"Skatteetaten", den norska skattemyndigheten, har under de senaste åren skapat förutsättningar för en omfattande automatisering och standardisering av åtkomstkontroll till sina system. Automatisering uppnås vid direkt koppling till myndighetetens personalsystem och genom att godkännandeprocesser fördelas ut i linjeorganisationen med hjälp av emailbaserat arbetsflöde. Denna presentation hölls vid ett seminariepass för Tivoli på IBM Software Day 2010. Talare: Knut Leirpoll och Eskild Storvik, projektledare, Skatteetaten
2. Hovedpunkter
• Bakgrunn og hovedmål for prosjektet
• Styringssystem for informasjonssikkerhet
• Prinsipper og målbilde for identitetsforvaltning
• Roller
• Tid og leveranseplan for prosjektet
• Erfaringer og utfordringer i prosjektet
4. Skatteetaten, oversikt over org.
Finansdepartementet
Skattedirektoratet
Skattedirektør
Skatteetatens IT-
Staber
og servicepartner
Innovasjons- og
Regionavdelingen Rettsavdelingen
utviklingsavdelingen
Skatt Skatt Skatt Skatte-
nord vest øst opplysningen
Skatt
Skatt Sentralskatte- sør Sentralskatte- Oljeskatte-
Midt-Norge kontoret for kontoret for kontoret
utenlandssaker storbedrifter
5. Identitetsforvaltning i Skatteetaten
• Bakgrunn:
• Bestilling fra IT-direktøren, Karl Olav Wroldsen, primo 2008
• Etterlevelse av tilbakemelding til Skatteetaten fra Riksrevisjon (Auditor
General of Norway)
• Hva er identitetsforvaltning?
• Forvaltning av tilgangsstyring for ansatte, innleid personell og eksterne
brukere
• Skatteetatens utfordring:
• Det eksisterte tidligere flere alternativer for å søke om, og gi
tilgang/autorisasjon til etatens systemer.
• Et stort ”skjemavelde”, manuelt og papirbasert for å søke tilgang
6. Hovedmål
• Identifiserte forbedringsområder:
• de som skal søke om tilgang til Skatteetatens systemer
• de som skal gi tilgang til Skatteetatens systemer
• de som skal ha oversikt over hvem som har tilgang til de ulike systemene i
Skatteetaten
• forenklet revisjon og mer helhetlig kontroll
• Hovedmål for prosjektet Identitetsforvaltning:
• Etablere en sikker, enhetlig, brukervennlig og reviderbar løsning for
autorisasjons- og tilgangsadministrasjon for interne brukere i
Skatteetaten
• Løsning:
• Etablere sentrale felles grensesnitt med større grad av automatiserte
prosesser for tilgangsstyring til etatens systemer ved bruk av
tilgangsroller
7. Prosjektets hovedoppgaver
• Roller og rolleforvaltning
• Etablering av roller – globale roller, tilgangsroller og regulative roller
• Etablerer rolleforvaltning – en egen stilling som rolleforvalter
• Design og utvikling av Skatteetatens løsning for identitetsforvaltning
• Det tekniske utviklingsløpet er basert på IBMs Tivoli Identity Manager
(TIM)
• Tilordne Skatteetatens systemer mot TIM
• AD – ”Microsoft-systemer”
Utvikling
• OID – Oracleporteføljen
• RACF – Stormaskinporteføljen
• Produksjonssetting av leveranser
Prod.
• herunder forberede BS og IT/drift
sett
• få på plass rolleforvaltning
Rollekonsept Innføring
tilordning
9. Identitetsforvaltning i styringssystem for
informasjonssikkerhet
• Ny policy for Identitetsforvaltning (beskriver hva)
• Organisatoriske/politiske føringer for løsning
• Ny standard for brukeridenter (beskriver hvordan)
• Gjelder nye brukere (eksisterende ansatte beholder sin brukeridenter)
• Brukergrupper delt i 3 kategorier:
Ansatt:
• Ansatt i Skatteetaten med arbeidskontrakt (fast, deltid, vikar, engasjement)
Innleid:
• Innleid igjennom et avrop, eller kontrakt etc. (konsulenter, leverandører)
Ekstern:
• Eksterne personer som har behov for tilgang (f.eks. Riksrevisjonen)
• Typisk underlagt andre oppdragsavtaler enn kontrakter
10. Ny standard for brukeridenter
a72345 p75432
Høye
a administrative p
tilganger
m72345 k75432
Ordinære
m tilganger k
e87654
Ansatte e
- Fast Innleide
- Vikar - Konsulenter
- Engasjement Eksterne - Leverandører
Standard for nye personlige brukeridenter: Prefiks (1 bokstav) + tall (5 siffer)
Policy:
• Brukeridenten skal være unik og entydig knyttet til en person og skal kun gjenbrukes av samme person.
