IAM NETINFO 2012-11-29 Rollhantering Behörigheter Målgrupper Information Stödprocesser Rutinbeskrivningar Arbetsflöde Verktygsstöd Användare IT-tjänster Person Organisation
IAM- Identity & Access Management Identitetshantering (Identity Management) är ett begrepp som används för att beskriva hur man hanterar digitala identiteter i organisationens olika IT-system. Området omnämns vanligen även tillsammans med behörighetshantering (Access Management) som är begrepp för hur digitala identiteter används för att ge åtkomst till olika IT-relaterade tjänster. Något som kan vara alltifrån ett IT-system till en lokal via sitt passerkort.
Tidsplan IAM 2012-01 2013-12 Förberda projektet FAS 1 Verksamhetsbehov FAS 2 Teknisk lösning och införande Jan Maj Jan-13 Dec-13
Ett av våra mål i Fas 1 En kravspecifikation med funktionella respektive icke-funktionella krav som ska ligga till grund för en upphandling av en teknisk miljö för Bas-IT-tjänst LU-konto
Genomförda aktiviteter Workshop Maj-September 2012 (ca 120 personer har deltagit) - Workshop 1 och 2 Katalogansvariga - Workshop 3 Inriktning studentkonto - Workshop 4 och 5 Tekniker - Workshop 6 Inriktning anställdkonto + övriga konto - Workshop 7 SamIT - Workshop 8 Operativa ledningsgruppen - Workshop 9 LU-kortet - Workshop 10 Teknik, med hänsyn till befintlig infrastruktur - Workshop 11 Organisation - Verifiering med nyckelpersoner utanför gruppen - Kategorier - Arbetsflöden - Nuläge och Målläge - Källssystem
Projektstatus En del av som kommit fram ur Workshop Kvalitetssäkring av information, undvika inmatning i flera system Rapporter för tilldelade behörigheter Stöd för tilldelning, förändring samt avslut av behörigheter för anställda/studenter genom delvis automatiserade processer Uppbyggnad och stöd för ett unikt ID som ej är beroende av ett svenska personnummer Händelsestyrd identitetslösning för snabbare ledtider Samordnad hantering av titel från Primula med möjlighet att addera på ett fritextfält gärna med engelsk översättning Stöd för tilldelning, förändring samt avslut av behörigheter för gäster Tillhandahålla en möjlighet att skapa enklare konton för tex gästföreläsare delegerat ut i verksamhet för att slippa ett beroende till katalogansvariga. Möjligt att registrera flera olika kategorier, idag finns bara anställd/student/temp user
Kategorier Arbetsflöden är framtagna för följande kategorier Anställd Timanställd Stipendiat Långvarig Gäst Emeriti Tidigare anställd Student Doktorand Alumni Biblioteksbesökare Besökare
Arbetsflöden Gemensamma Arbetsflöden, med tydliga arbetsmoment och systemkopplingar dokumenterade, ska kunna möjliggöra automatisering och effektivisering Anställd börjar
Källsystem Källsystem är det system som lagrar den per definition korrekta versionen av den aktuella informationen. All ändring av felaktigheter kring informationen skall alltid ske i respektive källsystem. System kan distribuera vidare utökad information och anses då vara nytt källsystem för den totala informationsmängden men ej för den fristående ursprungliga informationen. System bör endast i undantagsfall distribuera vidare modifierad information som härstammar ifrån ett annat källsystem men får i detta fall betraktas som källsystem för informationen.
Källsystem Primula LADOK Orfi Stipendiesystem (nyutvecklat) Nettools
Pågående aktiviteter. Systeminventering LDC/LU (tekniska krav) Förankrar kravspec i styrgrupp Återkoppling och presentation av kravspec till referensgrupper. Färdigställa och besluta om kravspec inför upphandling.
IAM Verktygsstöd Rollhantering Användare IT-tjänster Behörigheter Målgrupper Stödprocesser Rutinbeskrivningar Arbetsflöde Information Person Organisation
Bakgrund Det finns en katalogtjänst idag bestående av ett egenutvecklat webgränssnitt samt en LDAP-miljö och en Active Directory-miljö som innehåller universitets ca 6 000 anställda och ca 46 000 aktiva studenter samt externa personer med anknytning till universitetet. Det finns ett tydligt verksamhetsbehov inom organisationen att komplettera och kvalitetssäkra informationen som finns idag både för anställda och studenter samt att etablera gemensamma processer för hantering av informationen. Det saknas en hantering som motsvarar verksamhetens behov av att knyta roller till individer för att på detta per automatik tilldela individer korrekta behörigheter baserat på vilken roll de har respektive se till att de finns med i rätt utsökningar när man t ex vill nå användare med specifika arbetsuppgifter. Det mest belysande exemplet är att i den befintlig tekniska lösningen kan man endast registrera tre huvudtyper av individer, anställda, studenter och temporära identiteter.
Syfte Projektet ska dokumentera verksamhetens kravbild för Bas-ITtjänst LU-konto och därefter implementera en teknisk infrastruktur som tydligt stödjer denna kravbild och ger tillgång till person- och organisationsinformation med hög kvalitet.
Sammanfattning Lunds universitet ska införa en ny identitetshanteringstjänst för att effektivisera och underlätta identitets- och behörighetshantering och stödja kringliggande IT-tjänster för anställda och studenter. Detta projekt ska genomföra en strukturerad behovsinventering och utifrån verksamhetens önskemål skapa en kravspecifikation. Denna kravspecifikation tillsammans med universitetsgemensamma rutinbeskrivningar inom området ska utgöra grunden för att införa en teknisk infrastruktur som realiserar Bas-IT-tjänst LU-konto, dvs en utökad ersättare till dagens Lucat. En utökning av den lagrade informationen för både anställda och studenter tillsammans med införande av rutiner för att möjliggöra en högre kvalitetsnivå på den lagrade informationen samt införandet av ett ändamålsenligt verktygsstöd ska minska behovet av lokala katalogtjänster. Genom att ansluta fler IT-tjänster till ett gemensamt nav ska administrationen av behörighet till IT-tjänster förenklas. Det ska bli möjligt att via rapporter få tydligare överblick över både organisationen och enskilda individer än idag, presentera information för riktade målgrupper och få överblick och information om vilka IT-tjänster resp individ har tillgång till samt att aktivt bearbeta den presenterade informationen.