Aarhus Universitet består af 11 fusionerede institutioner og modtager næsten 10.000 nye brugere om året. Derfor er udfordringerne ved brugerstyring på universitetet større end dem, de fleste danske virksomheder møder. Prosabladet har talt med drifts- og teknologichef Søren Christensen for at indsamle erfaringer, som andre it-folk kan bruge i deres daglige kamp med at holde brugerdatabaserne ajour med virkeligheden.
En studerende bliver optaget på Aarhus Universitet. Hun studerer, tager eksamen og forlader universitet. Hele vejen gennem det forløb skal universitetets mange it-systemer holde styr på hende og hendes tusindvis af medstuderende – foruden de ansatte og gæster, der også skal have adgang til systemerne.
Til at løse den opgave har universitetet investeret i en central løsning til identitetsstyring. Men skønt teknikken fylder en del, har de involverede for nylig erkendt, at den organisatoriske side af opgaven er den største.
Fra 2007 og frem fusionerede Aarhus Universitet med 11 institutioner, blandt andre Danmarks JordbrugsForskning, Danmarks Miljøundersøgelser og Danmarks Pædagogiske Universitet. Det førte til, at universitetet oprettede et IDM-projekt (Identity Management), fortæller Søren Christensen.
– Det startede med et meget teknisk og konkret projekt: Vi skulle stille en elektronisk telefonbog til rådighed, der indeholder oplysninger om medarbejdere fra alle de fusionerede institutioner. Så vi kiggede efter værktøjer, der kan høste data fra flere kilder og strukturere og fordele dem ud til andre systemer, siger han.
Central identitetsserver
På Aarhus Universitet blev den tekniske udfordring løst med produktet Novell Identity Manager. Det fungerer som en central server, der indhenter identitetsoplysninger fra en række fødesystemer og stiller dem til rådighed for aftagersystemer. Et aftagersystem kan for eksempel være en Active Directory-server, der giver brugere adgang til delte Windows-ressourcer.
– Vi har to typer aftagersystemer. Den ene type bruger oplysninger fra identitetsserveren til at styre autentificering af brugere. Den anden bruger identitetsserveren som datakilde til forskellige oplysninger om brugerne. Det gælder for eksempel systemet Pure, fortæller han.
Universitetets forskere anvender Pure til at registrere deres publikationer og andre forskningsresultater. Via integrationen med identitetsserveren henter Pure forskernes navne, institutter og andre oplysninger. Men det viste sig at være uheldigt:
– Vi har opdaget, at vi skal passe på med at lægge for mange oplysninger i identitetsserveren. Med Pure lagde vi i første omgang nogle attributter ind, som kun er af interesse for Pure, men som ikke handler om brugeren og hans rolle i organisationen. Det er vi ved at ændre nu. I stedet opretter vi en forbindelsesdatabase mellem identitetssystemet og Pure, der har de ekstra oplysninger, siger Søren Christensen.
Brugerstyring væk fra it
Tidligere var det it-afdelingens job at oprette en bruger i de forskellige it-systemer. Men det skal det ikke være i fremtiden.
– Vores vision for IDM-projektet er at få brugeradministrationen ud af it-afdelingen. Når HR-afdelingen registrerer en nyansættelse, skal den nye medarbejder automatisk oprettes i alle de relevante systemer. Så langt er vi slet ikke endnu, men inden længe tager vi første skridt, så mail-konti bliver oprettet automatisk, siger han.
Udfordringen kommer, når princippet om at lade brugeroprettelsen ske så tæt som muligt ved dem, der har ansvaret for den nye bruger. For eksempel er det i teorien enkelt at lade HR oprette en nyansat. Men i nogle tilfælde begynder en nyansat at arbejde, før vedkommende formelt er ansat. Det skal der være plads til i arbejdsprocesserne.
– Vi har opdaget, at den store udfordring nu ligger i at få indarbejdet brugeroprettelsen i arbejdsgangene rundt om i organisationen. Derfor har vi efter sommerferien ændret IDM-projektet fra at være teknisk til at være organisatorisk. Nu handler det om at finde ud af, hvor brugeradministration passer ind, og hvor det er hensigtsmæssigt at ændre på arbejdsgange, siger Søren Christensen.
Når en gæst skal have adgang til it-systemerne, skal det være den, der har ansvaret for gæsten, som sørger for at oprette vedkommende. Det stiller krav om, at det skal være let og ikke kræve særlige it-kompetencer at oprette en bruger.
Styrer med roller
Trods udfordringerne er Søren Christensen ikke i tvivl om, at IDM-projektet medfører store fordele for universitetets håndtering af brugere. Det fjerner dobbeltadministration og fører til højere datakvalitet. Og dermed følger også bedre sikkerhed:
– Vi anvender roller til at beskrive, hvad en bruger har lov til. I det øjeblik en rolle er korrekt beskrevet, vil alle personer med den rolle få de korrekte privilegier. Det giver en stor sikkerhedsmæssig forbedring i forhold til systemer, hvor man manuelt tilføjer privilegier til hver enkelt bruger, siger han.
Single sign-on på vej
Når al brugerinformation er centraliseret, er det oplagt at forenkle login-procedurerne. Målet på langt sigt hedder SSO (Single Sign-On), hvor brugerne kun skal logge ind én gang for at få adgang til alle systemer.
– Der vil vi gerne hen. Men i første omgang sigter vi på at opnå same sign-on, hvor man indtaster samme brugernavn og password til de forskellige systemer. Vi er der ikke endnu, mest fordi mange af systemerne kommer fra de fusionerede institutioner, og vi har ikke fået omlagt alle login-procedurer endnu, siger han.
