Slik får ansatte uten jobb-PC tilgang til bedriftens applikasjoner

Slik får ansatte uten jobb-PC tilgang til bedriftens applikasjoner

Ansatte uten jobb-PC, typisk innen handel og tjenesteytende næringer, har frem til nå verken trengt eller hatt tilgang til bedriftens IT-tjenester. Nå som arbeids- og kommunikasjonsprosesser digitaliseres, er bedriftene derimot avhengig av at alle ansatte har tilgang til én eller flere applikasjoner, og da dukker det raskt opp flere utfordringer!

Alexander Friedensburg

Alexander Friedensburg
04. oktober 2019

For å få tilgang til bedriftens applikasjoner, må den ansatte være registrert med en identitet i bedriftens IT-system. Bedriften blir gjerne klar over behovet for en identitet for ansatte uten jobb-PC, først når de skal innføre den første applikasjonen som også denne gruppen skal ha tilgang til. Flere har opplevd dette eksempelvis i forbindelse med innføring av det interne samarbeids- og kommunikasjonsverktøyet Workplace from Meta. En applikasjon som er nærmest avhengig av at alle ansatte får tilgang.

Typiske utfordringer som gjerne dukker opp er:

  1. Hvordan invitere ansatte som ikke har e-post?
  2. Hvordan organisere identitetsinfrastrukturen / hvor skal de logge seg på?
  3. Hvordan få kontroll over brukerlivssyklusen?
  4. Hvordan distribuere nye applikasjoner?
  5. Selvbetjening og opplæring – eller tilpasning av brukerstøtten?

1. Hvordan invitere ansatte som ikke har e-post?

Problemstillingen er grunnleggende og langt fra uvanlig. Cloudworks har innført skytjenester i flere bedrifter med titusenvis av ansatte uten e-post tilknyttet bedriften. Det finnes flere alternativer. Noen er bedre enn andre, men ingen er perfekte.

Fremgangsmåten må tilpasses bedriften, krav til sikkerhet og noen ganger også regulative forhold. I eksempelvis Tyskland ønsker som regel ikke de ansatte å bli kontaktet av sin arbeidsgiver via SMS på sin private mobiltelefon.

Privat e-post

Privat e-post kan være et naturlig valg, og kanskje mottar den ansatte allerede lønnsslippen på denne måten. Er ikke dette allerede en innarbeidet kanal, så er typiske utfordringer at mailadressen er utdatert eller at den ansatte simpelthen ikke bruker den aktivt.

Ut fra en sikkerhetsvurdering er det største problemet at bedriften ikke kontrollerer e-posttjenesten. I verste fall kan en utenforstående ha overtatt adressen.

SMS

Et praktisk alternativ som vi har implementert for flere bedrifter, er å sende invitasjoner via SMS. Heller ikke denne kanalen er 100 % sikker. Sannsynligheten er likevel vesentlig større at det vil bli oppdaget om informasjonen kommer på avveie, eksempelvis som følge av at noen har tatt over telefonnummeret.

Utprint

Et annet alternativ er å skrive ut invitasjoner på papir, og dele ut ved neste medarbeidersamling eller legge ved lønnsslippen. Dette er mer tungvint enn utsending via SMS eller til privat e-post, men i noen tilfeller har man kanskje ikke noe annet valg.

Butikkansatt-i-kassen

2. Hvor skal de ansatte logge seg på?

Dette er for mange den største utfordringen siden valget påvirker grunnleggende deler av bedriftens identitetsinfrastruktur. Utgangspunktet for de fleste bedrifter er at de har Microsoft Active Directory (AD) som brukerdatabase, og at ansatte uten jobb-PC ikke er registrert der.

Dersom den manglende brukergruppen legges inn i AD, vil det måtte kjøpes inn ytterligere Client Access Licenses (CALs). Hvis applikasjonen som skal innføres er en skytjeneste som eksempelvis Office365 eller Workplace by Meta, strekker AD alene ikke til. Den kan ikke uten videre autentisere brukere til disse tjenestene.

Direkte mot skytjenesten

Det enkleste alternativet er å autentisere de ansatte direkte mot den nye skytjenesten, så sant dette støttes av tjenesten. Fordelen er at man ikke trenger ytterligere infrastruktur. Ulempen er at denne identiteten ikke kan gjenbrukes til andre applikasjoner. Det betyr at neste applikasjon som skal innføres for hele organisasjonen, ikke kan gjenbruke påloggingen til den første applikasjonen. Dette er altså på sikt en lite brukervennlig løsning.

Siden de fleste bedrifter kommer til å rulle ut mer enn 1 applikasjon i løpet av de neste årene, er vår anbefaling å innføre en identitetstjeneste fra dag én som vokser med bedriftens behov.

Identitetstjenester

  • Active Directory Federation Services

    Bedriftens AD kan utvides med Active Directory Federation Services, som skytjenestene kan benytte for å autentisere brukerne. Et alternativ innenfor Microsoft porteføljen er å integrere det lokale AD’et med Azure AD. Dette er en velprøvd løsning som fungerer spesielt bra i homogene Microsoft miljøer. Løsningen kan også integreres med skytjenester som leveres av andre enn Microsoft, men utvalget og støtten kan, avhengig av tjenesten, oppleves som noe begrenset.

