Frictieloze toegang en gestroomlijnde customer experiences voor de klantenservicemedewerkers van T-Mobile.

De Un-carrier zet de hele sector op zijn kop

Toen John Legere in 2012 als CEO bij T-Mobile aan de slag ging, koos hij voor een geheel nieuwe strategie: "Neem de tijd om rechtstreeks naar klanten en eerstelijnswerknemers te luisteren. En steun de onconventionele ideeën die ze naar voren brengen om hardnekkige problemen in de sector op te lossen".

Deze Un-carrier-strategie wordt nog steeds enthousiast in alle lagen van de T-Mobile-organisatie toegepast en heeft de hele sector op zijn kop gezet. In de afgelopen zeven jaar was T-Mobile de snelst groeiende organisatie van de sector. De organisatie verwelkomde in het vierde kwartaal van 2019 bijna twee miljoen nieuwe gebruikers en de totale inkomsten uit services stegen met meer 6% ten opzichte van het jaar ervoor.

"T-Mobile is een klantgerichte organisatie en dat is voelbaar in elk aspect van de bedrijfscultuur", vertelt CIO Cody Sanford, die al 20 jaar voor de organisatie werkt. De Un-carrier-strategie is bedoeld om de verwachtingen van de klant te overtreffen. En dat betekent dat er obstakels moeten worden weggenomen voor de werknemers die rechtstreeks met de klant in contact staan.

Bouwstenen voor een flexibelere organisatie

De overgang naar een klantgerichte benadering kon echter niet met een simpele aanpassing van het beleid worden gerealiseerd. "Elke experience die voor de klant wordt gecreëerd komt via technologie tot stand", aldus Sanford.

Helaas kon de oudere Oracle-stack van de organisatie het tempo van de snel veranderende klantverwachtingen niet bijbenen. En de IT-omgeving moest volledig worden getransformeerd om de flexibiliteit en responsiviteit te realiseren die T-Mobile voor zijn ambitieuze Un-carrier-strategie nodig had.

Dat was makkelijker gezegd dan gedaan. T-Mobile is uitgegroeid tot een complex ecosysteem met meer dan 100.000 partners en werknemers in winkels en callcenters, en duizenden zakelijke medewerkers, groothandelspartners en prepaid- en postpaidklanten.

Naast klantgerichte T-Mobile-applicaties en digitale assets, maakt de organisatie ook nog eens gebruik van duizenden zakelijke applicaties. "Al deze elementen moeten harmonieus met elkaar samenwerken om de experiences te creëren die onze klanten van ons verwachten", vertelt Sanford.

In de afgelopen vijf jaar heeft T-Mobile al een paar grote stappen in de IT-transitie gezet. De organisatie heeft bijvoorbeeld de hele technologiestack vernieuwd, is overgestapt op cloud-native applicaties, heeft een DevOps-werkmodel ingevoerd, is overgeschakeld op productgericht ontwerpen, en heeft een developmentteam samengesteld dat in snel tempo experiences en producten kan bouwen. Menige moderne organisatie zou er jaloers op zijn.

Partnerrelaties zijn ook van essentieel belang. "Heel weinig van wat we hebben gedaan, is bij T-Mobile bedacht", vertelt Sanford. "We hadden geluk dat we konden samenwerken met enkele organisaties die de beloften van de technologie waar konden maken."

De identityproblemen die de oorzaak zijn van complexiteit

Bij aanvang van de transitie werkte het T-Mobile-team nog met verschillende IAM-systemen (Identity and Access Management), vertelt Warren McNeel, Senior Vice President of IT. Verschillende T-Mobile-applicaties gebruikten verschillende IAM-systemen om gebruikers te valideren. Dat gebrek aan samenhang leidde tot veel frustratie bij zowel klanten als klantenservicemedewerkers.

