BILAGA 2, IT- OCH INTEGRATIONSMILJÖN

BILAGA 2, IT- OCH INTEGRATIONSMILJÖN 1 Allmän beskrivning Ale kommuns IT-avdelning sköter kommunens drift av servrar och nätverk. De har även hand om klienter, skrivare, servicedesk och telefoniplattformen. 1.1 Teknisk miljö Under de senaste åren har kommunen haft som inriktning och strategi att standardisera kring Microsofts produktutbud beträffande grundläggande infrastruktur. För att få bästa effekt av tidigare gjorda investeringar, efterfrågas därför ett system och en lösning som fungerar mycket väl i en Microsoftbaserad plattform. Ale kommun har en identitetslösning som bygger på Microsofts Forefront Identity Manager, FIM. Födande system (ägare av informationen) är HR plus för personal och det elevadministrativa för elever vilket innebär att användaridentiteter i Active Directory skapas med automatik utifrån denna information. FIM kommer föda HR systemet med e-post adresser. I driftmiljön förekommer i nuläget olika databaser, med en tydlig inriktning mot Microsofts, f.n. SQL Server 2012. Databasen för det nuvarande personalsystemet HR Plus körs på Linux (Red Hat) med Oracle 11.2. Integrationsmotorn är idag Decapus som levereras av Tieto. Ett arbete pågår med att byta integrationsmotorn till Microsoft Biztalk. För webbserver används i huvudsak Microsoft IIS. Kommunens intranät, vår s.k. digitala arbetsplats bygger på SharePoint 2013. Den externa webben är byggd i Sitevision. Idag kommer anställda åt självbetjäning via den digitala arbetsplatsen. Systemet ska ha stöd för att kunna integreras mot ett externt behörighetssystem som MobilityGuard eller motsvarande (reverse proxy). Avsikten är att kunna hantera autentisering av externa användare mot tjänster i systemet via t.ex. E-legitimation eller annan autentiseringsmekanism. Det pågår ett arbete i kommunen att se över behovet av tjänstekort för logisk och fysisk access samt visuell identifikation. Beslut är tagna att använda MIFARE teknik som standard för logisk och fysisk access. Detta kommer även gälla för access till verksamhetssystem när krav på detta finns. För att arbeta hemifrån eller ute på fältet används Microsoft Direct Access, DA. Detta ställer krav på att applikationen är IP-v6 klar. Kommunen har en internetanslutning med en bandbredd på 500 Mbps. Anslutning för externa leverantörer upprättas efter överenskommelse. Kommunens IT-arkitektur beskrivs i Arkitekturdokument (version 1, reve), infogat sist i denna bilaga. 1.2 Basarbetsplats/Arbetsplatsutrustning För att skjuta ut klientuppdateringar använder IT-avdelningen Microsoft SCCM 2012. En standard-pc hos kommunen innehåller följande: MS Windows 7 (32-bit)/ 8 (64-bit) MS Office 2010 MS Outlook 2010 MS Internet Explorer 10/11 MS Lync 2010 1

Hela Office paketet kommer uppdateras under 2014 till Office 2013. När det gäller läsplattor och smartphones förekommer ios, android och windows. 2 Verksamhetssystem som ersätts av nytt personalsystem I Ale kommun körs idag en mängd tillämpningar och system av olika slag. De som skall ersättas genom denna upphandling är: HR Plus, löne- och personaladministration HR-plus Web Självservicesystem 1200 användare Timetool (schemaläggningssystem för vården) Flex (flex- och schemasystem för vården, ca 800 användare) Anställningsavtal (tjänst i SharePoint) Vikariepoolen (tjänst i SharePoint) 3 Integrationer Det nya personalsystemet kommer att vara en viktig informationskälla för verksamhetssystem som använder personaldata. Det är därför viktigt att system som upphandlas är väl anpassat för integration med andra system, både för att lämna och hämta information. Informationen ska vara lagrad i databaserna på ett sätt som underlättar samverkan. De system som omfattas av ska-krav vad avser integrationer är de tre systemdelar som upphandlas samt ekonomisystemet Aditro Affärslösning. Andra system som det nya systemet kommer att integreras med är: Aditro Affärslösning- ekonomisystem WinLas - Las-hantering, med åtkomst för chefer Qlikview - beslutsstödssystem Treserva - administration inom social- och skolverksamhet TES - schema och planeringssystem för hemtjänst. KOLL register över lärarlegitimationer FIM Befolkningsregister slagning av personuppgifter Adato, för rehab-ärenden som införs under 2014. Lisa, för arbetsmiljö som införs införas under 2014 Preliminärt kommer integrationer eventuellt att ske som tilläggstjänst även mot: Stratsys beslutsstödsystem och SharePoint Ales intranät (CMS)

