Produktråd Felles IAM

Digitalt møte torsdag 11. april kl. 12:00 -14:00

Agenda:

• Godkjenning av referat og innkalling
• Status Felles IAM – utrulling, problemer og utfordringer av interesse for gruppen
• Endringssaker og ønsker
  • Administrering/håndtering av permisjoner for ansatte (INC0017309/OsloMet)
  • Justering av DFOPersontoRIDB_load (UiT-2311-12509/UiT)
  • Etablere varslingsrutine ved oppdatering av personobjekter i IdW (GitLab#366/Sikt)
• Eventuelt

Godkjenning av referat og innkalling

Blitt utført navnebytte, fra «IAM Arbeidsgruppe» til «Felles IAM Produktråd» i forkant møte.

Gjennomføring av møter fremover fortsetter tilnærmet likt de 4 tidligere møtene i «IAM Arbeidsgruppe». Nytt er utvidelse av deltagere i produktrådet med representant fra UiO, Tobias Langhoff var med på vegne av UiO ved førstegangs deltagelse.

Vedlegg til agenda ble distribuert seint, ved neste møte settes frist for eventuell utarbeidelse av underlag. Dette for at vedlegg skal kunne videreformidles tidligere i forkant møte.

Status Felles IAM – utrulling, problemer og utfordringer av interesse for gruppen

Som innledning startet produktområdeleder Kjell Johan Sivertsen med en orientering om utrullingsløpet for Felles IAM for alle UH21, inkludert opsjon for UH39 og institutter o.l. under Kunnskapsdepartementet (KD).

Beslutning om å etablere et felles system for tilgangsstyring (IAM) ble fattet av Digitaliseringsstyret januar 2019. Innen 2027 er målet at alle institusjoner underlagt KD skal ha fått innført Felles IAM, i regi av Sikt.

I mars i år ble Felles IAM produksjonssatt ved virksomhet nummer 6, Meteorologisk institutt (Met). Sikt leverer tjenester til Met selv om Met ikke lengre er underlagt KD.
Pågående prosjektfaser ved Arkitektur- og designhøgskolen i Oslo (AHO), Samisk høgskole samt Norges miljø- og biovitenskaplig universitet (NMBU). I tillegg er Universitet i Sørøst-Norge (USN) nært oppstart, kommer mest sannsynlig i gang med prosjektet i slutten av mai.

Felles IAM er per dagsdato rullet ut som skytjeneste hos Universitetet i Bergen (UiB), OsloMet, Høgskolen i Molde (HiMolde), Universitet i Tromsø (UiT), Nord universitet (NORD) og Meteorologisk institutt (Met). Hvor det totalt er 133 500 roller fordelt på ansatte, studenter og gjester. Det er 122 000 personer registrerte, som vil si noen personer har flere roller. Tallene tilsier 30 % av dagens studenter får tilgangsstyringen utført via Felles IAM. Vanskeligere å oppgi konkret tall på ansatte p.g.a. deltidsstillinger.

Prosjektleder for Felles IAM, Vegar Forberg informerte så om pågående aktiviteter på tvers av de virksomheter som nå er i prosjektfase, Samisk høgskole, AHO og NMBU. Nevnt alle 3 virksomheter bruker Wiseflow istedenfor Inspera, og det jobbes parallelt med å få opp dette. Tidligere i utrullingen har en og en virksomhet blitt jobbet med, forsøker nå å kjøre parallelt for å få opp utrullingshastigheten.

Kysten rundt – oppsummert

HiMolde v/Steinar Melsæter

I februar ble Felles IAM oppgradert til G3 ved HiMolde. Visningstittel i SAP som tittel (G3-10) fungerer meget bra. Tatt i bruk Preferred Name, ikke som en bestillbare rettigheter gjøres manuelt, fungerer fint.

