IT-prosjekt vs organisasjonsendring

Innledningsvis kartlegger vi i hvilken grad prosjektet er et IT-prosjekt eller en organisasjonsendring.

Et IAM-prosjekt med fokus på sikker pålogging er gjerne primært teknologidrevet. Innføring av en IAM-løsning for tilgangsstyring og revisjon forutsetter derimot mye mer forståelse for organisasjonen og måten bedriften jobber på. Vi er derfor opptatt av å tilpasse metoden til prosjektets omfang og målsettinger.

behovsanalyse-iam

Hovedprinsipper i vår metode

Tidlig involvering av kunden i kartlegging av roller og prosesser, gjerne organisert som eget delprosjekt. Generelt tilstreber vi et tett samarbeid med kunden gjennom delte prosjektteam og en felles styringsgruppe.

Verdiskapning for organisasjonen så tidlig som mulig. Dette er spesielt viktig for større implementeringsprosjekter. Løsningen skal forenkle hverdagen for bedriften lenge før prosjektet er gjennomført. Våre prosjekter ligner i gjennomføringen derfor mer på sprinter enn tradisjonelt fossefall.

Vi jobber etter en modulær inndeling av prosjektet i flere faser, hvor hver fase består av tre deler:

1. Planlegging: Tydelig definisjon av målsettinger og akseptansekriterier, eksempelvis i form av brukerhistorier.
2. Gjennomføring: Installasjon, konfigurasjon, utvikling og fortløpende enhetstesting.
3. Test og overlevering: Akseptansetest, overlevering til drift og forvaltning.

Roller i prosjektet

Prosjektleder: Ansvar for planlegging, koordinering og oppfølging av fremdrift. Rapporterer på sistnevnte, samt kvalitet og økonomi

IAM rådgiver: Rådgir kunden og avklarer funksjonelle behov. Vurderer konsekvenser for organisasjonen

IAM arkitekt: Ansvarlig for løsningsdesign og prosjektgjennomføring

IAM løsningsingeniør: Setter opp og konfigurerer løsningen

IAM utvikler: Ansvarlig for programmering av integrasjonskomponenter

Vi tilpasser prosjektteamet til kundens og prosjektets behov. I mindre prosjekter kan samme konsulent ha flere roller.

Role Based Access Control (RBAC) - etablering av rollemodellen

Roller er et av de grunnleggende konseptene innen Identity Management og Identity Governance. De brukes for å skape hierarkier som modellerer fordelingen av rettigheter i organisasjonen. Brukere blir gjort medlemmer av roller og får dermed rollenes applikasjonsrettigheter. Hensikten er å forenkle og automatisere tilgangsadministrasjonen.

En enkel RBAC rollemodell består av en håndfull forretningsroller som «ansatt», «regnskapsfører» og «prosjektleder». En avansert rollemodell består ofte av hundre- eller tusenvis av roller som står i en hierarkisk relasjon til hverandre. Jo flere roller, jo mer granulært kan tilgangsadministrasjonen styres.

Kartlegging av eksisterende roller og assosiering av disse med applikasjoner og tilganger er en sentral oppgave i en IDM implementering. Vi bruker ulike verktøy for å fremskaffe oversikt over eksisterende tilganger og analysere sammenfallende tilgangsmønster, såkalt Role mining. Kan eksisterende tilganger ikke uten videre benyttes som mal for fremtidige tildelinger, så utarbeider vi rollehierarkiet i tett dialog med kunden.

Digitalisering av identitetens livssyklus

Vi tilpasser IDM-løsningen for å automatisere sentrale hendelser innen identitetens livssyklus som opprettelse av brukeren, flytting i organisasjonen eller opphør. Hendelsene starter som oftest utenfor IAM, i HR-løsningen, en CRM-database eller direkte i Active Directory, og bestemmer hva som skal skje med identiteten. Oppdateringen innebærer ofte etablering eller fjerning av brukertilganger, men også tilpassing av tidligere tilgangsprofil til brukerens nye stilling ved flytting internt i organisasjonen.

Interessante utfordringer oppstår når samme fysisk person både kan opptre som ansatt og kunde (eller medlem). Ansatt-identiteten kommer fra HR-systemet, mens kunde-identiteten er oppstått i organisasjonens Ecommerce-løsning. Uten en IAM-løsning skaper dette utfordringer, fordi disse to rollene fremstår som to uavhengige brukere. Ved innføring av IAM-løsningen sørger vi da for at brukerens ulike identiteter forenes i ett brukerobjekt og at tilgangene styres avhengig av hvilken «hatt» brukeren har på seg til enhver tid.

Jacob

Selvbetjeningsportal

Portalen benyttes for alt fra tilbakestilling av passord til bestilling og godkjenning av nye tilganger. Vi tilpasser bestillingsprosessen til organisasjonens behov. Visse bestillinger skal kanskje godkjennes av ulike personer avhengig av lokasjon, bestillerens avdeling eller tilgangen det gjelder. I noen tilfeller må kanskje flere personer autorisere bestillingen.

Det er også mulig å utvide portalen med flere funksjoner. Eksempelvis har vi tidligere tilpasset bestillingsprosessen for et shippingselskap slik at bestilleren kan angi hvilken havn tilgangsforespørselen gjelder. Da integrerte vi skjemaet i portalen med et tredjepartssystem som hadde oversikt over kundens aktuelle havner.

Integrasjon med kildesystem og øvrige systemer

Vi integrerer IAM-løsningen med aktuelle systemer, som HR-system og Active Directory, men også applikasjoner som IAM-plattformen skal styre tilgangen eller autentisere brukerne. Avhengig av applikasjonstype utføres integrasjoner basert på IAM-plattformens inkluderte integrasjonsmoduler, eller programmeres av våre utviklere.

Det er en stor fordel at vi allerede har gjennomført mange implementeringer, fordi vi med hvert prosjekt utvider porteføljen av tilgjengelige integrasjoner.

Test og kvalitetssikring

Kvalitetssikring sørger for at prosjektprosesser gir forutsigbare leveranser av god kvalitet, og baserer seg på følgende sentrale prosesser:

Forhåndsdefinerte kvalitetskontroller som verifiseres i løpet av prosjektet.
Standardisert tilnærming til rettigheter og gode prosesser i forvaltningen av de.
Strenge krav til verifisering av datakvalitet og resultatene for integrasjonstester.

Trening av sluttbruker

En Identity Governance løsning er et verktøy for å støtte virksomhetens prosesser relatert til brukerforvaltning, brukerstøtte og sikkerhetsforvaltning:

  • Sluttbrukere skal kunne bestille tilganger og oppdatere utvalgte deler av profilinformasjonen
  • Ledere skal revidere roller og bestillinger og kunne sette opp en stedfortreder i fraværsperioder
  • Sikkerhetsansvarlig skal gjennomføre tilgangsrevisjoner og følge opp avvik

For en vellykket innføring er det avgjørende at organisasjonen blir kjent med relevant funksjonalitet, på en så enkel måte som mulig. Dette løser vi gjennom god informasjon til organisasjonen i alle prosjektets faser, samt tilrettelegging for brukervennlig opplæring:

  • E-læring i form av korte videoer som er tilpasset kundens løsning
  • Tekniske kurs (on-site eller fjernlevert) for support og systemeier
Anette i et møte