• Save
IBM Tivoli - Enhetlig styrning av åtkomstkontroll på norska skattemyndigheten
Upcoming SlideShare
Loading in...5
×
 

IBM Tivoli - Enhetlig styrning av åtkomstkontroll på norska skattemyndigheten

on

  • 735 views

"Skatteetaten", den norska skattemyndigheten, har under de senaste åren skapat förutsättningar för en omfattande automatisering och standardisering av åtkomstkontroll till sina system. ...

"Skatteetaten", den norska skattemyndigheten, har under de senaste åren skapat förutsättningar för en omfattande automatisering och standardisering av åtkomstkontroll till sina system. Automatisering uppnås vid direkt koppling till myndighetetens personalsystem och genom att godkännandeprocesser fördelas ut i linjeorganisationen med hjälp av emailbaserat arbetsflöde. Denna presentation hölls vid ett seminariepass för Tivoli på IBM Software Day 2010. Talare: Knut Leirpoll och Eskild Storvik, projektledare, Skatteetaten

Statistics

Views

Total Views
735
Views on SlideShare
735
Embed Views
0

Actions

Likes
1
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    IBM Tivoli - Enhetlig styrning av åtkomstkontroll på norska skattemyndigheten IBM Tivoli - Enhetlig styrning av åtkomstkontroll på norska skattemyndigheten Presentation Transcript

