Administrationsmodulet og jobfunktionsroller STS netværksmøder 13. - 14. juni 2017 Brian Storm Graversen
Indhold Opgaver i Administrationsmodulet En opfrisker på teknikken Serviceaftaler Jobfunktionsroller En opfrisker på teknikken Login: Identity Providers, Brugerkataloger m.m. Dynamiske dataafgrænsningsværdier Et rollekoncept fra den virkelige verden
Opgaver i administrationsmodulet
Opgaver fordelt på roller (typer af administratorer) Organisations-administrator Må vedligeholde stamdata for egen kommune Aftalegodkender Må godkende serviceaftaler og føderationsaftaler Leverandør (af egne kommunale systemer) Må opsætte it-systemer og anmode om serviceaftaler Jobfunktionsrolle-administrator Må oprette og vedligehold Jobfunktionsroller
Login til Administrationsmodulet
Login via Serviceplatformen www.serviceplatformen.dk som startside Når man vælger STS Administration, kommer man til det nye Administrationsmodul Hvis man i dag har adgang til at logge på Serviceplatformen, har man ikke automatisk adgang til det nye administrationsmodul! Rettigheder i Administrationsmodulet sættes op i NemLog-in
Medarbejdersignatur påkrævet
Serviceplatformen & Administrationsmodulet Overgangsperiode hvor der både eksisterer det nye STS-Administrationsmodul og det gamle SP-Administrationsmodul på Serviceplatformen Jeres primære værktøj bliver STS-Administrationsmodul, men på SP- Administrationsmodulet vil der være nogle ”legacy” systemer, som skal vedligeholdes Alle systemer bliver migreret fra SP-Administrationsmodulet til STS- Administrationsmodulet over tid (monopolbruddet først )
Monopolbruddet først? Ja, men først betyder også, at der kommer noget efter Over tid er målet, at alle systemer skal kunne anvende Administrationsmodulet til at håndtere adgange - såvel systemadgange som brugeradgange Fra K98 systemer som KY, KSD og SAPA til lokale it-systemer i kommune, vil Administrationsmodulet være en selvbetjeningsløsning til at oprette og administrere systemer, roller, adgange og aftaler
Serviceaftaler
Hvad er en serviceaftale? En tilladelse til at et givent it-system (fagsystem) må hente og arbejde med data ejet af jeres kommune Håndhæves af støttesystemet ”Adgangsstyring for systemer” Anvender samme rolle/dataafgrænsning begreb som ved Jobfunktionsroller Leverandøren af it-systemet (fagsystemet) sætter serviceaftalen op, og I skal alene godkende aftalen SAPA Sags- og Dokument Indekset Hent sag ejet af Horsens Kommune Horsens Kommune ‘Aftalegodkender’ Godkender adgang
Skærmbilleder fra testmiljøet Skærmbillederne er retvisende for den brugergrænseflade, der er udviklet her og nu Vi kører en pilot med et par kommuner Forvent mindre rettelser inden I bliver lukket ind De data, der indgår i skærmbillederne, er testdata oprettet af udviklerne De er ikke nødvendigvis retvisende, men er bedste bud på realistiske data
Oversigt over serviceaftaler De vigtigste oplysninger vises i en listevisning Søgning, paginering, sortering m.m. er understøttet Herfra kan man se detaljer på, godkende, afvise og opsige serviceaftaler
Detaljer og godkendelsesbillede
Jobfunktionsroller (Hvordan var det nu lige det var?)