De identitysystemen en databases van T-Mobile weerspiegelden de grimmige werkelijkheid van de complexiteit van de organisatie. Dat was dus de complexiteit waar de klantenservicewerknemers dagelijks mee te maken hadden. De medewerkers moesten voor één telefoontje vaak meerdere applicaties openen, bij elke applicatie afzonderlijk inloggen en tijdens het gesprek van de ene naar de andere applicatie overschakelen.

Het winkelpersoneel van T-Mobile moest zich vaak wel 60 of 70 keer per dag bij verschillende systemen authenticeren. "Een bijzonder omslachtige werkwijze die slechte gewoonten op het gebied van beveiliging in de hand werkt", aldus Kris Wilson, Senior Director, Product and Technology bij T-Mobile. Door het gedoe met wachtwoorden en het voortdurend schakelen tussen systemen steeg de frictie voor zowel klanten als werknemers naar ongekende hoogte.

En daar kwam nog bij dat de systemen vaak uitvielen. Medewerkers moesten soms pen en papier erbij pakken, een vraag van een klant opschrijven en terugbellen wanneer de storing voorbij was.

Telkens wanneer de IT iets wilde veranderen, zoals een nieuwe applicatie of een nieuwe werknemer onboarden, moest een complex, repetitief en traag proces worden doorlopen.

En dat leidde ertoe dat de T-Mobile-teams hun eigen oplossingen gingen zoeken. "De time-to-market vormde een beveiligingsrisico. Hoe langer het duurde om applicaties te onboarden, hoe meer mensen een andere oplossing gingen zoeken", vertelt Wilson. "Ze maakten bijvoorbeeld een eigen silo met inloggegevens, met als gevolg dat we nergens meer zicht op hadden en policies niet holistisch konden worden toegepast."

Het was duidelijk dat T-Mobile een betere manier nodig had om autorisatiebeslissingen te nemen. "Er moet gewoon één oplossing zijn, anders wordt het ene na het andere lapmiddel bedacht, wat veel tijd en geld kost en nog meer complexiteit veroorzaakt", zegt McNeel. "We hadden een eenvoudige oplossing nodig die we steeds opnieuw konden gebruiken voor zowel interne platforms als cloud-native systemen."

Identity die aansluit bij de cultuur van de organisatie

Het team ging op zoek naar een marktleider op het gebied van technologie die het IAM-systeem kon vereenvoudigen en waaraan ze de hele implementatie met een gerust hart konden toevertrouwen. "We hadden een moderne en cloud-native partner nodig die alle complexiteit in ons ecosysteem aan het oog kon onttrekken en een naadloze experience kon creëren", zegt Sanford. Security was de topprioriteit. Maar betrouwbaarheid was ook van cruciaal belang, en een snellere time-to-market voor nieuwe applicaties en services.

Op basis van deze criteria nam het team een aantal identity-oplossingen onder de loep, waaronder OneLogin, Microsoft Azure Active Directory (AD), Oracle’s Identity Cloud Service en Okta. Het T-Mobile-team wilde een API-strategie implementeren die aan een aantal voorwaarden moest voldoen, zoals product- en technologieteams toegang tot functionaliteit bieden, meer hergebruik van hun werk mogelijk maken, de technologie-footprint verkleinen en het aantal beveiligingspunten beperken.

"Identity heeft een grote impact op de beveiliging van API's. Dus als identity meerdere keren in meerdere systemen wordt geïntegreerd, betekent dat een vermenigvuldiging van het aantal blootstellingspunten", legt McNeel uit. "We wilden dat risico beperken door te kiezen voor één identity-oplossing."

Ook was het belangrijk dat de identitypartner van T-Mobile goed bij de Un-carrier-mindset zou passen. "We zijn tot het uiterste gefocust op onze klanten", aldus McNeel. "Daarom vinden we het belangrijk om samen te werken met organisaties die een vergelijkbare cultuur hebben en in dezelfde richting denken. Okta paste precies in dat profiel."

Meer app-integraties voltooid. Minder resources nodig.

