Produktråd for Felles IAM

Digitalt møte fra 12.00–14.00.

Agenda

• Åpning av møte ved v/produktområdeleder (POL) Kjell J. Sivertsen
• Godkjenning av forrige møtenotat og innkalling 
• Status Felles IAM - utrulling, utfordringer og nyhetsoppdateringer av interesse for gruppen v/Prosjektleder Vegar Forberg
• Kysten rundt
• Oppfølging fra tidligere møter:
• Tidligaktivering og grace. Statusoppdatering v/Arkitekt Ståle Ekelund.
• Tiden inne for å rullere medlemmer i produktråd Felles IAM. Orienterings sak v/POL Kjell J. Sivertsen.
• Innspill til kandidater
• Prosess for valg
• Eventuelt

Godkjenning av forrige møtenotat og innkalling

Ressurs fra Norges teknisk-naturvitenskapelige universitet meldt frafall i forkant møte, øvrig medlemmer var til stede.

Referat og innkalling godkjennes. 

Produktområdeleder Kjell Johan Sivertsen innleder deretter med en orientering om pågående dialog med Kunnskapsdepartementet (KD), angående hvorvidt Felles IAM skal være en frivillig eller obligatorisk tjeneste. Beslutningen fra Digitaliseringsstyret i 2019 om gjøre Felles IAM til en obligatorisk tjeneste, ble på nyåret 2025 underkjent.

Basert på at Digitaliseringsstyret ikke hadde mandat til kunne fastsette tjenesten som obligatorisk. Noen av de største institusjoner i sektoren har foreløpig valgt å avvente med å fastsette en tidsplan for en eventuell implementering, ved å referere til at løsningen er frivillig å ta i bruk. Det har på nyåret pågått en dialog mellom gjenværende institusjoner og KD, samt Sikt og KD. Siste oppdatering er at det pågår interne drøfting hos KD, og et politisk utspill med en tilhørende føring forventes tentativt innen mai.

De forventede gevinster ved innføring av Felles IAM både når det gjelder sikkerhet og compliance, en forbedret sluttbrukeropplevelse, samt en mer effektiv forvaltning oppleves i stor grad å ha bli oppnådd, og det pågående G4 oppgraderingsløpet styrker gevinstene ytterligere.

Status Felles IAM

Prosjektleder Vegar Forberg startet med orienterte om status. Det er 14 institusjoner som har innført løsningen. 

Sikt selv er neste virksomhet i utrullingsløpet med en planlagt oppstart prosjektperiode tentativt april. Det er også dialog med Universitetet i Agder samt SINTEF om eventuelt prosjektoppstart i løpet av 2026.

Felles IAM har utstedt digitale identiteter og understøtter tilgangsstyring for mer enn 230 000 brukere. Så vidt vi vet, er det per dags dato fremdeles den største IAM-løsningen i Norden.

Vegar Forberg gjennomgikk så en status av oppgraderingsløpet for G4. Denne uken ble det gjennomført oppgradering i produksjonsmiljø ved Nord Universitet som det 11 institusjonene i rekken. De gjenstående, det vil si Norges arktiske universitet (UiT), Storbyuniversitetet (OsloMet) og Universitet i Bergen (UiB) planlegges å oppgraderes fortløpende etter påske, og UiB som den siste institusjon i løpet av den første uken i mai.

Kysten rundt – oppsummert

UiT v/Stig Wennevold 

Status: 

• Nesten all kapasitet brukes til Gen4 forberedelser og omorganiseringsarbeid
• UiT innførte TP på SCIM januar 2026 
• Det er ønskelig å koble tettere veikartet for tilgang mot pågående sikkerhetsarbeid som pågår ved UiT 
• I den sammenheng bl.a. argumenter for færre kontoer, og/eller kontoer som gir mindre tilgang 
• UiT har ryddet i sine workflows 
• Løpende QA og rydding 
• Autogrupper 
• Forvaltede objekter 
• @post og legacy_username 

UINN v/Odd Lundby 

Status: 

• Ikke skjedd noe annet en byttet til TP på SCIM 
• Det har ikke vært noen videre prat med Innlandet m.h.t. innføring av Felles IAM 

UiO v/Tobias Langhoff 

Status: 

• Vedtatt veikart fremover for Cerebrum, konkret veikart og for 2 år 
• Ryddet i teknisk gjeld, og tatt ut mikrotjenester 
• Det er påbegynt å rydde i sekundære brukere i Cerebrum 
• Lages policyer for hvem som trenger utvidet tilganger 
• Det foreligger doble kontoer fra FS og SAP, de ryddes bort dersom de ikke er i bruk 
• Det tas i bruk passnummer som en gyldig identitetsfaktor (NIN) 
• Det jobbes med å få opp integrasjon mellom WebSak og SCIM 
• Det sees på hvordan kunne utvide samhandling og organiseringen på tvers i egen organisasjons med hensyn til IAM forvaltning 

UiB v/Elin-Mari Bjørndal 

Status:  

• Integrasjon WebSak RI 
• “Felles“ kode for provisjonering til Websak, en kompleks struktur, løst på en god måte av ressurs fra Sikt 
• Etterspørbare rettigheter for WebSak, flere ting å hensynta i flyten for det som det spørres om. F.eks. nevnes fått til en rettighet for flere ulike “tilgangstyper“ ved hjelp av nedtrekksmenyer med valg av org.enhet, tilgangskode og hvorvidt tilgangen også skal gjelde for underenheter 
• WebSak produksjonsettes mandag 23. mars 
• Logging ved bruk av Grafana 
• Laget Dashboard i Grafana spisset mot entitlements – grant/revoke med mulighet til å kunne velge rettighet. Noe som gjør det enklere å finne loggedata for spesifikke hendelser 
• Spørsmål om Sikt kommer til å sette opp Grafana workshop (1/26 - 18) 
• Gladnyhet Role Managers 
• Group modul: eiere av grupper i RI kan nå legge til medlemsadministratorer. Det vil si medlemsadministrator kan administrere medlemmer i gruppen uten å måtte legge til i Portal Role Managers gruppen 
• Oppgradering til G4 starten av mai  
• Berg-Hansen API-integrasjon er på plass (før G4 oppgraderingen) 
• I forbindelse med overgang til “Sikt-canvas“ tas i bruk RI-kode for integrasjon til Canvas, starter testing Uke 13 

HiMolde v/Steinar Melsæter 

Status: 

• Kontraktsregime. Felles kontrakt-stilling per avdeling (under utprøving) 
• SKO-kode(9999),YRK-kode(2310 118) og Stillingskategori Betegnelse (Und.Forsk.) er lik for alle 
• Mangler forretningsroller: Eksterne sensorer, praksisveiledere og gjesteforelesere 
• Settes spørsmåltegn ved om kontrakts regime fører til mer eller mindre arbeid for de som lønnspersonalet som jobber med registering.  
• Berg-Hansen API-integrasjon er på plass 
• G4 oppgradering gjennomført 
• Permisjonskoder ikke tatt i bruk enda. Har det, men ikke skrudd på. 

To do: 

• Nytt AD-actionsett 
• Ny mapping 
• OfficePhone: Basert på json-fil 
• Ønsker ta i bruk som en bestillbar rettighet for de med EK-tjeneste. Dette fordi å skille (på de som har dekt mobil) visning av jobb mobilnummer fra de som kun har privat mobil som da ikke skal vises mobilnummeret i jobbrelatert sammenheng.  

Ønsker: 

• Gravitee/IntArk – Felles arena 
• Delingsarena for API-konfigurasjoner 
• En utvidet kompetanseoversikt (1/26 - 19) 

OsloMet v/Hall Fure 

Status: 

• Har hatt internrevisjon på IAM/IGA-området [innerBlocks]
• Forberedelser til oppgradering til G4 etter påske 
• Pågående aktiviteter i prioritert rekkefølge 

1. Innførte GREG slutten av 2025, jobber fremdeles for å få fullført håndtering av gjester som ønskelig, inkl. forlengelse av gjesteopphold 
2. Helhetlig styring og administrasjon av tilgangsstyring, inkl. behovet for oversikter og rapporter (IGA) 
3. Forberedelser til implementering av G4 
4. Bestillbare rettigheter, inkl. desentralisering av gruppestyring og økt granulering av rettigheter 
5. Tilgangsstyring av nye systemer 
6. Lik håndtering av rettigheter for Ph.d.-kandidater uavhengig av hvordan de er tilknyttet OsloMet 
7. Håndtering av rettigheter for personer i ulønnet permisjon (G4). 

Oppfølging fra tidligere møter

• Tidligaktivering og grace (v/Arkitekt Ståle Ekelund). Håndtering av fremtidige stillinger er nå rullet ut til alle på G4.
• Tidligaktivering fungerer nå også for gjeninntredelser, ikke bare nyansettelser 
• Hindrer utsendelse av meldinger om deaktivering av konto dersom det foreligger en fremtidig endring form av avslutning og oppstart av inntilliggende engasjement  
• Funksjonaliteten er steg 1 i forhold til pre-join og pre-leave, som diskutert i Produktrådet oktober 2025 
• Tiden inne for å rullere medlemmer i produktråd Felles IAM (v/POL Kjell J. Sivertsen).
• Odd Kristian Lundby v/Universitetet i Innlandet (INN) og representant fra FKS-konsortiet velger å fratre produktrådet. 
• En innmeldt aktuell kandidat på valg, Jan Christer Christiansen fra Universitetet i Sørøst-Norge (USN). 
• Valg av nytt medlem i Felles IAM Produktråd gjennomføres 18. mars ved akklamasjon, besluttet enstemmig.
• Vi ønsker Jan Christer Christiansen velkommen som nytt medlem i produktråd Felles IAM.

Eventuelt 

Ingen eventueltsaker ble meldt inn.

Møtet gjennomføres digitalt

Foreløpig agenda

1. Godkjenning av forrige møtenotat og innkalling 
2. Status Felles IAM - utrulling, problemer og utfordringer av interesse for gruppen 
3. Kysten rundt
4. Oppfølging fra tidligere møte
5. Nye tema
6. Eventuelt  

Møtet gjennomføres digitalt

Foreløpig agenda

1. Godkjenning av forrige møtenotat og innkalling 
2. Status Felles IAM - utrulling, problemer og utfordringer av interesse for gruppen 
3. Kysten rundt
4. Oppfølging fra tidligere møte
5. Nye tema
6. Eventuelt  

Digitalt møte 12.00–14.00.

Agenda:

• Godkjenning av forrige møtenotat og innkalling[innerBlocks]
• Status Felles IAM: utrulling, problemer og utfordringer av interesse for gruppen[innerBlocks]
• Kysten rundt
• Oppfølging fra tidligere møter[innerBlocks]
• Eventuelt

Godkjenning av forrige møtenotat og innkalling 

Referat og innkalling godkjennes. 

Stig Wennevold fra UiT og Produktområdeleder Kjell Johan Sivertsen hadde meldt frafall før møte. Canisius Habyarimana stilte for OsloMet i stedet for Hall Fure, og Joakim Hovlandsvåg representerte UiO i stedet for Tobias Langhoff. Møtet ble gjennomført, det var tilstrekkelig antall representanter til å kunne utføre avstemning. 

Status Felles IAM 

Prosjektleder Vegar Forberg innledet med å informere om prosjektperioden ved Høgskolen i Østfold som nærmer seg slutten, og at produksjonssetting der er planlagt kommende uke.  

