Identity & Access Management im Produktionsumfeld

Hydro Extrusion Nenzing GmbH

Ausgangslage

Die Hydro Extrusion Nenzing GmbH ist Teil des international tätigen Aluminiumkonzerns Norsk Hydro ASA und spezialisiert auf die Fertigung von hochwertigen Strangpressprofilen.

Am Standort Nenzing wurde ein neues, vollständig webbasiertes Leitsystem eingeführt, das auf modernen Webtechnologien basiert und zentral über den Browser genutzt wird. Ziel war eine wartbare, skalierbare Architektur, die sich flexibel in die bestehende IT- und Produktionslandschaft integrieren lässt.

Mit dem Wegfall klassischer Client-Lösungen rückten eine zentrale Authentifizierung, rollenbasierte Zugriffskontrolle sowie eine konsistente und sichere Sitzungsverwaltung in den Fokus. Gleichzeitig mussten häufig wechselnde Benutzer, abgestufte Berechtigungsstufen sowie hohe Anforderungen an Nachvollziehbarkeit, Auditierbarkeit und Compliance zuverlässig erfüllt werden.

Gesucht war daher ein Authentifizierungskonzept, das den Betrieb eines webbasierten Produktionssystems unterstützt und sich langfristig als zentrale Identitätsinstanz mit klarer Audit- und Compliance-Fähigkeit etablieren lässt.

Zielsetzung

Ziel war die Konzeption und Umsetzung eines flexiblen und konfigurierbaren Authentifizierungs- und Zugriffskonzepts, das den sicheren Betrieb eines webbasierten Produktionssystems unterstützt und unterschiedliche Sicherheitsanforderungen abbilden kann.

Die Lösung sollte folgende Zielsetzungen erfüllen:

  1. Konfigurierbare Authentifizierungslogik, um Sicherheitsstufen rollen- und kontextabhängig steuern zu können
  2. RFID-basierte Anmeldung für schnelle und praxistaugliche Logins im Produktionsumfeld
  3. Unterstützung zusätzlicher Authentifizierungsfaktoren wie MFA für erhöhte Sicherheitsanforderungen
  4. Audit- und Compliance-Fähigkeit durch nachvollziehbare Authentifizierungs- und Berechtigungsprozesse
  5. Erweiterbare Architektur, die zukünftige Authentifizierungsmechanismen und Anforderungen ohne grundlegende Systemanpassungen ermöglicht

Damit wurde eine Lösung angestrebt, die Sicherheit, Benutzerfreundlichkeit und langfristige Weiterentwicklung gleichermassen berücksichtigt.

Umsetzung

Die Authentifizierungs- und Zugriffslösung wurde als zentrale, vom Fachsystem entkoppelte Identitätskomponente umgesetzt. Sie basiert auf etablierten Web- und Security-Standards (OAuth2 / OpenID Connect) und ermöglicht eine konsistente, nachvollziehbare Authentifizierung und Autorisierung.

Rollenbasierte Authentifizierung mit Step-Up Security

Das webbasierte Leitsystem agiert dabei ausschliesslich als OAuth2-Client. Zugriffsentscheidungen erfolgen auf Basis signierter Tokens, die Benutzeridentität sowie Rollen- und Gruppeninformationen als Claims enthalten. Eine eigene Benutzerverwaltung in der Anwendung ist nicht erforderlich.

Für den Einsatz im Produktionsumfeld wurde ein RFID-basierter Login integriert. Über einen dedizierten Authentifizierungs-Provider können Benutzer sich mittels RFID-Badge anmelden. Die Nutzung ist konfigurierbar und rollenabhängig, sodass schnelle Anmeldungen ermöglicht werden, ohne Sicherheitsanforderungen generell abzusenken.

Ergänzend wurde ein stufenweises Authentifizierungskonzept (Step-up Authentication) umgesetzt. Für sicherheitskritische Rollen oder Aktionen werden zusätzliche Authentifizierungsfaktoren eingefordert. Die Auslösung erfolgt rollenbasiert und policy-gesteuert.

