlich
- Ein modernes Identity- & Access-Management
- Sichere, wirtschaftliche und effiziente Technologie
- HR-zentrierte IT-Bereitstellung
- Weichenstellung für künftige Erfolge
TX Group ist ein Netzwerk von Medien und Plattformen, das täglich über 80•Prozent der Schweizer Bevölkerung mit Informationen, Nachrichten, Unterhaltung und Dienstleistungen versorgt. Das Wachstum des Unternehmens ist technologiegetrieben, in erster Linie durch Merger und Akquisitionen. Dies stellt aber auch eine Herausforderung dar: Wie lässt man den verschiedenen Brands innerhalb der Gruppe ihre Unabhängigkeit und schafft gleichzeitig eine einheitliche interne Identität?
Nach der Migration von einer On-Premises- auf eine Cloud-First-Strategie wollte die TX Group ihr Identity- & Access-Management (IAM) weiter modernisieren. Ziel war es, durch Automatisierung effizienter zu werden, neue Akquisitionen zeitnah umzusetzen und User-Experience zu verbessern – und gleichzeitig eine sichere Infrastruktur aufrechtzuerhalten. Die TX Group wandte sich an Okta, um diese Herausforderungen mit branchenführenden Produkten, Dienstleistungen und Support zu bewältigen.
Mit Okta stellte die TX Group Weichen für eine einheitliche, hochwertige IAM-Experience mit Single Sign-On für die meisten Systeme und Anwendungen. Geschützt wird die Lösung durch adaptive Multi-Faktor-Authentifizierung (AMFA) für eine steigende Zahl von Mitarbeitern – inklusive schlüsselfertiger Integrationen mit gängigen Anwendungen und Diensten. Die TX Group war darüber hinaus in der Lage, ihre HR-basierten Prozesse durch Lifecycle Management und die Einführung von HR-zentriertem IT-Provisioning zu automatisieren. Dafür nutzte das Team die Partnerschaft von Okta mit Workday.
Die TX Group hat Ihr Identity- & Access-Management gemeinsam mit Okta vollständig automatisiert und verwendet heute OpenID Connect, Lifecycle Management und HR-Driven IT Provisioning, einschließlich der schlüsselfertigen Integration von Okta in Workday. Heute sind diese Prozesse für 90•Prozent der Mitarbeiter der TX Group vollständig automatisiert. Auf diese Weise konnten Hunderte von Stunden an Helpdesk-Anfragen eingespart werden – und das für jede Aufgabenkategorie.
Okta ist für die TX Group heute mehr als ein Technologieprovider: ein wertgeschätzter Partner, mit dem Kollegen aus allen Unternehmensbereichen gerne arbeiten. Mit Blick auf das anhaltende Wachstum und die steigenden Security-Anforderungen des Unternehmens werden Okta und die TX Group auch weiterhin zusammenarbeiten. Gemeinsam wollen sie sicherstellen, dass im Mittelpunkt der Technologiestrategie des Unternehmens durchgängige Identities und eine hochwertige User-Experience stehen.
Unser ursprüngliches Setup war ein Alptraum, und das Management war chaotisch. Wir haben uns für Okta entschieden, weil die Lösung alle Features mitbrachte, die wir brauchen – einschließlich Cloud-First- und Best-of-Breed-Unterstützung. Okta ist der Marktführer und bot uns die ausgereifteste IAM-Plattform auf dem Markt.“
Federio Sacchet, Head of Enterprise Infrastructure Services bei der TX Group
Leistungen
- Automatisierte Provisionierung und Deprovisionierung der IT
- Reduzierung des Zeitaufwandes für die Bearbeitung von Helpdesk-Anfragen
- Weichenstellung für bidirektionale Automatisierung der HR-Prozesse
- Erleichterung von Mergern und Akquisitionen
- Zeitersparnis beim Coding manueller App-Integrationen
Die TX Group ist ein Netzwerk von Medien und Plattformen, das täglich über 80 Prozent der Schweizer Bevölkerung mit Informationen, Nachrichten, Unterhaltung und Dienstleistungen versorgt. Seit der Gründung des Flaggschiffs Tages-Anzeiger vor 128 Jahren hat sich die Welt geändert, aber das Unternehmen blieb in dieser langen Zeit stets agil – und passte sein Angebot immer wieder erfolgreich an neue Anforderungen seiner Kunden und des Marktes an.
