ݺߣ

ݺߣShare a Scribd company logo

IBM Tivoli - Enhetlig styrning av åtkomstkontroll på norska skattemyndigheten

IBM Sverige
IBM Sverige

"Skatteetaten", den norska skattemyndigheten, har under de senaste åren skapat förutsättningar för en omfattande automatisering och standardisering av åtkomstkontroll till sina system. Automatisering uppnås vid direkt koppling till myndighetetens personalsystem och genom att godkännandeprocesser fördelas ut i linjeorganisationen med hjälp av emailbaserat arbetsflöde. Denna presentation hölls vid ett seminariepass för Tivoli på IBM Software Day 2010. Talare: Knut Leirpoll och Eskild Storvik, projektledare, Skatteetaten

1 of 33
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
Identitetsforvaltning i Skatteetaten Knut Leirpoll og Eskild Storvik 13.10.2010
Hovedpunkter • Bakgrunn og hovedmål for prosjektet • Styringssystem for informasjonssikkerhet • Prinsipper og målbilde for identitetsforvaltning • Roller • Tid og leveranseplan for prosjektet • Erfaringer og utfordringer i prosjektet
Identitetsforvaltning i Skatteetaten Bakgrunn og hovedmål
Skatteetaten, oversikt over org. Finansdepartementet Skattedirektoratet Skattedirektør Skatteetatens IT- Staber og servicepartner Innovasjons- og Regionavdelingen Rettsavdelingen utviklingsavdelingen Skatt Skatt Skatt Skatte- nord vest øst opplysningen Skatt Skatt Sentralskatte- sør Sentralskatte- Oljeskatte- Midt-Norge kontoret for kontoret for kontoret utenlandssaker storbedrifter
Identitetsforvaltning i Skatteetaten • Bakgrunn: • Bestilling fra IT-direktøren, Karl Olav Wroldsen, primo 2008 • Etterlevelse av tilbakemelding til Skatteetaten fra Riksrevisjon (Auditor General of Norway) • Hva er identitetsforvaltning? • Forvaltning av tilgangsstyring for ansatte, innleid personell og eksterne brukere • Skatteetatens utfordring: • Det eksisterte tidligere flere alternativer for å søke om, og gi tilgang/autorisasjon til etatens systemer. • Et stort ”skjemavelde”, manuelt og papirbasert for å søke tilgang
Hovedmål • Identifiserte forbedringsområder: • de som skal søke om tilgang til Skatteetatens systemer • de som skal gi tilgang til Skatteetatens systemer • de som skal ha oversikt over hvem som har tilgang til de ulike systemene i Skatteetaten • forenklet revisjon og mer helhetlig kontroll • Hovedmål for prosjektet Identitetsforvaltning: • Etablere en sikker, enhetlig, brukervennlig og reviderbar løsning for autorisasjons- og tilgangsadministrasjon for interne brukere i Skatteetaten • Løsning: • Etablere sentrale felles grensesnitt med større grad av automatiserte prosesser for tilgangsstyring til etatens systemer ved bruk av tilgangsroller
Prosjektets hovedoppgaver • Roller og rolleforvaltning • Etablering av roller – globale roller, tilgangsroller og regulative roller • Etablerer rolleforvaltning – en egen stilling som rolleforvalter • Design og utvikling av Skatteetatens løsning for identitetsforvaltning • Det tekniske utviklingsløpet er basert på IBMs Tivoli Identity Manager (TIM) • Tilordne Skatteetatens systemer mot TIM • AD – ”Microsoft-systemer” Utvikling • OID – Oracleporteføljen • RACF – Stormaskinporteføljen • Produksjonssetting av leveranser Prod. • herunder forberede BS og IT/drift sett • få på plass rolleforvaltning Rollekonsept Innføring tilordning
Identitetsforvaltning i Skatteetaten Styringssystem
Identitetsforvaltning i styringssystem for informasjonssikkerhet • Ny policy for Identitetsforvaltning (beskriver hva) • Organisatoriske/politiske føringer for løsning • Ny standard for brukeridenter (beskriver hvordan) • Gjelder nye brukere (eksisterende ansatte beholder sin brukeridenter) • Brukergrupper delt i 3 kategorier: Ansatt: • Ansatt i Skatteetaten med arbeidskontrakt (fast, deltid, vikar, engasjement) Innleid: • Innleid igjennom et avrop, eller kontrakt etc. (konsulenter, leverandører) Ekstern: • Eksterne personer som har behov for tilgang (f.eks. Riksrevisjonen) • Typisk underlagt andre oppdragsavtaler enn kontrakter
Ny standard for brukeridenter a72345 p75432 Høye a administrative p tilganger m72345 k75432 Ordinære m tilganger k e87654 Ansatte e - Fast Innleide - Vikar - Konsulenter - Engasjement Eksterne - Leverandører Standard for nye personlige brukeridenter: Prefiks (1 bokstav) + tall (5 siffer) Policy: • Brukeridenten skal være unik og entydig knyttet til en person og skal kun gjenbrukes av samme person. • Et system skal ikke kunne utnytte brukeridentens struktur eller verdi (unntak IdM-verktøyet) • Brukerident skal være knyttet til arbeidsavtale (ansatt, innleid eller ekstern bruker)
Identitetsforvaltning i Skatteetaten Prinsipper og målbilde
