NOR

Produktråd Felles IAM

Scopet for produktrådet inkluderer RapidIdentity (RI), Account Claim (kontoaktivering) og bruk av kilde- og målsystemer.

NavnVirksomhet
Vegard ForbergSikt
Kjell Johan SivertsenSikt
Ståle EkelundSikt
Tove Iren NilsenSikt
Stig WennevoldUiT – Norges arktiske universitet
Odd LundbyUniversitetet i Innlandet
Hall FureOsloMet
Elin-Mari BjørndalUniversitetet i Bergen
Steinar MelsæterHøgskolen i Molde
Tobias LanghoffUniversitetet i Oslo
Steinar KlevenNorges teknisk-naturvitenskapelige universitet

Vi oppdaterer agendaen nærmere møtedatoen. Medlemmer i produktrådet kan sende inn forslag til saker til kontakt@sikt.no.

Digitalt møte, 12.00–14.00.

Foreløpig agenda

  • Godkjenning av forrige møtenotat og innkalling
  • Status Felles IAM - utrulling, problemer og utfordringer av interesse for gruppen
  • Kysten rundt
  • Oppfølging fra forrige ordinære møte, samt utvidet produktråd
  • Nye tema
  • Eventuelt

Tidsfrister for saker

Frist for saker som gjelder på tvers av virksomheter og som dere i Felles IAM Produktråd ønsker oppført på endelig agenda, i tillegg oppfølging fra forrigemøte, er tirsdag 13. mai 2025. Eventuelle underlag som skal videreformidles har frist tirsdag 20. mai 2025.

​Fysisk møte på Scandic Hell (Sandfærhus 22, 7570 Stjørdal).

Agenda

Oppmøte mellom 09.00–10.00

  • Mingling i fellesområdet med tilgang til kaffebuffet

Oppstart 10.00

  • Velkommen, ved Kjell J. Sivertsen
  • Presentasjonsrunde
  • Introduksjon, ved Kjell J. Sivertsen
    • Hvor står Felles IAM i dag?
    • Medlemmene i produktrådet, det er disse som har stemmerett
    • Dynamisk produktutvikling og utrulling
  • Godkjenning av forrige møtenotat og innkalling
  • Utrullingsløpet, ved Vegar Forberg
    • Hvordan gjennomføres prosjektfasen?
    • Prosessen og teknisk gjennomføring
  • G4 – neste versjon av Felles IAM, ved Ståle Ekelund
    • Generasjonsstrategi, eksempelvis inkludere funksjonalitet som ev. fører til en utvidet datamodell
    • Hva vil komme i G4?
    • Nye målsystemer

Lunsj 11.30–12.15

  • KI-initiativ i Felles IAM, ved Stian Tonning
  • Kysten rundt
    • Utvidet runde, alle som har innført Felles IAM
  • Oppfølging og gjennomgang av saker fra forrige møte i oktober 2024
  • Nye tema
    • Sak fra Sikt: 1. Utrulling versus ny funksjonalitet. Orienteringssak ved Kjell J. Sivertsen.
    • Sak fra UiB: 2. Støtte for PAM – priviligert tilgangskontroll. Orienteringssak ved Vegard Forberg.
    • Sak fra UiT. 3. MG/MUG 850. Orienteringssak ved representant fra UiT.
  • Eventuelt
    • Gruppearbeid

Faglig program er ferdig 15.00

Avslutning 15.00–16.00

  • Mingling i fellesområdet med tilgang til kaffebuffet

Velkomst og presentasjonsrunde

Produktområdeleder Kjell J Sivertsen ønsket velkommen, og gikk igjennom dagens agenda. Etterfulgt av en presentasjonsrunde hvor alle møtedeltagere oppgav hvilken virksomhet de representerte, sitt navn samt forventinger til dagen.

Introduksjon

Kjell J Sivertsen innledet introduksjon med en status tallmessig for utrulling Felles IAM. Felles IAM er tatt i bruk hos 10 institusjoner; UiB, OsloMet, HiMolde, UiT, Nord, Met.inst, USN, NMBU, AHO og HiVolda. Og det pågår innføringsprosjekter ved Samisk høyskole, UiS og HVL.

I mars 2025 er status denne:

Om lag 164 000 tusen personer i Norge er nå tilgangsstyrt via Felles IAM. Dette gjør produktet, oss bekjent, til den største IAM-løsningen i Norge pr. dagens dato.

Så ble det gitt en kort orientering om Felles IAM Produktråd. Sammensetning i rådet er 4 personer fra Sikt ,7 representanter fra universitet og høgskoler, stemmerett har Sikt og de som er medlem i produktrådet og som har Felles IAM operativt.

Videre så ble den geopolitiske situasjon vi er i og mulige konsekvenser tatt opp. Det kan være en mulig risiko for at det oppstår behov for å måtte skiftes leveransemodell fra AWS Skytjeneste til On-premise løsning. På samme måte som at det kan være en mulig risiko at f.eks. MS-Teams vil måtte byttes ut.

Det ble så gitt en orientering om JAMFs oppkjøp av Identity Automation (IA) (som leverer Rapid Identity). JAMF leverer admin. løsninger for Apple devicer (Mac / iPhone) . Både JAMF og IA har et godt fotfeste i Undervisningssektoren.

Siste faglige punkt under produktområdets leders introduksjon var utfasing av Humio i 2025. Dette medfører at Felles IAM må ta i bruk den nye loggløsning som SIKT erstatter Humio med. En alternativ løsning er at loggingen som IA tilbyr i Rapid Identity, utvides.

Avslutningsvis på introduksjon var ordet hos Tom Røtting, divisjonsdirektøren for Data og infrastruktur (DI) i Sikt, han holdt en kort appell om utrullingsløpet som nå for alvor har skutt fart. Felles IAM er nå produksjonssatt eller i prosjekt hos over halvparten av institusjonene som inngår i UH21.

Godkjenning av forrige møtenotat og innkalling

Referat og innkalling godkjent.

Utrullingsløpet

Som innledning til gjennomgangen av utrullingsløpet viste arkitekt Ståle Ekelund en oversikt med datoer for implementering av Felles IAM i tidsrommet 2023-2025. UiB tok i bruk løsningen som on-premise i 2022. I 2023 kom OsloMet, HiMolde, UiT og UiB i bruk løsningen på AWS. Så etterfulgte Nord, Metrologisk Inst., USN, NMBU og AHO i 2024. Status for utrullingen så langt i 2025 er at HiVolda produksjonssatte løsningen i februar. UiS kommer som neste tentativt i starten på april, HVL medio juni, samt Samas som p.t. er i prosjekt, men dato for produksjonssetting ikke fastsatt.

Team IAM hos Sikt driver med utrulling, parallelt med support og utvikling av neste hovedversjon. Plan for 2025 er å ferdigstille og rulle ut Felles IAM G4 til alle eksisterende institusjoner. Samt ferdigstille nye integrasjoner for helhetlig tilgangsstyring av Elements, P360, Canvas og NVA.

I etterkant av gjennomgangen av utrullingsløpet ble det gitt en orientering av de ulike prosjektfasene i et implementeringsprosjekt av Felles IAM. Det poengteres at «Fase 0» er tøyelig, og i den sammenheng ble det spesifikt nevnt det å bruke tid på å rydde i kildesystemene. Ting må gjerne ha tid til å modes i egen virksomhet. Erfaringsmessig har vist at det i denne perioden starter og vokser frem et godt samarbeid mellom IT, HR og studieadministrasjon.

Det kom kommentarer både fra HiMolde, OsloMet og UiT hvor det ble fortalt om en positiv kulturreise og opprettelse av forvaltingsgrupper på tvers i egen virksomhet.
I plenum kom det positive tilbakemeldinger på selve innføringsprosjektet. Positivt det som skjer innenfor egen virksomhet, samt også det samarbeidet som etter hvert har vokst frem på tvers av virksomheter som bruker samme løsning.

KI-initiativ i Felles IAM

Team IAM har videreført det arbeidet som sommerstudentene (2024) Espen Aakre Sjo og Daniel Timler Andreassen jobbet med. Utvikler Stian Tonning presenterte eksempler på hvordan bruken av kunstig intelligens (KI) er vist å kunne forbedre Error og Audit logging, samt KI generere dokumentasjon basert på actionsets.

Første eksempel var en gjennomgang av koderefaktorering, hvor det oppdages kode som kan forbedres, i - G3_Errorhandler() og logAuditEvent(), koden oppdateres og endringer lagres.

Gevinster:

  • Mer Robust feilhåndtering
  • Kvalitetskontroll
  • Standardisering av kode mellom prosjekter
  • Fjerner teknisk gjeld

Det andre eksempelet viste en demo av dokumentasjonsgeneratoren, der kode går igjennom en dokumentasjonsagent som resulterer i lesbar dokumentasjon.

