Sammendrag
IAM («Identity and Access Management», på norsk Identitetsforvaltning og tilgangsadministrasjon), har pågått som prosjekt i lang tid. Prosjektet har både hatt flere versjoner (IAM I og II), flere prosjektledere og noe ulikt «fokus» – men målsetting og mandat er beholdt uforandret.
Basert på dette har prosjektet jobbet med følgende funksjonelle mål:
- At nye personer er operative med en gang de kommer hit
- innføring av felles prosess med forutsetning om avtale, registrering i Paga og tilgangsbestillingsskjema for alle "ikke-studenter"
- At tilganger til systemer blir gitt og avsluttet systematisk og på en oversiktlig måte
- innføring av felles prosess med forutsetning om avtale, registrering i Paga og tilgangsbestillingsskjema for alle "ikke-studenter"
- At personer uten norsk personnummer er operative like raskt som alle andre
- innføring av Paga som autorativ kilde for alle "ikke-studenter", og tilrettelegging for bruk av "fiktivt" "paga-nummer"
- Riktige personopplysninger overalt, registrert i en felles autoritativ kilde
- innføring av Paga som autorativ kilde for alle "ikke-studenter"
- Oversikt over hvem som har tilgang til hva
- ikke fullt ut realisert
- Enklere å tilfredsstille rapporteringskrav ang. tilganger til systemer
- ikke fullt ut realisert
- Forbedre sluttbrukernes mulighet for selvbetjening
- innføring av mer automatikk, samt selvbetjening ift aktivering av brukerkonto
- Ingen misbruk av NTNU sine systemer
- Forutsetning av ledergodkjent avtale, bruk av Paga med sluttdato, innføring av passordbytte
Målsetting
Brukeropplevelse
• Et velfungerende IAM ved NTNU skal bidra til forbedret brukeropplevelse basert på at brukeren;
- får tildelt tilgang på en enkel og rask måte
- får tildelt korrekt tilgang basert på sin rolle i organisasjonen
- at tjenestene tilbyr felles pålogging (SingleSignOn)
Sikkerhet
• Tilgang til og bruk av informasjon i NTNUs systemer skal sikres ved hjelp av en enhetlig og felles bruk av autentisering, autorisasjon, administrasjon og audit (AAAA). NTNU skal gjøre dette ved å;
- anvende rett mekanisme for autentisering på rett tjeneste (autentisering)
- gi autentisert identitet rett tilgang til rett tjeneste (autorisasjon)
- ha en enhetlig måte å gjennomføre identitetsadministrasjon (administrasjon)
- ha en løsning for at alle tilgangsrelaterte hendelser (AAAA) skal kunne logges og gjenfinnes (audit)
Produktivitet
• Administrasjon og bruk av NTNUs tjenester skal skje på en effektiv måte. Etablering av nye tjenester skal raskt og effektivt kunne tilpasses det som er beste praksis vedrørende AAAA. Dette gjøres ved at;
- det skal være mulig å delegere og automatisere administrasjon av tjenester
- tjenestene skal ivareta pålagt sikkerhet og oppleves som fleksible ved endring
- tjenester skal kunne benytte etablerte sikkerhetstjenester ved NTNU
Lovlydighet
• NTNU skal sørge for at alle tjenester ivaretar gjeldende lover og forskrifter som omhandler IAM. Dette gjøres ved å;
- innføre (sentralisert) logging på samtlige tjenester
- etablere rapporteringsrutiner basert på hendelser i loggene
Hva er levert
Prosjektet har iverksatt en rekke tilpasninger i eksisterende berørte verktøy og systemer for å understøtte ønsket målsetting.
Et viktig fokusområde er innføring av en felles tilgangsbestillingsprosess - se lenke
https://innsida.ntnu.no/wiki/-/wiki/Norsk/Bestille+tilganger+til+systemer+og+rom
Tilgangsbestillingsprosess
- Avtale (arbeids- eller tilgangsavtale)
- Innhente informasjon
- Verifisere/legge til informasjon
- Godkjenne
- "Arkivere"
- Registrere personaldata (HR Portal)
- Bestille tilganger
- Basis IT
- Adgang bygg/rom
- Administrative systemer
- Tilganger opprettes
- Ferdig-varsel
- Aktivere konto
- Aktivere brukerkonto
- Hente adgangskort/ nøkler
https://innsida.ntnu.no/wiki/-/wiki/Norsk/Administrere+tilganger
En grov oversikt over aktiviteter/oppgaver som er blitt utført i regi av IAM for å realisere de funksjonelle målene:
- Innføring av uSU (utvidet serviceuttrekk fra Paga)
- Paga som autorativ kilde for persondata for alle "ikke-studenter"
- Endring i Kjernen som muliggjør styring på ansattforholdkoder for overføring/distribusjon ut til ulike it-systemene (muliggjør noe mer automatikk)
- Bruk av fiktive f.nr fra Paga (8-nr) for brukere uten norsk p.nr eller d.nr
- Innføring av avslutningsmetodikk (karantene og opprydding)
- Innføring av dynamiske organisasjonsgrupper (hr-grupper)
- Tilrettelegging for mer automatikk ift etablering av basis it-tilganger og selvbetjent aktivering (via ID porten)
- Innføring av tvungen passordbytte
- Initiert rapportering og aktiviteter for opprydding i manuelle registreringer i BAS
- Utarbeidelse av tilgangsbestillingssprosess
- Utvikling og innføring av felles tilgangsbestillingsskjema med tilhørende arbeidsflyt
- Gjennomføring av pilot ved MH (som inkluderte HR lokalt og sentralt, IT lokalt og sentralt, og Lønn/Økonomi)
- Utvikling og innføring av felles elektronisk Tilgangsavtale med tilhørende arbeidsflyt og "kobling" med tilgangsbestilling
- Informasjon og gjennomgang av felles prosess ved alle fakultet (HR, IT og en del kontorsjefmøter)
- Innføring/ oppstart av felles prosess ved alle fakultet og avdelinger ved NTNU
Innsidameldinger med oversikt/status