ellen svenning & nicolai jensen - identity management som et strategisk værktøj i kommunen

Identity Management som et strategisk værktøj i kommunen

v/ Ellen Svenning, souchef, IT, Faaborg-Midtfyn Kommune og Nicolai Jensen, senior manager, Security & Technology, PwC

Offentlig digitalisering 2015 – på vej mod d-land

24. – 25. marts 2015 i Aarhus

Identity Management som et strategisk værktøj i kommunen

Hvorfor fik vi succes?

27-03-2015Identity Management som et system der understøtter

forretningen

Ellen Svenning, souchef, IT, Faaborg-Midtfyn Kommune [email protected] Jensen, senior manager, Security & Technology, PwC, [email protected]

De grundlæggende tilgange til IAM


forretningen

En pragmatisk tilgang til styring af identiteterGør hvad der er muligt

Opbakning fra ledelsen

Vi forholder os til den virkelige verdenDer er en vision, det er klart. Det er dog sådan, at teknologien og systemer ændres, så nogle gange kan det ikke betale sig at detailplanlægge meget langsigtet.

IAM er et forretningsprojekt

Historien bag IAM-systemet

• Flere konti• Kommunesammenlægningen

• Flere systemer

• Ineffektiv vedligeholdelse

• Nye systemer = yderligere inkonsistens


forretningen

Konsistens vs. inkonsistens


forretningen

Overordnede målsætninger

• At have konsistente data

• Reducere sikkerhedsproblemer

• Ensarte arbejdsgange

• At have en platform der muliggør integration og sammenkobling med hvad som helst

• At definere ejerskab af stamdata


forretningen

Fremgangsmåde

• Find ud af, hvad der er vigtigst – løs det først.

• Implementer delleverancer og tag dem i brug for at få gevinst.

• Undgå at udvikle et system, der kan alt –virkeligheden HAR ændret sig, når du er færdig, og du får ikke gevinster undervejs.

• Hvis du skal planlægge efter eventualiteter, og udefinerede systemer og snitflader, så lav mockups ”Insert Code Here”.


forretningen

Hvad er vigtigst?

Om

kost

nin

g


forretningen

Teknologi

Vi bruger overordnet tre teknologier til integration


forretningen

Synkronisering

• Mange systemer har behov for at have stamdata og/eller egentlige konti oprettet.

• I lønsystemet har medarbejderes persondata en betragtelig relevans. I et e-mailsystem skal brugere have en konto, hvis de skal kunne modtage e-mails

Workflows

• ”Påtvinger”ensartedeprocedurer, og sikrer at data opdateres korrekt

Føderering

• Nogle systemer har ikke behov for, at en bruger har en konto og stoler på, at ”vores” system siger, at brugeren har rettigheder.

Automatiserede systemer


forretningen

IAM

Fujitsu Prisme

Active Directory 1

Active Directory 2GroupWise

Exchange

AUTH Directory

DanID

Fil Storage DirectoryHR og Løn (SD)

SBSYS

Software Distribution

Telefoner tablets og SIM Kort

CPR Register

o365

Adresser og autokonsistens

E-Learning

Øvrige via advis

Mange andre systemer bruger IAM som datakilde Kørselsgodtgørelse, aftaleportal, telefonbog mfl.

Roller og selvbetjening

Næste skridt


forretningen

IAM

Private Cloud

Projektstyring

SAPA

Bestilling og faktureringaf hardware

Audit KY, KSD osv.

Danmarks Miljøportal

Vi ejer selv data

• Vi kan sende dem, hvorhen vi vil

• Data fødes hos os selv• Forhindrer fastlåsning ved skift af f.eks. Lønsystem

• Skift af leverandør betyder ikke at vi skal ændre forretningslogik

• Designer og tilretter selv automatiserede processer


forretningen

Rettighedsmodel

En grundkomponent i vores IAM-system er organisationsstrukturerne

• I et standard directory-design vil der være én struktur.

• Spørgsmålet til denne organisering er, er der virkelig kun ÉN struktur?Ja, hvis vi ser bort fra MEDorganisationen, partierne i byrådet, tværgående projekter osv.

• Er der personer der er har tilknytning til flere afdelinger i flere organisationer?