Sikt teknisk dokumentasjon/ Identitets og tilgangsstyring (Felles IAM)/Integrasjoner fylles fortløpende med dokumentasjon generert av dokumentasjonsagenten.

Se teknisk dokumentasjon for Felles IAM (ekstern lenke).

G4 – neste generasjon av Felles IAM

Arkitekt Ståle Ekelund hadde etter lunch presentasjon av hva det jobbes med og som kommer i neste hovedversjon G4.

Startet innledningsvis under mottoet «Erfaring gir evolusjon», og viste til at vi startet med G1, har gått videre G2, G3 og neste ut er G4.

Så kom en orientering om Felles IAM generasjonsstrategi:

  • Fokus på å gjøre tjenesten mer dekkende, robust og konfigurerbar
  • Forbedringer basert på institusjonenes innspill og tilbakemeldinger, og som vedtas av produktrådet
  • Forbedringer basert på erfaringer og observasjoner
  • Nye integrasjoner

Dette er ofte større endringer og endringer som krever utvidelse av datamodellen.
Forbedringer piloteres gjerne hos en eller flere institusjoner før de generaliseres.
Feilfikser av høyere prioritet eller operasjonelle forbedringer håndteres utenom generasjonsstrategien. Generasjonsstrategien er for å sikre at alle blir med på løftet.

Se tabellen med versjonsendringer for versjon G4.

Kysten rundt – oppsummert

Her hadde alle møtedeltagere ordet en etter en, dette var en viktig del av agenda der hver og en hadde taletid. Mye positiv tilbakemelding fra møtedeltagerne, som ikke detaljert blir gjengitt skriftlig.

Runden tok lengre tid enn estimert på forhånd. Det ble i plenum avgjort at når Kysten rundt var gjennomført, gikk agenda rett til Nye tema. Oppfølging fra forrige ordinære produktrådsmøte utsatt til neste digitale møte i Felles IAM Produktråd.

Korte enkelte utdrag og stemningsrapport fra runden:

Samas:

  • Er i innføringsfase, spendt på fortsettelsen.

UiT:

  • Overgangen fra prosjekt til daglig drift har gått smooth.
  • Godt det er Sikt som pusher dette, gjøre det på en positiv måte.
  • Plan på kort sikt - bygge en onboardingtjeneste.
  • Plan på lang sikt - Finmaskede personroller – modellering, forvaltning og kilde.

OsloMet:

  • Ledelsen, snakker om IAM.
  • Etablert regelmessige møter med HR dir. og IT dir. for prioritering.
  • Saker meldt til, hvor står vi? Størrelsen vår er god, men vi er små i forhold til resten hos IA. Fremkom her en enkeltsak som Sikt skal løfte og følge opp i etterkant (Sikt 1/25-959).
  • Spørsmål fra Sikkerhet ved Oslomet pentester mot RI. Følges opp i etterkant av Sikt direkte med OsloMet.

UiS:

  • Overveldende prosjekt for organisasjon med Workshops og mye møteaktivitet.
  • Burde brukt mer tid på å skape forståelse for hvor viktig kildesystemet er, og til å sørge for at kildesystemet er klart (rydding).​
  • Utrolig vilje til å dele erfaring og hjelp fra andre institusjoner.
  • Plan på lang sikt - Etablere gode rutiner for Governance, Revisjoner, logging, SIEM?

AHO:

  • Omorganiseringsprosess - opplever at det er mye mer effektivt med Felles IAM - grupper orgreg, testoppsettet i løsningen.
  • En bedre forståelse internt hos AHO.
  • Opprydding spesielt i SAP, mye som dukket opp. Begynner å bli bedre nå.
  • Fremover - ønsker Unit4, P360, og Alias utfordring ønskes å få løst

USN:

  • IntArk blitt veldig kritisk - vært nede et par ganger.
  • Fornøyd med støtte og profesjonalitet til innføringen.
  • Ungt produkt, men godt utviklingsdriv.
  • Tilgang på tvers i sektoren - gjort det vi kan teknisk, med GDPR. A5 lisenser brukes.

HVL:

  • Et helt annet samarbeid mellom IT, Lønn/Personal og Studadm nå enn før.​
  • Langt bedre kontroll og sporbarhet på tilgangsstyring for provisjonerte system, ikke minst for Movers/Leavers.
  • «Totalpakken-tilgangsstyring»: En større og mer sammenhengende forståelse.
  • På lang sikt - Blir deler av Feide litt redundant med IAM? Kan man tenke at man skrur på provisjonering av systemer i RI, stedet for tjenester i Feideportalen? Autentiseringen i Feide er jo uansett bytta ut med Microsoft/IDPorten.

NMBU:

  • Bratt læringskurve for alle involverte.
  • Vanskelig å gi/få opplæring før go-live.
  • Vi savner et levende forum for alle som er on-boardet, der man deler erfaringer og presenterer egenutviklede integrasjoner m.m.​
  • På lang sikt - IAM brukes for styring av tilganger i alle våre målsystemer og et verktøy der mange i organisasjonen selv finner informasjon om seg selv og andre.

Nord universitet:

  • Har opprettet tverrfaglige team.
  •  Det har roet seg med supportsaker til HelpDesk.
  • Bedre statistikk og nøkkeltall - bruken og besøkende.
  • Dokumentasjon - litt mer oppdatert.

UiB:

  • Kontroll på kildedatene, “shit in shit out - the hard way”, brukerkonti, duplikater.
  • Bestillbare rettigheter en game changer.
  • Fremover - Full sporbarhet av både endringer og hvem som har hvilke rettigheter til enhver tid.
  • Fremover - Årlig Felles IAM-brukerkonferanse?​ Et sted for utveksling av erfaringer.

HiMolde:

  • Teknisk og «kulturell» grunnmur – vi snakker samme «språk» i sektoren.​
  • Meget god prosesstyring gjennom alle faser av innføringsprosjektet.​
  • Fremover - OrgReg kommer med en ny og intuitiv GUI.
  • Fremover - Regelmessige (temabaserte) Teams-møter etablert for idemyldring og erfaringsutveksling.

Nye temaer

Sak fra UiT: MG/MUG 8-50

Orienteringssak UiT v/ Anders Ryssdal og Stig Wennevold.

Håndtering av personer fra SAP med MG (medarbeidergruppe) 8 og MUG (medarbeiderundergruppe) 50. Typisk i denne sammenheng eksterne sensorer.

Prioritet 1. SAP, 2.FS og 3.GREG

Case: Person kommer fra SAP som 8/50 med en YRK som ikke gir konto i målsystem(er)

Utfordring 1: Stille stenging av konto i målsystem

Utfordring 2: Orgsted fra SAP kobles til bruker

  • Vekting av oppføringer fra flere kildesystemer på samme person​
  • Sterk tilknytting fra FS eller GREG overstyre svak tilknytting fra SAP?​
  • Bedre filtrering av flyt basert på yrkeskode?​

Møtenotat:

  • UiT, UiB, OsloMet kjent med problemstillingen
  • HiMolde bruker kontrakter, ikke GREG, har ikke samme problem. fremmed problemstilling
  • NMBU bruker ikke SAP, men UBW.
  • NTNU 8-59 også. Bruker også GREG.

Kommentar fra arkitekt Ståle Ekelund; 8-50 er en utbredt utfordring for de fleste institusjoner, både når det gjelder policy for hva som skal gi tilgang, og hvordan det er løst, noe som er ulikt mellom institusjonene. Utfordring 2 vil vi få bedre kontroll på i G4 .10 da vi innfører engagements, så det blir enklere å skille ut ORG fra SAP og ORG fra GREG. HVL vil benytte ytterligere en ny løsning, “Sensorportalen”.

Sak fra UiB: Støtte for PAM – priviligert tilgangskontroll

Orienteringssak Sikt v/Ståle Ekelund

De med utvidet rettigheter som skal ha de, i en liten periode.

UiT redegjorde for hvordan de har dette i bruk.

Sikt følger opp dette i etterkant mot IA (IA har PAM sin roadmap, innholdet følges opp og orientering gis i neste ordinære produktrådsmøte) (Sikt 2/25-17).

Sak fra Sikt: Utrulling versus ny funksjonalitet

Orienteringssak Sikt v/Kjell J Sivertsen.

  • Utrulling har 1.prioritet, spesielt nå når Felles IAM har blitt definert som frivillig. Volum er viktig for momentet til Felles IAM og for effekten for brukere som flytter mye mellom institusjonene. ​
    En annen effekt er standardisering av arbeidsprosesser og integrasjoner mot målsystemer.​
  • Ved alle utrullinger så tar SIKT sikte på bygge en ny integrasjon mot et nytt målsystem. Pr. dato så har Felles IAM integrasjon mot 5 kildesystemer og 19 målsystemer (Det jobbes med 5 til). Io.m. at Felles IAM er skybasert vil disse integrasjonene kunne settes opp for eksisterende institusjoner (Det er ikke automatikk i dette pga. separate tenants for hver institusjon.)
  • Det pågår i tillegg et generasjonsorientert funksjonsløft i Felles IAM. Dagens løsning er G3, mens G4 som ble gjennomgått i eget punkt på agendaen, kommer i Q2/25. G4 vil gi ny funksjonalitet basert på innspill fra institusjonene som er på.  (Se også presiseringer under G4-gjennomgangen over.) (Orienteringssak Sikt v/Kjell J Sivertsen).

Gruppearbeid

  1. Hvilke av dagens forventinger er innfridd?​
  2. Har noen av dagens forventinger uteblitt?​
  3. Velg blant eventuelt utestående;​ de 2 viktigste punktene som foreslås følges opp i ettertid

Resultat etter gjennomgangen av gruppeoppgaven var at de aller fleste forventinger var innfridd.

Mange hadde oppgitt følgende;

  • Det å høre om G4,
  • Veien videre,
  • Lytte og lære,
  • Fysisk samling
  • Høre andre erfaringer

 Av utestående og viktigste å følge opp var det 3 punkter som utpekte seg og som Sikt følger opp i etterkant, det er disse;

  • Opprette kundekort – En oversikt over målsystemer og kontaktpersoner
  • Felles IAM - opprette et mer levende forum og møtested
  • Mer utfyllende teknisk dokumentasjon

Digitalt møte torsdag 17. oktober klokken 12.00–14.00 

Agenda:

  • Godkjenning av forrige møtenotat og innkalling
  • Status Felles IAM - utrulling, problemer og utfordringer av interesse for gruppen
    • Innledning ved Prosjektleder Vegar Forberg med en orientering og status om virksomhetene som nå er i prosjektperiode.
  • Kysten rundt, status HiMolde, UiT, OsloMet og UiB
    • Arkitekt Ståle Ekelund avslutter runden med en orientering om G4.
  • Oppfølging fra forrige møte
    • Administrering/håndtering av permisjoner for ansatte. Orienteringssak (OsloMet, Hall Fure).
    • Støtte for gjenkjenning ved bruk av pass. Vi har identifisert at det finnes teknikker for dette. Åpner for å kunne drøfte sted for introdusering og involvering av en slik teknikk i produktrådet. Orienteringssak (Sikt, Tove Iren Nilsen).
  • Endringssaker og -ønsker
    • Nytt API "ansatteBedriftsinterneData". Det som så langt er avdekket er at dette er noe som løses ulikt på tvers av virksomheter/institusjoner. Innspillet fra NORD er ikke noe som vil være aktuelt som en universell løsning for sektoren. Orienteringssak (Sikt ,Vegar Forberg eller Ståle Ekelund).
    • Muligens nytt verktøy for å erstatte Humio/LogAuditEvents. Det kommer til å bli valgt et nytt logg-verktøy i Sikt i løpet av 2025. Spørsmål mht. til kostnad er det som har ført til at CrowdStrike Falcon LogScale (Humio) er under evaluering. Orienteringssak (Sikt, Tove Iren Nilsen).
  • Eventuelt
    • Saker fra UiB:
      • 1. Solution in RI which has been lost in transition from on-premise to AWS... Orienteringssak (Sikt, Vegar Forberg).
      • 2. Tilgjengeliggjøre KI-generert dokumentasjon av kode og prosesser i løsningen. Orienteringssak (Sikt, Vegar Forberg).
      • 3. Tilbaketrekning av rettigheter. Orienteringssak (Sikt, Ståle Ekelund).
    • Saker fra Sikt:
      • 4. Utvide produktrådet med en ressurs. Orienteringssak (Sikt, Tove Iren Nilsen).

Godkjenning av forrige møtenotat og innkalling

Referat og innkalling godkjennes.

Status Felles IAM - utrulling, problemer og utfordringer av interesse for gruppen

Prosjektleder Vegar Forberg orienterte om og status for virksomhetene som nå er i prosjektfase. Forrige uke (Uke 41) ble Felles IAM produksjonssatt ved Universitetet i Sørøst- Norge (USN). Produktet Felles IAM nevnes å være stabilisert, og det er ikke registrert noen store utfordringer i etterkant produksjonssettingen ved USN.

Det kommer straks to til produksjonssettinger, det er Arkitekt- og designhøgskolen (AHO) som ifølge plan er neste nå Uke 44 og like etterpå Norges miljø- og biovitenskaplige universitet (NMBU) i Uke 45. Informeres i denne sammenheng AHO og NMBU innfører Wiseflow for både ansatte og studenter, noe som er vist å kunne være langt mer komplekst enn dataflyt og konfigureringen av Inspera (Obs til UiT og OsloMet).

Det pågår i tillegg forberedelser for neste virksomhets prosjektoppstart, som er Høgskulen i Volda medio november. Parallelt med dette gjenstår prosjektrelaterte oppgaver for kunne å ferdigstille implementasjon ved Samisk høgskole.

I oktober 2024 er statusen denne:

37 % av studenter samt 56 % av ansatte og gjester ved virksomheter i Norge er tilgangsstyrt via Felles IAM. Dette gjør produktet, oss bekjent, til den største IAM-løsningen i Norge pr. dagens dato.

Kysten rundt – oppsummert

HiMolde v/Steinar Melsæter:

Status:

  • Det meste funger bra, deriblant Daily Issue Report og Erfaringskanalen.
  • Campus-tilhørighet for studenter fungerer bra, men:
    • a. Noen utfordringer når studenter er aktive på flere studieretninger på forskjellige Campus.
    • b. Campusadresse oppdateres ikke iht. valg av Campus hverken for ansatte eller student.
  • Matching- prosess fungerer bra.
    • c. Forutsetning er at alle nødvendige opplysninger registreres med en gang. Det er endret på arbeidsrutinen med å ha inkludert mail-adresse.

Innspill til forbedringspotensialer: 

  • Preaktivering av brukerkonto for nye ansatte.
    • d. Får ikke hente data om stilling før tiltredelsedato er inntruffet

Spørsmålet stilles er om det ved tidligaktivering kan støttes å hensynta fremtidig data på aktuell bruker.

  • DFØ-TOA: Privat mobilnummer blir ikke hentet fra riktig felt i SAP
    • e. Det er manuelle rutiner ved HiMolde for å legge inn data på landkode
    • f. Lite oversiktlig/intuitiv grunnlag for tildeling av forretningsrolle. Noe ligger i JSON- fil noe og noe i actionsett, må inn to plasser for å se rettigheter, går greit, men er litt plunder og heft.
    • g. Bestilte rettigheter blir ikke avbestilt ved kansellering av rettigheter.
    • h. Fratredelse tilbake i tid

Refleksjoner tilknyttet videre utvikling:

  • Bruk av kontraktsdato er ikke på plass enda, planlagt å slåes på 21.10.24
    • i. Status Alma – og NVA-integrasjon
    • j. Funksjon for avstemming (Reconciliation- funksjon) mellom RI og kilde- og målsystem
Kommentarer HiMolde status:

b. Forklares nyeste Campus er den som gyldig i RI istedenfor eldste Campus skal f.eks. være Kristiansund, men kommer frem Molde.

Det bekreftes fra Sikt v/Ståle Ekelund å være en feil, kan sendes inn som en supportsak for videre oppfølging.

Kommentarer HiMolde forbedringspotensialer:

Punkt d. Svares opp av Sikt v/Ståle Ekelund. En tidligaktivering skjer by-design for nyansatte, utfordringen som beskrives oppstår når en preaktivering og endring skal skje for en tidligere ansatte. Det vil si en bruker som tidligere har hatt et ansattforhold og så kommer tilbake til institusjonen.

Oppgis av Steinar Melsæter det har skapt så mye utfordringer ved bruk av preaktivering at HiMolde har valgt å slå av denne funksjonaliteten.

Spørsmål fra UiO v/ Tobias Langhoff om det er en egen kø for disse meldingene fra SAP.

Bekreftes at det er en egen kø. Men vil muligens fremdeles kunne oppstå utfordring om det gjelder endringer flere år frem i tid.

Oppsummert bruken av «gyldigEtter»-attributten i meldinger fra SAP.

Datamodellen ble i serviceversjon Felles IAM 3.2 utvidet slik at den inkluderer meldinger fra SAP med endringer frem i tid relatert til 'ansatte' og prosesseringen av disse kjøres som en nattlig jobb på virkningsdatoen. For eksempel vil en endring som er gyldigEtter = 2024.08.31 bli behandlet den 2024.09.01, noe som sikrer at endringen har funnet sted.

