Case Study

Identity & Access Management im Produktionsumfeld

Hydro Extrusion Nenzing GmbH
Branche
Aluminium · Strangpressprofile
Leistung
Identity & Access Management
Stack
OAuth2 · OpenID Connect · RFID
Authentifizierungs-Architektur - RFID-Login über einen Identity Provider (OAuth2/OIDC), rollenbasierte Prüfung, Step-up und tokenbasierter Zugriff.
Authentifizierungs-Architektur - RFID-Login über einen Identity Provider (OAuth2/OIDC), rollenbasierte Prüfung, Step-up und tokenbasierter Zugriff.
Ausgangslage

Die Hydro Extrusion Nenzing GmbH ist Teil des international tätigen Aluminiumkonzerns Norsk Hydro ASA und spezialisiert auf die Fertigung von hochwertigen Strangpressprofilen.

Am Standort Nenzing wurde ein neues, vollständig webbasiertes Leitsystem eingeführt, zentral über den Browser genutzt. Ziel war eine wartbare, skalierbare Architektur, die sich flexibel in die bestehende IT- und Produktionslandschaft integriert.

Mit dem Wegfall klassischer Client-Lösungen rückten zentrale Authentifizierung, rollenbasierte Zugriffskontrolle und eine konsistente, sichere Sitzungsverwaltung in den Fokus - bei häufig wechselnden Benutzern, abgestuften Berechtigungsstufen und hohen Anforderungen an Nachvollziehbarkeit, Auditierbarkeit und Compliance.

Gesucht war ein Authentifizierungskonzept, das den Betrieb eines webbasierten Produktionssystems trägt und sich langfristig als zentrale Identitätsinstanz mit klarer Audit- und Compliance-Fähigkeit etabliert.

Zielsetzung

Konzeption und Umsetzung eines flexiblen, konfigurierbaren Authentifizierungs- und Zugriffskonzepts, das den sicheren Betrieb eines webbasierten Produktionssystems trägt und unterschiedliche Sicherheitsanforderungen abbildet:

01Konfigurierbare Authentifizierungslogik, um Sicherheitsstufen rollen- und kontextabhängig zu steuern
02RFID-basierte Anmeldung für schnelle, praxistaugliche Logins im Produktionsumfeld
03Zusätzliche Authentifizierungsfaktoren (MFA) für erhöhte Sicherheitsanforderungen
04Audit- und Compliance-Fähigkeit durch nachvollziehbare Authentifizierungs- und Berechtigungsprozesse
05Erweiterbare Architektur für künftige Authentifizierungsmechanismen ohne grundlegende Systemanpassungen

Umsetzung

Zentrale Identitätskomponente

Die Authentifizierungs- und Zugriffslösung wurde als zentrale, vom Fachsystem entkoppelte Identitätskomponente umgesetzt. Sie basiert auf etablierten Web- und Security-Standards (OAuth2 / OpenID Connect) und ermöglicht eine konsistente, nachvollziehbare Authentifizierung und Autorisierung.

Das webbasierte Leitsystem agiert ausschliesslich als OAuth2-Client. Zugriffsentscheidungen erfolgen auf Basis signierter Tokens, die Benutzeridentität sowie Rollen- und Gruppeninformationen als Claims enthalten. Eine eigene Benutzerverwaltung in der Anwendung ist nicht erforderlich.

Rollenbasierte Authentifizierung mit Step-Up Security

Für den Einsatz im Produktionsumfeld wurde ein RFID-basierter Login integriert. Über einen dedizierten Authentifizierungs-Provider melden sich Benutzer mittels RFID-Badge an - konfigurierbar und rollenabhängig, sodass schnelle Anmeldungen möglich sind, ohne Sicherheitsanforderungen generell abzusenken.

Ergänzend wurde ein stufenweises Authentifizierungskonzept (Step-up Authentication) umgesetzt. Für sicherheitskritische Rollen oder Aktionen werden zusätzliche Faktoren eingefordert - rollenbasiert und policy-gesteuert.

RFID-Login am Produktionsterminal.
RFID-Login am Produktionsterminal.

Automatische Rollen- und Gruppen-Synchronisation

Berechtigungen werden zentral über Rollen- und Gruppenmodelle gesteuert und aus dem führenden MES-System synchronisiert. Änderungen an Zuständigkeiten wirken dadurch zeitnah auf die effektiven Zugriffsrechte, ohne manuelle Pflege in der Anwendung.

Die Lösung ist audit- und compliancefähig ausgelegt: Authentifizierungen, Rollenwechsel und privilegierte Zugriffe sind nachvollziehbar und strukturiert auswertbar. Durch den modularen Aufbau und offene Standards ist die Architektur erweiterbar und standortweit einsetzbar.

Ergebnisse & Mehrwert

Erreichte Wirkung

Bessere Bedienbarkeit
RFID-Login beschleunigt die Anmeldung und reduziert Unterbrüche im Produktionsalltag.
Sicherheit, wo nötig
Step-up Authentifizierung sichert kritische Rollen und Aktionen gezielt ab, ohne den Standardbetrieb zu bremsen.
Audit- & Compliance-fähig
Zugriffe, Rollen und privilegierte Aktionen sind zentral definiert und strukturiert auswertbar.
Weniger Administration
Zentrale Rollen- und Gruppensteuerung macht redundante Benutzerverwaltung in der Anwendung überflüssig.
Zukunftssichere Architektur
Modular, erweiterbar, auf offenen Standards - nutzbar als zentrale Identitätskomponente für weitere Anwendungen.

Fazit

Die Lösung stellt eine konsistente, standardisierte Identitäts- und Zugriffsschicht für den Betrieb eines webbasierten Produktionssystems dar. Durch die klare Trennung von Identitätslogik und Fachanwendung, tokenbasierte Autorisierung und ein rollen- und policy-gesteuertes Authentifizierungskonzept entsteht ein belastbarer, wartbarer Sicherheitsstandard.

Die Architektur ist auf Erweiterbarkeit, Auditierbarkeit und standortweiten Einsatz ausgelegt und lässt sich ohne strukturelle Anpassungen auf weitere Anwendungen übertragen - keine reine Login-Lösung, sondern eine saubere Basis für langfristige Identity- und Security-Strategien im industriellen Umfeld.

Die Umsetzung ist technisch sehr sauber. Architektur, Security und Betrieb greifen stimmig ineinander und funktionieren stabil. Für den Standort Nenzing bildet die Lösung eine belastbare Grundlage für weitere Anwendungen.

Daniel Burtscher, Teamlead ITS Nenzing, Global Business Solutions

Sichere Produktionssysteme planen?

Wir klären, wie Authentifizierung, Rollen, Audits und operative Bedienbarkeit in Ihrer Produktionsumgebung zusammenpassen.

Projekt besprechen