Identitets- og tilgangsstyring – IAM
Identitets- og tilgangsstyring (IAM) handler om å gi studenter, forskere og ansatte riktig tilgang til IT-systemer (målsystemer), tjenester og ressurser til riktig tid, samt avslutte tilgang for brukere som ikke lenger skal ha det.
God tilgangsstyring bidrar til å realisere digitaliseringsprosjekter i kunnskapssektoren.
Ved å automatisere og sikre tilgangsstyring, unngår du de manuelle prosessene som historisk har ledet til svekket sikkerhet, lav produktivitet og potensielle brudd på lovverk og retningslinjer.
Fordeler med Felles IAM
- Alle brukere har oppdaterte og korrekte tilganger.
- Brukere kan aktivere kontoen sin selv.
- Det er enkelt for brukere å endre passord.
- Identitets- og tilgangsstyringen blir helt eller delvis automatisert.
- Institusjonene får bedre oversikt.
- Gir bedre informasjonssikkerhet og personvern.
- Sørger for bedre etterlevelse av lovverk og retningslinjer.
- Reduserer dobbeltarbeid.
- Standardiserer rollestyringen på tvers av universiteter og høgskoler.
- Sparer institusjonen for kostnader, som f.eks. lisenser som blir delt ut til feil brukere.
Hvordan fungerer Felles IAM?
Med Felles IAM får brukerne de tilgangene de trenger ved oppstart – enten de er studenter, ansatte eller gjester ved en institusjon.
Dette er basert på informasjon om brukernes tilhørighet, samt stillings- og yrkeskode, som er registrert i kildesystemene – lønnssystemet (SAP og/eller UBW) og Felles studentsystemet (FS).
Selvbetjeningsportalen til Felles IAM har en rekke muligheter. Her kan blant annet institusjonene velge om brukerne skal ha mulighet til å søke om tilganger utover det de automatisk får tildelt.
Viktig byggekloss i digitaliseringsarbeidet
For å tilrettelegge for digitalisering i kunnskapssektoren kreves det en solid grunnmur. Felles IAM er en viktig byggekloss i denne grunnmuren da den er navet i teknologilandskapet hos institusjonene.
Med Felles IAM får du en løsning for tilgangsstyring som gjør at alle tilkoblede systemer kan standardiseres og optimaliseres for kun den ene løsningen.
Kjernesystemet i Felles IAM er RapidIdentity, et tilgangsstyringverktøy som er utviklet av Identity Automation. Dette verktøyet har vi i samråd med sektoren tilpasset til den norske kunnskapssektoren.
Se dokumentasjon for Rapid Identity (ekstern lenke)I tillegg til støtteverktøy som Feide, IntArk og Sikt Account Claim (kontoaktivering), danner RapidIdentity de tekniske komponentene vi omtaler som Felles IAM.
Beslutningen om å etablere et felles system for tilgangsstyring (IAM) ble fattet av Digitaliseringsstyret, og skal innføres og driftes av Sikt. Innen 2027 er målet at alle institusjoner underlagt Kunnskapsdepartementet har fått innført Felles IAM.
Funksjoner i Felles IAM
Hva er kontoaktivering?
Kontoaktivering (Account Claim) er et eget brukergrensesnitt. Det er her du som bruker kan
- sette førstegangspassord
- bytte av passord og få hjelp ved glemt passord
- sette og endre pinkode til adgangskort
- laste opp profilbilde (gjelder bare for noen institusjoner)
Når du registreres som en nyansatt i et lønnssystem eller som ny student i Felles studentsystem, får du automatisk en brukerkonto.
Du får en e-post når brukerkontoen er opprettet, og du må selv aktivere kontoen.
Se hvordan du aktiverer en brukerkonto for brukere med norsk fødselsnummer, eller hvordan du gjør det uten ID-porten lengre ned på siden.
Slik aktiverer du en konto med norsk fødselsnummer
Du som student eller ansatt med norsk fødselsnummer, kan aktivere brukerkontoen din slik
- Du får en e-post til din private e-postkonto. Klikk på lenka "Aktivere brukerkonto".
