Ny styring af it-adgang i Hillerød: Vi glemte for ofte at lukke ned for fratrådte kolleger

Illustration: AndreyPopov/Bigstock
Hillerød Kommunes IdM-løsning integrerer direkte til de systemer, hvor medarbejdernes adgange skal ændres. Og derfor kan en bruger straksoprettes til Active Directories og mailservere.

Problemet med at huske at få lukket for adgang til drev og netværk, når en kollega stopper, var blandt andet med til retfærdiggøre en investering i et Identity management (IdM)-system i Hillerød Kommune for ni år siden – et system, hvor man lige nu er midt i en ny udrulning af flere funktioner:

»Der var en tendens til, at man huskede at oprette adgang til netværk og e-mail, når en ny medarbejder begyndte, men man glemte lidt for ofte at lukke igen, når en medarbejder stoppede,« fortæller Claus Jensen, der er leder af Hillerød Kommunes afdeling for i IKT.

Netop den svaghed skulle en IdM-løsning i Hillerød til håndtering af de 4.500 ansatte gøre op med.

Generelt kan et IdM-system centralisere identitets-og rettighedsstyringen, så it-afdelingen fra ét sted kan styre tildelingen af adgang for medarbejderne til de mere end 270 fagsystemer, netværk, drev og e-mail-konti:

»Vi undgår fejl, og vi har fået styr på, hvem der har hvilke rettigheder til hvad og hvornår,« siger Claus Jensen.

Adgangskopi af kollega giver fejl

Tidligere fik en ny kollega ofte bare tildelt samme rettigheder som en anden kollega i afdelingen – i form af en kopi. Og det var heller ikke for smart:

»Fejlen opstår, hvis den kollega, man kopierer, som tænkt eksempel i en periode har været 'udlånt' til en afdeling, og f.eks. har skullet hjælpe med at betale og godkende regninger – og man ikke har fået fjernet de adgange igen,« siger Claus Jensen.

Alt det håndteres i dag ikke bare mere præcist, det går også hurtigere.

Oprindeligt blev IdM-løsningen nemlig købt med begrundelse i, at man skulle spare, og centraliseret it-onboarding af nye kolleger var et oplagt sted at kigge hen.

»Tommelfingerreglen var, at vi tidligere brugte 45 minutter på at oprette en ny kollega. I dag tager det under 10 minutter,« siger Claus Jensen.

Baggrunden for, at det kan gå så meget hurtigere, er, at IdM-løsningen integrerer direkte til de systemer, hvor medarbejdernes adgange skal ændres. Og derfor kan en bruger straksoprettes til Active Directories og mailservere.

Op til 200 faste roller

I dag står kommunen midt i en videreudvikling af IdM-systemet. It-afdelingen er i gang med at definere en række faste rolle med bestemte rettigheder, som alle medarbejdere herefter skal passes ind i.

»Vi ender på mellem 100 og 200 roller, som hver især medfører en bestemt adgang til vores fagsystemer, administrationssystemer og økonomisystemer,« siger Claus Jensen

På sigt kan det flytte langt det meste af adgangsstyringen væk fra it-afdelingen:

»Vores meget naive ambition er, at hvis vi får helt styr på rollekataloget, så betyder det, at rettighedstildeling i princippet kan ske helt automatisk og fremover kan styres via vores HR-system ud fra, hvilken type stilling – og dermed rolle – den enkelte medarbejder har,« siger han.

Løsningen omfatter også en log, så man kan se, hvem der har lagt en bestilling på adgangsændring ind – og hvem der har udført den.

Loggen anvendes også til halvårlige razziaer, hvor systemejerne skal gennemgå alle ansattes rettigheder i forhold til, om de fortsat har de korrekte rettigheder.

Løsningen kører på fire forskellige servere i et virtualiseret miljø og tilgås af brugerne via en browser.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Hansen

Er Danmark virkelig stort nok til, at hver lille kommune selv skal opfinde hver deres IT-løsning, til IDM og til alt muligt andet?


Det virker som om, at hele præmisset for dit spørgsmål er fejlagtigt. Du påstår, at "hver lille kommune selv [..] opfinder deres løsning til IDM", når det er evident, at Hillerød Kommune har gjort som alle andre fornuftige kommuner gør og indkøbt en løsning som en standardhyldevare fra en af de anerkendte leverandører på markedet.

Det skulle ikke overraske mig, om Hillerøds indkøb ovenikøbet (sic) er gennemført ved hjælp af en af de fælleskommunale indkøbsaftaler, som Statens og Kommunernes Indkøbsservice udarbejder på vegne af alle kommunerne.

Og skulle det endelig komme så vidt, at kommunen måtte efterspørge en digital løsning, der skal udvikles eller videreudvikles, så står der minsandten også en lang række fælleskommunale udviklingssamarbejder til rådighed herfor, hvoraf de mest prominente eksempler vel nok er KOMBIT (dit "KL IT" findes faktisk) og OS/2 til de lidt mindre og hjemmesideprægede løsninger.

Bjarke Alling

En kommune med ca. 40.000 indbyggere har en medarbejderantal svarende til ca. ml. 8-10% af indbyggerne. Dvs. ml. 3.200 - 4.000 medarbejdere. De er ikke alle på fuldtid, men fortsat ansat på en eller anden måde. Alene ældre/plejeområdet er mere end 1.500 medarbejdere.

Automatiserede løsninger med IDM og roller er den eneste vej der findes med ovenstående antal brugere sammenholdt med de medarbejderressourcer en kommune eller for den sags skyld en privat dansk virksomhed har til rådighed.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize