Martin Mølgaard Povelsens præsentation d. 23. juni 2011
Martin Mølgaard Povelsens præsentation d. 23. juni 2011
Martin Mølgaard Povelsens præsentation d. 23. juni 2011
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
pwc.dk<br />
Rapport <strong>præsentation</strong><br />
AAU - IdM Blueprint<br />
Juni <strong>2011</strong>
Agenda<br />
Indledning<br />
Baggrund og observationer<br />
Proces<br />
Roller<br />
Transparens<br />
Systemvalg<br />
Implementering<br />
Cost/Benefit<br />
Styregruppemøde<br />
PwC<br />
maj <strong>2011</strong><br />
2
Baggrund og<br />
observationer<br />
maj <strong>2011</strong><br />
3
Baggrund<br />
Workshop rapport<br />
Viste at der er væsentlige udfordringer omkring registrering af personer<br />
som skal have tilknytning til AAU, samt med at vedligeholde denne<br />
tilknytning<br />
• Proces for oprettelse i IT-systemer er fokuseret om det enkelte<br />
system, ikke om personen der starter – Dette giver en meget rodet og<br />
ugennemsigtig proces<br />
• Processer håndtere kun ansatte og studerende – Mange er svære at<br />
håndtere<br />
• Væsentligt effektiviserings potentiale<br />
Styregruppemøde<br />
PwC<br />
maj <strong>2011</strong><br />
4
Hovedobservationer – Behov for Affiliering og<br />
mindskning af person afhængighed<br />
Processer og blanketter er designet som i en 25 mands<br />
virksomhed – ikke til et moderne universistet<br />
• Der anvendes navne som aktører og ikke den funktion der skal udføre<br />
det – funktionen og personen smelter sammen.<br />
• Afspejles i manglende brug af funktionspostkasser/telefoner<br />
• Hvis man ikke er ansat eller studerende falder man udenfor<br />
• Der er forskellig opfattelse af den samme proces, fordi processer ikke<br />
er universielt dokumenteret<br />
• Personer der er ansatte flere steder, får ”skjult” deres sekundære<br />
ansættleses forhold. Dette er ikke kun et problem for IdM men også<br />
for Budgettering og godkendelser<br />
Styregruppemøde<br />
PwC<br />
maj <strong>2011</strong><br />
5
Hovedobservationer – Behov for transparens<br />
Optimering er sket lokalt på bekostning af det generelle, og<br />
der er kun et begrænset fælles overblik over tværgående<br />
processer<br />
• Man finder en løsning på de største hurdler, hvor man sidder.<br />
• Gode løsninger bliver ikke nødvendigvis udbredt til andre<br />
• Mange optimeringer ødelægger desværre processen senere i kæden<br />
• Der er enighed om at det er andres langsommelighed der gør det<br />
besværligt<br />
• Det er svært at få status på en igangværende sag<br />
Styregruppemøde<br />
PwC<br />
maj <strong>2011</strong><br />
6
Hovedobservationer – Behov for datamodellering<br />
Implementering opgaven bliver tung på datamodellering men<br />
let på integration<br />
• De anvendte systemer har relativ simple rettigheds modeller<br />
• Organisation og tilknytning til denne er ikke modelleret til en<br />
forretningsmodel – opdeling i Person, tilknytning og funktion<br />
• Der er ikke set tegn på egentlig master data management, hvorfor<br />
mange styrende data ikke vedligeholdes centralt.<br />
• Det skal dog huskes at personers identitet bevares (ikke medarbejder<br />
nummer som email etc.)<br />
• Godkendelses hierarkier bliver ikke anvendt i dag, men er under<br />
udvikling – dog skal disse vedligeholdes løbende<br />
Styregruppemøde<br />
PwC<br />
