Felles løsning for identitets- og tilgangsstyring Tore Burheim IT-direktør Universitetet i Bergen Leder i styringsgruppen for BOTT-IAM
Industrien og tjenesteyting er digitalisert Deler av statlig sector henger god med Stort sprik i UH-sektoren
Status i UH sektoren Administrative tjenester Digitalisert forskningsaktivitet Digital undervisning og vurdering
Det er mye å ta fatt i! Ingen nye penger!
112 000 studenter 33 200 ansatte 216 000 brukerkontoer 25 års samarbeid 25 år ledelsesforankring
Må anskaffe pga Digitalisering og modernisering BOTT - ERP BOTT Strategisk HR BOTT - SakArkiv BOTT MASTER-DATA BOTT - IAM
BOTT-IAM Felles løsning for identitets og tilgangsstyring er etablert som et prosjekt under universitetsdirektørene i BOTT Underliggende behov a) M ålet om standardiserte prosesser m ed felles løsninger (som ERP, HR, SakArkiv, mv) fordrer enhetlige roller og enhetlig tilgang til data og system er b) Alle de fire universitetene har gam le og utdaterte løsninger for brukeradm inistrasjon c) Vi bruker mye tid og ressurser på tilgangsstyring i dag m ed m ange m anuelle løsninger
Eksempel: Sikker bruk av infrastruktur ü Gjennomført HMS kurs ü Gjennomført opplæring ü Student eller ansatt med legitimt behov Kontrollert tilgang gjennom nøkkelkortsystem I dag: saksbehandling via e- post og manuelle lister i Excel Krav til utvidet HR system Krav til IAM
KDs Digitaliserigsstrategi
BOTT-IAM har høyere ambisjoner enn Kunnskapsdepartementets digitaliseringsstrategi!
Hva snakker vi om? --- Brukerkonti Stort volum personer aktive studenter ansatte andre tilknyttet inaktive Alumni UiO 274 657 67 174 45 570 10 939 1 308 9 357 207 483 UiT 81 731 27 350 20 569 4 518 712 6 510 54 381 UiB 121 249 23 766 17 956 5 250 17 543 87 514 NTNU 220 685 98 113 47 449 12 538 24 838 13 288 122 572 40 743 Totalt 698 322 216 403 131 544 33 245 26 875 29 698 471 950
Hva snakker vi om? --- Grupper for tilgang Åpenbart ulik bruk Totalt OU ORG_OU ephorte OU Totalt Antall grupper AD LDAP UNIX nettgruppe UNIX filgruppe CF fronter UiO 1 743 774 332 682 553 90 952 3 167 6 575 101 223 112 207 UiT 901 NA 35 732 4 544 NA NA NA 7 026 UiB 338 2 500 NA 600 1 000 NTNU 179 142 7 684 7 436 6382 NA 6 457 NA
Utfordringer 216 000 aktive brukere (identiteter) Gamle systemer for brukeradministrasjon (SEBRA, Cerebrum i tre ulike versjoner) Mange hundre ulike systemer med tilgangskontroll Rolle og tilgangsstyring internt i systemer er i liten grad integrert Tilgangsstyring inneholder manuelle og semi-manuelle prosesser Lite (litt) selvbetjening og automatikk Hovedvekt på tilgang til IT-systemer, men også på ressurser og utstyr Økt krav om sikkerhet, sporbarhet og dokumentasjon. Mer internkontroll og revisjon
Problemer Tilganger er ikke på plass ved oppstart for nyansatte Tilgang blir ikke gitt eller avsluttet systematisk Personopplysninger ikke knyttet mot autorativ kilde, sprikende format, semantikk og struktur Manglende enhetlig oversikt over tilganger Lite selvbetjening (1 av 4) LIte federering Variernede single sign-on Personer uten norsk fødselsnummer får forsinket tilgang Tilganger avsluttes ikke
Eksempler på organisatoriske utfordringer Ingen felles prosesser i dag, vesentlig sprik Når blir man student? Hva er en studieplan, hvordan bygges den opp? Hvem godkjenner tilganger Institutt: fra en håndfull ansatte til mange hundre ansatte Hvor mye standard og hvor mye spesialtilpassning tillates Eksterne brukere registreres i UiB: SEBRA (selvbetjening), NTNU: Paga (HR-system) UiT: FS og SystemX UiO: SAP Hvor registreres organisatorisk tilhørighet Hva er organisatorisk tilhørighet: kostnadssted, kontorsted, forskergruppe, organisasjonssted Personer med flere organisatoriske tilhørigheter Automatisert tilgang: Hvordan sikre seg mot feil (Sensitive data) Opp til 3 interne forvaltningsnivåer internt, Hva kan en forskningsleder gjøre, instituttleder, fakultetsadministrasjon, sentraladministrasjon innen hvert saksområde, økonomi. Sterk avhengighet til de andre prosjektene
Én brukerkonto fra samordna opptak til emeritus
Ambisjonsnivå? Felles innkjøp Samme løsning Standard roller og prosesser Felles katalog
Overordnet plan Planlegging Kartlegging Omfang - Risiko mulig realisering forankring Avgrensning og realistisk målbilde Realistisk prosjektplan Business case gevinster - forankring Forprosjekt Gjennomføring Iterativ gjennomføring og innføring Drift og forvaltning
Resultat forprosjekt Grundig kartlegging av status i fagfeltet og på institusjonene Betydelig gap i forhold til standardisering (prosesser, roller) Høy prosjektkostnad, usikker teknologikostnad Høy prosjektrisiko (endring, prosesser, kapasitet) Stegvis utrulling og migrering over til en moderne plattform Universitetsdirektørene godkjente et initiativ mot KDTO og UNINETT om samarbeid, men uttrykte samtidig bekymring for økt kompleksitet og mulig forsinkelse
Mulig gjennomføringsmodell Stegvis gjennomføring (ikke «Big bang») Bryte prosjektet ned for å redusere risiko Må støtte både standardiserte roller og tilganger, og differensierte Prosessutvikling og standardisering må gjøres med fagområdene i førersetet Enkel og tydelig modell for ansvar og myndighet i hovedprosjekt med leveranse og mottaksprosjekt Tett integrasjon mot BOTT-SakArkiv, BOTT-HR og BOTT-ERP Fokusere på quick wins! Organisasjonsutvikling Plan Styring Drift Innføre
Nærhet til bruker Hastighet Gjennomføringskraft Arbeidsdeling