Identitetsforvaltning i Skatteetaten
Knut Leirpoll og Eskild Storvik


13.10.2010
Hovedpunkter


• Bakgrunn og hovedmål for prosjektet


• Styringssystem for informasjonssikkerhet


• Prinsipper og målbil...
Identitetsforvaltning i Skatteetaten
Bakgrunn og hovedmål
Skatteetaten, oversikt over org.


                                             Finansdepartementet



 Skattedirektoratet...
Identitetsforvaltning i Skatteetaten

• Bakgrunn:
    • Bestilling fra IT-direktøren, Karl Olav Wroldsen, primo 2008
    •...
Hovedmål

• Identifiserte forbedringsområder:
   • de som skal søke om tilgang til Skatteetatens systemer
   • de som skal...
Prosjektets hovedoppgaver

• Roller og rolleforvaltning
    • Etablering av roller – globale roller, tilgangsroller og reg...
Identitetsforvaltning i Skatteetaten
Styringssystem
Identitetsforvaltning i styringssystem for
informasjonssikkerhet

• Ny policy for Identitetsforvaltning (beskriver hva)
  ...
Ny standard for brukeridenter


        a72345                                                                         p75...
Identitetsforvaltning i Skatteetaten
Prinsipper og målbilde
Prinsipper for flyt av informasjon

• Personalsystemet er ”master” for persondata som er nødvendig for
  håndtering av per...
Målbildet

                                                                                                               ...
Realisering av målbildet

                                                                                                ...
Identitetsforvaltning i Skatteetaten
Rollearbeid
Rolletyper

• Globale roller

    •   Ett sett av tilgangsroller og regulative roller

• Tilgangsroller

    •   En del av...
Modell                             Skatteetaten basis
                                        (automatisk)


             ...
Rolle:            Skatteetaten basis (alle får automatisk)
Region:           Alle




          (Intranett)

      (Intern...
ePhorte adapter

Overgang fra Identity Management til Access
 Management

• To sett av verdier
    • Standardverdier:
    ...
Første settet – data fra SAP



Ti




Organisasjonsverdi fra SAP gir ett sett av verdier i ePhorte
• Ca 600 organisasjons...
Andre settet – tilgangskoder i ePhorte
Fra globale rolle til tilgang

En ny
             Finnes 22 mulige globale roller
ansatt
     En global rolle:
           ...
Identitetsforvaltning i Skatteetaten
Tid og leveranseplan
Tid og leveranseplan

Nivå 1: SAP integrasjon med SL-roller i TIM
-TIM:
- Utført datafangst fra SAP (org. data og personda...
Tid og leveranseplan
Nivå 3: Saksflyt ved fravær inkl. globale roller for egnede systemer
TIM:
- Etablert saksflyt og nødv...
Identitetsforvaltning i Skatteetaten
Erfaringer og utfordringer
Prosjektets utfordringer

• En av de første i verden på TIM med delegert selvbetjening
    • Egen partnerskapsavtale med I...
Prosjektets utfordringer

• Mer krevende enn først antatt:
    • Ledelsesmessig
    • Ressursmessig
    • Økonomisk
    • ...
Prosjektets utfordringer

• Avgrens/begrens omfanget av prosjektet
    • Del prosjektet opp i flere delprosjekter


• Tenk...
Prosjektets utfordringer


• Se om det kan finnes andre prosjekter i organisasjonen som kan bidra


• Sørg for å levere de...
Organisering av prosjektet
                                                                     Styringsgr.               ...
Identitetsforvaltning i Skatteetaten
Presentasjon slutt
Forvaltning av IdM fra 01.05.2010
Matriseorganisering


                  IT-avdelingen eier IdM i Skatteetaten. Brukerstø...
Upcoming SlideShare
Loading in...5
×

IBM Tivoli - Enhetlig styrning av åtkomstkontroll på norska skattemyndigheten

696
-1

Published on

"Skatteetaten", den norska skattemyndigheten, har under de senaste åren skapat förutsättningar för en omfattande automatisering och standardisering av åtkomstkontroll till sina system. Automatisering uppnås vid direkt koppling till myndighetetens personalsystem och genom att godkännandeprocesser fördelas ut i linjeorganisationen med hjälp av emailbaserat arbetsflöde. Denna presentation hölls vid ett seminariepass för Tivoli på IBM Software Day 2010. Talare: Knut Leirpoll och Eskild Storvik, projektledare, Skatteetaten

