”Manuaalista työtä oli niin paljon, ja olimme melkein hyväksyneet, että perehdyttämisen täytyisi olla työlästä. Mutta se vaaransi turvallisuuden ja käyttäjät, ja sitten asialle oli tehtävä jotain.”
IT-alalla tämä tarkoitti:
Tasainen virta tapauksia, jotka olisivat voineet olla itsepalveluperiaatteella hoidettavia.
Haavoittuvaisia integraatioita ”Omat työntekijät” -osion, paikallisen AD:n ja muiden järjestelmien välillä.
Ei ole hyvää menetelmää tarkistaa säännöllisesti, kenellä oli mitäkin käyttöoikeuksia, etenkään työntekijöille, jotka työskentelevät eri yksiköissä ja laitoksissa.
Yritykselle seuraukset olivat helposti nähtävissä.
Uudet työntekijät saapuivat usein ensimmäisenä päivänään ilman tarvittavia käyttöoikeuksia. Esimiehet käyttivät tuntikausia manuaaliseen hyväksymiseen, salasanojen lähettämiseen ja tiedon etsimiseen. Oli selvää, että turvallisuus ja yksityisyys eivät olleet vieläkään aivan kohdallaan.
”Teimme kovasti töitä pitääksemme hengissä jotain, joka olisi pitänyt korvata jo kauan sitten” – Tine Johannessen Merkesvik, Bufdirin vanhempi neuvonantaja ja IAM-johtaja
Fortytwotehtävä: Korjaa etuovi viivyttämättä tehtävää
Bufdir ei etsinyt tyylikkäämpää kirjautumissivua. He tarvitsivat täysin uuden tavan käsitellä perehdytys- ja käyttöoikeuksia, sellaisen, joka kestäisi valtakunnallisen organisaation realiteetit, jossa on jatkuva vaihtuvuus ja kymmeniä toimipisteitä.
Vaatimukset olivat varsin selkeät:
Ratkaisun piti olla skaalautuva joka päivä, kaikkialla.
Arkaluonteisia tietoja piti suojata paremmin.
Tilintarkastajat tarvitsivat jotakin yhtenäisempää käsiteltäväksi kuin hajallaan olevat laskentataulukot.
Kaiken rakennetun piti noudattaa siihen liittyviä sääntöjä ja rajoituksia.
julkinen työ, erityisesti yksityisten toimijoiden ja työlainsäädännön yhteydessä.
Bufdir ei voinut varaa käyttökatkoksiin vanhasta uuteen järjestelmään siirtymisen aikana. Instituutioiden oli pysyttävä auki, ihmisten oli tehtävä työnsä, eikä palvelupisteen pitänyt jäädä hämmennyksen alle heti, kun vaihto katkaistiin ja uusi järjestelmä otettiin käyttöön.
Fortytwo tuli paikalle syvällisen identiteetin ja EntraID:n tuntemuksen kanssa ja suunnitteli järjestelmän, joka toimi Bufdirin todellisessa maailmassa, ei vain paperilla.
He rakensivat työnkulun, yhdistivät järjestelmät ja auttoivat Bufdirin ihmisiä selviytymään sekä teknisistä että organisatorisista muutoksista.
CheckID perehdytys- ja toipumisprosessina
Uudet työntekijät perehdytetään käyttämällä CheckID ensimmäisenä työpäivänään. ID-portin ja yksinkertaisen, ohjatun asennuksen kautta he luovat käyttöoikeuden omalle laitteelleen ennen kuin kirjautuvat työpaikan tietokoneelle. Ja jos jokin menee pieleen myöhemmin, he palaavat samaan prosessiin salasanan nollaamiseksi sen sijaan, että soittaisivat palvelupisteeseen.
Hallintaportaali käyttöoikeuksien rekisteröintijärjestelmänä
”Omat työntekijät” korvattiin ”Esimiesportaalilla”. Esimiehet eivät enää lähetä sähköposteja tai ole riippuvaisia tapausjärjestelmistä pääsyn saamiseksi; he pyytävät ja hyväksyvät oikeuksia portaalin sisällä. Sama portaali syöttää tietoja alavirran järjestelmiin ja toimii viitepisteenä sen määrittämiseksi, kuka näkee mitä.
Yksi organisaatiorakenne, yksi totuus
Sen sijaan, että jokaisella keskusjärjestelmällä olisi oma versionsa organisaatiokaaviosta, Fortytwo ja Bufdir sopivat ohjaavasta säännöstä: uusien järjestelmien tulisi vastaanottaa organisaatiodataa ”Leader Portalilta”, joka puolestaan hakee tietonsa SAP:sta. Tämä tekee monialaisesta avusta ja väliaikaisista rooleista hallittavia ja läpinäkyviä.
Turvallisuutta ilman draamaa
Yksityisiä matkapuhelinnumeroita käsitellään asianmukaisesti: ne lukitaan rajoitetusti turvallisiksi määritteiksi, näkyvät vain niille, jotka todella tarvitsevat pääsyä, ja niitä käytetään yksinomaan todennukseen. Ja työntekijöille, jotka eivät voi – tai joiden ei pitäisi – käyttää henkilökohtaisia puhelimiaan, on olemassa vaihtoehtoja, jotka pitävät turvallisuuden ennallaan luomatta esteitä.
