Nøglefunktioner i OS2mo

Identitets- og adgangsstyring

En central del af MO (OS2mo) er løsningens identitets- og adgangsstyring, som dækker over at beskytte organisationens data og systemer ved at styre, hvem der har adgang til hvad. Samtidigt sikres effektivitet, kontrol og overholdelse af regler og standarder. For it-brugere betyder identitets- og adgangsstyring, at de kan arbejde mere effektivt og sikkert med nem adgang til nødvendige ressourcer og få hurtig støtte i tilfælde af problemer.
OS2mo - Identitets- og adgangsstyring
OS2mo - Identitets- og adgangsstyring
OS2mo - Identitets- og adgangsstyring (IAM)

1. (Straks)oprettelse af ansættelser & it-brugere

Når en ansat bliver oprettet i MO, kan der samtidig oprettes en eller flere it-brugere til vedkommende, afhængigt af hvilke it-systemer der skal gives adgang til. Det skal samtidig angives, hvilke it-roller (admin, superbruger, mv.) brugeren skal have i det enkelte it-system. Det er også muligt at angive, hvorvidt denne it-bruger skal være primær eller ej.

Hvis en bruger skal straksoprettes, kan MO hente personoplysninger i Det Centrale Personregister (CPR), så det sikres, at oplysningerne er autoritative.

2. Relationer mellem it-brugeren og andre oplysninger i MO​

En person kan have flere forskellige it-brugere, og en person kan ligeledes have flere ansættelser. 

Derfor kan det være nødvendigt at knytte en eller flere ansættelser sammen med én it-bruger. Fordi én ansættelse kan være knyttet til ét specifikt sæt af adresser (telefonnummer, postadresse, mv.), er det også muligt at knytte en it-bruger sammen med et sæt af adresser.

Én person kan derfor være modelleret således:

OS2mo

3. Ændringer og (straks)nedlæggelser

Man kan redigere en it-bruger i MO ved fx at ændre vedkommendes it-rolle (fx fra admin til superbruger) eller angive en slutdato på it-adgangen.

Når slutdatoen indtræffer, vil it-brugeren miste sin adgang til systemet. 

Idet en it-bruger i MO er koblet sammen med en tilhørende ansættelse, vil den ansattes it-adgange automatisk blive lukket den dag, ansættelsen ophører.

Indimellem er det påkrævet at straksnedlægge en bruger. Det gøres ved at sætte slutdatoen på it-brugeren til dags dato. De forskellige integrationer vil opsnappe hændelsen og lukke brugerens adgang(e) i de integrerede systemer.

4. Dataafgrænsning ved KLE-numre

Fordi MO kommer med en integration til FK Klassifikation, gælder det for de kommunale kunder, at organisationsenheder kan opmærkes med KLE-numre. 

KLE-numre tilvejebringer muligheden for dataafgrænsning i FK Organisation og dermed i de fælleskommunale fagsystemer, der integrerer til FK Organisation.

5. Overblik over rettigheder og ledelsestilsyn

I MO er det muligt at se, hvem der har adgange til hvilke systemer.

Man kan både se de enkelte brugeres adgange, og man kan gå ind på en afdeling og danne sig et overblik over alle ansattes adgange.

Det er ligeledes muligt at downloade dette overblik i et regneark.

6. Auditlog

MO er udstyret med en auditlog. Det betyder, at man kan se, hvem der har ændret en brugers rettigheder, og hvornår det er sket.

Eksempelvis kan man således identificere en uautoriseret privilegieeskalering.

Auditloggen er nærmere beskrevet i denne artikel.

7.​ Rettighedsstyring ved direkte og indirekte integration

Rettighedsstyring ved direkte integration

For at kunne styre rettigheder i de eksterne systemer, der er direkte forbundet med MO, skal MO indeholde information om de eksterne systemers rettighedsmodel og deres it-roller. Når MO indeholder disse informationer, kan der tildeles adgang til it-systemerne, og det er muligt at tilføje den eller de it-rolle(r), it-brugeren har behov for.

OS2mo
Rettighedsstyring ved indirekte integration

Hvad angår den indirekte integration til eksterne systemer via Active Directory, fungerer det sådan, at MO tilvejebringer det datagrundlag, som Active Directory har behov for, så den enkelte bruger kan indplaceres i de rette sikkerhedsgrupper. Dermed opnås adgang til de eksterne systemer, som administreres fra Active Directory.

Det datagrundlag, der skal tilvejebringes, indeholder en række centrale oplysninger om brugeren, såsom CPR-nummer, navn, organisatorisk indplacering, stillingsbetegnelse, mm.

Dermed bliver det muligt i MO at vælge hvilke it-systemer brugere skal have adgang til samt formidle hvilke roller de skal have i samme systemer.

8.​ Rettighedsstyring via email-notifikationer

Rettighedsstyring i systemer, der ikke er koblet sammen med MO, kan ske via email-notifikationer.

Når en bruger i MO bliver tildelt rettigheder til et it-system, som MO ikke er integreret med, bliver oprettelsen opfanget af en mekanisme, der sender en email-notifikation til rette vedkommende. Herefter kan brugeren blive oprettet manuelt i det eksterne system og tildeles de rettigheder, der fremgår af emailens instruks.

Kontaktinformation

Kontakt

Alex Thirifays

Flere fordele

Nøglefunktioner i OS2mo