GHGSat Inc. überwacht Treibhausgasemissionen weltweit per Satellit und verarbeitet dabei hochsensible Kundendaten. Um Zugriffe, Berechtigungen und Compliance-Anforderungen zuverlässig unter Kontrolle zu halten, setzt das Unternehmen auf Nubus als zentrales Identity & Access Management.
Anwender
GHGSat Inc. ist ein kanadisches Unternehmen mit Sitz in Montreal, Quebec, das auf satellitengestützte Fernerkundung von Treibhausgasen, Luftschadstoffen und anderen Spurengasen spezialisiert ist. Mit einer eigenen Satellitenkonstellation erfasst GHGSat Emissionen direkt an ihrer Quelle – und liefert damit Industrieunternehmen aus der Öl-, Gas- und Bergbaubranche weltweit die Daten, die sie für ihr Emissions-Monitoring benötigen.
GHGSat betreibt neben der Zentrale in Montreal vier weitere Standorte in Ottawa, Houston, London und Calgary. Das Unternehmen beschäftigt rund 200 Mitarbeitende, davon etwa 150 in der Montrealer Zentrale.
Anforderungen
- Ablösung einer teuren, veralteten und dezentralen selbstgebauten Lösung für WebApps ohne Anbindung von PCs
- Zentrale Administration aller Geräte und Benutzer*innen
- Unterstützung von Linux- und Windows-Endgeräten in einer gemeinsamen Infrastruktur
- Single Sign-on (SSO) per SAML für Webanwendungen
- Lückenlose, revisionssichere Protokollierung aller administrativen Vorgänge
- Erfüllung strenger Sicherheitsauflagen kanadischer, US-amerikanischer und europäischer Behörden für Luft- und Raumfahrtunternehmen
- Rechtskonforme Absicherung privilegierter Systemkonten
Lösung
Nubus als zentrales Identity & Access Management für Windows- und Linux-Clients, Linux-Server sowie für das Single Sign-on von Webanwendungen und der Entwicklungsumgebung. Nubus sorgt dafür, dass Nutzer*innen sich einmalig anmelden und anschließend auf alle angebundenen Systeme und Anwendungen zugreifen können – ohne separate Passwörter für jeden Dienst.
Eingesetzte Komponenten: Samba 4, manuelle Ubuntu-Integration, Keycloak sowie der UCS Directory Logger zur automatischen Protokollierung aller Änderungen an Benutzerkonten, Gruppen und Berechtigungen.
Ausgangslage
Die Daten, die GHGSats-Satelliten liefern, sind sensibel: Sie geben detailliert Auskunft über industrielle Anlagen, deren Betriebszustand und Umwelt-Compliance. Entsprechend streng sind die Sicherheitsauflagen, denen das Unternehmen als Luft- und Raumfahrtunternehmen durch kanadische, US-amerikanische und europäische Behörden unterliegt – darunter die lückenlose Nachvollziehbarkeit aller administrativen Zugriffe.
Die gewachsene IT-Infrastruktur konnte diesen Anforderungen nicht mehr gerecht werden. Mehrere Betriebssysteme auf den Servern, getrennte Benutzerverwaltungssysteme und unterschiedliche Anmeldeverfahren erschwerten die Administration erheblich. Die bestehende Lösung war kostspielig, dezentral und technisch veraltet.
Microsoft Active Directory und Zentyal schieden bei der Evaluation aus. Nubus von Univention überzeugte als einzige Lösung, die Linux-Clients nativ einbindet und mit dem Directory Logger die geforderte Compliance-Protokollierung direkt mitliefert.
Einführung
Im Februar 2019 führte GHGSat Nubus ein – unter ungewöhnlichen Bedingungen: Die Sicherheitsanforderungen des Unternehmens erlaubten keinen direkten Zugriff auf die Server von außen. Ein Professional Service Mitarbeiter von Univention begleitete das Projekt deshalb ausschließlich sowohl vor Ort und per E-Mail. Dass das Projekt trotz dieser Einschränkung reibungslos verlief, zeigt, wie praxistauglich UCS auch in regulierten Umgebungen mit erhöhten Zugriffsschutzanforderungen ist.
Der Rollout selbst verlief in 4 Phasen. Im ersten Schritt wurden webbasierte Unternehmensdienste an UCS angebunden. Dabei wurden auch Benutzerkonten und Gruppen standardisiert. Im zweiten Schritt Erfolgte die Anbindung von Endnutzerbetriebssystemen. Anschließend wurden Entwicklungsumgebungen und Satellitenkommunikationssysteme angebunden. Abschließend erfolgten Dokumentation und Sicherheitszertifizierung.
Das Fazit unseres Kunden
Newsletter
Erhalten Sie alle News zu Univention und unseren IAM-Produkten per E-Mail.
Get started
Ihre direkte Anfrage an unser Team.