- Første gang du logger inn må du velge "Logg inn med ID-porten".
- Gå gjennom sikkerhetserklæringen.
- Deretter må du opprette et passord.
- Når dette er utført er brukerkontoen din aktivert. Du vil få en bruker-ID til Feide, i tillegg til en ny e-postadresse, jobbmail eller studentmail.
Slik aktiverer du en konto uten bruk av ID-porten
Du som student eller ansatt uten norsk fødselsnummer, kan aktivere brukerkontoen din slik
- Du får en e-post til din private e-postkonto. Klikk på lenka "Aktivere brukerkonto".
- Første gang du logger på må du bekrefte din identitet. Dette gjøres ved at du får en e-post til din private e-postadresse, og en SMS til ditt private mobilnummer.
- Så må du gå gjennom en sikkerhetserklæring.
- Deretter må du opprette et passord.
- Når dette er utført er brukerkontoen din aktivert. Du vil få en bruker-ID til Feide, i tillegg til en ny e-postadresse, jobbmail eller studentmail.
Om regelmotoren RapidIdentity
RapidIdentity (RI) er regelmotoren i Felles IAM (Identity Access Management). RI omtales også som et Identity Governance and Administration (IGA). Et IGA skal
- tildele roller og tilganger i henhold til behov, og deaktivere disse når behovet er borte
- gi et fullstendig bilde av hvilke tilganger en bruker har og hvorfor.
Brukerroller (forretningsroller) etableres i regelmotoren basert på hva en bruker er ansatt som. For eksempel en driftstekniker, avdelingsleder, dosent, forsker eller stipendiat. Systemtilganger eller systemrettigheter må du tildele direkte i målsystemene.
Hva innebærer brukerrollen ansatt?
En ansatt kan være ansatt i fast-, midlertidig-, eller i åremålsstilling og har en arbeidsavtale. Dette kan være en heltidsstilling, deltidsstilling eller timebetalt stilling. Felles for alle er at en ansatt mottar lønn.
En arbeidstaker har en tilknytning til utdanningsinstitusjonen og skal derfor ha en brukerkonto ved institusjonen. Brukerkontoen vil bli opprettet automatisk når informasjon om personen registreres i lønnssystemet og overføres til RapidIdentity.
Permisjoner som ikke påvirker arbeidstakerens status, for eksempel sykemelding, foreldrepermisjon, velferdspermisjon eller forskningstermin, fører ikke til at brukerkontoen blir deaktivert.
Hva innebærer brukerrollen student?
En student defineres som en person med tilknytning til et studieprogram eller emne, enten gjennom en studierett, undervisningsmelding eller vurderingsmelding. Dette inkluderer også privatister.
Ulike typer studenter:
- Studieprogramstudent
- Enkeltemnestudent
- Privatist. Per i dag har privatister enten studierett som privatist eller bare vurderingsmelding. Privatistrollen må defineres nærmere med spesifikke tilganger for privatister. Tilganger til målsystemer (IT-systemer) vil variere per institusjon.
- Etter- og videreutdaningsstudenter
- Doktorgradskandidat (PhD-kandidat)
Brukerkonto for studenter tildeles likt uavhengig av hvilken type student en er. Brukerkontoens innhold og tilganger gis basert på studierett, og undervisnings- og vurderingsmeldinger.
Hva innebærer brukerrollen gjest?
Gjester blir inndelt i kategoriene kortvarig og langvarig gjest.
En langvarig gjest defineres som en ekstern som ikke får utbetaling fra institusjonen den er gjest i. Langvarige gjester kan eksempelvis være emeritus, konsulenter og gjesteforskere. Langvarige gjester følger samme prosess som ansatte med brukerkonto.
En kortvarig gjest har en tilknytning til institusjonen som kun varer i inntil 30 dager. Det kan for eksempel være en foredragsholder eller konferanse-, seminar- eller prosjektdeltaker.
Et gjestesystem kalt GREG kan integreres med RapidIdentity, og vil da fungere som et kildesystem for gjester.
Hva er selvbetjeningsportalen?