maj <strong>2011</strong><br />
7
Hovedobservationer – Behov for<br />
forandringsledelse<br />
Implementeringen bliver ligeledes tung på forandringsledelse<br />
• Oprydning og nye processer svært – system let nok<br />
• Der findes nogle utroligt krøllede processer, som basalt set ressource<br />
orienteret og ikke proces orienterede. Disse skal foldes ud.<br />
• Der skal for organisationen aktiveres atypisk stærk central styring,<br />
men med stor følsomhed overfor de enkelte områder særpræg<br />
• Folk taler ikke altid pænt om hinanden – det er de andres skyld<br />
Styregruppemøde<br />
PwC<br />
maj <strong>2011</strong><br />
8
Hovedobservationer – Behov for<br />
systemunderstøttelse af oprydning<br />
Systemet skal kunne hjælpe med at skabe orden men må ikke<br />
kræve at der er ryddet op inden implementering.<br />
• Der bliver anvendt forskellige navne standarder i samme system<br />
• Personer kan nemt have flere bruger konti i samme system.<br />
• Der er ikke i dag mulighed for at danne sig et tilstrækkeligt overblik<br />
til at gennemføre en oprydning<br />
• System skal derfor sikre overblik og transparens<br />
Styregruppemøde<br />
PwC<br />
maj <strong>2011</strong><br />
9
Proces<br />
maj <strong>2011</strong><br />
10
Tilknytningsmodel<br />
Tilknyttet<br />
Person<br />
Affiliering<br />
Affiliering<br />
Affiliering<br />
Livscyklus<br />
Livscyklus<br />
Livscyklus
Tilknytningsmodel<br />
Tilknyttet<br />
Person<br />
Affiliering<br />
Affiliering<br />
Affiliering<br />
Funktionshierarki
Affiliering - Stamkort<br />
PwC<br />
Slide 13
Affiliering - Visitkort<br />
PwC<br />
Slide 14
Affiliering - Visitkort<br />
PwC<br />
Stamkort<br />
Visitkort<br />
Infrastruktur<br />
Jobfunktion<br />
Medarbejdererklæring<br />
Telefon<br />
HR<br />
AD Exhange<br />
Adgangskort<br />
ØSS<br />
Slide 15
Affilieringsproces<br />
Affiliering Infrastruktrur Jobfunktion Information<br />
Registrering<br />
Godkendelse<br />
Styregruppemøde<br />
PwC<br />
Hvis ansat:<br />
HR<br />
PAU<br />
PDS<br />
AD<br />
Fælles<br />
Mail<br />
Retur<br />
Retur<br />
Retur Øvrige<br />
systemer<br />
Godkendelse<br />
+<br />
Frigiv konti<br />
Orientering<br />
maj <strong>2011</strong><br />
16
Ændring af affiliering<br />
Affiliering Infrastruktrur Jobfunktion Information<br />
Registrering<br />
Godkendelse<br />
Styregruppemøde<br />
PwC<br />
Hvis ansat:<br />
HR<br />
Retur<br />
Retur<br />
Retur Øvrige<br />
systemer<br />
Godkendelse<br />
+<br />
Frigiv konti<br />
Orientering<br />
maj <strong>2011</strong><br />
17
Afslutning af affiliering<br />
Nær udløb<br />
Registrering<br />
af ophør<br />
Styregruppemøde<br />
PwC<br />
Orientering<br />
Endeligt<br />
udløb<br />
Ændring af<br />
affiliering<br />
Luk konti i<br />
Infrastruktur<br />
system<br />
Hvis ansat:<br />
HR<br />
Luk konti i<br />
Øvrige<br />
systemer<br />
maj <strong>2011</strong><br />
18
Anmodning om nye rettigheder<br />
Affiliering Infrastruktrur Jobfunktion Information<br />
Anmodning<br />
Godkendelse<br />
Styregruppemøde<br />
PwC<br />
PAU<br />
PDS<br />
AD<br />
Fælles<br />
Mail<br />
Retur<br />
Retur<br />
Retur Øvrige<br />
systemer<br />
Godkendelse Orientering<br />
maj <strong>2011</strong><br />
19
Roller<br />
maj <strong>2011</strong><br />
20
Anbefaling – Rollemodel<br />
3 lags rollemodel<br />
• Infrastruktur roller<br />
