Sammendrag

IAM-II er en fortsettelse av IAM som har vært et prosjekt tilknyttet Basis IT programmet.

IAM-II inngår nå som en del av programmet BasisIT-II, med følgende IAM-II Styringsgruppe

• Håkon Alstad
• Albert Verhagen
• Ingrid Eide

IAM-II Prosjektleder: Ole Einar Brækken

Prosjektdeltakere:

Rådgiver; Magnar Hole (Leder IT ved NT)

Koordinering av endringer i BAS/Kjernen: Hanne Midttun (Teamleder Dataflyt)

Pilot for tilgangsadministrasjon ved DMF:

• Albert Verhagen
• Bjarne Lein
• Anne Slupphaug
• Anne Jønland
• Ellen Opland
• Erik Kindseth
• Oddvar Åmot
• Frode Vinje

Målsetting

IAM («Identity and Access Management», på norsk Identitetsforvaltning og tilgangsadministrasjon), har pågått som prosjekt i lang tid. Prosjektet har både hatt flere versjoner (IAM I og II), flere prosjektledere og noe ulikt «fokus» – men målsetting og mandat er beholdt uforandret.

Basert på dette har prosjektet jobbet med følgende funksjonelle mål:

•     At nye personer er operative med en gang de kommer hit
  
  • innføring av felles prosess med forutsetning om avtale, registrering i Paga og tilgangsbestillingsskjema for alle "ikke-studenter"
•     At tilganger til systemer blir gitt og avsluttet systematisk og på en oversiktlig måte
  • innføring av felles prosess med forutsetning om avtale, registrering i Paga og tilgangsbestillingsskjema for alle "ikke-studenter"
•     At personer uten norsk personnummer er operative like raskt som alle andre
  • innføring av Paga som autorativ kilde for alle "ikke-studenter", og tilrettelegging for bruk av "fiktivt" "paga-nummer"
•     Riktige personopplysninger overalt, registrert i en felles autoritativ kilde
  • innføring av Paga som autorativ kilde for alle "ikke-studenter"
•     Oversikt over hvem som har tilgang til hva
  • ikke fullt ut realisert
•     Enklere å tilfredsstille rapporteringskrav ang. tilganger til systemer
  • ikke fullt ut realisert
•     Forbedre sluttbrukernes mulighet for selvbetjening
  • innføring av mer automatikk, samt selvbetjening ift aktivering av brukerkonto
•     Ingen misbruk av NTNU sine systemer
  • Forutsetning av ledergodkjent avtale, bruk av Paga med sluttdato, innføring av passordbytte

Målsetting

Brukeropplevelse
• Et velfungerende IAM ved NTNU skal bidra til forbedret brukeropplevelse basert på at brukeren;

• får tildelt tilgang på en enkel og rask måte
• får tildelt korrekt tilgang basert på sin rolle i organisasjonen
• at tjenestene tilbyr felles pålogging (SingleSignOn)

Sikkerhet
• Tilgang til og bruk av informasjon i NTNUs systemer skal sikres ved hjelp av en enhetlig og felles bruk av autentisering, autorisasjon, administrasjon og audit (AAAA). NTNU skal gjøre dette ved å;   

• anvende rett mekanisme for autentisering på rett tjeneste (autentisering)
• gi autentisert identitet rett tilgang til rett tjeneste (autorisasjon)
• ha en enhetlig måte å gjennomføre identitetsadministrasjon (administrasjon)
• ha en løsning for at alle tilgangsrelaterte hendelser (AAAA) skal kunne logges og gjenfinnes (audit)

Produktivitet
• Administrasjon og bruk av NTNUs tjenester skal skje på en effektiv måte. Etablering av nye tjenester skal raskt og effektivt kunne tilpasses det som er beste praksis vedrørende AAAA. Dette gjøres ved at;

• det skal være mulig å delegere og automatisere administrasjon av tjenester
• tjenestene skal ivareta pålagt sikkerhet og oppleves som fleksible ved endring
• tjenester skal kunne benytte etablerte sikkerhetstjenester ved NTNU

Lovlydighet
• NTNU skal sørge for at alle tjenester ivaretar gjeldende lover og forskrifter som omhandler IAM. Dette gjøres ved å;

• innføre (sentralisert) logging på samtlige tjenester
• etablere rapporteringsrutiner basert på hendelser i loggene

Hvem berøres og involveres

Det er veldig mange som berøres av endringer i forbindelse med ny prosess og nytt verktøy for administrasjon av tilganger til IT-systemer. Involvering gjøres i form av arbeidsmøter som omhandler hvordan dette skal foregå: Fra hvordan skal prosessen, rutinene og regler skal utformes, til design og iverksettelse av nytt verktøy til å understøtte prosessen.

