Arkitektur för identitet och behörighet ur ett lärosätesgemensamt perspektiv (IAM)

Projektledare: Fresia Pérez Arriagada

Projektplan

Slutrapport del I

Slutrapport del II

Projektet pågår under 2017/2018

Sammanfattning

Projektet/utredningen ska utreda hur framtidsvisionerna ser ut kopplat till lärosätenas behov när det gäller gemensam arkitektur runt hantering av elektroniska identiteter och behörigheter (Identity and Access Management IAM). Hur ser visionen ut och vilka steg kan genomföras lokalt för att nå detta?

Bakgrund

Hantering av elektroniska identiteter och behörigheter är centralt vid alla lärosäten. Hanteringen har växt fram i olika takt vid olika lärosäten, men i takt med att kraven på lärosäten ökar, framför allt vad gäller kostnadseffektivitet och möjlighet att använda IT-tjänster som ej driftas vid lärosätet, så ökar behoven om samsyn på frågorna kring identitetshantering inom sektorn.

Inom samarbetsorganet ATI har ett behov identifierats att inventera och göra en gemensam kravställning på hur IAM ska kunna komma att hanteras i ett framtidsperspektiv.

Utgångspunkt

Tre olika paradigm för IAM inom högre utbildning är identifierade och definierade av Gartner vilka beskriver helt skilda mönster för hur IAM hanteras vid ett lärosäte. Nedan beskrivs mönstren mycket övergripande.

Hela förtroendekedjan mellan konsumerande tjänster och tilldelandet av rättigheterna finns inom organisationen. Ett typexempel på denna hantering är den traditionella knytningen där man sköter autentisering och auktorisation för en IT-tjänst genom att ansluta den till ett Active Directory och hantera användarna av IT-tjänsten genom säkerhetsgrupper.

För användarcentrisk IAM-hantering finns idag ingenting inom lärosätessverige även om SWAMID utgör en stark utgångspunkt. Som privatperson kommer man i kontakt med denna paradigm t ex genom konceptet att man använda ett Facebook-konto för inloggning i många IT-tjänster. I detta exempel saknas dock behörighetshanteringen.

I dagsläget har de flesta lärosätena tekniska lösningar där fokus varit organisationscentriskt. Några få lärosäten har genomfört förändringar där de tekniska lösningarna på ett tydligare sätt har vävt in identitetsfederationer som en naturlig del av den tekniska lösningen.

Direktiv

Det projektet/utredningen syftar till att göra tydligt är hur en framtida IAM-hantering kan se ut för ett svensk lärosäte. Förändringar kommer att ske, däremot kanske förändringarna inte kommer att ske i ett steg utan genom en successiv förändring. Den organisationscentriska IAM-hanteringen har byggts upp baserat på krav där vi hanterar IT inom organisationen, mycket av IT kommer att både på kort och medellångt perspektiv att ske inom organisationerna, men hur ser det ut på lång sikt? Hur kan vi redan nu börja planera och skapa en IAM-hantering som är kompatibel med ett användarcentriskt paradigm för IAM och hur kan de olika paradigmen kopplas samman?

Lärosätena kommer inom några år möta höjda krav på hanteringen av personuppgifter som också tydligt påverkar området identitetshantering.

De frågeställningar som projektet/utredningen tar sin utgångspunkt i är:

Mål

Huvudmålet med projektet/utredningen är att ta fram en vision för en lärosätesgemensam syn på arkitekturen runt IAM-hantering dvs. identiteter och behörigheter. Detta blir ett stöd för hur utvecklingen skall drivas framåt inom respektive lärosäten och vilka gemensamma delar som är nödvändiga.

Utredningen kommer att leverera följande leverabler

Sammantaget innebär detta att utredningen kommer att leverera en gemensam vision för identitets- och behörighetshantering, både för lokalt för resp. lärosäte och gemensamt för högskolesektorn genom samarbetet via SWAMID. Utredningen kommer också leverera en generell plan som kan användas för resp. lärosäte att hitta lämpliga att ta sig till visionen.

Tidsplan