fagdagene uninett 3. mai 2017 tema: bott iam carl-fredrik

Universitetssamarbeidet BOTT

Fagdagene Uninett 3. mai 2017Tema: BOTT – IAM

Carl-Fredrik Sørensen (basert på lysark utarbeidet av Johnny Hansen, UiT/IT-BOTT)

Agenda

• Om BOTT og IT-BOTT

• BOTT-IAM

UDIR-BOTT

IT-BOTT UB-BOTT I-BOTT + +

Prosjekt:

ERP

Prosjekt: saksbehandling

og arkiv

Prosjekt:

IAM

BOTT: Samarbeid for å styrke de deltakende organisasjonenes evne til å levere administrative og tekniske tjenester som støtter opp om organisasjonens primærvirksomhet.


IT-BOTT

IT-direktører

Hovedkoordinator

Lokal koord.UiB

Lokal koord.NTNU

Lokal koord.UiO

Lokal koord.UiT

USIT / UiOITA / UiB ITA / NTNU ITA / UiT

Styringsgruppe

Koordinatorer

Lokale IT-avdelinger

Styrer/beslutter/rapporterer til UDIR-BOTT

Sekretær for SG, forbereder saker og møter, referater, iverksetter.

Kjenner lokal linje, aktuelle deltakere, oversikt over aktiviteter

Kompetanse og arbeidskraft

Felles aktiviteter

Utfører

Mer konkret:

• Samarbeide om å tilby fellesløsninger og felles tjenester

• Utvikle og vedlikeholde informasjons- og integrasjonsarkitektur for medlemsinstitusjonene på de områder dette er naturlig og ønskelig

• Utvikling av UH-sky sammen med Uninett og andre relevante parter


Handlingsplan – strategiske omr.Universitetssamarbeidet BOTT

IAM – bakgrunn

• BOTT har Cerebrum og Sebra, Cerebrum har vært benyttet på ulike måter.

• Andre institusjoner benytter FIM/MIM (Microsoft), egenutviklede løsninger, NETIQ og Cerebrum.

• Ønske om fornying, standardisering og få et sterkere samarbeid som kan gi mer «trykk».

• Identitetsforvaltning og autentisering godt dekket, men autorisasjon/administrasjon/audit begrenset.

• ERP - HR – driver for IAM.


IAM – Behov

• Compliance (GDPR..)

• Audit

• Automatisering

• Sikkerhet

• Bedre kontroll

• Visjoner om felles ID i sektoren?


Gartner sin definisjon av IAM:

IAM ensures the

right people get the

right access to the

right resources at the

right times for the

right reasons,

enabling the right business outcomes.


IAM og den digitale virksomhet:IAM utvides også mot «ting» i tillegg til folk

og

Legger til rette for god samhandling mellom dem


Kilde: Gartner

• Virksomhetsomspennende sikkerhetsdisiplin• Risikohåndtering

• manuelle tilfeldige «rutiner»• kontra automatiske/forutsigbare• Personvern og konfidensialitet

• Roller og berettigelser for ansatte og studenter, og andre som har behov for tilgang til våre tjenester

• Teknologi? Ja, men ikke først og fremst!• Heller om:

• Å skape verdi for institusjonene og brukergruppene• Informasjonsmodeller, arbeidsprosesser og folk!• Integrasjonsarkitektur

IAM er:Universitetssamarbeidet BOTT

Mer om roller• Beskriver en persons relasjon til virksomheten, og må forvaltes

• Ulike typer roller: Begrep Beskrivelse Eksempler

Allmenne roller Roller som gis til alle eller store grupper. Gir lite tilganger i system ut over basisfunksjon. Oftest selvbetjeningsfunksjonalitet

TilsattInnleidGjest

Saksbehandlerroller Roller som gis til personer som har oppgaver ut over de almene i systemet, men ikke er spesialister innen system eller fagområde.

