Felles IAM 3.1 serviceversjon består av følgende ved lansering og produksjonssetting: 

Rapid Identity (RI) versjon 2023.10.0-hotfix1 (18.12.2023) og Account Claim versjon AC-13-04-23. 

Merk at når det gjelder RI, så oppgraderes denne delen av løsningen kontinuerlig og utenom våre hoved- og serviceversjoner (da dette er skybasert), og leveres av IA uavhengig av Sikts versjonering av Felles IAM. 

1. Feilrettinger og forbedringer

1.1 Connect. Prosjekt "G3_Central_Processing"

Actionsett tilknyttet last og prosessering frem til portalen​.

Endrede actionsett: 

ActionsettEndringer
RIDBProcessMasterStudentStatus Forbedret logikk for håndtering av personroller med åpne sluttdatoer. 

Forbedret logikk for å sikre at nye studenter opprettet i IdW blir markert for reprosessering. 

Utbedret hvor det i enkelte situasjoner ikke​ ble utført en forventet aktivering av fremtidig ​studierett.
RIDBProcessMasterEmployeeStatus Justert _held_from/to. 
DBToIdentityStore Det er lagt til en boolsk variabel for å bestemme om et brukernavn skal kunne endres (allow_username_change). Det anbefales sterkt å sette denne til «false» under normale omstendigheter. 

Opprettet funksjonalitet som fanger opp tre typer mulige problemer/feil som skrives til en og samme fil og som deretter blir inkludert i rapporten “daily_issue_report.html”. De tre problemene/feilene er: 
a. Forsøk på å endre brukernavn (som beskrevet i forrige punkt). 
b. "Unique constraint error” ved forsøk på lagring av record til Portal Directory. 
c. Studentvurderinger uten riktige/korrekte datoer. 

Utbedret flyt 
a. Inaktive brukere vil ikke lengre bli provisjonert dersom de ikke allerede finnes i Portal Directory. 

Andre mindre feilrettinger 
a. Utbedret at “Manager” ikke ble korrekt oppdatert når leder flyttet fra organisasjonsenhet. 
b. Utbedret at hovedstilling ikke ble skrevet til “idaoutpPersonDeptdescr” dersom ansatt har to stillinger med samme stillings-ID.
c. Utbedret at det ikke var mulig å finne acronym på foreldreenhet under visse omstendigheter. 

Nye actionsett:

ActionsettBeskrivelse
G3_RIDB_ProcessNewEmployee (employee ID) Verktøy for fullstendig reprosessering av ansatt - med “employee ID” som argument. 
G3_RIDB_ProcessNewStudent (personlopenummer) Verktøy for fullstendig reprosessering av student – med “personlopenummer” som argument. 

1.2 Connect. Prosjekt "G3_Tools"

Actionsett for diagnose, rettinger og for generering av rapporter​.

Endrede actionsett:

ActionsettEndring
G3_Report_SystemTests Actionsettet forbedrer “daily_issue_report.htmlb” til å inneholde brukere som er gjenstand for hardmatch-konflikter i IDW og problemer fra kjøring av DBToIdentityStore. 

Nye actionsett:

ActionsettBeskrivelse
G3_OrgProfiling Verktøy for å slå opp/vise informasjon relatert til en persons organisasjonsenhet eller personer relatert til en organisasjonsenhet. Kan også benyttes til å utføre reprosessering av alle brukere som tilhører nevnte organisasjonsenhet. 

Endringer i generasjon 3 (G3) av Felles IAM.

Første generasjon (G1) av tjenesten Felles IAM ble innført hos UiB i en on-premise versjon, og deretter etablert som en ren skytjeneste i AWS (G2) for OsloMet, HiMolde og UiT.

Erfaringene fra innføringsprosjektene og påfølgende driftsfase, har medført behov for endringer/ny funksjonalitet, tilpasninger og feilrettinger i tjenesten.

Disse er nå realisert i versjon Felles IAM 3.0 (G3). Felles IAM 3.0 består av: Rapid Identity versjon 2023.07.0-sikt1 og Account Claim versjon AC-13-04-23.

1. Endringer og ny funksjonalitet

Tabellen oppsummerer funksjonalitet som inngår i G3 (generasjon 3).