Image Removed

Hva skal leveres

 Administrasjon av tilganger:

• Nye personer skal være operative med en gang de kommer hit.
• Personer uten norsk personnummer skal være operativ like raskt som alle andre.
• Tilganger til systemer skal gis og avsluttes systematisk og på en oversiktlig måte.
• Riktige personopplysninger skal kunne nås overalt, og kun registrert og vedlikeholdt i autoritativ kilde.
• Vi skal kunne få ut oversikt over hvem som har tilgang til hva til enhver tid.
• Det skal være enklere å tilfredsstille rapporteringskrav ang. tilganger til systemer.
• Vi skal forbedre sluttbrukernes mulighet for selvbetjening.
• Vi skal hindre misbruk av NTNU sine systemer

Suksessfaktorer

Hvilke krav til suksess er satt?

• Viktig med forståelse for at et IAM prosjekt er 80% prosess og 20% teknologi 
• Resultatet som leveres skal gjøre IAM-administrasjon enklere og mer oversiktelig og sluttbruker skal oppleve færre problemer med tilganger
• Prosjektet må sørge for involvering fra alle viktige interessenter i tillegg til å motivere organisasjonen til endring
• Vektlegge god informasjonsflyt med evne til å gjøre den forståelig
• Sørge for å levere det vi kommuniserer til organisasjonen
• Lage gode og relevante arbeidsprosessbeskrivelser som kan benyttes i hele organisasjonen
• Sørge for å ha fokus på prosess gjennom hele prosjektet

Milepæler og framdrift

Fullføre påbegynt arbeid med ny prosess for tilgangsadministrasjon, og realisere Paga som autorativ kilde for alle «ikke-studenter»

Realisere gjenstående IAM-mål og visjon ved innfasing av nytt verktøy…

VISJON

IAM-infrastrukturen er representert som bokser av funksjonalitet organisert i tre hovedkategorier:

Image Removed

Hva er levert

Prosjektet har iverksatt en rekke tilpasninger i eksisterende berørte verktøy og systemer for å understøtte ønsket målsetting.

Et viktig fokusområde er innføring av en felles tilgangsbestillingsprosess - se lenke
https://innsida.ntnu.no/wiki/-/wiki/Norsk/Bestille+tilganger+til+systemer+og+rom

Tilgangsbestillingsprosess

1. Avtale (arbeids- eller tilgangsavtale)
   
   • Innhente informasjon
   • Verifisere/legge til informasjon
   • Godkjenne
   • "Arkivere"
2. Registrere personaldata (HR Portal)
3. Bestille tilganger
   • Basis IT
   • Adgang bygg/rom
   • Administrative systemer
4. Tilganger opprettes
5. Ferdig-varsel
6. Aktivere konto
   • Aktivere brukerkonto
   • Hente adgangskort/ nøkler

Image Added

https://innsida.ntnu.no/wiki/-/wiki/Norsk/Administrere+tilganger

En grov oversikt over aktiviteter/oppgaver som er blitt utført i regi av IAM for å realisere de funksjonelle målene:

• Innføring av uSU (utvidet serviceuttrekk fra Paga)
• Paga som autorativ kilde for persondata for alle "ikke-studenter"
• Endring i Kjernen som muliggjør styring på ansattforholdkoder for overføring/distribusjon ut til ulike it-systemene (muliggjør noe mer automatikk)
• Bruk av fiktive f.nr fra Paga (8-nr) for brukere uten norsk p.nr eller d.nr
• Innføring av avslutningsmetodikk (karantene og opprydding)
• Innføring av dynamiske organisasjonsgrupper (hr-grupper)
• Tilrettelegging for mer automatikk ift etablering av basis it-tilganger og selvbetjent aktivering (via ID porten)
• Innføring av tvungen passordbytte
• Initiert rapportering og aktiviteter for opprydding i manuelle registreringer i BAS
• Utarbeidelse av tilgangsbestillingssprosess
• Utvikling og innføring av felles tilgangsbestillingsskjema med tilhørende arbeidsflyt
• Gjennomføring av pilot ved MH (som inkluderte HR lokalt og sentralt, IT lokalt og sentralt, og Lønn/Økonomi)
• Utvikling og innføring av felles elektronisk Tilgangsavtale med tilhørende arbeidsflyt og "kobling" med tilgangsbestilling
• Informasjon og gjennomgang av felles prosess ved alle fakultet (HR, IT og en del kontorsjefmøter)
• Innføring/ oppstart av felles prosess ved alle fakultet og avdelinger ved NTNU

Innsidameldinger med oversikt/status

• Felles prosess for tilgangsadministrasjon
• Fortsatt liv i IAM?