Wechsel von AD: Thoughtworks vertraut auf bessere Sicherheit und höhere Produktivität mit Okta
Apps mit Okta verbunden
ROI
der IT-Einsparungen
der Produktivität
- Implementierung von Cloud First zur Erfüllung wachsender Anforderungen
- Der Weg in die Zukunft der Arbeit
- Verringerung des Aufwands dank SaaS
- Von Authentifizierung bis zum Ende von AD
- Entwicklung einer Strategie zur AD-Entfernung – mit allen Vorteilen
Das internationale Software-Beratungsunternehmen Thoughtworks verzeichnet ein beeindruckendes jährliches Mitarbeiterwachstum von 10–15 %. Da das Unternehmen zunehmend verteilter, diverser und geografisch verteilter wird, leitete es den Wechsel weg von herkömmlicher lokaler IT und hin zur Cloud ein.
Das Unternehmen setzt auch auf erstklassige Produkte: Die Mitarbeiter nutzen Software und Anwendungen von einer Vielzahl von Anbietern und die meisten setzen auf Mac-Laptops. Thoughtworks nutzte lange Zeit ausschließlich Microsoft –und Microsoft Active Directory wurde zum Problem: anfällig, schwerfällig und schwierig zu verwalten und zu aktualisieren. Das Onboarding war aufwändig und die Authentifizierungen funktionierten regelmäßig nicht, sodass Mitarbeiter keinen Zugriff auf wichtige Tools hatten.
Die Produktivität ging zurück und das Support-Team war überarbeitet. Das IT-Team entschied sich für die Identitätsmanagementlösung von Okta, da diese sich leicht integrieren ließ und den Wechsel zur Cloud vollständig unterstützt.
Thoughtworks implementierte Single Sign-On und MFA von Okta – zwei große Vorteile, die das Benutzererlebnis schnell verbesserten. Mit Universal Directory und Lifecycle Management wurden Zugriff sowie Erteilung und Entzug von Berechtigungen optimiert. Anschließend war das IT-Team bereit für den nächsten großen Schritt: den Abschied von AD.
Das Unternehmen verfolgte eine zweifache Strategie: Erstens durften keine neuen Ressourcen in AD integriert werden und zweitens wurde eine AD-Abhängigkeit nach der anderen gesucht und beseitigt. Dieser gezielte Prozess war die Mühe wert: Die Ausgaben für Support und Wartung gingen zurück und die Mitarbeiter – die jetzt von jedem Ort aus sicher arbeiten können – sind viel produktiver.
Identität für eine globale, mobile Belegschaft gelöst
Da Thoughtworks schnell und international wuchs, wechselte die IT in die Cloud und mobil, was zu Sicherheitsproblemen und einem schwer zu wartenden Active Directory führte. In Abkehr von Active Directory wählten sie das Identitätsverwaltungssystem von Okta aufgrund seiner 100% igen Cloud-Technologie sowie der Multi-Faktor-Authentifizierungsfunktionen aus.
„Wir profitieren bereits davon, für delegierte Authentifizierung nicht mehr von AD abhängig zu sein... Da AD kein wesentlicher Teil unserer Infrastruktur mehr ist, sind wir jetzt alle deutlich entspannter.“
Phil Ibarrola, Tech Ops Head of Technology
Das Cloud-First-Prinzip
Phillip Ibarrola hat als Tech Ops Head of Technology bei Thoughtworks die Aufgabe, die IT-Systeme des Unternehmens effizienter, sicherer und leichter zugänglich zu machen. In einem internationalen Software-Beratungsunternehmen, bei dem Mitarbeiterproduktivität im direkten Zusammenhang mit dem Umsatz steht, ist das eine wichtige Verantwortung. Thoughtworks-Mitarbeiter müssen zuverlässig von jedem Ort aus arbeiten können.
Da die Arbeit zunehmend vernetzter sowie geografisch verteilter wird und das Unternehmen gewachsen ist, mussten sich auch die IT-Systeme von Thoughtworks erheblich ändern. „Wir wechselten von einer herkömmlichen lokal gehosteten Umgebung zu einem Cloud-First-Ansatz“, erklärt Ibarrola. Mit Cloud-basierten Anwendungen und Systemen kann das Unternehmen schnell skalieren, um mit einem jährlichen Mitarbeiterwachstum von 10–15 % Schritt halten zu können und gleichzeitig im Vergleich zu herkömmlicher Software Kosten zu sparen. „Im Jahr 2011 dachten wir, die Cloud wäre die Zukunft der Arbeit“, erinnert er sich, „und wir sind immer noch der Meinung, dass sich der Markt in Richtung Cloud entwickelt.“
Im Rahmen des Wechsels in die Cloud setzt Thoughtworks auf erstklassige Technologien und möchte die besten Tools und Services von einer Vielzahl von Anbietern einsetzen. Im Laufe der Zeit verzichtete Thoughtworks auf immer mehr Microsoft-Komponenten wie Server und Anwendungen und wechselte für den größten Teil der Mitarbeiter zu Mac-Laptops.