Haittoja: Versio 1, Wi-Fi ja tosielämä
Tämä ei ole tarina siitä, että "kaikki toimi täydellisesti ensimmäisestä päivästä lähtien". Ensimmäinen versio CheckID teki työn, mutta asennustoiminto tuntui kömpelömmältä kuin sen tarvitsi olla, ja työntekijät eksyivät, kun prosessi siirtyi Microsoftille. Sitten tuli yllätys, jota kukaan ei ollut osannut odottaa: Wi-Fi. Salasanat luotiin CheckID ei vastannut paikallisen AD:n odotuksia, kun joku yritti kirjautua sisään sijaintiin ensimmäistä kertaa.
Kun Fortytwo tiimi löysi kaavan, he korjasivat toimintajärjestyksen, päivittivät ohjeet ja varmistivat, että CheckID V2 toi mukanaan sujuvamman työnkulun ja selkeämmän jaon uusien työntekijöiden perehdyttämisen ja salasanojen vaihtamisen välillä.
Projekti paljasti myös Bufdirin osalta jotakin hienovaraisempaa: sisäisten IT-tiimien ja palvelupisteen väliset kommunikaatioaukot. Näihin oli puututtava yhtä systemaattisesti kuin itse identiteettiprosessiin.
Aiemmin kaoottinen ja manuaalinen perehdytysprosessi toimii nyt ennustettavasti ja turvallisesti.
Uudet työntekijät saapuvat töihin pääsyoikeuksin. Esimiehet eivät enää lähetä salasanoja sähköpostitse tai tapausjärjestelmien kautta. Palvelupiste saa vähemmän "En voi kirjautua sisään" -viestejä ja hänellä on enemmän aikaa ratkaista todellisia ongelmia.
Ja käyttöoikeustarkastukset tapahtuvat ”Leader Portalissa” todellisten organisaatiotietojen perusteella sen sijaan, että ne kerättäisiin useista eri lähteistä.
Reaalilukuina tämä tarkoittaa:
Noin 8500 ihmistä eri puolilla Norjaa on käymässä läpi ohjattua ja turvallista perehdytysprosessia.
Käyttöoikeustarkastukset eivät enää koostu satunnaisista otoksista puolesta tusinasta lähteestä – ne ovat jäsennellympiä ja luotettavampia.
Kaikki käyttäjät siirrettiin menettämättä käyttöoikeuksiaan tai saamatta oikeuksia, joita heillä ei olisi pitänyt olla.
Miksi tämä on tärkeämpää Bufdirissa kuin useimmissa paikoissa
Bufdir ja Bufetat työskentelevät kriisissä olevien lasten ja perheiden kanssa – väkivalta-, laiminlyönti-, riski- ja hätätilannetapauksissa. Tällaisessa maailmassa identiteetti ja pääsy eivät ole hallinnollisia yksityiskohtia, vaan osa näiden palveluiden piiriin kuuluvien ihmisten suojelemista.
Sen tietäminen, kuka on käyttänyt mitäkin, milloin ja mistä syystä, ei ole byrokratiaa – se on suojelua.
Standardoimalla käyttöoikeuksia, tiukentamalla todennusta ja sujuvampaa perehdyttämistä Bufdir vapauttaa etulinjan henkilöstön keskittymään lapsiin, ei tunnistetietoihin.
Kolme asiaa tekivät eron:
Syvällinen asiantuntemus Microsoft-identiteetistä
FortytwoEntran vanhemmat insinöörit työskentelivät nopeasti, rakensivat siististi ja tunsivat Entran ja CheckID sisällä ja ulkona.
Arkkitehtuuri
kuri
”Yksi portaali, yksi organisaatiorakenne, yksi totuuden lähde” muuttui ideasta säännöksi, jota kaikki noudattavat.
Kyvykkyyksien siirto, ei riippuvuussuhde
Koko projektin ajan Fortytwo koulutti ja tuki Bufdirin IAM-tiimiä, jotta he pystyivät itse käyttämään, parantamaan ja vianmäärittämään ratkaisua.
Mitä tapahtuu seuraavaksi?
Uusi identiteettirakenne antaa Bufdirille tilaa jatkaa eteenpäin. Seuraavien parin vuoden aikana painopiste on selvä:
Siirrä organisaatiosi salasanattomaan todennukseen vuoteen 2026 mennessä
Tuo entistä enemmän järjestelmiä hallintaportaaliin.
Jatka taitojen kehittämistä IAM-tiimissä ja palvelupisteessä.
Varmista, että tulevat IT-hankinnat noudattavat samoja hallinto- ja identiteettistandardeja.
Yksinkertaisesti sanottuna:
Jos järjestelmä tarvitsee identiteettiä tai käyttöoikeuksia, sen on sovittava malliin.
Ei enää erikoistapauksia tai räätälöintiä.
Paluuta edelliseen ratkaisuun ei ole.
Tuntuuko perehdytyksesi samalta kuin Bufdirin "ennen"?
Fortytwo auttaa organisaatioita rakentamaan käytännössä toimivia identiteettialustoja: turvallisia, skaalautuvia ja valmiita niitä päivittäin käyttäville ihmisille.