Identitets- och åtkomsthantering (IAM, från engelskans Identity and Access Management) är det samlade arbetssättet och de system som används för att hantera digitala identiteter och säkerställa att rätt personer har rätt åtkomst till rätt resurser vid rätt tidpunkt.
Det handlar inte om ett enskilt system, utan om en hel struktur där information flödar mellan flera olika system och där behörigheter automatiskt skapas, förändras och tas bort baserat på aktuell information.
För att det ska fungera krävs en samverkan mellan många delar av IT-miljön. Det är här Omada kommer in som den centrala noden som binder ihop och styr flödena mellan systemen.
Omada i ett större sammanhang – IAM som förmåga
Omada är en central del av SLU:s förvaltningsobjekt Identitets- och åtkomsthantering (IAM). Det innebär att Omada inte står för hela lösningen själv, utan samverkar med flera andra IT-komponenter som tillsammans utgör helheten.
De viktigaste delarna i denna helhet är:
- Omada Identity (IGA) som hanterar identiteter, roller, processer och behörigheter
- Active Directory som hanterar konton och autentisering i den lokala IT-miljön
- Entra ID som hanterar identiteter och åtkomst i molntjänster som Microsoft 365
- ADFS som möjliggör säker inloggning och single sign-on mellan system
- MFA som stärker säkerheten genom flerfaktorsautentisering
- ID-portalen, idportal.slu.se som fungerar som användarens gränssnitt för självservice för lösenordsbyte, aktivering av konto och hantering av tillitsnivåer.
Tillsammans bildar dessa komponenter SLU:s IAM-förmåga. Omada är motorn som styr och fördelar behörigheter, medan övriga system ser till att åtkomsten faktiskt fungerar i praktiken.
API-integrationer – hur andra system kopplar upp sig
Omada fungerar inte bara som ett internt system utan även som en plattform som andra system kan integrera mot.
Via Omadas API kan andra system hämta identitetsinformation, till exempel användarkonton, organisatorisk tillhörighet och andra identitetsrelaterade attribut.
API:et bygger på standardiserade tekniker som REST och OData, vilket gör det möjligt att använda informationen i olika typer av integrationer och automatiserade processer.
Det används till exempel när ett system behöver:
- hämta information om användare eller identiteter
- använda identitetsdata i egna processer
- visa eller använda identitetsinformation i en portal eller tjänst
För att använda API:et krävs en ansökan där syfte med integrationen samt ansvariga för systemet anges. Detta säkerställer att åtkomst till identitetsdata sker kontrollerat och spårbart.
Ett komplext landskap – som nu hänger ihop
Bakom varje konto på SLU finns en kedja av system och integrationer.
Information om personer skapas i källsystem som Primula och Ladok. Den informationen skickas vidare till Omada där regler och logik avgör vem personen är i organisationen, vilken typ av verksamhet personen tillhör och vilka behörigheter som ska tilldelas.
Organisationstrukturen i Omada byggs i stor utsträckning från Primula, vilket gör Primula till en mycket viktig källa både för anställda och för hur organisationen är uppbyggd. Förändringar i Primula får därför direkt påverkan på hur strukturer och behörigheter hanteras i Omada.
Därefter distribueras resultatet vidare till system som Active Directory, Microsoft 365, e-post, MFA och andra tjänster där åtkomsten faktiskt används.
Utöver detta finns ett stort antal anslutande system som förlitar sig på att informationen är korrekt, till exempel internwebben, Topdesk, bibliotekssystem och olika verksamhetssystem.
Det är detta som bilden över IAM-landskapet visar. Inte bara system, utan ett helt ekosystem där allt hänger ihop.
Chefsperspektivet – överblick över organisationen
För chefer innebär Omada också ett konkret stöd i vardagen.
Som chef kan du i Omada se vilka personer som är kopplade till din organisation, till exempel utifrån enhet eller kostnadsställe. Det gäller både anställda och andra verksamma, såsom konsulter eller externa resurser.
Detta ger:
- en samlad bild av vilka personer som tillhör din verksamhet
- bättre kontroll över vilka som har åtkomst till olika system
- ett tydligare underlag vid förändringar, uppföljning och beslut
Denna överblick är också en viktig förutsättning för exempelvis behörighetsgranskning och säker hantering av åtkomster.
En kunskapsartikel som specifikt beskriver chefers vyer och möjligheter i Omada är under framtagande och kommer att publiceras i självserviceportalen.