Published in: Business, Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
696
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

IBM Tivoli - Enhetlig styrning av åtkomstkontroll på norska skattemyndigheten

  1. 1. Identitetsforvaltning i Skatteetaten Knut Leirpoll og Eskild Storvik 13.10.2010
  2. 2. Hovedpunkter • Bakgrunn og hovedmål for prosjektet • Styringssystem for informasjonssikkerhet • Prinsipper og målbilde for identitetsforvaltning • Roller • Tid og leveranseplan for prosjektet • Erfaringer og utfordringer i prosjektet
  3. 3. Identitetsforvaltning i Skatteetaten Bakgrunn og hovedmål
  4. 4. Skatteetaten, oversikt over org. Finansdepartementet Skattedirektoratet Skattedirektør Skatteetatens IT- Staber og servicepartner Innovasjons- og Regionavdelingen Rettsavdelingen utviklingsavdelingen Skatt Skatt Skatt Skatte- nord vest øst opplysningen Skatt Skatt Sentralskatte- sør Sentralskatte- Oljeskatte- Midt-Norge kontoret for kontoret for kontoret utenlandssaker storbedrifter
  5. 5. Identitetsforvaltning i Skatteetaten • Bakgrunn: • Bestilling fra IT-direktøren, Karl Olav Wroldsen, primo 2008 • Etterlevelse av tilbakemelding til Skatteetaten fra Riksrevisjon (Auditor General of Norway) • Hva er identitetsforvaltning? • Forvaltning av tilgangsstyring for ansatte, innleid personell og eksterne brukere • Skatteetatens utfordring: • Det eksisterte tidligere flere alternativer for å søke om, og gi tilgang/autorisasjon til etatens systemer. • Et stort ”skjemavelde”, manuelt og papirbasert for å søke tilgang
  6. 6. Hovedmål • Identifiserte forbedringsområder: • de som skal søke om tilgang til Skatteetatens systemer • de som skal gi tilgang til Skatteetatens systemer • de som skal ha oversikt over hvem som har tilgang til de ulike systemene i Skatteetaten • forenklet revisjon og mer helhetlig kontroll • Hovedmål for prosjektet Identitetsforvaltning: • Etablere en sikker, enhetlig, brukervennlig og reviderbar løsning for autorisasjons- og tilgangsadministrasjon for interne brukere i Skatteetaten • Løsning: • Etablere sentrale felles grensesnitt med større grad av automatiserte prosesser for tilgangsstyring til etatens systemer ved bruk av tilgangsroller
  7. 7. Prosjektets hovedoppgaver • Roller og rolleforvaltning • Etablering av roller – globale roller, tilgangsroller og regulative roller • Etablerer rolleforvaltning – en egen stilling som rolleforvalter • Design og utvikling av Skatteetatens løsning for identitetsforvaltning • Det tekniske utviklingsløpet er basert på IBMs Tivoli Identity Manager (TIM) • Tilordne Skatteetatens systemer mot TIM • AD – ”Microsoft-systemer” Utvikling • OID – Oracleporteføljen • RACF – Stormaskinporteføljen • Produksjonssetting av leveranser Prod. • herunder forberede BS og IT/drift sett • få på plass rolleforvaltning Rollekonsept Innføring tilordning
  8. 8. Identitetsforvaltning i Skatteetaten Styringssystem
  9. 9. Identitetsforvaltning i styringssystem for informasjonssikkerhet • Ny policy for Identitetsforvaltning (beskriver hva) • Organisatoriske/politiske føringer for løsning • Ny standard for brukeridenter (beskriver hvordan) • Gjelder nye brukere (eksisterende ansatte beholder sin brukeridenter) • Brukergrupper delt i 3 kategorier: Ansatt: • Ansatt i Skatteetaten med arbeidskontrakt (fast, deltid, vikar, engasjement) Innleid: • Innleid igjennom et avrop, eller kontrakt etc. (konsulenter, leverandører) Ekstern: • Eksterne personer som har behov for tilgang (f.eks. Riksrevisjonen) • Typisk underlagt andre oppdragsavtaler enn kontrakter