    • Identitetsforvaltning i Skatteetaten Knut Leirpoll og Eskild Storvik 13.10.2010
    • Hovedpunkter • Bakgrunn og hovedmål for prosjektet • Styringssystem for informasjonssikkerhet • Prinsipper og målbilde for identitetsforvaltning • Roller • Tid og leveranseplan for prosjektet • Erfaringer og utfordringer i prosjektet
    • Identitetsforvaltning i Skatteetaten Bakgrunn og hovedmål
    • Skatteetaten, oversikt over org. Finansdepartementet Skattedirektoratet Skattedirektør Skatteetatens IT- Staber og servicepartner Innovasjons- og Regionavdelingen Rettsavdelingen utviklingsavdelingen Skatt Skatt Skatt Skatte- nord vest øst opplysningen Skatt Skatt Sentralskatte- sør Sentralskatte- Oljeskatte- Midt-Norge kontoret for kontoret for kontoret utenlandssaker storbedrifter
    • Identitetsforvaltning i Skatteetaten • Bakgrunn: • Bestilling fra IT-direktøren, Karl Olav Wroldsen, primo 2008 • Etterlevelse av tilbakemelding til Skatteetaten fra Riksrevisjon (Auditor General of Norway) • Hva er identitetsforvaltning? • Forvaltning av tilgangsstyring for ansatte, innleid personell og eksterne brukere • Skatteetatens utfordring: • Det eksisterte tidligere flere alternativer for å søke om, og gi tilgang/autorisasjon til etatens systemer. • Et stort ”skjemavelde”, manuelt og papirbasert for å søke tilgang
    • Hovedmål • Identifiserte forbedringsområder: • de som skal søke om tilgang til Skatteetatens systemer • de som skal gi tilgang til Skatteetatens systemer • de som skal ha oversikt over hvem som har tilgang til de ulike systemene i Skatteetaten • forenklet revisjon og mer helhetlig kontroll • Hovedmål for prosjektet Identitetsforvaltning: • Etablere en sikker, enhetlig, brukervennlig og reviderbar løsning for autorisasjons- og tilgangsadministrasjon for interne brukere i Skatteetaten • Løsning: • Etablere sentrale felles grensesnitt med større grad av automatiserte prosesser for tilgangsstyring til etatens systemer ved bruk av tilgangsroller
    • Prosjektets hovedoppgaver • Roller og rolleforvaltning • Etablering av roller – globale roller, tilgangsroller og regulative roller • Etablerer rolleforvaltning – en egen stilling som rolleforvalter • Design og utvikling av Skatteetatens løsning for identitetsforvaltning • Det tekniske utviklingsløpet er basert på IBMs Tivoli Identity Manager (TIM) • Tilordne Skatteetatens systemer mot TIM • AD – ”Microsoft-systemer” Utvikling • OID – Oracleporteføljen • RACF – Stormaskinporteføljen • Produksjonssetting av leveranser Prod. • herunder forberede BS og IT/drift sett • få på plass rolleforvaltning Rollekonsept Innføring tilordning
    • Identitetsforvaltning i Skatteetaten Styringssystem
    • Identitetsforvaltning i styringssystem for informasjonssikkerhet • Ny policy for Identitetsforvaltning (beskriver hva) • Organisatoriske/politiske føringer for løsning • Ny standard for brukeridenter (beskriver hvordan) • Gjelder nye brukere (eksisterende ansatte beholder sin brukeridenter) • Brukergrupper delt i 3 kategorier: Ansatt: • Ansatt i Skatteetaten med arbeidskontrakt (fast, deltid, vikar, engasjement) Innleid: • Innleid igjennom et avrop, eller kontrakt etc. (konsulenter, leverandører) Ekstern: • Eksterne personer som har behov for tilgang (f.eks. Riksrevisjonen) • Typisk underlagt andre oppdragsavtaler enn kontrakter
    • Ny standard for brukeridenter a72345 p75432 Høye a administrative p tilganger m72345 k75432 Ordinære m tilganger k e87654 Ansatte e - Fast Innleide - Vikar - Konsulenter - Engasjement Eksterne - Leverandører Standard for nye personlige brukeridenter: Prefiks (1 bokstav) + tall (5 siffer) Policy: • Brukeridenten skal være unik og entydig knyttet til en person og skal kun gjenbrukes av samme person. • Et system skal ikke kunne utnytte brukeridentens struktur eller verdi (unntak IdM-verktøyet) • Brukerident skal være knyttet til arbeidsavtale (ansatt, innleid eller ekstern bruker)
    • Identitetsforvaltning i Skatteetaten Prinsipper og målbilde
    • Prinsipper for flyt av informasjon • Personalsystemet er ”master” for persondata som er nødvendig for håndtering av personal- og lønnsaktiviteter • Autorisasjons- og tilgangsadministrasjonsverktøyet (TIM) er ”master” for tilleggsdata for å foreta identitetsforvaltning • Brukeridenter • Mobiltelefonnummer (passord på SMS) • Tilgangsroller • TIM foretar automatisk datafangst fra personalsystemet daglig • Saksflyt for å kvalitetssikre persondata som er kritisk for identitetsforvaltning • Ved ansettelse og ”fravær” skal leder godkjenne før tilganger iverksettes eller fjernes. • Fratredelse av medarbeidere gjøres automatisk på bakgrunn av registrering i personalsystemet. • Når medarbeider bytter org.enhet skal både gammel og ny leder informeres om endring. • Web-grensesnitt for registrering, godkjenning, endring og sletting • Andre systemer henter relevante persondata fra TIM (f.eks Skattenett)