Utviklingen av G4 er ferdigstilt og implementert ved Høgskolen i Østfold samt Sikts testmiljø. Samisk høgskole/Sámi allaskuvla (Samas) har fortsatt begrensede ressurser i prosjektet. En tentativt produksjonsetting ved Samas er planlagt til månedsskiftet oktober-november. I forkant produksjonsetting er Samas den første institusjonen der eksisterende testmiljø nå har blitt oppgradert til G4.   

Denne uken er det blitt gjennomført møter med Høgskolen i Molde og Høgskolen i Volda, som blir de neste institusjoner i rekken for oppgradering av sine testmiljø til G4. Før gjennomføring av oppgradering i de respektive produksjonsmiljø må det avklares hvilke justeringer som er nødvendige basert på tilpasninger virksomhetene selv har utført. Ingen større lokale endringer forventes. Fremover kommer institusjonene til å bli oppgradert puljevis fra G3 til G4, noe som inkludere blant annet en full integrasjon mot WISEflow og Canvas, samt innføringen av konfigurerbar tilgangsstyring for permisjoner.  

Videre ble så noen enkeltsaker som inngår i G4 leveransen nevnt. Blant annet navnekonvensjonen for prosjekter og actionsets.  Det er fjernet prefiksen "generasjon" for alle actionset, prosjekter og community adapters. Alle de oppdaterte actionsets har en beskrivelse som starter med “v4.* -” 

Annen korreksjon i G4 er fjerning av en del roller og moduler i RI som ikke benyttes i Felles IAM. Samt innføring av tilgangsstyring i prosjektene i Connect, dette for å unngå feilaktige eller utilsiktede endringer i Connect. Det samme gjelder også for Shared Globals her vil heller ikke noen ved institusjoner kunne gjøre endringer. Dette er av funksjonalitet som vil bli gjennomgått ved hver enkelt virksomhet i forbindelse med oppgradering til G4.  

Vegar Forberg fortsatte så med en statusoppdatering på overgangen til Grafana og Loki for logging. Som tidligere nevnt for produktrådet (oktober 2024) er det sett etter verktøy for å erstatte Humio/LogAuditEvents, hovedsakelig på grunn av varslet om stor prisvekst dersom Humio skulle beholdes. I den nye loggløsningen vil institusjonene selv kunne være med å sette opp og tilpasse ønskede loggvisninger. Det vil blitt gitt en gjennomgang av mulig oppsett i forkant av overgangen. Humio versus den nye loggløsningen, kun 2 uker oppbevaring som har vært gjeldene ved bruken av Humio. En intern gjennomgang med jurister i Sikt er nylig gjennomført. Ved overgangen til den nye loggløsningen vil loggene kunne bli oppbevart inntil et år i RI. Det gjenstår kun papirarbeid for å sluttføre godkjenningen. 

Arkitekt Ståle Ekelund overtok ordet og gav et kort, muntlig referat fra IAMs innlegg på DFØ-brukerforum 16. september 2025. Som representant for team IAM var han og Produktområdeleder Kjell Johan Sivertsen invitert til å delta og presentere IAM. Innlegget fikk god respons og tilbakemeldinger, hvor blant annet ressurser fra DFØ tilbydde seg å kunne bidra m.h.t. samarbeid ved felles utfordringer. 

Følgende utfordringer ble nevnt: 

• Endringer i SAP, f.eks. YRK (Stillingstype), endringsmeldingen kommer frem i SAP og GUI oppdateres, men via meldingstrafikken kommer ikke endringen automatisk i RI. Aktuell person må reprosesseres. 

• Innimellom er det flere enn én leder på en organisasjon. Noen av disse oppstår som følge av at det utbetales en stedfortredergodtgjørelse, og at det da internt i SAP settes en "lederhatt" på vedkommende i infotype 0509. Dette er noe som tilsynelatende er i tråd med hva DFØ har tenkt, men som fremstår som uhensiktsmessig for IAM sin del. Hvis det er institusjoner som opplever dette som et problem, kan det lett avhjelpes med at lastjobben for organisasjon fra SAP settes til å kjøre en gang i døgnet. 

• Team IAM er på jakt etter alle operasjoner/funksjonalitet som skjer hvor det ikke kommer oppdatering som forventes. 

• Det er ikke avklart noen videre prosess m.h.t et formalisert samarbeid med DFØ-ressurser. Deltagelse på DFØ-brukerforum nå i september, og vi deltar gjerne igjen på vegne av IAM. Det nevnes i denne sammenheng at vi har Ingvild Nilsdatter Fuglem (i Sikt) hun leder arbeidsutvalget for SAP. Arbeidsutvalget har jevnlige møter der de tar opp saker som rører seg i sektoren. Endringssaker som gjelder DFØ kan meldes inn via medlemmer i arbeidsutvalget og på den måten kan utvalget påvirke prioritet på saker direkte mot DFØ. 

• Tydeligere at SAP ikke bare fungerer som et lønnssystem, men også inkluderer tilgangsstyring, ettersom det det fungerer som et kildesystem for IAM. 

• Det foreligger ingen liste over eventuelle operasjoner utført i SAP som er avdekket å ikke gi en forventet oppdatering i RI. Medlemmer i Produktrådet oppfordres til å dele informasjon i Teams via IAM-Erfaringskanalen om det avdekkes slike manglende oppdateringer. 

Kysten rundt – oppsummert 

UiB v/Elin-Mari Bjørndal 

Status: 

Det meste går greit for tiden. 

• Tatt i bruk tjenester som serves fra USIT (UiO), og som forutsetter provisjonering av ‘rettigheter’ til eduPersonEntitlement attributtet i feide-katalogen.  

• Ønsket at all provisjonering til feide-katalogen skal gå via portalLdapToldap.   

• Fått på plass provisjonering av attributtet via PortalLdapToldap og regelsett (json_policy) basert på attributter i PD.   

• Et RI-testmiljø står høyt på prioriteringslisten, ble ikke prioritert ved overgang fra G1 til G3, noe som har ført til at UiB p.t. Ikke har et funksjonelt testmiljø. Planen er å få på plass testmiljø i forbindelse med G4. 

• Arbeider med integrasjon mot ny Sak/Arkiv løsning. 

• Anskaffelse av WebSak+ fra ACOS AS gjort sammen med andre institusjoner deriblant UiO. 

• Groups modul – UiB venter fortsatt på at bug som gjør at eiere av grupper ikke kan legge inn medlemsadministratorer på gruppen, utbedres av IA. 

• Utbedring er levert fra IA, Sikt følger opp i etterkant for å bistå hvordan dette settes opp ved UiB. 

HiMolde v/Steinar Melsæter 

Status: 

• Bruk av kontraktsdatoer – fortsatt ikke helt kontroll. 

• En ny supportsak er under behandling, forespeiles løst innen kort tid. 

• Alma integrasjon ferdig på plass. 

• Integrasjon mot Berg-Hansen. 

• Den 1. oktober ble lagt ut informasjon i Teams IAM- Erfaringskanalen som beskriver API integrasjon mot Berg-Hansen. API integrasjonen erstatter dagens fil-import løsning. 

• Venter på G4. 

• Funksjonalitet som nå ventes på som inngår i leveransen G4 er blant håndtering av registrert dødsfall. Samt støtte for ulike typer permisjoner, der kriterier for aktivering/deaktivering av kontoer kan konfigureres.  

• Venter på løsning for preboarding/ «tidligaktivering». 

Utfordringer/forbedringspotensialer: 

• Startdato i Portalen påvirkes av pre-aktiv periode. 

• En del personer som ikke skjønner forskjellen på preboarding og tidligaktivering. 

Eksempel er misforståelse av hva som faktisk er første arbeidsdag, det kjøpes nyansatt blomsterhilsen for tidlig (som står og visner) på arbeidsplassen før den ansatte starter. 

• Reconciliation-funksjon - deaktivering av brukerobjekter i RI hvor den ansatte har fratrådt i SAP. 

• Preaktivering av brukerkonto for ansatte. Får ikke hentet stillingsdata i forkant. 

• Det ønskes en bedre preaktivering, gjeninntredelse er en utfordring. Dette følges opp av Sikt, kommer til dette lengre ned på agenda under «Oppfølging fra tidligere møter». 

OsloMet v/Canisius Habyarimana 

Status: 

• Det nyeste hos OsloMet er produksjonssettingen av WISEflow, hvor første gjennomføring av eksamen i WISEflow er utført. 

• Inspera skal fases ut 2026.  

• Har fått på plass Berg-Hansen via API integrasjon i testmiljø, har fremdeles fil-import løsningen i produksjonsmiljø. 

• Groups modul – OsloMet venter også på bugfixen som gjør at eiere av grupper kan legge inn medlemsadministratorer på gruppen. 

• Utbedring er levert fra IA, Sikt følger opp i etterkant for å bistå hvordan dette settes opp ved OsloMet. 

UiT 

Stig Wennevold fra UiT hadde meldt frafall. På forhånd var det mottatt et skriftlig underlag for UiTs status til «Kysten rundt», er gjennomlest av Sikt-ressurser, men ikke presentert i møte. 

Oppfølging fra tidligere møter 

Tidligaktivering og grace (Beslutningssak Sikt v/Arkitekt Ståle Ekelund) 

Arkitekt Ståle Ekelund presenterte for produktrådet innholdet i dokumentet «20251008 Felles IAM – Tidligaktivering og grace v4.0», som på forhånd var sendt ut for gjennomlesning.  

Oppsummert 

De nåværende (as-is) og foreslåtte (to-be) funksjonelle prosessene for Joiner og Leaver er beskrevet i tabellene utfra prosesstype og -tilstand. 

Begrepet tidsbeskrankning henspilt på start- og stoppdatoer på stilling/kontrakt inklusive konfigurert tidligaktiverings- og graceperiode. 

As-is 

Prosesstilstand Joiner

• Inaktiv[innerBlocks]
• Provisjonert[innerBlocks]
• Aktivert[innerBlocks]

Prosesstilstand Leaver

• Aktiv[innerBlocks]
• Grace[innerBlocks]
• Inaktiv[innerBlocks]
• Slettet[innerBlocks]

To be

Prosesstilstand Joiner

• Inaktiv[innerBlocks]
• Ny: Pre-join[innerBlocks]
• Provisjonert[innerBlocks]
• Aktivert[innerBlocks]

Prosesstilstand Leaver

• Aktiv[innerBlocks]
• Grace[innerBlocks]
• Ny: Pre-leave[innerBlocks]
• Inaktiv[innerBlocks]
• Slettet[innerBlocks]

Utfordringer knyttet til pre-boarding og pre-leaving

• Kontraktuell tidsbeskrankning gir ikke (tilstrekkelig) sanksjonsgrunnlag. 

• IAM:PREJOIN og IAM:PRELEAVE må ha tilgang til AD, og trolig en eller flere AD-grupper. Disse har ikke RI kontroll på hva benyttes til. 

Foreslåtte foreløpige desingbeslutninger

Besluttet enstemmig

Av de fremmøtte stemmeberettigete deltagere som representerte Kunnskapssektoren;

• DC1 og DC2 godkjennes, og gis klarsignal til utvikling.
• DC3 og DC4 avventes da tilbakemeldingene, særlig på det juridiske, fremstår som uklare.

Tilslutning Høgskolen i Molde, Universitetet i Bergen, OsloMet og Universitet i Innlandet.