BeskrivelseKonfigurerbarFunksjonelt behov
SAP ToA contract dates used over position dates
where possible
Yes/NO + early activation and grace.Set appropriate end dates for 8/50 and other originating from ToA.
SAP deputy for approvals of requestable
entitlements
Yes/NoPrioritise deputy over managers as approvers.
Improvements in matching foreigners between SAP and FSNoImprove resilience in identity matching.
SCIMNoAs-is conversion from G1 to G3.
SAP personalised titleYesEmployees may set personalised title in SAP for downstream usage.
Early activation and grace period for employees
(positions and contracts) and external/guests from
GREG (positions)
YesAllow for greater flexibility between institutions.
FS studyrights prioritised as key for setting end dateYesAllow for greater flexibility between institutions.
FS roles (personroller) allowed to keep accessYesAllow for greater flexibility between institutions.
FS course attendants with revoke on
’avbruddsstatus’
Yes, early activation and grace.Allow for greater flexibility between institutions.
General code and config improvementsImprove under-the-hood resilience including reporting

2. Endring fra G2 (generasjon 2) til G3 (generasjon 3)

Listen under er ikke uttømmende, men inneholder saker som er registrert i RT.

2.1 Visningstittel i SAP som tittel

Endring: Det er utført endring i hva som overføres fra SAP til RI. I et fritekstfelt i SAP kan ansvarlig ved HR på vegne av bruker legge inn tittel, og dette overføres til RI.

(Sikt RT id 351042/ G3-10).

2.2 SendClaimAccountNotifications added useraccount@himolde.no to BCC for information and possible action

Endring: Dette er gjennomført i G3.

(Sikt RT id 355623).

2.3 Ansattkonto noen dager før og mulighet til graceperiode for ansatte i "Shared Global"

Endring: Det er nå mulig på institusjonsnivå å styre oppstart for ansattkonto (noen dager) og mulighet til graceperiode for ansattkonto. 

(OsloMet Sak#6465054301/ Sikt RT id 360348 / G3-15).

2.4 Leading zero stripped from ZIP or postal code in AD

Endring: Attributtet "idautoPersonExt11" endret til "idautoPersonWorkStreetAddress". Må hensyntas ved OsloMet ved konvertering til G3. Verdien på dette feltet er i G2 "Pilestredet 46\n167 Oslo". '\n' og hvor fjerning av 0 foran 167 blir gjort i sentralprosessering.

(Sikt RT id 355606).

3. Tilpasninger i tjenesten

3.1 Standardisering av LDAP-skjema og attributter i Portal (Global attribute list)

Følgende attributter er endret:

G2 LDAP Attribute nameG3 LDAP Attribute nameFriendly name (description)
employeeTypeidautoPersonAffiliationPrimary Affiliation
idautoPersonEmployeeTypesidautoPersonAffiliationsAffiliations
idautoPersonSystem3IDidautoPersonBadgeIDsAcccess Card Number
idautoPersonExt17idautoPersonAllAccessTermDateDeprovision date
idautoPersonExt7idautoPersonStaffStartDateEmployee start date
idautoPersonExt8idautoPersonStaffEndDateEmployee end date
idautoPersonExt14idautoPersonEnrollDateStudent start date
idautoPersonExt15idautoPersonTermDateStudent end date
idautoPersonExt4idautoPersonGraduationDateStudent extension date
idautoPersonExt3idautoPersonGenderGender
idautoPersonExt2idautoPersonManagedOrgsManager's ORG (the ORG where a user is a manager of)
idautoPersonExt1idautoPersonNationalIDNational Identity Number (NIN)
idautoPersonExt13idautoPersonActivityCodesORG-ERA tuple
idautoPersonExt16idautoPersonCourseCodesFS Subject codes
idautoPersonExt11idautoPersonWorkStreetAddressWork address tuple

3.2 Endringer i Connect

For å sikre oversikt, bedre tilgangsstyring og enklere utrulling av nye endringer er det innført flere prosjekter, som alle kan settes opp med egne tilgangsrettigheter (ACL’s).

Navngivning er også endret og påført «G3» på actionsett som har vært gjenstand for endringer i gjeldende versjon.

Prosjektstrukturen i gjeldende versjon:

ProsjektnavnBeskrivelse
MainAlle account claim actionsett og shared global properties.
G3_Central_ProcessingActionsett tilknyttet last og prosessering frem til portalen.
G3_Internal_ProcessingActionsettt for prosessering i og fra portal
G3_Local_ProcessingActionsett for provisjonering til målsystem
G3_ToolsActionsett for diagnose, rettinger og for generering av rapporter

4. Feilretting fra G2 (generasjon 2) til G3 (generasjon 3)

Listen under er ikke uttømmende, den beskriver kort feilrettinger med tilhørende saker registrert i RT.

4.1 IAM – brukere aktiv fordi de hadde FS rolle uten utløpsdato

Beskrivelse av feil: Flere brukere ble holdt aktiv fordi de hadde FS rolle uten utløpsdato. De fikk ikke system entitlements p.g.a. dette, men de ble heller ikke bli slettet.

Løsning: Via konfigurasjons kan det nå settes om FS rolle uten sluttdato, skal holdes aktiv eller settes inaktiv.

(HiMolde ID#85051/ Sikt RT id 357980/357261/ G3-12).