Fremover:

• Ta i bruk kontraktsperioder.
• Mangler Alma-installasjon, venter i spenning på å få ta det i bruk.
• Campus informasjon er tenkt å bli hentet fra individ istedenfor studierett, nærmer seg og har tro på det vil bli bra. Mulig utfordring som fremdeles vil kunne gjenstå er for student på ulike Campus samtidig. Der det er flere Campus støtter ikke denne løsningen at informasjon kan hentes fra individ med automatisk oppdatering, da vil det måtte gjøres manuelle justeringer i FS.

UiT v/Johnny S. Hansen

Høsten 2023 oppgradert fra G2 til G3 ved UiT. Vært mye arbeid m.h.t. oppfølging av saker for UiT internt i etterkant. Har benyttet en arkitekt til oppfølgingen av etterarbeidet, gjennomført 2 møter per uke. Nå i april redusert til 1 møte i uken p.g.a. redusert behov. Det er registrert en nedgang på om lag 40 % av supportsaker ved UiT 1. Linje ved bruk av Felles IAM sammenliknet med bruken av Cerebrum.

Innføringen av Felles IAM har hatt en tydelig effekt. Det har vært en øvelse internt ved UiT for flere aktører. Det har vært fokus på kvalitet av data, ikke som et avgrenset IT-problem men som en felles utfordring. UiT Tilgang har vært et vellykket prosjekt, og omtalt som det helt til topps i UiTs-ledergruppe.

Fremover:

• Tidligere var løsningen for oppsettet av ledere i SAP en utfordringer for hvordan gjennomføre godkjenning av bestillbare rettigheter i RI. Nå kommer bruk av Deputy`s til å fixe dette, to er arbeidsflyter etablert, gjenstår å teste før produksjonssetting.
• Det jobbes på tvers med jevnlige møter, ressursgrupper og sparrings grupper m.h.t. fakulteter.
• Jobbes med kvalitetssikring ved innleggelse av data for å forebygge doble kontoer når gjester skal legges inn. HR også involvert for å sjekke når ny ansatt skal registreres. Rutine som eventuelt kan deles på tvers av virksomheter.

OsloMet v/Hall Fure

Har nå hatt Felles IAM cirka 1 år. Det har vært mye feilretting på personfeil, og lite fokus på utvikling i denne perioden. OsloMet har ikke tatt i bruk bestillbare rettigheter.

Det har vært en utfordring å endre på arbeidsprosess ved registeringer i forkant der det tidligere har vært greit og registrert i etterkant timelærere, gjesteforelesere og honorarermottakere.

Ved eventuell støy i organisasjon er det en risiko for at det går raskt, høyt. Men alt i alt, godt fornøyd.

Fremover:

• Har tverrfaglige team som består av ressurser som representerer SAP, FS, HR og IT-avdelingen. Dette gjør at saker løses greit.

UiB v/Elin-M. Bjørndal

Oppgradering fra G1 (On Premise) til G3 (Web) har vært en kjempejobb, nesten like stor jobb som ved Go-live G1. Begynner å roe seg nå, for de fleste fungerer det nå veldig bra. Men for de det ikke fungerer omfattende jobb å rydde i doble kontoer. UiB har forvaltningsteam bestående av operativ IT, økonomi, studieavdeling. Gjennomført to møter i uken med stoff nok "for en hel kongress" vært nødvendig med den frekvensen, fra nå ett møte i uken.

Fremover:

• Alma integrasjon er også noe som skal til UiB.
• Arbeidsflyter og bestillbare rettigheter jobbes med, nå kan f.eks. brukere spørre om adminrettigheter på egen pc. Fungerer veldig bra.

Sikt v/Vegard Forberg

Informerer om at nå er alle virksomheter i produksjon oppe på den samme versjonen av Felles IAM. Dette gjør endringer og feilsøk mye enklere. Foreløpig ikke skedulert G4, men betyr ikke at det ikke kommer endringer. Ny hovedversjon vil eventuelt komme ved overgang til GraphQL og kutt av andre APIer.