• Saken meldt av UiT – Norges arktiske universitet og de antas enig

Eventuelt

Spørsmål om tiden er inne for å rullere medlemmer i produktrådet, referert til mandatet da arbeidsgruppen ble opprettet 2022, eller om det er behov for å utvide produktrådet med ytterligere medlemmer. Noteres som oppfølgingssak til Sikt.  

Digitalt møte, 12.00–14.00.

Agenda

• Godkjenning av forrige møtenotat og innkalling, ved produktområdeleder Kjell Johan Sivertsen
• Status Felles IAM – utrulling, problemer og utfordringer av interesse for gruppen, ved prosjektleder Vegard Forberg
• Oppfølging fra tidligere møter – status nasjonalt brukerforum for Felles IAM, ved løsningsrådgiver Tove Iren Nilsen
• Nye tema[innerBlocks]
• Eventuelt

Godkjenning av forrige møtenotat og innkalling

Referat og innkalling godkjennes.

Produktområdeleder Kjell Johan Sivertsen innleder så videre med en oppsummering fra møte avholdt dagen før, 26. mai i Porteføljestyre DI som Felles IAM kommer inn under.

Porteføljestyret DI rapporterer og forholder seg til Digitaliseringsstyret for høyere utdanning og forskning​. I januar 2019 besluttet Digitaliseringsstyret for høyere utdanning og forskning at UH-sektoren skulle anskaffe og innføre et felles IAM-system. Digitaliseringsstyrets mandat er å styrke digitaliseringen gjennom nasjonal styring og samordning og har en rådgivende funksjon, men de har ikke mandat til å definere tjenesten som obligatorisk. I møte hos Porteføljestyre DI kom det gode tilbakemeldinger på gjennomføringen av fysisk utvidet Produktrådsmøte Felles IAM 19. mars på Hell. Det er blitt lagt merke til at det etableres gode fora for erfaringsutveksling og kunnskapsdeling rundt tjenesten og Porteføljestyre DI gir tommel opp for arbeidet som utføres. Det opprettholdes som 1. prioritet for produktområdeleder Kjell Johan Sivertsen å fortsette utrullingen av Felles IAM.

Status Felles IAM

Prosjektleder Vegar Forberg startet med orienterte om status. Det er 11 institusjoner som har innført løsningen. Siden utvidet produktråd på Hell har UiS produksjonssatt tjenesten i april. Høgskulen på Vestlandet (HVL) skal produksjonssettes medio juni og ved Samisk høyskole pågår det implementering. Samisk høgskole har få ressurser i prosjekt på sin side, men er nå endelig klar for datainnlasting fra kildesystemer i test og tentativ produksjonssetting høsten 2025.

Høgskolen i Østfold er neste institusjon i utrullingsløpet med en planlagt oppstart prosjektperiode i august.

HVL nevnes å bli den første institusjon som innfører Canvas også for studenter, den nye integrasjonen vil bli breddet forløpende til alle institusjoner og overta tilgangsstyringen til Canvas fra FS.

Felles IAM har utstedt digital identitet og understøtter tilgangsstyring for i underkant av 200.000 brukere. Dette gjør tjenesten, oss bekjent, til den største IAM-løsningen i Norden pr. dagens dato.

Vegar Forberg informerte videre om 2 inntrufne hendelser siden sist møte av interesse for produktrådet.

Begge hendelsene har medført endringer og forbedringer i rutiner hos både IA og forvaltningsteamet for tjenesten. 

Kysten rundt – oppsummert

HiMolde v/Steinar Melsæter

Status:

• Bruk av kontraktsdatoer – begynner å få kontroll[innerBlocks]
• Forum Felles IAM og Erfaringskanal bra tiltak
• Alma integrasjon før ferien[innerBlocks]
• Tilgangsstyring via Feidekatalogen. (FS Edukiosk, Ubw mm.)[innerBlocks]

Innspill til forbedringspotensialer: 

• Reconcilliation-funksjon - deaktivering av brukerobjekter i RI hvor den ansatte har fratrådt i SAP[innerBlocks]
• Startdato i Portalen påvirkes av pre-aktiv periode[innerBlocks]
• Preaktivering av brukerkonto for ansatte. Får ikke hentet stillingsdata i forkant[innerBlocks]
• Attributtet PersonWorkStreetAddress blir ikke «nullstilt» når kontor avbestilles[innerBlocks]
• Mangler gode rutiner ved dødsfall - Avventer G4 (G4.1)[innerBlocks]
• Manager/Deputy – behov for å differensiere mellom dekan (m/personalansvar) og kontorsjef (m/praktisk oppfølging) – Avventer G4[innerBlocks]

UiB v/Elin-Mari Bjørndal

Status: 

• Stabilisering – henvendelser har gått betydelig ned[innerBlocks]
• Mindre saker/issues betyr mer tid til å utnytte funksjonalitet i RI, og mer tid til å følge opp saker mot Sikt[innerBlocks]
• Standardisering av arbeidsflyter – arbeidsflytene våre bærer preg av at UiB var pilot for løsningen[innerBlocks]

• IAM – Erfaringskanal veldig bra[innerBlocks]

• Fornøyd med at Sikt har imøtegått vårt ønske om at merge-prosess også skal de-provisjonere bruker fra målsystem og sette sluttdato s.a. konto som ikke skal videreføres blir slettet ved første kjøring av PDDeleteAccount – sparer oss for mye manuelt arbeid 

• Fornøyd med oppdatert dokumentasjon av matche-regler, i tillegg til annen dokumentasjon som nå legges ut på https://docs.sikt.no/docs/iam/ - imøteser mer dokumentasjon 

Innspill til forbedringspotensialer:  

• Bedre dialog med Sikt[innerBlocks]

• Kommentar fra UiB v/Elin-Mari Bjørndal; Ville gjerne vært informert om den aktuelle ryddejobben i forkant hendelsen 8. mai, kan være UiB ikke hadde ønsket dette gjennomført[innerBlocks]

UiT v/Stig Wennevold

Status

• Kort oppsummering, lite skjedd siden utvidet produktrådsmøte19. mars, fokus ved UiT på interne prosesser[innerBlocks]

OsloMet v/Hall Fure

Status

• Jobber med håndtering av gjester, etter UH-sak forsvant, en runde intern, og OsloMet skal ut av Service Now og plan er ta i bruk Pureservice istedenfor 
• GREG kandidat for å løses håndtering av gjester[innerBlocks]
• Owner som ikke administrator- sak hos IA,[innerBlocks]
• Governance for identitet og tilgangsstyring i OsloMet[innerBlocks]

Oppfølging fra tidligere møter

Nasjonalt Brukerforum for Felles IAM, Sikt v/Tove Iren Nilsen.

Kort orientering om antall medlemmer i Erfaringskanalen versus Nasjonalt Brukerforum Felles IAM. Om alle institusjoner som nå er i Erfaringskanalen får etablert en B2B-avtale med Sikt er plan å kunne avslutte Erfaringskanalen, og all samhandlingen videre kan skje via Nasjonalt brukerforum Felles IAM.

Planlegger oppstart av Felles IAM Synk høsten 2025, et elektronisk møtested for å kunne drøfte status på supportsaker som gjelder alle virksomheter

Kommentar fra Sikt v/Kjell Johan Sivertsen: 4.- 6. november planlegges å gjennomføre Utsikt-konferansen 2025, der kommer Felles IAM til å inngå i agendaen, se post på LinkedIn samt Utsikt-konferansen 2025

Nye tema

MDM – oppdatering fra IA   

Ståle viser en oversikt av arkitekturen for sentralprosesseringen. Det vi har av lasttabeller og sentralprosesseringen i dagens Felles IAM tilsvarende en MDM-løsning.

IA har inngått avtale om en MDM-løsning med 3. parts leverandør, noe som gjør det mulig å erstatte vår sentralprosessering med IAs MDM-løsning tentativt i 2026.

Link til informasjon om MBM-løsning hos IA 

 GraphQL i FS kommer. Hvordan treffer det Felles IAM?   

Modernisering av FS pågår og etter hvert skal alt gå via GraphQL. For de institusjoner som i dag henter Campus fra studieretter brukes GraphQL allerede, i drift. For G4 pågår det arbeide med å flytte henting og tilbakeskriving til FS via GrapQL .

For øvrig benyttes i dag REST API/Gemini for oppretting av fagpersoner med/uten norsk fødselsnummer. For G4 flytter dagens tilbakeskriving til FS til portalen, og går delvis over til GraphQL, noe som vil gi nyttig erfaring før REST API’et avvikles i 2026/2027  

Bruken av KI, hvordan kan vi dra mer nytte av dette i Felles IAM?

Hva har vi gjort: 

• Gått over exception håndteringen i koden. Brukt KI på å produsere dokumentasjon for integrasjon mot alle målsystemer (se https://docs.sikt.no/docs/iam/integrasjoner) 

• Vurderer å benyttes KI-agent på koden for å be om forslag til kodeforbedringer 

Eventuelt

Tilbakemelding på dagens agenda og dets innhold av medlemmer i produktrådet som ikke har innført Felles IAM 

• Det oppleves veldig positivt at det åpenhet rundt uheldig hendelse i dette fora, kan være at det er issues som andre har opplevd, men som ikke deles 

• Nevnes at en annen virksomhet som i dag benytter Cerebrum som IGA opplevde den samme uønskede hendelse som UiB for noen måneder siden, men også de klarte stoppe uønsket deaktivering tidlig 

• Videre så nevnes det at er positivt at det innføres ny teknologi i løsningen ved bruk av GraphQL 

• Det utrykkes noe skepsis når det gjelder informasjonen om MDM, og det stilles spørsmål om hva det vil kunne innebære å bytte nåværende sentralprosessering Hvilke feil kan det medføre? 

​Fysisk møte på Scandic Hell (Sandfærhus 22, 7570 Stjørdal).

Agenda

Oppmøte mellom 09.00–10.00

• Mingling i fellesområdet med tilgang til kaffebuffet

Oppstart 10.00

• Velkommen, ved Kjell J. Sivertsen
• Presentasjonsrunde
• Introduksjon, ved Kjell J. Sivertsen[innerBlocks]
• Godkjenning av forrige møtenotat og innkalling
• Utrullingsløpet, ved Vegar Forberg[innerBlocks]
• G4 – neste versjon av Felles IAM, ved Ståle Ekelund[innerBlocks]

Lunsj 11.30–12.15

• KI-initiativ i Felles IAM, ved Stian Tonning
• Kysten rundt[innerBlocks]
• Oppfølging og gjennomgang av saker fra forrige møte i oktober 2024
• Nye tema[innerBlocks]
• Eventuelt[innerBlocks]

Faglig program er ferdig 15.00

Avslutning 15.00–16.00

• Mingling i fellesområdet med tilgang til kaffebuffet

Velkomst og presentasjonsrunde

Produktområdeleder Kjell J Sivertsen ønsket velkommen, og gikk igjennom dagens agenda. Etterfulgt av en presentasjonsrunde hvor alle møtedeltagere oppgav hvilken virksomhet de representerte, sitt navn samt forventinger til dagen.

Introduksjon

Kjell J Sivertsen innledet introduksjon med en status tallmessig for utrulling Felles IAM. Felles IAM er tatt i bruk hos 10 institusjoner; UiB, OsloMet, HiMolde, UiT, Nord, Met.inst, USN, NMBU, AHO og HiVolda. Og det pågår innføringsprosjekter ved Samisk høyskole, UiS og HVL.

