08. december 2017

Rollekataloget sikrer god og sikker styring af adgange

5 midtjyske kommuner danner kernen i et samarbejde om at udvikle Rollekataloget. It- og digitaliseringschef Henrik Brix og it-arkitekt Peter Binderup, begge fra Favrskov Kommune, fortæller om baggrund og perspektiver for Rollekataloget.

Rollekataloget løser opgaven med at styre de kommunale medarbejders roller og adgange til diverse it-systemer på en konsekvent og fleksibel måde i forhold til kommunernes behov.

KL: "Hvor kom ideen til projektet fra? Fortæl, hvordan I kom i gang?

Henrik Brix: "Ideen opstod i samarbejdet mellem os tre kommuner, som vi kalder "3K"– Favrskov, Syddjurs og Norddjurs Kommuner. Det samarbejde har kørt et stykke tid, også før rollekataloget kom på banen, og i det samarbejde har vi defineret et fælles projektsamarbejde, som vi kalder vi JFR – jobfunktionsroller. Vi havde en fælles erkendelse af, at dette var – og er – et udviklingsområde. Her kan vi blive bedre til at styre jobfunktionsroller og autorisationer ved at gå sammen om det. Skanderborg og Horsens Kommuner, som vi også har et godt samarbejde med, valgte heldigvis så på et tidligt tidspunkt at gå med i vores projekt om Rollekataloget.

Vi tre kommuner i "3K" stod forskellige steder i dette her. I Favrskov Kommune havde vi en kollega, som af historiske årsager i øvrigt sad i Økonomiafdelingen, og han stod for en hel del af det, specielt de gamle KMD-systemer. OPUS og CICS. Han gik så på pension, og så lavede vi en aftale om at it-afdelingen fik tilført et halvt årsværk, og så skulle vi så påtage os opgaven, og vi syntes, det var meget fornuftigt at samle det ét sted. Så vi havde noget kompetence, vi skulle opbygge i forbindelse med, at en kollega gik på pension. Og så må vi også indrømme, at han havde gjort det på sin måde igennem mange år og havde det fulde overblik. Vi ville godt automatisere lidt mere og prøve at gøre det lidt mere systematisk og generisk.
I de to andre kommuner var det andre udgangspunkter, som gjorde, at de også havde det behov for mere automatisering. Så med en fælles projektleder, som i øvrigt sidder i Syddjurs Kommune, Henrik Bojsen, organiserede vi – og projektet kører i øvrigt stadigvæk – dette jobfunktionsrolleprojekt, og det er ret omsiggribende.

Det lugter jo lidt af noget IDM, så vi har blandt andet lavet en hel del harmonisering inde omkring OPUS, som vi alle tre kommuner har: Hvordan kan vi forenkle og definere et antal jobfunktionsroller, som dækker langt hovedparten af medarbejderne, så det bliver langt nemmere at håndtere, når der sker organisations- og systemændringer?

Af det arbejde udsprang ideen så: Kunne man lave noget automatik? Kunne man gøre det sådan, at hvis vi nu vedligeholder de stam- og grundoplysninger, der skal til, såsom organisation og roller for vores medarbejdere, og hvilke roller findes for systemerne, så kunne vi måske få det til at foregå automatisk. Og så kiggede vi jo også ind i en støttesystem-virkelighed - eller støttesystem-fremtid, skulle man måske sige. Og vi kunne godt se, at det sådan set understøttede ideen om dette meget godt.

Så det, der var tanken, var at lave noget automatik. Se hvor langt vi kunne komme med det og begynde at bruge det nogle steder og så sikre, at det er "compliant" med støttesystemerne, således at det fuldstændig bygger på tænkningen i støttesystemerne, sådan at det kan kobles på dem, når det bliver muligt. Det er det, vi har bygget vores projekt oven på – og da vi søgte puljen var vi således allerede godt i gang, hvilket også er beskrevet i vores puljeansøgning.

