IAM

Tilgangstyring (IAM)

Identitets- og tilgangsstyring (IAM) handler om å gi studenter, forskere og ansatte riktig tilgang til digitale systemer, tjenester og ressurser, samt avslutte tilgang for brukere som ikke lenger skal ha det.

Tilgangsstyring fra Uninett sørger for at de riktige personene, får de riktige tilgangene, til riktig tid og av riktig grunn. God tilgangsstyring vil forbedre informasjonssikkerheten og bidra til å realisere digitaliseringsprosjekter i sektoren. 

Beslutningen om å etablere felles tilgangsstyringssystem (IAM) ble fattet av digitaliseringsstyret. Innen en fem års periode, skal alle 21 institusjonene i universitetssektoren ha tatt i bruk tilgangsstyringssystemet. Universitetet i Bergen er nå en pilot. Deretter følger Høgskolen i Molde og OsloMet

Det kommer en innføringsplan for øvrige institusjoner. RapidIdentity (RI) fra Identity Automation er valgt som leverandør.

Riktig tilgang til rett tid - trygt og effektivt!

Tilgangsstyring (IAM) fra Uninett

Identitets- og tilgangsstyring (IAM) handler om å gi studenter, forskere og ansatte riktig tilgang til digitale systemer, tjenester og ressurser, samt avslutte tilgang for brukere som ikke lenger skal ha det.

Hva er tilgangsstyring (IAM)?

Christian Kongshaug i Uninetts IAM-team forklarer IAM.

Universitetet i Bergen er pilot for felles IAM

Universitetet i Bergen skal være pilot for innføring av felles IAM-løsning. Her forteller IT-direktør ved UiB, Tore Burheim, om hvorfor det er viktig for sektoren med en fellesløsning for identitets- og tilgangsstyring.

Hvorfor system for tilgangsstyring?

Digitaliseringen i kunnskapssektoren må bygges på en solid digital grunnmur, og god identitets- og tilgangsstyring er en viktig del av denne grunnmuren. Måten identitets- og tilgangsstyring håndteres på i sektoren i dag medfører en rekke risikoer. Tilganger til systemer og data gis i stor grad manuelt, noe som innebærer utfordringer knyttet til sikkerhet, lav produktivitet og potensielle brudd på lovverk og retningslinjer. 

Beslutningen om å etablere felles system for tilgangsstyring (IAM) ble fattet av digitaliseringsstyret. Uninett AS leder prosjektet, og styringsgruppen består av representanter fra sektoren og Unit.

Det skal bli enklere og sikrererfor de som har ansvar (HR, admin) og de som skal forvalte systemet (IT), samt smidigere for sluttbrukere. 

Hvilke gevinster vil tilgangsstyring gi for min institusjon?

Bedre sikkerhet

  • Bedre håndtering av tilgangsrettigheter. Dette vil reduserer risikoen for uautorisert utlevering av informasjon. Det vil også bli enklere å tilbakekalle utdaterte tilgangsrettigheter for utvalgte grupper.
  • Bedre løsning for identitetshåndtering og brukervennlige metoder for å få tilgang reduserer risikoen for identitetsforfalskning som følge av deling av kontoer.

Etterlevelse av lovverk og retningslinjer

  • Forbedret revisjonsbevis på grunn av bedre innsikt i tilgangsrettigheter, ansvarsfordeling og livssyklus for brukerhåndtering
  • Sikre at lovkrav oppfylles.

Effektivisering 

  • Bedre utnyttelse av interne ressurser og reduksjon av feil gjennom automatisering og standardisering.
  • Reduserte lisenskostnader gjennom å fjerne brukere som ikke lenger skal ha tilgang.
  • Bedre brukeropplevelse for sluttbrukere gjennom innføring av ytterligere funksjonalitet og økt selvbetjening.

Understøtte strategiske mål

  • Øke sektorens evne til å håndtere ytterligere digitalisering fordi det tilrettelegger for felles tjenester, harmonisering av prosesser og standardisering.
  • Tilrettelegge for samhandling på tvers av institusjoner, studentmobilitet og livslang læring.
Hvilket system for tilgangsstyring skal innføres?

RapidIdentity (RI) er navnet på systemet som leveres av den amerikanske leverandøren Identity Automation

RI består av flere komponenter, der de viktigste er: 

Rapid Identity Core Services:
Denne komponenten gir hele sektoren en felles grunnstein i løsningen og muliggjør harmonisering og standardisering på tvers.
Består av et integrasjonslag (Connect) lagringsstruktur (MetaVault og Metadirectory) samt en portal tilgang til tjenesten. 

