I november implementerte vi automatisert tilgangsstyring ved bruk av Microsoft Orchestrator. Dette tiltaket medfører en betydelig effektivisering for IKT-avdelingen og for lederne ute i virksomhetene. I tillegg får vi bedre kontroll med tilgangene og sikkerheten øker.

Løsningen

Løsningen er laget slik at MS Orchestrator henter informasjon fra Visma webservices og bruker denne informasjonen til å opprette bruker, epostadresse, telefonnummer (skype), hjemmeområde og gir nødvendige tilganger. Når bruker er opprettet går det mail til leder med nødvendige opplysninger om den nye brukeren og et passord til førstegangs pålogging. Denne informasjonen kan leder gi til den nyansatte første dag. Tilsvarende når en bruker slutter, så fanges dette opp og tilganger settes i karantene 3 måneder fra den ansattes sluttdato slettes tilgangene permanent.

Illustrasjon – automatisert prosess ved nyansettelser

Automatisert prosess nyansettelser

Gruppere ansatte som skal ha like tilganger

Best praksis i henhold til ITIL er å gruppere ansatte som skal ha like tilganger for å forenkle prosessene rundt tilgangsstyring. Vi har valgt å kalle den enkelte tilgangsgruppe for en virksomhetsrolle (ITIL = «user role»). Hver ansatt tildeles en virksomhetsrolle og får tilganger som er predefinert for den rollen. Alt dette har vi lagt til rette for i AD. Ved nyansettelser, eller ved endringer i stilling behøver bare rollen å tildeles eller endres og så endres også tilgangene i henhold til ny stilling. Dette er en betydelig forenkling og gir god oversikt over hvem som har hvilke tilganger.

Effektivisering i virksomhetene og i administrasjonen

For lederne og de som jobber med tilgangsstyring i den enkelte virksomhet betyr den nye løsningen at de ikke lenger behøver å bestille tilganger spesielt hos IKT-avdelingen. Ved å fylle ut opplysninger om den ansatte i Visma elektronisk personalmelding (for eksempel ny ansatt, endring i arbeidsforhold eller ansatt har sluttet), så fanges dette opp av en MS orchestrator runbook som orkestrerer nødvendige endringer i tilgangene. Det går alltid informasjon til nærmeste leder om hvilke endringer som gjøres. For IKT-avdelingen betyr automatisert tilgangsstyring en betydelig reduksjon i tilgangssaker som skal behandles. Fra at dette har vært en helmanuell prosess, til nå å være i stor grad automatisk, gjør at vi kan bruke ressursene på andre og viktigere saker.

Løsningens arkitektur

 HRM01 - Oppdatert (00000003)

 

Ytterligere automatisering

Foreløpig håndterer løsningen kun nye ansatte og ansatte som slutter. Endringer i stilling eller bytte av stilling internt i kommunen er fremdeles en delvis manuell prosess. Dette skyldes først og fremst begrensninger som har ligget i Visma webservices. Visma har imidlertid nylig kommet med flere felter i webservicen, som vil gjøre det mulig for oss og også fange opp endringer. Dette er for øyeblikket under uttesting og vi kommer tilbake med mer informasjon på Sorumbeta straks denne løsningen er på plass.

Tilgang til runbooken

Vi i Sørum kommune er opptatt av å dele gode løsninger. Står du i startgropen for å automatisere tilgangsstyringen i din kommune, så ikke nøl med å ta kontakt. Vi deler villig både informasjon om prosjektet vårt og den tekniske løsningen. Du kan også få kopiere runbooken vår om du vil, så har du et godt grunnlag for implementering av automatisert løsning for tilgangsstyring i egen kommune.