I mars 2025 er status denne:

Om lag 164 000 tusen personer i Norge er nå tilgangsstyrt via Felles IAM. Dette gjør produktet, oss bekjent, til den største IAM-løsningen i Norge pr. dagens dato.

Så ble det gitt en kort orientering om Felles IAM Produktråd. Sammensetning i rådet er 4 personer fra Sikt ,7 representanter fra universitet og høgskoler, stemmerett har Sikt og de som er medlem i produktrådet og som har Felles IAM operativt.

Videre så ble den geopolitiske situasjon vi er i og mulige konsekvenser tatt opp. Det kan være en mulig risiko for at det oppstår behov for å måtte skiftes leveransemodell fra AWS Skytjeneste til On-premise løsning. På samme måte som at det kan være en mulig risiko at f.eks. MS-Teams vil måtte byttes ut.

Det ble så gitt en orientering om JAMFs oppkjøp av Identity Automation (IA) (som leverer Rapid Identity). JAMF leverer admin. løsninger for Apple devicer (Mac / iPhone) . Både JAMF og IA har et godt fotfeste i Undervisningssektoren.

Siste faglige punkt under produktområdets leders introduksjon var utfasing av Humio i 2025. Dette medfører at Felles IAM må ta i bruk den nye loggløsning som SIKT erstatter Humio med. En alternativ løsning er at loggingen som IA tilbyr i Rapid Identity, utvides.

Avslutningsvis på introduksjon var ordet hos Tom Røtting, divisjonsdirektøren for Data og infrastruktur (DI) i Sikt, han holdt en kort appell om utrullingsløpet som nå for alvor har skutt fart. Felles IAM er nå produksjonssatt eller i prosjekt hos over halvparten av institusjonene som inngår i UH21.

Godkjenning av forrige møtenotat og innkalling

Referat og innkalling godkjent.

Utrullingsløpet

Som innledning til gjennomgangen av utrullingsløpet viste arkitekt Ståle Ekelund en oversikt med datoer for implementering av Felles IAM i tidsrommet 2023-2025. UiB tok i bruk løsningen som on-premise i 2022. I 2023 kom OsloMet, HiMolde, UiT og UiB i bruk løsningen på AWS. Så etterfulgte Nord, Metrologisk Inst., USN, NMBU og AHO i 2024. Status for utrullingen så langt i 2025 er at HiVolda produksjonssatte løsningen i februar. UiS kommer som neste tentativt i starten på april, HVL medio juni, samt Samas som p.t. er i prosjekt, men dato for produksjonssetting ikke fastsatt.

Team IAM hos Sikt driver med utrulling, parallelt med support og utvikling av neste hovedversjon. Plan for 2025 er å ferdigstille og rulle ut Felles IAM G4 til alle eksisterende institusjoner. Samt ferdigstille nye integrasjoner for helhetlig tilgangsstyring av Elements, P360, Canvas og NVA.

I etterkant av gjennomgangen av utrullingsløpet ble det gitt en orientering av de ulike prosjektfasene i et implementeringsprosjekt av Felles IAM. Det poengteres at «Fase 0» er tøyelig, og i den sammenheng ble det spesifikt nevnt det å bruke tid på å rydde i kildesystemene. Ting må gjerne ha tid til å modes i egen virksomhet. Erfaringsmessig har vist at det i denne perioden starter og vokser frem et godt samarbeid mellom IT, HR og studieadministrasjon.

Det kom kommentarer både fra HiMolde, OsloMet og UiT hvor det ble fortalt om en positiv kulturreise og opprettelse av forvaltingsgrupper på tvers i egen virksomhet.
I plenum kom det positive tilbakemeldinger på selve innføringsprosjektet. Positivt det som skjer innenfor egen virksomhet, samt også det samarbeidet som etter hvert har vokst frem på tvers av virksomheter som bruker samme løsning.

KI-initiativ i Felles IAM

Team IAM har videreført det arbeidet som sommerstudentene (2024) Espen Aakre Sjo og Daniel Timler Andreassen jobbet med. Utvikler Stian Tonning presenterte eksempler på hvordan bruken av kunstig intelligens (KI) er vist å kunne forbedre Error og Audit logging, samt KI generere dokumentasjon basert på actionsets.

Første eksempel var en gjennomgang av koderefaktorering, hvor det oppdages kode som kan forbedres, i - G3_Errorhandler() og logAuditEvent(), koden oppdateres og endringer lagres.

Gevinster:

• Mer Robust feilhåndtering
• Kvalitetskontroll
• Standardisering av kode mellom prosjekter
• Fjerner teknisk gjeld

Det andre eksempelet viste en demo av dokumentasjonsgeneratoren, der kode går igjennom en dokumentasjonsagent som resulterer i lesbar dokumentasjon.

Sikt teknisk dokumentasjon/ Identitets og tilgangsstyring (Felles IAM)/Integrasjoner fylles fortløpende med dokumentasjon generert av dokumentasjonsagenten.

Se teknisk dokumentasjon for Felles IAM (ekstern lenke).

G4 – neste generasjon av Felles IAM

Arkitekt Ståle Ekelund hadde etter lunch presentasjon av hva det jobbes med og som kommer i neste hovedversjon G4.

Startet innledningsvis under mottoet «Erfaring gir evolusjon», og viste til at vi startet med G1, har gått videre G2, G3 og neste ut er G4.

Så kom en orientering om Felles IAM generasjonsstrategi:

• Fokus på å gjøre tjenesten mer dekkende, robust og konfigurerbar
• Forbedringer basert på institusjonenes innspill og tilbakemeldinger, og som vedtas av produktrådet
• Forbedringer basert på erfaringer og observasjoner
• Nye integrasjoner

Dette er ofte større endringer og endringer som krever utvidelse av datamodellen.
Forbedringer piloteres gjerne hos en eller flere institusjoner før de generaliseres.
Feilfikser av høyere prioritet eller operasjonelle forbedringer håndteres utenom generasjonsstrategien. Generasjonsstrategien er for å sikre at alle blir med på løftet.

Se tabellen med versjonsendringer for versjon G4.

Kysten rundt – oppsummert

Her hadde alle møtedeltagere ordet en etter en, dette var en viktig del av agenda der hver og en hadde taletid. Mye positiv tilbakemelding fra møtedeltagerne, som ikke detaljert blir gjengitt skriftlig.

Runden tok lengre tid enn estimert på forhånd. Det ble i plenum avgjort at når Kysten rundt var gjennomført, gikk agenda rett til Nye tema. Oppfølging fra forrige ordinære produktrådsmøte utsatt til neste digitale møte i Felles IAM Produktråd.

Korte enkelte utdrag og stemningsrapport fra runden:

Samas:

• Er i innføringsfase, spendt på fortsettelsen.

UiT:

• Overgangen fra prosjekt til daglig drift har gått smooth.
• Godt det er Sikt som pusher dette, gjøre det på en positiv måte.
• Plan på kort sikt - bygge en onboardingtjeneste.
• Plan på lang sikt - Finmaskede personroller – modellering, forvaltning og kilde.

OsloMet:

• Ledelsen, snakker om IAM.
• Etablert regelmessige møter med HR dir. og IT dir. for prioritering.
• Saker meldt til, hvor står vi? Størrelsen vår er god, men vi er små i forhold til resten hos IA. Fremkom her en enkeltsak som Sikt skal løfte og følge opp i etterkant (Sikt 1/25-959).
• Spørsmål fra Sikkerhet ved Oslomet pentester mot RI. Følges opp i etterkant av Sikt direkte med OsloMet.

UiS:

• Overveldende prosjekt for organisasjon med Workshops og mye møteaktivitet.
• Burde brukt mer tid på å skape forståelse for hvor viktig kildesystemet er, og til å sørge for at kildesystemet er klart (rydding).​
• Utrolig vilje til å dele erfaring og hjelp fra andre institusjoner.
• Plan på lang sikt - Etablere gode rutiner for Governance, Revisjoner, logging, SIEM?

AHO:

• Omorganiseringsprosess - opplever at det er mye mer effektivt med Felles IAM - grupper orgreg, testoppsettet i løsningen.
• En bedre forståelse internt hos AHO.
• Opprydding spesielt i SAP, mye som dukket opp. Begynner å bli bedre nå.
• Fremover - ønsker Unit4, P360, og Alias utfordring ønskes å få løst

USN:

• IntArk blitt veldig kritisk - vært nede et par ganger.
• Fornøyd med støtte og profesjonalitet til innføringen.
• Ungt produkt, men godt utviklingsdriv.
• Tilgang på tvers i sektoren - gjort det vi kan teknisk, med GDPR. A5 lisenser brukes.

HVL:

• Et helt annet samarbeid mellom IT, Lønn/Personal og Studadm nå enn før.​
• Langt bedre kontroll og sporbarhet på tilgangsstyring for provisjonerte system, ikke minst for Movers/Leavers.
• «Totalpakken-tilgangsstyring»: En større og mer sammenhengende forståelse.
• På lang sikt - Blir deler av Feide litt redundant med IAM? Kan man tenke at man skrur på provisjonering av systemer i RI, stedet for tjenester i Feideportalen? Autentiseringen i Feide er jo uansett bytta ut med Microsoft/IDPorten.

NMBU:

• Bratt læringskurve for alle involverte.
• Vanskelig å gi/få opplæring før go-live.
• Vi savner et levende forum for alle som er on-boardet, der man deler erfaringer og presenterer egenutviklede integrasjoner m.m.​
• På lang sikt - IAM brukes for styring av tilganger i alle våre målsystemer og et verktøy der mange i organisasjonen selv finner informasjon om seg selv og andre.

Nord universitet:

• Har opprettet tverrfaglige team.
•  Det har roet seg med supportsaker til HelpDesk.
• Bedre statistikk og nøkkeltall - bruken og besøkende.
• Dokumentasjon - litt mer oppdatert.

UiB:

• Kontroll på kildedatene, “shit in shit out - the hard way”, brukerkonti, duplikater.
• Bestillbare rettigheter en game changer.
• Fremover - Full sporbarhet av både endringer og hvem som har hvilke rettigheter til enhver tid.
• Fremover - Årlig Felles IAM-brukerkonferanse?​ Et sted for utveksling av erfaringer.

HiMolde:

• Teknisk og «kulturell» grunnmur – vi snakker samme «språk» i sektoren.​
• Meget god prosesstyring gjennom alle faser av innføringsprosjektet.​
• Fremover - OrgReg kommer med en ny og intuitiv GUI.
• Fremover - Regelmessige (temabaserte) Teams-møter etablert for idemyldring og erfaringsutveksling.

Nye temaer

Sak fra UiT: MG/MUG 8-50

Orienteringssak UiT v/ Anders Ryssdal og Stig Wennevold.

Håndtering av personer fra SAP med MG (medarbeidergruppe) 8 og MUG (medarbeiderundergruppe) 50. Typisk i denne sammenheng eksterne sensorer.

Prioritet 1. SAP, 2.FS og 3.GREG

Case: Person kommer fra SAP som 8/50 med en YRK som ikke gir konto i målsystem(er)

Utfordring 1: Stille stenging av konto i målsystem

Utfordring 2: Orgsted fra SAP kobles til bruker

• Vekting av oppføringer fra flere kildesystemer på samme person​
• Sterk tilknytting fra FS eller GREG overstyre svak tilknytting fra SAP?​
• Bedre filtrering av flyt basert på yrkeskode?​

Møtenotat:

• UiT, UiB, OsloMet kjent med problemstillingen
• HiMolde bruker kontrakter, ikke GREG, har ikke samme problem. fremmed problemstilling
• NMBU bruker ikke SAP, men UBW.
• NTNU 8-59 også. Bruker også GREG.