Rapid Identity Institution Service:
Institution Service gjør det mulig for den enkelte institusjon å sette sitt eget preg på løsningen og gi nødvendig fleksibilitet for lokale forhold.
Består av lokal lagringsstruktur (Portal Directory) samt en portal for sluttbrukere og forvaltere av tjenesten. 

I tillegg innføres en tjeneste for sikker identifisering og kontoaktivering for ansatte, studenter og gjester. 

Når starter utrullingen av tilgangsstyring til sektoren?

Innen en femårsperiode, skal alle 21 institusjonene i universitetssektoren ha tatt i bruk tilgangsstyringssystemet. Universitetet i Bergen er nå en pilot. Deretter følger Høgskolen i Molde og OsloMet.

Det kommer en utrullingsplan for de resterende institusjonene i 2022. 

Hvordan kan vi planlegge innføring av tilgangsstyring på vår institusjon?
  • Utnevne en IAM-koordinator og etablere et tverrfaglig team til å jobbe med forberedelser til innføring av IAM 
  • Kartlegge nåværende prosesser for tilgangsstyring ved din institusjon

  • Kartlegge mål- og kildesystemer 

  • Sette av tilstrekkelig med tid og ressurser 

Vi tar kontakt med institusjonen i god tid før innføring, slik at vi sammen kan planlegge innføring. 

Hva er bakgrunnen for IAM prosjektet

Digitaliseringsstrategien for universitets- og høyskolesektoren 2017–2021 inneholder blant annet følgende tiltak:

5.4.8: Utrede hvordan autentiserings- og autorisasjonsmekanismer bedre kan legge til rette for samarbeid nasjonalt og internasjonalt.

I et saksdokument til møte i digitaliseringsstyret 30. oktober 2018 står følgende:

"Selv om institusjonene i sektoren i dag har fungerende systemer for brukeradministrasjon involverer det å gi tilganger til ulike systemer og data mye manuelt arbeid. Dagens situasjon medfører en rekke risikoer – operasjonelle i form av lav produktivitet, sikkerhetsmessige i form av uautoriserte tilganger og juridiske i form av potensielle brudd med lovverk og retningslinjer.

En felles tilnærming i høyere utdanning og forskning til identitetsforvaltning og tilgangsstyring, såkalt IAM (Identity and Access Management), vil bidra til å realisere gevinster innenfor flere områder:

  • Økt evne til å håndtere ytterligere digitalisering
  • Økt produktivitet og brukeropplevelse for sluttbrukere
  • Bedre etterlevelse av lovverk og retningslinjer
  • Redusert risiko for feil og for uautoriserte tilganger
  • Bedre utnyttelse av interne ressurser
  • Reduserte lisenskostnader
  • Økt produktivitet og effektivisering ved automatisering av tilgangsstyring

De fire BOTT-universitetene gjennomførte i 2017 et forprosjekt for felles IAM, med påfølgende beslutning om å utvikle et realistisk målbilde og plan for realisering. Et slikt arbeid ble gjennomført våren 2018 ved hjelp av eksterne ressurser. Resultatet av dette var en overordnet realiseringsplan og et program bestående av 19 tiltak tenkt gjennomført de neste 5 år. Mulighetsstudien anbefaler at man starter med å gjennomføre markedsundersøkelse, beslutte anskaffelsesstrategi, utarbeide kravspesifikasjoner for felles plattform samt å harmonisere grunnleggende begreper og prosesser. Parallelt med dette startes arbeidet med felles prosesser, roller og tilganger i de ulike fagområdene (HR, økonomi, sak/arkiv, mv).

BOTT, Unit og Uninett har hatt og ønsker et videre samarbeid på området. Unit vil eie prosjektet for felles IAM i sektoren, Uninett vil være prosjektgjennomfører og et av BOTT-universitetene vil være pilot. Universitetet i Bergen er pekt ut som pilotinstitusjon av universitetsdirektørene i BOTT."

Hvordan er IAM prosjektet organisert?

Prosjektleder: Kjell Sivertsen, Uninett AS

Prosjekteier: Hildegunn Vada, Uninett AS

Styringsgruppe:

  • Tom Are Røtting, Uninett AS (leder)
  • Sigurd Eriksson, UNIT
  • Elisabeth Ernø Borhaug, USN
  • Lars Oftedal, UiO
  • Tore Burheim, UiB
  • Odd Arne Paulsen, UiT
Felles IAM og demo av RapidIdentity
Erfaringer fra IAM-pilotering ved UiB og forventet innsats fra institusjonene
Felles IAM: Identity Automation presenterer systemløsningen