fagdagene uninett 3. mai 2017 tema: bott iam carl-fredrik
TRANSCRIPT
Universitetssamarbeidet BOTT
Fagdagene Uninett 3. mai 2017Tema: BOTT – IAM
Carl-Fredrik Sørensen (basert på lysark utarbeidet av Johnny Hansen, UiT/IT-BOTT)
Agenda
• Om BOTT og IT-BOTT
• BOTT-IAM
UDIR-BOTT
IT-BOTT UB-BOTT I-BOTT + +
Prosjekt:
ERP
Prosjekt: saksbehandling
og arkiv
Prosjekt:
IAM
BOTT: Samarbeid for å styrke de deltakende organisasjonenes evne til å levere administrative og tekniske tjenester som støtter opp om organisasjonens primærvirksomhet.
Universitetssamarbeidet BOTT
IT-BOTT
IT-direktører
Hovedkoordinator
Lokal koord.UiB
Lokal koord.NTNU
Lokal koord.UiO
Lokal koord.UiT
USIT / UiOITA / UiB ITA / NTNU ITA / UiT
Styringsgruppe
Koordinatorer
Lokale IT-avdelinger
Styrer/beslutter/rapporterer til UDIR-BOTT
Sekretær for SG, forbereder saker og møter, referater, iverksetter.
Kjenner lokal linje, aktuelle deltakere, oversikt over aktiviteter
Kompetanse og arbeidskraft
Felles aktiviteter
Utfører
Mer konkret:
• Samarbeide om å tilby fellesløsninger og felles tjenester
• Utvikle og vedlikeholde informasjons- og integrasjonsarkitektur for medlemsinstitusjonene på de områder dette er naturlig og ønskelig
• Utvikling av UH-sky sammen med Uninett og andre relevante parter
Universitetssamarbeidet BOTT
Handlingsplan – strategiske omr.Universitetssamarbeidet BOTT
IAM – bakgrunn
• BOTT har Cerebrum og Sebra, Cerebrum har vært benyttet på ulike måter.
• Andre institusjoner benytter FIM/MIM (Microsoft), egenutviklede løsninger, NETIQ og Cerebrum.
• Ønske om fornying, standardisering og få et sterkere samarbeid som kan gi mer «trykk».
• Identitetsforvaltning og autentisering godt dekket, men autorisasjon/administrasjon/audit begrenset.
• ERP - HR – driver for IAM.
Universitetssamarbeidet BOTT
IAM – Behov
• Compliance (GDPR..)
• Audit
• Automatisering
• Sikkerhet
• Bedre kontroll
• Visjoner om felles ID i sektoren?
Universitetssamarbeidet BOTT
Gartner sin definisjon av IAM:
IAM ensures the
right people get the
right access to the
right resources at the
right times for the
right reasons,
enabling the right business outcomes.
Universitetssamarbeidet BOTT
IAM og den digitale virksomhet:IAM utvides også mot «ting» i tillegg til folk
og
Legger til rette for god samhandling mellom dem
Universitetssamarbeidet BOTT
Kilde: Gartner
• Virksomhetsomspennende sikkerhetsdisiplin• Risikohåndtering
• manuelle tilfeldige «rutiner»• kontra automatiske/forutsigbare• Personvern og konfidensialitet
• Roller og berettigelser for ansatte og studenter, og andre som har behov for tilgang til våre tjenester
• Teknologi? Ja, men ikke først og fremst!• Heller om:
• Å skape verdi for institusjonene og brukergruppene• Informasjonsmodeller, arbeidsprosesser og folk!• Integrasjonsarkitektur
IAM er:Universitetssamarbeidet BOTT
Universitetssamarbeidet BOTT
Universitetssamarbeidet BOTT
Mer om roller• Beskriver en persons relasjon til virksomheten, og må forvaltes
• Ulike typer roller: Begrep Beskrivelse Eksempler
Allmenne roller Roller som gis til alle eller store grupper. Gir lite tilganger i system ut over basisfunksjon. Oftest selvbetjeningsfunksjonalitet
TilsattInnleidGjest
Saksbehandlerroller Roller som gis til personer som har oppgaver ut over de almene i systemet, men ikke er spesialister innen system eller fagområde.