    • Målbildet Eksterne: Administrasjon Lønn og Persondata Personal- personal Org.data Ansatte: Autorisasjons- systemet Ansettelse, permisjon, fratredelse Brukerstøtte ansvarlig Personopplysn. (navn, fødselsnr, ++) Org.data (ansattnr, nærm.leder ++) Innleide: Persondata Org.data Web-GUI TIM 1-instans ID-senter - Fødselsnr/ Leder Autorisasjon LDAP-master D-nr/Fiktivt nr - Navn Tilrettelegger Web Arbeids- Tilgangs- - Ansattnr GUI flyt roller - Brukeridenter 2-instans Windows Oracle AIX Host Faginstans AD / OID / Unix / RACF Brukerident LDAP Brukerident LDAP Brukerident LDAP Brukerident Bruk SSO Autentiserings- Fagsystem Bruker Applikasjon Brukerident server Brukerident
    • Realisering av målbildet Eksterne: Administrasjon Lønn og Persondata Personal- personal Org.data Ansatte: Autorisasjons- systemet Ansettelse, permisjon, fratredelse Brukerstøtte ansvarlig Personopplysn. (navn, fødselsnr, ++) Org.data (ansattnr, nærm.leder ++) Innleide: Persondata Org.data Web-GUI TIM 1-instans ID-senter - Fødselsnr/ Leder Autorisasjon LDAP-master D-nr/Fiktivt nr - Navn Tilrettelegger Web Arbeids- Tilgangs- - Ansattnr GUI flyt roller - Brukeridenter 2-instans Windows Oracle AIX Host Faginstans AD / OID / Unix / RACF Brukerident LDAP Brukerident LDAP Brukerident LDAP Brukerident Bruk SSO Autentiserings- Fagsystem Bruker Applikasjon Brukerident server Brukerident
    • Identitetsforvaltning i Skatteetaten Rollearbeid
    • Rolletyper • Globale roller • Ett sett av tilgangsroller og regulative roller • Tilgangsroller • En del av et system • Regulative roller • Gjennomgående tilgang
    • Modell Skatteetaten basis (automatisk) SKD/ Kontroll og Innkreving Skattekrim PV og SOL Fastsetting SITS rettsanvendelse basis Folkeregister Folkeregister Svalbard LP & Næring Personregister Jurister Merverdiavgift Merverdiavgi Oppgave SKO-gruppe ft basis Arveavgift Arveavgift Oppgavekontroll Skatt person Manntall Standard Mulige tilganger Skatt Ikke valgbar upersonlige Kontroll og Innkreving Skattekrim SKD/ PV og SOL Fastsetting rettsanvendelse basis SITS
    • Rolle: Skatteetaten basis (alle får automatisk) Region: Alle (Intranett) (Internett aksess) (Tidsregistrering og tidfordeling) (SAP) (ePhorte)
    • ePhorte adapter Overgang fra Identity Management til Access Management • To sett av verdier • Standardverdier: • Utvikles som en hovedtabell hvor SAP-verdiene og ePhorte- verdiene ligger samlet. • Tilgangskoder: • Utvikles som en hovedtabell/register inneholdende aktuelle tilgangskoder med tilhørende handlingsregel
    • Første settet – data fra SAP Ti Organisasjonsverdi fra SAP gir ett sett av verdier i ePhorte • Ca 600 organisasjonsenheter i Skatteetaten • En til en kopling mellom verdi i SAP og settet av verdier i ePhorte
    • Andre settet – tilgangskoder i ePhorte
    • Fra globale rolle til tilgang En ny Finnes 22 mulige globale roller ansatt En global rolle: Gir tilgang til 11 systemer Basis Ett system: Kan gi tilgang til 18 Tilgangskoder ePhorte Gir automatisk 5 Som gir tilgang til saker og tilgangskoder i ePhorte dokumenter Arbeidsflyt: Nyansettelse
    • Identitetsforvaltning i Skatteetaten Tid og leveranseplan
    • Tid og leveranseplan Nivå 1: SAP integrasjon med SL-roller i TIM -TIM: - Utført datafangst fra SAP (org. data og persondata) og etablert kvalitet eksisterende data - Etablert TIM 5.0 med nødvendig infrastruktur - Deaktivert TIM 4.5 - Designet autorisasjonsløsning for SL-pilot (inkl. organisatoriske endringer) - Etablert SL-GUI for medarbeider og leder (inkl. reg. av tilrettelegger/stedfortreder) Roller: - Lastet lokale SL-roller i TIM for pilot med SL08 - Etablert OID-integrasjon med SL Nivå 1: Leder autoriserer medarbeider for SL-”pilot” jan 09 Nivå 2: Saksflyt ved ansettelse og fratredelse TIM: - Designet og etablert saksflyt med nødvendig funksjonalitet ved ansettelse og fratredelse - Etablert GUI for mellomleder for tilgangsstyring av egne ansatte - Etablert ID-senter iht. ny standard i TIM - Utarbeide oversikt over merkostnader ved prosjektet og utarbeide Roller: - Etablert basistilgang for ansatt (Skattenett, IPA, ElArk, filområde …) - Etablert lokale roller og integrert systemene DVH, SERG i TIM/OID Nivå 1 + Leder godkjenner medarbeider ved ansettelse og fratredelse. aug 09