SaksbehandlerMedlem ansettelseskomité

Autoriserende roller Roller som gir beslutningsmyndighet, generelt eller spesifikt. Dette er roller som utøves av ledere, eller på fullmakt fra disse

LederØkonomilederPersonalleder

Profesjonelle roller Innehas av personer som er spesialister innen området og som utøver en vesentlig del av sin arbeidstid relatert til rollen. Disse rollene utfører vanligvis tilrettelegging, kontrollfunksjoner ol i systemet og har videre tilganger enn saksbehandlerrollene.

PersonalkonsulentØkonomikonsulentAnsatte fagavdeling

Stedfortrederroller Roller som utøves på vegne av noen andre, når denne ikke er tilgjengelig. Særlig relevant for autoriserende roller.

Assisterende direktør kan ha rollen Leder som stedfortreder for direktør

Midlertidige roller Dette er ikke egne roller, men beskriver at man har en roller tidsbegrenset, enten som vikariat, i prosjekt eller av andre grunner.


Eksempler på roller:Rolle Type Tildeling Krever opplæring

Tilsatt Allmenn Automatisk ved tilsetting

HR-selvbetjening

Allmenn Automatisk for alle fast tilsatte

Bestiller Saksbehandler Knyttet til stilling Ja, gjennomført web-kurs

Leder Autoriserende Knyttet til stilling

BDM Autoriserende Knyttet til stilling Ja, med beløpsgrense

Innkjøper Profesjonell Knyttet til stilling

Lederassistent Stedfortreder Knyttet til stilling Som for primærrollen


Mer om «berettigelser»• Engelsk: «Entitlements»

• Handler om hva man har rett til å få tilgang til.

• «Grupper» benyttes også, og kan være en samling av «tilganger»

• «Berettigelser» kan koples mot roller».

• Mange spørsmål:• Kan man snakke om business-roller kontra tilgangs-roller?

• Og hva er sammenhengene mellom «tilgangs-roller» og «berettigelser»

• RBAC/ABAC

• Modellering av «tilgang», «entitlement», «rolle», «gruppe»


Policies

• Hvem bestemmer?

• Varighet på tilganger

• Bør enkelte tilganger og roller ha dobbel godkjenning, gjennom en f.eks. arbeidsflyt?

• Skal alle som slutter få inndratt sine tilganger• Hva med emerituser?

• Logging av tilganger og lagring av slik info.


Ambisjon om fellesskap i UH

1. Felles forståelse

2. Felles prosesser

3. Felles arkitektur

4. Felles grensesnitt

5. Samme roller/grupper?

6. Samme systemer og løsninger

7. Samdrift IAM?

• Hvilket nivå er realistisk/ønskelig?


Tidlig arkitekturtenkning: Universitetssamarbeidet BOTT

Husk:

• Ikke alle utfordringer kan (eller bør?) løses

• Ønsker automasjon, men det kommer til å være manuelle behandlinger av tilganger også.

• Må ta de viktigste tingene først.

• Finne «lavthengende frukter». Hva kan gi høy verdi raskt?


Hvordan bli påvirket og hva må gjøres i fremtiden?

• Deltakelse i prosjektet, spesielt fra HR og Studie-siden.• Tydeliggjøre «berettigelser» i egne systemer.• Forvaltning av policies.• Påvirke hvilke roller som skal ha tilgang til hva?

• Krever innsikt berettigelser som finnes i «alle» systemer.

• Mer automatisk og strukturert styring av tilganger.• Kildedata om personer kommer fra HR

• Bedre «compliance», være i tråd med lovverk• Mindre «hazzle» for den enkelte ansatte når man går inn i en stilling.• Færre brukerstøttesaker.


Konsekvenser for systemerUniversitetssamarbeidet BOTT

• HR og FS kilder• «BAS» = IAM-kjerne• Tjenestene skal benytte IAM-kjernens

tilgangsinformasjon.• Kilde-systemene er også «tjenester».• Nye systemer kontra «Legacy».

• Cerebrum endres, rendyrkes mot «enkel» IDM• Ikke sikkert at Cerebrum vil være del av

fremtidig ny fellesløsning.• Teknologi/produkt velges senere.