• Et system skal ikke kunne utnytte brukeridentens struktur eller verdi (unntak IdM-verktøyet)
• Brukerident skal være knyttet til arbeidsavtale (ansatt, innleid eller ekstern bruker)
12. Prinsipper for flyt av informasjon
• Personalsystemet er ”master” for persondata som er nødvendig for
håndtering av personal- og lønnsaktiviteter
• Autorisasjons- og tilgangsadministrasjonsverktøyet (TIM) er ”master” for
tilleggsdata for å foreta identitetsforvaltning
• Brukeridenter
• Mobiltelefonnummer (passord på SMS)
• Tilgangsroller
• TIM foretar automatisk datafangst fra personalsystemet daglig
• Saksflyt for å kvalitetssikre persondata som er kritisk for identitetsforvaltning
• Ved ansettelse og ”fravær” skal leder godkjenne før tilganger iverksettes eller fjernes.
• Fratredelse av medarbeidere gjøres automatisk på bakgrunn av registrering i
personalsystemet.
• Når medarbeider bytter org.enhet skal både gammel og ny leder informeres om endring.
• Web-grensesnitt for registrering, godkjenning, endring og sletting
• Andre systemer henter relevante persondata fra TIM (f.eks Skattenett)
13. Målbildet
Eksterne:
Administrasjon Lønn og Persondata
Personal- personal Org.data
Ansatte:
Autorisasjons- systemet Ansettelse, permisjon, fratredelse Brukerstøtte
ansvarlig
Personopplysn. (navn, fødselsnr, ++)
Org.data (ansattnr, nærm.leder ++)
Innleide:
Persondata
Org.data
Web-GUI
TIM
1-instans ID-senter
- Fødselsnr/
Leder Autorisasjon LDAP-master D-nr/Fiktivt nr
- Navn
Tilrettelegger Web Arbeids- Tilgangs- - Ansattnr
GUI flyt roller - Brukeridenter
2-instans
Windows Oracle AIX Host
Faginstans AD / OID / Unix / RACF
Brukerident LDAP Brukerident LDAP Brukerident LDAP Brukerident
Bruk
SSO Autentiserings- Fagsystem
Bruker Applikasjon
Brukerident
server Brukerident
14. Realisering av målbildet
Eksterne:
Administrasjon Lønn og Persondata
Personal- personal Org.data
Ansatte:
Autorisasjons- systemet Ansettelse, permisjon, fratredelse Brukerstøtte
ansvarlig
Personopplysn. (navn, fødselsnr, ++)
Org.data (ansattnr, nærm.leder ++)
Innleide:
Persondata
Org.data
Web-GUI
TIM
1-instans ID-senter
- Fødselsnr/
Leder Autorisasjon LDAP-master D-nr/Fiktivt nr
- Navn
Tilrettelegger Web Arbeids- Tilgangs- - Ansattnr
GUI flyt roller - Brukeridenter
2-instans
Windows Oracle AIX Host
Faginstans AD / OID / Unix / RACF
Brukerident LDAP Brukerident LDAP Brukerident LDAP Brukerident
Bruk
SSO Autentiserings- Fagsystem
Bruker Applikasjon
Brukerident
server Brukerident
16. Rolletyper
• Globale roller
• Ett sett av tilgangsroller og regulative roller
• Tilgangsroller
• En del av et system
• Regulative roller
• Gjennomgående tilgang
17. Modell Skatteetaten basis
(automatisk)
SKD/
Kontroll og Innkreving Skattekrim
PV og SOL Fastsetting SITS
rettsanvendelse basis
Folkeregister Folkeregister Svalbard
LP & Næring Personregister Jurister
Merverdiavgift Merverdiavgi
Oppgave SKO-gruppe
ft basis
Arveavgift Arveavgift Oppgavekontroll
Skatt person Manntall Standard
Mulige tilganger
Skatt Ikke valgbar
upersonlige
Kontroll og Innkreving Skattekrim SKD/
PV og SOL Fastsetting
rettsanvendelse basis SITS
18. Rolle: Skatteetaten basis (alle får automatisk)
Region: Alle
(Intranett)
(Internett aksess)
(Tidsregistrering
og tidfordeling)
(SAP)
(ePhorte)
19. ePhorte adapter
Overgang fra Identity Management til Access
Management
• To sett av verdier
• Standardverdier:
• Utvikles som en hovedtabell hvor SAP-verdiene og ePhorte-
verdiene ligger samlet.