Kommentar fra arkitekt Ståle Ekelund; 8-50 er en utbredt utfordring for de fleste institusjoner, både når det gjelder policy for hva som skal gi tilgang, og hvordan det er løst, noe som er ulikt mellom institusjonene. Utfordring 2 vil vi få bedre kontroll på i G4 .10 da vi innfører engagements, så det blir enklere å skille ut ORG fra SAP og ORG fra GREG. HVL vil benytte ytterligere en ny løsning, “Sensorportalen”.

Sak fra UiB: Støtte for PAM – priviligert tilgangskontroll

Orienteringssak Sikt v/Ståle Ekelund

De med utvidet rettigheter som skal ha de, i en liten periode.

UiT redegjorde for hvordan de har dette i bruk.

Sikt følger opp dette i etterkant mot IA (IA har PAM sin roadmap, innholdet følges opp og orientering gis i neste ordinære produktrådsmøte) (Sikt 2/25-17).

Sak fra Sikt: Utrulling versus ny funksjonalitet

Orienteringssak Sikt v/Kjell J Sivertsen.

• Utrulling har 1.prioritet, spesielt nå når Felles IAM har blitt definert som frivillig. Volum er viktig for momentet til Felles IAM og for effekten for brukere som flytter mye mellom institusjonene. ​
  En annen effekt er standardisering av arbeidsprosesser og integrasjoner mot målsystemer.​
• Ved alle utrullinger så tar SIKT sikte på bygge en ny integrasjon mot et nytt målsystem. Pr. dato så har Felles IAM integrasjon mot 5 kildesystemer og 19 målsystemer (Det jobbes med 5 til). Io.m. at Felles IAM er skybasert vil disse integrasjonene kunne settes opp for eksisterende institusjoner (Det er ikke automatikk i dette pga. separate tenants for hver institusjon.)
• Det pågår i tillegg et generasjonsorientert funksjonsløft i Felles IAM. Dagens løsning er G3, mens G4 som ble gjennomgått i eget punkt på agendaen, kommer i Q2/25. G4 vil gi ny funksjonalitet basert på innspill fra institusjonene som er på.  (Se også presiseringer under G4-gjennomgangen over.) (Orienteringssak Sikt v/Kjell J Sivertsen).

Gruppearbeid

1. Hvilke av dagens forventinger er innfridd?​
2. Har noen av dagens forventinger uteblitt?​
3. Velg blant eventuelt utestående;​ de 2 viktigste punktene som foreslås følges opp i ettertid

Resultat etter gjennomgangen av gruppeoppgaven var at de aller fleste forventinger var innfridd.

Mange hadde oppgitt følgende;

• Det å høre om G4,
• Veien videre,
• Lytte og lære,
• Fysisk samling
• Høre andre erfaringer

Av utestående og viktigste å følge opp var det 3 punkter som utpekte seg og som Sikt følger opp i etterkant, det er disse;

• Opprette kundekort – En oversikt over målsystemer og kontaktpersoner
• Felles IAM - opprette et mer levende forum og møtested
• Mer utfyllende teknisk dokumentasjon

Digitalt møte torsdag 17. oktober klokken 12.00–14.00 

Agenda:

• Godkjenning av forrige møtenotat og innkalling
• Status Felles IAM - utrulling, problemer og utfordringer av interesse for gruppen[innerBlocks]
• Kysten rundt, status HiMolde, UiT, OsloMet og UiB[innerBlocks]
• Oppfølging fra forrige møte[innerBlocks]
• Endringssaker og -ønsker[innerBlocks]
• Eventuelt[innerBlocks]

Godkjenning av forrige møtenotat og innkalling

Referat og innkalling godkjennes.

Status Felles IAM - utrulling, problemer og utfordringer av interesse for gruppen

Prosjektleder Vegar Forberg orienterte om og status for virksomhetene som nå er i prosjektfase. Forrige uke (Uke 41) ble Felles IAM produksjonssatt ved Universitetet i Sørøst- Norge (USN). Produktet Felles IAM nevnes å være stabilisert, og det er ikke registrert noen store utfordringer i etterkant produksjonssettingen ved USN.

Det kommer straks to til produksjonssettinger, det er Arkitekt- og designhøgskolen (AHO) som ifølge plan er neste nå Uke 44 og like etterpå Norges miljø- og biovitenskaplige universitet (NMBU) i Uke 45. Informeres i denne sammenheng AHO og NMBU innfører Wiseflow for både ansatte og studenter, noe som er vist å kunne være langt mer komplekst enn dataflyt og konfigureringen av Inspera (Obs til UiT og OsloMet).

Det pågår i tillegg forberedelser for neste virksomhets prosjektoppstart, som er Høgskulen i Volda medio november. Parallelt med dette gjenstår prosjektrelaterte oppgaver for kunne å ferdigstille implementasjon ved Samisk høgskole.

I oktober 2024 er statusen denne:

37 % av studenter samt 56 % av ansatte og gjester ved virksomheter i Norge er tilgangsstyrt via Felles IAM. Dette gjør produktet, oss bekjent, til den største IAM-løsningen i Norge pr. dagens dato.

Kysten rundt – oppsummert

HiMolde v/Steinar Melsæter:

Status:

• Det meste funger bra, deriblant Daily Issue Report og Erfaringskanalen.
• Campus-tilhørighet for studenter fungerer bra, men:[innerBlocks]
• Matching- prosess fungerer bra.[innerBlocks]

Innspill til forbedringspotensialer: 

• Preaktivering av brukerkonto for nye ansatte.[innerBlocks]

Spørsmålet stilles er om det ved tidligaktivering kan støttes å hensynta fremtidig data på aktuell bruker.

• DFØ-TOA: Privat mobilnummer blir ikke hentet fra riktig felt i SAP[innerBlocks]

Refleksjoner tilknyttet videre utvikling:

• Bruk av kontraktsdato er ikke på plass enda, planlagt å slåes på 21.10.24[innerBlocks]

Kommentarer HiMolde status:

b. Forklares nyeste Campus er den som gyldig i RI istedenfor eldste Campus skal f.eks. være Kristiansund, men kommer frem Molde.

Det bekreftes fra Sikt v/Ståle Ekelund å være en feil, kan sendes inn som en supportsak for videre oppfølging.

Kommentarer HiMolde forbedringspotensialer:

Punkt d. Svares opp av Sikt v/Ståle Ekelund. En tidligaktivering skjer by-design for nyansatte, utfordringen som beskrives oppstår når en preaktivering og endring skal skje for en tidligere ansatte. Det vil si en bruker som tidligere har hatt et ansattforhold og så kommer tilbake til institusjonen.

Oppgis av Steinar Melsæter det har skapt så mye utfordringer ved bruk av preaktivering at HiMolde har valgt å slå av denne funksjonaliteten.

Spørsmål fra UiO v/ Tobias Langhoff om det er en egen kø for disse meldingene fra SAP.

Bekreftes at det er en egen kø. Men vil muligens fremdeles kunne oppstå utfordring om det gjelder endringer flere år frem i tid.

Oppsummert bruken av «gyldigEtter»-attributten i meldinger fra SAP.

Datamodellen ble i serviceversjon Felles IAM 3.2 utvidet slik at den inkluderer meldinger fra SAP med endringer frem i tid relatert til 'ansatte' og prosesseringen av disse kjøres som en nattlig jobb på virkningsdatoen. For eksempel vil en endring som er gyldigEtter = 2024.08.31 bli behandlet den 2024.09.01, noe som sikrer at endringen har funnet sted.

Løsningen ble implementert i perioden 26. august til 28. august, og meldinger fra og med denne datoen vil bli inkludert.

MERK: virker ikke retroaktivt. Eldre meldinger fra SAP med dato på fremtidige endring på ansattforhold blir forkastet. I slike tilfeller bør man kjøre G3_RIDB_ProcessNewEmployee med employeeID som argument.

Punkt e. bruken av landkode skal være løst. Sikt følger opp om det mangler en oppdatering i produksjonsmiljøet ved HiMolde (3/24-8).

Punkt g. Det bekreftes fra Sikt v/Ståle Ekelund å være en feil, kan sendes inn som en supportsak for videre oppfølging. Det skal ryddes ved kansellering av rettigheter.

Punkt h. Behov registering av fratredelse tilbake i tid, kan f.eks. fordi det er glemt i arbeidsprosess på et tidligere tidspunkt, selv om det nå ryddes i SAP så fanges det ikke opp automatisk. Eller det kan brukere holdes aktive mens man venter på lønn i fremtiden. Deaktiveres disse for tidlig så får de ikke utbetalt lønnen.

Mulig Workaround: aktiver og deaktiver på nytt i SAP

Det kommenteres fra Sikt å kunne opprette supportsaker med case som inkludere aktuelle brukere. Det ideelle er når det neste gang er behov for registering av fratredelse bakover i tid, opprett sak og så kan vi fra Sikt side være med å se hva som skjer kodemessig.

Kommentarer HiMolde refleksjoner tilknyttet videre utvikling:

Punkt i. Sikt v/Vegar Forberg oppsummerer kort status:

ALMA: UiB har produksjonssatt løsningen for ALMA, USN og NMBU kommer etter de neste ukene. I tillegg er UiT underveis, bare å stille seg i kø for bistand fra vår side.

NVA: USN og NBMU støtte mot Cristin-integrasjon videre. Punkt j. Kommenteres av Sikt v/Ståle Ekelund at eksport av xml- filer fra vår side vil kunne være løsning her og at virksomheter selv så kunne sjekke selv mot kilde - og målsystem. Følges opp fra vår side, drøftes internt, og kan i etterkant legge ut en rutine for dette i "Erfaringskanalen" (3/24-9)

UiT v/Stig Wennevold

Status:

• Felles IAM og tilgangsstyringen fungerer bra.

• Utfordringer/issues er under kontroll.

• Løsningen er kjent og det drives tilgangsstyring på virksomhetsnivå, og på den måten definert som mer enn en teknisk løsning.

• Intern forvaltning er vel etablert, og det er bygget opp et nettverk i virksomheten. Forsøker nå å initiere et nettverk også på tvers av virksomheter, og nevner i denne sammehengen ønsket om et nasjonalt brukerforum for Felles IAM.

Innspill til forbedringspotensiale:

• Skisse av dataflyt etterspørres.
• Campusinnføring via RI ved UiT.
• k. PAM ønskes å innføres ved UiT som en mulig bestillbar rettighet.

Refleksjoner tilknyttet videre utvikling:

• Det ønskes å kunne sammenstille en liste over hva som utfordringer m.h.t. til SAP.
• Det skulle gjerne vært en «kokebok for RI»; Tittel: Hvordan gi opplæring for en nyansatt som skal jobbe med RI/IAM. Åpnet spørsmål om en kokebok kunne vært en oppgave for et Nasjonalt brukerforum Felles IAM.
• Det savnes veikart. Åpnet spørsmål, hvor vil sektoren og hva er visjon?

Kommentar UiT til forbedringspotensiale:

Punkt k. Innblikk når det gjelder PAM ønskes også fra Sikts side. PAM er en del av referansemodell for IAM. UiT har pågående dialog med en av utviklerne ved Sikt. Det oppgis at privilegerte brukere også muligens er interessant for andre virksomheter.