Prinsipper for flyt av informasjon • Personalsystemet er ”master” for persondata som er nødvendig for håndtering av personal- og lønnsaktiviteter • Autorisasjons- og tilgangsadministrasjonsverktøyet (TIM) er ”master” for tilleggsdata for å foreta identitetsforvaltning • Brukeridenter • Mobiltelefonnummer (passord på SMS) • Tilgangsroller • TIM foretar automatisk datafangst fra personalsystemet daglig • Saksflyt for å kvalitetssikre persondata som er kritisk for identitetsforvaltning • Ved ansettelse og ”fravær” skal leder godkjenne før tilganger iverksettes eller fjernes. • Fratredelse av medarbeidere gjøres automatisk på bakgrunn av registrering i personalsystemet. • Når medarbeider bytter org.enhet skal både gammel og ny leder informeres om endring. • Web-grensesnitt for registrering, godkjenning, endring og sletting • Andre systemer henter relevante persondata fra TIM (f.eks Skattenett)
å Eksterne: Administrasjon Lønn og Persondata Personal- personal Org.data Ansatte: Autorisasjons- systemet Ansettelse, permisjon, fratredelse Brukerstøtte ansvarlig Personopplysn. (navn, fødselsnr, ++) Org.data (ansattnr, nærm.leder ++) Innleide: Persondata Org.data Web-GUI TIM 1-instans ID-senter - Fødselsnr/ Leder Autorisasjon LDAP-master D-nr/Fiktivt nr - Navn Tilrettelegger Web Arbeids- Tilgangs- - Ansattnr GUI flyt roller - Brukeridenter 2-instans Windows Oracle AIX Host Faginstans AD / OID / Unix / RACF Brukerident LDAP Brukerident LDAP Brukerident LDAP Brukerident Bruk SSO Autentiserings- Fagsystem Bruker Applikasjon Brukerident server Brukerident
Realisering av målbildet Eksterne: Administrasjon Lønn og Persondata Personal- personal Org.data Ansatte: Autorisasjons- systemet Ansettelse, permisjon, fratredelse Brukerstøtte ansvarlig Personopplysn. (navn, fødselsnr, ++) Org.data (ansattnr, nærm.leder ++) Innleide: Persondata Org.data Web-GUI TIM 1-instans ID-senter - Fødselsnr/ Leder Autorisasjon LDAP-master D-nr/Fiktivt nr - Navn Tilrettelegger Web Arbeids- Tilgangs- - Ansattnr GUI flyt roller - Brukeridenter 2-instans Windows Oracle AIX Host Faginstans AD / OID / Unix / RACF Brukerident LDAP Brukerident LDAP Brukerident LDAP Brukerident Bruk SSO Autentiserings- Fagsystem Bruker Applikasjon Brukerident server Brukerident
Identitetsforvaltning i Skatteetaten Rollearbeid
Rolletyper • Globale roller • Ett sett av tilgangsroller og regulative roller • Tilgangsroller • En del av et system • Regulative roller • Gjennomgående tilgang
Modell Skatteetaten basis (automatisk) SKD/ Kontroll og Innkreving Skattekrim PV og SOL Fastsetting SITS rettsanvendelse basis Folkeregister Folkeregister Svalbard LP & Næring Personregister Jurister Merverdiavgift Merverdiavgi Oppgave SKO-gruppe ft basis Arveavgift Arveavgift Oppgavekontroll Skatt person Manntall Standard Mulige tilganger Skatt Ikke valgbar upersonlige Kontroll og Innkreving Skattekrim SKD/ PV og SOL Fastsetting rettsanvendelse basis SITS
Rolle: Skatteetaten basis (alle får automatisk) Region: Alle (Intranett) (Internett aksess) (Tidsregistrering og tidfordeling) (SAP) (ePhorte)
ePhorte adapter Overgang fra Identity Management til Access Management • To sett av verdier • Standardverdier: • Utvikles som en hovedtabell hvor SAP-verdiene og ePhorte- verdiene ligger samlet. • Tilgangskoder: • Utvikles som en hovedtabell/register inneholdende aktuelle tilgangskoder med tilhørende handlingsregel
Første settet – data fra SAP Ti Organisasjonsverdi fra SAP gir ett sett av verdier i ePhorte • Ca 600 organisasjonsenheter i Skatteetaten • En til en kopling mellom verdi i SAP og settet av verdier i ePhorte
Andre settet – tilgangskoder i ePhorte
Fra globale rolle til tilgang En ny Finnes 22 mulige globale roller ansatt En global rolle: Gir tilgang til 11 systemer Basis Ett system: Kan gi tilgang til 18 Tilgangskoder ePhorte Gir automatisk 5 Som gir tilgang til saker og tilgangskoder i ePhorte dokumenter Arbeidsflyt: Nyansettelse
Identitetsforvaltning i Skatteetaten Tid og leveranseplan
Tid og leveranseplan Nivå 1: SAP integrasjon med SL-roller i TIM -TIM: - Utført datafangst fra SAP (org. data og persondata) og etablert kvalitet eksisterende data - Etablert TIM 5.0 med nødvendig infrastruktur - Deaktivert TIM 4.5 - Designet autorisasjonsløsning for SL-pilot (inkl. organisatoriske endringer) - Etablert SL-GUI for medarbeider og leder (inkl. reg. av tilrettelegger/stedfortreder) Roller: - Lastet lokale SL-roller i TIM for pilot med SL08 - Etablert OID-integrasjon med SL Nivå 1: Leder autoriserer medarbeider for SL-”pilot” jan 09 Nivå 2: Saksflyt ved ansettelse og fratredelse TIM: - Designet og etablert saksflyt med nødvendig funksjonalitet ved ansettelse og fratredelse - Etablert GUI for mellomleder for tilgangsstyring av egne ansatte - Etablert ID-senter iht. ny standard i TIM - Utarbeide oversikt over merkostnader ved prosjektet og utarbeide Roller: - Etablert basistilgang for ansatt (Skattenett, IPA, ElArk, filområde …) - Etablert lokale roller og integrert systemene DVH, SERG i TIM/OID Nivå 1 + Leder godkjenner medarbeider ved ansettelse og fratredelse. aug 09