• Er der organisationskomponenter, som ikke indgår i et hierarki?

• Kan vi forestille os arbejdsgange og relationer, der ikke indgår i hierarkier?


forretningen

Rettighedsmodel – organisation

Henning

Kommunen (MN)

1000 FrydToftegårdsskolen

Toftegårdsskolens SFO

Biavlerforeningen (WS)

Sekretariat

Pædagog

Rengørinsass.

Kasserer


forretningen

Rettighedsmodel – organisation

• Flere organisationer

• Flere mulige placeringer pr. komponent

• Kan være uhierakisk

• Rettigheder kan defineres igennem forretningsregler (placering, klassifikation, stilling osv.)

• Yderligere rettigheder kan bestilles af ledere eller slutbrugere


forretningen

Rettighedsmodel – roller og tilladelser

Faaborg-Midtfyns begreber – som har skabt succes og værdi!

• Rettigheder er et bredt begreb, der dækker over både tilladelser og roller.

• En tilladelse er en tilladelse til en bestemt ressource (en filmappe, en distributionsliste osv.)

• En rolle er samlinger af rettigheder og andre roller.


forretningen

Eksempel på rettigheder

Konto:DanID

PKI Roamer

Ansættelse

Office 365 E3 Licens

Konto:Office 365

Borgerservice

Medarbejder Signatur

Leder : Borgerservice

Leder

Vedligehold ansatte

Office 365 E3


forretningen

Forretningen definerer rollerne

• Rollemodellen betyder, at enhver rettighed i organisationen er givet på baggrund af en rolle.

• Man kan have roller på baggrund af organisatorisk placering

• Man kan have roller på baggrund af attributter (stamdata)

• Man kan have roller på baggrund af stilling.

• Man kan have roller på baggrund af klassifikation

• Man kan have roller på baggrund af relationer til enheder (Ledere og assistenter for eksempel)


forretningen

Komponenter

• Identity Management system – til at synkronisere data – øjeblikkeligt (event driven)

• Delkomponent – User Application –Selvbetjening, roller og ressourcer

• Delkomponent – Reporting – Logning og rapportering af rettigheder og tildelinger.

• Access Manager – adgangskontrol, SSO, føderation og reverse proxy.


forretningen

Selvbetjening

• Rationale bag selvbetjening• De fleste roller og rettigheder tildeles ud fra forretningsregler.

• MEN – da medarbejdere ind i mellem har behov for ekstra adgange til givne ressourcer, kan man som medarbejder altid rekvirere de ressourcer, som man har adgang til i selvbetjeningsportalen, og i visse tilfælde få dem tildelt af ejerne (uddelegering af kompetencer).

• Tildeling af rettigheder er decentraliseret og automatiseret.

• Rettighedstildeling går hurtigt og foretages af dem, der har forstand på det.


forretningen

Styrket sikkerhed I kraft af IAM

• Data• Ansvar placeret hos de enkelte ejere

• Ansvar• Placeret hos de enkelte ejere

• Rettigheder• Placeret hos de enkelte ejere

• Processer• Ensartede arbejdsgange

• Logning• Selvfølgelig


forretningen

Tilpasning

• Systemet er designet med henblik på tilpasning til verden omkring os.

• Tilpasning betyder, at vi ikke indfører al funktionalitet i IAM-systemet up front, men at vi tilpasser systemet hen ad vejen, til rigtig mange situationer.

• Databasen kan altid udvides med flere stamdata på de enkelte entiteter (fx klassifikationskoder)

• Når vi isoleret set taler om brugerstyringsmodellen i KOMBIT, faciliterer den IAM-systemet i FMK (og omvendt).

• Støttesystemerne håndterer login og rettigheder ved hjælp af føderation. Det vil med andre ord sige, at vi ikke har behov for at overføre brugerkonti fra IAM-systemet til støttesystemerne. Vi udstiller via vores Identity provider, de relevante informationer, og støttesystemet vil derved give os lov til at logge ind.

• Vi laver et antal roller, mapper dem i støttesystemet, tildeler rollerne med de relevante afgrænsninger, og så er vi klar.

• Vi er klar, når det første støttesystem er klar.


forretningen

Spørgsmål?


forretningen