• Tilgangskoder:
• Utvikles som en hovedtabell/register inneholdende aktuelle
tilgangskoder med tilhørende handlingsregel
20. Første settet – data fra SAP
Ti
Organisasjonsverdi fra SAP gir ett sett av verdier i ePhorte
• Ca 600 organisasjonsenheter i Skatteetaten
• En til en kopling mellom verdi i SAP og settet av verdier i ePhorte
22. Fra globale rolle til tilgang
En ny
Finnes 22 mulige globale roller
ansatt
En global rolle:
Gir tilgang til 11 systemer
Basis
Ett system:
Kan gi tilgang til 18 Tilgangskoder
ePhorte
Gir automatisk 5 Som gir tilgang til saker og
tilgangskoder i ePhorte dokumenter
Arbeidsflyt: Nyansettelse
24. Tid og leveranseplan
Nivå 1: SAP integrasjon med SL-roller i TIM
-TIM:
- Utført datafangst fra SAP (org. data og persondata) og etablert kvalitet eksisterende data
- Etablert TIM 5.0 med nødvendig infrastruktur
- Deaktivert TIM 4.5
- Designet autorisasjonsløsning for SL-pilot (inkl. organisatoriske endringer)
- Etablert SL-GUI for medarbeider og leder (inkl. reg. av tilrettelegger/stedfortreder)
Roller:
- Lastet lokale SL-roller i TIM for pilot med SL08
- Etablert OID-integrasjon med SL
Nivå 1: Leder autoriserer medarbeider for SL-”pilot” jan 09
Nivå 2: Saksflyt ved ansettelse og fratredelse
TIM:
- Designet og etablert saksflyt med nødvendig funksjonalitet ved ansettelse og fratredelse
- Etablert GUI for mellomleder for tilgangsstyring av egne ansatte
- Etablert ID-senter iht. ny standard i TIM
- Utarbeide oversikt over merkostnader ved prosjektet og utarbeide
Roller:
- Etablert basistilgang for ansatt (Skattenett, IPA, ElArk, filområde …)
- Etablert lokale roller og integrert systemene DVH, SERG i TIM/OID
Nivå 1 + Leder godkjenner medarbeider ved ansettelse og fratredelse.