Det firma, som vi så har hyret til at lave løsningen hedder Digital Identity, og de har hjulpet KOMBIT med dele af Støttesystemerne. Det har givet Digital Identity ret stor viden, og det spillede da også ind, fordi det for os skal blive noget, der hænger fuldstændig sammen med støttesystemerne. Det skal supplere og støtte op om hinanden. Det er meget vigtigt at understrege, at vores projekt ikke er en konkurrent til støttesystemerne. Tværtimod vil jeg meget gerne demonstrere, at det digitale kommunale fremtidsbillede består af mange komponenter, som taler sammen i fordragelighed og ikke konkurrerer med hinanden."

KL: Hvordan har jeres samarbejde været med andre kommuner, leverandører og KOMBIT?

Henrik Brix: "Samarbejdet med vores leverandør er en vigtig faktor. Vi har meget samarbejde med Digital Identity på mange fronter. De har også hjulpet os med at lave den klargøring, som vi jo for længst har skullet gøre i forhold til kobling mellem vores AD FS og op mod Støttesystemerne. Her har Digital Identity hjulpet os alle tre kommuner med at lave det, så vi kom tidligt i hus med det. Så det er en leverandør, som vi er glade for og har meget gavn af. Hvis vi ikke havde en eksisterende relation til firmaet, så ville vi nok have kigget efter en leverandør på OS2-listen over leverandører, for der findes jo også andre.

KL: Hvilken betydning har det haft, at jeres projekt fik tildelt penge fra rammearkitekturpuljen?

Henrik Brix: "Det skal jo siges, at vi havde besluttet at lave "dimsen", og den var sådan set også allerede leveret, inden rammearkitekturpuljen blev udbudt, så her er vores projekt lidt anderledes. Man må jo godt få støtte til noget, som allerede er i gang. Og vi havde også givet hinanden håndslag på, at den kvarte million, der skulle investeres i det i version 1, den havde vi os tre kommuner imellem, og så var der kommunerne Skanderborg og Horsens, som også kunne se fidusen i det. Med støtten fik vi mulighed for at  videreudvikle Rollekataloget.

KL: Hvad har jeres projekt givet jer af ny viden og erfaring?

Jeg er sikker på, at vores projekt allerede giver værdi til andre kommuner, for når jeg har været ude at fortælle om vores rollekatalog, har der været god interesse, måske endda så meget, at det kan virke en lille smule skræmmende. Det er der flere årsager til, at jeg siger. For det første fordi vi ikke har sådan en "vi indtager hele markedet"-holdning.

Jeg er ikke sikker på, at denne løsning er den rigtige for alle kommuner. Eksempelvis siger visse kommuner, at de ikke kan se sig selv i vores løsning, og der svarer jeg, at det behøver de sandelig heller ikke. Der er ikke nogen tvang – man kan godt gøre det på andre måder.

Men vi er jo noget betaget af denne løsning, og det er jo vores lille barn, så vi taler med begejstring om den, men nogle kommuner er allerede godt i gang med identity management projekter med andre leverandører, og jeg kan godt se, at vores projekt ikke er relevant for dem.

Vores rollekatalog kan hjælpe andre kommuner, og nu skal jeg igen ikke blive for begejstret, for det her er en problemstilling, som alle kommuner står over for. Det er en ret stor opgave, specielt fordi man skal løse den lovmedholdeligt – altså hele tiden sikre, at autorisationerne passer til den situation, som den enkelte medarbejder står i – så er det en ret stor opgave. Og det er så den, vi får løst på denne her måde, for vi baserer os på nogle stamdata, som vi alligevel skal og bør vedligeholde: Organisation, KLE-opmærkning, afdelinger og personer og roller.

Rollekataloget gør det således – og nu bliver det en smule teknisk – at hvis eksempelvis en af vores medarbejdere logger på Danmarks Miljøportal, som anvender AD FS, så bliver der sendt en forespørgsel til vores AD FS: "Kender I denne bruger, og hvilke rettigheder har vedkommende?" Og så forespørger vores system ned i rollekataloget og svarer tilbage til Danmarks Miljøportal: "Ja, det gør vi, og vedkommende har de og de rettigheder." Og hvis der sker en organisationsændring eller en anden ændring, så slår de igennem med det samme, og autorisationerne bliver ændret dynamisk. Man skal ikke huske at gå ind at rette noget. Hvis du har dine stamdata i orden, så sker det af sig selv. Og det er da smart!"

