24.07.2018

Identiteetin- ja pääsynhallinnan projekti

IDM-projekti
 

Esittely

Identiteetin- ja pääsynhallinnan projekti (IAM-hanke) toteuttaa ratkaisun keskitetylle käyttöoikeuksien ja IT-resurssien hallinnalle, sekä toteuttaa palvelualustan sähköisille työnkuluille. Hanke kytkeytyy laajasti yliopiston toimintaan, tukien ja kehittäen erityisesti niitä toimintoja, joissa hyödynnetään yhteisiä IT-järjestelmiä. Toteutettava kokonaisratkaisu osaltaan sähköistää ja automatisoi yliopiston toimintoja.

Projektin tavoitetilaa on hahmotettu visioimalla yliopiston tulevaa toimintamallia ja tunnistamalla keskeisiä ydintoiminnan nykyisiä sekä tulevia tarpeita. Yhtenä tavoitteena on luoda joustava, dynaaminen IT-toimiympäristö erilaisten tarpeiden toteuttamiseksi.

Projektin lopputulemana on ratkaisu käytönhallinnan (identiteetin- ja pääsynhallinta) järjestelmäksi, joka palvelee tunnistettuja ja tulevia tarpeita vähintään seuraavan 5-10 vuoden ajalla.

Tavoitteet

Käyttöönotettava järjestelmä mahdollistaa mm. seuraavia uusia toiminnallisuuksia:

  • Käyttöön helpoutta! Kertakirjautumispalvelu (SSO) tulee käyttöön käytetyimpiin yliopiston sovelluksiin ja palveluihin. Palvelulla kirjaudutaan kerran Web-palveluun (esim. UNO tai ISA) yliopiston tunnuksella ja salasanalla, jonka jälkeen pääsee  muihin Web-palveluihin (Sole, SAP tms.) kerran tunnistettuna, ilman uutta kirjautumista.
  • Sähköiset työnkulut! Sähköisillä työnkuluilla voidaan toteuttaa Web-palveluna erilaisia toimintaan liittyvä tapahtumakulkuja ja ohjata automaattisesti tapahtumaketjuihin liittyviä tietojärjestelmiä. Esimerkkinä uusi työntekijä voi käynnistää työnkulun kautta (esimiehen sähköisen hyväksynnän jälkeen) työvälineiden (työasema, puhelin, kulkuoikeudet) hankintaketjun, joka käynnistää tarvittavat toimet työvälineiden hankkimiseksi valmiiksi jo ensimmäistä työpäivää varten.
  • Työroolin mukaiset oikeudet! Henkilöiden työ- ja opiskelutehtävien mukaan kiinnitetään roolit, joiden kautta myönnetään palveluihin tarvittavat käyttö- ja pääsyoikeudet, resurssit (esim. lisälevytila), anomis- ja hyväksymisoikeudet ja käytettävissä olevat toimintaa ohjaavat sähköiset työnkulut. Projektipäällikkö voi esimerkiksi luoda sähköisesti projekteja ja kiinnittää niihin tarvittavia tietojärjestelmäresursseja (levyhakemistot, sähköpostilistat ym.) projektiryhmän käytettäväksi.
  • Laajentuneet itsepalvelut! Uudistuneet itsepalvelut mahdollistavat omien tietojen ylläpidon ja hallinnan, sekä käyttöoikeuksien ja resurssien anomisen. Itsepalvelujen kautta voit anoa lisää levytilaa, käyttöoikeuksia tai käynnistää työvälinehankintoja (esim. tietokoneen uusinta).
  • Palvelua tapahtumille ja konferensseille! Tapahtumia ja konferensseja varten tarvittavien tunnuksien, käyttöoikeuksien ja palveluoikeuksien myöntäminen tapahtuu automaattisesti ilmoittautumisen yhteydessä. Vierailija saa tapahtumaan tarvittavat palvelut käyttöönsä yhdellä kertaa ja helposti.
  • eTyötilan kautta käyttöön luovasti projektiresurssit! Päivittäisessä toiminnassa on tarpeita luoda projekteja, ryhmiä tai yhteistyötä varten erilaisia yhteisiä resursseja, joihin annetaan oikeus vain rajatulle joukolle henkilöitä. Tarpeet ilmaantuvat nopeasti ja niihin tarvitaan yhteisiä sähköisiä työtiloja. eTyötila-palvelu mahdollistaa projekteille ja ryhmille sähköisen ja automaattisen menetelmän ottaa käyttöön joitakin tarvittavia tietojärjestelmäresursseja. Ensi vaiheessa projektien käytettävissä on mm. yhteinen levytila ja levyhakemisto, sähköpostilista ja resurssiryhmä (voi ohjata muita palveluita). Projektiin tai yhteistyöryhmään on määriteltävissä ketkä henkilöt ovat kyseisen eTyötilan käyttäjiä.

Aikatauluarvio

  • 07/2011: Tehty hankintapäätös
  • 09/2011: Projektitoteutus käynnistetty
  • Q1/2014-Q2/2014: Meneillään toteutusprojektin (minimikäyttöönotto) vaihe
  • Q2/2014-Q3/2014: Testaus, tiedotus ja käytön koulutus
  • Q4/2014: Käyttöönoton I-vaihe
  • Q2/2015->: Toteutusprojektin II-vaihe (laajennetut palvelut)
  • Q2/2018 -> tuotannossa.

Tiedotteet

Kuvaus ratkaisutavoitteista

Toteutettava ratkaisu sisältää useita eri teknisiä ja toiminnallisia osa-alueita. Palvelut rakentuvat näiden toimintojen yhdistelmistä.

JY_IAM- ratkaisun periaatekuva

 

Liitettävät palvelu- ja tietojärjestelmät

Lähde- ja kohdejärjestelmien liitännät tapahtuvat vaiheittain. Jokaisen järjestelmäliitoksen myötä saadaan keskitetyn hallinnan piiriin ko. palvelut.

JY_IAM_Lähde- ja kohdejärjestelmät

Valittu järjestelmäratkaisu

Yliopiston IAM-järjestelmä perustuu Novell Identity Manager -tuotteeseen. Ratkaisu on moderni roolipohjainen identiteetti- ja pääsyoikeuksien hallintajärjestelmä, joka integroituu hyvin yliopiston nykyisiin ja tuleviin tietojärjestelmiin.

Projekti toteutetaan yhdessä Enfo Oyj:n kanssa.

Ratkaisun toiminnallisuuksista

Käyttöönotettavaan ratkaisuun on mallinnettu toimiympäristön eri rooleja, joiden kautta jokainen yhteisön toimija saa työhönsä liittyvät ja tarvittavat oikeudet, resurssit ja pääsyt eri järjestelmiin ja palveluihin.

Työ- tai opiskelusuhteen muutokset muuttavat automaattisesti henkilöön liitettyjä työrooleja, joiden avulla välittyvät vaikkapa muutoksien mukaiset muuttuneet käyttöoikeudet.

Hyväksymis- ja anomismenettelyjen avulla toteutetaan erilaisia hyväksyntöjä, liittyen esimerkiksi tilauksiin tai hankintoihin, jolloin toimintaketjut ja tapahtumat saadaan kokonaisuudessaan sähköisiksi. Näin käsittely- ja tapahtuma-ajat lyhentyvät ja tulevat ajasta/paikasta riippumattomiksi.