pptx - Lunds universitet

Report
IAM
NETINFO 2012-11-29
Verktygsstöd
Rollhantering
• Användare
• IT-tjänster
• Behörigheter
• Målgrupper
Stödprocesser
• Rutinbeskrivningar
• Arbetsflöde
Information
• Person
• Organisation
IAM- Identity & Access Management
Identitetshantering (Identity Management) är ett begrepp som används för att
beskriva hur man hanterar digitala identiteter i organisationens olika IT-system.
Området omnämns vanligen även tillsammans med behörighetshantering (Access
Management) som är begrepp för hur digitala identiteter används för att ge
åtkomst till olika IT-relaterade tjänster. Något som kan vara alltifrån ett IT-system
till en lokal via sitt passerkort.
Tidsplan
IAM 2012-01 – 2013-12
Förberda
projektet
Jan
FAS 1 Verksamhetsbehov
Maj
FAS 2 Teknisk lösning och införande
Jan-13
Dec-13
Ett av våra mål i Fas 1…
En kravspecifikation med funktionella respektive icke-funktionella
krav som ska ligga till grund för en upphandling av en teknisk
miljö för Bas-IT-tjänst LU-konto
Genomförda aktiviteter
– Workshop Maj-September 2012 (ca 120 personer har deltagit)
- Workshop 1 och 2 Katalogansvariga
- Workshop 3 Inriktning studentkonto
- Workshop 4 och 5 Tekniker
- Workshop 6 Inriktning anställdkonto + övriga konto
- Workshop 7 SamIT
- Workshop 8 Operativa ledningsgruppen
- Workshop 9 LU-kortet
- Workshop 10 Teknik, med hänsyn till befintlig infrastruktur
- Workshop 11 Organisation
-
Verifiering med nyckelpersoner utanför gruppen
-
Kategorier
-
Arbetsflöden
-
-
Nuläge och Målläge
Källssystem
Projektstatus
En del av som kommit fram ur Workshop
Kvalitetssäkring av information, undvika inmatning i flera system
Rapporter för tilldelade behörigheter
Stöd för tilldelning, förändring samt avslut av behörigheter för anställda/studenter genom
delvis automatiserade processer
Uppbyggnad och stöd för ett unikt ID som ej är beroende av ett svenska personnummer
Händelsestyrd identitetslösning för snabbare ledtider
Samordnad hantering av titel från Primula med möjlighet att addera på ett fritextfält
gärna med engelsk översättning
Stöd för tilldelning, förändring samt avslut av behörigheter för gäster
Tillhandahålla en möjlighet att skapa enklare konton för tex gästföreläsare delegerat ut i
verksamhet för att slippa ett beroende till katalogansvariga.
Möjligt att registrera flera olika kategorier, idag finns bara anställd/Student/Temp user
Kategorier
Arbetsflöden är framtagna för följande kategorier
• Anställd
Timanställd
Stipendiat
Långvarig Gäst
• Emeriti
Tidigare anställd
Student
Doktorand
• Alumni
Biblioteksbesökare Besökare
Arbetsflöden
Gemensamma Arbetsflöden, med tydliga arbetsmoment och
systemkopplingar dokumenterade, ska kunna möjliggöra
automatisering och effektivisering
Anställd börjar
Källsystem
Källsystem är det system som lagrar den per definition korrekta
versionen av den aktuella informationen. All ändring av felaktigheter
kring informationen skall alltid ske i respektive källsystem. System kan
distribuera vidare utökad information och anses då vara nytt källsystem
för den totala informationsmängden men ej för den fristående
ursprungliga informationen. System bör endast i undantagsfall distribuera
vidare modifierad information som härstammar ifrån ett annat källsystem
men får i detta fall betraktas som källsystem för informationen.
Källsystem
• Primula
• LADOK
• Orfi
• Stipendiesystem (nyutvecklat)
• Nettools
Pågående aktiviteter.
• Systeminventering LDC/LU (tekniska krav)
• Förankrar kravspec i styrgrupp
• Återkoppling och presentation av kravspec till
referensgrupper.
• Färdigställa och besluta om kravspec inför upphandling.
IAM
Verktygsstöd
Rollhantering
• Användare
• IT-tjänster
• Behörigheter
• Målgrupper
Stödprocesser
• Rutinbeskrivningar
• Arbetsflöde
Information
• Person
• Organisation
Bakgrund
• Det finns en katalogtjänst idag bestående av ett egenutvecklat webgränssnitt
samt en LDAP-miljö och en Active Directory-miljö som innehåller universitets
ca 6 000 anställda och ca 46 000 aktiva studenter samt externa personer med
anknytning till universitetet.
• Det finns ett tydligt verksamhetsbehov inom organisationen att komplettera och
kvalitetssäkra informationen som finns idag både för anställda och studenter samt
att etablera gemensamma processer för hantering av informationen.
• Det saknas en hantering som motsvarar verksamhetens behov av att knyta roller
till individer för att på detta per automatik tilldela individer korrekta behörigheter
baserat på vilken roll de har respektive se till att de finns med i rätt utsökningar
när man t ex vill nå användare med specifika arbetsuppgifter. Det mest belysande
exemplet är att i den befintlig tekniska lösningen kan man endast registrera tre
huvudtyper av individer, anställda, studenter och temporära identiteter.
Syfte
Projektet ska dokumentera verksamhetens kravbild för Bas-ITtjänst LU-konto och därefter implementera en teknisk infrastruktur
som tydligt stödjer denna kravbild och ger tillgång till person- och
organisationsinformation med hög kvalitet.
Sammanfattning
• Lunds universitet ska införa en ny identitetshanteringstjänst för att effektivisera och
underlätta identitets- och behörighetshantering och stödja kringliggande IT-tjänster för
anställda och studenter.
• Detta projekt ska genomföra en strukturerad behovsinventering och utifrån verksamhetens
önskemål skapa en kravspecifikation. Denna kravspecifikation tillsammans med
universitetsgemensamma rutinbeskrivningar inom området ska utgöra grunden för att införa
en teknisk infrastruktur som realiserar Bas-IT-tjänst LU-konto, dvs en utökad ersättare till
dagens Lucat.
• En utökning av den lagrade informationen för både anställda och studenter tillsammans
med införande av rutiner för att möjliggöra en högre kvalitetsnivå på den lagrade
informationen samt införandet av ett ändamålsenligt verktygsstöd ska minska behovet av
lokala katalogtjänster. Genom att ansluta fler IT-tjänster till ett gemensamt nav ska
administrationen av behörighet till IT-tjänster förenklas. Det ska bli möjligt att via rapporter
få tydligare överblick över både organisationen och enskilda individer än idag, presentera
information för riktade målgrupper och få överblick och information om vilka IT-tjänster resp
individ har tillgång till samt att aktivt bearbeta den presenterade informationen.

similar documents