Gjennomføring

Kilde: Gartner


ROI?Universitetssamarbeidet BOTT

ROI

• Reduksjon av kostnader har begrenset potensiale for IAM• Kanskje med noen unntak:

• Færre brukerstøttehenvendelser?

• Automatiske tilganger?

• Mindre hazzle for ansatte/studenter/gjester

• Håndtering av risiko og sikkerhet typisk viktigst. • Men vanskelig å kvantifisere, ihvertfall i penge-størrelser

• Øvrige potensialer for virksomheten gjennom IAM tilsvarendevanskelig å kvantifisere.


Måle effekter

• Finne gode indikatorer å måle prosjektet på.

• Definere nivået for «suksess» med disse indikatorene.

• Sammenlikne mot historikk

• F.eks.: • Hvordan utvikler tilgangsforespørsler seg hos helpdesk?

• Utviklingen i #automatiserte tilganger gitt.

• Utviklingen i #doble konti, med sammenslåingsproblematikk


Status:

• UDIR-BOTT godkjente oppstart forprosjekt i februar

• Foreløpig skisse til milepæler:• Styringsgruppe etablert 6. april

• Prosjektgruppe etablert 7. april

• Innhold i prosjektrapport definert 5. mai

• Prosjektrapport 50% ferdig 15. sept.

• Overordnede prosesser ferdig beskrevet 29. sept.

• Prosjektrapport godkjent 7. des.


Status

• Styringsgruppe:• IT-direktør Tore Burheim, UiB, leder stg.

• IT-direktør Lars Oftedal, UiO

• IT-direktør Gunnar Toftegaard, INN

• Organisasjonsdirektør/HR Odd Arne Paulsen, UiT

• Programleder BOTT-ERP Cecilie Ohm, UiB

• Tor Holmen, Uninett

• Knut Veium, Studie, NTNU

• Prosjektleder på plass primo mars • Eva Klevstuen, ekstern, men innleid via NTNU’s rammeavtale


Status (forts):• Prosjektgruppe under bemanning

• Arkitektur:• Mathias Meisfjordskar, UiO

• Gisle Aas, UiB

• Carl-Fredrik Sørensen, NTNU

• Terje Lein-Mathisen/Kenneth A. Johansen, UiT

• Arbeidsgrupper• HR og prosesstøtte – Harald Helland, UiT

• Studie og prosesstøtte -- Espen D. Kristensen, UiT

• Sikkerhet• Informasjonssikkerhet NN

• + +


Effektmål

• Hovedprosjekt:• Ivareta behov for modernisering av løsninger for IdM og IAM i BOTT • Økt brukervennlighet gjennom automatisering, selvbetjening og større

tydelighet rundet prosesser, roller og ansvar• Bidra til økt etterlevelse av lover og forskrifter samt øvrige pålegg fra

myndighetene• Effektive rutiner for tilgangsstyring gjennom implementering av felles

arbeidsprosesser på tvers av universitetene• Bedre ressursutnyttelse gjennom å etablere felles løsninger og like

arbeidsprosesser på hvert universitet

• Forprosjekt• Skape forståelse for IAM og prinsippene det skal bygges på


ResultatmålUniversitetssamarbeidet BOTT

• Forslag til alternative løsninger som også gir mulighet for utvidelse for UH i Norge

• Foreslå en plan for implementering som hensyntar tidslinjen i BOTT ERP-prosjektet

• Forslag til alternative løsninger som støtter stegvis implementering for å skape tidlig verdi

• Et beslutningsgrunnlag for iverksettelse av hovedprosjekt

Avsluttende merknader

• Forankret i ledelsen, Universitetsdirektørene

• Vil omfatte alle ansatte, studenter, gjester og andre

• Krever sterk samarbeidsånd, tillit og evne å tenke fellesskapet først

• Å velge produkt nå, vil «ganske sikkert feile» (Gartner)

• Den størrelsesorden det opereres i, har ikke vært gjort før (Gartner)


Spørsmål ?

fagdagene uninett 3. mai 2017 tema: bott iam carl-fredrik

Documents