Tid og leveranseplan Nivå 3: Saksflyt ved fravær inkl. globale roller for egnede systemer TIM: - Etablert saksflyt og nødvendig funksjonalitet ved fravær - Etablert funksjonalitet for registrering av stedfortreder - Etablert funksjonalitet for registrering og tilgangsstyring av innleid personell - Etablert funksjonalitet for tilgangsstyring for faginstans Roller: - Etablert basistilgang for innleid - Integrert og etablert lokale roller for Fonsa, AR, MVA og Stormaskin - Etablert og testet global rolle for AR, SL og SERG (tilgang på tvers av systemer) Nivå 2 + Leder og stedfortreder utfører tilgangsstyring for egnede systemer Faginstans og stedfortreder utfører tilgangstyring nov 09 Nivå 4: Identitetsforvaltning m/eksisterende tilgangsgrupper TIM: - Etablert utviklingsmiljø for TIM - Etablert funksjonalitet for saksflyt ved tilgangsroller og periodisk godkjenning - Etablert funksjonalitet for tilgangsstyring av eksternt personell - Etablert tilrettelegger og tilrettelagt funksjonalitet for autorisasjonsunderlag inkl. 2-nivå autorisasjon Roller: -Etablert og integrert rammeverk for roller i Skatteetaten -Videre innføring av tilgangsroller for systemer -Etablert forretningsprosess for rollehåndtering -Etablert prototype for global rolleliste (Skatt Sør Fastsetting) -Nivå 3 + Leder utfører full tilgangsstyring av TIM-baserte tilganger og reviderer tilgang på egne ansatte feb 10
Identitetsforvaltning i Skatteetaten Erfaringer og utfordringer
Prosjektets utfordringer • En av de første i verden på TIM med delegert selvbetjening • Egen partnerskapsavtale med IBM fra sommeren 2009 • Skaffe tilstrekkelig kompetanse inn i prosjektet • Fullstendig reorganisering av prosjektet våren 2009 • Allianse med interne kunder • Lage felles rollemodell (globale roller) • Interaksjonsekspert fra Barduun • For kontroll over typer arbeidsprosesser (arbeidsflyt) – OU-løpet • Interne ressurser • Innføring av systemer parallelt med utvikling – alle typer tekniske miljøer • Faste arenaer - møter • Alliansebygging • Uformelle arenaer
Prosjektets utfordringer • Mer krevende enn først antatt: • Ledelsesmessig • Ressursmessig • Økonomisk • Kompetansemessig • Gjennomføringsmessig • Krever høy grad av involvering og deltakelse fra hele organisasjonen • Toppledelsen • Ledere og ansatte • Brukerstøtte • Fagsiden m/ eiere av fagsystemer • HR/Lønn og personal • Sikkerhetsavdelingen • Fagforeningene • Forankring er avgjørende!
Prosjektets utfordringer • Avgrens/begrens omfanget av prosjektet • Del prosjektet opp i flere delprosjekter • Tenk arkitektur fra første dag • SSO • Føderering • Lag et målbilde • Gjør et godt og detaljert design • Velg riktig kilde for masterdata (ansatte, innleide og eksterne) • Saksflyt/arbeidsflyt • GUI • Finn et pilot-system • Det største systemet med flest brukere?
Prosjektets utfordringer • Se om det kan finnes andre prosjekter i organisasjonen som kan bidra • Sørg for å levere delleveranser som synes • Utfordr leverandører
Organisering av prosjektet Styringsgr. Bjørn Paulsen Svein Mobakken Karl Olav Wroldsen Fagforeninger Prosjektleder IdM Sverre Norberg Knut Leirpoll Eric Toverud Prosjektrådgiver Produksjonssetting Eskild Storvik Aina Schrøder Sikkerhet Utvikling TIM Testansvarlig Administrative rutiner Roller & Innføring Informasjon og kom. Trond Bechmann Lars Rennesund Lena Kleven Tor Staff Hege Harreschou Nicola Rivli Policy og standard Teknisk rolleexpert Læring & Dok. AD/TIM/SSO IT-drift Rutiner Brukerstøtte (inkl. arbeidsflyt) GUI-Utvikling IT-drift Rutiner Leder/Ansatt Brukerstøtte IBM/RACF Brukergrensesnitt SAP Utvikling Workflow SAP For regionene TIM-expert Rolleforvalter Oracle/OID via
Identitetsforvaltning i Skatteetaten Presentasjon slutt
Forvaltning av IdM fra 01.05.2010 Matriseorganisering IT-avdelingen eier IdM i Skatteetaten. Brukerstøtte i IT- avdelingen har rolleforvalter og er prosessansvarlig. Brukerstøtte IT-teknikk IT-drift Rolleforvaltning og innføring Driftsstyring og -vedlikehold Serviceledelse Teknisk forvaltning Sikkerhet og design Dokumentasjon og informasjon Test og produk- sjonssetting 1 person 3 personer 2 personer ½ årsverk 1 ¾ årsverk 1 årsverk
Ad

