Lokal rammearkitektur og IDM med OS2MO & OS2rollekatalog

24 oktober, 2018 af
Lokal rammearkitektur og IDM med OS2MO & OS2rollekatalog
OS2 – Offentligt digitaliseringsfællesskab, Rasmus Frey

OS2 Offentligt Digitaliseringsfællesskab tilbyder OS2MO og OS2rollekatalog som to komponenter, der hver for sig leverer hhv. autoritative medarbejderdata og IdM-funktionalitet, og som tilsammen leverer en moderne IdM-løsning.

 

OS2MO

OS2MO er et system, som samler data om organisation og medarbejdere ét sted og derved reducerer vedligeholdelsen af samt højner datakvalitet på helt centrale forretningsdata.  

Løsningen giver jeres kommune overblik og fleksibilitet i håndteringen af den samlede organisation og samtlige ansatte. Det, at have et sted til at vedligeholde organisation og medarbejdere i det daglige, gør, at disse data altid er up-to-date. Men det vigtige er, at disse autoritative data kan udstilles til en lang række systemer og processer, der har brug for at kende den rigtige organisation og de aktuelle medarbejdere i hver organisationsenhed.

 

Læs mere om OS2mo's udvikling fra version 1.0 til den kommende version 2.5

 

Gevinster

Én autoritativ organisation

OS2MO tilbyder kommunen at definere deres organisation ét sted, og derved undgår man at have flere forskellige bud på, hvordan organisationen ser ud, og hvilke medarbejdere, der er tilknyttet til hvilke afdelinger.

 

Mindre tid på vedligeholdelse af data

Ved at samle kommunens forskellige organisationer ét sted undgår man dobbelt vedligehold. Det betyder, at medarbejderne skal bruge mindre tid på at vedligeholde data, og medarbejderne kan derved bruge tiden på andre opgaver.

 

Mange organisationer

OS2MO kan også rumme og sammenbinde flere forskellige organisationer - fx løn-organisationen, linjeorganisationen, AMR og MED-organisation m.fl, hvilket giver overblik og faciliterer vedligehold af flere organisationer på én gang.

 

Forbedret datagrundlag til forretningsanalyser

Minimering af dobbelt vedligehold betyder også, at datakvaliteten stiger da man undgår at “for mange kokke fordærver maden”. OS2MO henter grunddata fra CPR-registret via Serviceplatformen og adressedata fra Dansk Adresse Register (DAR) , og sikrer derved at disse stamdata på medarbejdere er korrekte. Endelig henter OS2MO data fra tjenesten Klassifikation, som indeholder veldefinerede og retvisende data. Det er meningen, at MO skal udvides til at kunne oprette, vedligeholde og slette egne klassifikationer. OS2MO datagrundlag er dermed højt og konsistent og kan bruges til at udtrække ledelsesinformation af forskellig art og dermed generere rapporter, som giver overblik over organisationen. Det drejer sig fx om muligheden for at se telefonnumre på alle medarbejdere, hvem der er en leders leder, et organigram mv.

 

Automatiseret synkronisering af medarbejder- og organisationsdata mellem systemer

Når datagrundlaget er af høj kvalitet og data autoritative, betyder det, at de systemer, som er integreret med OS2MO, bliver ajourførte med korrekte data. De systemer, som modtager autoritative data fra OS2MO, er fx fagsystemer, lønsystemer og ESDH-systemer, men også selvfølgelig OS2rollekatalog, STS Organisation og STS Klassifikation. Der vil altså ikke længere være behov for, at andre systemer indeholder moduler med organisations- og medarbejderoplysninger, fordi de trækker disse oplysninger fra et centralt system – OS2MO.

 

Datasikkerhed og compliance

Datasikkerheden vil blive skærpet i forbindelse med håndtering af medarbejder- og organisationsdata, fordi sporbarhed og sletning kan foretages. Det er således muligt at slette personfølsomme data, spore alle hændelser og udtrække informationer om, hvem der havde, har eller vil få adgang til informationen på et givent tidspunkt (dobbelthistorik og compliance). Jo flere systemer, OS2MO er integreret med, jo flere systemer vil være indbefattet af dette sikkerhedsnet. Datasikkerheden vil derfor stige i takt med antallet af systemer, som modtager data fra OS2MO.

 

Grundlag for automatiseret rolle- og rettighedsstyring

En af forudsætningerne for automatiseret og moderne rolle- og rettighedsstyring er, at man har autoritative organisations- og medarbejderdata. OS2MO sikrer autoritative data og OS2rollekatalog binder det hele sammen til en moderne, kommunespecifik IdM løsning.

 

KOMBIT systemer  

OS2MO sikrer, at din kommunes STS Organisation og STS Klassifikation er opdateret og vedligeholdt, og OS2rollekatalog holder styr på din kommunes jobfunktionsroller i STS Adgangsstyring.

 

Fælles finansiering af kritiske integrationer

Kommuner som deltager i OS2MO projektet kan gå sammen om forretningskritiske integrationer som fx integration til lønsystemer, BI-systemer og IdM-systemer. Det betyder, at integrationerne bliver billigere og giver endvidere mulighed for at samarbejde på tværs om standardiserede arbejdsgange.

 

Et fælles, men samtidigt kommunespecifikt system

Selvom OS2MO er et generisk system, som kommunerne i fællesskab kan kravstille og videreudvikle, vil det også være muligt at have sin egen version af OS2MO, fordi et konfigurationsmodul vil blive udviklet. Det betyder, at kommunen selv kan konfigurere sin egen installation - fx fjerne et faneblad, der ikke er nødvendigt, oprette lokale klassifikationer, placere eget ikon, give applikationen en ny baggrundsfarve, eller ‘blænde’ nogle af felterne, hvis der er visse data, man ikke skal kunne redigere i.

 

Ikke kun OS2MO, men også Lokale Rammearkitektur

OS2MO er udover en brugergrænseflade til vedligehold af organisations- og medarbejderoplysninger, også en lokal implementering af rammearkitekturen. Dermed overholder systemet rammearkitekturens principper og OIO-standarderne. OS2MO indeholder dermed følgende komponenter: Brugergrænseflade, Beskedfordeler, REST service interfaces, OIO database (LoRa), integrationer til Serviceplatformen, Dansk Adresse Register, SAML 2.0 single sign on samt tjenesterne Organisation, Klassifikation, Sag, Dokument, Tilstand, Indsats og Aktivitet.

Oversigt over nuværende og fremtidige integrationer:

Nuværende v. 2.0 Kommende v. 2.5+
Dansk Adresseregister Silkeborg Data Løn
Serviceplatformen (CPR & CVR) Active Directory (+Azure)
KMD Easy Energy OS2rollekatalog
SAML 2.0 og Single Sign on KMD OPUS/LOS
PoC OS2rollekatalog Støttesystemer (OS2OrgSync)
PoC konfigurationsmodul OS2KITOS, OS2opgavefordeler, OS2indberetning
PoC GUI til klassifikationsservice ESDH-systemer (SBSYS, Acadre, GetOrganized…)
OIO Sag & Dokument, Tilstand, Indsats, Aktivitet, Organisation, Klassifikation, Log Digital post (E-boks)

KLE Online (PoC)

KLE Online
  FASIT Schultz
  UNI-login
  Omada IdM
  MS Exchange

 

Tekniske og ikke-funktionelle fordele

  • Løst koblet og open source organisations komponent
  • OIO-standardisering af data
  • Synkronisering med støttesystem organisation og klassifikation (KOMBIT)   
  • Integration til serviceplatformen
  • Understøtter KOMBITs sikkerhedsmodel
  • Billigere udvikling via fælles finansiering
  • Stærkt fællesskab og erfaringsnetværk via OS2 offentligt digitaliseringsfællesskab

 

 

Status for OS2MO

Næstved kommune har i september 2018 afsluttet første pilot-test af OS2MO med tilfredsstillende resultat. Aarhus, Ballerup, Viborg og Hjørring kommune er i gang med næste pilotafprøvning. Pilottest forventes afsluttet i efteråret 2018.