OsloMet v/Hall Fure

Status: 

• Tilgangstyringen går bra sånn alt i alt.

Men man sliter fremdeles med opplæringen, om hvem som skal gjøre hva. Det etterstrebes fremdeles å få andre enn IT-avdelingen til å forstå IAM.

Forbedringspotensiale:

• Alias e-poster var ikke en del av prioriterte tiltak oppsummert i rapporten etter innføring IAM. Er i ettertid kommet opp som høy prioritet pga. støy i organisasjon, med sikkerhetsmessige spørsmål som er inkludert risiko for gjenbruk av tidligere mail-adresser.
• Håndtering av gjester er en utfordring. Det vurderes alternative løsninger som brukes av andre. Det er ønskelig å innføre mest mulig automatisering.
• Govermance for identitet og tilgangsstyring ved OsloMet sees på. Det pågår et samarbeid med virksomhetsarkitekt og informasjonssikkerhet for å få på plass et målbilde for IAM ved OsloMet.

UiB v/ Elin-Mari Bjørndal

Status:

• Mye fungerer bra – stort sett i havn når det gjelder opprydding som følge av overgang fra G1 til G3.​

Forbedringspotensiale:

• l. Ønsker dokumentasjon på revoke av bestillbare rettigheter for å kunne vurdere/evaluere prosess.
• m. Produktråd, endringsønsker, prioriteringer – hvordan tenker man at det skal fungere? Hvis RT skal være kanal for innmelding av endringsønsker, hvordan skal disse plukkes opp og evt. tas videre til produktråd?
• n. Grupper​[innerBlocks]

Kommentar UiB til forbedringspotensiale:

Punkt l. kommenteres av Sikt v/Ståle Ekelund i overgangen fra G1 til G3 var det enighet om det alternativet som nå ligger til grunn for å identifisere en «Mover», og alle bestillbare rettigheter deaktives og må bestilles på nytt. Argument for dette var å holde ned bruken av rettigheter.

• Om du bytter organisatorisk tilhørighet og leder, identifiseres du som «Mover»
• Om du bytter YRK-kode, identifiseres du også som «Mover» i tråd med det alternativet man var enige om i overgangen til Felles IAM versjon 3.0

Det som er spørsmål nå, er om et hvert bytte av YRK-kode likevel ikke er ønskelig som identifikator? Skal det kunne være slik at en YRK-kode som ikke har tilknyttet noen endringslogikk ikke skal initiere bortfall av rettigheter? Bør løsningen evalueres, fordi den ikke fungerer hensiktmessig? Sikt v/ arkitekt Ståle Ekelund, lytter gjerne til hvordan  «Mover» kan treffes best mulig. Følges opp av Sikt (3/24-10).

Punkt m. kommenteres av Sikt v/Tove Iren Nilsen som henviste i Teams samarbeidskanalen «Erfaringskanalen» der er det nylig er opprettet en ny mappe under Generelt/Filer/5. Nasjonalt Brukerforum Felles IAM. Intensjon er å kunne ta i bruk mappen som et felles landingsted for dokumenter som virksomheter på tvers i sektoren ønsker drøfte. Konsekvenser på tvers kan på denne måten kunne tas opp utenom produktrådet som skjer 3 ganger i året, og uten at det skjer initiert eller regi av ressurser internt i team IAM, Sikt. Nevnes i denne sammenheng at det også er vist interesse av medlemmene i FKS-konsortiet (Universitet i Stavanger, Universitet i Sørøst Norge, Høgskulen i Volda og Høgskolen i Innlandet) å være deltagere i et Nasjonalt Brukerforum Felles IAM (3/24 -1).

Punkt n. gruppehåndtering diskuteres om RI er autoritativ m.h.t. grupper. Det vil si hvorvidt dette er dynamisk under panseret, og ad-hock grupper kommer utenom. Følges opp av Sikt, ønske om at alle grupper skal sees i RI (3/24-11)

HiMolde v/Steinar Melsæter kommenterer, de har 4600 grupper. Utfordring for dem ved å ikke ha alt i RI er at dette ikke kan utleses direkte pga. antallet og at det er en utfordring der medlemmer tilhører flere grupper.

For endringsbasert provisjonering for grupper til AD, LDAP er det opplevd ytelses issue ved prosessering når det nærme seg 30–40 tusen.

Arkitekt Ståle Ekelund avslutter runden med en orientering om G4

• Felles IAM versjon 4.0 (G4) vil tentativt komme tredje eller fjerde kvartal 2025.

• Følgende liste er hva som så langt er aktuelt å kunne ha med på G4:[innerBlocks]

Oppfølging fra forrige møte

Administrering/håndtering av permisjoner for ansatte, OsloMet v/Hall Fure

• Forslaget som kom inn i april 2024 gjenstår å oppdatere, følges opp av Hall Fure. (Sikt 3/24-2).

Støtte for gjenkjenning ved bruk av pass

• Sikt har identifisert at det finnes teknikker for slik gjenkjenning. (Sikt 3/24- 3).[innerBlocks]

Endringssaker og -ønsker

Nytt API "ansatteBedriftsinterneData"

• Det som så langt er avdekket er at dette er noe som løses ulikt på tvers av virksomheter/institusjoner. (Sikt 3/24-4).[innerBlocks]

 Muligens nytt verktøy for å erstatte Humio/LogAuditEvents

• Bjørn Helge Kopperud Produktområdeleder for Cybersikkerhetssenteret i Sikt holder i pågående prosess å velge logge-verktøy som eventuelt skal erstatte CrowdStrike Falcon LogScale (Humio). Det skal avsluttes rundt nyttår hva som skjer videre.
• Betalingsevnene i sektoren ikke villig til å betale prisveksten for Humio (Sikt 3/24-5).

• Pågår også forhandling med Identity Automation (IA) om å kunne beholde data lengre. Noe som så eventuelt vil kunne inkludere back-up løsning for eldre data (tentativt 3. kvartal 2025, når Humio utgår)
• p. I dag viewene;[innerBlocks]

Kommentarer til endringssaker og -ønsker:

Punkt o. Informasjonene kan legges inn i SAP, men er et fritekst-felt i SAP. UiB har kun adresse ikke bygning og kontor. HiMolde er veldig fornøyd med sin løsning, og Nord er tipset om å ta kontakt med HiMolde direkte.

Punkt p. Kommentar fra UiO v/Tobias Langhoff; BOTT har en prosess som gjelder sende logger til annen løsning. UiT med representant replikk; de er ikke med på den prosessen m.h.t logger selv om de er en del av BOTT-samarbeidet (samarbeid mellom Bergen, Oslo, Tromsø og Trondheim om felles, standardiserte administrative og tekniske tjenester og prosesser).

Eventuelt

Saker fra UiB;

• 1. "Solution in RI which has been lost in transition from on-premise to AWS...."[innerBlocks]

• 2. KI-generert dokumentasjon av kode og prosesser i løsningen[innerBlocks]

• 3. Tilbaketrekning av rettigheter[innerBlocks]

 Sak fra Sikt:

• 4. Utvide Produktrådet med en ressurs[innerBlocks]

Oppsummert kommentarer eventuelt

Punkt 1 og 2, Vegar Forberg orienterte;

Strategi ift dokumentasjon:

• Sørge for at institusjonene er i stand til å håndtere de use-case som oppstår ifm ansvaret som 1. og 2. linje lokalt og for utvikling av integrasjoner mot målsystemer:[innerBlocks]

Det vises frem for produktrådet deler av resultatet fra sommerstudenter oppgave i team IAM.

• Dette inkluderer dokumentasjon av prosessflyt fra kilde- til målsystem.
• Mest interessant antas å være et grafisk verktøy som genererer avhengighetsgrafer, organisasjonskart, og tidslinjegrafer for batch-jobber som kjøres i RI.
• Underlaget har team IAM, men det har ikke vært kapasitet til å kunne gjøre dette tilgjengelig for virksomheter.
• Prosess avslutte studentkonto og logikk mht. til aktuell forretningsrolle er eksempler på use-case som vi kan følge opp i team IAM. Spesifikke prosesser kan utviklere dokumentere og i ettertid tilgjengeliggjøre f.eks. i Erfaringskanalen. Det er vanskelig kunne følge alle mulige eksakte prosesser. Meld gjerne inn aktuelle use-case. 

Punkt 3, Ståle Ekelund orienterer;

Tatt opp tidligere i dagens møte, mht. nåværende design for G3 og enigheten om beslutningen ved overgang fra G1 til G3. Nå ved endringsønske pga. plunder og heft kan løsningen bli å gjøre det konfigurbart å hensynta YRK-kode når det gjelder «Mover».

Digitalt møte torsdag 13. juni klokken 12.00–14.00.

Agenda

• Godkjenning av referat og innkalling
• Status Felles IAM – utrulling, problemer og utfordringer av interesse for gruppen[innerBlocks]
• Kysten rundt: status HiMolde, UiT, OsloMet og UiB[innerBlocks]
• Produktområdeleder Kjell Johan Sivertsen avslutter runden.[innerBlocks]
• Oppfølging fra forrige møte[innerBlocks]
• Endringssaker og -ønsker
• Eventuelt

Godkjenning av referat og innkalling

Referat og innkalling godkjennes.

Frafall ved møte av ressurser fra Høgskolen i Innlandet og Universitet i Oslo, møte gjennomføres da det er nok representanter til å kunne utføre avstemninger.

Status Felles IAM – utrulling, problemer og utfordringer av interesse for gruppen

Som innledning startet arkitekt Ståle Ekelund med en orientering om utrullingsløpet for Felles IAM for alle UH21, inkludert opsjon for UH39 og institutter o.l. under Kunnskapsdepartementet (KD).

Det pågår nå forberedelser for implementasjon ved Arkitektur- og designhøgskolen i Oslo (AHO), Samisk høgskole, Norges miljø- og biovitenskapelige universitet (NMBU) samt Universitet i Sørøst-Norge (USN). I tillegg til disse er både Høgskulen på Vestlandet og Høgskulen i Volda i ferd med å vurdere forsert prosjektoppstarten til 2024. 

Produktområdeleder Kjell J. Sivertsen informerte så om en feil som er avdekket i forbindelse med meldingsloggingen til Falcon LogScale (Humio). Det ble oppdaget at meldinger som inneholdt passord og UHID (persistent personidentifikator) ble logget til Falcon LogScale. For IAM systembrukere med admin. rettigheter kunne disse passordene sees.  Denne muligheten gjaldt kun betrodde medarbeider, og kan muligens ha utgjort en risiko. Med bruken av 2-faktorløsning i forbindelse med pålogging er det ikke kurant å kunne utnytte dette til et sikkerhetsbrudd.  Loggene (det er separate logger for hver institusjon) ble straks stengt og problemet korrigert, i tillegg er gamle logger blitt filtrert for de relevante meldingene.

Kysten rundt – oppsummert

HiMolde v/Steinar Melsæter

Status:

• G3 er plass, og med den etterlengtet funksjonalitet. Det meste fungerer bra, deriblant bruken av Daily Issue Report.
• Det nevnes at HiMolde venter fremdeles på å få tatt i bruk Campus-funksjonaliteten.
• Teams-kanalen; Erfaringskanalen fungerer veldig bra. Fungerer flott for virksomhetene for å kunne kommunisere på tvers.