Katalogansvariga och tydligare ansvar
Katalogansvariga är en administrativ roll på SLU som ägs av personalavdelningen och utgör en viktig länk mellan verksamheten och IT.
Rollen ansvarar för att personer får rätt grundläggande förutsättningar i IT-miljön, vilket omfattar både identitet och tillgång till resurser.
I praktiken innebär det att katalogansvariga:
- lägger upp och uppdaterar verksamma i systemet
- säkerställer att uppgifter som namn, organisationstillhörighet och annan grunddata är korrekta
Hur behovet uppstår kan variera och kommer ofta från verksamheten, men hanteringen i Omada följer definierade processer.
Det innebär att:
- förändringar hanteras på ett enhetligt sätt
- kopplingar till organisation och behörigheter blir konsekventa
- hanteringen blir spårbar över tid
Omada förändrar inte ansvaret i rollen, men ger bättre stöd för att utföra arbetet på ett mer strukturerat och kontrollerat sätt.
Hur beställs behörigheter i Omada
Behörigheter i Omada beställs via systemets självservicegränssnitt. Beställningen initieras genom att användaren eller katalogansvarig går till vyn för åtkomst eller tillgång och lägger till en ny resurs eller roll.
I praktiken innebär det att:
- en roll, grupp eller resurs söks fram i systemet
- en begäran skapas och kompletteras med motivering
- begäran skickas vidare i ett definierat godkännandeflöde, exempelvis till chef eller systemägare
När begäran har godkänts tilldelas behörigheten automatiskt via integrationer till bakomliggande system, såsom Active Directory eller Entra ID.
Status på ärenden kan följas direkt i Omada, vilket gör processen spårbar från beställning till tilldelad åtkomst.
För mer detaljerade instruktioner finns steg för steg-guider i självserviceportalen.
Förenklade JML-flöden (Joiner, Mover, Leaver)
En central princip i Omada är att hantera hela livscykeln för en användare, ofta kallat Joiner, Mover, Leaver.
- Joiner: när en person börjar skapas konto och grundläggande behörigheter automatiskt
- Mover: när en person byter roll eller organisation uppdateras behörigheter utifrån den nya tillhörigheten
- Leaver: när en person slutar tas åtkomst bort enligt definierade regler
Genom att dessa flöden nu är mer standardiserade och kopplade till källsystem minskar behovet av manuella insatser, samtidigt som risken för felaktiga behörigheter minskar.
Dessa livscykelflöden gäller för flera typer av identiteter på SLU, inklusive anställda, studenter och andra verksamma (till exempel konsulter eller externa roller). Det gör att hanteringen blir enhetlig oavsett vilken typ av användare det gäller.
Vad har faktiskt gjorts efter projeket?
Bakom införandet finns ett omfattande arbete med både teknik, processer och datakvalitet.
Det som listas nedan är en delmängd av det som genomförts sedan driftsättningen och representerar några av de större och mer synliga förändringarna.
Utöver detta har ett stort antal förbättringar genomförts bakom kulisserna, med fokus på att stabilisera lösningen, förbättra datakvalitet och förenkla integrationer. Dessa förändringar är ofta inte direkt synliga för den enskilda användaren, men är avgörande för att helheten ska fungera på ett tillförlitligt och förutsägbart sätt.
Exempel på genomförda förbättringar:
Notera att flera av dessa förändringar genomförs i samverkan mellan flera komponenter inom IAM, till exempel Active Directory, Entra ID, integrationer och kringliggande system. Omada är ofta navet som styr logiken, men inte alltid den enda komponenten där förändringen sker.
- förbättrad validering av personuppgifter
- hantering av användarnamn och datakvalitet
- införande av korrekta godkännandeflöden
- förbättrade e-postutskick
- synliggörande av persondata
- integrationer för organisationsstruktur
- integration med CMG (telefoni) för att automatiskt tillföra och uppdatera telefonnummer på identiteter
- genomförd flytt av studenters fillagring
Många mindre justeringar har också gjorts som tillsammans skapar stabilitet och bättre flöden.
Vad är på gång framåt?
Arbetet fortsätter och flera områden är planerade eller pågående.
Exempel på arbeten som är på gång och i planeringsstadie:
Även här gäller att flera av aktiviteterna inte enbart är kopplade till Omada, utan till helheten inom IAM. Förändringar kan omfatta flera system samtidigt där Omada samverkar med exempelvis AD, Entra ID, MFA och integrationer.