    • Tid og leveranseplan Nivå 3: Saksflyt ved fravær inkl. globale roller for egnede systemer TIM: - Etablert saksflyt og nødvendig funksjonalitet ved fravær - Etablert funksjonalitet for registrering av stedfortreder - Etablert funksjonalitet for registrering og tilgangsstyring av innleid personell - Etablert funksjonalitet for tilgangsstyring for faginstans Roller: - Etablert basistilgang for innleid - Integrert og etablert lokale roller for Fonsa, AR, MVA og Stormaskin - Etablert og testet global rolle for AR, SL og SERG (tilgang på tvers av systemer) Nivå 2 + Leder og stedfortreder utfører tilgangsstyring for egnede systemer Faginstans og stedfortreder utfører tilgangstyring nov 09 Nivå 4: Identitetsforvaltning m/eksisterende tilgangsgrupper TIM: - Etablert utviklingsmiljø for TIM - Etablert funksjonalitet for saksflyt ved tilgangsroller og periodisk godkjenning - Etablert funksjonalitet for tilgangsstyring av eksternt personell - Etablert tilrettelegger og tilrettelagt funksjonalitet for autorisasjonsunderlag inkl. 2-nivå autorisasjon Roller: -Etablert og integrert rammeverk for roller i Skatteetaten -Videre innføring av tilgangsroller for systemer -Etablert forretningsprosess for rollehåndtering -Etablert prototype for global rolleliste (Skatt Sør Fastsetting) -Nivå 3 + Leder utfører full tilgangsstyring av TIM-baserte tilganger og reviderer tilgang på egne ansatte feb 10
    • Identitetsforvaltning i Skatteetaten Erfaringer og utfordringer
    • Prosjektets utfordringer • En av de første i verden på TIM med delegert selvbetjening • Egen partnerskapsavtale med IBM fra sommeren 2009 • Skaffe tilstrekkelig kompetanse inn i prosjektet • Fullstendig reorganisering av prosjektet våren 2009 • Allianse med interne kunder • Lage felles rollemodell (globale roller) • Interaksjonsekspert fra Barduun • For kontroll over typer arbeidsprosesser (arbeidsflyt) – OU-løpet • Interne ressurser • Innføring av systemer parallelt med utvikling – alle typer tekniske miljøer • Faste arenaer - møter • Alliansebygging • Uformelle arenaer
    • Prosjektets utfordringer • Mer krevende enn først antatt: • Ledelsesmessig • Ressursmessig • Økonomisk • Kompetansemessig • Gjennomføringsmessig • Krever høy grad av involvering og deltakelse fra hele organisasjonen • Toppledelsen • Ledere og ansatte • Brukerstøtte • Fagsiden m/ eiere av fagsystemer • HR/Lønn og personal • Sikkerhetsavdelingen • Fagforeningene • Forankring er avgjørende!
    • Prosjektets utfordringer • Avgrens/begrens omfanget av prosjektet • Del prosjektet opp i flere delprosjekter • Tenk arkitektur fra første dag • SSO • Føderering • Lag et målbilde • Gjør et godt og detaljert design • Velg riktig kilde for masterdata (ansatte, innleide og eksterne) • Saksflyt/arbeidsflyt • GUI • Finn et pilot-system • Det største systemet med flest brukere?
    • Prosjektets utfordringer • Se om det kan finnes andre prosjekter i organisasjonen som kan bidra • Sørg for å levere delleveranser som synes • Utfordr leverandører
    • Organisering av prosjektet Styringsgr. Bjørn Paulsen Svein Mobakken Karl Olav Wroldsen Fagforeninger Prosjektleder IdM Sverre Norberg Knut Leirpoll Eric Toverud Prosjektrådgiver Produksjonssetting Eskild Storvik Aina Schrøder Sikkerhet Utvikling TIM Testansvarlig Administrative rutiner Roller & Innføring Informasjon og kom. Trond Bechmann Lars Rennesund Lena Kleven Tor Staff Hege Harreschou Nicola Rivli Policy og standard Teknisk rolleexpert Læring & Dok. AD/TIM/SSO IT-drift Rutiner Brukerstøtte (inkl. arbeidsflyt) GUI-Utvikling IT-drift Rutiner Leder/Ansatt Brukerstøtte IBM/RACF Brukergrensesnitt SAP Utvikling Workflow SAP For regionene TIM-expert Rolleforvalter Oracle/OID via
    • Identitetsforvaltning i Skatteetaten Presentasjon slutt
    • Forvaltning av IdM fra 01.05.2010 Matriseorganisering IT-avdelingen eier IdM i Skatteetaten. Brukerstøtte i IT- avdelingen har rolleforvalter og er prosessansvarlig. Brukerstøtte IT-teknikk IT-drift Rolleforvaltning og innføring Driftsstyring og -vedlikehold Serviceledelse Teknisk forvaltning Sikkerhet og design Dokumentasjon og informasjon Test og produk- sjonssetting 1 person 3 personer 2 personer ½ årsverk 1 ¾ årsverk 1 årsverk