  10. 10. Ny standard for brukeridenter a72345 p75432 Høye a administrative p tilganger m72345 k75432 Ordinære m tilganger k e87654 Ansatte e - Fast Innleide - Vikar - Konsulenter - Engasjement Eksterne - Leverandører Standard for nye personlige brukeridenter: Prefiks (1 bokstav) + tall (5 siffer) Policy: • Brukeridenten skal være unik og entydig knyttet til en person og skal kun gjenbrukes av samme person. • Et system skal ikke kunne utnytte brukeridentens struktur eller verdi (unntak IdM-verktøyet) • Brukerident skal være knyttet til arbeidsavtale (ansatt, innleid eller ekstern bruker)
  11. 11. Identitetsforvaltning i Skatteetaten Prinsipper og målbilde
  12. 12. Prinsipper for flyt av informasjon • Personalsystemet er ”master” for persondata som er nødvendig for håndtering av personal- og lønnsaktiviteter • Autorisasjons- og tilgangsadministrasjonsverktøyet (TIM) er ”master” for tilleggsdata for å foreta identitetsforvaltning • Brukeridenter • Mobiltelefonnummer (passord på SMS) • Tilgangsroller • TIM foretar automatisk datafangst fra personalsystemet daglig • Saksflyt for å kvalitetssikre persondata som er kritisk for identitetsforvaltning • Ved ansettelse og ”fravær” skal leder godkjenne før tilganger iverksettes eller fjernes. • Fratredelse av medarbeidere gjøres automatisk på bakgrunn av registrering i personalsystemet. • Når medarbeider bytter org.enhet skal både gammel og ny leder informeres om endring. • Web-grensesnitt for registrering, godkjenning, endring og sletting • Andre systemer henter relevante persondata fra TIM (f.eks Skattenett)
  13. 13. Målbildet Eksterne: Administrasjon Lønn og Persondata Personal- personal Org.data Ansatte: Autorisasjons- systemet Ansettelse, permisjon, fratredelse Brukerstøtte ansvarlig Personopplysn. (navn, fødselsnr, ++) Org.data (ansattnr, nærm.leder ++) Innleide: Persondata Org.data Web-GUI TIM 1-instans ID-senter - Fødselsnr/ Leder Autorisasjon LDAP-master D-nr/Fiktivt nr - Navn Tilrettelegger Web Arbeids- Tilgangs- - Ansattnr GUI flyt roller - Brukeridenter 2-instans Windows Oracle AIX Host Faginstans AD / OID / Unix / RACF Brukerident LDAP Brukerident LDAP Brukerident LDAP Brukerident Bruk SSO Autentiserings- Fagsystem Bruker Applikasjon Brukerident server Brukerident
  14. 14. Realisering av målbildet Eksterne: Administrasjon Lønn og Persondata Personal- personal Org.data Ansatte: Autorisasjons- systemet Ansettelse, permisjon, fratredelse Brukerstøtte ansvarlig Personopplysn. (navn, fødselsnr, ++) Org.data (ansattnr, nærm.leder ++) Innleide: Persondata Org.data Web-GUI TIM 1-instans ID-senter - Fødselsnr/ Leder Autorisasjon LDAP-master D-nr/Fiktivt nr - Navn Tilrettelegger Web Arbeids- Tilgangs- - Ansattnr GUI flyt roller - Brukeridenter 2-instans Windows Oracle AIX Host Faginstans AD / OID / Unix / RACF Brukerident LDAP Brukerident LDAP Brukerident LDAP Brukerident Bruk SSO Autentiserings- Fagsystem Bruker Applikasjon Brukerident server Brukerident
  15. 15. Identitetsforvaltning i Skatteetaten Rollearbeid
  16. 16. Rolletyper • Globale roller • Ett sett av tilgangsroller og regulative roller • Tilgangsroller • En del av et system • Regulative roller • Gjennomgående tilgang
