Identitets og tilgangsstyring – IAM

Identitets- og tilgangsstyring (IAM) handler om å gi studenter, forskere og ansatte riktig tilgang til IT-systemer (målsystemer), tjenester og ressurser til riktig tid, samt avslutte tilgang for brukere som ikke lenger skal ha det.

God tilgangsstyring bidrar til å realisere digitaliseringsprosjekter i kunnskapssektoren.

Ved å automatisere og sikre tilgangsstyring, unngår du de manuelle prosessene som historisk har ledet til svekket sikkerhet, lav produktivitet og potensielle brudd på lovverk og retningslinjer.

Felles IAM vil gi gevinster i form av

  • bedre informasjonsssikkerhet
  • bedre etterlevelse av lovverk og retningslinjer
  • bedre utnyttelse av interne ressurser
  • reduserte lisenskostnader
  • bedre tilrettelagt samspill mellom institusjonene ved standardisering av tilgangsstyringen

Hvordan fungerer Felles IAM?

Felles IAM fungerer på den måten at alle brukere vil ved oppstart ha de tilgangene de trenger. Dette er basert på informasjon om brukerens tilhørighet, stillings- og yrkeskode, registrert i kildesystemer som inkluderer lønnssystem (SAP) og Felles studentsystem (FS). Brukerne vil også ha mulighet til å søke om tilganger utover dette.  

Felles IAM har god og moderne funksjonalitet med en tilknyttet selvbetjeningsløsning som gir økt brukeropplevelse.

Viktig byggekloss i digitaliseringsarbeidet

For å tilrettelegge for digitalisering i kunnskapssektoren kreves det en solid grunnmur. Felles IAM er en viktig byggekloss i denne grunnmuren da den er navet i teknologilandskapet hos institusjonene.

Med Felles IAM får du en løsning for tilgangsstyring som gjør at alle tilkoblede systemer kan standardiseres og optimaliseres for kun den ene løsningen.

Kjernesystemet i Felles IAM er RapidIdentity, et tilgangsstyringverktøy som er utviklet av Identity Automation. Dette verktøyet har vi i samråd med sektoren tilpasset til den norske kunnskapssektoren.

Les mer om Rapid Identity

I tillegg til støtteverktøy som Feide, IntArk og Sikt Account Claim (kontoaktivering), danner RapidIdentity de tekniske komponentene vi omtaler som Felles IAM.

Beslutningen om å etablere et felles system for tilgangsstyring (IAM) ble fattet av Digitaliseringsstyret, og skal innføres og driftes av Sikt. Innen 2027 er målet at alle institusjoner underlagt Kunnskapsdepartementet har fått innført Felles IAM.

Funksjoner i Felles IAM

Kontoaktivering (Account Claim) er et eget brukergrensesnitt. Det er her du som bruker kan

  • sette førstegangspassord 
  • bytte av passord og få hjelp ved glemt passord
  • sette og endre pinkode til adgangskort  
  • laste opp profilbilde (gjelder bare for noen institusjoner)

Når du registreres som en nyansatt i et lønnssystem eller som ny student i Felles studentsystem, får du automatisk en brukerkonto.

Du får en e-post når brukerkontoen er opprettet, og du må selv aktivere kontoen.

Se hvordan du aktiverer en brukerkonto for brukere med norsk fødselsnummer, eller hvordan du gjør det uten ID-porten lengre ned på siden.

Du som student eller ansatt med norsk fødselsnummer, kan aktivere brukerkontoen din slik

  1. Du får en e-post til din private e-postkonto. Klikk på lenka "Aktivere brukerkonto".
  2. Første gang du logger inn må du velge "Logg inn med ID-porten".
  3. Gå gjennom sikkerhetserklæringen.
  4. Deretter må du opprette et passord.
  5. Når dette er utført er brukerkontoen din aktivert. Du vil få en bruker-ID til Feide, i tillegg til en ny e-postadresse, jobbmail eller studentmail.