Endringssaker og ønsker

Administrering/håndtering av permisjoner for ansatte (OsloMet)

Bakgrunn

«IAM (RI) skal gi automatiske tilganger til våre ansatte når tjenestelig behov tilsier det, og trekke tilbake tilganger når behovet ikke lenger er til stede. Dette gjøres normalt gjennom start- og sluttdato. Ansatte som er ute i permisjon har status som aktiv i SAP når de er ute i permisjon, og vil derfor bli stående som aktive i RI. Hvis de skal settes inaktive i SAP, må det kjøres avsluttende saksgang på vedkommende, de gis en sluttdato og det kjøres sluttoppgjør på vedkommende. Dette blir feil iht status da de blir avsluttet fra arbeidsgivers side.

I tillegg kan det være at noen kategorier kan ha behov for tilganger mens de er ute i permisjon. Dette kan være for eksempel sykepermisjon eller rettighetspermisjoner så som fødselspermisjon. Permisjon for å prøve ut ny stilling er derimot permisjoner der tilganger må avsluttes fra permisjonens start.» (Sitat/utklipp fra vedlegg i innkallelsen).

OsloMet v/Hall Fure redegjorde for endringsforslaget. Kort oppsummert – det nevnes permisjonskoder og hensyntaking til at det er rettigheter tilknyttet permisjonen som revokes. Permisjon knyttet til ansattforhold og ikke stilling.
UiT jobber internt med samme sak. Arkitekt Ståle Ekelund foreslår en felles nedgang i dybden på dette.

Fremover:

• Hall Fure tar en gjennomgang og oppdaterer dokument for sirkulasjon blant deltakerne.

Justering av DFOPersontoRIDB_load (UiT)

Intro av Johnny hva saken gjelder, beholde tilgang som student, samtidig som utestengt som ansatt.

Det drøftes at dette er noe som i dag kan fixes manuelt, og per nå ikke planlagt å støttes med bruk av kode.

Ønske om hjelp til en enklere rutine for en mulig utestengelse ved egen institusjon utenom kontortiden til team IAM.

UiO v/Tobias Langhoff: Det er funksjonalitet for karantene i Cerebrum, kan på denne måten blokkere tilgang, men noe som ikke fjerne, fjerne brukeren.

Etablere varslingsrutine ved oppdatering av personobjekter i IdW (Sikt)

Gjøres en endring i IDW på brukernavn vil man måtte kjøre DbToIdentityStore med et flagg som forteller at brukernavnet skal oppdateres. Dette for å sikre at ikke brukernavn ikke blir satt uten at noen har eksplisitt gjort det for institusjonen.

Endring av brukernavn vises nå i Daily Rapport, det vil si det varsles om man kjører DbToIdentityStore og man har et brukenavn-endring som ikke blir effektuert.

Eventuelt

Innlandet

Automatisk løsning for permisjoner vil kunne være bra, noe som kan være vanskelig internt å bli enige om hvordan skal utføres. Har nok vært et ønske 20-25 år, så rutine for dette vil vært lurt å ha (på tvers av virksomheter).

UiO

Ønske fra UiO samme som Innlandet å kunne være med på diskusjon på tvers av virksomheter. Problemer med doble kontoer har vært diskutert på tidligere møter, og UiO ser gjerne å kunne ha mer av det.

HiMolde

Spør om vi i Sikt har gjort oss noen interne tanker m.h.t. til at Christin flyttes over til NVA. Følges opp av Sikt.

Sikt

Tips: benytt gjerne teams kanalen «Erfaringskanelen» som en samhandlingskanal.

En mulig forbedring av Felles IAM er å innføre støtte for gjenkjenning av pass. Dette er teknisk mulig. Støttes i møte av både OsloMet og Innlandet. Og det nevnes av Innlandet også ønskelig for annet enn utenlandske studenter, f. eks. når bilde skal lastes opp for id-kort.