• Adgang til fælles arbejdsunderstøttende ressourcer (AD, ESDH,<br />
IdM, Adgangskort, SSO etc)<br />
• Jobfunktions roller<br />
• Adgang til Fag - eller Jobfunktionssystemer<br />
• Projekt/Kursus roller<br />
• Styring af adgang til ikke permanente organisationer, hvor der er<br />
en leder, som skal styre arbejdet<br />
Styregruppemøde<br />
PwC<br />
maj <strong>2011</strong><br />
21
Infrastruktur: Roller eller bare klar tale<br />
Man kan automatisere brugeradministrationen på baggrund af hvad der<br />
udføres manuelt i dag<br />
- Alle medarbejdere skal have mail konto på lokal server =><br />
If employee = true and Location != null then<br />
create(mail account, lookup(location))<br />
- Alle timelønnede skal kunne registrer tid => If<br />
employee = true and Location != null then<br />
create(SAP account, RegTimeRole, empid))<br />
PwC<br />
april 2010<br />
Slide 22
Jobfunktion: Mapning af organisation og roller<br />
Organisation kan være<br />
• Afdelinger<br />
• Ledelses hierarkier<br />
• Attestationsret<br />
• Lokation<br />
• Projekter<br />
• Tværorg. råd og udvalg<br />
PwC<br />
Default – Altid tildelt<br />
Optional – Kan tildeles<br />
Conditional – Regel styret<br />
Default<br />
Optional<br />
Conditional<br />
Default<br />
Optional<br />
Conditional<br />
marts 2009<br />
Slide 23
Projektrettigheder<br />
Projektejeren kan selv eller gennem uddelegering styre adgangen til en<br />
projektressource<br />
• Oprettelse af eksterne deltagere<br />
• Løbende vedligehold af projektdeltagere<br />
• Evt. automatiseret oprettelse af ressourcer<br />
• Vil frigøre væsentlige ressourcer til administration af<br />
projektressourcer – specielt efterhånden som der vil blive krav om<br />
projectrooms etc.<br />
• Kan ses som en private cloud tanke<br />
Styregruppemøde<br />
PwC<br />
maj <strong>2011</strong><br />
24
Transparens<br />
maj <strong>2011</strong><br />
25
If order and oversight do not exist –<br />
IdM in it self will not bring this<br />
IT<br />
APP Operation<br />
Adm<br />
IdM<br />
IdM<br />
Real life experience with NAGS and Access Governance in general<br />
PwC<br />
DEV<br />
Server Adm<br />
Prod Infra Prod<br />
IdM<br />
IdM IdM<br />
IdM<br />
april <strong>2011</strong><br />
26
Transparens<br />
IT-Sikkerhed<br />
ID<br />
ØS 1 ØS 2 AD ADM<br />
Sys1 Sys2 Sys3 Sys4<br />
Leder eller lokal<br />
ansvarlig<br />
Affilieret<br />
Person identitet<br />
Roller<br />
Rolle administrator<br />
Tekniske roller<br />
Systemer<br />
System Ejere<br />
Slide 27
Teknik og system<br />
maj <strong>2011</strong><br />
28
Anbefaling – 2 lags system<br />
Separat proces og integrations lag<br />
• Afkobling mellem data til process og provisionering<br />
• Mulighed for Read-only integration => understøttelse af oprydning<br />
System 1<br />
System 2<br />
System 3<br />
Styregruppemøde<br />
PwC<br />
System 4<br />
Provisionering<br />
System 1<br />
System 2<br />
System 3<br />
Database<br />
Step 1 Step 2 Step 3<br />
System 4<br />
Identity broker<br />
System 6<br />
System 9<br />
System 11<br />
Directory<br />
System 200<br />
System 2<br />
System 6<br />
AD<br />
System 10<br />
System 42<br />
System 1<br />
System 15<br />
System 23<br />
Mail/ticket<br />
System 67<br />
maj <strong>2011</strong><br />
29
System valg - SailPoint<br />
Governance<br />
IdM Infrastructure<br />
Managed<br />
Resources<br />