In den vergangenen Jahren hat die TX Group durch Fusionen, Übernahmen und Partnerschaften mit anderen Verlagshäusern expandiert. Damit gingen aber auch Herausforderungen einher, vor allem bei der Integration neuer Mitarbeiter und Technologien. Die Migration von einer klassischen On-Premises-Umgebung auf eine Cloud-First-Strategie trug viel dazu bei, die technologische Infrastruktur des Unternehmens auf ein zukunftssicheres Fundament zu überführen.
Die TX Group musste aber immer noch Herausforderungen im Bereich Identity- & Access-Management adressieren. Viele davon lassen sich auf die weitgehende Unabhängigkeit der Unternehmen unter ihrem Dach zurückführen. Jede Marke arbeitete mit einem anderen Cloud-Identity-Provider zusammen, und managte diesen über eine dedizierte Konsole. Das war alles andere als effizient.Die TX Group wollte die verschiedenen Brands zusammenführen, ohne die Freiheiten einzuschränken – und wandte sich an Okta.
„Unser ursprüngliches Setup war ein Alptraum, und das Management war chaotisch“, erklärt Federio Sacchet, Head of Enterprise Infrastructure Services bei TX Group. „Wir haben uns für Okta entschieden, weil die Lösung alle Features mitbrachte, die wir brauchten.Die IDaaS-Lösung war sehr ausgereift, ließ sich nahtlos in Workday integrieren und eignet sich für Cloud-First- und Best-of-Breed-Umgebungen. Okta ist der Marktführer und bot uns die ausgereifteste IAM-Plattform auf dem Markt.“
Upgrade auf ein Cloud-basiertes Identity- & Access-Management
Die TX Group hatte bereits vor der Evaluierung der Cloud-basierten IAM-Plattform von Okta damit begonnen, Single-Sign-On-Funktionen über ihre bisherige On-Premises-Infrastruktur zu implementieren. Pierre Steiner bestätigt aber, dass die Nutzung und Implementierung dieser Funktion durch die Einführung von Okta sehr viel einfacher geworden ist. Die TX Group hat jetzt mit Okta Single Sign On (SS0) 276 Anwendungen integriert. Dies bot den Benutzern eine Reihe von Vorteilen, inklusive der Möglichkeit, Passwörter über das Okta-Selbstbedienungsportal zurückzusetzen.
„Wenn ein neuer Mitarbeiter anfängt, kann er sich einfach einloggen und findet in seinem Portal sofort alle Tools, die er braucht“, erklärt Pierre Steiner, Head of Cloud & Technology bei der TX Group. „Das bietet viele Vorteile, nicht zuletzt für die Nutzer, die sich nun weniger URLs merken müssen, aber auch in Bezug auf die Sicherheit. Das hilft uns, den Mehrwert von Okta intern zu dokumentieren.“
Federio Sacchet ergänzt, dass der Wert von SSO über diese praktischen Vorzüge hinausgeht, und dass mit der Einführung von Okta im Unternehmen viel Ruhe eingekehrt ist. Ein ursprünglich nicht intendierter, aber vom Timing her perfekter Vorteil der Umstellung auf Okta ergab sich, als die TX Group während der ersten Tage der COVID-19-Pandemie Teleworking-Modelle einführte. Federio Sacchet ist überzeugt, dass diese Umstellung mit dem ursprünglichen Setup alles andere als einfach gewesen wäre.