Du som student eller ansatt uten norsk fødselsnummer, kan aktivere brukerkontoen din slik

  1. Du får en e-post til din private e-postkonto. Klikk på lenka "Aktivere brukerkonto".
  2. Første gang du logger på må du bekrefte din identitet. Dette gjøres ved at du får en e-post til din private e-postadresse, og en SMS til ditt private mobilnummer.
  3. Så må du gå gjennom en sikkerhetserklæring.
  4. Deretter må du opprette et passord.
  5. Når dette er utført er brukerkontoen din aktivert. Du vil få en bruker-ID til Feide, i tillegg til en ny e-postadresse, jobbmail eller studentmail.

RapidIdentity (RI) er regelmotoren i Felles IAM (Identity Access Management). RI omtales også som et Identity Governance and Administration (IGA). Et IGA skal

  • tildele roller og tilganger i henhold til behov, og deaktivere disse når behovet er borte
  • gi et fullstendig bilde av hvilke tilganger en bruker har og hvorfor.

Brukerroller (forretningsroller) etableres i regelmotoren basert på hva en bruker er ansatt som. For eksempel en driftstekniker, avdelingsleder, dosent, forsker eller stipendiat. Systemtilganger eller systemrettigheter må du tildele direkte i målsystemene.

Har du behov for enda mer finspisset regelmotor, for eksempel for å skille mellom saksbehandlere som skal behandle sensurer og saksbehandlere som skal behandle klager? Dette kan løses ved å integrere ROLF med Rapid Identity, slik at du får et autoritativt kildesystem i tillegg til lønnssystemet SAP.

En ansatt kan være ansatt i fast-, midlertidig-, eller i åremålsstilling og har en arbeidsavtale. Dette kan være en heltidsstilling, deltidsstilling eller timebetalt stilling. Felles for alle er at en ansatt mottar lønn.

En arbeidstaker har en tilknytning til utdanningsinstitusjonen og skal derfor ha en brukerkonto ved institusjonen. Brukerkontoen vil bli opprettet automatisk når informasjon om personen registreres i lønnssystemet og overføres til RapidIdentity.

Permisjoner som ikke påvirker arbeidstakerens status, for eksempel sykemelding, foreldrepermisjon, velferdspermisjon eller forskningstermin, fører ikke til at brukerkontoen blir deaktivert.

En student defineres som en person med tilknytning til et studieprogram eller emne, enten gjennom en studierett, undervisningsmelding eller vurderingsmelding. Dette inkluderer også privatister.

Ulike typer studenter:

  • Studieprogramstudent
  • Enkeltemnestudent
  • Privatist. Per i dag har privatister enten studierett som privatist eller bare vurderingsmelding. Privatistrollen må defineres nærmere med spesifikke tilganger for privatister. Tilganger til målsystemer (IT-systemer) vil variere per institusjon.
  • Etter- og videreutdaningsstudenter
  • Doktorgradskandidat (PhD-kandidat)

Brukerkonto for studenter tildeles likt uavhengig av hvilken type student en er. Brukerkontoens innhold og tilganger gis basert på studierett, og undervisnings- og vurderingsmeldinger.

Gjester blir inndelt i kategoriene kortvarig og langvarig gjest.

En langvarig gjest defineres som en ekstern som ikke får utbetaling fra institusjonen den er gjest i. Langvarige gjester kan eksempelvis være emeritus, konsulenter og gjesteforskere. Langvarige gjester følger samme prosess som ansatte med brukerkonto.

En kortvarig gjest har en tilknytning til institusjonen som kun varer i inntil 30 dager. Det kan for eksempel være en foredragsholder eller konferanse-, seminar- eller prosjektdeltaker.

Et gjestesystem kalt GREG kan integreres med RapidIdentity, og vil da fungere som et kildesystem for gjester.