Optimierung eines schwerfälligen IT-Ökosystems
Angesichts weniger Microsoft-Geräte und mehr Cloud-basierter Software wurde die Abhängigkeit von Microsoft Active Directory (AD) zum Problem. „Microsoft AD wurde ein immer weniger wichtiger und weniger interessanter Teil unserer Infrastruktur“, erklärt Ibarrola. „AD konnte nicht mit uns Schritt halten.“
Das führte zu einer komplexen und schwerfälligen IT-Umgebung. Alle Zugriffsrechte wurden manuell oder mit intern entwickelten Integrationen vergeben. „Das war ein Riesenchaos“, erinnert sich Ibarrola. „Wir hatten eine Menge instabiler Synchronisierungsskripte, die unsere Systeme mit unserem Active Directory verbinden sollten. Es war schwerfällig und schwer zu pflegen.“ Besonders problematisch waren Anwendungen, die neuen Mitarbeitern nicht automatisch zugewiesen wurden, zum Beispiel weil sie von unterschiedlichen geschäftlichen Teams verwaltet wurden. Das führte dazu, dass das IT-Team wie Verkehrspolizisten zwischen mehreren Parteien vermitteln musste.
Wenn die Synchronisierung von AD fehlschlug oder Skripte nicht ordnungsgemäß funktionierten, mussten IT-Administratoren erheblich Zeit und Mühe investieren, um die Ursache zu finden – während die Mitarbeiter nicht arbeiten konnten. „Wenn unsere Authentifizierungssysteme aufgrund eines AD-Fehlers die Mitarbeiter aussperren, kostet uns das bares Geld. Unsere Leute können keine Zeiterfassungsbögen ausfüllen, keine Kunden abrechnen und schlicht nicht arbeiten, weil sie keinen Zugriff auf geschäftskritische Anwendungen erhalten“, erklärt Ibarrola.
„Active Directory war bei uns stets mit einem gewissen unkontrollierbaren Risiko verbunden, da uns das nötige Fachwissen bzw. die entsprechenden Spezialisten fehlten“, führt er weiter aus.
Diese fehlenden Kompetenzen zogen auch begründete Zweifel an der Sicherheit nach sich. „Unser Unternehmen ist 25 Jahre alt und unser Netzwerksicherheitsmodell stammte aus der Anfangszeit“, weiß Ibarrola zu berichten. „Da wir keine großen Kompetenzen im Hinblick auf Windows hatten, besaßen wir wahrscheinlich keinen besonders guten Überblick über unsere Active Directory-Server. Dadurch konnte es beispielsweise vorkommen, dass unsere Active Directory-Server intern von Mitarbeitern mit massenhaften Anfragen lahmgelegt wurden, und wir hatten keine Ahnung oder bemerkten es erst, als es zu spät war.“
Eine schwere Last für den Support
Um diese Risiken zu beseitigen, entschied sich Thoughtworks für Multi-Faktor-Authentifizierung (MFA) von RSA. Allerdings beeinträchtigte RSA die Mitarbeiterproduktivität: Mehr als 35 % der Helpdesk-Anfragen bezogen sich auf Probleme mit physischen RSA-Sicherheitstoken. Mitarbeiter verbrachten viel Zeit damit, auf MFA-Aufforderungen zu reagieren und konnten während der MFA oder einer Passwortrücksetzung häufig für mehr als 30 Minuten nicht weiterarbeiten.
Viele Mitarbeiter von Thoughtworks arbeiten remote mit Laptops und Mobilgeräten, was weitere Sorgen nach sich zog. Als die IT-Abteilung beginnen wollte, eine BYOD-Richtlinie (Bring Your Own Device) zu implementieren, stellte sich für Ibarrola die Frage: „Wie würden sich BYOD und Mobilgerätemanagement auf unsere Kultur des Vertrauens und der Offenheit auswirken?“ Ibarrola und sein Team hatten sich das Ziel gesetzt, eine Mobilgerätestrategie zu entwickeln, die wichtige Unternehmens- und Kundendaten schützte und gleichzeitig Benutzerfreundlichkeit gewährleistete.