Løsningen ble implementert i perioden 26. august til 28. august, og meldinger fra og med denne datoen vil bli inkludert.

MERK: virker ikke retroaktivt. Eldre meldinger fra SAP med dato på fremtidige endring på ansattforhold blir forkastet. I slike tilfeller bør man kjøre G3_RIDB_ProcessNewEmployee med employeeID som argument.

Punkt e. bruken av landkode skal være løst. Sikt følger opp om det mangler en oppdatering i produksjonsmiljøet ved HiMolde (3/24-8).

Punkt g. Det bekreftes fra Sikt v/Ståle Ekelund å være en feil, kan sendes inn som en supportsak for videre oppfølging. Det skal ryddes ved kansellering av rettigheter.

Punkt h. Behov registering av fratredelse tilbake i tid, kan f.eks. fordi det er glemt i arbeidsprosess på et tidligere tidspunkt, selv om det nå ryddes i SAP så fanges det ikke opp automatisk. Eller det kan brukere holdes aktive mens man venter på lønn i fremtiden. Deaktiveres disse for tidlig så får de ikke utbetalt lønnen.

Mulig Workaround: aktiver og deaktiver på nytt i SAP

Det kommenteres fra Sikt å kunne opprette supportsaker med case som inkludere aktuelle brukere. Det ideelle er når det neste gang er behov for registering av fratredelse bakover i tid, opprett sak og så kan vi fra Sikt side være med å se hva som skjer kodemessig.

Kommentarer HiMolde refleksjoner tilknyttet videre utvikling:

Punkt i. Sikt v/Vegar Forberg oppsummerer kort status:

ALMA: UiB har produksjonssatt løsningen for ALMA, USN og NMBU kommer etter de neste ukene. I tillegg er UiT underveis, bare å stille seg i kø for bistand fra vår side.

NVA: USN og NBMU støtte mot Cristin-integrasjon videre. Punkt j. Kommenteres av Sikt v/Ståle Ekelund at eksport av xml- filer fra vår side vil kunne være løsning her og at virksomheter selv så kunne sjekke selv mot kilde - og målsystem. Følges opp fra vår side, drøftes internt, og kan i etterkant legge ut en rutine for dette i "Erfaringskanalen" (3/24-9)

UiT v/Stig Wennevold

Status:

  • Felles IAM og tilgangsstyringen fungerer bra.
  • Utfordringer/issues er under kontroll.
  • Løsningen er kjent og det drives tilgangsstyring på virksomhetsnivå, og på den måten definert som mer enn en teknisk løsning.
  • Intern forvaltning er vel etablert, og det er bygget opp et nettverk i virksomheten. Forsøker nå å initiere et nettverk også på tvers av virksomheter, og nevner i denne sammehengen ønsket om et nasjonalt brukerforum for Felles IAM.

Innspill til forbedringspotensiale:

  • Skisse av dataflyt etterspørres.
  • Campusinnføring via RI ved UiT.
  • k. PAM ønskes å innføres ved UiT som en mulig bestillbar rettighet.

Refleksjoner tilknyttet videre utvikling:

  • Det ønskes å kunne sammenstille en liste over hva som utfordringer m.h.t. til SAP.
  • Det skulle gjerne vært en «kokebok for RI»; Tittel: Hvordan gi opplæring for en nyansatt som skal jobbe med RI/IAM. Åpnet spørsmål om en kokebok kunne vært en oppgave for et Nasjonalt brukerforum Felles IAM.
  • Det savnes veikart. Åpnet spørsmål, hvor vil sektoren og hva er visjon?
Kommentar UiT til forbedringspotensiale:

Punkt k. Innblikk når det gjelder PAM ønskes også fra Sikts side. PAM er en del av referansemodell for IAM. UiT har pågående dialog med en av utviklerne ved Sikt. Det oppgis at privilegerte brukere også muligens er interessant for andre virksomheter.

OsloMet v/Hall Fure

Status: 

  • Tilgangstyringen går bra sånn alt i alt.

Men man sliter fremdeles med opplæringen, om hvem som skal gjøre hva. Det etterstrebes fremdeles å få andre enn IT-avdelingen til å forstå IAM.

Forbedringspotensiale:

  • Alias e-poster var ikke en del av prioriterte tiltak oppsummert i rapporten etter innføring IAM. Er i ettertid kommet opp som høy prioritet pga. støy i organisasjon, med sikkerhetsmessige spørsmål som er inkludert risiko for gjenbruk av tidligere mail-adresser.
  • Håndtering av gjester er en utfordring. Det vurderes alternative løsninger som brukes av andre. Det er ønskelig å innføre mest mulig automatisering.
  • Govermance for identitet og tilgangsstyring ved OsloMet sees på. Det pågår et samarbeid med virksomhetsarkitekt og informasjonssikkerhet for å få på plass et målbilde for IAM ved OsloMet.

UiB v/ Elin-Mari Bjørndal

Status:

  • Mye fungerer bra – stort sett i havn når det gjelder opprydding som følge av overgang fra G1 til G3.​

Forbedringspotensiale:

  • l. Ønsker dokumentasjon på revoke av bestillbare rettigheter for å kunne vurdere/evaluere prosess.
  • m. Produktråd, endringsønsker, prioriteringer – hvordan tenker man at det skal fungere? Hvis RT skal være kanal for innmelding av endringsønsker, hvordan skal disse plukkes opp og evt. tas videre til produktråd?
  • n. Grupper​
    • UiB har arbeidet en del med å få manuelt administrerte grupper fra ad/entra importert til RI for å gjøre vedlikehold og administrasjon av disse gruppene mer etterrettelig.
    • Endringsbasert provisjonering/changeIterator for grupper til AD, LDAP er opplevd å kunne gå i heng ved prosessering av store grupper.​
    • Konsekvens grupper som ikke finnes i PD.  AD, LDAP brukes som kilde for gruppe – burde kunne eksistere i RI/PD.
    • Gruppemedlemskap som etterspørbar rettighet er ikke alltid hensiktsmessig – ofte mer hensiktsmessig å ha en administrator for gitt gruppe.​
    • Hvordan håndterer andre RI-institusjoner grupper og administrasjon av disse?​
Kommentar UiB til forbedringspotensiale:

Punkt l. kommenteres av Sikt v/Ståle Ekelund i overgangen fra G1 til G3 var det enighet om det alternativet som nå ligger til grunn for å identifisere en «Mover», og alle bestillbare rettigheter deaktives og må bestilles på nytt. Argument for dette var å holde ned bruken av rettigheter.

  • Om du bytter organisatorisk tilhørighet og leder, identifiseres du som «Mover»
  • Om du bytter YRK-kode, identifiseres du også som «Mover» i tråd med det alternativet man var enige om i overgangen til Felles IAM versjon 3.0

Det som er spørsmål nå, er om et hvert bytte av YRK-kode likevel ikke er ønskelig som identifikator? Skal det kunne være slik at en YRK-kode som ikke har tilknyttet noen endringslogikk ikke skal initiere bortfall av rettigheter? Bør løsningen evalueres, fordi den ikke fungerer hensiktmessig? Sikt v/ arkitekt Ståle Ekelund, lytter gjerne til hvordan  «Mover» kan treffes best mulig. Følges opp av Sikt (3/24-10).

Punkt m. kommenteres av Sikt v/Tove Iren Nilsen som henviste i Teams samarbeidskanalen «Erfaringskanalen» der er det nylig er opprettet en ny mappe under Generelt/Filer/5. Nasjonalt Brukerforum Felles IAM. Intensjon er å kunne ta i bruk mappen som et felles landingsted for dokumenter som virksomheter på tvers i sektoren ønsker drøfte. Konsekvenser på tvers kan på denne måten kunne tas opp utenom produktrådet som skjer 3 ganger i året, og uten at det skjer initiert eller regi av ressurser internt i team IAM, Sikt. Nevnes i denne sammenheng at det også er vist interesse av medlemmene i FKS-konsortiet (Universitet i Stavanger, Universitet i Sørøst Norge, Høgskulen i Volda og Høgskolen i Innlandet) å være deltagere i et Nasjonalt Brukerforum Felles IAM (3/24 -1).

Punkt n. gruppehåndtering diskuteres om RI er autoritativ m.h.t. grupper. Det vil si hvorvidt dette er dynamisk under panseret, og ad-hock grupper kommer utenom. Følges opp av Sikt, ønske om at alle grupper skal sees i RI (3/24-11)

HiMolde v/Steinar Melsæter kommenterer, de har 4600 grupper. Utfordring for dem ved å ikke ha alt i RI er at dette ikke kan utleses direkte pga. antallet og at det er en utfordring der medlemmer tilhører flere grupper.

