Skalierbares IAM für 25.000 Mitarbeitende

Wie bringt man Identity Management (IDM) in einem Unternehmen mit rund 25.000 Mitarbeitenden und knapp 400 Filialen auf ein neues Niveau? Das Schwergewicht im europäischen Möbelhandel XXXLutz hat gemeinsam mit IPG die Grundlage dafür geschaffen: mit automatisiertem Account Management, einem stabilen User Lifecycle und einer skalierbaren IAM-Architektur, die bereits heute zentrale Prozesse entlastet und den Weg für weitere Ausbaustufen ebnet.  
 

Als einer der größten Möbelhändler Europas stand XXXLutz vor der Herausforderung, Benutzerkonten und Berechtigungen in einer Größenordnung zu verwalten, die mit manuellen Prozessen nicht mehr sinnvoll abbildbar war. Für diese Anzahl an Nutzer:innen konnten personalisierte Accounts im Active Directory nicht effizient bereitgestellt werden. Gleichzeitig ließ sich die Berechtigungsvergabe händisch nicht mehr wirtschaftlich und konsistent organisieren. Genau diese Basis war aber notwendig, um Cloud-Applikationen anzubinden und Single Sign-on auch im Vertrieb zu ermöglichen.  
 

Zusätzlichen Handlungsdruck erzeugte die bestehende Systemlandschaft bei E-Mails. XXXLutz arbeitete mit zwei unterschiedlichen Mailsystemen. Die geplante Umstellung der Filialmitarbeitenden auf dasselbe System der Zentralmitarbeitenden erforderte einen hohen Automatisierungsgrad, der mit den vorhandenen Mitteln nicht erreichbar war. Gleichzeitig bestand die zentrale Anforderung, den Benutzerstamm aus dem Warenwirtschaftssystem als führendem Quellsystem mit Active Directory bzw. perspektivisch mit Entra ID zu synchronisieren. Die Warenwirtschaft bildete dabei die maßgebliche Datenbasis für Identitäten, verfügte jedoch über keine standardisierte IAM-Integration. Es brauchte also eine Lösung, die nicht nur einzelne Aufgaben vereinfacht, sondern eine durchgängige, systemübergreifende Orchestrierung des Benutzerlebenszyklus ermöglicht.

Die Zielsetzung zu Beginn war bewusst pragmatisch gewählt. Im ersten Schritt sollte nur das Account Management beziehungsweise der IDM-Teil der IAM-Lösung aktiviert werden, um die Komplexität im initialen Release überschaubar zu halten. Weitere Funktionen sollten in späteren Phasen schrittweise ergänzt werden. Genau dieser Ansatz legte den Grundstein für eine kontrollierte Einführung mit klarem Fokus und realistischem Scope. 

Für die Umsetzung entschied sich XXXLutz für eine IAM-Architektur auf Basis des OpenText NetIQ-IAM-Portfolios. Im Zentrum steht Identity Manager (IDM), der den User Lifecycle orchestriert und die angebundenen Systeme integriert. 

Dieser baut auf ein zentrales Identitätsrepository, das als führendes System („Source of Truth“) für Identitäts- und Berechtigungsdaten innerhalb der IAM-Landschaft fungiert. Von hier aus werden die relevanten Zielsysteme, insbesondere das Active Directory, automatisiert versorgt. 

Die Anbindung des Warenwirtschaftssystems als führendes Quellsystem erfolgte über eine eigens entwickelte REST API. Diese ermöglicht nicht nur die Synchronisation von Stammdaten, sondern bildet auch die Grundlage für sicheres Passwortmanagement. 

Die Implementierung dauerte inklusive Aufbau der Testumgebung rund ein Jahr. Der Projektverlauf war klar strukturiert: Zunächst wurden in einer separaten Proof-of-Concept-Umgebung die Grundfunktionen getestet. Nachdem diese erfolgreich validiert waren, wurde definiert, welche Funktionen für den Go-live wirklich relevant sind. Anschließend spezifizierte das Team den Scope, testete intensiv und bereitete den produktiven Rollout für das gesamte Unternehmen vor.

Ein wichtiger Motivationsfaktor im Projekt war die Erkenntnis, dass sich mit der Lösung im Kern genau die Automatisierung umsetzen lässt, die XXXLutz benötigt. Gleichzeitig zeigte sich im Projektverlauf, wie flexibel die Plattform ist und wie die Lösung als tragfähige Grundlage für die nächsten Ausbaustufen taugt. 