SaksbehandlerMedlem ansettelseskomité
Autoriserende roller Roller som gir beslutningsmyndighet, generelt eller spesifikt. Dette er roller som utøves av ledere, eller på fullmakt fra disse
LederØkonomilederPersonalleder
Profesjonelle roller Innehas av personer som er spesialister innen området og som utøver en vesentlig del av sin arbeidstid relatert til rollen. Disse rollene utfører vanligvis tilrettelegging, kontrollfunksjoner ol i systemet og har videre tilganger enn saksbehandlerrollene.
PersonalkonsulentØkonomikonsulentAnsatte fagavdeling
Stedfortrederroller Roller som utøves på vegne av noen andre, når denne ikke er tilgjengelig. Særlig relevant for autoriserende roller.
Assisterende direktør kan ha rollen Leder som stedfortreder for direktør
Midlertidige roller Dette er ikke egne roller, men beskriver at man har en roller tidsbegrenset, enten som vikariat, i prosjekt eller av andre grunner.
Universitetssamarbeidet BOTT
Eksempler på roller:Rolle Type Tildeling Krever opplæring
Tilsatt Allmenn Automatisk ved tilsetting
HR-selvbetjening
Allmenn Automatisk for alle fast tilsatte
Bestiller Saksbehandler Knyttet til stilling Ja, gjennomført web-kurs
Leder Autoriserende Knyttet til stilling
BDM Autoriserende Knyttet til stilling Ja, med beløpsgrense
Innkjøper Profesjonell Knyttet til stilling
Lederassistent Stedfortreder Knyttet til stilling Som for primærrollen
Universitetssamarbeidet BOTT
Mer om «berettigelser»• Engelsk: «Entitlements»
• Handler om hva man har rett til å få tilgang til.
• «Grupper» benyttes også, og kan være en samling av «tilganger»
• «Berettigelser» kan koples mot roller».
• Mange spørsmål:• Kan man snakke om business-roller kontra tilgangs-roller?
• Og hva er sammenhengene mellom «tilgangs-roller» og «berettigelser»
• RBAC/ABAC
• Modellering av «tilgang», «entitlement», «rolle», «gruppe»
Universitetssamarbeidet BOTT
Policies
• Hvem bestemmer?
• Varighet på tilganger
• Bør enkelte tilganger og roller ha dobbel godkjenning, gjennom en f.eks. arbeidsflyt?
• Skal alle som slutter få inndratt sine tilganger• Hva med emerituser?
• Logging av tilganger og lagring av slik info.
Universitetssamarbeidet BOTT
Ambisjon om fellesskap i UH
1. Felles forståelse
2. Felles prosesser
3. Felles arkitektur
4. Felles grensesnitt
5. Samme roller/grupper?
6. Samme systemer og løsninger
7. Samdrift IAM?
• Hvilket nivå er realistisk/ønskelig?
Universitetssamarbeidet BOTT
Tidlig arkitekturtenkning: Universitetssamarbeidet BOTT
Husk:
• Ikke alle utfordringer kan (eller bør?) løses
• Ønsker automasjon, men det kommer til å være manuelle behandlinger av tilganger også.
• Må ta de viktigste tingene først.
• Finne «lavthengende frukter». Hva kan gi høy verdi raskt?
Universitetssamarbeidet BOTT
Hvordan bli påvirket og hva må gjøres i fremtiden?
• Deltakelse i prosjektet, spesielt fra HR og Studie-siden.• Tydeliggjøre «berettigelser» i egne systemer.• Forvaltning av policies.• Påvirke hvilke roller som skal ha tilgang til hva?
• Krever innsikt berettigelser som finnes i «alle» systemer.
• Mer automatisk og strukturert styring av tilganger.• Kildedata om personer kommer fra HR
• Bedre «compliance», være i tråd med lovverk• Mindre «hazzle» for den enkelte ansatte når man går inn i en stilling.• Færre brukerstøttesaker.
Universitetssamarbeidet BOTT
Konsekvenser for systemerUniversitetssamarbeidet BOTT
• HR og FS kilder• «BAS» = IAM-kjerne• Tjenestene skal benytte IAM-kjernens
tilgangsinformasjon.• Kilde-systemene er også «tjenester».• Nye systemer kontra «Legacy».
• Cerebrum endres, rendyrkes mot «enkel» IDM• Ikke sikkert at Cerebrum vil være del av
fremtidig ny fellesløsning.• Teknologi/produkt velges senere.
Gjennomføring
Kilde: Gartner
Universitetssamarbeidet BOTT
ROI?Universitetssamarbeidet BOTT
ROI
• Reduksjon av kostnader har begrenset potensiale for IAM• Kanskje med noen unntak:
• Færre brukerstøttehenvendelser?
• Automatiske tilganger?
• Mindre hazzle for ansatte/studenter/gjester
• Håndtering av risiko og sikkerhet typisk viktigst. • Men vanskelig å kvantifisere, ihvertfall i penge-størrelser
• Øvrige potensialer for virksomheten gjennom IAM tilsvarendevanskelig å kvantifisere.
Universitetssamarbeidet BOTT
Måle effekter
• Finne gode indikatorer å måle prosjektet på.
• Definere nivået for «suksess» med disse indikatorene.
• Sammenlikne mot historikk
• F.eks.: • Hvordan utvikler tilgangsforespørsler seg hos helpdesk?
• Utviklingen i #automatiserte tilganger gitt.
• Utviklingen i #doble konti, med sammenslåingsproblematikk
Universitetssamarbeidet BOTT
Status:
• UDIR-BOTT godkjente oppstart forprosjekt i februar
• Foreløpig skisse til milepæler:• Styringsgruppe etablert 6. april
• Prosjektgruppe etablert 7. april
• Innhold i prosjektrapport definert 5. mai
• Prosjektrapport 50% ferdig 15. sept.
• Overordnede prosesser ferdig beskrevet 29. sept.
• Prosjektrapport godkjent 7. des.
Universitetssamarbeidet BOTT
Status
• Styringsgruppe:• IT-direktør Tore Burheim, UiB, leder stg.
• IT-direktør Lars Oftedal, UiO
• IT-direktør Gunnar Toftegaard, INN
• Organisasjonsdirektør/HR Odd Arne Paulsen, UiT
• Programleder BOTT-ERP Cecilie Ohm, UiB
• Tor Holmen, Uninett
• Knut Veium, Studie, NTNU
• Prosjektleder på plass primo mars • Eva Klevstuen, ekstern, men innleid via NTNU’s rammeavtale
Universitetssamarbeidet BOTT
Status (forts):• Prosjektgruppe under bemanning
• Arkitektur:• Mathias Meisfjordskar, UiO
• Gisle Aas, UiB
• Carl-Fredrik Sørensen, NTNU
• Terje Lein-Mathisen/Kenneth A. Johansen, UiT
• Arbeidsgrupper• HR og prosesstøtte – Harald Helland, UiT
• Studie og prosesstøtte -- Espen D. Kristensen, UiT
• Sikkerhet• Informasjonssikkerhet NN
• + +
Universitetssamarbeidet BOTT
Effektmål
• Hovedprosjekt:• Ivareta behov for modernisering av løsninger for IdM og IAM i BOTT • Økt brukervennlighet gjennom automatisering, selvbetjening og større
tydelighet rundet prosesser, roller og ansvar• Bidra til økt etterlevelse av lover og forskrifter samt øvrige pålegg fra
myndighetene• Effektive rutiner for tilgangsstyring gjennom implementering av felles
arbeidsprosesser på tvers av universitetene• Bedre ressursutnyttelse gjennom å etablere felles løsninger og like
arbeidsprosesser på hvert universitet
• Forprosjekt• Skape forståelse for IAM og prinsippene det skal bygges på
Universitetssamarbeidet BOTT
ResultatmålUniversitetssamarbeidet BOTT
• Forslag til alternative løsninger som også gir mulighet for utvidelse for UH i Norge
• Foreslå en plan for implementering som hensyntar tidslinjen i BOTT ERP-prosjektet
• Forslag til alternative løsninger som støtter stegvis implementering for å skape tidlig verdi
• Et beslutningsgrunnlag for iverksettelse av hovedprosjekt
Avsluttende merknader
• Forankret i ledelsen, Universitetsdirektørene
• Vil omfatte alle ansatte, studenter, gjester og andre
• Krever sterk samarbeidsånd, tillit og evne å tenke fellesskapet først
• Å velge produkt nå, vil «ganske sikkert feile» (Gartner)
• Den størrelsesorden det opereres i, har ikke vært gjort før (Gartner)
Universitetssamarbeidet BOTT
Spørsmål ?