Anslut system och grupper till IDAC

Karolinska Institutets ”Identitet och Access system” (IDAC) implementerades 2019 och utgör en viktig funktion för att säkerställa att ”rätt person har åtkomst till rätt behörighet vid rätt tidpunkt, av de rätta anledningarna”.

För dig som ansvarig för system eller grupper

Allt fler system och grupper på KI integreras till IDAC för att få en bättre kontroll på sin livscykelhantering av användarkonton och behörigheter, men även för att lättare kunna följa upp tilldelade behörigheter.

Jämförelse mellan systemanslutning och gruppbeställning

Beroende på omfattningen av behovet och dess komplexitet skiljer sig alternativen en hel del. En systemanslutning med en teknisk integration måste definiera ett dataflöde vilket kan vara både trivialt som avancerat.

Integrationen avgör om en direktintegration kan etableras eller ifall en mellanhand behövs dit IDAC skriver och det anslutande systemet läser ifrån. Vanligtvis är det förutsättningarna hos det anslutande systemet som sätter gränserna.

Utöver integrationen måste administrationen av systemet och dess konton och behörigheter definieras. Detta kan vara hur systemet kan återanvända färdiga processer i IDAC, eller om nya funktioner behöver tas fram.

Beroende på systemanslutningen kan det antingen beröra endast attestering och uppföljning (revision) av behörigheter, eller så behövs roller, processer och vyer tas fram för att förvaltarna av det anslutande systemet ska få rätt förutsättningar att administrera behörigheterna för systemet.

Grupperna borde nyttjas där behovet inte är lika avancerat som ett anslutande system, likväl ifall det endast är ett fåtal grupper som beställaren önskar att få.

Däremot, om det är en större mängd grupper, så finns det fördelar med att skapa logiska applikationer i IDAC. I dessa fall, som många andra, förs en dialog med IDAC-förvaltningen för att hitta en lösning som passar båda parterna.

Anslut ditt system till IDAC

Att ansluta ditt system till IDAC gör inte bara att du som ansvarig får bättre kontroll över konton och behörigheter. KI som myndighet får även en högre teknisk säkerhet och kontroll över sina IT-system, vilket gör att vissa attackytor mot KI drastiskt reduceras.

Utöver den generella säkerheten och behörighetsstyrning som tillkommer i en systemanslutning får även du som ansvarig en enklare administration av konton och behörigheter, detta via IDAC:s användarvänliga gränssnitt samt standardiserade processer och metoder. Detta gör att arbetet blir mer tidseffektivt där vissa delar kan bli helt automatiserade.

Val vid systemanslutning

I nuvarande lösning finns tre anslutningsmöjligheter till IDAC. Dessa metoder har i dagsläget ingen fördel över den andre, med andra ord är det systemet som ansluter mot IDAC som i många fall avgör möjligheterna.

Innan en teknisk integration kan etableras måste beställare (det anslutande systemet) och mottagare (IDAC-förvaltning) säkerställa en gemensam förståelse av beställningen.

Detta görs genom ett inledande möte där överenskommelser om förväntningar säkerställs; ansvarstagande, förutsättningar, utveckling, testning, testmiljö, tidplan, flödet av data, integrationen och hur detta ska paketeras i produktionsmiljön.

Följande anslutningsmöjligheter finns idag:

En sträng på följande format <Application>:<Role >:<Attribute> skrivs till IKAT som KI:s Identity provider (IdP) konsumerar. Beroende på kravet att lagra konton och behörigheter i det anslutande systemet kan antingen IdP eller KIIP behöva bli involverade. Strängen är uppdelad på så sätt att application är systemet som ska ansluta sig, role är rollen som användaren behöver och attribute kan vara tillhörigheten till en avdelning.

Grupp och medlemskap hanteras i IDAC. I många fall placeras grupperna i ett nytt OU men oftast inget krav. Integrationen kan se på olika sätt.

REST, OData, SOAP, SCIM och LDAP går att nyttja. Vad för information som läses och skrivs måste tydligt definieras för att minimera risker, likväl hur integrationen behöver (samt borde) se ut.

Anslut grupper via IDAC

Att kunna beställa och därmed hantera säkerhetsgrupper i AD är en av IDAC:s viktigaste förmågor. I dagsläget hanterar IDAC en delmängd av AD i syfte att få en bättre livscykelhantering av konton och dess åtkomst till grupper, grupper som i sin tur ger åtkomst till annat inom KI:s IT-miljö.

Dessa grupper kan medarbetare ansöka om att få åtkomst till där (oftast) ägaren av gruppen är den som förväntas godkänna eller neka förfrågan. Ifall en medarbetare avslutar sitt arbete hos KI kommer kontot och medlemskapen att tas bort.

Efter att IDAC-förvaltningen granskat beställningen och dess behov sammankallas ett möte för att säkerställa att beställningen tolkats korrekt och att utveckling kan påbörjas.

Vanligtvis sammankallar IDAC-förvaltningen till ytterligare ett möte för att presentera lösningen och vad för ansvar som tilldelats till ägaren av gruppen (också kallad resursägare). Beroende på beställningens komplexitet kan ett möte uteslutas.

Det finns olika typer av beställningar vilket beror på syftet med grupperna. Nedanstående är några exempel som inte utesluter andra behov:

Projektmapper beställs via beställningsformulär. Formuläret utgör grunden för att IDAC ska kunna skapa en säkerhetsgrupp i AD. Gruppen kopplas till en filyta där medarbetare kan placera dokument och annat för att tillgängliggöra informationen åt andra kollegor.

Medarbetarna behöver vara medlemmar i gruppen för att få åtkomst till filytan. Om inga regelverk eller policy tillämpas är det ägaren av gruppen som avgör vem som ska få åtkomst till gruppen (och därmed även projektmappen).

Säkerhetsgrupper är ett vanligt och välbeprövat sätt att tilldela åtkomst till exempelvis applikationer, servrar eller programvara. Ett exempel kan vara att en grupp behövs för att samla ihop alla medarbetare som ska få åtkomst till en känslig programvara.

I detta fall är det väsentligt att beställningen innehåller nödvändig information för att avgöra hur gruppen bäst skapas samt hur den bäst administreras över tid. Känsligheten av gruppen gör att åtkomsten åtstramas vilket skapar ett större ansvar hos de ansvariga, likväl hur eller om regler och policy bör tillämpas.

Säkerhetsgrupper kan även användas för att gruppera medarbetare som behöver utökade åtkomster lokalt på en server (inte bara för att nå servern). I detta exempel behövs en manuell handpåläggning/koppling göras efter skapandet av gruppen. Dessa grupper hanteras på samma sätt som de ovanstående exemplen.

Ett vanligt behov är att gruppera åtkomst av information via tillhörigheter eller sammanhang. Dessa tillhörigheter kan exempelvis vara organisatoriskt men även roller och andra sammanhang kan tillämpas.

I dagsläget stödjer IDAC möjligheten att skapa en grupp och koppla den till en organisation. Detta innebär att medarbetare som har en tillhörighet till en organisation även får åtkomst till gruppen utan ett godkännande (helt automatiskt). En stor fördel med detta är att behörigheter fortlever så länge medarbetaren har en aktiv tillhörighet till organisationen.

Behörigheten försvinner när medarbetaren byter tillhörighet eller avslutar sitt arbete på KI.

Kontakt

Har du frågor eller funderingar kring IDAC och dess förmågor, finner beställningsformuläret eller systemanslutningskraven en aning diffusa, kontakta IDAC-förvaltning genom KI Self Service.

Vi återkopplar så fort vi kan via mejl eller via ett möte beroende på era behov.