For endringsbasert provisjonering for grupper til AD, LDAP er det opplevd ytelses issue ved prosessering når det nærme seg 30–40 tusen.

Arkitekt Ståle Ekelund avslutter runden med en orientering om G4

  • Felles IAM versjon 4.0 (G4) vil tentativt komme tredje eller fjerde kvartal 2025.
  • Følgende liste er hva som så langt er aktuelt å kunne ha med på G4:
    • En integrert 3. parts MDM- plattform
    • Hvordan håndtere meldinger fra SAP om person er død, forberedt mulig underlag
    • Inkludere organisatorisk tilhørighet mht. final solution for bruken av «gyldigEtter»-attributten i meldinger fra SAP
    • Permisjon; hva skal med her som underlag for aktivering og deaktivering
    • GrahpQL innføres for FS-meldinger; definere omfanget for hva som må være med å få med det som skal. Planlegge overgang til bruk av GrahpQL.
    • Canvas er nå en bestillbar rettighet for ansatte, skal inkludere studenter i G4
    • standardisert tilknytning til Cristin/NVA
    • Skal gå flere runder underveis før endelig innhold G4 lander.

Oppfølging fra forrige møte

Administrering/håndtering av permisjoner for ansatte, OsloMet v/Hall Fure

  • Forslaget som kom inn i april 2024 gjenstår å oppdatere, følges opp av Hall Fure. (Sikt 3/24-2).

Støtte for gjenkjenning ved bruk av pass

  • Sikt har identifisert at det finnes teknikker for slik gjenkjenning. (Sikt 3/24- 3).
    • Gjelder i denne sammenheng studenter eller ansatte uten norsk fødselsnummer eller d-nummer. Når disse personene skal aktivere brukerkontoen, enighet blant møtedeltagerne det blir for seint i prosessen å kvalitetssjekke korrekt identitet med å støtte en slik teknikk i Account Claim.
    • Team IAM følger opp denne saken videre med Samordnet opptak, (som et universelt issue). Samt ansatte som brukergruppe, også følges opp videre av team IAM.  

Endringssaker og -ønsker

Nytt API "ansatteBedriftsinterneData"

  • Det som så langt er avdekket er at dette er noe som løses ulikt på tvers av virksomheter/institusjoner. (Sikt 3/24-4).
    • Innspillet ikke noe som vil være aktuelt som en universell løsning for sektoren.
    • Debatt ført i Erfaringskanalen. 
    • o. Hvor hentes informasjon om bygning og individ?

 Muligens nytt verktøy for å erstatte Humio/LogAuditEvents

  • Bjørn Helge Kopperud Produktområdeleder for Cybersikkerhetssenteret i Sikt holder i pågående prosess å velge logge-verktøy som eventuelt skal erstatte CrowdStrike Falcon LogScale (Humio). Det skal avsluttes rundt nyttår hva som skjer videre.
  • Betalingsevnene i sektoren ikke villig til å betale prisveksten for Humio (Sikt 3/24-5).
  • Pågår også forhandling med Identity Automation (IA) om å kunne beholde data lengre. Noe som så eventuelt vil kunne inkludere back-up løsning for eldre data (tentativt 3. kvartal 2025, når Humio utgår)
  • p. I dag viewene;
    • nnn_no-iam-audit
      nnn_no-iam-actionset-logs
      nn_no-iam-connect-errors
      som virksomheter i produksjon har tilganger til i Humio.

Kommentarer til endringssaker og -ønsker:

Punkt o. Informasjonene kan legges inn i SAP, men er et fritekst-felt i SAP. UiB har kun adresse ikke bygning og kontor. HiMolde er veldig fornøyd med sin løsning, og Nord er tipset om å ta kontakt med HiMolde direkte.

Punkt p. Kommentar fra UiO v/Tobias Langhoff; BOTT har en prosess som gjelder sende logger til annen løsning. UiT med representant replikk; de er ikke med på den prosessen m.h.t logger selv om de er en del av BOTT-samarbeidet (samarbeid mellom Bergen, Oslo, Tromsø og Trondheim om felles, standardiserte administrative og tekniske tjenester og prosesser).

Eventuelt

Saker fra UiB;

  • 1. "Solution in RI which has been lost in transition from on-premise to AWS...."
    • Dersom hendelse er mer enn 14 dager gammel, og loggen fra actionset ikke lenger finnes i log. Kan det benyttes funksjonalitet med søk i Humio på Audit og Error logs basert UHID.
      (3/24-6, Orienteringssak Sikt v/Vegar Forberg).
  • 2. KI-generert dokumentasjon av kode og prosesser i løsningen
    • Strategi mht. utbedring av dokumentasjon
    • Prosess avslutte studentkonto og prosess og logikk mht. til aktuell forretningsrolle. UiB ønsker logikken trukket ut av koden.
    • Aktuelle use-case
      (3/24-12, Orienteringssak Sikt v/Vegar Forberg).
  • 3. Tilbaketrekning av rettigheter
    • Enhver endring av yrkeskode på gitt stilling i dfø SAP fører til tilbaketrekking av etterspørbare rettigheter for innehaver av stillingen
    • I tillegg blir etterspørbare rettigheter også bli tilbaketrukket som følge av endring på org.enhet og leder for gitt person.
      (3/24-14, Orienteringssak Sikt v/Ståle Ekelund)

 Sak fra Sikt:

  • 4. Utvide Produktrådet med en ressurs
    • Høsten 2022 ble «Arbeidsgruppen IAM» etablert, denne har i år byttet navn til «Produktråd Felles IAM».
    • Som arbeidsgruppe var det fem medlemmer fra sektoren, i tillegg til Sikt. Vi ønsker nå å utvide og tilby NTNU på linje som UiO muligheten til å bli med som det sjuende medlemmet fra sektoren i «Produktråd Felles IAM». Hvor UiO og NTNU er med som observatører og med mulighet til å kommentere under møtene. Som observatører i denne sammenheng innebærer det at man ikke melde sak inn på agenda.
    • Det kommer ingen motargumenter på en utvidelse av Felles IAM Produktråd, og NTNU kommer til å bli invitert med til neste møte.
      (Beslutningssak Sikt v/Vegar Forberg)

Oppsummert kommentarer eventuelt

Punkt 1 og 2, Vegar Forberg orienterte;

Strategi ift dokumentasjon:

  • Sørge for at institusjonene er i stand til å håndtere de use-case som oppstår ifm ansvaret som 1. og 2. linje lokalt og for utvikling av integrasjoner mot målsystemer:
    • Rutiner ift håndtere innslag i «Daily Issue Report» (merging, endring av brukernavn, oppslag i logger, etc)
    • Oversikt over hvilke «Tools» som skal benyttes i gitte situasjoner
    • Portal LDAP attributtliste – for nye integrasjoner
    • Dokumentasjon av prosessflyt kilde til målsystem
    • Standard manualer og dokumentasjon hos se https://help.rapididentity.com/

Det vises frem for produktrådet deler av resultatet fra sommerstudenter oppgave i team IAM.

  • Dette inkluderer dokumentasjon av prosessflyt fra kilde- til målsystem.
  • Mest interessant antas å være et grafisk verktøy som genererer avhengighetsgrafer, organisasjonskart, og tidslinjegrafer for batch-jobber som kjøres i RI.
  • Underlaget har team IAM, men det har ikke vært kapasitet til å kunne gjøre dette tilgjengelig for virksomheter.
  • Prosess avslutte studentkonto og logikk mht. til aktuell forretningsrolle er eksempler på use-case som vi kan følge opp i team IAM. Spesifikke prosesser kan utviklere dokumentere og i ettertid tilgjengeliggjøre f.eks. i Erfaringskanalen. Det er vanskelig kunne følge alle mulige eksakte prosesser. Meld gjerne inn aktuelle use-case. 

Punkt 3, Ståle Ekelund orienterer;

Tatt opp tidligere i dagens møte, mht. nåværende design for G3 og enigheten om beslutningen ved overgang fra G1 til G3. Nå ved endringsønske pga. plunder og heft kan løsningen bli å gjøre det konfigurbart å hensynta YRK-kode når det gjelder «Mover».

Digitalt møte torsdag 13. juni klokken 12.00–14.00.