I selvbetjeningsportalen (RapidIdentity Portal) kan du som bruker utføre administrasjonsoppgaver og IAM-sakshåndtering. Tjenesten leveres via en webtjeneste. 

Funksjonaliteter og applikasjoner i selvbetjeningsportalen kan dere som institusjon velge selv ut fra moduler fra RapidIdentity.

Via selvbetjeningsportalen kan ansatte, langvarige gjesteforelesere og studenter søke utvidede tilganger til ulike systemer og tjenester.

Det er en leder som utfører saksbehandlingen av søknader om utvidede rettigheter.

I portalen har du oversikt over søknader som venter på godkjenning.

Når du skal behandle søknader, må du hake av for om søknaden godkjennes eller avslås​.

Dokumentering i portalen gjør det sporbart hvem som har tildelt eller avslått en utvida rettighet .

Status og plan for utrulling

Dette er den foreløpige planen for utrulling av IAM.

NårHvemProduksjonssatt
2022Universitetet i BergenJa
2023OsloMet
Høgskolen i Molde
Universitetet i Tromsø
Ja
Februar 2024Nord universitetJa
Prosjektet pågårMeteorologisk institutt
Prosjektene starter 1. kvartal 2024Arkitektur- og designhøgskolen i Oslo
Samisk høgskole
Prosjektene starter 2. kvartal 2024Norges miljø- biovitenskapelige universitet
Universitetet i Sørøst-Norge

Produkt- og tjenestevilkår

Løsningen krever at virksomheten har Feide, IntArk og OrgReg implementert i forkant av innføringsfasen. I tillegg kreves det at virksomheten etablerer et mottaksprosjekt.  

Sikt vil i tiden før innføringsperiode ta kontakt med virksomheten for koordinering og en avsjekk rundt de forutsetningene.

Sikt leverer Felles IAM som en tjeneste til Virksomheten (IAMaaS)   

Løsningen er basert på produktet Rapid Identity fra Identity Automation, og det er konfigurert og modifisert basert på Virksomhetens krav til IAM-løsning (se kravdokumentasjon og løsningsbeskrivelse for funksjonell beskrivelse av løsningen). Løsningen leveres som en skytjeneste fra AWS i Stockholm.   

Videreutvikling av Felles IAM vil skje som en kombinasjon av produktevolusjon ifbm. at Sikt innrullerer nye Virksomheter på løsningen, prioriterte råd og ønsker fra Arbeidsgruppen IAM og evt. spesielle ønsker som Virksomhetene tar initiativ til.  

Humio benyttes som aggregator av loggfiler og bistår med å monitorere feilsituasjoner. Virksomheten vil få tilgang til alle logger samlet fra Virksomheten gjennom Humio-verktøyet. Det vil ikke under denne avtalen være anledning til å benytte Humio til andre formål enn å overvåke logger knyttet til IAM.  

Med integrasjoner mot Virksomhetens kilde- og målsystemer sikrer man oppdatert informasjon og økt sikkerhet.  

Les mer for ytterligere beskrivelse av tjenesten, løsningsbeskrivelse og supplerende dokumentasjon

Kunden forplikter seg i den forberedende fasen av innføring av IAM til å delta med ressurser for å sikre dokumenteringsarbeid som bidrar til at innføring kan gjennomføres i henhold til tid og øvrig plan. Nærmere detaljer om dette gjennomgås i samarbeid med Virksomheten og Sikt.

Kunden forplikter seg til å gjøre seg kjent med de til enhver tid gjeldende kontaktpunkt hos Sikt for support og til å være påmeldt meldingskanaler for viktige driftsmeldinger.

Kunden er selv forpliktet til å ivareta rutiner for passord og administrativ adgang som hindrer uønsket adgang til tjenesten og lagrede data i tjenesten. Kunden er kjent med at Sikt ikke har innsyn i eller administrativ tilgang til kundens IAM-plattform.