Recommended

IBM BC2016 - (Röda Korset) Redcross Virtual Volunteer Designing for Action
IBM BC2016 - (Röda Korset) Redcross Virtual Volunteer Designing for Action
IBM Sverige
IBM BC2016 - IBM - Släpp fri innovationskraften hos dina anställda
IBM BC2016 - IBM - Släpp fri innovationskraften hos dina anställda
IBM Sverige
Utnyttelse av kommunale it tjenester i samhandling med publikum og næringsliv...
Utnyttelse av kommunale it tjenester i samhandling med publikum og næringsliv...
ErgoGroup
En digital reform - på veien mot det digitale samfunn
En digital reform - på veien mot det digitale samfunn
Ellen Stralberg
Testdagen odin 2012
Testdagen odin 2012
Ellen Stralberg
BRREG - Frank Åseli
BRREG - Frank Åseli
Visma Consulting AS
Forenkling og framtidsretting hos skatteetaten
Forenkling og framtidsretting hos skatteetaten
Tormod Varhaugvik
Oslo Software Architecture: Skatteetatens målarkitektur og PoC
Oslo Software Architecture: Skatteetatens målarkitektur og PoC
Tormod Varhaugvik
Kinderegget; enklere, billigere og mye raskere
Kinderegget; enklere, billigere og mye raskere
Tormod Varhaugvik
Ledersamling 09.12.11 IKT strategi innspill ved Petter Kolstad
Ledersamling 09.12.11 IKT strategi innspill ved Petter Kolstad
Petter Kolstad
2012 – Strøm A - Jorun Kongerud og Stein Tore Rasmussen - Omstilling i store ...
2012 – Strøm A - Jorun Kongerud og Stein Tore Rasmussen - Omstilling i store ...
Prosjekt 2013
Profesjonalisering av IT-funksjonen
Profesjonalisering av IT-funksjonen
Girl Geek Dinners Kristiansand
Hemmeligheten bak Skatteetatens nye saksbehandlingskjerne
Hemmeligheten bak Skatteetatens nye saksbehandlingskjerne
Tormod Varhaugvik
Fornyingsminister Rigmor Aasrud - Digital Agenda Norge - NEO2012 IKT-Norge
Fornyingsminister Rigmor Aasrud - Digital Agenda Norge - NEO2012 IKT-Norge
IKT-Norge
24 mai 2012_jostein_foredrag_intralife_slideshare
24 mai 2012_jostein_foredrag_intralife_slideshare
Jostein Magnussen
Digitalisering i praksis ved statsråd Rigmor Aasrud
Digitalisering i praksis ved statsråd Rigmor Aasrud
Visma Consulting AS
Hans Christian Holte: Nasjonale føringer - Lokal praksis
Hans Christian Holte: Nasjonale føringer - Lokal praksis
Friprogsenteret
Revolusjon kamerater! Softwaredesign i "skyen"
Revolusjon kamerater! Softwaredesign i "skyen"
Tormod Varhaugvik
IAM itSMF
IAM itSMF
Ronny Robinsson-Stavem
Presentasjon more software solutions
Presentasjon more software solutions
kimkopperud
01 program og innledning
01 program og innledning
joivha
Statens legemiddelverk - direktør Gro Ramsten Wesenberg
Statens legemiddelverk - direktør Gro Ramsten Wesenberg
Visma Consulting AS
Software2013 veien til den private skya-101
Software2013 veien til den private skya-101
Steinar Ardal
Digin nor sis-tore orderløkken
Digin nor sis-tore orderløkken
Meandmine2
03 presentasjon bergen kommune dnb 150211
03 presentasjon bergen kommune dnb 150211
joivha
Digin nor sis-tore orderløkken
Digin nor sis-tore orderløkken
Digin
Har du sikret ditt samhandlingsmiljø?
Har du sikret ditt samhandlingsmiljø?
Microsoft Norge AS
Kvalitetskonferansen 2014 hvilken rolle spiller tilgang til data for kvalitet...
Kvalitetskonferansen 2014 hvilken rolle spiller tilgang til data for kvalitet...
Steinar Skagemo
Trender, inspirationer och visioner - Mikael Haglund #ibmbpsse18
Trender, inspirationer och visioner - Mikael Haglund #ibmbpsse18
IBM Sverige
AI – hur långt har vi kommit? – Oskar Malmström, IBM #ibmbpsse18
AI – hur långt har vi kommit? – Oskar Malmström, IBM #ibmbpsse18
IBM Sverige

More Related Content

Similar to IBM Tivoli - Enhetlig styrning av åtkomstkontroll på norska skattemyndigheten (20)