Suche nach einem Unternehmen mit offenen Standards
Ibarrola wusste, dass die IT-Abteilung das wachsende Unternehmen mit seiner bestehenden Strategie nur mit erheblichen Veränderungen unterstützen konnte. Er wollte SaaS nutzen, um den Supportaufwand zu reduzieren. „Wir wechselten in die Cloud, weil unser internes IT-Team mit unserem schnellen Wachstum und der veralteten, lokalen Software nicht mithalten konnte“, erklärt Ibarrola.
Die IT-Abteilung nahm sich zuerst die grundlegenden geschäftlichen Produktivitätsanwendungen vor. Sie migrierte mehr als 2.000 Thoughtworks-Mitarbeiter von der lokalen Microsoft-Geschäftssuite zu Google Apps. Anschließend nahm Ibarrola das Problem der umständlichen MFA-Lösung von RSA sowie die Schwierigkeiten der Mitarbeiter beim Zugriff auf ihre Anwendungen in Angriff. Ibarrola suchte nach einem besseren Identitätsmanagementsystem, das den Wechsel des Unternehmens in die Cloud unterstützen würde. „Wir mussten diese Situation verbessern – nicht nur für die IT-Mitarbeiter, sondern auch für unsere Endbenutzer“, führt er aus.
Ibarrola war überzeugt, dass Interoperabilität durch offene Standards und die Nutzung hervorragender Anwendungen der beste Weg sind. „Wir suchten nach einer Single Sign-On-Lösung, die offene Standards unterstützte und es uns ermöglichte, die Cloud schneller einzuführen“, berichtet er.
Cloud-Architektur gewährleistet sicheres Identitätsmanagement
Ibarrola entschied sich für Okta Identity Cloud, nachdem er eine Reihe von Lösungen für das Identitäts- und Zugriffsmanagement unter die Lupe genommen hatte. „Okta war die bei weitem die beste Lösung. Sie erfüllte alle unsere Kriterien und verfügte über eine echte Cloud-Architektur.“ Ibarrola schätzte auch die Flexibilität von Okta Adaptive MFA. „Der größte Vorteil von Okta für das Benutzererlebnis sind für uns die Multi-Faktor-Authentifizierung und die im Vergleich zu unserer vorherigen Lösung einfache Einrichtung.“
Mit Okta Universal Directory konnte das IT-Team von Thoughtworks einen flexiblen, Cloud-basierten Benutzerspeicher bereitstellen, um alle Benutzerattribute anzupassen, zu organisieren und zu verwalten. Im nächsten Schritt implementierte Thoughtworks das Okta Lifecycle Management mit Access Request Workflow, um den Zugriffsanfragen zu Anwendungen automatisch an die Verantwortlichen der Geschäftsanwendungen zu delegieren. „Das Endergebnis ist ein besseres Benutzererlebnis mit kürzeren Bearbeitungszeiten, weniger Hindernissen und weniger Weiterleitungen“, betont er. Außerdem fühlt sich die IT-Abteilung nicht mehr als Vermittlerin zwischen den Benutzern und den Verantwortlichen der Geschäftsanwendungen und konnte zusätzlich den gesamten Prozess optimieren.
Geringere Abhängigkeit vom AD
Nach der Implementierung der Okta Identity Cloud stellten Ibarrola und sein Team fest, dass sie Microsoft Active Directory aus ihrer Infrastruktur entfernen konnten. „Die Fehleranfälligkeit von AD hatte uns gezeigt, dass wir nicht mehr davon abhängig sein wollten. Das war ein Risikofaktor, und wir hatten eine bessere Alternative“, erinnert er sich. Durch die Entfernung von AD wurden nicht nur die gesamte IT-Umgebung optimiert und die Sicherheit gestärkt, sondern auch die Kosten gesenkt. „Das war ein zusätzlicher Vorteil: Wir konnten AD aus unserem Unternehmensvertrag ausschließen und damit die Ausgaben an Microsoft senken“, freut sich Ibarrola.