Indeholder Afgrænser Understøtter Understøtter Tildeles Tilgår Jobfunktionsrolle Indeholder Brugersystemrolle Afgrænser Understøtter Understøtter Dataafgrænsnings-værdi Dataafgrænsnings-type Tildeles Fagsystem (brugervendt system) Tilgår
”Se detaljer om ydelser” (http://ky.dk/roles/usersystemrole/se_ydelser/1) Jobfunktionsrolle Brugersystemrolle Dataafgrænsnings-værdi Dataafgrænsnings-type ”Jobcenter konsulent” (http://slagelse.dk/roles/jobrole/jobcenter/1) ”Kontanthjælp” (32.24.00) ”KL Emnesystematik (KLE)” (http://kombit.dk/constraints/KLE/1)
Jobfunktionsroller (mockup skærmbilleder)
Det er mockups Der er tale om tegninger udarbejdet af en grafiker Ikke skærmbilleder fra et kørende system Slutresultatet vil ligne, men ikke være identisk med De data, der indgår i skærmbillederne, er bedste gæt fra grafikerens side De er ikke retvisende for nogen systemer
Overblik over Jobfunktionsroller Udestår afklaring af hvilke oplysninger, der vises i listevisningen Adgang til alle funktioner (opret, rediger, vis, slet) fra listevisningen
Jobfunktionsroller - stamdata Præsentationsnavn - anvendes alene til listevisningen Del af det samlede ID på Jobfunktionsrollen Indtast ‘jobcenter_konsulent’ og ID’et bliver http://slagelse.dk/roles/jobrole/jobcenter_konsulent/1
Jobfunktionsroller – tilføj Brugersystemroller Hvor muligt, understøttes valg af dataafgrænsningsværdier med ”dropdowns” Ellers med fritekstfelter - med hjælp og validering af input
Jobfunktionsroller – valgte Brugersystemroller
Opsummering på opgaver Godkende (evt. afvise/opsige) serviceaftaler Leverandøren står for opsætning af de tekniske detaljer på aftalen … en myndighed kan også være leverandør (fx af egne systemer) Oprette og vedligeholde Jobfunktionsroller Bemærk, at Jobfunktionsroller ikke tildeles inde i Administrationsmodulet Godkende føderationsaftale Er udført – så kun relevant ved leverandør/produkt-skifte … Samme opgave som at godkende en serviceaftale … Igen kan en myndighed også være leverandør (tilfældet for mange af jer)
Opfrisker Hvordan er det nu det teknikken hænger sammen?
Login fra a til z
1. Bruger forsøger at tilgå fagsystem Bruger forsøger at tilgå et fagsystem, hvor brugeren ikke er logget på endnu Fagsystem (fx KY)
2. Fagsystemet starter login flowet Context Handler Bruger Fagsystem (fx KY) Fagsystemet sender brugeren til Context Handleren, for at få at vide hvem brugeren er hvilke rettigheder (Brugersystemroller og Dataafgrænsningsværdier) brugeren har
3. Brugeren sendes videre til kommunens Identity Provider Kommunal Identity Provider Context Handler Context Handleren håndtere ikke selv login, men sender i stedet brugeren til kommunens lokale Identity Provider AD FS (85-90% af kommunerne) Identify NetIQ Bruger Fagsystem (fx KY)
4. Brugeren logger på, og brugerens Jobfunktionsroller hentes Kommunal Brugerkatalog Kommunal Identity Provider Context Handler Identity Provideren autentificerer brugere og henter efterfølgende brugerens Jobfunktionsroller fra det kommunale brugerkatalog AD (mange af jer) Lokale løsninger (SDB, PDB, ODB, Rollekatalog, NemRolle, APOS, m.m.) Bruger Fagsystem (fx KY)
5. Brugerens Jobfunktionsroller sendes til Context Handleren Kommunal Brugerkatalog Kommunal Identity Provider Context Handler Bruger Fagsystem (fx KY) Den kommunale Identity Provider udsteder et SAML 2.0 token, indeholdende brugerens identitet og Jobfunktionsroller
6. Jobfunktionsroller oversættes til Brugersystemroller Kommunal Brugerkatalog Kommunal Identity Provider Context Handler Context Handleren veksler Jobfunktionsrollerne til Brugersystemroller og Dataafgrænsningsværdier og udsteder et nyt SAML 2.0 token, der sendes til fagsystemet Bruger Fagsystem (fx KY)
7. Brugeren har nu adgang til fagsystemet Brugeren er nu logget på fagsystemet, og fagsystemet kender brugerens Identitet og rettigheder (Brugersystemroller og Dataafgrænsningsværdier) Bruger Fagsystem (fx KY)
Dynamiske dataafgrænsningsværdier