Följande skisser visar de kopplingar och hänvisningar till krav (bilaga 4 Kravspecifikation): (Bild 1) Integrationer till HR och Lön (Bild 2) Integrationer till Självservice och tidrapport (Bild 3) Integrationer till Resursadministration

Ale kommun Arkitektdokument 2014-05-05 Version 1 Revison E

Obs Dokumentet bör revideras minst en gång per år. VERSIONSHANTERING Datum Version Beskrivning Ändrat av 2012-09-03 1 JA 2013-02-25 1B Uppdaterade skisser och rättning av fel (bildnummer) JA 2013-09-19 1D Uppdateringar av info 6.4, 6.5, 6.6 JI 2013-09-25 1D Tilläggsinformation om AD FS JI 2014-05-05 1E Korrigering av ADFS och integrationsmotor samt FIM MH INNEHÅLL 1. Inledning 7 1.1 Avgränsningar 7 1.2 Målgrupp 7 2. Dokumentstruktur 7 2.1 Förkortningar 8 3. Referensmodell för IT-plattform 10 3.1 Referensmodell (logisk) 11 3.2 Referensmodell (fysisk) 12 3.3 Referensmodell och nuläge 14 3.4 Användargrupper 16 4. Övergripande arkitektur identitets och behörighetshantering 18 4.1 Nuvarande arkitektur 18 4.2 Målbild 20 4.3 Uppdaterad information om AD FS 21 4.4 Nuvarande arkitektur integrationer 21 4.5 Målbild 23 5. Beskrivning avhuvudkomponenter/områden 25 5.1 BKS behörighetsåtkomst (Access Management) 25 5.2 Content management (extranet) 25 5.3 Katalogtjänster 25

5.3.1 Nätverkskatalog 25 5.3.2 Behörighetskatalog 25 5.4 Identitetshantering 25 5.5 Skolportal 25 5.6 Intranet/digital arbetsplats 25 5.7 E-tjänster 26 5.8 Integrationsmotor/servicebuss (ESB) 26 6. Användningsfall och Scenarion 26 6.1 Användningsfall inloggning mot elevportal 26 6.2 Scenario E-tjänst mot verksamhetssystem 29 6.3 Scenario lös e-tjänst 30

1. Inledning Detta dokument beskriver arkitekturen för Ale kommuns grundläggande ITkomponenter. Syftet med dokumentet är att kunna visa vilka komponenter och produkter som finns samt hur de fungerar tillsammans. Primärt har fokus lagts på områden för att kunna hantera e-tjänster och behörighetshantering. Som utgångspunkt har en referensmodell använts för att kunna relatera befintliga produkter som används idag inom kommunen. Referensmodellen relaterar även till framtida komponenter som är under införande. Dokumentet ägs av May Herlin, IT-strateg. 1.1 Avgränsningar Dokumentet syftar inte till att ge en detaljerad beskrivning av hur olika system är konfigurerade. Dokumentet beskriver endast olika produkter och komponenter utifrån ett övergripande perspektiv. Dokumentet beskriver inte arkitektur för olika verksamhetsystem/områden inom kommunen. 1.2 Målgrupp IT-arkitekter IT-samordnare IT-konsulter Konsulter 2. Dokumentstruktur Arkitektdokument Riktlinjer Processbeskrivning