I selvbetjeningsportalen (RapidIdentity Portal) kan du som bruker utføre administrasjonsoppgaver og IAM-sakshåndtering. Tjenesten leveres via en webtjeneste.
Funksjonaliteter og applikasjoner i selvbetjeningsportalen kan dere som institusjon velge selv ut fra moduler fra RapidIdentity.
Utvidede rettigheter i selvbetjeningsportalen
Via selvbetjeningsportalen kan ansatte, langvarige gjesteforelesere og studenter søke utvidede tilganger til ulike systemer og tjenester.
Det er en leder som utfører saksbehandlingen av søknader om utvidede rettigheter.
I portalen har du oversikt over søknader som venter på godkjenning.
Når du skal behandle søknader, må du hake av for om søknaden godkjennes eller avslås.
Dokumentering i portalen gjør det sporbart hvem som har tildelt eller avslått en utvida rettighet .
Status og plan for utrulling
Dette er den foreløpige planen for utrulling av IAM.
Når | Hvem | Produksjonssatt |
2022. | Universitetet i Bergen. | Ja |
2023. | OsloMet, Høgskolen i Molde, Universitetet i Tromsø. | Ja |
Februar 2024. | Nord universitet. | Ja |
Mars 2024. | Meteorologisk institutt. | Ja |
Oktober 2024 | Universitetet i Sørøst-Norge. | Ja |
Prosjektene pågår. | Arkitektur- og designhøgskolen i Oslo, Samisk høgskole, Norges miljø- biovitenskapelige universitet. | |
Prosjektene starter 3. kvartal 2024. | Høgskulen i Volda, Høgskulen på Vestlandet. |
Produkt- og tjenestevilkår
Forutsetninger
Løsningen krever at virksomheten har Feide, IntArk og OrgReg implementert i forkant av innføringsfasen. I tillegg kreves det at virksomheten etablerer et mottaksprosjekt.
Sikt vil i tiden før innføringsperiode ta kontakt med virksomheten for koordinering og en avsjekk rundt de forutsetningene.
Teknisk beskrivelse/spesifikasjon
Sikt leverer Felles IAM som en tjeneste til Virksomheten (IAMaaS)
Løsningen er basert på produktet Rapid Identity fra Identity Automation, og det er konfigurert og modifisert basert på Virksomhetens krav til IAM-løsning (se kravdokumentasjon og løsningsbeskrivelse for funksjonell beskrivelse av løsningen). Løsningen leveres som en skytjeneste fra AWS i Stockholm.
Videreutvikling av Felles IAM vil skje som en kombinasjon av produktevolusjon ifbm. at Sikt innrullerer nye Virksomheter på løsningen, prioriterte råd og ønsker fra Arbeidsgruppen IAM og evt. spesielle ønsker som Virksomhetene tar initiativ til.
Humio benyttes som aggregator av loggfiler og bistår med å monitorere feilsituasjoner. Virksomheten vil få tilgang til alle logger samlet fra Virksomheten gjennom Humio-verktøyet. Det vil ikke under denne avtalen være anledning til å benytte Humio til andre formål enn å overvåke logger knyttet til IAM.
Med integrasjoner mot Virksomhetens kilde- og målsystemer sikrer man oppdatert informasjon og økt sikkerhet.
Les mer for ytterligere beskrivelse av tjenesten, løsningsbeskrivelse og supplerende dokumentasjon
Kundens forpliktelser
Kunden forplikter seg i den forberedende fasen av innføring av IAM til å delta med ressurser for å sikre dokumenteringsarbeid som bidrar til at innføring kan gjennomføres i henhold til tid og øvrig plan. Nærmere detaljer om dette gjennomgås i samarbeid med Virksomheten og Sikt.
Kunden forplikter seg til å gjøre seg kjent med de til enhver tid gjeldende kontaktpunkt hos Sikt for support og til å være påmeldt meldingskanaler for viktige driftsmeldinger.
Kunden er selv forpliktet til å ivareta rutiner for passord og administrativ adgang som hindrer uønsket adgang til tjenesten og lagrede data i tjenesten. Kunden er kjent med at Sikt ikke har innsyn i eller administrativ tilgang til kundens IAM-plattform.