Kinderegget; enklere, billigere og mye raskere
Kinderegget; enklere, billigere og mye raskere
Tormod Varhaugvik
Ledersamling 09.12.11 IKT strategi innspill ved Petter Kolstad
Ledersamling 09.12.11 IKT strategi innspill ved Petter Kolstad
Petter Kolstad
2012 – Strøm A - Jorun Kongerud og Stein Tore Rasmussen - Omstilling i store ...
2012 – Strøm A - Jorun Kongerud og Stein Tore Rasmussen - Omstilling i store ...
Prosjekt 2013
Profesjonalisering av IT-funksjonen
Profesjonalisering av IT-funksjonen
Girl Geek Dinners Kristiansand
Hemmeligheten bak Skatteetatens nye saksbehandlingskjerne
Hemmeligheten bak Skatteetatens nye saksbehandlingskjerne
Tormod Varhaugvik
Fornyingsminister Rigmor Aasrud - Digital Agenda Norge - NEO2012 IKT-Norge
Fornyingsminister Rigmor Aasrud - Digital Agenda Norge - NEO2012 IKT-Norge
IKT-Norge
24 mai 2012_jostein_foredrag_intralife_slideshare
24 mai 2012_jostein_foredrag_intralife_slideshare
Jostein Magnussen
Digitalisering i praksis ved statsråd Rigmor Aasrud
Digitalisering i praksis ved statsråd Rigmor Aasrud
Visma Consulting AS
Hans Christian Holte: Nasjonale føringer - Lokal praksis
Hans Christian Holte: Nasjonale føringer - Lokal praksis
Friprogsenteret
Revolusjon kamerater! Softwaredesign i "skyen"
Revolusjon kamerater! Softwaredesign i "skyen"
Tormod Varhaugvik
IAM itSMF
IAM itSMF
Ronny Robinsson-Stavem
Presentasjon more software solutions
Presentasjon more software solutions
kimkopperud
01 program og innledning
01 program og innledning
joivha
Statens legemiddelverk - direktør Gro Ramsten Wesenberg
Statens legemiddelverk - direktør Gro Ramsten Wesenberg
Visma Consulting AS
Software2013 veien til den private skya-101
Software2013 veien til den private skya-101
Steinar Ardal
Digin nor sis-tore orderløkken
Digin nor sis-tore orderløkken
Meandmine2
03 presentasjon bergen kommune dnb 150211
03 presentasjon bergen kommune dnb 150211
joivha
Digin nor sis-tore orderløkken
Digin nor sis-tore orderløkken
Digin
Har du sikret ditt samhandlingsmiljø?
Har du sikret ditt samhandlingsmiljø?
Microsoft Norge AS
Kvalitetskonferansen 2014 hvilken rolle spiller tilgang til data for kvalitet...
Kvalitetskonferansen 2014 hvilken rolle spiller tilgang til data for kvalitet...
Steinar Skagemo
Kinderegget; enklere, billigere og mye raskere
Kinderegget; enklere, billigere og mye raskere
Tormod Varhaugvik
Ledersamling 09.12.11 IKT strategi innspill ved Petter Kolstad
Ledersamling 09.12.11 IKT strategi innspill ved Petter Kolstad
Petter Kolstad
2012 – Strøm A - Jorun Kongerud og Stein Tore Rasmussen - Omstilling i store ...
2012 – Strøm A - Jorun Kongerud og Stein Tore Rasmussen - Omstilling i store ...
Prosjekt 2013
Profesjonalisering av IT-funksjonen
Profesjonalisering av IT-funksjonen
Girl Geek Dinners Kristiansand
Hemmeligheten bak Skatteetatens nye saksbehandlingskjerne
Hemmeligheten bak Skatteetatens nye saksbehandlingskjerne
Tormod Varhaugvik
Fornyingsminister Rigmor Aasrud - Digital Agenda Norge - NEO2012 IKT-Norge
Fornyingsminister Rigmor Aasrud - Digital Agenda Norge - NEO2012 IKT-Norge
IKT-Norge
24 mai 2012_jostein_foredrag_intralife_slideshare
24 mai 2012_jostein_foredrag_intralife_slideshare
Jostein Magnussen
Digitalisering i praksis ved statsråd Rigmor Aasrud
Digitalisering i praksis ved statsråd Rigmor Aasrud
Visma Consulting AS
Hans Christian Holte: Nasjonale føringer - Lokal praksis
Hans Christian Holte: Nasjonale føringer - Lokal praksis
Friprogsenteret
Revolusjon kamerater! Softwaredesign i "skyen"
Revolusjon kamerater! Softwaredesign i "skyen"
Tormod Varhaugvik
IAM itSMF
IAM itSMF
Ronny Robinsson-Stavem
Presentasjon more software solutions
Presentasjon more software solutions
kimkopperud
01 program og innledning
01 program og innledning
joivha
Statens legemiddelverk - direktør Gro Ramsten Wesenberg
Statens legemiddelverk - direktør Gro Ramsten Wesenberg
Visma Consulting AS
Software2013 veien til den private skya-101
Software2013 veien til den private skya-101
Steinar Ardal
Digin nor sis-tore orderløkken
Digin nor sis-tore orderløkken
Meandmine2
03 presentasjon bergen kommune dnb 150211
03 presentasjon bergen kommune dnb 150211
joivha
Digin nor sis-tore orderløkken
Digin nor sis-tore orderløkken
Digin
Har du sikret ditt samhandlingsmiljø?
Har du sikret ditt samhandlingsmiljø?
Microsoft Norge AS
Kvalitetskonferansen 2014 hvilken rolle spiller tilgang til data for kvalitet...
Kvalitetskonferansen 2014 hvilken rolle spiller tilgang til data for kvalitet...
Steinar Skagemo

More from IBM Sverige (20)

Trender, inspirationer och visioner - Mikael Haglund #ibmbpsse18
Trender, inspirationer och visioner - Mikael Haglund #ibmbpsse18
IBM Sverige
AI – hur långt har vi kommit? – Oskar Malmström, IBM #ibmbpsse18
AI – hur långt har vi kommit? – Oskar Malmström, IBM #ibmbpsse18
IBM Sverige
#ibmbpsse18 - The journey to AI - Mikko Hörkkö, Elinar

#ibmbpsse18 - The journey to AI - Mikko Hörkkö, Elinar

IBM Sverige
#ibmbpsse18 - Koppla säkert & redundant till IBM Cloud - Magnus Huss, Interexion
#ibmbpsse18 - Koppla säkert & redundant till IBM Cloud - Magnus Huss, Interexion
IBM Sverige
#ibmbpsse18 - Den svenska marknaden, Andreas Lundgren, CMO, IBM
#ibmbpsse18 - Den svenska marknaden, Andreas Lundgren, CMO, IBM
IBM Sverige
Multiresursplanering - Karolinska Universitetssjukhuset
Multiresursplanering - Karolinska Universitetssjukhuset
IBM Sverige
Solving Challenges With 'Huge Data'
Solving Challenges With 'Huge Data'
IBM Sverige
Blockchain explored
Blockchain explored
IBM Sverige
Blockchain architected
Blockchain architected
IBM Sverige
Blockchain explained
Blockchain explained
IBM Sverige
Grow smarter project kista watson summit 2018_tommy auoja-1
Grow smarter project kista watson summit 2018_tommy auoja-1
IBM Sverige
Bemanningsplanering axfood och houston final
Bemanningsplanering axfood och houston final
IBM Sverige
Power ai nordics dcm
Power ai nordics dcm
IBM Sverige
Nvidia and ibm presentation feb18
Nvidia and ibm presentation feb18
IBM Sverige
Hwx introduction to_ibm_ai
Hwx introduction to_ibm_ai
IBM Sverige
Ac922 watson 180208 v1
Ac922 watson 180208 v1
IBM Sverige
Watson kista summit 2018 box
Watson kista summit 2018 box
IBM Sverige
Watson kista summit 2018 en bättre arbetsdag för de många människorna
Watson kista summit 2018 en bättre arbetsdag för de många människorna
IBM Sverige
Iwcs and cisco watson kista summit 2018 v2
Iwcs and cisco watson kista summit 2018 v2
IBM Sverige
Ibm intro (watson summit) bkacke
Ibm intro (watson summit) bkacke
IBM Sverige
Trender, inspirationer och visioner - Mikael Haglund #ibmbpsse18
Trender, inspirationer och visioner - Mikael Haglund #ibmbpsse18
IBM Sverige
AI – hur långt har vi kommit? – Oskar Malmström, IBM #ibmbpsse18
AI – hur långt har vi kommit? – Oskar Malmström, IBM #ibmbpsse18
IBM Sverige
#ibmbpsse18 - The journey to AI - Mikko Hörkkö, Elinar