2.1 Förkortningar Förkortning AD, Microsoft Betydelse/Referens Windows baserad Katalogtjänst för att hantera användare och grupper (säkerhet och inloggning) http://en.wikipedia.org/wiki/active_directory AD FS BIF BKS DSML EN 13606 AD FS är en identitetsåtkomstlösning som tillhandahåller webbläsarbaserade klienter http://en.wikipedia.org/wiki/active_directory_federation_services Bastjänster för informationsförsörjning http://www.svrinfo.se/projekt-tjanster/bif/ Behörighetskontrollsystem, se även WAM Directory Service Markup Language, XML-baserat protokol för att hantera katalogrelaterad information http://en.wikipedia.org/wiki/directory_service_markup_language Europeisk standard för elektronisk kommunikation av vårdinformation (patientdata) http://en.wikipedia.org/wiki/en_13606 ESB HSA IDM LDAP LDIF Metakatalog Enterprise Service Bus, komponent för att integrera olika system/applikationer som kommunicerar via webbtjänster http://en.wikipedia.org/wiki/enterprise_service_bus Hälso- och sjukvårdsadressregister http://www.svrinfo.se/projekt-tjanster/hsa/ Identity Management http://en.wikipedia.org/wiki/identity_management Lightweight Directory Access Protocol, protokoll för att kommunicera med LDAP-kataloger http://en.wikipedia.org/wiki/ldap LDAP Data Interchange Format, LDAP-baserat filformat för att hantera kataloginformation http://en.wikipedia.org/wiki/ldif Komponent för att hantera och konsolidera identitets- och behörighetsinformation mellan olika system/applikationer http://en.wikipedia.org/wiki/metadirectory

Microsoft FIM Identitetsprodukt (metakatalog) från Microsoft http://en.wikipedia.org/wiki/forefront_identity_manager Microsoft NET Utvecklingsramverk från Microsoft http://sv.wikipedia.org/wiki/dotnet_framework Microsoft SharePoint Webbutvecklingsplattform från Microsoft http://en.wikipedia.org/wiki/microsoft_sharepoint NPÖ PKI SAML SITHS Sjunet SVPL Teis WAM XACML Nationell Patient Översikt http://www.svrinfo.se/projekt-tjanster/npo/ Public Key Infrastructure, standard för att hantera certifikat http://en.wikipedia.org/wiki/public_key_infrastructure Security Assertion Markup Language, XML-baserat federationsprotokoll http://en.wikipedia.org/wiki/saml Certifikatslösning för säker IT http://www.svrinfo.se/projekt-tjanster/siths/ Kommunikationslösning för vård och omsorgs http://www.svrinfo.se/projekt-tjanster/sjunet/ Samordnad vårdplanering Integrationsmotor från Tieto http://www.teis.se/ Web Access Management, komponent för att hantera säker åtkomst mot webb-baserade tjänster http://en.wikipedia.org/wiki/web_access_management extensible Access Control Markup Language, standard för att hantera behörighetsregler mellan organisationer http://en.wikipedia.org/wiki/xacml

BILAGA 2, IT- OCH INTEGRATIONSMILJÖN 3. Referensmodell för IT-plattform Referensmodellen utgår från en generell IT-plattform och har delats upp i tre olika områden, applikationslager, mellanprogramvara och data/informationslager. Syftet är att kunna se hur kommunens befintliga komponenter (produkter, programvara) mappar in mot referensmodellen, men även få möjligheten att se hur framtida lösningar relaterar mot modellen. Punkterna 3.1 och 3.2 är generella och är inte specifika för Ale kommun. Observera att referensmodellen endast har som syfte att relatera befintliga produkter till de som Ale har idag och de produkter som man planerar att införa. Syftet är inte att Ale kommun ska införskaffa alla de komponenter som finns omnämnda i referensmodellen. 10