Het T-Mobile-team nam de tijd om kennis te maken met het Okta Professional Services-team en de Okta-technologie, en besteedde veel zorg aan het uitstippelen van een strategie voor de winkel- en callcenteractiviteiten van T-Mobile. Toen ze zagen hoe snel het aantal applicaties en logins voor de eerstelijnsmedewerkers van de klantenservice kon worden teruggedrongen, was de beslissing snel genomen.

"We kregen steeds meer vertrouwen in Okta nadat we hun oplossingen hadden vergeleken met de andere oplossingen die in aanmerking kwamen", vertelt McNeel. "We waren ervan overtuigd dat het een veilige oplossing was die goed werd beheerd en aan onze criteria voldeed."

Okta’s ondersteuning voor moderne protocollen, zoals OAuth en OpenID Connect, speelde ook een rol bij de beslissing van het team, alsmede de mogelijkheid om processen te automatiseren met Okta Lifecycle Management. "Met Okta konden we het aantal handmatige processen terugdringen en inloggegevens en informatie veel sneller beheren", aldus McNeel. "En dat betekende dat we met minder resources meer applicaties en integraties konden ondersteunen."

"Een ander groot voordeel van Okta was de cloud-native technologie", zegt Sanford. "Door het identity management aan de experts over te dragen, hadden onze developers de handen vrij om applicaties sneller af te leveren."

Aanbetaling op de toekomst en een geheim recept

Tegenwoordig krijgen de 200.000 T-Mobile-klantenservicemedewerkers, -verkoopmedewerkers en -kenniswerkers via Okta toegang tot hun werk. "Iedereen die zaken doet namens T-Mobile maakt dag in dag uit gebruik van Okta", aldus Wilson.

"De lancering van Okta was een grote aanbetaling op onze visie voor de toekomst", vertelt Sanford. De initiële implementatie nam zes maanden in beslag, waarvan vier maanden aan gedetailleerde planning met Okta’s Professional Services-team werden besteed. Ze hebben ons geholpen een "fabrieksmodel" te maken voor het onboarden van apps bij T-Mobile, waardoor de time to value enorm werd verbeterd.

"Die vier maanden planning heeft beslist zijn vruchten afgeworpen, gezien de snelheid waarmee we nu apps kunnen onboarden", vertelt Wilson. "Okta Professional Services stond week in week uit voor ons klaar en wrong zich in allerlei bochten om verschillende, genuanceerde applicaties te implementeren. Standaardisering van protocollen is nu ons geheime recept."

Het T-Mobile-team heeft de hele Oracle-stack vervangen, een groot deel van de on-prem infrastructuur opgeruimd en flink op licentie- en ondersteuningskosten bespaard. "We hadden meer dan 80 applicatieservers en meerdere datacenters die we allemaal moesten onderhouden", vertelt Wilson. "Nu zijn daar nog maar zo'n zes virtuele machines van over. En dat levert een enorme kostenbesparing voor ons operationele budget op."

In de afgelopen vijf jaar is het team van vijf naar twee identity providers gegaan, wat Wilson als een groot succes beschouwt. Het team was ook onder de indruk van de snelheid waarmee de onboarding van apps met Okta verloopt, met name in vergelijking met Azure AD. Tot nu toe heeft het Okta-team al meer dan 220 applicaties geïntegreerd, terwijl Azure op circa 20 zit.

Gebruiksgemak voor klantenservicemedewerkers

Okta's adaptieve multi-factor authenticatie (MFA) is een belangrijk onderdeel van de identity-oplossing van T-Mobile. "Een van de voordelen van Okta is de mogelijkheid om precies de juiste balans te bepalen tussen het wel of niet activeren van MFA", zegt Wilson. Met Okta kan het team in een handomdraai contextafhankelijke MFA-policies configureren op basis van bijvoorbeeld locatie, device of toegangsfrequentie. "Hierdoor kunnen we ons nauwkeurig op de meest riskante toegangsverzoeken richten, in plaats van dezelfde policy op alle gebruikers toe te passen", vertelt hij verder.