Agenda

  • Godkjenning av referat og innkalling
  • Status Felles IAM – utrulling, problemer og utfordringer av interesse for gruppen
    • Innledning av ved prosjektleder Vegar Forberg med en orientering og status om virksomhetene som nå er i prosjektperiode.
  • Kysten rundt: status HiMolde, UiT, OsloMet og UiB
    • Hva fungerer bra og hva kan forbedres?
  • Produktområdeleder Kjell Johan Sivertsen avslutter runden.
    • Hvordan skiller vi på endringsønsker som vi utfører kostnadsfritt og hva skal være fakturerbart? Beslutningssak v/Kjell Johan Sivertsen.
    • Hvordan bør vi koordinere Felles IAM og UH-sak slik at vi får mest mulig synergier? Orienteringssak og fremlegg v/Kjell Johan Sivertsen og arkitekt Ståle Ekelund.
  • Oppfølging fra forrige møte
    • Christin flyttes over til NVA.
    • Administrering/håndtering av permisjoner for ansatte .
    • Skal utenlandske statsborgere identifisere seg med pass?
  • Endringssaker og -ønsker
  • Eventuelt

Godkjenning av referat og innkalling

Referat og innkalling godkjennes.

Frafall ved møte av ressurser fra Høgskolen i Innlandet og Universitet i Oslo, møte gjennomføres da det er nok representanter til å kunne utføre avstemninger.

Status Felles IAM – utrulling, problemer og utfordringer av interesse for gruppen

Som innledning startet arkitekt Ståle Ekelund med en orientering om utrullingsløpet for Felles IAM for alle UH21, inkludert opsjon for UH39 og institutter o.l. under Kunnskapsdepartementet (KD).

Det pågår nå forberedelser for implementasjon ved Arkitektur- og designhøgskolen i Oslo (AHO), Samisk høgskole, Norges miljø- og biovitenskapelige universitet (NMBU) samt Universitet i Sørøst-Norge (USN). I tillegg til disse er både Høgskulen på Vestlandet og Høgskulen i Volda i ferd med å vurdere forsert prosjektoppstarten til 2024. 

Produktområdeleder Kjell J. Sivertsen informerte så om en feil som er avdekket i forbindelse med meldingsloggingen til Falcon LogScale (Humio). Det ble oppdaget at meldinger som inneholdt passord og UHID (persistent personidentifikator) ble logget til Falcon LogScale. For IAM systembrukere med admin. rettigheter kunne disse passordene sees.  Denne muligheten gjaldt kun betrodde medarbeider, og kan muligens ha utgjort en risiko. Med bruken av 2-faktorløsning i forbindelse med pålogging er det ikke kurant å kunne utnytte dette til et sikkerhetsbrudd.  Loggene (det er separate logger for hver institusjon) ble straks stengt og problemet korrigert, i tillegg er gamle logger blitt filtrert for de relevante meldingene.

Kysten rundt – oppsummert

HiMolde v/Steinar Melsæter

Status:

  • G3 er plass, og med den etterlengtet funksjonalitet. Det meste fungerer bra, deriblant bruken av Daily Issue Report.
  • Det nevnes at HiMolde venter fremdeles på å få tatt i bruk Campus-funksjonaliteten.
  • Teams-kanalen; Erfaringskanalen fungerer veldig bra. Fungerer flott for virksomhetene for å kunne kommunisere på tvers.

Innspill til forbedringspotensiale:

  • a. Når det gjelder mobilnummer DFØ-TOA, spørsmål om privat mobil nr. som nå ikke hentes fra riktig felt i SAP
  • b. Mobilnummer og ansattnummer blir p.t. ikke overført til FS ved provisjonering av ekstern sensor
  • c. Det ønskes en mer intuitiv oversikt/GUI som viser forretningsroller og dets innhold
  • d. Samt ønske om mer synlighet om aktuell tilgang i aktuelt målsystem
  • e. Per nå finnes det bestilte rettigheter som ikke blir avbestilt ved kansellering av rettigheter
  • f. Det foreslås å rydde i de manuelle workflowene

Refleksjoner tilknyttet videre utvikling:

  • Være mer bevisst på at Felles IAM skal være en standardløsning, unngå «skreddersøm» og kodetilpassing for hver enkelt virksomhet!
  • Det er utfordringer med å avslutte tilganger i RI tilbake i tid
  • Det settes spørsmåltegn ved sårbarheten til Gravitee og RabbitMQ
Kommentarer HiMolde forbedringspotensiale, Sikt v/Ståle Ekelund:

Punkt a og b. Felter for hvor mobilnummer hentes fra saker som ligger i backlogg, og er planlagt å ta tak i på neste sprint. Det å planlegges å støtte bruken av ansattnummer.

Når det gjelder punkt c så ser vi det også fra vår side at det er hensiktsmessig å kunne ha et GUI/arbeidsflate i forbindelse med tildelingen av forretningsroller. Vi har notert det opp på Sikts agenda å ta opp dette med IA.

Kommentarer HiMolde forbedringspotensiale, Sikt v/Kjell J. Sivertsen:

Ser også samme sårbart med hensyn til Gravitee og RabbitMQ, og drøfter dette med IntArk-miljøet.

UiT v/Johnny S. Hansen

Status:

  • Overordnet godt fornøyd.
  • Felles IAM har forbedret involvering og forankring av tilgangsstyring med andre deler av virksomheten (Lønn/studie spesielt).​
  • Lokal forvaltning har vært i drift en periode.  En fallgruve er at fokus kan bli mye teknisk (f.eks. IT- og lønnsteknisk) og for lite policy/HR og lederinvolvering. 
  • Felles IAM har medført færre problemer for brukerne.
  • Det er et bredere miljø som forvalter IAM, mot tidligere 1-2 personer. Og det er lettere å involvere flere brukergrupper til «sin» del av tilgangsstyringen.
  • Alma integrasjon: Testing utført. Vurderer noe rydding/avklaringer først.​
  • Bestillbare rettigheter: En i produksjon, og to nær produksjonssetting.​
  • Innsynstjeneste etablert: Målgruppe er helpdesk, lønn, studie og verter i GREG.
  • Campus-tilhørighet: UiT avventer å ta inn Campus for studenter.​

Refleksjoner tilknyttet videre utvikling:

  • g. Kompleks kodebase, mangel på kodemønstre og helhet.​
  • h. Dokumentasjon, en oversikt over scripts/actionsets og deres sammenhenger viktig for lokal debugging.​
  • i. Begrenset datamodell (portal)​
  • j. Account claim for bruker med mobilnummer i land hvor sms er sperret (Kina, Iran, Russland). Er det kjent tema?​
  • k. Uklart hvordan lokal utvikling synkroniseres i et felles regime.
    • Utviklerskole, felles regler etc?
Kommentarer UiT Refleksjoner tilknyttet videre utvikling, Sikt v/Kjell J. Sivertsen:

Punkt j, ved bruk av Account Claim er det et kjent tema at i «Blacklistede» land (Kina, Iran og Russland) fungerer ikke SMS. Det nevnes at UiB har en løsning der aktuelle brukere fra disse landene må fysisk møte opp ved lokal Helpdesk i Norge for å få aktivert brukerkonto.

Angående punkt k, "Utviklerskole", er dette et positivt og relevant forslag. I år har Team IAM to sommerstudenter. Informasjon om hva sommerstudentene har på deres «to-do-liste» vil bli delt etter hvert som det blir tilgjengelig, i Ukenytt.

Både en utviklerskole og standardisering kan potensielt lette en del arbeid i fremtiden. Dette kan også bidra til å realisere gevinster i tråd med de strategiske målene for innføringen av Felles IAM, når det gjelder "Sikkerhet & Compliance" samt "Rasjonalisering av forvaltning".

Kommentarer UiT Refleksjoner tilknyttet videre utvikling, Sikt v/Ståle Eklund:

Støtte for bruken av Campus er i test ved HiMolde, samme er oversendt til UiT. Status p.t. er at studieavdelingen ved UiT jobber med QA-lesningen på bruken av Campus.

UiB v/Elin-M. Bjørndal

Kjenner seg igjen i hva de andre har nevnt forut.

Mye er veldig bra ved bruken av Felles IAM, men i de tilfeller hvor det skjer feil så skaper det utfordringer. I den sammenheng så nevnes det at ressurser ved UiB opplever at de har et godt samarbeidet med utviklerne i Sikt. Men det savnes dokumentasjon med hensyn til actionsetts innhold.

Innspill forbedringspotensiale:

  • l. Bedre regime rundt dokumentering av levering av kodeendringer.
  • m. Logging; Ved UiB G1 fikk man ut tidligere meldinger, opplever at logging i G3 er blitt mer vanskelig. Det ønskes å få automatisk varsling når feil blir loggført. Samt det å få varsel når meldinger ikke går, og ikke kommer frem som forventet.

OsloMet v/Hall Fure

Føyer seg inn i rekken av hva de andre har sagt.

Utfordring kan være når det oppstår problem med hensyn til tilganger som Felles IAM ikke er årsak til, men hvor Felles IAM får uberettiget kritikk.

Forbedringspotensiale:

  • Slit at de ved OsloMet ikke har tatt i bruk GREG, p.t. brukes SAP for gjester. Vært i kontakt med UiT og vurderer ta i bruk GREG.
  • Vurderer ta i bruk bestillbare rettigheter, det har vært selve brukergrensesnittet i portalen som har gjort at OsloMet har holdt igjen. Skal ha møte med HiMolde for å høres om deres erfaringer.

Produktområdeleder Kjell J. Sivertsen avslutter Kysten rundt med å legge frem

  • n. «Felles IAM Hva er betalbare endringsønsker og hvordan løses de?» (Beslutningssak)
  • o. «Felles IAM og UH-sak Synergimuligheter?» (Orienteringssaken) presenteres i samarbeid med Ståle Eklund
Oppsummert punkt n, «Felles IAM Hva er betalbare endringsønsker og hvordan løses de?»
  1. Endringsønsker kommer enten som resultat av innspill til Produktrådet eller i forbindelse med utrulling til en ny institusjon​
  2. «Nødvendig» endringer prioriteres høyest, f.eks. UBW som er et nytt kildesystem, brukt av NMBU, må på plass selv om det foreløpig bare gjelder for NMBU.​
  3. «Mye etterspurte» endringer kommer på andre plass avhengig av kapasitet.​
  4. «Betalte endringer» blir prioritert som nummer 2 eller 3 avhengig av kapasitet.
Besluttet enstemmig:

«Produktrådet evaluerer endringsønskene, og setter en prioritering. De vil uavhengig av om det er et endringsønske som er en del av et utrullingsløpet, eller etter at løsningen er kommet i drift eller om det er ønskelig å betale for det, måtte vente på kapasitet til etter «Nødvendig» endringer/utvikling er tatt. Det vil med betaling være mulig å leie inn ekstra kapasitet (dette kan være utviklere med RapidIdentity-kompetanse hos institusjonene) til å løse oppgaver som ikke kommer opp på prioriteringslisten. Disse vil bli fakturert.» 

Oppsummert punkt o, «Felles IAM og UH-sak Synergimuligheter?»
  1. Rollefunksjon i Felles IAM: Dataene i kildesystemene bestemmer hvilke Roller en får tildelt automatisk. I tillegg kan personene tildeles og/eller be om ytterligere Roller. Rollene en person besitter avgjør hvilke målsystemer vedkommende har tilgang til eller hva vedkommende kan gjøre i dem. Både Målsystemene og Personene holdes løpende oppdatert med hvilke rettigheter som gjelder
  2. Felles IAM utleder p.t. 42 forretningsroller ut fra informasjon i Kildesystemene ved hjelp av 66 regler: Disse Rollene er stort sett like ved alle institusjoner, men hva som skal skje om du besitter en gitt Rolle kan avvike noe fra institusjon til institusjon.​
    Roller kan ytterligere presiseres med Attributter (RBAC og ABAC)
  3. UH-SAK er en løsning som har behov for at Brukerne er utstyrt med Roller som styrer deres tilganger til og rettigheter i systemet: Rollebehovet for UH-SAK er realisert ved applikasjonen ROLF (samt Palomir og RonPort)​
    Det er uklart hvor mange roller som trengs er, men tall som 800, 80 og 15-20 stykk har vært oppe.​ At en fingranulering er påkrevd og dette er krevende å holde dette oppdatert er hevet over enhver tvil, men det må unngås å duplisere informasjon som allerede finnes i de øvrige Kildesystemene.​
  4. Rollefunksjon i Felles IAM utvidet for UH-SAK: Roller for UH-SAK bør realiseres vha. informasjon som Felles IAM allerede besitter eller kan sette sammen (eksempelvis FUP). ​ De nødvendig Rollene for UH-SAK kan enkelt kompletteres i Felles IAM med bestillbare rettigheter. Med dette kan Felles IAM levere samme funksjonalitet som ROLF. 
MERK:

Felles IAMs mandat er å forestå og ha kontroll på brukerprovisjonering og tilgangsstyring av sektorens systemportefølje gjennom brukernes livssyklus.

Basert på informasjon fra Kildesystemene og tilgangsreglene ved institusjonen så opprettes, endres og slettes brukernes tilganger og kontoer. Dette gir en helhetlig oversikt over samtlige brukeres tilganger med ett system à Compliance​.

Oppfølging fra forrige møte

Cristin flytter over til NVA v/Sikt

  • I april startet en dialog mellom team IAM og team som jobber med NVA internt i Sikt.
  • Selv om en virksomhet har Felles IAM produksjonssatt er det fullt mulig at populering av brukerdata i Cristin videreføres til NVA ved å benytte seg av den importløsning for brukerdata som Cristin gjør i dag. Typisk er dette via et HMS-system, eller lønnssystem sånn som SAP. Det er en filbasert import.
    Det er en import som kan gjøres via RI istedenfor, og som det nå i vår/sommer er satt i gang utviklingsarbeid for å kunne støtte.

Administrering/håndtering av permisjoner for ansatte v/Hall Fure

  • Saken følges opp av Hall i etterkant av dette møte, når det gjelder gjennomgangen og oppdaterer dokument for sirkulasjon blant deltakerne.

Skal utenlandske statsborgere identifisere seg med pass? v/Kjell J. Sivertsen

  • Orientering om en finsk mulig løsning. Mulighet, som har en kostnad. Interesse i gruppen at følges opp videre.

Endringssaker og -ønsker

  • Ingen saker er kommet inn til dette møtet
  • Det er ikke funnet saker i Team IAMs backlogg av denne kategori

Eventuelt

  • Til institusjonene/innmelder ved henvendelse via sakssystemene sette opplevd prioritet på aktuell sak for info se Servicenivå 2 (sikt.no). Innspill fra Prosjektleder Vegar Forberg.
  • Stig Wennevold fra UiT på dagens møte, overtar videre fremover for Johnny S. Hansen.
  • De to sommerstudentene som er hos team IAM er AI-kyndige, og deres «to-do-liste» vil bli presentert på et senere tidspunkt.

Digitalt møte torsdag 11. april klokken 12.00–14.00.

Agenda

  • Godkjenning av referat og innkalling
  • Status Felles IAM – utrulling, problemer og utfordringer av interesse for gruppen
  • Endringssaker og ønsker
    • Administrering/håndtering av permisjoner for ansatte (INC0017309/OsloMet)
    • Justering av DFOPersontoRIDB_load (UiT-2311-12509/UiT)
    • Etablere varslingsrutine ved oppdatering av personobjekter i IdW (GitLab#366/Sikt)
  • Eventuelt

Godkjenning av referat og innkalling

Blitt utført navnebytte, fra «IAM Arbeidsgruppe» til «Felles IAM Produktråd» i forkant møte.

Gjennomføring av møter fremover fortsetter tilnærmet likt de 4 tidligere møtene i «IAM Arbeidsgruppe». Nytt er utvidelse av deltagere i produktrådet med representant fra UiO, Tobias Langhoff var med på vegne av UiO ved førstegangs deltagelse.

Vedlegg til agenda ble distribuert seint, ved neste møte settes frist for eventuell utarbeidelse av underlag. Dette for at vedlegg skal kunne videreformidles tidligere i forkant møte.

Status Felles IAM – utrulling, problemer og utfordringer av interesse for gruppen

Som innledning startet produktområdeleder Kjell Johan Sivertsen med en orientering om utrullingsløpet for Felles IAM for alle UH21, inkludert opsjon for UH39 og institutter o.l. under Kunnskapsdepartementet (KD).

Beslutning om å etablere et felles system for tilgangsstyring (IAM) ble fattet av Digitaliseringsstyret januar 2019. Innen 2027 er målet at alle institusjoner underlagt KD skal ha fått innført Felles IAM, i regi av Sikt.

I mars i år ble Felles IAM produksjonssatt ved virksomhet nummer 6, Meteorologisk institutt (Met). Sikt leverer tjenester til Met selv om Met ikke lengre er underlagt KD.
Pågående prosjektfaser ved Arkitektur- og designhøgskolen i Oslo (AHO), Samisk høgskole samt Norges miljø- og biovitenskapelige universitet (NMBU). I tillegg er Universitet i Sørøst-Norge (USN) nært oppstart, kommer mest sannsynlig i gang med prosjektet i slutten av mai.

Felles IAM er per dagsdato rullet ut som skytjeneste hos Universitetet i Bergen (UiB), OsloMet, Høgskolen i Molde (HiMolde), Universitet i Tromsø (UiT), Nord universitet (NORD) og Meteorologisk institutt (Met). Hvor det totalt er 133 500 roller fordelt på ansatte, studenter og gjester. Det er 122 000 personer registrerte, som vil si noen personer har flere roller. Tallene tilsier 30 % av dagens studenter får tilgangsstyringen utført via Felles IAM. Vanskeligere å oppgi konkret tall på ansatte på grunn av deltidsstillinger.