3.1 Referensmodell (logisk) Visar en logisk bild över olika områden i referensmodellen. FIM Bild 3-1-1: Referensmodell (logisk)

BILAGA 2, IT- OCH INTEGRATIONSMILJÖN 3.2 Referensmodell (fysisk) Visar en fysisk bild hur olika komponenter kan samverka. 12

Bild 3-2-1: Referensmodell (fysisk)

BILAGA 2, IT- OCH INTEGRATIONSMILJÖN 3.3 Referensmodell och nuläge Bilden nedan beskriver ett antal produkter som finns idag inom Ale kommun och hur dessa förhåller sig till Referensmodellen. 14

Data Middleware Governance (Service Registry) Application security (XACML) Administration (Workflow) Audit & Compliance (ISO 27 000/SOX) Application/Presentation Internet Explorer 10/ 11 Service Consumer Microsoft Office 2010 Browsers PDA/Cell Applications B2B Systems Content Management (CMS) Microsoft Windows 7/8 SiteVision Web Server Web Portal/Web integration Application server Terminal Services Fat Clients Share Point (.NET) Windows Workflow Business Integration Business Process Management (BPM) Enterprise Service Bus (ESB) Identity and Access Management Access Management (WAM) Role Based Management (RBAC) Mobility Guard Adapters Messaging Data- Access Identity Management Provisioning (FIM) FIM Files/Resources Legacy/ Mainframes Information Databases Directories Microsoft Active Directory (NOS) Microsoft Windows Server 2008 Copyright Directory Systems AB 2008 reference model v1.2 Microsoft SQL Oracle (Redhat) Lotus Notes Bild 3-3-1: Referensmodell (logisk) komponent mappning

3.4 Användargrupper Mot referensmodellen finns ett antal användargrupper som är identifierade och beskrivs nedan. Användarna kan ses som aktörer som ska kunna relateras mot kommunens IT-arkitektur. Bild 3-4-1: Identitetsrelation

BILAGA 2, IT- OCH INTEGRATIONSMILJÖN Definition av aktörer Anställda Personer som innehar en tillsvidareanställning eller vistidsanställning. Elever Personer som är aktiva inom Ale kommuns utbildningsväsen Konsulter/inhyrd personal Personer som utför arbete åt Ale kommun och behöver komma åt kommunen IT-system men har sin anställning hos en annan arbetsgivare Politiker Personer med politiskt uppdrag inom Ale kommun Vårdnadshavare Person som har en relation med ett barn bosatt inom Ale kommun eller verksamt inom Ale kommuns utbildningsväsen Medborgare Person bosatt inom eller utom Ale kommun som vill kunna använda medborgarrelaterade tjänster Andra myndigheter Anställda tillhörande en annan myndighet som vill kunna använda Ale kommuns IT-tjänster Näringsidkare Person anställd i ett företag eller egenföretagare som vill kunna använda Ale kommuns IT-tjänster 17

4. Övergripande arkitektur identitets och behörighetshantering Denna punkt beskriver arkitekturen kring identitets och behörighetshantering. 4.1 Nuvarande arkitektur Nedanstående bild visar den nuvarande arkitekturen för identitetshantering med relation till portal och behörighetshantering.

