Wenn die Preise für die Verlängerung Ihres Identitätsanbieters in die Höhe schnellen: Wechseln Sie zu einer lokalen Alternative, die nur ein Drittel kostet
Wenn die Erneuerungspreise Ihres Identitätsanbieters in die Höhe schnellen: Umstieg auf eine On-Premise-Alternative für ein Drittel der Kosten
Es gibt einen Moment, den viele IT-Teams kennen werden. Die Verlängerungsbenachrichtigung für Ihre Cloud-Identity-Plattform trifft ein, und die Zahl darauf hat nichts mit dem zu tun, was Sie vor drei Jahren unterschrieben haben. Sie haben Ihre gesamte Authentifizierungsschicht auf diesem Dienst aufgebaut. Jedes VPN, jede SaaS-Anwendung, jede Benutzeranmeldung läuft darüber. Der Anbieter weiß das, und jeder Verlängerungszyklus tendiert dazu, höher zu liegen als der letzte: Je tiefer die Integration, desto schwächer Ihre Verhandlungsposition.
Ein großes europäisches Unternehmen des Privatsektors, das hochverfügbare digitale Dienste betreibt, befand sich mit Okta in genau dieser Situation. Zum Zeitpunkt der Verlängerung waren die Preise drastisch gestiegen. Das Team tat, was unserer Meinung nach mehr Organisationen tun sollten: Anstatt die Erhöhung als Geschäftskosten zu betrachten, nutzten sie sie als Stichtag, um Alternativen zu prüfen.
Die gesamte Authentifizierung läuft nun über OpenOTP, den RCDevs-Authentifizierungsserver, der vollständig vor Ort bereitgestellt wird. Okta wurde abgeschaltet. Dieser Artikel beschreibt, wie dieser Übergang verlief, denn der häufigste Einwand, den wir hören, betrifft weder Funktionen noch den Preis. Er lautet: “Wir sind zu sehr an unseren aktuellen Anbieter gebunden, um ihn jemals zu verlassen.” Dieser Fall zeigt, dass dem nicht so ist.
Kann ein Cloud-Identitätsanbieter wie Okta vollständig durch eine On-Premise-Lösung ersetzt werden?
Die kurze Antwort dieses Projekts: ja, einschließlich Föderation, MFA und der Anwendungsintegrationen, die eine reale Umgebung kompliziert machen.
Das Unternehmen lief auf Microsoft Active Directory, wobei mehrere hundert Benutzer sich über Okta bei einem Portfolio von etwa 20 Anwendungen authentifizierten. Diese reichten von moderner SaaS bis hin zu Netzwerkinfrastruktur: Office 365, dem Ivanti VPN (früher Pulse Secure), Cisco Umbrella sowie Endpunktverwaltung, internen Kollaborations- und Finanzplattformen.
Diese Zusammensetzung ist entscheidend. Der Austausch eines Cloud-IdPs wird selten von den wichtigsten SaaS-Anwendungen behindert, da diese alle SAML oder OpenID Connect unterstützen und auf einen neuen Identitätsanbieter umgeleitet werden können. Die Schwierigkeiten liegen in der Regel auf der Netzwerkebene und bei den weniger bekannten Tools. Bei dieser Bereitstellung übernahm RCDevs Federation Services die SAML- und OIDC-Verbindungen, während das VPN über RADIUS-Bridge, die OpenOTP-Komponente, die starke Authentifizierung zu RADIUS-fähigen Geräten hinzufügt. Der Kunde behielt seine bestehenden VPN-Appliances; nur die dahinterliegende Authentifizierungsinstanz wurde geändert.
Identitätsdaten wurden nicht in die Cloud eines Drittanbieters übertragen. Benutzerkonten verbleiben im Active Directory des Unternehmens, das weiterhin als zentrale Datenquelle dient, und OpenOTP verwaltet beide Authentifizierungsfaktoren: Bei der Anmeldung überprüft es das Passwort anhand des AD selbst und wendet anschließend den zweiten Faktor (Push-Benachrichtigung, OTP oder FIDO2) gemäß den definierten Richtlinien an. Diese Richtlinien werden zusammen mit Benutzern und Integrationen in WebADM verwaltet, der zentralen IAM-Konsole, die alle Dienste der Suite auf der Infrastruktur des Kunden ausführt und steuert.
Wie lange dauert die Abwanderung von Okta tatsächlich?
Es ist die Angst vor der Migration selbst, die die meisten Unternehmen dazu veranlasst, die ihnen sauer aufstießenden Preiserhöhungen bei Vertragsverlängerungen zu akzeptieren. Hier sind also die tatsächlichen Zahlen aus diesem Projekt, gemessen an den in Rechnung gestellten Ingenieursstunden, die gemeinsam vom RCDevs Support Service und dem IT-Team des Kunden geleistet wurden.
Der Proof of Concept dauerte etwas mehr als acht Stunden. Die Produktionsmigration und -bereitstellung dauerten neunzehn Stunden, schneller als wir es mit dem Kunden erwartet hatten. Die Umstellung der Office 365-Authentifizierung wurde als separater abschließender Schritt durchgeführt und dauerte drei zusätzliche Stunden.
Diese Stunden umfassten den gesamten Weg von einem bestehenden Okta-System zu einem bestehenden OpenOTP-System, wobei Anwendungen schrittweise und nicht in einem einzigen Umstellungsschritt migriert wurden.
Der gestaffelte Ansatz bedeutete auch, dass es während der Migration keine Dienstunterbrechungen für die Benutzer gab. Die einzige Ausnahme war Office 365: Eine dortige Föderationsänderung muss sich in Microsofts Azure-Infrastruktur replizieren, bevor sie überall wirksam ist. Diese Propagationsverzögerung gehört zu Microsoft 365 und nicht zum Ziel-IdP. Das ist der Grund, warum diese Workload zuletzt kam.