#ibmbpsse18 - The journey to AI - Mikko Hörkkö, Elinar

IBM Sverige
#ibmbpsse18 - Koppla säkert & redundant till IBM Cloud - Magnus Huss, Interexion
#ibmbpsse18 - Koppla säkert & redundant till IBM Cloud - Magnus Huss, Interexion
IBM Sverige
#ibmbpsse18 - Den svenska marknaden, Andreas Lundgren, CMO, IBM
#ibmbpsse18 - Den svenska marknaden, Andreas Lundgren, CMO, IBM
IBM Sverige
Multiresursplanering - Karolinska Universitetssjukhuset
Multiresursplanering - Karolinska Universitetssjukhuset
IBM Sverige
Solving Challenges With 'Huge Data'
Solving Challenges With 'Huge Data'
IBM Sverige
Blockchain explored
Blockchain explored
IBM Sverige
Blockchain architected
Blockchain architected
IBM Sverige
Blockchain explained
Blockchain explained
IBM Sverige
Grow smarter project kista watson summit 2018_tommy auoja-1
Grow smarter project kista watson summit 2018_tommy auoja-1
IBM Sverige
Bemanningsplanering axfood och houston final
Bemanningsplanering axfood och houston final
IBM Sverige
Power ai nordics dcm
Power ai nordics dcm
IBM Sverige
Nvidia and ibm presentation feb18
Nvidia and ibm presentation feb18
IBM Sverige
Hwx introduction to_ibm_ai
Hwx introduction to_ibm_ai
IBM Sverige
Ac922 watson 180208 v1
Ac922 watson 180208 v1
IBM Sverige
Watson kista summit 2018 box
Watson kista summit 2018 box
IBM Sverige
Watson kista summit 2018 en bättre arbetsdag för de många människorna
Watson kista summit 2018 en bättre arbetsdag för de många människorna
IBM Sverige
Iwcs and cisco watson kista summit 2018 v2
Iwcs and cisco watson kista summit 2018 v2
IBM Sverige
Ibm intro (watson summit) bkacke
Ibm intro (watson summit) bkacke
IBM Sverige
Ad