OS2MO’s arkitekturgruppe som består af repræsentanter fra DIGIT, VeRA, Viborg og Ballerup kommuner samt leverandøren Magenta samler løbende op på erfaringer og udviklingsønsker som måtte komme i forbindelse med pilotafprøvning.

 

 

Økonomi og udviklingsplan for OS2MO

For at idriftsætte OS2MO skal der løftes økonomi til mellem 1.000 og 1.500 timers udvikling. Her er tale om udviklingstimer til bl.a. integrationer (OS2rollekatalog, Støttesystemerne, AD, SD-Løn, KMD OPUS), justering af brugergrænseflade, API udvikling og dokumentationsmateriale. Opgavens scope koordineres i projektets JIRA (https://os2web.atlassian.net/projects/MO/issues/?filter=allopenissues).

Status pr. oktober 2018 er at DIGIT kommunerne, Ballerup, Frederikshavn, Hjørring og Viborg kommuner med en investering på kroner 1,3 mio sikre igangsættelse af et første sprint. Yderligere sikres tilknytning af en fast projektleder til OS2MO samt der udarbejdes et kode review af tredjepart.

For at driftsmodne  OS2MO og gøre det til et moderne IdM-system skal der defineres en anden udviklingsfase, der tilsvarer den første i ressourcebrug.

Når disse to sprints er realiseret - formentlig omkring sommeren 2019 - vil yderligere udviklingsønsker kunne prioriteres i OS2-regi.

Drift og vedligehold (gælder OS2MO)

Driftsomkostninger ved en lokal driftsaftale:

Driftsudgift pr. måned, gælder for kernesystemet 3.000 kr.
Driftsudgift pr. integration 750 kr.

Vedligehold estimeres til ca. 1.000 timer årligt som skal sikre løbende vedligehold af OS2MO, bl.a. sikkerhed, teknologi og integrationer. Udover generel vedligeholdelse af produktet skal det sikres, at OS2MO kan følge med den teknologiske, organisatoriske og lovmæssige udvikling.

 

 

Konklusion på økonomi- og tidsplan

For at komme helt i mål med OS2MO kræver det investeringer til udviklingen. Store dele af dette er sikret men der vil komme mere i takt med at mindre behov opstår hos anvenderne. Jo tidligere man går med i projektet og tager del jo større indflydelse får man også på hvilke dele som udvikles til OS2MO. Det bliver ikke nødvendigvis billigere af at man venter. Det må også forventes at kommuner som har bidraget til den initielle udvikling opnår rabat på den senere tilslutning til løsningen.

 

 

Hvordan kommer din kommune i gang?

Nedenstående viser på overskriftsniveau de trin som din kommune skal igennem, for at få OS2MO op og køre i din kommune.

Opgave

  • Projektstart
  •   Tilvejebringelse af servermiljø
  •   Underskrivelse af kontrakt
  •   Tilvejebringelse af SSL certifikater og certifikater til serviceplatformen
  •   Installation af OS2MO og MOX
    • MOX agent til autentificering
    • MOX agent til CPR data
    • MOX agent til DAR
  •   Installation af LoRA (Lokal Rammearkitektur)
  •   Udarbejdelse af arkitektur- og integrationsoverblik
  •   Indlæsning af data i LoRA, herunder tilvejebringelse af organisations- og medarbejderdata
  •   Test og idriftsættelse af hele setuppet
  •   Evaluering og feedback
  •   Integrationer, udvikling af

 

 

OS2rollekatalog

Håndterer de andre aspekter af en IdM løsning, herunder rettighedsstyring, integrationer, selvbetjening og attestering af rettigheder. OS2rollekatalog understøtter bl.a. den fælleskommunale rammearkitekturs sikkerhedsmodel og er kompatibel med KOMBITs implementation af denne (støttesystemerne).

