27. april 2020

Kommunernes it-arkitekturnetværk deler erfaringer om brugerstyring

Mere end 100 it-kyndige fra Danmarks kommuner deltog i marts i første møde i Kommunernes it-arkitekturnetværk for 2020 fordelt på tre møder i henholdsvis Fredericia, Aalborg og København. Der var flere emner på dagsordenen, som var ens for de tre møder, men alle kredsede om identitetssikring og brugerstyring, som det overordnede tema. Der blev delt viden, succeshistorier, udfordringer og erfaringer.

Et spadestik dybere i NSIS-standarden

NSIS er en forkortelse for National Standard for Identiteters Sikringsniveauer, og sammen med brugerstyring på skoleområdet var det de altoverskyggende emner på de tre møder i netværket. NSIS har været oppe på møderne i netværket i 2019, hvor det i første omgang handlede om at introducere til standarden, og hvad den indeholder.

Formålet i denne omgang var at komme et spadestik dybere og blive konkret de steder, hvor der evt. er udfordringer eller mangler klarhed i forhold til, hvordan man i kommunerne kommer i mål med implementering af NSIS. Baggrunden er, at I ude i kommunerne i løbet af 2020 skal arbejde med brugerstyring på tværs af forvaltningerne. Det sker både fordi de fællesoffentlige infrastrukturløsninger Nem-login og Nem-ID er under udvikling og omlægning, og fordi NSIS om sikring af identiteter skal anvendes.

Eftermiddagene på de tre møder handlede om brugerstyring specifikt på skoleområdet, som eksempel på et område, hvor kommunerne er i fuld gang med en transformation. Det sker både i kraft af Aula og dermed yderligere digitalisering af området og i kraft af, at Styrelsen for IT og Læring har lanceret Nyt Unilogin.

I retning mod central brugerstyring

Første møde i netværket blev afholdt d. 4. marts 2020 på Fredericia Uddannelsescenter for kommuner i Syddanmark. Det var dejligt at se både nye ansigter og en del, der har været med i netværket de foregående år. Hvert møde blev indledt med en snak om deltagernes forventninger til møderne. Det gav god energi til at få gang i mødet, og betød også, at vi sidst på dagen kunne kigge på listen over forventninger og krydse af, at vi havde været hele vejen rundt.

Det blev tydeligt bekræftet på møderne, at der ligger flere store opgaver for kommunerne i den igangværende omstilling hen imod at leve op til NSIS. Flere kommuner er i gang med at gennemgå brugerstyring i de enkelte områder og etablere en tværgående strategi for hele kommunen, og udviklingen går i mange kommuner i retningen af central brugerstyring.

En yderligere opgave handler om at afgøre om, og hvornår, man skal anvende egen IDP. Opgaven er dels udsprunget af lancering af NemLogin3, der gør det lettere at etablere medarbejderidentiteter i en national kontekst og dels knyttet til Unilogin-brokeren, der blev lanceret for skoleområdet i begyndelsen af året.

En opgave, der heller ikke er lille, handler om gennemgang af alle kontrakter med leverandører af tjenester og systemer, for at opnå større og mere forpligtende anvendelse af den fælleskommunale rammearkitektur og infrastruktur.

Tilløbsstykke i Aalborg

Andet møde blev afholdt 5. marts i hjertet af Aalborg for netværksdeltagere fra kommuner i Midt- og Nordjylland, og i løbet af morgenen var e-mails tikket ind fra en del, der ikke havde tilmeldt sig, men som anmodede om at deltage alligevel. Det blev hurtigt klart, at der kunne blive problemer med forplejningen. Der skal lyde en stor tak til køkkenet i Aalborg Kultur -og Kongrescenter, som var hurtige til at svinge kniven og supplere med mere frokost, da deltagerne midt på dagen var blevet sultne af al den snak om brugerstyring, NSIS-krav og referencearkitektur.    

