HUS Plus tilannekatsaus 24.5.2010.pptHUS Plus tilannekatsaus 24.5.2010.ppt
1. HUS Plus Tilannekatsaus
Identiteetinhallinta – AD (verkkotunnus)
- Exchange (sähköposti) käyttöönotto 24.5.2010
Mirka Leppänen
Hankepäällikkö
HUS-Tietotekniikka
Henkilöstötoimikunta 15.4.2010
2. 2
Identiteetinhallinta-projektin sisältö
• HRM-hankkeen aikana identiteetinhallinnan piiriin liitetään HUSin sisäiset
käyttäjät (=HUS maksaa palkkaa, eli tiedot Oracle HRMS:ssä) seuraaviin
järjestelmiin:
– Oracle E-Business Suite 2.2.2009
– Active Directory (verkkotunnus) ja Exchange (sähköposti) tavoite 24.5.2010
– Uranus tavoite syksy 2010
• Jatkokehitystä varten perustettava uusi projekti:
– Tuotteistettava uusien järjestelmien liittäminen IDM:ään
– Prioriosoitava mitä järjestelmiä liitetään
– Husin ulkopuoliset käyttäjät mukaan
– Hankittavissa uusissa järjestelmissä kannattaa huomioida IDM:än vaatimukset ja
yhteensopivuus jo kilpailutusvaiheessa
Tuote Toiminnallisuus
Oracle Identity Manager Identiteetinhallinta
= automaattinen käyttöoikeuksien ja käyttäjätunnusten
hallinta
Oracle Access Manager Kertakirjautuminen (www-pohjaisiin ohjelmistoihin)
= yhdellä kirjautumisella pääsee useampaan
järjestelmään
15.4.2010
3. 3
Kertakirjautuminen
• Identiteetinhallinta ei ole sama kuin kertakirjautuminen !
• HRM-hankkeen aikana kertakirjautuminen on otettu käyttöön 2.2.2009
HUS Plus -portaalin ja Oracle HRMS:n, IDM:n ja lomaohjelmiston välissä
– Käyttäjille eivät ehkä ole mieltäneet asiaa, mutta jos sitä ei olisi:
• Ensin kirjauduttaisiin HUS Plussaan
• Ja aina kun menee eri Oracle moduuliin (esim, poissaolot, matkalaskut,
käyttöoikeudet) tai lomaohjelmistoon, joutuisi kirjautumaan uudelleen ko
moduuliin
• HUS-Tietotekniikassa haetaan ratkaisua kertakirjaumiseen käyttäjien
tarkoittamassa mielessä
– Eli kirjautumalla työasemalle, pääsisi ilman uusia tunnuksia ja salasanoja useisiin
eri järjestelmiin
15.4.2010
4. 4
Miten identiteetinhallinta toimii
käytännössä?
• Oracle HRMS on luotettu lähde
– Työsopimus tehdään Oraclen henkilöstömoduuliin
– Sieltä tieto siirtyy Identiteetinhallinta-tuotteeseen
– HUOM! On todella tärkeää tehdä työsopimus ajallaan, ennen sitä ei saa myöskään
tunnuksia!
• Identiteetinhallinta luo automatiikan mukaiset tunnukset käyttäjälle
– Eli oikeuksia ei tarvitse erikseen paperilla tilata
– Voi olla erilaisia prosesseja järjestelmästä riippuen
– Perusoikeudet ilman hyväksyntöjä
– Joihinkin voidaan tarvita esimiehen hyväksyntä
– Ja osassa tarvitaan myös järjestelmän pääkäyttäjän tms. hyväksyntä esimiehen
hyväksynnän lisäksi
• Loppukäyttäjälle Identiteetinhallinta-tuotteeseen edetään HUS Plussan kautta
– Voi tilata lisäoikeuksia (henkilö itse tai esimies)
– Esimiehet hyväksyvät sellaiset oikeudet, jotka vaativat hyväksyntää
– Nämä mahdollisuudet lisääntyvät sitä mukaan, kun uusia järjestelmiä saadaan liitettyä
15.4.2010
5. 5
AD (verkkotunnus) ja Exchange (sähköposti)
liittäminen identiteetinhallintaan –mitä tarkoittaa?