  17. 17. Modell Skatteetaten basis (automatisk) SKD/ Kontroll og Innkreving Skattekrim PV og SOL Fastsetting SITS rettsanvendelse basis Folkeregister Folkeregister Svalbard LP & Næring Personregister Jurister Merverdiavgift Merverdiavgi Oppgave SKO-gruppe ft basis Arveavgift Arveavgift Oppgavekontroll Skatt person Manntall Standard Mulige tilganger Skatt Ikke valgbar upersonlige Kontroll og Innkreving Skattekrim SKD/ PV og SOL Fastsetting rettsanvendelse basis SITS
  18. 18. Rolle: Skatteetaten basis (alle får automatisk) Region: Alle (Intranett) (Internett aksess) (Tidsregistrering og tidfordeling) (SAP) (ePhorte)
  19. 19. ePhorte adapter Overgang fra Identity Management til Access Management • To sett av verdier • Standardverdier: • Utvikles som en hovedtabell hvor SAP-verdiene og ePhorte- verdiene ligger samlet. • Tilgangskoder: • Utvikles som en hovedtabell/register inneholdende aktuelle tilgangskoder med tilhørende handlingsregel
  20. 20. Første settet – data fra SAP Ti Organisasjonsverdi fra SAP gir ett sett av verdier i ePhorte • Ca 600 organisasjonsenheter i Skatteetaten • En til en kopling mellom verdi i SAP og settet av verdier i ePhorte
  21. 21. Andre settet – tilgangskoder i ePhorte
  22. 22. Fra globale rolle til tilgang En ny Finnes 22 mulige globale roller ansatt En global rolle: Gir tilgang til 11 systemer Basis Ett system: Kan gi tilgang til 18 Tilgangskoder ePhorte Gir automatisk 5 Som gir tilgang til saker og tilgangskoder i ePhorte dokumenter Arbeidsflyt: Nyansettelse
  23. 23. Identitetsforvaltning i Skatteetaten Tid og leveranseplan
  24. 24. Tid og leveranseplan Nivå 1: SAP integrasjon med SL-roller i TIM -TIM: - Utført datafangst fra SAP (org. data og persondata) og etablert kvalitet eksisterende data - Etablert TIM 5.0 med nødvendig infrastruktur - Deaktivert TIM 4.5 - Designet autorisasjonsløsning for SL-pilot (inkl. organisatoriske endringer) - Etablert SL-GUI for medarbeider og leder (inkl. reg. av tilrettelegger/stedfortreder) Roller: - Lastet lokale SL-roller i TIM for pilot med SL08 - Etablert OID-integrasjon med SL Nivå 1: Leder autoriserer medarbeider for SL-”pilot” jan 09 Nivå 2: Saksflyt ved ansettelse og fratredelse TIM: - Designet og etablert saksflyt med nødvendig funksjonalitet ved ansettelse og fratredelse - Etablert GUI for mellomleder for tilgangsstyring av egne ansatte - Etablert ID-senter iht. ny standard i TIM - Utarbeide oversikt over merkostnader ved prosjektet og utarbeide Roller: - Etablert basistilgang for ansatt (Skattenett, IPA, ElArk, filområde …) - Etablert lokale roller og integrert systemene DVH, SERG i TIM/OID Nivå 1 + Leder godkjenner medarbeider ved ansettelse og fratredelse. aug 09
  25. 25. Tid og leveranseplan Nivå 3: Saksflyt ved fravær inkl. globale roller for egnede systemer TIM: - Etablert saksflyt og nødvendig funksjonalitet ved fravær - Etablert funksjonalitet for registrering av stedfortreder - Etablert funksjonalitet for registrering og tilgangsstyring av innleid personell - Etablert funksjonalitet for tilgangsstyring for faginstans Roller: - Etablert basistilgang for innleid - Integrert og etablert lokale roller for Fonsa, AR, MVA og Stormaskin - Etablert og testet global rolle for AR, SL og SERG (tilgang på tvers av systemer) Nivå 2 + Leder og stedfortreder utfører tilgangsstyring for egnede systemer Faginstans og stedfortreder utfører tilgangstyring nov 09 Nivå 4: Identitetsforvaltning m/eksisterende tilgangsgrupper TIM: - Etablert utviklingsmiljø for TIM - Etablert funksjonalitet