Der var oplæg fra kommuner og KL, og der var positiv stemning, og stor spørgelyst blandt de kommunale deltagere, der spurgte flittigt ind til bedste praksis i arbejdet med brugerstyring. Ved bordene drøftede deltagerne de forskellige tilgange og løsninger, og hvordan kommunerne sikrer overblik over eksternt rettede tjenester og implementering af lokal IDP. Der var enighed om, at der er behov for bedre og tydeligere lovgivning i forhold til verificering af identiteter.

Der er et klart ønske om en fælles kommunal tilgang til identitetssikring for de systemer, der er ens i kommunerne. Udfordringen er, at brugen af de enkelte systemer er forskellig. Det kan føre til, at risikovurderingen bliver forskellig fra kommune til kommune. Kommunerne har fortsat selv et ansvar for at træffe beslutning og selv vurdere, om der er lokale forhold der gør, at niveauet skal være et andet, end det, der evt. fastlægges fælleskommunalt. Login med medarbejderes private Nem-ID blev også drøftet og en problematik om, at ADFS-løsninger ikke kan håndtere forskellige sikkerhedsniveauer.

Corona-usikkerhed og akustiske overraskelser

Tredje og sidste møde i netværket i denne runde var d. 11. marts for kommuner på Sjælland i et fint café-lokale på Borups allé i København. Det var Københavns kommune, der var vært, og lokalet havde i midten en række ovenlysvinduer, der gav et sjovt akustisk tvist på den måde, at hvis man som oplægsholder trådte tilpas langt frem i lokalet, gav ændringen i loftet pludselig en rungende effekt til stemmen på oplægsholderen. Et tvist, som nok kunne hyle selv den mest erfarne oplægsholder ud af den.

Det var i øvrigt et rigtig fint lokale, og mødet gik godt, selv om det var mærket af Corona-usikkerhed op til mødet: Ville vi, eller ville vi ikke kunne afholde mødet? Lokalet var stort nok til at vi kunne sidde med tilstrækkelig stor afstand, og der var sørget for håndsprit i rigelige mængder. Som facilitator er det en fornøjelse at møde op til et velforberedt værtskab, hvor der er styr på det hele. En stor tak til Københavns Kommune for hurtig omstilling og meget fine faciliteter.  

Der var også på det sidste møde i denne møderunde mange gode drøftelser. Blandt andet om de enkelte kommuners forretningsmæssige behov, som ligger til grund for de forskellige tilgange til brugerstyring.  Flere af drøftelserne gik igen på de tre møder og de viser, at det giver mening med en endnu tættere dialog mellem kommunerne om hvordan man forvalter den lokale brugerstyring. Dermed kan kommunerne hjælpe hinanden ift. fx bedste praksis i tildeling af rettigheder. På mødet blev det også drøftet, at der er brug for at uddybe karakteren, og konkret betydning, af de krav, der stilles i forbindelse med NSIS.

De forventede krav i forbindelse med det nye UNI-login blev også drøftet på de tre møder. Forskellige løsningsscenarier blev gennemgået på store pædagogiske tegninger, og der var stor ros fra kommunerne, da det gav anledning til gode drøftelser af, hvordan man kan håndtere forskellige løsninger. Der er blandt kommunerne enighed om, at der er behov for beskrivelse af snitflade til API og testmiljø fra Styrelsen for It-og Læring.

Det virtuelle netværk

Alle tre møder blev rundet af med en drøftelse af idéer til kommende emner og oplægsholdere. Det var tydeligt, at der var efterspørgsel efter mere vidensdeling og opfølgning på konkret NSIS-implementering på kommende møder i netværket.

De næste møder er henholdsvis 17., 18. og 22. juni for kommuner på henholdsvis Sjælland, i Syddanmark og i Midt-og Nordjylland. Møderne bliver afholdt virtuelt, og i KL lægger vi nu alle kræfter i at indsamle erfaringer, tips og gode idéer, så vi kan garantere, at møderne bliver mindst lige så udbytterige, som når vi mødes fysisk.