4. Baggrund
Workshop rapport
Viste at der er væsentlige udfordringer omkring registrering af personer
som skal have tilknytning til AAU, samt med at vedligeholde denne
tilknytning
• Proces for oprettelse i IT-systemer er fokuseret om det enkelte
system, ikke om personen der starter – Dette giver en meget rodet og
ugennemsigtig proces
• Processer håndtere kun ansatte og studerende – Mange er svære at
håndtere
• Væsentligt effektiviserings potentiale
Styregruppemøde maj 2011
PwC 4
5. Hovedobservationer – Behov for Affiliering og
mindskning af person afhængighed
Processer og blanketter er designet som i en 25 mands
virksomhed – ikke til et moderne universistet
• Der anvendes navne som aktører og ikke den funktion der skal udføre
det – funktionen og personen smelter sammen.
• Afspejles i manglende brug af funktionspostkasser/telefoner
• Hvis man ikke er ansat eller studerende falder man udenfor
• Der er forskellig opfattelse af den samme proces, fordi processer ikke
er universielt dokumenteret
• Personer der er ansatte flere steder, får ”skjult” deres sekundære
ansættleses forhold. Dette er ikke kun et problem for IdM men også
for Budgettering og godkendelser
Styregruppemøde maj 2011
PwC 5
6. Hovedobservationer – Behov for transparens
Optimering er sket lokalt på bekostning af det generelle, og
der er kun et begrænset fælles overblik over tværgående
processer
• Man finder en løsning på de største hurdler, hvor man sidder.
• Gode løsninger bliver ikke nødvendigvis udbredt til andre
• Mange optimeringer ødelægger desværre processen senere i kæden
• Der er enighed om at det er andres langsommelighed der gør det
besværligt
• Det er svært at få status på en igangværende sag
Styregruppemøde maj 2011
PwC 6
7. Hovedobservationer – Behov for datamodellering
Implementering opgaven bliver tung på datamodellering men
let på integration
• De anvendte systemer har relativ simple rettigheds modeller
• Organisation og tilknytning til denne er ikke modelleret til en
forretningsmodel – opdeling i Person, tilknytning og funktion
• Der er ikke set tegn på egentlig master data management, hvorfor
mange styrende data ikke vedligeholdes centralt.
• Det skal dog huskes at personers identitet bevares (ikke medarbejder
nummer som email etc.)
• Godkendelses hierarkier bliver ikke anvendt i dag, men er under
udvikling – dog skal disse vedligeholdes løbende
Styregruppemøde maj 2011
PwC 7
8. Hovedobservationer – Behov for
forandringsledelse
Implementeringen bliver ligeledes tung på forandringsledelse
• Oprydning og nye processer svært – system let nok
• Der findes nogle utroligt krøllede processer, som basalt set ressource
orienteret og ikke proces orienterede. Disse skal foldes ud.
• Der skal for organisationen aktiveres atypisk stærk central styring,
men med stor følsomhed overfor de enkelte områder særpræg
• Folk taler ikke altid pænt om hinanden – det er de andres skyld
Styregruppemøde maj 2011
PwC 8
9. Hovedobservationer – Behov for
systemunderstøttelse af oprydning
Systemet skal kunne hjælpe med at skabe orden men må ikke
kræve at der er ryddet op inden implementering.
• Der bliver anvendt forskellige navne standarder i samme system
• Personer kan nemt have flere bruger konti i samme system.
• Der er ikke i dag mulighed for at danne sig et tilstrækkeligt overblik
til at gennemføre en oprydning
• System skal derfor sikre overblik og transparens
Styregruppemøde maj 2011
PwC 9
15. Affiliering - Visitkort
Medarbejder-
erklæring
AD Exhange
Stamkort Infrastruktur
Adgangskort
Jobfunktion
Visitkort
ØSS
Telefon
HR
PwC
Slide 15
16. Affilieringsproces
Affiliering Infrastruktrur Jobfunktion Information
Hvis ansat:
HR
PAU
Registrering
Retur
+ Frigiv konti
PDS Retur
Retur
Øvrige
Godkendelse systemer
AD
Fælles
Mail Godkendelse Orientering
Styregruppemøde maj 2011
PwC 16
17. Ændring af affiliering
Affiliering Infrastruktrur Jobfunktion Information
Hvis ansat:
HR
Registrering
+ Frigiv konti
Retur
Retur
Retur
Øvrige
Godkendelse systemer
Godkendelse Orientering
Styregruppemøde maj 2011
PwC 17
18. Afslutning af affiliering
Hvis ansat:
Nær udløb HR
Ændring af
Orientering
affiliering
Luk konti i Luk konti i
Endeligt
Infrastruktur Øvrige
udløb
system systemer
Registrering
af ophør
Styregruppemøde maj 2011
PwC 18
19. Anmodning om nye rettigheder
Affiliering Infrastruktrur Jobfunktion Information
PAU