Peter Binderup: "Der kan endnu være nogle åbne spørgsmål om midlertidige og delvise adgange med videre, eller i forhold til forskellige kommuners systemer i relation til KLE-opmærkning med mere, og her overvejer vi, hvordan vi lovmedholdeligt kan udvikle rollekataloget til at løse disse forskellige udfordringer."

Henrik Brix: "Sagen er den, at vi som de forskellige kommuner, der bruger det nye rollekatalog, faktisk ikke behøver at være helt enige om, hvordan vores respektive kommuners forvaltninger anskuer roller. Vi er jo hver vores myndighed og kan godt have forskellige jobfunktionsroller og forskellige KLE-opmærkninger og så videre. Men vi har indtil videre siddet sammen som deltagende kommuner og er faktisk blevet enige.

Peter Binderup: "Det seneste eksempel, jeg har været med til, var, da vi sad med jobfunktionsroller og systembrugerroller på Miljøportalen. Her foregik vores projektarbejde helt gnidningsfrit. Vores diskussioner gik mere på den "praktiske hverdag" end på, hvordan man definerede det inde i systemet. Så der var faktisk mest et ønske fra de andre kommuner i projektet, at hvis vi i Favrskov Kommune ville sætte vores roller op, så kunne de øvrige kommuner nærmest dele den opsætning som en slags skabelon og derfra så tilpasse deres roller og tildeling af adgange. Så på den led er rollekataloget meget fleksibelt."

Henrik Brix: "Ja, rollekataloget er fleksibelt. Det, der ligger fast i systemet, er de såkaldte "brugersystemroller". De er knyttet til et system. Og i eksempelvis Miljøportalen er der lige under 100 af sådanne roller. Vores indkøbssystem i Favrskov har til sammenligning tre roller. Sådanne brugersystemroller kan vi i udgangspunktet ikke gøre noget ved. Men det, vi kan gøre noget ved, er den individuelle modellering af disse brugersystemroller, og det gør vi så i de såkaldte "jobfunktionsroller" og i det, vi kalder "rollebuketter". Og dem styrer vi jo selv. Så vi kan godt lave jobfunktionsroller til hvert system og lade dem indgå i et antal rollebuketter. Og det er så det, vi indtil videre har en dialog med de to andre kommuner i projektet om. "

KL: Hvad så nu? Hvordan kommer I videre herfra?

Henrik Brix: Rollekataloget har været på dagsordenen som bestyrelsessag i OS2 den 8. november og er nu officielt et OS2 produkt. Og så er der nedsat en koordinationsgruppe med Syddjurs, Norddjurs, Favrskov, Skanderborg og Horsens Kommuner samt med KOMBIT – med Peter Binderup som koordinator. Og vi er virkelig glade for, at KOMBIT har vist så stor interesse for rollekataloget, at de vil sidde i koordinationsgruppen.

Systemet ligger i en version 1.0 lige nu, og der er ændringsønsker nok til at lave en version 2.0. En udfordring kan være, at desto flere kommuner, der kobler sig på rollekataloget, desto sværere bliver det at håndtere og imødekomme ændringsønsker, men vi vil naturligvis ikke udelukke nogen af den årsag – selvfølgelig ikke.

Beskrivelse af projekt

Syddjurs, Norddjurs og Favrskov Kommuner (i samarbejdet "3K") samt Skanderborg og Horsens Kommuner er gået sammen om dette projekt, der leverer et rollekatalog til styring af roller, bruger- og adgangsstyring. Derudover har 21 kommuner i ansøgningen til rammearkitekturpuljen udtryk interesse for at deltage, og siden har flere kommuner, herunder Aarhus Kommune, også henvendt sig som interesserede i rollekataloget.

Beskrivelse af rammearkitekturpuljen

Læs meget mere her: http://www.kl.dk/Okonomi-og-administration/Administration-og-digitalisering/Rammearkitekturpuljen/