Sammendrag av prosjektet
IAM-II er en fortsettelse av IAM som har vært et prosjekt tilknyttet Basis IT programmet.
IAM-II inngår nå som en del av programmet BasisIT-II, med følgende IAM-II Styringsgruppe
- Håkon Alstad
- Albert Verhagen
- Ingrid Eide
IAM-II Prosjektleder: Ole Einar Brækken
Prosjektdeltakere:
Rådgiver; Magnar Hole (Leder IT ved NT)
Koordinering av endringer i BAS/Kjernen: Stig Vidar Nordgård (tidligere Hanne Midttun)
Felles tilgangsadministrasjonsprosess - hensikt
- Paga skal være eneste kilde for persondata og relasjoner for arbeidstakere, oppdragstakere og gjester (utvidet bruk av Paga). BAS skal fases ut som person-kildesystem.
- All brukertilgang skal være basert på en ledergodkjent avtale (arbeidsavtale, oppdragsavtale eller tilgangsavtale).
- Alle arbeidsforhold skal være registrert i Paga før første arbeidsdag. Arbeidstakere med manglende skatteopplysninger registreres som preregistrert ansatt (PA).
- Automatikk mellom arbeidsforhold i Paga og brukerkonto/tilganger; systematisk opprettelse og avslutning av tilganger i henhold til arbeidsforholdets start- og stoppdato
- Etter endt arbeidsforhold skal personopplysninger fjernes fra målsystem.
- Felles prosess for bestilling av tilganger: Basis IT, ePhorte, LOP-hjelp, FS osv.
- Enhetlig bruk av ansattforholdkoder.
Pilot for tilgangsadministrasjon ved DMF
Deltakere
- Albert Verhagen
- Bjarne Lein
- Anne Slupphaug
- Anne Jønland
- Ellen Opland
- Erik Kindseth
- Oddvar Åmot
- Frode Vinje
Pilot avsluttet, og prosess satt i produksjon ved DMFvår 2015.
Innføring av felles tilgangsadministrasjonsprosess - videre arbeid
Informasjon og dialog med alle enheter med IT og HR, inkl fusjonspartnere.
Felles forståelse og ønske om å innføre felles prosess ved hele NTNU.
Målsetting
IAM er forkortelse for Identity and Access Management, på norsk: Identitetsforvaltning og tilgangsadministrasjon
Brukeropplevelse
• Et velfungerende IAM ved NTNU skal bidra til forbedret brukeropplevelse basert på at brukeren;
- får tildelt tilgang på en enkel og rask måte
- får tildelt korrekt tilgang basert på sin rolle i organisasjonen
- at tjenestene tilbyr felles pålogging (SingleSignOn)
Sikkerhet
• Tilgang til og bruk av informasjon i NTNUs systemer skal sikres ved hjelp av en enhetlig og felles bruk av autentisering, autorisasjon, administrasjon og audit (AAAA). NTNU skal gjøre dette ved å;
- anvende rett mekanisme for autentisering på rett tjeneste (autentisering)
- gi autentisert identitet rett tilgang til rett tjeneste (autorisasjon)
- ha en enhetlig måte å gjennomføre identitetsadministrasjon (administrasjon)
- ha en løsning for at alle tilgangsrelaterte hendelser (AAAA) skal kunne logges og gjenfinnes (audit)
Produktivitet
• Administrasjon og bruk av NTNUs tjenester skal skje på en effektiv måte. Etablering av nye tjenester skal raskt og effektivt kunne tilpasses det som er beste praksis vedrørende AAAA. Dette gjøres ved at;
- det skal være mulig å delegere og automatisere administrasjon av tjenester
- tjenestene skal ivareta pålagt sikkerhet og oppleves som fleksible ved endring
- tjenester skal kunne benytte etablerte sikkerhetstjenester ved NTNU
Lovlydighet
• NTNU skal sørge for at alle tjenester ivaretar gjeldende lover og forskrifter som omhandler IAM. Dette gjøres ved å;
- innføre (sentralisert) logging på samtlige tjenester
- etablere rapporteringsrutiner basert på hendelser i loggene
Hvem berøres og involveres
Det er veldig mange som berøres av endringer i forbindelse med ny prosess og nytt verktøy for administrasjon av tilganger til IT-systemer. Involvering gjøres i form av arbeidsmøter som omhandler hvordan dette skal foregå: Fra hvordan skal prosessen, rutinene og regler skal utformes, til design og iverksettelse av nytt verktøy til å understøtte prosessen.
Hva skal leveres
Administrasjon av tilganger:
- Nye personer skal være operative med en gang de kommer hit.
- Personer uten norsk personnummer skal være operativ like raskt som alle andre.
- Tilganger til systemer skal gis og avsluttes systematisk og på en oversiktlig måte.
- Riktige personopplysninger skal kunne nås overalt, og kun registrert og vedlikeholdt i autoritativ kilde.
- Vi skal kunne få ut oversikt over hvem som har tilgang til hva til enhver tid.
- Det skal være enklere å tilfredsstille rapporteringskrav ang. tilganger til systemer.
- Vi skal forbedre sluttbrukernes mulighet for selvbetjening.
- Vi skal hindre misbruk av NTNU sine systemer
Suksessfaktorer
Hvilke krav til suksess er satt?
- Viktig med forståelse for at et IAM prosjekt er 80% prosess og 20% teknologi
- Resultatet som leveres skal gjøre IAM-administrasjon enklere og mer oversiktelig og sluttbruker skal oppleve færre problemer med tilganger
- Prosjektet må sørge for involvering fra alle viktige interessenter i tillegg til å motivere organisasjonen til endring
- Vektlegge god informasjonsflyt med evne til å gjøre den forståelig
- Sørge for å levere det vi kommuniserer til organisasjonen
- Lage gode og relevante arbeidsprosessbeskrivelser som kan benyttes i hele organisasjonen
- Sørge for å ha fokus på prosess gjennom hele prosjektet
Milepæler og framdrift
Fullføre påbegynt arbeid med ny prosess for tilgangsadministrasjon, og realisere Paga som autorativ kilde for alle «ikke-studenter»
Realisere gjenstående IAM-mål og visjon ved innfasing av nytt verktøy…
VISJON
IAM-infrastrukturen er representert som bokser av funksjonalitet organisert i tre hovedkategorier:
systemer for forvaltning av tilgang til applikasjoner (primært Web-baserte) og web services, og for implementering av “Single Sign-On” og føderering.
systemer for forvaltning av brukeridentiteter og brukerroller. Inkluderer arbeidsflyt (workflow) og "provisjonering".
systemer for samling av logger og hendelsesinformasjon (events), og for generering av ”audit” og ”compliance” rapporter.