„Unser vorhandenes SSO-System basierte auf der Zuordnung zu Domänen. Dadurch wäre der Wechsel auf hybride Arbeitsmodelle in der COVID-19-Pandemie ungleich schwerer gewesen“, erklärt er. „Durch die starken Security-Maßnahmen von Okta konnten wir umstellen, ohne ein VPN aufzubauen.“
Sicherer und bedienfreundlicher User-Access
Wie in vielen Unternehmen genießt die Sicherheit auch bei der TX Group höchste Priorität – doch die Maßnahmen müssen mit Blick auf die User-Experience ausgewogen sein. Die TX Group hatte die Einführung von MFA bereits On-Premises in Angriff genommen – ähnlich wie im Falle von SSO wurde die Funktionalität aber mit dem Wechsel auf Okta deutlich erweitert. Im nächsten Schritt soll Okta Adaptive Multi-Factor Authentication (AMFA) eingesetzt werden, um die Identitäten ausgewählter Benutzer zu authentisieren. Die AMFA-Policies bilden das Fundament für eine intelligente Authentifizierung, die ein kontextbezogenes Access-Management und Big-Data-Analysen nutzt, um Anwendungen effektiver zu schützen. Dies führt auch zu weniger Frustration bei den Endbenutzern, da im Vergleich zur Zwei-Faktor-Authentifizierung (2FA) deutlich weniger Authentifizierungsaufforderungen erforderlich sind.
Einige Nutzer innerhalb der TX-Gruppe verwenden immer noch Zwei-Faktor-Authentifizierung per SMS. Dabei kann es allerdings bis zu 60 Sekunden dauern, bis eine Textnachricht mit einer Authentifizierungsaufforderung beantwortet wird. Bei einer Belegschaft von 3.800 Mitarbeitern bedeutet dies einen erheblichen und unnötigen Zeitaufwand.Aktuell nutzen 1.500 Nutzer AMFA. Aber Pierre Steiner ist zuversichtlich, dass AMFA in Zukunft von immer mehr Brands der TX Group eingeführt wird.
„Das Projekt MFA gewann erheblich an Dynamik, als wir Okta einführten, da nun deutlich mehr Anwendungen davon profitieren“, fügt Pierre Steiner hinzu, „Wir hoffen, dass wir in naher Zukunft eine Kommunikationskampagne starten können, um den Kollegen die Vorteile von AMFA darzulegen.“
Der Chief Information Security Officer der TX Group, Andreas Schneider, hält die passwortlose Signierung für besonders beeindruckend.
Automatisierung des User-Lifecycles
Ein weiterer Bereich, in dem die TX Group Okta einsetzt, ist das User-Lifecycle-Management. Hier wurden zahlreiche Prozesse automatisiert, die früher manuell durchgeführt wurden. Das Unternehmen hat Stand heute 21 Apps mit Lifecycle Management (LCM) integriert, darunter Amazon Web Services, Git Lab, Google Workspace, Microsoft 365, Salesforce, Slack, Workday und Zoom. Manuell maßgeschneiderte Integrationen für die Anwendungen zu entwickeln, hätte im Schnitt drei Jahre Entwicklungszeit in Anspruch genommen. Darüber hinaus hat LCM auch erhebliche Kosteneinsparungen ermöglicht, da schätzungsweise 6.000 Lizenzen weggefallen sind, für die die TX Group jedes Jahr unnötigerweise bezahlt hat.
„Das wichtigste Feedback, das ich von den Brands innerhalb der TX Group bekommen habe, war, dass die Verwaltung des User-Lifecycles schon immer ein Problem war“, sagt Federio Sacchet. „Neue User einzurichten, war zwar einfach. Aufzuräumen, nachdem ein User gegangen war, gestaltete sich aber deutlich schwieriger. Das führte dazu, dass wir am Ende viele zusätzliche Lizenzen hatten, die wir nicht brauchten. Und es war schwer festzustellen, wie viele davon tatsächlich genutzt wurden. Mit Okta verfügen wir jetzt über einen sauberen User-Lifecycle und haben die Übersicht, die wir brauchen.“
LCM trägt auch zur Sicherheit des Unternehmens bei. In der früheren Konstellation war es für die TX Group kaum nachzuverfolgen, wer nach seinem Weggang noch auf seine Anwendungen zugreifen konnte. Das war ein offensichtliches Sicherheitsrisiko, das durch die automatisierte Deprovisionierung ausgeräumt werden konnte. Das bedeutet auch, dass Anwendungen nicht direkt mit den Active Directories der TX Group verbunden sind, was die Datenmenge, auf die sie Zugriff haben, einschränkt.