Anmodning
Retur
PDS Retur
Retur
Øvrige
Godkendelse systemer
AD
Fælles
Mail Godkendelse Orientering
Styregruppemøde maj 2011
PwC 19
21. Anbefaling – Rollemodel
3 lags rollemodel
• Infrastruktur roller
• Adgang til fælles arbejdsunderstøttende ressourcer (AD, ESDH,
IdM, Adgangskort, SSO etc)
• Jobfunktions roller
• Adgang til Fag - eller Jobfunktionssystemer
• Projekt/Kursus roller
• Styring af adgang til ikke permanente organisationer, hvor der er
en leder, som skal styre arbejdet
Styregruppemøde maj 2011
PwC 21
22. Infrastruktur: Roller eller bare klar tale
Man kan automatisere brugeradministrationen på baggrund af hvad der
udføres manuelt i dag
- Alle medarbejdere skal have mail konto på lokal server =>
If employee = true and Location != null then
create(mail account, lookup(location))
- Alle timelønnede skal kunne registrer tid => If
employee = true and Location != null then
create(SAP account, RegTimeRole, empid))
april 2010
PwC Slide 22
23. Jobfunktion: Mapning af organisation og roller
Default – Altid tildelt
Organisation kan være
Optional – Kan tildeles
• Afdelinger Conditional – Regel styret
• Ledelses hierarkier
Default
• Attestationsret
Optional
• Lokation Conditional
• Projekter
Default
• Tværorg. råd og udvalg
Optional
Conditional
marts 2009
PwC Slide 23
24. Projektrettigheder
Projektejeren kan selv eller gennem uddelegering styre adgangen til en
projektressource
• Oprettelse af eksterne deltagere
• Løbende vedligehold af projektdeltagere
• Evt. automatiseret oprettelse af ressourcer
• Vil frigøre væsentlige ressourcer til administration af
projektressourcer – specielt efterhånden som der vil blive krav om
projectrooms etc.
• Kan ses som en private cloud tanke
Styregruppemøde maj 2011
PwC 24
26. If order and oversight do not exist –
IdM in it self will not bring this
IT
APP Operation DEV
IdM
Adm Server Adm
IdM IdM IdM
Prod Infra Prod
IdM IdM
Real life experience with NAGS and Access Governance in general april 2011
PwC 26
27. Transparens
IT-Sikkerhed
Leder eller lokal
ansvarlig
Affilieret
Person identitet
ID
Roller
ØS 1 ØS 2 AD ADM Rolle administrator
Tekniske roller
Systemer
Sys1 Sys2 Sys3 Sys4
System Ejere
Slide 27
29. Anbefaling – 2 lags system
Separat proces og integrations lag
• Afkobling mellem data til process og provisionering
• Mulighed for Read-only integration => understøttelse af oprydning
Step 1 Step 2 Step 3
Identity broker
System 200
System 10
System 42
System 15
System 23
System 67
System 1
System 2
System 3
System 4
System 1
System 2
System 3
System 4
System 11
System 2
System 6
System 1
System 6
System 9
Provisionering Database Directory AD Mail/ticket
Styregruppemøde maj 2011
PwC 29
30. System valg - SailPoint
Access Governance
Analytics & Reporting
Policy Compliance Role Lifecycle Identity
Management Management Management Warehouse
Governance Provisioning Closed
brooker Loop
IdM Infrastructure Audit
Role
Existing Auto Service Desk Admins detection
scripts provisioning (tickets) (e-mail)
Automatic Manual
Managed
Resources
PwC
Slide 30
33. Roadmap
Forandringsledelse Governance
Datamodellering Integrationog
Roller og
Affilierings life-cycle rettigheds Løbende
Oprydning Automatisering
Oprydningsproces -styring forbedringer
Manuel udførelse
IdM platform
Etablering og udbygning af Værktøjskasse
PwC
Slide 33
34. Projektorganisering
Styregruppe : Beslutningskraft og slagkrft
Advisoryboard : Sikre at alle intressenter bliver hørt
Projektledelse : Skal favne bredt fagligt og organisatorisk
System og Applikations ejerskab : Skal løbende sikre styring og
vedligehold
Styregruppemøde maj 2011
PwC 34
36. Økonomi
År 1 År 2 År 3
Omkostning 5,2 mio. kr. 0,2 mio. kr. 0,2 mio. kr.
Besparelse 1,4 mio. kr. 2,8 mio. kr. 2,8 mio. kr.
Flow -3,8 mio. kr. 2,6 mio. kr. 2,6 mio. kr.
Akkumuleret -3,8 mio. kr. -1,2 mio. kr. 1,4 mio. kr.
Styregruppemøde maj 2011
PwC 36
37. Kvalitative forbedringer
Nøgleforbedringer
Bedre datamodel for beskrivelse af tilknytning til AAU, som vil sikre en
ensartet håndtering af alle affilierede.
Bedre overblik over medarbejdere, brugere og data.
Bedre overblik over sagsgangen på brugeradministrationsområdet.
Mindre irritation på ansættelsesstedet ved ansættelser.
Øvrige forbedringer
Højere sikkerhedsniveau.
Implementeringen af nye systemer vil blive lettet
Bedre mulighed for føderation.
Styregruppemøde maj 2011
PwC 37