IBM Tivoli - Enhetlig styrning av åtkomstkontroll på norska skattemyndigheten

  • 1. Identitetsforvaltning i Skatteetaten Knut Leirpoll og Eskild Storvik 13.10.2010
  • 2. Hovedpunkter • Bakgrunn og hovedmål for prosjektet • Styringssystem for informasjonssikkerhet • Prinsipper og målbilde for identitetsforvaltning • Roller • Tid og leveranseplan for prosjektet • Erfaringer og utfordringer i prosjektet
  • 4. Skatteetaten, oversikt over org. Finansdepartementet Skattedirektoratet Skattedirektør Skatteetatens IT- Staber og servicepartner Innovasjons- og Regionavdelingen Rettsavdelingen utviklingsavdelingen Skatt Skatt Skatt Skatte- nord vest øst opplysningen Skatt Skatt Sentralskatte- sør Sentralskatte- Oljeskatte- Midt-Norge kontoret for kontoret for kontoret utenlandssaker storbedrifter
  • 5. Identitetsforvaltning i Skatteetaten • Bakgrunn: • Bestilling fra IT-direktøren, Karl Olav Wroldsen, primo 2008 • Etterlevelse av tilbakemelding til Skatteetaten fra Riksrevisjon (Auditor General of Norway) • Hva er identitetsforvaltning? • Forvaltning av tilgangsstyring for ansatte, innleid personell og eksterne brukere • Skatteetatens utfordring: • Det eksisterte tidligere flere alternativer for å søke om, og gi tilgang/autorisasjon til etatens systemer. • Et stort ”skjemavelde”, manuelt og papirbasert for å søke tilgang
  • 6. Hovedmål • Identifiserte forbedringsområder: • de som skal søke om tilgang til Skatteetatens systemer • de som skal gi tilgang til Skatteetatens systemer • de som skal ha oversikt over hvem som har tilgang til de ulike systemene i Skatteetaten • forenklet revisjon og mer helhetlig kontroll • Hovedmål for prosjektet Identitetsforvaltning: • Etablere en sikker, enhetlig, brukervennlig og reviderbar løsning for autorisasjons- og tilgangsadministrasjon for interne brukere i Skatteetaten • Løsning: • Etablere sentrale felles grensesnitt med større grad av automatiserte prosesser for tilgangsstyring til etatens systemer ved bruk av tilgangsroller
  • 7. Prosjektets hovedoppgaver • Roller og rolleforvaltning • Etablering av roller – globale roller, tilgangsroller og regulative roller • Etablerer rolleforvaltning – en egen stilling som rolleforvalter • Design og utvikling av Skatteetatens løsning for identitetsforvaltning • Det tekniske utviklingsløpet er basert på IBMs Tivoli Identity Manager (TIM) • Tilordne Skatteetatens systemer mot TIM • AD – ”Microsoft-systemer” Utvikling • OID – Oracleporteføljen • RACF – Stormaskinporteføljen • Produksjonssetting av leveranser Prod. • herunder forberede BS og IT/drift sett • få på plass rolleforvaltning Rollekonsept Innføring tilordning
  • 9. Identitetsforvaltning i styringssystem for informasjonssikkerhet • Ny policy for Identitetsforvaltning (beskriver hva) • Organisatoriske/politiske føringer for løsning • Ny standard for brukeridenter (beskriver hvordan) • Gjelder nye brukere (eksisterende ansatte beholder sin brukeridenter) • Brukergrupper delt i 3 kategorier: Ansatt: • Ansatt i Skatteetaten med arbeidskontrakt (fast, deltid, vikar, engasjement) Innleid: • Innleid igjennom et avrop, eller kontrakt etc. (konsulenter, leverandører) Ekstern: • Eksterne personer som har behov for tilgang (f.eks. Riksrevisjonen) • Typisk underlagt andre oppdragsavtaler enn kontrakter
  • 10. Ny standard for brukeridenter a72345 p75432 Høye a administrative p tilganger m72345 k75432 Ordinære m tilganger k e87654 Ansatte e - Fast Innleide - Vikar - Konsulenter - Engasjement Eksterne - Leverandører Standard for nye personlige brukeridenter: Prefiks (1 bokstav) + tall (5 siffer) Policy: • Brukeridenten skal være unik og entydig knyttet til en person og skal kun gjenbrukes av samme person. • Et system skal ikke kunne utnytte brukeridentens struktur eller verdi (unntak IdM-verktøyet) • Brukerident skal være knyttet til arbeidsavtale (ansatt, innleid eller ekstern bruker)
  • 12. Prinsipper for flyt av informasjon • Personalsystemet er ”master” for persondata som er nødvendig for håndtering av personal- og lønnsaktiviteter • Autorisasjons- og tilgangsadministrasjonsverktøyet (TIM) er ”master” for tilleggsdata for å foreta identitetsforvaltning • Brukeridenter • Mobiltelefonnummer (passord på SMS) • Tilgangsroller • TIM foretar automatisk datafangst fra personalsystemet daglig • Saksflyt for å kvalitetssikre persondata som er kritisk for identitetsforvaltning • Ved ansettelse og ”fravær” skal leder godkjenne før tilganger iverksettes eller fjernes. • Fratredelse av medarbeidere gjøres automatisk på bakgrunn av registrering i personalsystemet. • Når medarbeider bytter org.enhet skal både gammel og ny leder informeres om endring. • Web-grensesnitt for registrering, godkjenning, endring og sletting • Andre systemer henter relevante persondata fra TIM (f.eks Skattenett)
  • 13. å Eksterne: Administrasjon Lønn og Persondata Personal- personal Org.data Ansatte: Autorisasjons- systemet Ansettelse, permisjon, fratredelse Brukerstøtte ansvarlig Personopplysn. (navn, fødselsnr, ++) Org.data (ansattnr, nærm.leder ++) Innleide: Persondata Org.data Web-GUI TIM 1-instans ID-senter - Fødselsnr/ Leder Autorisasjon LDAP-master D-nr/Fiktivt nr - Navn Tilrettelegger Web Arbeids- Tilgangs- - Ansattnr GUI flyt roller - Brukeridenter 2-instans Windows Oracle AIX Host Faginstans AD / OID / Unix / RACF Brukerident LDAP Brukerident LDAP Brukerident LDAP Brukerident Bruk SSO Autentiserings- Fagsystem Bruker Applikasjon Brukerident server Brukerident
  • 14. Realisering av målbildet Eksterne: Administrasjon Lønn og Persondata Personal- personal Org.data Ansatte: Autorisasjons- systemet Ansettelse, permisjon, fratredelse Brukerstøtte ansvarlig Personopplysn. (navn, fødselsnr, ++) Org.data (ansattnr, nærm.leder ++) Innleide: Persondata Org.data Web-GUI TIM 1-instans ID-senter - Fødselsnr/ Leder Autorisasjon LDAP-master D-nr/Fiktivt nr - Navn Tilrettelegger Web Arbeids- Tilgangs- - Ansattnr GUI flyt roller - Brukeridenter 2-instans Windows Oracle AIX Host Faginstans AD / OID / Unix / RACF Brukerident LDAP Brukerident LDAP Brukerident LDAP Brukerident Bruk SSO Autentiserings- Fagsystem Bruker Applikasjon Brukerident server Brukerident
  • 16. Rolletyper • Globale roller • Ett sett av tilgangsroller og regulative roller • Tilgangsroller • En del av et system • Regulative roller • Gjennomgående tilgang