PwC<br />
Analytics & Reporting<br />
Policy<br />
Compliance Role Lifecycle Identity<br />
Management Management Management Warehouse<br />
Existing<br />
scripts<br />
Access Governance<br />
Provisioning<br />
brooker<br />
Auto<br />
provisioning<br />
Service Desk<br />
(tickets)<br />
Automatic Manual<br />
Admins<br />
(e-mail)<br />
Closed<br />
Loop<br />
Audit<br />
Role<br />
detection<br />
Slide 30
Systemvalg - NAGS<br />
Styregruppemøde<br />
PwC<br />
maj <strong>2011</strong><br />
31
Implementering<br />
maj <strong>2011</strong><br />
32
Roadmap<br />
Datamodellering<br />
Affilierings life-cycle<br />
Oprydningsproces<br />
Manuel udførelse<br />
PwC<br />
Forandringsledelse Governance<br />
Oprydning<br />
Integrationog<br />
rettigheds<br />
-styring<br />
IdM platform<br />
Roller og<br />
Etablering og udbygning af Værktøjskasse<br />
Automatisering<br />
Løbende<br />
forbedringer<br />
Slide 33
Projektorganisering<br />
Styregruppe : Beslutningskraft og slagkrft<br />
Advisoryboard : Sikre at alle intressenter bliver hørt<br />
Projektledelse : Skal favne bredt fagligt og organisatorisk<br />
System og Applikations ejerskab : Skal løbende sikre styring og<br />
vedligehold<br />
Styregruppemøde<br />
PwC<br />
maj <strong>2011</strong><br />
34
Cost/Benefit
Økonomi<br />
Styregruppemøde<br />
PwC<br />
År 1 År 2 År 3<br />
Omkostning 5,2 mio. kr. 0,2 mio. kr. 0,2 mio. kr.<br />
Besparelse 1,4 mio. kr. 2,8 mio. kr. 2,8 mio. kr.<br />
Flow -3,8 mio. kr. 2,6 mio. kr. 2,6 mio. kr.<br />
Akkumuleret -3,8 mio. kr. -1,2 mio. kr. 1,4 mio. kr.<br />
maj <strong>2011</strong><br />
36
Kvalitative forbedringer<br />
Nøgleforbedringer<br />
Bedre datamodel for beskrivelse af tilknytning til AAU, som vil sikre en<br />
ensartet håndtering af alle affilierede.<br />
Bedre overblik over medarbejdere, brugere og data.<br />
Bedre overblik over sagsgangen på brugeradministrationsområdet.<br />
Mindre irritation på ansættelsesstedet ved ansættelser.<br />
Øvrige forbedringer<br />
Højere sikkerhedsniveau.<br />
Implementeringen af nye systemer vil blive lettet<br />
Bedre mulighed for føderation.<br />
Styregruppemøde<br />
PwC<br />
maj <strong>2011</strong><br />
37
TAK FOR I DAG<br />
This publication has been prepared for general guidance on matters of interest only, and does<br />
not constitute professional advice. You should not act upon the information contained in this<br />
publication without obtaining specific professional advice. No representation or warranty<br />
(express or implied) is given as to the accuracy or completeness of the information contained<br />
in this publication, and, to the extent permitted by law, PricewaterhouseCoopers<br />
Statsautoriseret Revisionsaktieselskab, its members, employees and agents do not accept or<br />
assume any liability, responsibility or duty of care for any consequences of you or anyone else<br />
acting, or refraining to act, in reliance on the information contained in this publication or for any<br />
decision based on it.<br />
© <strong>2011</strong> PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab. All rights reserved.<br />
In this document, “PwC” refers to PricewaterhouseCoopers Statsautoriseret<br />
Revisionsaktieselskab which is a member firm of PricewaterhouseCoopers International<br />
Limited, each member firm of which is a separate legal entity.
Change language