Innspill til forbedringspotensiale:

• a. Når det gjelder mobilnummer DFØ-TOA, spørsmål om privat mobil nr. som nå ikke hentes fra riktig felt i SAP
• b. Mobilnummer og ansattnummer blir p.t. ikke overført til FS ved provisjonering av ekstern sensor
• c. Det ønskes en mer intuitiv oversikt/GUI som viser forretningsroller og dets innhold
• d. Samt ønske om mer synlighet om aktuell tilgang i aktuelt målsystem
• e. Per nå finnes det bestilte rettigheter som ikke blir avbestilt ved kansellering av rettigheter
• f. Det foreslås å rydde i de manuelle workflowene

Refleksjoner tilknyttet videre utvikling:

• Være mer bevisst på at Felles IAM skal være en standardløsning, unngå «skreddersøm» og kodetilpassing for hver enkelt virksomhet!
• Det er utfordringer med å avslutte tilganger i RI tilbake i tid
• Det settes spørsmåltegn ved sårbarheten til Gravitee og RabbitMQ

Kommentarer HiMolde forbedringspotensiale, Sikt v/Ståle Ekelund:

Punkt a og b. Felter for hvor mobilnummer hentes fra saker som ligger i backlogg, og er planlagt å ta tak i på neste sprint. Det å planlegges å støtte bruken av ansattnummer.

Når det gjelder punkt c så ser vi det også fra vår side at det er hensiktsmessig å kunne ha et GUI/arbeidsflate i forbindelse med tildelingen av forretningsroller. Vi har notert det opp på Sikts agenda å ta opp dette med IA.

Kommentarer HiMolde forbedringspotensiale, Sikt v/Kjell J. Sivertsen:

Ser også samme sårbart med hensyn til Gravitee og RabbitMQ, og drøfter dette med IntArk-miljøet.

UiT v/Johnny S. Hansen

Status:

• Overordnet godt fornøyd.

• Felles IAM har forbedret involvering og forankring av tilgangsstyring med andre deler av virksomheten (Lønn/studie spesielt).​
• Lokal forvaltning har vært i drift en periode.  En fallgruve er at fokus kan bli mye teknisk (f.eks. IT- og lønnsteknisk) og for lite policy/HR og lederinvolvering. 
• Felles IAM har medført færre problemer for brukerne.
• Det er et bredere miljø som forvalter IAM, mot tidligere 1-2 personer. Og det er lettere å involvere flere brukergrupper til «sin» del av tilgangsstyringen.
• Alma integrasjon: Testing utført. Vurderer noe rydding/avklaringer først.​
• Bestillbare rettigheter: En i produksjon, og to nær produksjonssetting.​
• Innsynstjeneste etablert: Målgruppe er helpdesk, lønn, studie og verter i GREG.
• Campus-tilhørighet: UiT avventer å ta inn Campus for studenter.​

Refleksjoner tilknyttet videre utvikling:

• g. Kompleks kodebase, mangel på kodemønstre og helhet.​
• h. Dokumentasjon, en oversikt over scripts/actionsets og deres sammenhenger viktig for lokal debugging.​
• i. Begrenset datamodell (portal)​
• j. Account claim for bruker med mobilnummer i land hvor sms er sperret (Kina, Iran, Russland). Er det kjent tema?​
• k. Uklart hvordan lokal utvikling synkroniseres i et felles regime.[innerBlocks]

Kommentarer UiT Refleksjoner tilknyttet videre utvikling, Sikt v/Kjell J. Sivertsen:

Punkt j, ved bruk av Account Claim er det et kjent tema at i «Blacklistede» land (Kina, Iran og Russland) fungerer ikke SMS. Det nevnes at UiB har en løsning der aktuelle brukere fra disse landene må fysisk møte opp ved lokal Helpdesk i Norge for å få aktivert brukerkonto.

Angående punkt k, "Utviklerskole", er dette et positivt og relevant forslag. I år har Team IAM to sommerstudenter. Informasjon om hva sommerstudentene har på deres «to-do-liste» vil bli delt etter hvert som det blir tilgjengelig, i Ukenytt.

Både en utviklerskole og standardisering kan potensielt lette en del arbeid i fremtiden. Dette kan også bidra til å realisere gevinster i tråd med de strategiske målene for innføringen av Felles IAM, når det gjelder "Sikkerhet & Compliance" samt "Rasjonalisering av forvaltning".

Kommentarer UiT Refleksjoner tilknyttet videre utvikling, Sikt v/Ståle Eklund:

Støtte for bruken av Campus er i test ved HiMolde, samme er oversendt til UiT. Status p.t. er at studieavdelingen ved UiT jobber med QA-lesningen på bruken av Campus.

UiB v/Elin-M. Bjørndal

Kjenner seg igjen i hva de andre har nevnt forut.

Mye er veldig bra ved bruken av Felles IAM, men i de tilfeller hvor det skjer feil så skaper det utfordringer. I den sammenheng så nevnes det at ressurser ved UiB opplever at de har et godt samarbeidet med utviklerne i Sikt. Men det savnes dokumentasjon med hensyn til actionsetts innhold.

Innspill forbedringspotensiale:

• l. Bedre regime rundt dokumentering av levering av kodeendringer.
• m. Logging; Ved UiB G1 fikk man ut tidligere meldinger, opplever at logging i G3 er blitt mer vanskelig. Det ønskes å få automatisk varsling når feil blir loggført. Samt det å få varsel når meldinger ikke går, og ikke kommer frem som forventet.

OsloMet v/Hall Fure

Føyer seg inn i rekken av hva de andre har sagt.

Utfordring kan være når det oppstår problem med hensyn til tilganger som Felles IAM ikke er årsak til, men hvor Felles IAM får uberettiget kritikk.

Forbedringspotensiale:

• Slit at de ved OsloMet ikke har tatt i bruk GREG, p.t. brukes SAP for gjester. Vært i kontakt med UiT og vurderer ta i bruk GREG.
• Vurderer ta i bruk bestillbare rettigheter, det har vært selve brukergrensesnittet i portalen som har gjort at OsloMet har holdt igjen. Skal ha møte med HiMolde for å høres om deres erfaringer.

Produktområdeleder Kjell J. Sivertsen avslutter Kysten rundt med å legge frem

• n. «Felles IAM Hva er betalbare endringsønsker og hvordan løses de?» (Beslutningssak)
• o. «Felles IAM og UH-sak Synergimuligheter?» (Orienteringssaken) presenteres i samarbeid med Ståle Eklund

Oppsummert punkt n, «Felles IAM Hva er betalbare endringsønsker og hvordan løses de?»

1. Endringsønsker kommer enten som resultat av innspill til Produktrådet eller i forbindelse med utrulling til en ny institusjon​
2. «Nødvendig» endringer prioriteres høyest, f.eks. UBW som er et nytt kildesystem, brukt av NMBU, må på plass selv om det foreløpig bare gjelder for NMBU.​
3. «Mye etterspurte» endringer kommer på andre plass avhengig av kapasitet.​
4. «Betalte endringer» blir prioritert som nummer 2 eller 3 avhengig av kapasitet.

Besluttet enstemmig:

«Produktrådet evaluerer endringsønskene, og setter en prioritering. De vil uavhengig av om det er et endringsønske som er en del av et utrullingsløpet, eller etter at løsningen er kommet i drift eller om det er ønskelig å betale for det, måtte vente på kapasitet til etter «Nødvendig» endringer/utvikling er tatt. Det vil med betaling være mulig å leie inn ekstra kapasitet (dette kan være utviklere med RapidIdentity-kompetanse hos institusjonene) til å løse oppgaver som ikke kommer opp på prioriteringslisten. Disse vil bli fakturert.» 

Oppsummert punkt o, «Felles IAM og UH-sak Synergimuligheter?»

1. Rollefunksjon i Felles IAM: Dataene i kildesystemene bestemmer hvilke Roller en får tildelt automatisk. I tillegg kan personene tildeles og/eller be om ytterligere Roller. Rollene en person besitter avgjør hvilke målsystemer vedkommende har tilgang til eller hva vedkommende kan gjøre i dem. Både Målsystemene og Personene holdes løpende oppdatert med hvilke rettigheter som gjelder
2. Felles IAM utleder p.t. 42 forretningsroller ut fra informasjon i Kildesystemene ved hjelp av 66 regler: Disse Rollene er stort sett like ved alle institusjoner, men hva som skal skje om du besitter en gitt Rolle kan avvike noe fra institusjon til institusjon.​
   Roller kan ytterligere presiseres med Attributter (RBAC og ABAC)
3. UH-SAK er en løsning som har behov for at Brukerne er utstyrt med Roller som styrer deres tilganger til og rettigheter i systemet: Rollebehovet for UH-SAK er realisert ved applikasjonen ROLF (samt Palomir og RonPort)​
   Det er uklart hvor mange roller som trengs er, men tall som 800, 80 og 15-20 stykk har vært oppe.​ At en fingranulering er påkrevd og dette er krevende å holde dette oppdatert er hevet over enhver tvil, men det må unngås å duplisere informasjon som allerede finnes i de øvrige Kildesystemene.​
4. Rollefunksjon i Felles IAM utvidet for UH-SAK: Roller for UH-SAK bør realiseres vha. informasjon som Felles IAM allerede besitter eller kan sette sammen (eksempelvis FUP). ​ De nødvendig Rollene for UH-SAK kan enkelt kompletteres i Felles IAM med bestillbare rettigheter. Med dette kan Felles IAM levere samme funksjonalitet som ROLF. 

MERK:

Felles IAMs mandat er å forestå og ha kontroll på brukerprovisjonering og tilgangsstyring av sektorens systemportefølje gjennom brukernes livssyklus.

Basert på informasjon fra Kildesystemene og tilgangsreglene ved institusjonen så opprettes, endres og slettes brukernes tilganger og kontoer. Dette gir en helhetlig oversikt over samtlige brukeres tilganger med ett system à Compliance​.

Oppfølging fra forrige møte

Cristin flytter over til NVA v/Sikt

• I april startet en dialog mellom team IAM og team som jobber med NVA internt i Sikt.
• Selv om en virksomhet har Felles IAM produksjonssatt er det fullt mulig at populering av brukerdata i Cristin videreføres til NVA ved å benytte seg av den importløsning for brukerdata som Cristin gjør i dag. Typisk er dette via et HMS-system, eller lønnssystem sånn som SAP. Det er en filbasert import.
  Det er en import som kan gjøres via RI istedenfor, og som det nå i vår/sommer er satt i gang utviklingsarbeid for å kunne støtte.

Administrering/håndtering av permisjoner for ansatte v/Hall Fure

• Saken følges opp av Hall i etterkant av dette møte, når det gjelder gjennomgangen og oppdaterer dokument for sirkulasjon blant deltakerne.

Skal utenlandske statsborgere identifisere seg med pass? v/Kjell J. Sivertsen

• Orientering om en finsk mulig løsning. Mulighet, som har en kostnad. Interesse i gruppen at følges opp videre.

Endringssaker og -ønsker

• Ingen saker er kommet inn til dette møtet
• Det er ikke funnet saker i Team IAMs backlogg av denne kategori

Eventuelt

• Til institusjonene/innmelder ved henvendelse via sakssystemene sette opplevd prioritet på aktuell sak for info se Servicenivå 2 (sikt.no). Innspill fra Prosjektleder Vegar Forberg.
• Stig Wennevold fra UiT på dagens møte, overtar videre fremover for Johnny S. Hansen.
• De to sommerstudentene som er hos team IAM er AI-kyndige, og deres «to-do-liste» vil bli presentert på et senere tidspunkt.