OS2rollekatalog tager udgangspunkt i kommunens autoritative organisationsdata, som den modtager fra OS2MO og beriger disse med rettigheder. Tilsammen udgør OS2MO og OS2rollekatalog byggeblokkene i et moderne identity management system (IdM), som er designet og udviklet med afsæt i den fælleskommunale rammearkitektur og som leveres open source via OS2 offentligt digitaliseringsfællesskab.

Højniveau beskrivelse af løsningen

OS2rollekatalog håndterer følgende aspekter af en IdM løsning

  • Rettighedsstyring. Via en let forståelig brugergrænseflade understøttes arbejdsgangene omkring modellering og tildeling af rettigheder.
  • Integrationsmotor. Via rige snitflader og indbygge integrationer, understøtter OS2rollekatalog rettighedsstyring på tværs af mange forskellige systemporteføljer, herunder alle systemer der er koblet på KOMBITs infrastruktur, alle rettigheder der vedligeholdes via Active Directory, samt alle fagsystemer der understøtter fødereret adgangsstyring. Snitfladerne på OS2rollekatalog anvendes endvidere til punkt-til-punkt integrationer, bl.a. til omsorgsløsninger, e-handelsløsninger og mange andre legacy- og silosystemer i det kommunale.
  • Selvbetjening. Medarbejderne har adgang til at se egne rettigheder via OS2rollekatalog, og kan se historikken i disse rettigheder.
  • Attestering. Via OS2rollekatalogs rapporteringsfunktionalitet, kan man som leder, systemejer eller revisor, let danne sig et overblik over hvilke medarbejder der har hvilke rettigheder i hvilke fagsystemer.

OS2rollekatalog består af en webbaseret brugergrænseflade til at administrere og tildele rollerne i OS2rollekatalog samt en service-snitflade til at understøtte både opslag på brugeres rettigheder samt automatisering af rettighedstildeling.

OS2rollekatalog kan driftes lokalt i kommunen, men tilbydes også en som Software-as-a-Service (SaaS) løsning, som driftes, overvåges, supporteres og vedligeholdes af Digital Identity.
OS2rollekatalog kommer med integrationer til bl.a. Active Directory (AD), Active Directory Federation Services (AD FS), KOMBIT Adgangsstyring (støttesystemerne), samt en række punkt-til-punkt integrationer, der gør det let både at vedligeholde og overskue rettigheder på tværs af en stor del af kommunens it-portefølje.

 

Økonomi og udviklingsplan for OS2rollekatalog

OS2rollekatalog er i drift i en lang række kommuner og vedligehold samt koordinering er sikret via en OS2-tilslutningsaftale. Hver tilsluttet anvender betaler kroner 10.000 i tilslutningsafgift og kroner 20.000 årligt til videreudvikling og koordinering. Styregruppen og koordinationsgruppen varetager det samlede budget på vegne af tilsluttede anvendere.

Pr. oktober 2018 er 20 kommuner tilsluttet og i september 2018 er godkendt sprint indeholdende opgaverne:

OS2-sekretariatet varetager betjening af styregruppe og administrere tilslutninger.

 

 

Hvordan kommer din kommune i gang?

Kontakt OS2-sekretariatet for tilslutning til den fælles videndeling og udvikling. For opsætning og drift kontaktes OS2-leverandøren Digital Identity. Har I selv tekniske kompetencer og mod på at foretage egen implementering findes kodebasen via projektsiden på os2.eu.

Læs mere om OS2rollekatalog i bilaget nedenfor.

 

 

Foto: Pietro Jeng på Unsplash.com

Tags