  • 17. Modell Skatteetaten basis (automatisk) SKD/ Kontroll og Innkreving Skattekrim PV og SOL Fastsetting SITS rettsanvendelse basis Folkeregister Folkeregister Svalbard LP & Næring Personregister Jurister Merverdiavgift Merverdiavgi Oppgave SKO-gruppe ft basis Arveavgift Arveavgift Oppgavekontroll Skatt person Manntall Standard Mulige tilganger Skatt Ikke valgbar upersonlige Kontroll og Innkreving Skattekrim SKD/ PV og SOL Fastsetting rettsanvendelse basis SITS
  • 18. Rolle: Skatteetaten basis (alle får automatisk) Region: Alle (Intranett) (Internett aksess) (Tidsregistrering og tidfordeling) (SAP) (ePhorte)
  • 19. ePhorte adapter Overgang fra Identity Management til Access Management • To sett av verdier • Standardverdier: • Utvikles som en hovedtabell hvor SAP-verdiene og ePhorte- verdiene ligger samlet. • Tilgangskoder: • Utvikles som en hovedtabell/register inneholdende aktuelle tilgangskoder med tilhørende handlingsregel
  • 20. Første settet – data fra SAP Ti Organisasjonsverdi fra SAP gir ett sett av verdier i ePhorte • Ca 600 organisasjonsenheter i Skatteetaten • En til en kopling mellom verdi i SAP og settet av verdier i ePhorte
  • 21. Andre settet – tilgangskoder i ePhorte
  • 22. Fra globale rolle til tilgang En ny Finnes 22 mulige globale roller ansatt En global rolle: Gir tilgang til 11 systemer Basis Ett system: Kan gi tilgang til 18 Tilgangskoder ePhorte Gir automatisk 5 Som gir tilgang til saker og tilgangskoder i ePhorte dokumenter Arbeidsflyt: Nyansettelse
  • 24. Tid og leveranseplan Nivå 1: SAP integrasjon med SL-roller i TIM -TIM: - Utført datafangst fra SAP (org. data og persondata) og etablert kvalitet eksisterende data - Etablert TIM 5.0 med nødvendig infrastruktur - Deaktivert TIM 4.5 - Designet autorisasjonsløsning for SL-pilot (inkl. organisatoriske endringer) - Etablert SL-GUI for medarbeider og leder (inkl. reg. av tilrettelegger/stedfortreder) Roller: - Lastet lokale SL-roller i TIM for pilot med SL08 - Etablert OID-integrasjon med SL Nivå 1: Leder autoriserer medarbeider for SL-”pilot” jan 09 Nivå 2: Saksflyt ved ansettelse og fratredelse TIM: - Designet og etablert saksflyt med nødvendig funksjonalitet ved ansettelse og fratredelse - Etablert GUI for mellomleder for tilgangsstyring av egne ansatte - Etablert ID-senter iht. ny standard i TIM - Utarbeide oversikt over merkostnader ved prosjektet og utarbeide Roller: - Etablert basistilgang for ansatt (Skattenett, IPA, ElArk, filområde …) - Etablert lokale roller og integrert systemene DVH, SERG i TIM/OID Nivå 1 + Leder godkjenner medarbeider ved ansettelse og fratredelse. aug 09
  • 25. Tid og leveranseplan Nivå 3: Saksflyt ved fravær inkl. globale roller for egnede systemer TIM: - Etablert saksflyt og nødvendig funksjonalitet ved fravær - Etablert funksjonalitet for registrering av stedfortreder - Etablert funksjonalitet for registrering og tilgangsstyring av innleid personell - Etablert funksjonalitet for tilgangsstyring for faginstans Roller: - Etablert basistilgang for innleid - Integrert og etablert lokale roller for Fonsa, AR, MVA og Stormaskin - Etablert og testet global rolle for AR, SL og SERG (tilgang på tvers av systemer) Nivå 2 + Leder og stedfortreder utfører tilgangsstyring for egnede systemer Faginstans og stedfortreder utfører tilgangstyring nov 09 Nivå 4: Identitetsforvaltning m/eksisterende tilgangsgrupper TIM: - Etablert utviklingsmiljø for TIM - Etablert funksjonalitet for saksflyt ved tilgangsroller og periodisk godkjenning - Etablert funksjonalitet for tilgangsstyring av eksternt personell - Etablert tilrettelegger og tilrettelagt funksjonalitet for autorisasjonsunderlag inkl. 2-nivå autorisasjon Roller: -Etablert og integrert rammeverk for roller i Skatteetaten -Videre innføring av tilgangsroller for systemer -Etablert forretningsprosess for rollehåndtering -Etablert prototype for global rolleliste (Skatt Sør Fastsetting) -Nivå 3 + Leder utfører full tilgangsstyring av TIM-baserte tilganger og reviderer tilgang på egne ansatte feb 10
  • 27. Prosjektets utfordringer • En av de første i verden på TIM med delegert selvbetjening • Egen partnerskapsavtale med IBM fra sommeren 2009 • Skaffe tilstrekkelig kompetanse inn i prosjektet • Fullstendig reorganisering av prosjektet våren 2009 • Allianse med interne kunder • Lage felles rollemodell (globale roller) • Interaksjonsekspert fra Barduun • For kontroll over typer arbeidsprosesser (arbeidsflyt) – OU-løpet • Interne ressurser • Innføring av systemer parallelt med utvikling – alle typer tekniske miljøer • Faste arenaer - møter • Alliansebygging • Uformelle arenaer
  • 28. Prosjektets utfordringer • Mer krevende enn først antatt: • Ledelsesmessig • Ressursmessig • Økonomisk • Kompetansemessig • Gjennomføringsmessig • Krever høy grad av involvering og deltakelse fra hele organisasjonen • Toppledelsen • Ledere og ansatte • Brukerstøtte • Fagsiden m/ eiere av fagsystemer • HR/Lønn og personal • Sikkerhetsavdelingen • Fagforeningene • Forankring er avgjørende!
  • 29. Prosjektets utfordringer • Avgrens/begrens omfanget av prosjektet • Del prosjektet opp i flere delprosjekter • Tenk arkitektur fra første dag • SSO • Føderering • Lag et målbilde • Gjør et godt og detaljert design • Velg riktig kilde for masterdata (ansatte, innleide og eksterne) • Saksflyt/arbeidsflyt • GUI • Finn et pilot-system • Det største systemet med flest brukere?
  • 30. Prosjektets utfordringer • Se om det kan finnes andre prosjekter i organisasjonen som kan bidra • Sørg for å levere delleveranser som synes • Utfordr leverandører
  • 31. Organisering av prosjektet Styringsgr. Bjørn Paulsen Svein Mobakken Karl Olav Wroldsen Fagforeninger Prosjektleder IdM Sverre Norberg Knut Leirpoll Eric Toverud Prosjektrådgiver Produksjonssetting Eskild Storvik Aina Schrøder Sikkerhet Utvikling TIM Testansvarlig Administrative rutiner Roller & Innføring Informasjon og kom. Trond Bechmann Lars Rennesund Lena Kleven Tor Staff Hege Harreschou Nicola Rivli Policy og standard Teknisk rolleexpert Læring & Dok. AD/TIM/SSO IT-drift Rutiner Brukerstøtte (inkl. arbeidsflyt) GUI-Utvikling IT-drift Rutiner Leder/Ansatt Brukerstøtte IBM/RACF Brukergrensesnitt SAP Utvikling Workflow SAP For regionene TIM-expert Rolleforvalter Oracle/OID via
  • 33. Forvaltning av IdM fra 01.05.2010 Matriseorganisering IT-avdelingen eier IdM i Skatteetaten. Brukerstøtte i IT- avdelingen har rolleforvalter og er prosessansvarlig. Brukerstøtte IT-teknikk IT-drift Rolleforvaltning og innføring Driftsstyring og -vedlikehold Serviceledelse Teknisk forvaltning Sikkerhet og design Dokumentasjon og informasjon Test og produk- sjonssetting 1 person 3 personer 2 personer ½ årsverk 1 ¾ årsverk 1 årsverk
About
© 2025 ݺߣ