Upload
dansk-it
View
52
Download
2
Embed Size (px)
Citation preview
Identity Management som et strategisk værktøj i kommunen
v/ Ellen Svenning, souchef, IT, Faaborg-Midtfyn Kommune og Nicolai Jensen, senior manager, Security & Technology, PwC
Offentlig digitalisering 2015 – på vej mod d-land
24. – 25. marts 2015 i Aarhus
Identity Management som et strategisk værktøj i kommunen
Hvorfor fik vi succes?
27-03-2015Identity Management som et system der understøtter
forretningen
Ellen Svenning, souchef, IT, Faaborg-Midtfyn Kommune [email protected] Jensen, senior manager, Security & Technology, PwC, [email protected]
De grundlæggende tilgange til IAM
27-03-2015Identity Management som et system der understøtter
forretningen
En pragmatisk tilgang til styring af identiteterGør hvad der er muligt
Opbakning fra ledelsen
Vi forholder os til den virkelige verdenDer er en vision, det er klart. Det er dog sådan, at teknologien og systemer ændres, så nogle gange kan det ikke betale sig at detailplanlægge meget langsigtet.
IAM er et forretningsprojekt
Historien bag IAM-systemet
• Flere konti• Kommunesammenlægningen
• Flere systemer
• Ineffektiv vedligeholdelse
• Nye systemer = yderligere inkonsistens
27-03-2015Identity Management som et system der understøtter
forretningen
Konsistens vs. inkonsistens
27-03-2015Identity Management som et system der understøtter
forretningen
Overordnede målsætninger
• At have konsistente data
• Reducere sikkerhedsproblemer
• Ensarte arbejdsgange
• At have en platform der muliggør integration og sammenkobling med hvad som helst
• At definere ejerskab af stamdata
27-03-2015Identity Management som et system der understøtter
forretningen
Fremgangsmåde
• Find ud af, hvad der er vigtigst – løs det først.
• Implementer delleverancer og tag dem i brug for at få gevinst.
• Undgå at udvikle et system, der kan alt –virkeligheden HAR ændret sig, når du er færdig, og du får ikke gevinster undervejs.
• Hvis du skal planlægge efter eventualiteter, og udefinerede systemer og snitflader, så lav mockups ”Insert Code Here”.
27-03-2015Identity Management som et system der understøtter
forretningen
Hvad er vigtigst?
Om
kost
nin
g
27-03-2015Identity Management som et system der understøtter
forretningen
Teknologi
Vi bruger overordnet tre teknologier til integration
27-03-2015Identity Management som et system der understøtter
forretningen
Synkronisering
• Mange systemer har behov for at have stamdata og/eller egentlige konti oprettet.
• I lønsystemet har medarbejderes persondata en betragtelig relevans. I et e-mailsystem skal brugere have en konto, hvis de skal kunne modtage e-mails
Workflows
• ”Påtvinger”ensartedeprocedurer, og sikrer at data opdateres korrekt
Føderering
• Nogle systemer har ikke behov for, at en bruger har en konto og stoler på, at ”vores” system siger, at brugeren har rettigheder.
Automatiserede systemer
27-03-2015Identity Management som et system der understøtter
forretningen
IAM
Fujitsu Prisme
Active Directory 1
Active Directory 2GroupWise
Exchange
AUTH Directory
DanID
Fil Storage DirectoryHR og Løn (SD)
SBSYS
Software Distribution
Telefoner tablets og SIM Kort
CPR Register
o365
Adresser og autokonsistens
E-Learning
Øvrige via advis
Mange andre systemer bruger IAM som datakilde Kørselsgodtgørelse, aftaleportal, telefonbog mfl.
Roller og selvbetjening
Næste skridt
27-03-2015Identity Management som et system der understøtter
forretningen
IAM
Private Cloud
Projektstyring
SAPA
Bestilling og faktureringaf hardware
Audit KY, KSD osv.
Danmarks Miljøportal
Vi ejer selv data
• Vi kan sende dem, hvorhen vi vil
• Data fødes hos os selv• Forhindrer fastlåsning ved skift af f.eks. Lønsystem
• Skift af leverandør betyder ikke at vi skal ændre forretningslogik
• Designer og tilretter selv automatiserede processer
27-03-2015Identity Management som et system der understøtter
forretningen
Rettighedsmodel
En grundkomponent i vores IAM-system er organisationsstrukturerne
• I et standard directory-design vil der være én struktur.
• Spørgsmålet til denne organisering er, er der virkelig kun ÉN struktur?Ja, hvis vi ser bort fra MEDorganisationen, partierne i byrådet, tværgående projekter osv.
• Er der personer der er har tilknytning til flere afdelinger i flere organisationer?