Okta MFA biedt daarnaast inzicht in de locatie van gebruikers en de mogelijkheid om toegang tot bepaalde applicaties buiten het netwerk volledig aan banden te leggen. Hiervoor werkt het IT-team van T-Mobile samen met Okta om contextafhankelijke authenticatie- en autorisatiepolicies op te stellen waarmee ze de naleving van toegangsvereisten voor zeer riskante applicaties kunnen handhaven.

Van alle teams die bij de 7000 winkels van de organisatie werken, zijn de reacties uit de frontlinie het meest enthousiast. "We hebben Okta met succes geïmplementeerd in een van de grootste winkelketens in welke sector dan ook", zegt Sanford. "Dankzij Okta zijn miljoenen aanmeldingen per week aanzienlijk vereenvoudigd."

T-Mobile-gebruikers hoeven niet langer meerdere sets inloggegevens te beheren en de 60 tot 70 authenticaties per dag zijn teruggebracht naar 7 tot 10. Uit de gesprekken die Sanford met enkele van de meer dan 50.000 werknemers voerde, bleek dat ze het bijzonder op prijs stelden dat de klanten nu veel eenvoudiger konden worden geholpen.

"Mensen die in een grote retailorganisatie werken, weten dat het echt een enorme verbetering is als ze geen tijd hoeven te besteden aan dingen die niet belangrijk zijn voor de klant", zegt hij.

Nu T-Mobile-gebruikers via SSO toegang kunnen krijgen tot elke tool die ze nodig hebben, ontvangt de IT-servicedesk veel minder verzoeken om hulp. "Mensen hebben nu één set inloggegevens en hoeven dus niet meer te bellen om de inloggegevens te resetten van die ene app die ze een hoogst enkele keer gebruiken", vertelt Wilson. "Al die helptickets verdwenen als sneeuw voor de zon vanaf het moment dat de app was geïntegreerd in Okta."

Voor partners: veilige, gestroomlijnde verbindingen

Het Okta Integration Network stroomlijnt de interface tussen T-Mobile en de partners van T-Mobile, die via allerlei eigen applicaties en API-connectors met de organisatie communiceren. "Identity was voorheen meer een blok aan het been dan een aanwinst", vertelt Wilson. "Vanaf het moment dat we Okta implementeerden, hadden we plotseling toegang tot al deze kant-en-klare adapters en integratiepunten."

Het Okta API Access Management helpt al die API-aanroepen te beschermen. De organisatie heeft de development en implementatie van API-lifecycles overgedragen aan een partner van Okta, Apigee genaamd (nu onderdeel van Google Cloud). Deze Okta-Google Cloud-oplossing creëert een ideale toestand voor het API-ecosysteem van T-Mobile. Zo ontstaat een gestroomlijnd systeem voor integraties van derden waar een overkoepelend beveiligingsbeleid aan wordt toegevoegd.

"Werknemers en partners van T-Mobile maken allemaal gebruik van dezelfde Okta-authenticatieprocessen. En het is echt heel eenvoudig", vertelt McNeel. "Ze hoefden niets bijzonders te doen; in feite hoefden ze minder te doen nadat de oplossing was geïmplementeerd."

Voor developers: identity als product

Vanuit het standpunt van een developer gezien, is de identitycomponent van elk project al klaar. Developers hoeven dus geen kostbare tijd meer te besteden aan het configureren van securityprotocollen. "De Okta-teamleden zijn de experts op dat gebied. Wij kunnen ons beter richten op de belangrijkste functionaliteiten van de apps die we bouwen", vertelt McNeel.

Het IT-team van T-Mobile ziet identity nu als een product in plaats van een service. "Mensen werken met ons product via tools en API's. Hoe robuuster en beter gedocumenteerd het product is, hoe makkelijker developmentteams zichzelf kunnen redden", vertelt Sanford.

