Forklarede identiteter
Om identity management og The Global Identity Repository, OS2mo
Det at skulle have styr på alle sine medarbejdere i alle sine it-systemer er kedeligt og burde bare virke out-of-the-box; vi har andre ting at tage os til end at holde øje med om en brugers adgangsrettigheder er udløbet eller ej. Det burde ordnes af en usynlig mekanisme, det burde bare fungere!
Det virker bare slet ikke.
Den grumme virkelighed er nemlig at manglende viden om og implementering af the missing link inden for identity management medfører forhøjede omkostninger, frustrerede medarbejdere og tilbagevendende lovbrud i en mere og mere reguleret verden (sig “GDPR”).
The missing link er en organisations- og brugerstyrings-komponent hvor medarbejdere og organisationer fødes og dør. Det er The Global Identity Repository, også kaldet OS2mo.
Inden vi dykker dybere ned i det, så lad os kigge lidt nærmere på hvad identity management egentlig er, hvad det kan bruges til, og hvordan situationen ser ud i Danmark i dag.
Hvad er identity management?
Identity management betyder overordnet to ting: Man skal have sikkerhed for hvem der er hvem; og på baggrund af denne viden skal man kunne udstede de rette (it-)adgange til rette vedkommende.
Hvem er Else? – Identifikation og autentifikation
I gamle dage var det sådan at identificering af personer var kontekstbaseret.
Min tip-tip-tip oldemor hed Else Larsdatter og kom fra den Nørrejyske Ø, nærmere betegnet Vendsyssel – et sted mellem Tornby Sogn og Horne Sogn. Dengang var der dog en del kvinder som bar netop det navn, selv indenfor den begrænsede geografi som udgøres af de to sogne. Heldigvis blev Else Larsdatters far, Lars Christian Larsen, af i dag ukendte årsager kaldt “Tysker Laust”. Derfor kom hans datter, Else Larsdatter, blot til at hedde “Tysker Else” i folkemunde.
Det var praktisk – alle vidste hvem hun var – Else var blevet til en unik størrelse.
I den moderne identity management verden kaldes dette identifikation og er nært beslægtet med et andet begreb fra samme verden, nemlig autentifikation, som påviser ægtheden af hvem du er.
Else og kun Else havde adgang til sit hus – Autorisation
Identity managements andet ben handler om at man baseret på en unikt identificeret identitet (Tysker Else) kan give vedkommende adgang til specifikke steder: Hvis Else kan bevise at hun er Else (autentifikation), kan hun fx få nøgle til sit hus.
I den moderne identity management verden kaldes dette autorisation.
Identiteter i dagens Danmark
Kontekstbaseret identifikation og autentifikation af personer er ikke godt nok i dagens Danmark. Derfor indførtes i 1968 og 1972 (Danmark hhv. Grønland) CPR-nummeret – alle, uden undtagelse, skulle betale skat!
CPR-nummeret er et unikt nummer påklistret en person. Der kan hermed ikke længere herske tvivl om hvem der er hvem, og selv Tollundmanden har fået sit eget CPR-nummer (080550-0000) – ellers kunne hans storetå nemlig ikke blive scannet.
It og identiteter – Borger kontra medarbejder
Danmark er temmelig langt foran mange andre lande når det kommer til identity management. Vi har dels det ovenfor nævnte CPR-nummer, men vi har også en måde hvormed vi kan fortælle visse offentlige og private it-tjenester hvem vi er, og dermed kan vi få adgang til at udnytte hvad disse tjenester tilbyder. Fx kan jeg få adgang til min netbank eller mit Coronapas vha. NemID – der dog snart bliver til MitID.
MitID som, en passant, skulle have været et stort opgør med Nets’ monopol på visse dele af NemID-aftalen – et opgør som endte med en ny kontrakt til netop Nets og en closed source løsning til et Danmark der gerne vil have åbne it-løsninger. Det kommer vi tilbage til.
Men én ting er den måde en borgers identitet er forvaltet på (CPR-kontoret). En helt anden ting er den måde en medarbejders identitet i en organisation håndteres på.
Offentlige forvaltningers it-landskaber
Den gængse danske kommune har mellem 300 og 500 it-systemer. Der er selvfølgelig forskelle – det afhænger af størrelsen: Læsø Kommune tæller cirka 35 medarbejdere mod Københavns Kommune der er har mere end 1.000 gange flere ansatte, nemlig omkring 40.000.
