Identity & Access Management im Produktionsumfeld
Hydro Extrusion Nenzing GmbH
Die Hydro Extrusion Nenzing GmbH ist Teil des international tätigen Aluminiumkonzerns Norsk Hydro ASA und spezialisiert auf die Fertigung von hochwertigen Strangpressprofilen.
Am Standort Nenzing wurde ein neues, vollständig webbasiertes Leitsystem eingeführt, zentral über den Browser genutzt. Ziel war eine wartbare, skalierbare Architektur, die sich flexibel in die bestehende IT- und Produktionslandschaft integriert.
Mit dem Wegfall klassischer Client-Lösungen rückten zentrale Authentifizierung, rollenbasierte Zugriffskontrolle und eine konsistente, sichere Sitzungsverwaltung in den Fokus - bei häufig wechselnden Benutzern, abgestuften Berechtigungsstufen und hohen Anforderungen an Nachvollziehbarkeit, Auditierbarkeit und Compliance.
Gesucht war ein Authentifizierungskonzept, das den Betrieb eines webbasierten Produktionssystems trägt und sich langfristig als zentrale Identitätsinstanz mit klarer Audit- und Compliance-Fähigkeit etabliert.
Zielsetzung
Konzeption und Umsetzung eines flexiblen, konfigurierbaren Authentifizierungs- und Zugriffskonzepts, das den sicheren Betrieb eines webbasierten Produktionssystems trägt und unterschiedliche Sicherheitsanforderungen abbildet:
Umsetzung
Zentrale Identitätskomponente
Die Authentifizierungs- und Zugriffslösung wurde als zentrale, vom Fachsystem entkoppelte Identitätskomponente umgesetzt. Sie basiert auf etablierten Web- und Security-Standards (OAuth2 / OpenID Connect) und ermöglicht eine konsistente, nachvollziehbare Authentifizierung und Autorisierung.
Das webbasierte Leitsystem agiert ausschliesslich als OAuth2-Client. Zugriffsentscheidungen erfolgen auf Basis signierter Tokens, die Benutzeridentität sowie Rollen- und Gruppeninformationen als Claims enthalten. Eine eigene Benutzerverwaltung in der Anwendung ist nicht erforderlich.
Rollenbasierte Authentifizierung mit Step-Up Security
Für den Einsatz im Produktionsumfeld wurde ein RFID-basierter Login integriert. Über einen dedizierten Authentifizierungs-Provider melden sich Benutzer mittels RFID-Badge an - konfigurierbar und rollenabhängig, sodass schnelle Anmeldungen möglich sind, ohne Sicherheitsanforderungen generell abzusenken.
Ergänzend wurde ein stufenweises Authentifizierungskonzept (Step-up Authentication) umgesetzt. Für sicherheitskritische Rollen oder Aktionen werden zusätzliche Faktoren eingefordert - rollenbasiert und policy-gesteuert.

Automatische Rollen- und Gruppen-Synchronisation
Berechtigungen werden zentral über Rollen- und Gruppenmodelle gesteuert und aus dem führenden MES-System synchronisiert. Änderungen an Zuständigkeiten wirken dadurch zeitnah auf die effektiven Zugriffsrechte, ohne manuelle Pflege in der Anwendung.
Die Lösung ist audit- und compliancefähig ausgelegt: Authentifizierungen, Rollenwechsel und privilegierte Zugriffe sind nachvollziehbar und strukturiert auswertbar. Durch den modularen Aufbau und offene Standards ist die Architektur erweiterbar und standortweit einsetzbar.
Ergebnisse & Mehrwert
Erreichte Wirkung
Fazit
Die Lösung stellt eine konsistente, standardisierte Identitäts- und Zugriffsschicht für den Betrieb eines webbasierten Produktionssystems dar. Durch die klare Trennung von Identitätslogik und Fachanwendung, tokenbasierte Autorisierung und ein rollen- und policy-gesteuertes Authentifizierungskonzept entsteht ein belastbarer, wartbarer Sicherheitsstandard.
Die Architektur ist auf Erweiterbarkeit, Auditierbarkeit und standortweiten Einsatz ausgelegt und lässt sich ohne strukturelle Anpassungen auf weitere Anwendungen übertragen - keine reine Login-Lösung, sondern eine saubere Basis für langfristige Identity- und Security-Strategien im industriellen Umfeld.
Die Umsetzung ist technisch sehr sauber. Architektur, Security und Betrieb greifen stimmig ineinander und funktionieren stabil. Für den Standort Nenzing bildet die Lösung eine belastbare Grundlage für weitere Anwendungen.
Daniel Burtscher, Teamlead ITS Nenzing, Global Business Solutions
Sichere Produktionssysteme planen?
Wir klären, wie Authentifizierung, Rollen, Audits und operative Bedienbarkeit in Ihrer Produktionsumgebung zusammenpassen.
Projekt besprechenPrivatsphäre-Einstellungen
Wir verwenden Cookies und vergleichbare Technologien auf unserer Website und verarbeiten dabei auch personenbezogene Daten (z. B. IP-Adresse). Dies dient unter anderem dazu, Inhalte und Anzeigen zu personalisieren, Medien von Drittanbietern einzubinden sowie die Nutzung unserer Website zu analysieren. Die Verarbeitung Ihrer Daten kann entweder auf Grundlage Ihrer Einwilligung oder - in einzelnen Fällen - aufgrund eines berechtigten Interesses erfolgen, dem Sie jederzeit widersprechen können. Sie haben das Recht, Ihre Einwilligung zu verweigern oder diese später zu ändern bzw. zu widerrufen. Details in unserer Datenschutzerklärung.