Das gemeinsame Team leitete das Projekt von Anfang bis Ende, von der ersten POC-Sitzung bis zur endgültigen Umstellung auf Office 365.
Drei Aspekte, die sich bei einer eigenständigen IAM-Lösung vor Ort ändern: Kosten, Kontrolle, Eigenständigkeit
Für dieses Unternehmen spiegeln sich die Änderungen direkt in den drei Gründen wider, aus denen europäische Organisationen uns wegen des Verlassens von US-Cloud-Identitätsplattformen kontaktieren.
1. Kosten: IAM dreimal günstiger, ohne Zusatzpreise
Im Vergleich der OpenOTP-Lizenzierung mit den Verlängerungspreisen, die Okta gerade vorgelegt hatte, fand der Kunde unsere Lösung dreimal günstiger. Ebenso wichtig ist, dass die Preisgestaltung stabil und pauschal ist: Eine Lizenz deckt die gesamte Suite ab, und Funktionen, die Cloud-Identitätsplattformen üblicherweise als separate Add-ons bepreisen, wie z. B. adaptive MFA, bedingte Zugriffsrichtlinien und Verzeichnisintegration, sind enthalten, ebenso wie der Active-Active-Hochverfügbarkeitscluster. Die Zahl für die nächste Verlängerung ist vorhersehbar.
2. Steuerung: Authentifizierung ist nicht mehr von einem externen Cloud-Dienst abhängig
Die Identitätsplattform läuft nun vollständig vor Ort. Die Authentifizierung ist nicht von der Verfügbarkeit, der Roadmap oder den geschäftlichen Entscheidungen eines externen Cloud-Dienstes abhängig. Für einen Betreiber hochverfügbarer digitaler Dienste bedeutet die Beseitigung der Abhängigkeit von Drittanbietern im Anmeldeprozess an sich schon eine Steigerung der Ausfallsicherheit.
3. Souveränität: Identitätsdaten verbleiben im Zuständigkeitsbereich des Kunden
Identität ist einer der sensibelsten Datensätze, die ein Unternehmen besitzt: wer dort arbeitet, worauf er zugreift, wann und von wo. Mit einer vollständig On-Premise-Installation eines europäischen Anbieters verlässt dieser Datensatz niemals die Gerichtsbarkeit des Kunden und befindet sich außerhalb der Reichweite extraterritorialer Rahmenwerke wie dem US CLOUD Act. Für europäische Unternehmen, die die NIS2-Verpflichtungen und die Lieferantenabhängigkeit abwägen, ist dies zunehmend eine Anforderung und keine Präferenz mehr.
Höhere Verlängerungspreise sind ein Verhandlungshebel, kein Schicksal.
Diese Lektion könnte dieser Kunde wahrscheinlich besser formulieren als wir: Eine Preiserhöhung bei der Vertragsverlängerung ist auch eine Gelegenheit für eine Überprüfung. Die Authentifizierung funktioniert heute genauso wie zuvor, kostet aber nur noch ein Drittel – und das auf einer eigenen Infrastruktur, wobei das eigene Verzeichnis als einzige verlässliche Quelle dient. Die Abhängigkeit, die die Preiserhöhung erst möglich gemacht hat, ist nun beseitigt.
Wenn Ihre eigene Vertragsverlängerung bevorsteht und die Zahlen nicht mehr sinnvoll sind, ist die Migration einfacher, als es den Anschein hat. Gerne demonstrieren wir Ihnen dies in Ihrer Umgebung, so wie wir es hier getan haben, bevor Sie sich zu irgendetwas verpflichten.
Weiterführende Literatur
OpenOTP, entwickelt vom europäischen Anbieter RCDevs, deckt die Funktionen eines Cloud-IdP ab (SAML- und OIDC-Verbund, MFA, RADIUS-Integrationen) und läuft dabei vollständig auf der unternehmenseigenen Infrastruktur.
Bei diesem Projekt belief sich der gemeinsame Entwicklungsaufwand auf insgesamt etwa dreißig Stunden: etwas mehr als acht Stunden für den Proof of Concept, neunzehn Stunden für die Produktionsmigration und weitere drei Stunden für die Umstellung auf Office 365.
Bei diesem Deployment wurde nichts ersetzt. SAML- und OIDC-Anwendungen wurden auf den neuen Identitätsanbieter umgeleitet, und die bestehenden VPN-Appliances funktionierten weiterhin mit der Authentifizierung, die zur RADIUS Bridge verlagert wurde.
Es ändert sich nichts. Active Directory bleibt die maßgebliche Quelle: OpenOTP überprüft das Passwort bei der Anmeldung anhand der AD-Daten und setzt anschließend die Zwei-Faktor-Authentifizierung (Push, OTP oder FIDO2) gemäß den WebADM-Richtlinien durch.
Der CLOUD Act kann US-Anbieter dazu verpflichten, von ihnen gehostete Daten herauszugeben, unabhängig davon, wo diese gespeichert sind. Identitätsdaten, die von der Organisation selbst vor Ort oder bei einem europäischen Anbieter gespeichert werden, fallen schlichtweg nicht in diesen Geltungsbereich.
Es kann wie andere SAML- und OIDC-Anwendungen mit einem lokalen IdP föderiert werden. In diesem Projekt wurde die Umstellung der Office 365-Authentifizierung auf OpenOTP als separater letzter Schritt durchgeführt und dauerte drei Stunden.