Når medarbejderne i en offentlig myndighed eller i et privat firma – faktisk en hvilken som helst organisation der udgør en juridisk enhed – skal benytte et eller flere af alle disse it-systemer, er de lovformelige krav til autentificering skrappe. Konsekvensen for organisationerne er behovet for at implementere muligheden for sporbarhed og dokumentation af alle medarbejderes handlinger i it-systemerne: Hvem har adgang til hvad? Hvem har foretaget hvad hvornår?
Forudsætninger for lovformelighed
Hvis du har en stab på 1.000 medarbejdere og en – relativt lavt sat – personaleomsætning på 5% hvilket svarer til årlig personaleafgang på 50 medarbejdere, ja så gælder det bare om at have helt styr på hvem der ikke skal have adgang til hvilke it-systemer længere.
Hvordan får du det?
It-systemer der snakker sammen
Nu er vi så heldige at vi i Danmark har en række offentlige organer der er fremsynede. Inden for de seneste par år er vi blevet endnu mere heldige: Disse organer arbejder sammen om at standardisere og implementere fremsynetheden.
I 0’erne begyndte der således at spire tanker om fællesoffentlige dataformater til udveksling af oplysninger mellem it-systemer. Det resulterede omkring – og især efter – 2010 i udarbejdelsen af standarder for data og it-arkitektur. Arbejdet var delvist ansporet af det såkaldte monopolbrud som skulle konkurrenceudsætte den it-portefølje som KMD havde haft monopol på at udvikle indtil da.
Udover de temmelig heftige besparelser det ser ud til at have betydet, har Kommunernes Landsforenings og Digitaliseringsstyrelsens standardiseringsarbejde også haft som resultat at flere og flere it-systemer taler nemmere sammen: It-leverandørerne må stadig gerne sælge closed source-løsninger til det offentlige (køber ejer ikke det køber køber), men skal levere ind i den såkaldte rammearkitektur og overholde en række datastandarder og arkitektur-principper. Det gør at det offentlige nu kan trække data ud af de systemer de køber. Og kan man trække data ud af et system, kan man også skubbe dem ind i et andet system som overholder reglerne om åbne API’er mm.
It-arkitektonisk modenhed er identity managements forudsætning
I det øjeblik det er muligt at forbinde systemer og udveksle oplysninger mellem dem, bliver det ligeledes muligt på automatiseret og konsistent vis at styre brugeroprettelse og -nedlæggelse i alle forbundne systemer; at styre specifikke brugeres rettigheder til specifikke systemer; at spore disse brugeres gøren og laden; og endelig at dokumentere deres handlinger på tværs af it-landskabet til brug ved fx revisioner og til GDPR-lovformelighed.
It-modenhed fører til besparelser
Der er tilmed besparelser forbundet med magien: Glemmer en organisation at lukke ned for en afgået medarbejders adgang til et bruger-licenseret system, skal organisationen selvfølgelig alligevel fortsat betale licens-kroner til leverandøren. Hvis det derimod sker automatisk, er de kroner sparet. Spørg bare en vilkårlig organisation hvor mange penge der årligt ryger på denne konto; de har formentlig ikke lyst til at svare.
Det er ikke den eneste besparelse: Hvis it-systemerne ikke udveksler informationer og automatiserer brugeroprettelse og -adgange, skal der ansættes administrativt personale til at udføre disse ikke altid lige inspirerende opgaver. Og hvor det ikke betyder så meget at spare på lønkronerne i fx Indien hvor lønnen udgør omkring 10% af en virksomheds omkostninger, anvendtes godt 60% af det offentlige forbrug mellem år 2000 og 2017 til lønninger til offentligt ansatte i Danmark – Det vil man både gerne spare på og kunne udnytte til noget andet end redundante oprettelser en masse.
Løsningen: Identiteternes arnested
Løsningen er at gøre it-arkitekturen klar: Lade arnested være arnested, lad ét system have ansvaret for identiteterne– de bør fødes ét sted, én gang, i ét system. Systemet skal automatisk sende brugerne til systemer der har behov for dem. Systemet skal tilmed kunne fortælle hvad brugeren foretog sig mens vedkommende var aktiv for kommunen, regionen, staten, NGO’en, den private virksomhed.
Det handler om sikkerhed, compliance, besparelser og kvalitet i data og i arbejdet.
Identiteternes arnested er gjort til virkelighed. Ovenikøbet en open source én af slagsen: Ved brug af det fremsynede, offentlige Danmarks tanker kan vi nu implementere entitets- og identitetsstyring i såvel det offentlige som det private.
Det hedder The Global Identity Repository, også kaldet OS2mo.
Det virker nu.
Se også digitalt.dk
