Der Versicherungskonzern UNIQA hat sein verteiltes Rechte- und Ressourcen-Management durch das zentrale „UNIQA Security & Identity Managementsystem“ (U.SIM) ersetzt. Dessen Basis ist das Lightweight Directory Access Protocol (LDAP). Die Aufwendungen für die Systemadministration sanken um rund 50 Prozent, gleichzeitig nahm die Sicherheit zu. Wesentliche Aufgaben übernimmt dabei die Software des Herstellers Comtarsia.

Großes plant der österreichische Versicherungskonzern UNIQA: Der Allspartenversicherer erweitert seine Geschäfte laufend in andere Ländern und Märkte, kauft Unter-nehmen dazu und bietet regelmäßig innovative Produkte an. Dazu gehören eine internetbasierte Maklerplattform oder eine kilometerabhängige KFZ-Versicherung. Dem Fahrzeug wird dazu ein GPS-Empfänger eingebaut, um die zurückgelegten Wege genau zu erfassen. Somit wird sichergestellt, dass nur die tatsächlich gefahrenen Kilometer in die Prämie einfließen.

Bild: R.Ungrad, Uniqa „Unsere Business-Bereiche sind sehr kreativ und stellen hohe Anforderungen an die IT. Wir müssen dafür sorgen, dass sich Geschäftsprozesse stabil und nachvollziehbar erledigen lassen“, bringt es Reinhard Ungrad auf den Punkt. Er zeichnet für die Abwicklung technischer Großprojekte bei Öster-reichs führendem Versicherer verant-wortlich und koordiniert darüber hinaus

die Zusammenarbeit mit dem Outsourcing Partner der UNIQA, der Raiffeisen Informatik GmbH. „Die Expansion, Firmenüber-nahmen und Personalverschiebungen stellen unsere IT-Administration insbesondere bei der Verwaltung der 11 000 User

Accounts vor Herausforderungen“, ergänzt sein Kollege DI Wolfgang Zojer, Poolmanager Software Engi-neering bei der UNIQA SoftwareSer-vices. Es gilt, den digitalen Lebens-zyklus eines Mitarbeiters, Geschäfts-partners und Kunden transparent zu verwalten – vom ersten Anlegen über alle Änderungen bis hin zum Löschen seiner Identität in der Welt der IT-Systeme.   Bild: W.Zojer, Uniqa

Die IT-Administratoren von UNIQA mussten beispielsweise die Benutzerdaten, Rechte und Ressourcen allein in Österreich in über 300 Lokationen dezentral warten. Hinzu kam, dass Mitarbeiter – sogenannte Springer – in verschiedenen Niederlassungen tätig waren und Aushilfskräfte lediglich eine temporäre Zugangsberechtigung erhalten. Bedingt durch das historische Wachstum waren unterschiedliche Directory-Management-Technologien im Einsatz: in der Zentrale etwa der offene Standard LDAP und die Raiffeisen Informatik setzt für die Verwaltung der Windows-Clients und Server auf das proprietäre Active Directory von Microsoft „Da unsere User allerdings an Windows- und Unix-Applikationen sowie Hostsystemen ihre Prozesse erledigen, sind die verschiedenen Benutzerverwaltungen aufwändig zu pflegen gewesen, da sie sich nicht automatisch synchronisierten“, erklärt Zojer.

„Es war angesichts der verteilten Administration und unterschiedlichen Technologien nur mit sehr hohem Aufwand möglich, ein sauberes Benutzermanagement zu gewährleisten“, beschreibt Zojer. „Um IT-Administratoren zu entlasten, flexibel auf Personalverschiebungen reagieren und dem Business rasch PC-Arbeitsplätze einrichten zu können, haben wir uns entschieden, das Identity-Management auf eine zentrale Plattform zu stellen.“ Eine Besonderheit bei UNIQA ist, dass das Unternehmen seine IT-Systeme zwar von einem Dienstleister managen lässt, das Benutzer-Management jedoch in eigener Verantwortung betreibt. Auch diesen Anforderungen musste eine neue Lösung gerecht werden. „Die Idee einer vollständigen Eigenentwicklung wurde rasch verworfen, da die Realisierung unwirtschaftlich gewesen wäre. Auch war nicht sicher, ob das Entwicklungsprojekt zum Erfolg geführt hatte“, erinnert sich IT-Koordinator Ungrad.

Die nötige Flexibilität zu geringen Kosten, erzielt der Versicherungskonzern heute mit dem zentralen Identity-Management-System U.SIM. Im Kern wird LDAP verwendet, für die Provisionierung und Datensynchronisierung sind verschiedene eigen entwickelte Komponenten und auch zugekaufte Produkte verantwortlich. Was fehlte, war jedoch eine Lösung für die Windows-Authentifizierung gegen U.SIM-LDAP sowie die Datensynchronisation zwischen dem zentralen LDAP und dem ActiveDirectory.

Nach einer Marktevaluation im Sommer 2006 wurden die Verantwortlichen von UNIQA beim Wiener Softwarehaus Comtarsia fündig. Das Standardprodukt „Comtarsia SignOn Solutions“, welches bereits bei zahlreichen Großunternehmen im Bereich LDAP Integration verwendet wird, konnte das Gros der geforderten Funktionen „out-of-the-box“ erfüllen. Zudem sei das Team von Comtarsia sehr flexibel gewesen, kurzfristig, dringend nötige Zusatzanforderungen von UNIQA in das Produkt als Standard mit aufzunehmen. „So ein Service bekommt man von den Software-Riesen nicht“, fügt Ungrad schmunzelnd hinzu.

Die „Comtarsia SignOn Solutions“ bestehen aus zwei Systemmodulen, dem „Comtarsia Logon Client“ und dem „Comtarsia SignOn Gate“. Der Comtarsia Logon Client ermöglicht am Arbeitsplatz eine direkte Anmeldung an ein LDAP Directory. Durch eine LDAP Schema-Erweiterung können Informationen wie Benutzerverzeichnispfad, Benutzerprofilpfad, Drucker und Laufwerkszuordnungen, Single-Sign-On-(SSO-)Daten, im LDAP-Benutzer- oder –Gruppen-Objekt abgelegt werden, welche der Logon Client bei jeder Anmeldung auswertet. Die automatische Benutzerverwaltung auf den Ressourcensystemen (Windows NT, Windows 2000, Windows XP, Linux, Terminal Server/Citrix) übernimmt das Zusatzprodukt „Comtarsia Sign on Gate“.

„Den ganz großen Vorteil von Comtarsia sehen wir darin, dass unsere verschiedenen IT-Welten miteinander verknüpft und zentral gemanagt werden können“, erklärt IT-Mann Zojer. Ein Mausklick genüge, um zu wissen was ein Benutzer dürfe und was nicht. Auch die Unabhängigkeit, welche die Lösung dank LDAP biete, gefällt den UNIQA-IT-Spezialisten.

„Wir können uns bei der Auswahl neuer Lösungen frei am Markt bedienen und sind nicht durch die Vorgaben eines Herstellers eingeschränkt.“ Die heutigen Systeme bleiben eigenständig und es müssten keine Zertifikate untereinander ausgetauscht werden.

Bild: Uniqa Gebäude, Untere Donaustraße