Stratsys O365 Medborgare Anställd Elev Vårdnadshavare Molntjänster Ale.se Mobility Guard DMZ ADFS Sitevison CMS c ADFS SharePoint Intranät E-tjänster Vårdnadshavare Elever Anställda Windows Claims Vårdnadshavare AD FIM Elevsystem Adela Säkerhetsrelaterad trafik Elev Datasynkronisering Övrig trafik Copyright 2005-2011 Directory Systems AB. Anställd Personalsystem HR-plus Personregister Exchange Bild 4-1-2: Nuvarande identitetslösning

4.2 Målbild Nedanstående bild 4-2-1 visar målbildsarkitekturen arkitekturen för identitetshantering med relation till portal och behörighetshantering. Bild 4-2-1: Översikt av framtida arkitektur för infrastruktur

I bild 4-2-1 (ovan) beskrivs en framtida lösning för att olika typer av integrationer. Idag används främst Tietos Decapus för att hantera integrationer. 4.3 Uppdaterad information om AD FS Vi har nyligen börjat använda AD FS för federationer med t ex Microsofts Office 365-tjänsten och kommer även att använda AD FS för säker inloggning mot Microsoft SharePoint. Vi kommer också att federera mot Stratsys och ITs learning inom en snar framtid. Arkitektur för e-tjänster och integrationer 4.4 Nuvarande arkitektur integrationer Idag är det merparten av integrationerna så kallade punkt till punkt integrationer mellan specifika system. En del integrationer hanteras via integrationsmotorn Decapus från Teito. Primärt är det synkrona/batchbaserade filöverföningar som hanteras av Decapus idag. FIM använder Navet för att verifiera personuppgifter på anställda. Bild 5-1-1 visar delar av hu nuläget ser ut kring integrationer. Bild 5-2-1 visar en framtidsbild hur systemen integreras via en gemensam servicebuss/integrationsmotor.

Bild 5-1-1: punkt till punkt integration (nuläge)

Bild 5-1-2: integrationer via servicebuss/integrationsmotor Endast större verksamhetssystem bör integreras mot en servicebuss då det varje integration är relativt kostsam. 4.5 Målbild Bild 5-2-1 beskrivs hur e-tjänster hanteras i en framtida arkitektur. Vissa verksamhetssystem har stöd för att hantera e-tjänster mot t.ex. medborgare. Systemen kommer med inbyggt stöd för att hantera E-tjänster vilket medför relativt begränsad arbetsinsats för Ale kommun. I andra fall finns det inget verksamhetssystem med stöd för de e-tjänster som kommunen vill tillhandahålla. I de fallen kommer de krävas en större insatts för kommunen att kunna bygga en e-tjänst. Ale kommuns primära strategi är att de verksamhetssystem som finns och som köps in, ska tillhandhålla stöd för e-tjänster i den mån det är möjligt.

Bild 5-2-1: Översikt av framtida arkitektur för e-tjänster

5. Beskrivning avhuvudkomponenter/områden 5.1 BKS behörighetsåtkomst (Access Management) Extern behörighetshantering/åtkomst avser användare som ansluter utifrån Ale kommuns nätverk t.ex. via internet för att kunna nå interna resurser (IT-system). Behörighetslösningen har till uppgift att skydda interna resurser från intrång obehöriga användare mm. Behörighetslösningen ska kunna hantera inloggning/autentisering för anställda, elever, medborgare, näringsidkare, entreprenörer mm. Behörighetslösningen ska även kunna hantera federation med andra parter t.ex. via SAML v2. Behörighetslösningen är baserad på MobilityGuard. 5.2 Content management (extranet) Ale använder SiteVision för att hantera den externa webbsidan www.ale.se. 5.3 Katalogtjänster Inom Ale kommun finns det primärt två katalogtjänster. En katalog för att hantera interna användare som anställda och elever, samt en extern katalog för att hantera användare som ansluter från externt nät som Internet samt medborgare för att hantera åtkomst mot olika typer av E-tjänster. 5.3.1 Nätverkskatalog Nätverkskatalogen bygger idag på Microsoft Active Directory och används främst för att hantera behörigheter i klient och serverplattform. Primärt hanteras åtkomst till fil och applikationstilldelning för anställda och elever. 5.3.2 Behörighetskatalog Behörighetskatalogen baseras förnärvarande på Microsofts Active Directory och hanterar primärt externa användare som vårdnadshavare mm. 5.4 Identitetshantering Ale kommun använder Microsoft FIM för identitetshantering för både anställda, elever och vårdnadshavare. 5.5 Skolportal Arbete pågår med att etablera en ny skolportal. Skolportalen kommer att baseras på Microsoft SharePoint. 5.6 Intranet/digital arbetsplats Ale kommuns intranät/digitala arbetsplats baseras på Microsoft SharePoint.