• Er der organisationskomponenter, som ikke indgår i et hierarki?
• Kan vi forestille os arbejdsgange og relationer, der ikke indgår i hierarkier?
27-03-2015Identity Management som et system der understøtter
forretningen
Rettighedsmodel – organisation
Henning
Kommunen (MN)
1000 FrydToftegårdsskolen
Toftegårdsskolens SFO
Biavlerforeningen (WS)
Sekretariat
Pædagog
Rengørinsass.
Kasserer
27-03-2015Identity Management som et system der understøtter
forretningen
Rettighedsmodel – organisation
• Flere organisationer
• Flere mulige placeringer pr. komponent
• Kan være uhierakisk
• Rettigheder kan defineres igennem forretningsregler (placering, klassifikation, stilling osv.)
• Yderligere rettigheder kan bestilles af ledere eller slutbrugere
27-03-2015Identity Management som et system der understøtter
forretningen
Rettighedsmodel – roller og tilladelser
Faaborg-Midtfyns begreber – som har skabt succes og værdi!
• Rettigheder er et bredt begreb, der dækker over både tilladelser og roller.
• En tilladelse er en tilladelse til en bestemt ressource (en filmappe, en distributionsliste osv.)
• En rolle er samlinger af rettigheder og andre roller.
27-03-2015Identity Management som et system der understøtter
forretningen
Eksempel på rettigheder
Konto:DanID
PKI Roamer
Ansættelse
Office 365 E3 Licens
Konto:Office 365
Borgerservice
Medarbejder Signatur
Leder : Borgerservice
Leder
Vedligehold ansatte
Office 365 E3
27-03-2015Identity Management som et system der understøtter
forretningen
Forretningen definerer rollerne
• Rollemodellen betyder, at enhver rettighed i organisationen er givet på baggrund af en rolle.
• Man kan have roller på baggrund af organisatorisk placering
• Man kan have roller på baggrund af attributter (stamdata)
• Man kan have roller på baggrund af stilling.
• Man kan have roller på baggrund af klassifikation
• Man kan have roller på baggrund af relationer til enheder (Ledere og assistenter for eksempel)
27-03-2015Identity Management som et system der understøtter
forretningen
Komponenter
• Identity Management system – til at synkronisere data – øjeblikkeligt (event driven)
• Delkomponent – User Application –Selvbetjening, roller og ressourcer
• Delkomponent – Reporting – Logning og rapportering af rettigheder og tildelinger.
• Access Manager – adgangskontrol, SSO, føderation og reverse proxy.
27-03-2015Identity Management som et system der understøtter
forretningen
Selvbetjening
• Rationale bag selvbetjening• De fleste roller og rettigheder tildeles ud fra forretningsregler.
• MEN – da medarbejdere ind i mellem har behov for ekstra adgange til givne ressourcer, kan man som medarbejder altid rekvirere de ressourcer, som man har adgang til i selvbetjeningsportalen, og i visse tilfælde få dem tildelt af ejerne (uddelegering af kompetencer).
• Tildeling af rettigheder er decentraliseret og automatiseret.
• Rettighedstildeling går hurtigt og foretages af dem, der har forstand på det.
27-03-2015Identity Management som et system der understøtter
forretningen
Styrket sikkerhed I kraft af IAM
• Data• Ansvar placeret hos de enkelte ejere
• Ansvar• Placeret hos de enkelte ejere
• Rettigheder• Placeret hos de enkelte ejere
• Processer• Ensartede arbejdsgange
• Logning• Selvfølgelig
27-03-2015Identity Management som et system der understøtter
forretningen
Tilpasning
• Systemet er designet med henblik på tilpasning til verden omkring os.
• Tilpasning betyder, at vi ikke indfører al funktionalitet i IAM-systemet up front, men at vi tilpasser systemet hen ad vejen, til rigtig mange situationer.
• Databasen kan altid udvides med flere stamdata på de enkelte entiteter (fx klassifikationskoder)
• Når vi isoleret set taler om brugerstyringsmodellen i KOMBIT, faciliterer den IAM-systemet i FMK (og omvendt).
• Støttesystemerne håndterer login og rettigheder ved hjælp af føderation. Det vil med andre ord sige, at vi ikke har behov for at overføre brugerkonti fra IAM-systemet til støttesystemerne. Vi udstiller via vores Identity provider, de relevante informationer, og støttesystemet vil derved give os lov til at logge ind.
• Vi laver et antal roller, mapper dem i støttesystemet, tildeler rollerne med de relevante afgrænsninger, og så er vi klar.
• Vi er klar, når det første støttesystem er klar.
27-03-2015Identity Management som et system der understøtter
forretningen