Dynamisk dataafgrænsning Kernen af funktionaliteten består af, hvor man vedligeholder dataafgrænsningsværdier Med ”dynamiske dataafgrænsningsværdier”, flytter opgaven med at vedligeholde afgrænsningsværdier ud af Administrationsmodulet og ind i det lokale it-miljø (Brugerkataloget, Organisationsløsning, IdM system eller lignende) Fordelen er, at man kan indarbejde tildelingen af dataafgrænsningsværdier i sit lokale system til rettighedsstyring og baserer sig på eksisterende organisatoriske stamdata Frivilligt at anvende funktionaliteten! man er ikke låst i sit valg man kan blande de to tilgange
”Se detaljer om ydelser” (http://ky.dk/roles/usersystemrole/se_ydelser/1) Jobfunktionsrolle Brugersystemrolle Dataafgrænsnings-værdi Dataafgrænsnings-type ”Jobcenter konsulent” (http://slagelse.dk/roles/jobrole/jobcenter/1) ”Kontanthjælp” (32.24.00) ”KL Emnesystematik (KLE)” (http://kombit.dk/constraints/KLE/1)
”Se detaljer om ydelser” (http://ky.dk/roles/usersystemrole/se_ydelser/1) Jobfunktionsrolle Brugersystemrolle Dataafgrænsnings-værdi Dataafgrænsnings-type ”Jobcenter konsulent” (http://slagelse.dk/roles/jobrole/jobcenter/1) ”Pladsholderværdi” (http://slagelse.dk/min_pladsholder/1/parametric) ”KL Emnesystematik (KLE)” (http://kombit.dk/constraints/KLE/1)
Hvordan påvirker det login flowet?
4. Brugeren logger på, og brugerens Jobfunktionsroller og Dataafgrænsningsværdier hentes Kommunal Brugerkatalog Kommunal Identity Provider Context Handler Bruger Identity Provideren autentificerer brugere og henter efterfølgende brugerens Jobfunktionsroller fra det kommunale brugerkatalog og brugerens dataafgrænsningsværdier fra samme eller andet system Fagsystem (fx KY)
5. Brugerens Jobfunktionsroller og Dataafgrænsningsværdier sendes til Context Handleren Kommunal Brugerkatalog Kommunal Identity Provider Context Handler Den kommunale Identity Provider udsteder et SAML 2.0 token indeholdende brugerens identitet og Jobfunktionsroller og Dataafgrænsningsværdier, der skal erstatte pladsholdere Bruger Fagsystem (fx KY)
6. Jobfunktionsroller oversættes til Brugersystemroller og beriges med dataafgrænsningsværdier Kommunal Brugerkatalog Kommunal Identity Provider Context Handler Context Handleren veksler Jobfunktionsrollerne til Brugersystemroller og erstatter pladsholdere med de dataafgrænsningsværdier, der kom fra det kommunale token, samt udsteder et nyt SAML 2.0 token, der sendes til fagsystemet Bruger Fagsystem (fx KY)
7. Brugeren har nu adgang til fagsystemet Brugeren er nu logget på fagsystemet, og fagsystemet kender brugerens Identitet og rettigheder (Brugersystemroller og Dataafgrænsningsværdier) Bruger Fagsystem (fx KY)
et Rollekoncept (et eksempel fra den virkelige verden)
Baggrund Favrskov, Syddjurs og Norddjurs har etableret et strategisk samarbejde på digitalisering, herunder brugerstyring De tre kommuner har i løbet af 2016 arbejdet med rollemodellering - specielt med fokus på SAPA (Favrskov er pilotkommune) De har udarbejdet et koncept for roller, der vil blive anvendt både til Jobfunktionsroller i KOMBIT-regi og til resten af kommunernes it-portføjle
Roller baserer sig på teknikken i det enkelte system
Roller baserer sig på ”teknikken” i det enkelte system Systemansvarlig er ansvarlig for at udarbejde roller for deres system (i samarbejde med it/brugerstyringskontor) Følgende (dokumenterede) roller udarbejdes altid Læseadgang Skriveadgang Administrator Superbruger Leder Og først da systemspecifikke specialist-Jobfunktionsroller
Roller skal kunne forstås af forretningen / ledelsen
Roller skal kunne forstås It/brugerstyringskontor vedligeholder det forretningsvendte rollekatalog, der samler de systemspecifikke jobfunktionsroller i buketter, som matcher forretningens ”sprog” Indeholder roller rettet mod egentlige ‘jobfunktioner’, fx Sygedagpengesagsbehandler Økonomimedarbejder Jobkonsulent ... osv Målet er at 80+ % af alle rolletildelinger skal kunne håndteres via konceptet, og der dermed bliver bedre tid til at håndtere special-tilfældene.