aug 09
25. Tid og leveranseplan
Nivå 3: Saksflyt ved fravær inkl. globale roller for egnede systemer
TIM:
- Etablert saksflyt og nødvendig funksjonalitet ved fravær
- Etablert funksjonalitet for registrering av stedfortreder
- Etablert funksjonalitet for registrering og tilgangsstyring av innleid personell
- Etablert funksjonalitet for tilgangsstyring for faginstans
Roller:
- Etablert basistilgang for innleid
- Integrert og etablert lokale roller for Fonsa, AR, MVA og Stormaskin
- Etablert og testet global rolle for AR, SL og SERG (tilgang på tvers av systemer)
Nivå 2 + Leder og stedfortreder utfører tilgangsstyring for egnede systemer
Faginstans og stedfortreder utfører tilgangstyring
nov 09
Nivå 4: Identitetsforvaltning m/eksisterende tilgangsgrupper
TIM:
- Etablert utviklingsmiljø for TIM
- Etablert funksjonalitet for saksflyt ved tilgangsroller og periodisk godkjenning
- Etablert funksjonalitet for tilgangsstyring av eksternt personell
- Etablert tilrettelegger og tilrettelagt funksjonalitet for autorisasjonsunderlag inkl. 2-nivå autorisasjon
Roller:
-Etablert og integrert rammeverk for roller i Skatteetaten
-Videre innføring av tilgangsroller for systemer
-Etablert forretningsprosess for rollehåndtering
-Etablert prototype for global rolleliste (Skatt Sør Fastsetting)
-Nivå 3 + Leder utfører full tilgangsstyring av TIM-baserte tilganger og reviderer tilgang på egne ansatte feb 10
27. Prosjektets utfordringer
• En av de første i verden på TIM med delegert selvbetjening
• Egen partnerskapsavtale med IBM fra sommeren 2009
• Skaffe tilstrekkelig kompetanse inn i prosjektet
• Fullstendig reorganisering av prosjektet våren 2009
• Allianse med interne kunder
• Lage felles rollemodell (globale roller)
• Interaksjonsekspert fra Barduun
• For kontroll over typer arbeidsprosesser (arbeidsflyt) – OU-løpet
• Interne ressurser
• Innføring av systemer parallelt med utvikling – alle typer tekniske miljøer
• Faste arenaer - møter
• Alliansebygging
• Uformelle arenaer
28. Prosjektets utfordringer
• Mer krevende enn først antatt:
• Ledelsesmessig
• Ressursmessig
• Økonomisk
• Kompetansemessig
• Gjennomføringsmessig
• Krever høy grad av involvering og deltakelse fra hele organisasjonen
• Toppledelsen
• Ledere og ansatte
• Brukerstøtte
• Fagsiden m/ eiere av fagsystemer
• HR/Lønn og personal
• Sikkerhetsavdelingen
• Fagforeningene
• Forankring er avgjørende!
29. Prosjektets utfordringer
• Avgrens/begrens omfanget av prosjektet
• Del prosjektet opp i flere delprosjekter
• Tenk arkitektur fra første dag
• SSO
• Føderering
• Lag et målbilde
• Gjør et godt og detaljert design
• Velg riktig kilde for masterdata (ansatte, innleide og eksterne)
• Saksflyt/arbeidsflyt
• GUI
• Finn et pilot-system
• Det største systemet med flest brukere?
30. Prosjektets utfordringer
• Se om det kan finnes andre prosjekter i organisasjonen som kan bidra
• Sørg for å levere delleveranser som synes
• Utfordr leverandører
31. Organisering av prosjektet
Styringsgr. Bjørn Paulsen
Svein Mobakken
Karl Olav Wroldsen Fagforeninger
Prosjektleder IdM Sverre Norberg
Knut Leirpoll Eric Toverud
Prosjektrådgiver Produksjonssetting
Eskild Storvik Aina Schrøder
Sikkerhet Utvikling TIM Testansvarlig Administrative rutiner Roller & Innføring Informasjon og kom.
Trond Bechmann Lars Rennesund Lena Kleven Tor Staff Hege Harreschou Nicola Rivli
Policy og standard Teknisk rolleexpert Læring & Dok.
AD/TIM/SSO IT-drift Rutiner Brukerstøtte
(inkl. arbeidsflyt)
GUI-Utvikling IT-drift Rutiner Leder/Ansatt Brukerstøtte
IBM/RACF
Brukergrensesnitt SAP
Utvikling Workflow SAP For regionene
TIM-expert Rolleforvalter
Oracle/OID via
33. Forvaltning av IdM fra 01.05.2010
Matriseorganisering
IT-avdelingen eier IdM i Skatteetaten. Brukerstøtte i IT-
avdelingen har rolleforvalter og er prosessansvarlig.
Brukerstøtte IT-teknikk IT-drift
Rolleforvaltning og innføring
Driftsstyring og -vedlikehold
Serviceledelse
Teknisk forvaltning
Sikkerhet og
design
Dokumentasjon
og informasjon
Test og produk-
sjonssetting 1 person 3 personer 2 personer
½ årsverk 1 ¾ årsverk 1 årsverk