"Onze developers hoeven niet meer na te denken over databases, regels, bevoegdheden en al die dingen die bij oudere identity management-platforms horen. En dus hebben ze de handen vrij om applicaties sneller af te leveren", zegt hij.

De identitystrategie van T-Mobile bestaat uit een combinatie van flexibiliteit en een beveiligingsstatus met minder zwakke punten en minder authenticatie-elementen die moeten worden beheerd. "Gecentraliseerde identity is veel eenvoudiger te beheren en te controleren", aldus McNeel.

Het resultaat: revolutionaire flexibiliteit

Het IT-team is bijzonder tevreden over de mogelijkheid om flexibel te reageren op de behoeften van klanten en de organisatie zelf. Een paar jaar geleden hadden ze geluk als ze vier of vijf grootschalige code-implementaties per jaar konden uitvoeren. "Nu doen we er honderden, soms duizenden per week", vertelt Sanford.

"Okta was een doorbraak voor ons", verklaart McNeel. "We hoeven elke API niet meer afzonderlijk aan te passen voor alle verschillende datatoegangspunten die we willen beschermen. En dan hebben we het nog niet eens over alle verschillende rollen die moeten worden geconfigureerd.

"Het is een enorme verbetering nu dit allemaal op het Okta-platform is geconsolideerd", aldus Wilson. "Het bouwen van een onderliggend systeem neemt veel minder tijd in beslag als het eenvoudig in het authenticatieplatform kan worden geïntegreerd."

Een partner voor continue, transformerende verandering

Met Okta als identitybasis kan het T-Mobile-team snel directory's consolideren, processen automatiseren en assets beschermen, wat tijdens de fusie met Sprint goed van pas kwam.

T-Mobile neemt ook deel aan het bètaprogramma van Okta Workflows, om handmatige processen verder te automatiseren en te stroomlijnen zonder code te schrijven. "We stellen hele provisioning-sequenties samen, bijvoorbeeld met systemen buiten Okta", vertelt Wilson.

Het team werkt ook samen met Okta-partner Secret Double Octopus om wachtwoorden, die vaak de oorzaak van securitylekken zijn, volledig uit te bannen. "Passwordless authenticatie is een zeer aantrekkelijke optie, vooral met het oog op de diversiteit van ons ecosysteem van gebruikers", vertelt Wilson.

"We willen absoluut voorop lopen bij deze ontwikkeling op het gebied van beveiliging", aldus McNeel.

Het team wil de komende jaren alle winkelmedewerkers een tablet geven waarmee ze door de winkel kunnen lopen, zodat ze geen centrale kiosk meer nodig hebben. En ook hier speelt de technologie van Okta een grote rol.

Het Okta Customer First-team biedt als integrale partner ondersteuning bij de verdere ontwikkeling van T-Mobile. "Ik bel regelmatig met Okta en dan hebben we het niet alleen over problemen of uitdagingen die op ons pad zijn gekomen", zegt Wilson. "Meestal niet eigenlijk. Het zijn meer besprekingen over roadmaps, strategische gesprekken over wat onze plannen met het platform zijn."

"Ik hecht daar veel waarde aan", zegt hij. "Ik ken niet veel partners die een organisatie bij elke stap van een traject willen begeleiden op de manier waarop Okta dat heeft gedaan en nog steeds doet."

Over T-Mobile

T-Mobile US, Inc. (NASDAQ: TMUS) is Amerika's Un-carrier. De organisatie geeft door middel van toonaangevende innovatie van producten en services een geheel nieuwe dimensie aan de manier waarop draadloze services aan klanten en organisaties worden aangeboden. Het geavanceerde landelijke 4G LTE-netwerk van de organisatie biedt een uitstekende draadloze experience aan de 84,2 miljoen klanten die geen concessies aan kwaliteit en waarde willen doen. T-Mobile U.S., gevestigd in Bellevue, Washington, levert services via zijn dochterondernemingen en opereert onder de toonaangevende merken T-Mobile en Metro by T-Mobile.