Ibarrolas Strategie hatte zwei Stoßrichtungen. Erstens: Gewährleisten, dass keine neuen Anwendungen oder weiteren Ressourcen von der AD-Infrastruktur abhängig waren. „Dadurch ließ sich der Wechsel bewältigen“, so Ibarrola. „Wir mussten das zur Grundvoraussetzung machen.“
Zweitens: Mit dem strategischen Austausch von Active Directory-Komponenten beginnen. Ibarrola und sein Team ermittelten alle von AD abhängigen Anwendungen und Ressourcen – einschließlich Druckern und Netzwerken. „Nachdem wir uns einen Überblick über den Bestand verschafft hatten, legten wir die Prioritäten fest und erstellten eine Rangliste. Dann schalteten wir sie nach und nach ab und holten die Mitarbeiter Schritt für Schritt zwangsweise aus ihrer Abhängigkeit von AD.“
Die Entfernung von AD muss sorgfältig geplant und zielgerichtet durchgeführt werden, ist jedoch laut Ibarrola die Mühe allemal wert. „Wir profitieren bereits davon, für delegierte Authentifizierung nicht mehr von AD abhängig zu sein“, betont Ibarrola. „Da AD kein wesentlicher Teil unserer Infrastruktur mehr ist, sind wir jetzt alle deutlich entspannter.“
Netzwerktechnik und WLAN sind die einzigen Teile der Umgebung, die noch in AD integriert sind, und Ibarrola rechnet damit, dass sich das innerhalb der nächsten sechs Monate ändert.
Mehr Zeit, weniger Kosten
Thoughtworks hat inzwischen über 100 Cloud-Anwendungen mit Okta verbunden. „Für unsere wichtigsten Services setzen wir schon lange auf einen Cloud First-Ansatz. G Suite führten wir im Jahr 2008 ein und gehörten zu den ersten, die Okta, Zoom, Box und andere einsetzten. Diese Tools ermöglichen die Zusammenarbeit in unserer verteilten und vernetzten Arbeitsumgebung und werden vollständig über die Cloud verwaltet. Das ist die Zukunft der Arbeit.“
Nachdem Okta Lifecycle Management für 16 Anwendungen implementiert wurde, konnte Thoughtworks mehr als 1.000 Stunden für manuelles On- und Offboarding sowie Fehlerbehebung einsparen.
Das Erteilen von Zugriffsrechten ist viel vorhersehbarer und weniger fehleranfällig geworden. Allen neuen Mitarbeitern werden die Rechte für Anwendungen, die sie von Anfang an benötigen, an ihrem ersten Arbeitstag korrekt erteilt. Um Daten und geistiges Eigentum zu schützen, kann die IT-Abteilung den Zugriff schnell sperren, wenn ein Mitarbeiter das Unternehmen verlässt. Zudem nutzt Thoughtworks die in Okta verfügbaren Berichte für Audits. Effizientes Offboarding bietet auch Kostenvorteile für Cloud-basierte Anwendungen. „Durch die zeitnahe Entfernung von Zugriffsrechten können wir die Kosten von Lizenzen und Abonnements kontrollieren“, hebt Ibarrola hervor.
Dank Okta Adaptive MFA ist die Gesamtzahl der Helpdesk-Anfragen für das Zurücksetzen von Passwörtern und MFA-Anmeldedaten um 90 % gesunken – eine Einsparung von 800.000 US-Dollar. Außerdem vergeuden Endbenutzer dank Okta Verify mit Push und flexiblem Richtlinien-Framework deutlich weniger Zeit mit MFA-Aufforderungen. Dies steigert die Produktivität um mehr als 400.000 US-Dollar. Außerdem sparte Thoughtworks 200.000 US-Dollar durch Sicherheitsverbesserungen.
Hinzu kommt, dass sich dank Okta die kostenintensive Pflege der Integrationen für 25 Anwendungen erübrigt und die Abschaffung von RSA weitere 50.000 US-Dollar spart. Die verringerte Zahl von Systemausfällen sparte schließlich 300.000 US-Dollar durch verbesserte Produktivität ein.
„Okta ist das Herzstück all unserer Authentifizierungen“, so Ibarrola. „Wir sind viel entspannter, da wir wissen, dass Okta die gesamte Überwachung und Analyse übernimmt. Unsere Passwörter und unser primärer Identitätsspeicher liegen bei Okta. Wir wissen, dass deren Expertenteam besseren Schutz bietet als wir das intern leisten könnten.“
Im nächsten Schritt plant Ibarrola die Implementierung von Okta Advanced Server Access für die letzten lokalen Linux-Server bei Thoughtworks. „Okta ist ein großartiger Partner und Anbieter“, betont er. „Wir werden über aktuelle Vorgänge und zukünftige Entwicklungen stets auf dem Laufenden gehalten.“
Über Thoughtworks
Thoughtworks besteht seit über 20 Jahren und ist heute ein weltweit tätiges Softwareunternehmen und Arbeitsplatz einer Gemeinschaft begeisterter, zielstrebiger Menschen. Von einer kleinen Gruppe in Chicago wuchs das Unternehmen zu einem Konzern mit über 7.000 Mitarbeitern in 43 Niederlassungen in 14 Ländern.