  • Selvstendige identitetsløsninger i skyen

    Organisasjoner som foretrekker selvstendige identitetsløsninger i skyen uten binding og favorisering av egen applikasjonsportefølje, kan vurdere Okta eller lignende skybaserte identitetsleverandører. Dette er fullverdige IAM-plattformer som håndterer identitsforvaltning mot skytjenestene og tilbyr avanserte funksjoner for autentisering.

  • On-premise plattformer

    Vil man etablere tjenesten lokalt, så er Micro Focus | NetIQ, CA og andre on-premise plattformer gode alternativer. Listen over identitets- og autentiseringsplattformer er lang og vokser stadig. Flere løsninger har gode egenskaper, og egnethet avhenger av situasjon og behovene.

Det er viktig å være klar over at valg av den riktige identitetsløsningen i vesentlig grad vil forenkle innføring av skytjenester i bedriften. Valg av løsning er imidlertid avhengig av behov og planer bedriften har fremover, så vår anbefaling er å utvikle en identitetsstrategi tidlig i prosessen.

Verkstedsarbeider-uten-PC

3. Hvordan få kontroll over brukerlivssyklusen?

Svar på dette spørsmålet går hånd i hånd med forrige punkt. I hvert fall om brukerforvaltningen ønskes automatisert. Brukerlivssyklusen handler i første omgang om on- og offboarding av ansatte til tjenester de skal ha tilgang til. Dette kan selvsagt skjøtes manuelt, eller semi-manuelt ved hjelp av csv-import og lignende. Er dette av sikkerhetsmessige eller praktiske årsaker ikke aktuelt, må tjenesten integreres med identitetsinfrastrukturen.

Videre er spørsmålet hva som er prosessen i bedriften? Er datakvaliteten i AD god nok til å bli benyttet som kilde? Det beste er gjerne å ta utgangspunkt i HR-systemet, siden det er her onboarding-prosessen gjerne starter. I så fall bør identitetsløsningen integreres med HR-systemet som kilde. Kanskje finnes ulike kilder for ulike brukergrupper i bedriften? Da må flere enn én kilde integreres.

Hvis de ansatte uten jobb-PC verken registreres i HR-systemet eller i noe annet system, må håndteringen foregå manuelt, og delegeringen av brukerforvaltningen kan være et tiltak. Identitetsløsningen innrettes da slik at utpekte ansatte får mulighet til å opprette og fjerne brukere for deres butikk eller region. Da unngår man også å etablere bestillingsprosesser for bestilling og fjerning av tilganger.

4. Hvordan distribuere nye applikasjoner?

Dette er litt på siden og kanskje en problemstilling som først senere vil oppleves som relevant. Tradisjonelt ble applikasjoner distribuert til desktopen. Med fremveksten av skytjenester benytter man seg gjerne av en applikasjonsportal eller intranettet med linker til bedriftens applikasjonsportefølje. For ansatte uten jobb-PC kan derimot intranettet fremdeles være langt unna. Da kan det passe bedre med en applikasjonsportal som distribueres som app til mobilen, og som har link til den ansattes applikasjoner og varsler om når nye app’er er tilgjengelige.

Snekker-uten-jobb-PC

5. Selvbetjening og opplæring – eller tilpasning av brukerstøtten?

Organisasjoner med mange ansatte uten jobb-PC driver sin forretning ofte i bransjer med lav margin. De har gjerne en forholdsvis høy utskifting av brukere, og brukervolumet er gjerne høyt, til dels svært høyt. Hvis innføring av applikasjoner til denne ansattgruppen utløser like mange supportsaker per ansatt som for de som allerede har en PC og er tunge brukere av bedriftens IT-tjenester, så kan det lett ta knekken på brukerstøtten. Det vil simpelheten kunne bli alt for mange henvendelser fordi brukervolumet er så høyt. Forståelsen for IT-løsningene er heller ikke nødvendigvis den samme i denne ansattgruppen.

Brukervennlighet og mulighet for selvbetjening er nøkkelen til en god opplevelse, samt effektiv drift.

  • Ha gode selvbetjeningsløsninger for endring og tilbakesetting av passord.
  • Sørg for at onboarding av brukere, spesielt også i forbindelse med innføring av tjenesten, er intuitivt.
  • Tilgjengeliggjør relevant dokumentasjon.
  • Husk at brukergruppen aksesserer tjenesten antageligvis fra en mobiltelefon. Da er dokumentasjon i tradisjonelt format ikke like egnet.
  • Tilby gjerne e-læring i form av korte videosnutter som viser registrering, pålogging, konfigurasjon av MFA, passord-reset og så videre.

Det er fullt mulig å tilrettelegge gode identitetsløsninger for bransjene som er omtalt i denne artikkelen, uten at det koster en formue. Nøkkelen til suksess er god planlegging. Bedriften bør ha en god forståelse for sin IT-strategi de nærmeste årene, samt funksjonelle behov og regulative krav som må bli tatt hensyn til.

I Cloudworks har vi mye erfaring med identitetsforvaltning innen handel og serviceytende bedrifter, og bistår også gjerne med avklaring og med konseptuelle råd.

Få umiddelbar tilgang til vårt on-demand webinar om Moderne Onboarding

Flere artikler

Cloudworks Group AS

Cloudworks Norge
Cloudworks AS
Org.nr. 927 879 662

Karenslyst allé 2
0278 Oslo
(+47) 22 49 07 30
kontakt@cloudworks.no