Prosjektleder for Felles IAM, Vegar Forberg informerte så om pågående aktiviteter på tvers av de virksomheter som nå er i prosjektfase, Samisk høgskole, AHO og NMBU. Nevnt alle 3 virksomheter bruker Wiseflow istedenfor Inspera, og det jobbes parallelt med å få opp dette. Tidligere i utrullingen har en og en virksomhet blitt jobbet med, forsøker nå å kjøre parallelt for å få opp utrullingshastigheten.

Kysten rundt – oppsummert

HiMolde v/Steinar Melsæter

I februar ble Felles IAM oppgradert til G3 ved HiMolde. Visningstittel i SAP som tittel (G3-10) fungerer meget bra. Tatt i bruk Preferred Name, ikke som en bestillbare rettigheter gjøres manuelt, fungerer fint.

Fremover:

  • Ta i bruk kontraktsperioder.
  • Mangler Alma-installasjon, venter i spenning på å få ta det i bruk.
  • Campus informasjon er tenkt å bli hentet fra individ istedenfor studierett, nærmer seg og har tro på det vil bli bra. Mulig utfordring som fremdeles vil kunne gjenstå er for student på ulike Campus samtidig. Der det er flere Campus støtter ikke denne løsningen at informasjon kan hentes fra individ med automatisk oppdatering, da vil det måtte gjøres manuelle justeringer i FS.

UiT v/Johnny S. Hansen

Høsten 2023 oppgradert fra G2 til G3 ved UiT. Vært mye arbeid med hensyn til oppfølging av saker for UiT internt i etterkant. Har benyttet en arkitekt til oppfølgingen av etterarbeidet, gjennomført 2 møter per uke. Nå i april redusert til 1 møte i uken på grunn av redusert behov. Det er registrert en nedgang på om lag 40 % av supportsaker ved UiT 1. Linje ved bruk av Felles IAM sammenliknet med bruken av Cerebrum.

Innføringen av Felles IAM har hatt en tydelig effekt. Det har vært en øvelse internt ved UiT for flere aktører. Det har vært fokus på kvalitet av data, ikke som et avgrenset IT-problem men som en felles utfordring. UiT Tilgang har vært et vellykket prosjekt, og omtalt som det helt til topps i UiTs-ledergruppe.

Fremover:

  • Tidligere var løsningen for oppsettet av ledere i SAP en utfordringer for hvordan gjennomføre godkjenning av bestillbare rettigheter i RI. Nå kommer bruk av Deputy's til å fikse dette, to er arbeidsflyter etablert, gjenstår å teste før produksjonssetting.
  • Det jobbes på tvers med jevnlige møter, ressursgrupper og sparringsgrupper med hensyn til fakulteter.
  • Jobbes med kvalitetssikring ved innleggelse av data for å forebygge doble kontoer når gjester skal legges inn. HR også involvert for å sjekke når ny ansatt skal registreres. Rutine som eventuelt kan deles på tvers av virksomheter.

OsloMet v/Hall Fure

Har nå hatt Felles IAM cirka 1 år. Det har vært mye feilretting på personfeil, og lite fokus på utvikling i denne perioden. OsloMet har ikke tatt i bruk bestillbare rettigheter.

Det har vært en utfordring å endre på arbeidsprosess ved registeringer i forkant der det tidligere har vært greit og registrert i etterkant timelærere, gjesteforelesere og honorarermottakere.

Ved eventuell støy i organisasjon er det en risiko for at det går raskt, høyt. Men alt i alt, godt fornøyd.

Fremover:

  • Har tverrfaglige team som består av ressurser som representerer SAP, FS, HR og IT-avdelingen. Dette gjør at saker løses greit.

UiB v/Elin-M. Bjørndal

Oppgradering fra G1 (On Premise) til G3 (Web) har vært en kjempejobb, nesten like stor jobb som ved Go-live G1. Begynner å roe seg nå, for de fleste fungerer det nå veldig bra. Men for de det ikke fungerer omfattende jobb å rydde i doble kontoer. UiB har forvaltningsteam bestående av operativ IT, økonomi, studieavdeling. Gjennomført to møter i uken med stoff nok "for en hel kongress" vært nødvendig med den frekvensen, fra nå ett møte i uken.

Fremover:

  • Alma integrasjon er også noe som skal til UiB.
  • Arbeidsflyter og bestillbare rettigheter jobbes med, nå kan f.eks. brukere spørre om adminrettigheter på egen pc. Fungerer veldig bra.

Sikt v/Vegard Forberg

Informerer om at nå er alle virksomheter i produksjon oppe på den samme versjonen av Felles IAM. Dette gjør endringer og feilsøk mye enklere. Foreløpig ikke planlagt G4, men betyr ikke at det ikke kommer endringer. Ny hovedversjon vil eventuelt komme ved overgang til GraphQL og kutt av andre API-er.

Endringssaker og ønsker

Administrering/håndtering av permisjoner for ansatte (OsloMet)

Bakgrunn

«IAM (RI) skal gi automatiske tilganger til våre ansatte når tjenestelig behov tilsier det, og trekke tilbake tilganger når behovet ikke lenger er til stede. Dette gjøres normalt gjennom start- og sluttdato. Ansatte som er ute i permisjon har status som aktiv i SAP når de er ute i permisjon, og vil derfor bli stående som aktive i RI. Hvis de skal settes inaktive i SAP, må det kjøres avsluttende saksgang på vedkommende, de gis en sluttdato og det kjøres sluttoppgjør på vedkommende. Dette blir feil i henhold til status da de blir avsluttet fra arbeidsgivers side.

I tillegg kan det være at noen kategorier kan ha behov for tilganger mens de er ute i permisjon. Dette kan være for eksempel sykepermisjon eller rettighetspermisjoner så som fødselspermisjon. Permisjon for å prøve ut ny stilling er derimot permisjoner der tilganger må avsluttes fra permisjonens start.» (Sitat/utklipp fra vedlegg i innkallelsen).

OsloMet v/Hall Fure redegjorde for endringsforslaget. Kort oppsummert – det nevnes permisjonskoder og å ta hensyn til at det er rettigheter tilknyttet permisjonen som revokes. Permisjon knyttet til ansattforhold og ikke stilling.
UiT jobber internt med samme sak. Arkitekt Ståle Ekelund foreslår en felles nedgang i dybden på dette.

Fremover:

  • Hall Fure tar en gjennomgang og oppdaterer dokument for sirkulasjon blant deltakerne.

Justering av DFOPersontoRIDB_load (UiT)

Intro av Johnny hva saken gjelder, beholde tilgang som student, samtidig som utestengt som ansatt.

Det drøftes at dette er noe som i dag kan fikses manuelt, og per nå ikke planlagt å støttes med bruk av kode.

Ønske om hjelp til en enklere rutine for en mulig utestengelse ved egen institusjon utenom kontortiden til team IAM.

UiO v/Tobias Langhoff: Det er funksjonalitet for karantene i Cerebrum, kan på denne måten blokkere tilgang, men noe som ikke fjerne, fjerne brukeren.

Etablere varslingsrutine ved oppdatering av personobjekter i IdW (Sikt)

Gjøres en endring i IDW på brukernavn vil man måtte kjøre DbToIdentityStore med et flagg som forteller at brukernavnet skal oppdateres. Dette for å sikre at ikke brukernavn ikke blir satt uten at noen har eksplisitt gjort det for institusjonen.

Endring av brukernavn vises nå i Daily Rapport, det vil si det varsles om man kjører DbToIdentityStore og man har et brukernavn-endring som ikke blir effektuert.

Eventuelt

Høgskolen i Innlandet

Automatisk løsning for permisjoner vil kunne være bra, noe som kan være vanskelig internt å bli enige om hvordan skal utføres. Har nok vært et ønske 20-25 år, så rutine for dette vil vært lurt å ha (på tvers av virksomheter).

Universitetet i Oslo

Ønske fra UiO samme som Innlandet å kunne være med på diskusjon på tvers av virksomheter. Problemer med doble kontoer har vært diskutert på tidligere møter, og UiO ser gjerne å kunne ha mer av det.

Høgskolen i Molde

Spør om vi i Sikt har gjort oss noen interne tanker om at Christin flyttes over til NVA. Følges opp av Sikt.

Sikt

Tips: benytt gjerne teams kanalen «Erfaringskanalen» som en samhandlingskanal.

En mulig forbedring av Felles IAM er å innføre støtte for gjenkjenning av pass. Dette er teknisk mulig. Støttes i møte av både OsloMet og Innlandet. Og det nevnes av Innlandet også ønskelig for annet enn utenlandske studenter, f. eks. når bilde skal lastes opp for id-kort.