Identity & Access Management für Microservices

Permission granted?

Für einen grossen Schweizer Telco-Konzern konnten wir die IAM-Integrationslösung designen und deren Implementation begleiten. Im Rahmen eines umfassenden Projekts zur Einführung einer auf Microservices basierenden Architektur und eines B2C-Kundenportals im Web als erster darauf aufbauender App. Die Single Page Web App (SPA) nutzt Web APIs mit Microservice-Schnittstellen (REST) zum Zugriff auf Informationen, welche die Privatkunden des Konzerns zur Verwaltung ihrer Produkte heute nutzen. Der Zugriff auf jegliche Daten wurde mittels Attribute-based Access Control (ABAC) realisiert und ermöglicht eine extrem feingranulare Zugriffskontrolle bis auf einzelne Felder in Datensätzen.

  • Standards: Die Autorisierung basiert auf XACML und OAuth 2.0, die Authentisierung auf OIDC.
  • Die Berechtigungslösung wurde mit einem integrierten Policy Enforcement Point (PEP) in den Microservices und mittels einem auf ABAC basierten Policy Decision Point (PDP) umgesetzt.

Den PEP zur Kontrolle der Autorisierungen aller Datenzugriffe haben wir in einem integrierten agilen Team beim Kunden designed und in die Microservice-Architektur im B2C-Kundenportal integriert. Der PEP schützt zuverlässig Kundendaten vor unberechtigten Zugriffen und stellt die Einhaltung der Konzernregeln und regulatorischer Vorgaben bezüglich Datenverarbeitung sicher.

Heute prüft das System im produktiven Betrieb Millionen von Anfragen in der Stunde ohne Performance-EInbussen für den Nutzer.

Kundennutzen

Der Kunde konnte von unserer langjährigen praktischen Erfahrung in Cyber Security-Themen und unserem methodischen und ganzheitlichen Vorgehen profitieren. Die Organisation zur Erstellung des neuen Kundenportals wurde agil nach SAFE neu aufgebaut. Hier konnten wir unsere Erfahrung mit Projekt- und Produktarbeiten im agilen Umfeld einbringen und das Team organisatorisch voranbringen. Zudem konnten wir mit unserer Erfahrung aus der Telco-Branche sowie aus Arbeiten im Bereich von PDPs und der Prüfung und Analyse von IAM-Systemen unterstützen.

Es spricht für sich, dass der Kunde uns für das Design der Autorisierungs- und Authentifizierungs-Architektur für ein ähnlich umfassendes Vorhaben in noch komplexerem Umfeld erneut engagiert hat.