„Die App-Integration setzt oft die Erlaubnis voraus, Ihr Verzeichnis zu lesen, was wir aus Sicherheitsgründen nicht gut finden“, fügt Pierre Steiner hinzu. „Mit LCM profitieren wir von allen Vorzügen der Automatisierung, ohne die Kontrolle über unsere Daten abzugeben.“
HR-zentrierte IT-Bereitstellung
Die Automatisierungsphilosophie der TX Group setzt auf eine HR-zentrierte Bereitstellung von IT-Diensten. In diesem Bereich kann die schlüsselfertige Okta-Integration für Workday ihre Stärken voll ausspielen. Früher arbeitete die TX Group mit einem Ticketing-System, bei dem die Personalabteilung die IT-Abteilung per E-Mail aufforderte, ein Benutzerverzeichnis zu erstellen oder zu löschen. Dies nahm etwa 20 Minuten in Anspruch. Bei 3.700 Mitarbeitern auf ihren Systemen sind das rund 1.266 Stunden Zeit, die allein für die Erstellung von Benutzerverzeichnissen verwendet wurden.
Mit HR-zentriertem IT-Provisioning konnte dieser Prozess – und andere – für 90 Prozent der Mitarbeiter der TX Group vollständig automatisiert werden. Weil die HR-zentrierte IT-Bereitstellung bidirektional funktioniert, sind darüber hinaus auch Routine-Aktualisierungen der Personalakten (etwa Adressänderungen oder Beförderungen), die vor Okta manuell durchgeführt werden mussten, deutlich effizienter.
„Mit Okta ist HR die zentrale Schnittstelle, von der aus alle Änderungen eingegeben und an Okta weitergereicht werden. Dann werden sie an die Downstream-Systeme übergeben. Immer mehr Mitarbeiter aus anderen Geschäftsbereichen kommen inzwischen auf uns zu, und bitten uns, auf Okta zu wechseln, weil das die Prozesse so sehr vereinfacht“, erklärt Pierre Steiner.
Weichenstellung für die Zukunft
Federio Sacchet und Pierre Steiner sind sich einig, dass Okta für die TX Group heute weit mehr ist als ein Technologieanbieter: ein wertgeschätzter Partner. Ein Bereich, auf den dies besonders zutrifft, sind ihre Erfahrungen mit dem Premier Access Service. Dieser Dienst hat zu konkreten Vorteilen geführt, beispielsweise bei der Lösung eines bestimmten Problems, das die TX Group mit einem ihrer externen Konnektoren hatte.
Pierre Steiner erklärt: „Der Support, den wir erhalten haben, war unbezahlbar.“ Okta bindet uns proaktiv an interne Ressourcen an. So erhalten wir aufschlussreiche Einblicke in künftige Funktionen und können unsere Implementierung entsprechend ausrichten. Im Fokus steht dabei stets die Identität. In diesem Bereich darf es also nicht zu Fehlern kommen. Wir versuchen, uns so dynamisch wie möglich an den sich ständig ändernden Kontext im Identity Management anzupassen.“
Federio Sacchet und Pierre Steiner arbeiten hart daran, ihre Kollegen von den Vorteilen zu überzeugen, die die Partnerschaft mit Okta der TX Group bietet. Beide sind sich einig, dass diese Beziehung in Zukunft ausgebaut und vertieft werden soll. Im Zuge der Integration der Okta-Lösungen hat die TX Group nun auch die Okta Identity Engine eingeführt und wird FastPass / Device Trust 2.0 mit Cybereason und Policies auf Anwendungsebene verwenden. Wenn die TX Group weiter expandiert, wird man auch die neuen Unternehmen ermutigen, sich diesem Lösungsansatz anzuschließen.
„Unser Unternehmen kennt den Wert dessen, was wir hier tun“, erklärt Federio Sacchet, „da wir jetzt die Möglichkeit haben, neue User wesentlich schneller zu integrieren und anzubinden. Und wir wollen unseren Endanwendern in Zukunft noch mehr Komfort bieten, und ihr Leben noch einfacher machen.“