Virksomheten er ansvarlig for å holde brukerdata oppdaterte og ha klare rutiner for oppdatering. Rutinene må inkludere fjerning av brukere som virksomheten ikke lenger ønsker å ta ansvar for.

Tjenesten har Servicenivå 2

Servicenivået beskriver

  • Kontaktpunkter og respons- og svartider tider ved behov for support og for å melde feil.
  • Eventuell varsling ved feil og planlagt arbeid

Oppdatering og vedlikehold av Rapid Identity med tilhørende infrastruktur i AWS, utføres av Identity Automation (tredjepartsleverandør) basert på følgende:

  • Planlagt vedlikeholdsvindu
    • Den 1. og den 3. torsdagen hver måned
    • Fra kl. 20.00 til midtnatt (fra kl 2:00 PM til 06:00 PM CST)
    • Ustabilitet vil kunne oppleves på grunn av eventuell nedetid, brudd i meldingsflyten og omstart under vedlikeholdsvindu
    • Oppdatering i RI-portal og oppgradering av infrastruktur er planlagte aktiviteter som kan legges til vedlikeholdsvindu
    • Det vil kunne være vedlikeholdsvindu hvor ingen oppdatering eller aktiviteter utføres
    • Sikt vil sikre at oppdateringer og vedlikehold utsettes til neste vedlikeholdsvindu dersom det kolliderer med utrullingsaktiviteter
  • RI oppdateringspolicy
    • Når en oppdatering er lansert vil RI-portaler i dev-miljøer (test) bli oppdatert først
    • 2 uker etter at RI-portaler i test er oppdatert oppgraderes RI-portalene i produksjonsmiljøene

Virksomheten har et selvstendig ansvar for å sørge for tilfredsstillende informasjonssikkerhet ved egen bruk av tjenesten. Dette følger blant annet av bestemmelsene i eForvaltningsforskriften og personopplysningsloven.

Det innebærer at virksomheten skal vurdere risikoen for brudd på sikkerheten og iverksette nødvendige sikringstiltak for å beskytte informasjonens konfidensialitet, integritet og tilgjengelighet. Vurdering og iverksetting av nødvendige sikringstiltak skal skje innenfor rammen av virksomhetens ledelsessystem for informasjonssikkerhet.

Det skal inngås en databehandleravtale før tjenesten tas i bruk. Informasjon om håndtering av sikkerhet og personvern i tjenesten finnes nærmere beskrevet i databehandleravtalen.

Sikt har gjennomført risiko- og sårbarhetsvurderinger med deltakelse fra sektoren og det er gjennomført vurdering av personvernkonsekvenser.

Tjenesten faktureres med en etableringskostnad og gjennom en årlig tjenesteavgift. Prisen beregnes ut fra antall årsverk (FTE) ved Virksomheten. Første fakturering av driftskostnaden skjer når implementeringsprosjektet starter.

Det må påregnes ekstra kostnader for integrasjoner mot kildesystem og målsystem som ikke inngår i omfang.

Sikt kan tilby rådgivningstimer i innføringsfasen. Dette vil eventuelt spesifiseres i eget avtaleverk.

Sikt eier og forvalter tjenesten, samt prosjektløpet for innføring som utføres i samspill med organisasjonen.

En arbeidsgruppe for IAM underlagt tjenesterådet skal sikre at tjenesten er etter behov fra kundenes ønsker. Gruppen har jevnlige møter, samt et område for digital samhandling hvor IAM-prosesser og tekniske behov drøftes på vegne av sektoren.  

Sikts generelle tjeneste- og leveransebetingelser er gjeldende for tjenesten.

Se Sikts generelle tjeneste- og leveransebetingelser

Der det eksisterer avtaler eller betingelser for enkelttjenester som dekker områdene i de generelle betingelsene, går avtalen for enkelttjenesten foran de generelle betingelsene.

Relaterte produkter og tjenester