Virksomheten er ansvarlig for å holde brukerdata oppdaterte og ha klare rutiner for oppdatering. Rutinene må inkludere fjerning av brukere som virksomheten ikke lenger ønsker å ta ansvar for.
Servicenivå
Servicenivået beskriver
- Kontaktpunkter og respons- og svartider tider ved behov for support og for å melde feil.
- Eventuell varsling ved feil og planlagt arbeid
Vedlikeholdsvindu RapidIdentity
Oppdatering og vedlikehold av Rapid Identity med tilhørende infrastruktur i AWS, utføres av Identity Automation (tredjepartsleverandør) basert på følgende:
- Planlagt vedlikeholdsvindu
- Den 1. og den 3. torsdagen hver måned
- Fra kl. 20.00 til midtnatt (fra kl 2:00 PM til 06:00 PM CST)
- Ustabilitet vil kunne oppleves på grunn av eventuell nedetid, brudd i meldingsflyten og omstart under vedlikeholdsvindu
- Oppdatering i RI-portal og oppgradering av infrastruktur er planlagte aktiviteter som kan legges til vedlikeholdsvindu
- Det vil kunne være vedlikeholdsvindu hvor ingen oppdatering eller aktiviteter utføres
- Sikt vil sikre at oppdateringer og vedlikehold utsettes til neste vedlikeholdsvindu dersom det kolliderer med utrullingsaktiviteter
- RI oppdateringspolicy
- Når en oppdatering er lansert vil RI-portaler i dev-miljøer (test) bli oppdatert først
- 2 uker etter at RI-portaler i test er oppdatert oppgraderes RI-portalene i produksjonsmiljøene
Databehandling, personvern og sikkerhet
Virksomheten har et selvstendig ansvar for å sørge for tilfredsstillende informasjonssikkerhet ved egen bruk av tjenesten. Dette følger blant annet av bestemmelsene i eForvaltningsforskriften og personopplysningsloven.
Det innebærer at virksomheten skal vurdere risikoen for brudd på sikkerheten og iverksette nødvendige sikringstiltak for å beskytte informasjonens konfidensialitet, integritet og tilgjengelighet. Vurdering og iverksetting av nødvendige sikringstiltak skal skje innenfor rammen av virksomhetens ledelsessystem for informasjonssikkerhet.
Det skal inngås en databehandleravtale før tjenesten tas i bruk. Informasjon om håndtering av sikkerhet og personvern i tjenesten finnes nærmere beskrevet i databehandleravtalen.
Sikt har gjennomført risiko- og sårbarhetsvurderinger med deltakelse fra sektoren og det er gjennomført vurdering av personvernkonsekvenser.
Vederlag, kostnader og økonomi
Tjenesten faktureres med en etableringskostnad og gjennom en årlig tjenesteavgift. Prisen beregnes ut fra antall årsverk (FTE) ved Virksomheten. Første fakturering av driftskostnaden skjer når implementeringsprosjektet starter.
Det må påregnes ekstra kostnader for integrasjoner mot kildesystem og målsystem som ikke inngår i omfang.
Sikt kan tilby rådgivningstimer i innføringsfasen. Dette vil eventuelt spesifiseres i eget avtaleverk.
Organisering og styring
Sikt eier og forvalter tjenesten, samt prosjektløpet for innføring som utføres i samspill med organisasjonen.
Sikt har et produktråd for Felles IAM. Produktrådene i Sikt er rådgivende for porteføljestyret samt Sikts produktområdeleder. Produktrådene skal kunne bidra til kontinuerlig utvikling, inklusive god måloppnåelse og realisering av gevinster.
Varighet og oppsigelse
Sikts generelle tjeneste- og leveransebetingelser er gjeldende for tjenesten.
Se Sikts generelle tjeneste- og leveransebetingelser
Der det eksisterer avtaler eller betingelser for enkelttjenester som dekker områdene i de generelle betingelsene, går avtalen for enkelttjenesten foran de generelle betingelsene.