Der öffentliche Verkehr in der Schweiz ist ein Erfolgsmodell. Als Bildungspartner der SBB, BLS, RhB, des VöV und rund 50 weiteren Unternehmen organisiert login marktorientierte Berufslehren, Praktika und weiterführende Ausbildungen in der Welt des Verkehrs. Um auch in Zukunft qualifizierten Nachwuchs in über 25 Berufen ausbilden zu können, investiert login kontinuierlich in die Weiterentwicklung und Modernisierung ihrer Ausbildungsangebote. Als Bindeglied zwischen den Lernenden, den angeschlossenen Unternehmen und den schulischen Ausbildungsstätten gilt es, mit der Digitalisierung Schritt zu halten. Dazu gehört, fortwährend in die richtigen Ausbildungsmodelle und Digitalisierungsmassnahmen zu investieren und die effiziente Einbindung aller an der Ausbildung beteiligten Personen in die Prozesse und Systeme sicherzustellen.
Web Portal Infrastruktur als Dreh- und Angelpunkt aller Digitalisierungsvorhaben
Um sich für zukünftige Digitalisierungsprojekte zu wappnen und eine Verzettelung oder den Bau von Insellösungen schon von Anfang an zu verhindern, entschied sich login früh für einen strategischen Umbau der IT-Infrastruktur. Dreh- und Angelpunkt bildet eine zentralisierte Web Portal Infrastruktur – umgesetzt mit dem USP Secure Entry Server®. Dieser schützt alle über das Internet abrufbaren Anwendungen – egal welcher Natur – vor den OWASP Top 10 und vielen weiteren Risiken sowie vor unbefugtem Zugriff.
Aber wie schützt man Web-Anwendungen, die mehrere Tausend Nutzer mit x Gerätearten nutzen wollen, vor unbefugten Zugriffen? Hier liegt das Geheimnis der Web Entry Lösung, die login zusammen mit United Security Providers aufgebaut hat. Um den Schutz der Applikationen hoch zu halten und Missbräuchen vorzubeugen, ist eine Zwei-Faktor Authentisierung mit Benutzername/Passwort und Time-based One-Time Password (TOTP z.B. Google-Authenticator oder SMS-Token) notwendig.
Webbasierter SharePoint Zugriff für alle Benutzergruppen
Die an der Ausbildung beteiligten Benutzer, wie Berufsbildner/innen, login Mitarbeiter/innen und Lernende nutzen das SharePoint Portal von Office 365 für das Ausbildungsmanagement. Der heutige Zugriff ist webbasiert mit jedem Browser möglich: Die Berufsbildner/innen melden sich unkompliziert mit E-Mail/Passwort an und geben zur starken Authentisierung ihr TOTP-Password ein.
E-Learning aus der Cloud für die Schülerinnen und Schüler
Nach dem gleichen Prinzip erfolgt der Zugang für die Lernenden: Ausserhalb des traditionellen Präsenzunterrichts steht ihnen die Ausbildungs- und Lernplattform Time2Learn zur Verfügung. Auch hier erfolgt der Zugriff, unabhängig vom verwendeten Endgerät, über den Webbrowser mittels Benutzernamen und Passwort, in Verbindung mit einem TOTP-Password. Wenn ein Benutzer kein Smartphone besitzt, wird er automatisch via mTAN (SMS) Token authentisiert.
Hohe Benutzerfreundlichkeit für mehr Lernerfolg
Single Sign-On für maximale Benutzerfreundlichkeit
Die Benutzerfreundlichkeit ist neben dem Schutz der Applikationen eines der wichtigsten Ziele des zentralen Web Portals. Die Benutzer sollen sich nicht für jede Applikation einzeln authentisieren müssen. Deshalb hat login für alle Applikationen Single Sign-on umgesetzt. Da das SharePoint-Portal als zentrale Informations- und Kommunikationsplattform in der Azure Cloud betrieben wird und die e-Learning Plattform in einer weiteren Cloud, setzt login auf Federation. Die Zugangsdaten der Benutzer sind nicht in der Cloud hinterlegt, sondern werden zentral im lokalen AD verwaltet. Der USP Secure Entry Server® fungiert als Identity Provider (IdP) und ermöglicht die Authentisierung der Benutzer für Anwendungen in der Cloud. Auch Anwendungen wie die elektronische Zeiterfassung, welche on-Premise betrieben werden und via Internet erreichbar sind, sind über den USP Secure Entry Server® angebunden und dadurch ebenfalls mittels komfortablem Single Sign-On erreichbar. Damit sichergestellt ist, dass ein Benutzer nur Zugriff auf die Anwendungen hat, für die er auch wirklich berechtigt ist, übernimmt der USP Secure Entry Server® nach der erfolgreichen Authentisierung (Identität) auch die Autorisierung (Berechtigung).
Kontext-basierte Authentisierung
Um der Benutzerfreundlichkeit gerecht zu werden, benötigen Mitarbeiter, welche ein login-Gerät haben und Benutzer, die sich im Office befinden, keinen zweiten Faktor zur Authentisierung. Gewisse Partner (z.B. SBB) sind ebenfalls vom zweiten Faktor befreit, wenn Sie vom internen Netzwerk zugreifen.
Betrieb und Monitoring durch das USP Security Operations Center
Um eine 7×24 Verfügbarkeit des Web Entry sicherzustellen, hat sich login für den Betrieb der Lösung durch das Security Operations Center (SOC) entschieden. Ein kompetentes Security Team überwacht rund um die Uhr den Betrieb und kann im Falle eines Incidents umgehend intervenieren. Die IT-Abteilung von login kann sich so auf ihre Kernaufgaben fokussieren und hat die Ressourcen für das Vorantreiben zukünftiger Digitalisierungsprojekte.
Ergebnis: Erfolgreiche login IT
Die IT von login hat mit einem zentralen Web Entry die Basis für alle weiteren Digitalisierungsmassnahmen gelegt. Eine zentrale Security Baseline stellt die Durchsetzung der Sicherheitsrichtlinien über alle, via Internet erreichbaren, Anwendungen sicher. Jedem Nutzer steht ein Single Point of Entry zur Verfügung. Die Anmeldung ist benutzerfreundlich und genügt höchsten Anforderungen an moderne User Experience.
Claudia Stucki war bis 2020 als Marketing & Communications Specialist bei United Security Providers tätig.