5.7 E-tjänster Den övergripande strategin är att respektive verksamhetssystem/område ska ansvara för att tillhandahålla e-tjänster. D.v.s. E- tjänsterna ska kunna hanteras direkt i de verksamhetssystem som finns inom organisationen. E-tjänsterna publiceras i den gemensamma webbmiljön för externa användare. Vissa delar bör hanteras via gemensamma komponenter som inloggning med e- legitimation mm. I de fall där det inte finns något underliggande verksamhetssystem för en e-tjänst, bör e-tjänsten utvecklas i kommunens portal/webbmiljö. 5.8 Integrationsmotor/servicebuss (ESB) Ale kommun har idag inte någon generell integrationsmotor eller service buss för att hantera integrationer mellan olika system. Tietos Decapus används för att hantera asynkrona integrationer som primärt baseras på filöverföringar mellan system. Ale avser att utvärdera möjligheterna att införa en gemensam/generell integrationsmotor/esb. 6. Användningsfall och Scenarion Denna punkt beskriver användningsfall och scenarion som beskriver hur olika komponenter i arkitekturen används. 6.1 Användningsfall inloggning mot elevportal Användningsfall Beskrivning Inloggning mot elevportal för Medborgare (Vårdnadshavare) Detta användningsfall beskriver hur en användare (aktör) loggar in mot elevportalen. Användningsfallet startar i samband med att användaren loggar in. Villkor (preconditions) Användaren har ett E-leg Användaren finns registrerad som vårdandshavare i personregister för elev inom Ale Primär aktör(er)

Vårdnadshavare Elev Sekundär aktör(er) Huvudflöde BKS (Behörighetskontroll) Skolportal Användarkatalog 1. Vårdnadshavare loggar in med E-legitimation i elevportalen 2. BKS verifierar E-legitimationen 3. BKS skapar ett användarkonto i användarkatalogen baserat på uppgifterna i E- legitimationen (personnummer, för- och efternamn) 4. Skolportalen verifierar mot personregistret vilken relation som finns mellan elev och vårdandshavare 5. Vårdandshavaren loggas in och presenteras med behörig information (klassrum IUP etc.) Sekundärt flöde Kommentar Flödesdiagram

6.2 Scenario E-tjänst mot verksamhetssystem I detta scenario beskrivs hur en e-tjänst i ett verksamhetssystem kan hanteras. Verksamhetssystemet har inbyggd funktionalitet för hantering av e-tjänster. I detta fall exemplifieras en e-tjänst mot det digitala e-arkivet som har stöd för att hantera externa användare som medborgare. För att få åtkomst mot publikt arkivmaterial krävs ingen inloggning (verifiering). I de fall där användaren vill få tillgång till icke publikt arkivmaterial krävs en inloggning/användarverifikation t.ex. via behörighetssystemet (BKS). Bild 7-2-1: E-tjänst mot verksamhetssystem

6.3 Scenario lös e-tjänst Detta scenario beskriver hur lösa e-tjänster kan hanteras. Med lös e-tjänst menas att det inte finns något underliggande verksamhetssystem. E-tjänsten måste utvecklas specifikt för Ale kommuns ändamål. Detta ställer naturligtvis större krav på kommunens underliggande arkitektur. I detta scenario exemplifieras ansökan om grävningstillstånd som e-tjänst. E-tjänsten byggs i kommunens webbplattform. I scenariot beskrivs även hur en integration mot en underliggande servicebuss kan fungera för att kunna hämta information/verksamhetsdata som är nödvändig för e-tjänsten.

Bild 7-3-1: Lös e-tjänst