Hej!

Jag har länge, precis som ni, tyckt att lokala konton är irrelevanta för allt utom lokala datorer - låt studenter och anställda använda konton som någon annan hanterar.

Jag hade en lång och mycket intensiv debatt på flygbussen ut till Kallax efter ATI-mötet i höstas, där jag framförde denna ståndpunkt med viss ihärdighet, men blev övertygad av alla de andra om den främsta orsaken: det lokala kontot som vi har kontroll över utgör en rudimentär kill-switch. I princip alla molntjänster möjliggör användare att själva dela ut behörigheter (även i form av delade filareor och whatnot). Vi har ingen kontroll över dem. Om vi tvingar användarna att använda ett lokalt konto i molntjänsterna, så kan vi dock i praktiken "döda" samtliga behörigheter genom att "döda" kontot. 

I en ideal värld skulle behörigheter hänga samman i en lång kedja, där behörigheten "tillgång till lärosätets IT-resurser" var grundkrav för alla andra behörigheter till lärosätets resurser, men sådan är inte världen. Det lokala kontot är - kass som det är - det minst dåliga sätt vi har för att hindra obehörig åtkomst till lärosätets resuser efter avslutad anknytning.

Chalmers har länge arbetat med automatiserad tilldelning av resurser/behörigheter. Delegerat till verksamheten är att lägga in grunddata (vilka personer är affilierade på vilket sätt till vilken orgenhet). Sedan är det i princip förvaltningsobjekten som bestämmer om automatisk tilldelning av resurser skall ske, och på vilka grunder. Vi väljer att automatisera sådana tilldelningar som kan automatiseras, för att spara både tid och besvär för verksamheten. Vi kan då också kontrollera att resurser tas bort, inte bara läggs till.

Att kunna delegera vissa specifika behörighetstilldelningar till verksamheten står dock högt på önskelistan för oss!

Dessa helt olika angreppssätt och prioriteringar på samma problemmängd, där lärosäten med andra förutsättningar prioriterar ytterligare annorlunda, är en mycket bra fråga att belysa i samband med ett sånt här nytt projekt. 

Inte, tror jag, leta efter lösningar som täcker alla varianter av behov, men däremot titta på en lösning och notera hur den lösningen relaterar till olika lärosätens befintliga avsikter - som implementation, komplement eller inte alls.

mvh,

On 6 Mar 2023, at 10:17, Hans Jevrell <Hans.Jevrell@oru.se> wrote:

 

Hej Ett bra förslag. Men jag har några synpunkter.

Utvecklingen går framåt och vi skulle behöva fundera på följande.

Inom flera länder i EU delas idag ut nationella digitala identiteter.

Detta finns i form av Bankid Freja eID SITHS eID medmera.

Min fråga är varför ska vi ha egen identitetshantering?

Den vanligaste support frågan är ”Vad är mit lösen och sedan vad är mitt Konto”

Vid Örebro Universitet tror vi stark på att låta användaren logga in med sin ordinarie digitala Identitet så som Bank Id freja e id. Detta kommer underlätta flödet otroligt mycket för oss.

Vidare när det sedan gäller behörigheter behöver dessa ALLTID delas ut av systemägaren. Och kan INTE delas ut av någon annan.

Vi inom ORU har nu gjort en första implementering av detta. Och vi delar gärna med oss av våra erfarenheter.

Vi har valt denna väg av följande skäl.

Vi har c.a24 000 användare av våra tjänster.

1600 anställda. 

17 400 studenter ¼ är nya varje termin.

6000 övriga forskare VFU handledare, gästföreläsare, med mera.

De 6000 har en väldigt hög rotation. Vårt mål med den nya lösningen är att inom 1 h ska en ny användare kunna tilldelas en behörighet och det ska kunna skötas uti i verksamheten.
Med detta som bakgrund vill jag gärna ta en diskusionn om vart vi ska studera inom IAM steg 2.

 

Med vänlig hälsning

 

Hans Jevrell

 

 

 

Från: Roger Andréasson via Ati <ati@lists.sunet.se> 
Skickat: den 6 mars 2023 09:43
Till: Ulf Färjare <ulf.farjare@su.se>; Johan Peterson <johan.peterson@liu.se>
Kopia: ati@lists.sunet.se
Ämne: [Ati] Re: Förslag på nytt ITCF projekt...

 

Äntligen! 😊

Jag säger som Ulf ” Hur bra som helst!”!

 

Med vänlig hälsning, 

Roger Andréasson

Enterprisearkitekt/koncernarkitekt

 

Från: Ulf Färjare via Ati <ati@lists.sunet.se>
Svara till: Ulf Färjare <ulf.farjare@su.se>
Datum: måndag 6 mars 2023 09:27
Till: Johan Peterson <johan.peterson@liu.se>
Kopia: "ati@lists.sunet.se" <ati@lists.sunet.se>
Ämne: [Ati] Re: Förslag på nytt ITCF projekt...

 

Hur bra som helst!

 

/Uffä

 

Från: Johan Peterson via Ati <ati@lists.sunet.se> 
Skickat: den 3 mars 2023 17:09
Till: ati@lists.sunet.se
Ämne: [Ati] Förslag på nytt ITCF projekt...

 

Hej,

 

Helgen börjar hägra, men först vill jag skicka ut ett förslag på ett nytt ITCF projekt.

Vi har diskuterat saken inom ATITF så det är inte helt taget ur luften, men innan vi skickar det till ITCF vill vi gärna ta in er input om det.

 

Är det något ni tror är bra/värt att lägga tid på, m.m.?

Är upplägget klart nog eller borde vi ändra någon formulering?

Är projektidén och målen relevanta eller borde vi ändra inriktning på projektet?

Etc…

 

Jag förväntar mig inte svar förrän på måndag morgon! 😉 😃

 

Dokumentet ligger i ATI siten under ITCF och projektförslag.

Jo och så en länk här förstås:  IAM3 Projektförslag.docx

 

Trevlig helg!

 

Med vänlig hälsning
Johan Peterson
IT-arkitekt

IT-avdelningen 581 83 Linköping Telefon: 013-28 57 30 Mobil: 0703-222 405  Besöksadress: D-Huset Besök oss gärna på: liu.se

 

När du skickar e-post till Linköpings universitet innebär detta att Linköpings universitet behandlar dina personuppgifter. Läs mer om hur detta går till på https://liu.se/artikel/integritetspolicy-liu

 

 

_______________________________________________
Ati mailing list -- ati@lists.sunet.se
To unsubscribe send an email to ati-leave@lists.sunet.se