Eine besondere Herausforderung lag in der Anbindung der Warenwirtschaft als führendes System für Benutzerstammdaten. Diese Integration war technisch komplex und musste stabil sowie performant umgesetzt werden, um konsistente Identitäten über alle Systeme hinweg sicherzustellen. 

Hierfür wurden dedizierte REST-basierte Schnittstellen entwickelt. Diese ermöglichen eine eventbasierte Synchronisation von Benutzerdaten sowie die Integration des Passwortmanagements. Gerade an dieser Stelle wurde deutlich, wie entscheidend ein sauberer Integrationsansatz für einen stabilen, skalierbaren IAM-Betrieb ist.

Für die Umsetzung des IAM-Projekts entschied sich XXXLutz auf Empfehlung des Herstellers für eine Zusammenarbeit mit IPG. Ausschlaggebend waren dabei insbesondere unsere technische Expertise, unser pragmatischer Umsetzungsansatz und unsere Erfahrung in der Integration komplexer Systemlandschaften. Im Projekt übernahm IPG eine zentrale Rolle bei der Konzeption und Umsetzung der Schnittstellen zwischen Warenwirtschaft, Identity Management und Active Directory sowie bei der Realisierung individueller Erweiterungen im Passwortmanagement. So entstand eine Lösung, die nicht nur technisch funktioniert, sondern auch im operativen Betrieb effizient nutzbar ist. 

Mit der eingeführten IAM-Lösung kann XXXLutz die Bereitstellung von User Accounts für alle Mitarbeitenden deutlich strukturierter und zentraler abbilden. Gleichzeitig wird der User Lifecycle nun über das IAM-Tool gesteuert. Damit wurde eine operative Grundlage geschaffen, die in einer Organisation mit rund 25.000 Mitarbeitenden und knapp 400 Filialen echte Entlastung bringt und zugleich die Basis für weitere Automatisierung schafft.

Bereits automatisiert oder deutlich vereinfacht wurden zentrale Abläufe wie das User Onboarding und Offboarding, die Synchronisation von Passwortänderungen zwischen Warenwirtschaft und Active Directory sowie die regelbasierte Vergabe von AD-Gruppen auf Basis von Attributen aus der Warenwirtschaft. 

Das Passwortmanagement wurde durch Self Service Password Reset (SSPR) vereinheitlicht und ermöglicht nun die Delegation ausgewählter Funktionen durch den IT-Servicedesk. Für Filialen und Vorgesetzte wurden zusätzlich individuelle, benutzerfreundliche Formulare entwickelt, die eine kontrollierte, sichere Passwortverwaltung auch ohne direkten IT-Eingriff ermöglichen. 

Gleichzeitig dient die IAM-Plattform als konsolidierte Datenbasis für die Harmonisierung der bestehenden Mailsysteme und schafft damit die Voraussetzung für eine zukünftige Vereinheitlichung der E-Mail-Infrastruktur. 

Die nächsten Ausbaustufen sind bei XXXLutz bereits klar im Blick. Mit der Einführung von Identity Governance wurde bereits eine wichtige Grundlage für ein strukturiertes und nachvollziehbares Rollenmanagement geschaffen, das künftig eine regelbasierte, auditierbare und skalierbare Berechtigungsverwaltung unterstützt. Als nächste Schritte sind die Erweiterung der Gruppenautomatisierung sowie eine E-Mail-Automatisierung als Proof of Concept geplant, um Filial-User perspektivisch auf das neue, zentrale Mailsystem umzustellen. Die wichtigste Empfehlung aus dem Projekt ist dabei ebenso klar wie praxisnah: Schritt für Schritt live gehen, den initialen Release nicht überfrachten und alle Funktionen sehr gründlich testen. 

Wie bei vielen Transformationsprojekten war die Reaktion anfangs nicht durchweg euphorisch. Etablierte Prozesse wurden durch automatisierte Workflows ersetzt, was intern zunächst Skepsis auslöste. Entscheidend war deshalb sowohl die Funktionalität als auch die Stabilität der Lösung im Alltag zu gewährleisten. Genau hier konnte das Projekt überzeugen: Weil die neue Lösung zuverlässig lief und sich stabil in die Arbeitsabläufe integrierte, wurde sie Schritt für Schritt akzeptiert und fest im operativen Arbeiten verankert.  

XXXLutz hat sich für einen pragmatischen Weg entschieden: klein starten, sauber integrieren, stabil ausrollen – und genau damit die Grundlage für weitere Automatisierung gelegt.