for saksflyt ved tilgangsroller og periodisk godkjenning - Etablert funksjonalitet for tilgangsstyring av eksternt personell - Etablert tilrettelegger og tilrettelagt funksjonalitet for autorisasjonsunderlag inkl. 2-nivå autorisasjon Roller: -Etablert og integrert rammeverk for roller i Skatteetaten -Videre innføring av tilgangsroller for systemer -Etablert forretningsprosess for rollehåndtering -Etablert prototype for global rolleliste (Skatt Sør Fastsetting) -Nivå 3 + Leder utfører full tilgangsstyring av TIM-baserte tilganger og reviderer tilgang på egne ansatte feb 10
  26. 26. Identitetsforvaltning i Skatteetaten Erfaringer og utfordringer
  27. 27. Prosjektets utfordringer • En av de første i verden på TIM med delegert selvbetjening • Egen partnerskapsavtale med IBM fra sommeren 2009 • Skaffe tilstrekkelig kompetanse inn i prosjektet • Fullstendig reorganisering av prosjektet våren 2009 • Allianse med interne kunder • Lage felles rollemodell (globale roller) • Interaksjonsekspert fra Barduun • For kontroll over typer arbeidsprosesser (arbeidsflyt) – OU-løpet • Interne ressurser • Innføring av systemer parallelt med utvikling – alle typer tekniske miljøer • Faste arenaer - møter • Alliansebygging • Uformelle arenaer
  28. 28. Prosjektets utfordringer • Mer krevende enn først antatt: • Ledelsesmessig • Ressursmessig • Økonomisk • Kompetansemessig • Gjennomføringsmessig • Krever høy grad av involvering og deltakelse fra hele organisasjonen • Toppledelsen • Ledere og ansatte • Brukerstøtte • Fagsiden m/ eiere av fagsystemer • HR/Lønn og personal • Sikkerhetsavdelingen • Fagforeningene • Forankring er avgjørende!
  29. 29. Prosjektets utfordringer • Avgrens/begrens omfanget av prosjektet • Del prosjektet opp i flere delprosjekter • Tenk arkitektur fra første dag • SSO • Føderering • Lag et målbilde • Gjør et godt og detaljert design • Velg riktig kilde for masterdata (ansatte, innleide og eksterne) • Saksflyt/arbeidsflyt • GUI • Finn et pilot-system • Det største systemet med flest brukere?
  30. 30. Prosjektets utfordringer • Se om det kan finnes andre prosjekter i organisasjonen som kan bidra • Sørg for å levere delleveranser som synes • Utfordr leverandører
  31. 31. Organisering av prosjektet Styringsgr. Bjørn Paulsen Svein Mobakken Karl Olav Wroldsen Fagforeninger Prosjektleder IdM Sverre Norberg Knut Leirpoll Eric Toverud Prosjektrådgiver Produksjonssetting Eskild Storvik Aina Schrøder Sikkerhet Utvikling TIM Testansvarlig Administrative rutiner Roller & Innføring Informasjon og kom. Trond Bechmann Lars Rennesund Lena Kleven Tor Staff Hege Harreschou Nicola Rivli Policy og standard Teknisk rolleexpert Læring & Dok. AD/TIM/SSO IT-drift Rutiner Brukerstøtte (inkl. arbeidsflyt) GUI-Utvikling IT-drift Rutiner Leder/Ansatt Brukerstøtte IBM/RACF Brukergrensesnitt SAP Utvikling Workflow SAP For regionene TIM-expert Rolleforvalter Oracle/OID via
  32. 32. Identitetsforvaltning i Skatteetaten Presentasjon slutt
  33. 33. Forvaltning av IdM fra 01.05.2010 Matriseorganisering IT-avdelingen eier IdM i Skatteetaten. Brukerstøtte i IT- avdelingen har rolleforvalter og er prosessansvarlig. Brukerstøtte IT-teknikk IT-drift Rolleforvaltning og innføring Driftsstyring og -vedlikehold Serviceledelse Teknisk forvaltning Sikkerhet og design Dokumentasjon og informasjon Test og produk- sjonssetting 1 person 3 personer 2 personer ½ årsverk 1 ¾ årsverk 1 årsverk

×