Der anvendes dynamisk dataafgrænsning frem for specialiserede roller
Dynamisk dataafgrænsning I systemer, der kan dataafgrænse og kan understøtte det dynamisk, vil der altid anvendes dynamisk afgrænsning Allerede gennemført stort arbejde med at etablere det nødvendte datagrundlag. Der er i dag bl.a. styr på KLE, Organisationshierarkiet og Kontoplan Ønsker ikke at forretning/ledere skal forholde sig til afgrænsninger ved rolletildeling – det håndteres af den løbende vedligehold af datagrundlaget
Illustration
Modellering af systemspecifikke jobfunktionsroller SAPA Begrænset visning af sager og dok... Se advis Hop til fagsystem Tværkommunalt opslag Modellering af systemspecifikke jobfunktionsroller Brugerstyrings-medarbejder Systemansvarlig
Modellering af systemspecifikke jobfunktionsroller Læse-adgang - Begrænset visning af sager og dokumenter - Se advis Skrive-adgang - Opret journalnotat - Hop til fagsystem Tværkommunal adgang (specialistrolle) - Tværkommunalt opslag .... osv Systemansvarlig Brugerstyrings-medarbejder SAPA
Modellering af forretningsvendte jobfunktionsroller Sygedagpengesagsbehandler - Læse-adgang i SAPA - Skrive-adgang i KSD - Skrive-adgang i ESDH Jobkonsulent - Skrive-adgang i Fasit .... osv Brugerstyrings-medarbejder ESDH SAPA KSD
Dataafgrænsning
Dataafgrænsningsområder KLE, Organisation og Kontoplan (OPUS brugerstyring) er de anvendte dataafgrænsningsområder KLE håndteres på 2 niveauer, ‘udførsel’ og ‘indsigt’, for at kunne differentiere mellem forskellige adgangsnivauer (typisk læse/skrive) Organisation anvendes som en afgrænsning på ‘ejer’ niveau, og kan håndteres både på indplaceret enhedsniveau og på hierarkisk niveau (hvor man sidder + alle underenheder) Kontoplanen anvendes til afgrænsning i OPUS
Teknik m.m. Anvendelse af en bred vifte af Open Source / OS2 komponenter De 3 kommuner stiller helt sikkert op til en snak, hvis man spørger dem
Anvendelse i praksis
End-to-end anvendelse Alle enheder opmærkes med ”udførsel” og ”indsigt” i OS2Opgavefordeler Enhedshierarki vedligeholdes i LOS Data trækkes ud af OS2Opgavefordeler og LOS og samles i fælles Rollekatalog I Rollekataloget oprettes og vedligeholdes Jobfunktionsroller (både de systemspecifikke og de forretningsvendte) Roller tildeles via Rollekataloget AD FS anvendes som Identity Provider, og AD FS henter brugernes roller og dataafgrænsninger via Rollekataloget på login tidspunkt