Digitalt møte torsdag 11. april klokken 12.00–14.00.

Agenda

• Godkjenning av referat og innkalling
• Status Felles IAM – utrulling, problemer og utfordringer av interesse for gruppen
• Endringssaker og ønsker[innerBlocks]
• Eventuelt

Godkjenning av referat og innkalling

Blitt utført navnebytte, fra «IAM Arbeidsgruppe» til «Felles IAM Produktråd» i forkant møte.

Gjennomføring av møter fremover fortsetter tilnærmet likt de 4 tidligere møtene i «IAM Arbeidsgruppe». Nytt er utvidelse av deltagere i produktrådet med representant fra UiO, Tobias Langhoff var med på vegne av UiO ved førstegangs deltagelse.

Vedlegg til agenda ble distribuert seint, ved neste møte settes frist for eventuell utarbeidelse av underlag. Dette for at vedlegg skal kunne videreformidles tidligere i forkant møte.

Status Felles IAM – utrulling, problemer og utfordringer av interesse for gruppen

Som innledning startet produktområdeleder Kjell Johan Sivertsen med en orientering om utrullingsløpet for Felles IAM for alle UH21, inkludert opsjon for UH39 og institutter o.l. under Kunnskapsdepartementet (KD).

Beslutning om å etablere et felles system for tilgangsstyring (IAM) ble fattet av Digitaliseringsstyret januar 2019. Innen 2027 er målet at alle institusjoner underlagt KD skal ha fått innført Felles IAM, i regi av Sikt.

I mars i år ble Felles IAM produksjonssatt ved virksomhet nummer 6, Meteorologisk institutt (Met). Sikt leverer tjenester til Met selv om Met ikke lengre er underlagt KD.
Pågående prosjektfaser ved Arkitektur- og designhøgskolen i Oslo (AHO), Samisk høgskole samt Norges miljø- og biovitenskapelige universitet (NMBU). I tillegg er Universitet i Sørøst-Norge (USN) nært oppstart, kommer mest sannsynlig i gang med prosjektet i slutten av mai.

Felles IAM er per dagsdato rullet ut som skytjeneste hos Universitetet i Bergen (UiB), OsloMet, Høgskolen i Molde (HiMolde), Universitet i Tromsø (UiT), Nord universitet (NORD) og Meteorologisk institutt (Met). Hvor det totalt er 133 500 roller fordelt på ansatte, studenter og gjester. Det er 122 000 personer registrerte, som vil si noen personer har flere roller. Tallene tilsier 30 % av dagens studenter får tilgangsstyringen utført via Felles IAM. Vanskeligere å oppgi konkret tall på ansatte på grunn av deltidsstillinger.

Prosjektleder for Felles IAM, Vegar Forberg informerte så om pågående aktiviteter på tvers av de virksomheter som nå er i prosjektfase, Samisk høgskole, AHO og NMBU. Nevnt alle 3 virksomheter bruker Wiseflow istedenfor Inspera, og det jobbes parallelt med å få opp dette. Tidligere i utrullingen har en og en virksomhet blitt jobbet med, forsøker nå å kjøre parallelt for å få opp utrullingshastigheten.

Kysten rundt – oppsummert

HiMolde v/Steinar Melsæter

I februar ble Felles IAM oppgradert til G3 ved HiMolde. Visningstittel i SAP som tittel (G3-10) fungerer meget bra. Tatt i bruk Preferred Name, ikke som en bestillbare rettigheter gjøres manuelt, fungerer fint.

Fremover:

• Ta i bruk kontraktsperioder.
• Mangler Alma-installasjon, venter i spenning på å få ta det i bruk.
• Campus informasjon er tenkt å bli hentet fra individ istedenfor studierett, nærmer seg og har tro på det vil bli bra. Mulig utfordring som fremdeles vil kunne gjenstå er for student på ulike Campus samtidig. Der det er flere Campus støtter ikke denne løsningen at informasjon kan hentes fra individ med automatisk oppdatering, da vil det måtte gjøres manuelle justeringer i FS.

UiT v/Johnny S. Hansen

Høsten 2023 oppgradert fra G2 til G3 ved UiT. Vært mye arbeid med hensyn til oppfølging av saker for UiT internt i etterkant. Har benyttet en arkitekt til oppfølgingen av etterarbeidet, gjennomført 2 møter per uke. Nå i april redusert til 1 møte i uken på grunn av redusert behov. Det er registrert en nedgang på om lag 40 % av supportsaker ved UiT 1. Linje ved bruk av Felles IAM sammenliknet med bruken av Cerebrum.

Innføringen av Felles IAM har hatt en tydelig effekt. Det har vært en øvelse internt ved UiT for flere aktører. Det har vært fokus på kvalitet av data, ikke som et avgrenset IT-problem men som en felles utfordring. UiT Tilgang har vært et vellykket prosjekt, og omtalt som det helt til topps i UiTs-ledergruppe.

Fremover:

• Tidligere var løsningen for oppsettet av ledere i SAP en utfordringer for hvordan gjennomføre godkjenning av bestillbare rettigheter i RI. Nå kommer bruk av Deputy's til å fikse dette, to er arbeidsflyter etablert, gjenstår å teste før produksjonssetting.
• Det jobbes på tvers med jevnlige møter, ressursgrupper og sparringsgrupper med hensyn til fakulteter.
• Jobbes med kvalitetssikring ved innleggelse av data for å forebygge doble kontoer når gjester skal legges inn. HR også involvert for å sjekke når ny ansatt skal registreres. Rutine som eventuelt kan deles på tvers av virksomheter.

OsloMet v/Hall Fure

Har nå hatt Felles IAM cirka 1 år. Det har vært mye feilretting på personfeil, og lite fokus på utvikling i denne perioden. OsloMet har ikke tatt i bruk bestillbare rettigheter.

Det har vært en utfordring å endre på arbeidsprosess ved registeringer i forkant der det tidligere har vært greit og registrert i etterkant timelærere, gjesteforelesere og honorarermottakere.

Ved eventuell støy i organisasjon er det en risiko for at det går raskt, høyt. Men alt i alt, godt fornøyd.

Fremover:

• Har tverrfaglige team som består av ressurser som representerer SAP, FS, HR og IT-avdelingen. Dette gjør at saker løses greit.

UiB v/Elin-M. Bjørndal

Oppgradering fra G1 (On Premise) til G3 (Web) har vært en kjempejobb, nesten like stor jobb som ved Go-live G1. Begynner å roe seg nå, for de fleste fungerer det nå veldig bra. Men for de det ikke fungerer omfattende jobb å rydde i doble kontoer. UiB har forvaltningsteam bestående av operativ IT, økonomi, studieavdeling. Gjennomført to møter i uken med stoff nok "for en hel kongress" vært nødvendig med den frekvensen, fra nå ett møte i uken.

Fremover:

• Alma integrasjon er også noe som skal til UiB.
• Arbeidsflyter og bestillbare rettigheter jobbes med, nå kan f.eks. brukere spørre om adminrettigheter på egen pc. Fungerer veldig bra.

Sikt v/Vegard Forberg

Informerer om at nå er alle virksomheter i produksjon oppe på den samme versjonen av Felles IAM. Dette gjør endringer og feilsøk mye enklere. Foreløpig ikke planlagt G4, men betyr ikke at det ikke kommer endringer. Ny hovedversjon vil eventuelt komme ved overgang til GraphQL og kutt av andre API-er.

Endringssaker og ønsker

Administrering/håndtering av permisjoner for ansatte (OsloMet)

Bakgrunn

«IAM (RI) skal gi automatiske tilganger til våre ansatte når tjenestelig behov tilsier det, og trekke tilbake tilganger når behovet ikke lenger er til stede. Dette gjøres normalt gjennom start- og sluttdato. Ansatte som er ute i permisjon har status som aktiv i SAP når de er ute i permisjon, og vil derfor bli stående som aktive i RI. Hvis de skal settes inaktive i SAP, må det kjøres avsluttende saksgang på vedkommende, de gis en sluttdato og det kjøres sluttoppgjør på vedkommende. Dette blir feil i henhold til status da de blir avsluttet fra arbeidsgivers side.

I tillegg kan det være at noen kategorier kan ha behov for tilganger mens de er ute i permisjon. Dette kan være for eksempel sykepermisjon eller rettighetspermisjoner så som fødselspermisjon. Permisjon for å prøve ut ny stilling er derimot permisjoner der tilganger må avsluttes fra permisjonens start.» (Sitat/utklipp fra vedlegg i innkallelsen).

OsloMet v/Hall Fure redegjorde for endringsforslaget. Kort oppsummert – det nevnes permisjonskoder og å ta hensyn til at det er rettigheter tilknyttet permisjonen som revokes. Permisjon knyttet til ansattforhold og ikke stilling.
UiT jobber internt med samme sak. Arkitekt Ståle Ekelund foreslår en felles nedgang i dybden på dette.

Fremover:

• Hall Fure tar en gjennomgang og oppdaterer dokument for sirkulasjon blant deltakerne.

Justering av DFOPersontoRIDB_load (UiT)

Intro av Johnny hva saken gjelder, beholde tilgang som student, samtidig som utestengt som ansatt.

Det drøftes at dette er noe som i dag kan fikses manuelt, og per nå ikke planlagt å støttes med bruk av kode.

Ønske om hjelp til en enklere rutine for en mulig utestengelse ved egen institusjon utenom kontortiden til team IAM.

UiO v/Tobias Langhoff: Det er funksjonalitet for karantene i Cerebrum, kan på denne måten blokkere tilgang, men noe som ikke fjerne, fjerne brukeren.

Etablere varslingsrutine ved oppdatering av personobjekter i IdW (Sikt)

Gjøres en endring i IDW på brukernavn vil man måtte kjøre DbToIdentityStore med et flagg som forteller at brukernavnet skal oppdateres. Dette for å sikre at ikke brukernavn ikke blir satt uten at noen har eksplisitt gjort det for institusjonen.

Endring av brukernavn vises nå i Daily Rapport, det vil si det varsles om man kjører DbToIdentityStore og man har et brukernavn-endring som ikke blir effektuert.

Eventuelt

Høgskolen i Innlandet

Automatisk løsning for permisjoner vil kunne være bra, noe som kan være vanskelig internt å bli enige om hvordan skal utføres. Har nok vært et ønske 20-25 år, så rutine for dette vil vært lurt å ha (på tvers av virksomheter).

Universitetet i Oslo

Ønske fra UiO samme som Innlandet å kunne være med på diskusjon på tvers av virksomheter. Problemer med doble kontoer har vært diskutert på tidligere møter, og UiO ser gjerne å kunne ha mer av det.

Høgskolen i Molde

Spør om vi i Sikt har gjort oss noen interne tanker om at Christin flyttes over til NVA. Følges opp av Sikt.

Sikt

Tips: benytt gjerne teams kanalen «Erfaringskanalen» som en samhandlingskanal.

En mulig forbedring av Felles IAM er å innføre støtte for gjenkjenning av pass. Dette er teknisk mulig. Støttes i møte av både OsloMet og Innlandet. Og det nevnes av Innlandet også ønskelig for annet enn utenlandske studenter, f. eks. når bilde skal lastes opp for id-kort.