- gallringsrutin för konton i Active Directory
- vidareutveckling av hantering av verksamma
- federation och forskningsanknytning
- införande av Freja eID samt en pilot av Freja Organisations-ID för att möjliggöra alternativa sätt att identifiera användare i tjänsten
- färdigställande av integration mot Proceedo för att tillföra beställarreferens till identiteter
- hantering av privilegierade behörigheter
- fortsatt utveckling av MFA
- förbättrad hantering av organisationsförändringar
- utökad behörighetsgranskning
- överföring av Idisroller från Idis till Omada
- skapa ny internsida med samlad informatin kring Omada, avveckla Idis-sidorna
En viktig del: kontroll och uppföljning
Med funktioner som behörighetsgranskning får ansvariga möjlighet att se vilka som har åtkomst, bekräfta att det är korrekt och ta bort åtkomst som inte längre behövs. Detta stärker informationssäkerheten.
Behörighetsgranskning i praktiken
En behörighetsgranskning (Survey) i Omada innebär att ansvariga får en uppgift att gå igenom och bekräfta vilka personer som ska ha kvar åtkomst till ett system, en grupp eller en resurs.
Arbetssättet är avsiktligt enkelt:
- öppna uppgiften via länken i mejlet "Du har blivit tilldelad en uppgift i Omada"
- få överblick över antal personer, deadline och hur mycket som återstår
- granska listan och välj för varje person Behåll eller Ta bort
- spara löpande under arbetets gång
- skicka in när granskningen är klar
För att effektivisera finns stöd för massredigering där flera personer kan markeras och hanteras samtidigt. Det går även att se detaljer per post, till exempel vilken roll eller vilket system det gäller, samt exportera underlaget för extern genomgång.
Grundprincipen är tydlig: behåll endast de som ska ha kvar åtkomst och ta bort sådant som inte längre behövs. Vid osäkerhet ska underlaget kontrolleras innan beslut tas.
Denna funktion kommer att vara en central del av hur SLU arbetar löpande med att säkerställa korrekta behörigheter över tid.
Samlad överblick – förändringar inom IAM
Det finns en samlad sida på SharePoint som visar pågående, planerade och nyligen genomförda förändringar inom förvaltningsobjektet Identitets- och åtkomsthantering. Samt information om guider med mera.
Länk till SharePointsidan: Aktiviteter och förändringar inom IAM-objektet
Fokus ligger på aktiviteter av större karaktär, det vill säga sådant som har högre synlighet och kan påverka verksamheten i större utsträckning. Syftet är att ge en tydlig överblick över vad som är på gång, vad som kan påverka verksamheten och vad som nyligen har införts.
Utöver dessa aktiviteter hanteras löpande utveckling och förbättringar i vår backlog i DevOps med tillhörande sprintplanering, samt genom ärendehantering av problem och önskemål via Topdesk.
Omada är fortfarande under utveckling
Det är viktigt att komma ihåg att Omada fortfarande är ett relativt nytt system på SLU.
Arbetet pågår löpande inom flera områden:
- stabilisering av befintliga funktioner och integrationer
- förbättring av datakvalitet och flöden
- införande av nya funktioner och arbetssätt
- vidareutveckling av processer och stöd till verksamheten
- framtagande och förbättring av tydlig dokumentation och stöd för olika målgrupper
Det innebär att vissa delar fortfarande kan förändras över tid, samtidigt som funktionalitet successivt förbättras och byggs ut.
Omada ska därför ses som en plattform i utveckling, där både teknik och arbetssätt fortsätter att mogna.
Sammanfattning
Omada är en grundläggande förändring i hur SLU hanterar identiteter och behörigheter.
Det innebär bättre säkerhet, mindre manuellt arbete, tydligare processer och en mer sammanhållen IT-miljö.
Det skapar också en stabil grund för fortsatt utveckling.
Införandet har inte varit utan utmaningar. Efter driftsättningen har det funnits perioder där både funktionalitet och arbetssätt behövt justeras och stabiliseras. Samtidigt har stora förbättringar genomförts, särskilt under de senaste månaderna, där både stabilitet och användarupplevelse har stärkts.
Den utvecklingen har i hög grad drivits av återkoppling från verksamheten. Synpunkter, frågor och ärenden från användare har varit en viktig del i att identifiera vad som behöver förbättras och prioriteras.
Ett stort tack riktas därför till alla som har bidragit med feedback och fortsatt engagemang i arbetet. Det är en viktig del i att Omada och hela IAM-förmågan fortsätter att utvecklas i rätt riktning.