4.2 Excluded student (UTESTENGT) is kept as active in RI

Beskrivelse av feil: Det kunne oppstå senario der student på grunn av juks skulle utestenges av brukerkonto, men hvor RI ikke deaktivert brukerkontoen.

Løsning: Start og stoppdato på "Rolls" er endret, og det er samme flyt her. Så om en student blir utestengt p.g.a. juks så blir nå brukerkontoen deaktivert.

(Sikt RT id 357227/ G3-12 og G3-15).

4.3 Account created for Course participant on course which should not give account creation

Beskrivelse av feil: Avdekket opprettelse av brukerkonto for kursdeltaker på kurs som ikke skulle genere brukerkonto.

Løsning: Kun når ETTERUTDKURS/STATUS_KONTOTILDELING = true () blir det opprettet brukerkonto, når verdien settes = false blir det ikke aktivert brukerkonto.

(Sikt RT id 355592 /G3).

4.4 Jobtitle not populated for Emiriti


Beskrivelse av feil: Tittelen Emeritii ble ikke overført fra SAP fra RI, og dermed heller ikke oppdatert i aktuelle målsystem

Løsning: Dette er gjennomført i G3, Emeritii blir nå overført fra SAP til RI.

(Sikt RT id 355602 /G3).

5. Kjente feil fra G2 (generasjon 2) til G3 (generasjon 3)

Listen under beskriver kort kjente feil og utestående som vil gjelde for alle virksomheter.

5.1 PersonExt9 oppdateres ikke ved avsluttet studentkonto

Beskrivelse av feil: Kun kosmetisk. Studentstatus overskrives ikke ved vanlig separasjonsprosess.

(Sikt RT id 355605)

5.2 Student Campus

Beskrivelse utestående: Linke undervisningsmelding for student til aktuell Campus.

(Sikt / G3-4)

6. Saker som er løst fra G1 (generasjon 1) til G3 (generasjon 3)

Under finner du saker fra RT som løst ved overgangen fra G1 til G3 for Universitetet i Bergen.

6.1 SIKT-RI: Mange SQL deadlocks hver dag

I G1-løsningen oppsto det mange deadlocks hver dag. Noe som forårsaket forsinkelse i prosessering av meldinger.

I G3 er antall deadlocks redusert ved hjelp av forskyvning og fintuning av tidspunktene for job scheduling.

(UiB I2308-6198/ Sikt RT id 368605).

6.2 Dynamic parameters for nightly jobs collecting student data

Forbedring utført når det gjelder bruken av dynamiske parametere ved kjøringen av jobber som innhenter studenters studierettigheter samt informasjon om oppmelding til undervisning og eksamen.

(Sikt RT id 306871).

6.3 Delete exam enrollment -> immediately inactive

Problemstillingen m.h.t. til sluttdatoer er mer konfigurbart på G3. En eksamensmelding vil ikke holde en brukerkonto aktiv etter utløpt studierett. Og om en eksamensmelding tilbake i tid trekkes så inaktiveres brukerkonto umiddelbart.

(UiB I2306-3542 Sikt RT id 361416).

6.4 Teaching enrollment / student assessment spring 2022

Ved utførelse av UAT i forkant G1, et senario der bruker fikk opprettet undervisningsmelding for våren 2022, men det var ikke opprettet noe vårsemester for 2022 og aktuell bruker ble ikke gjenfunnet i RI.

I G3 er det utført endringer, og det forslås å gjennomføre samme testsenario ved UAT.

(UiB I2306-3549 / Sikt RT 361421/306838).

6.5 No change when study programme is moved to another department in FS

Alle involverte ved en organisasjonsendring må re-prosesseres, skjer ikke noe automatisk ved org endring. Det vil si brukere som blir berørt av en slik endring må reprosesseres i RI.

(UiB I2308-13458 / Sikt RT 361423/306836).

6.6 Managerid ble ikke alltid satt i MDProcessUsers for Long Term Guest

Avdekket tilfeller i G1 hvor en orgenhet hadde satt en manager i MV ( tabell orgs_load ) men ikke alltid managerid satt for long term guest.
Endret kodemessig på skyløsningen.

(UiB I2302-4224 / Sikt RT 346164).

6.7 IAM prioritering av kildedata i MDProcessUsers

Prioritering av kildedata er mer konfigurerbart i skyløsningen, kan eventuelt gjøres endring i aktuelt actionsett lokalt i tillegg.

(UiB I2301-5247 / Sikt RT 341323).

6.8 Endring av revoke-logikk

I skyløsningen er selve produktet endret for støtte endret revoke-logikk, og ikke endring i actionsettet som ble brukt for å gjennomføre revoke i G1.

(UiB I2206-7084 / Sikt RT 309194).