Automatische Rollen- und Gruppen-Synchronisation

Berechtigungen werden zentral über Rollen- und Gruppenmodelle gesteuert und aus dem führenden MES-System synchronisiert. Änderungen an Zuständigkeiten wirken dadurch zeitnah auf die effektiven Zugriffsrechte, ohne manuelle Pflege in der Anwendung.

Die Lösung ist somit audit- und compliancefähig ausgelegt und es sind jegliche

  • Authentifizierungen
  • Rollenwechsel
  • und privilegierte Zugriffe

nachvollziehbar und strukturiert auswertbar.

Durch den modularen Aufbau und die Verwendung offener Standards ist die Architektur erweiterbar und standortweit einsetzbar.

Ergebnisse & Mehrwert

Mit der Umsetzung der neuen Authentifizierungs- und Zugriffslösung konnte der Betrieb des webbasierten Leitsystems sicher, effizient und zukunftsfähig abgesichert werden.

Verbesserte Benutzerfreundlichkeit im operativen Betrieb

Durch den RFID-basierten Login konnten Anmeldeprozesse deutlich vereinfacht und beschleunigt werden. Insbesondere im Produktionsumfeld reduziert dies Unterbrüche im Arbeitsablauf und erhöht die Akzeptanz bei den Anwendern.

Erhöhte Sicherheit bei kritischen Funktionen

Das stufenweise Authentifizierungskonzept stellt sicher, dass sensible Rollen und Aktionen zusätzlich abgesichert sind. Sicherheit wird gezielt dort erhöht, wo sie erforderlich ist – ohne den Standardbetrieb unnötig zu verlangsamen.

Klare Audit- und Compliance-Fähigkeit

Zugriffe, Rollen und Berechtigungen sind zentral definiert und nachvollziehbar. Authentifizierungen und privilegierte Aktionen lassen sich strukturiert auswerten und bilden eine belastbare Grundlage für interne und externe Audits.

Reduzierter Administrationsaufwand

Durch die zentrale Rollen- und Gruppensteuerung entfällt eine redundante Benutzerverwaltung in der Anwendung. Änderungen an Zuständigkeiten wirken zeitnah und konsistent auf alle angebundenen Systeme.

Zukunftssichere Architektur

Die Lösung ist modular, erweiterbar und auf offenen Standards aufgebaut. Sie kann als zentrale Identitätskomponente für weitere Anwendungen genutzt und um zusätzliche Authentifizierungsfaktoren oder Sicherheitsmechanismen ergänzt werden.

Fazit

Die umgesetzte Lösung stellt eine konsistente, standardisierte Identitäts- und Zugriffsschicht für den Betrieb eines webbasierten Produktionssystems dar. Durch die klare Trennung von Identitätslogik und Fachanwendung, die Nutzung tokenbasierter Autorisierung sowie ein rollen- und policy-gesteuertes Authentifizierungskonzept wird ein belastbarer und wartbarer Sicherheitsstandard erreicht.

Die Architektur ist auf Erweiterbarkeit, Auditierbarkeit und standortweiten Einsatz ausgelegt und lässt sich ohne strukturelle Anpassungen auf weitere Anwendungen übertragen. Damit entsteht nicht nur eine funktionierende Login-Lösung, sondern eine technisch saubere Basis für langfristige Identity- und Security-Strategien im industriellen Umfeld.

"Die Umsetzung ist technisch sehr sauber. Architektur, Security und Betrieb greifen stimmig ineinander und funktionieren stabil. Für den Standort Nenzing bildet die Lösung eine belastbare Grundlage für weitere Anwendungen."

  • Daniel Burtscher
    Teamlead ITS Nenzing, Global Business Solutions

Pritz IT GmbH

Branchen

Manufacturing

Lösungen

ProzessautomatisierungSmart FactoryORPIT® FUSION COREORPIT® Working CapitalInformation Management

Jobs

Aktuelle Ausschreibungen
KontaktDatenschutzImpressumNachhaltigkeitPrivatsphäre-Einstellungen ändern
© 2025
Pritz IT GmbH. All rights reserved