• Tavoiteaikataulu: tuotantokäytön aloitus 24.5.2010
• Tarkoittaa käytännössä, että verkkotunnus ja sähköpostiosoite ja -laatikko
syntyvät automaattisesti kun työsopimus on tehty Oracleen
– Uudet työntekijät
– Vanhojen työntekijöiden tietojen muutokset
– Tunnuksia ei enää haeta paperilla/sähköisellä lomakkeella atk-avusta
• Oikeuksien poistuminen
– Automaattisesti tulleet oikeudet poistuu automaattisesti työsuhteen päätyttyä,
lisäoikeudet eivät
• Levyalueet eivät tule automaattisesti, haetaan toistaiseksi vanhalla tavalla
– Esimiehen hyväksyntä tarvitaan
– Esimiehille lomake Plussassa, henkilöstölle löytyy intrasta lomake
– Toimittajan kanssa haetaan ratkaisua, jotta levyalueet voi jatkossa anoa Plussan
kautta
• Identiteetinhallinta on ollut tuotannossa 2.2.2009 alkaen (tunnus Oracleen)
– Automatiikka on päällä tai ei ole -> ei voi pilotoida osalla käyttäjistä
15.4.2010
6. 6
AD (verkkotunnus) ja Exchange (sähköposti)
liittäminen identiteetinhallintaan – mitä tarkoittaa?
• Esimies ilmoittaa tunnuksen uudelle työntekijälle
– Käyttäjätunnus: etunimi.sukunimi@hus.fi tai HUS-numero
– Salasana: henkilötunnus ilman väliviivaa (kirjain isolla) piste HUS (isolla)
• 311276222K.HUS
• Salasanaa ei voi enää vaihtaa Plussassa, ainoastaan verkkoon kirjautuessa,
josta sama salasana päivittyy myös Plussaan
– Vaikka tunnus/ss on sama, Plussaan kirjaudutaan kuitenkin erikseen
• Poissaoloautomatiikkaa ei oteta mukaan tässä vaiheessa
– Tarkoittaa käytännössä, että kaikilla kenellä on Oraclessa voimassaoleva toimeksianto,
on myös tunnukset verkkoon, sähköpostiin ja Plussaan
– Vaikka olisi pitkä poissaolo, tunnukset eivät poistu välillä
– Tavoitteena saada automatiikka käyttöön syksyllä
• Useat muut projektit odottavat AD:n liittämistä identiteetinhallintaan
– AD:hen on kytketty jo nyt useita järjestelmiä ja lisää on tulossa
– Triplanet
– Riskienhallintajärjestelmä
– Raportoinnit
– Kertakirjautuminen
15.4.2010
7. 7
Tuotantoonlähdön suunnitelma
• AD:ssä olevat sähköpostisoitteet on tarkastettu vastaamaan Oraclessa olevia,
kaikilla AD käyttäjillä on HUS-numero
– Kaikkiaan noin 27 000 kpl, korjattiin satoja, selvittämättömiksi jäi 2%
• HR:n sähköpostitarkastus räätäli otettu käyttöön AD:tä vastaan
– Kun uusi sähköpostiosoite muodostuu, taustalla automaattinen tarkastus, ettei ko
osoite ole jo käytössä
• Testaukset menossa
• Laajamittainen tiedotus tärkeää
• To 20.5. – Su 23.5 käyttöönoton valmistelut
– Viikonlopun aikana tunnukset luodaan pienissä erissä, alkuun yksitellen, jotta
varmistutaan toimivuudesta ja tietojen oikeellisuudesta
– Tarvittaessa keskeytetään ja korjataan
– Viikonloppuna keskeiset henkilöt Husilla ja toimittajilla (Logica+Oracle+Hp+Fujitsu)
päivystävät 24/7
• Su 23.5. illalla lopullinen päätös tuotantokäytön aloituksesta
15.4.2010
8. 8
Identiteetinhallinnan hyödyt
• Käyttöoikeuksien annon ja poiston automatisointi
– Toimintaprosessi tehostuu
• Parempi palvelutaso, koska tunnukset/oikeudet saadaan joustavammin ja
nopeammin käyttöön
• Käyttäjätietojen ylläpito helpottuu
– Kustannustehokkuus, manuaalisia työvaiheita jää pois
• Parantunut tietoturva
– Ajantasainen, helposti raportoitava ja jäljitettävissä oleva tieto käyttöoikeuksista eri
järjestelmiin
– Tunnuksia ei jää roikkumaan
• Roolipohjainen käyttöoikeuksien hallinta
– Tunnuksia ei anneta erikseen jokaiseen järjestelmään vaan henkilölle annetaan ”rooli”,
joka sisältää oikeudet useampaan järjestelmään
– Automatisointi perustuu HUSissa nimikkeeseen ja toimipisteeseen, joista johdetaan
tarvittavat tunnukset ja oikeudet (esim. sairaanhoitaja, kp nnnn Meilahden
päivystyspoliklinikka)
15.4.2010