1 Implementeringsplan for OS2sofd (med integration til OPUS) og OS2rollekatalog#
Her kører vi normalt med en 3-faset implementering, og et implementeringsprojekt tager ca. 100 timer i vores ende. Vi har desværre ikke så mange tal på, hvad I selv skal forvente af ressourcetræk, men tilsvarende (måske lidt mere) er nok ikke helt ved siden af.
2 Indlæsning og kvalitetssikring af data (Fase 1)#
Formålet med fase 1 er:
- Sikre at vi indlæser alle relevante data fra kildesystemerne
- Sikre at vi får filtreret væk de data som ikke giver mening (løntekniske data, ikke-relevante ansættelser m.m.)
- Beslutte hvor data skal vedligeholdes fremover (OS2sofd, AD, OPUS) for de enkelte dataområder
Typisk tager fase 1 ikke særligt lang tid teknisk, men dialogen om KMD OPUS og styringen af enheder kan tage lidt beslutningstid i jeres ende.
2.1 Forberedelse før installation af OS2sofd#
| Aktivitet | Hvem skal udføre opgaven | Beskrivelse af aktivitet |
|---|---|---|
| 1. Opstartsmøde | Kommunen Projektleder + evt. servertekniker Digital Identity | Drejebogen og dens punkter gennemgås |
| 2. Medarbejder- og organisationsdata | Kommunen Projektleder evt. med hjælp fra medarbejder, som er ansvarlig for KFSLan snitflader KMD Kundeansvarlig hos KMD | Forudsætningen for at få medarbejdere og organisationsdata ind i OS2sofd er xml-udtræk fra KMD OPUS Udtrækket skal indeholde følgende felter: KMD OPUS https://opusintegration.kmd.dk/assets/62406/1720594523-individuelt-dataudtraek-medarbejder-organisation.pdf Hvis Kommunen ikke har et sådan udtræk i forvejen skal det bestilles hos KMD. Vær opmærksom på, at der er en leveringstid på 2-3 uger • Bestil XML udtræk hos KMD • Bestil KFS snitflade hos KMD |
| 3. Drift- og databehandleraftaler underskrives | Kommunen Projektleder + Systemejer Digital Identity | Digital Identity fremsender drifts- og databehandleraftaler. Aftalerne underskrives af Kommunen og Digital Identity |
| 4. Godkend Serviceaftale-anmodning i administrationsmodulet på Serviceplatformen | Kommunen Projektleder / Systemejer for OS2sofd Digital Identity | Digital Identity sender serviceaftalen nedenfor til godkendelse i Serviceportalens administrationsmodul. OS2sofd adgang til serviceplatformen Aftalen indeholder følgende adgange: • Digital Post (SF1601) • FK Organisation (SF1500) • FK Klassifikation (SF1510) • CPR Opslag (SF1525) |
| 5. CPR nr i AD | Kommunen Projektleder + AD administrator eller servertekniker | En forudsætning for mapning af medarbejderdata fra OPUS med AD-konti er en unik nøgle (CPRnr). |
| 6. Systemer som anvender FK organisation | Kommunen Projektleder + FK org ansvarlig | I forbindelse med FK organisation skal der tages hånd om KLE opmærkning. Det er en styret proces, således at det sikres at KY, KSD m.m. ikke går i stykker Hvis kommunen har fagsystemer, som er hårdt afhængige af data fra FK Organisation (fx KMD Nexus), skal der være en dialog omkring dette. Erfaringen viser, at Nexus er den største udfordring her, så hvis Kommunen kører Nexus skal der tages en dialog om dette så tidligt som muligt. Se også pkt. 21 |
| 7. Server til AD services | Kommunen Projektleder + Servertekniker | Kommunen skal have en windows server klar, hvor AD services kan installeres. AD indlæsningsintegration |
| 8. API nøgle til OPUS indlæsningsintegration | Digital Identity | Digital Identity gør API nøglen klar til OPUS indlæsningsintegrationen. Vejledningen kan downloades her: S3FileUploader.pdf. API nøglen skal bruges i pkt. 13 |
| 9. Aftal installationsdato med Digital Identity | Kommunen Projektleder Digital Identity | Installationsdato aftales med Digital Identity. Installationen foregår på teams. Der skal aftales et møde på 2 timer. På mødet skal kommunens projektleder + servertekniker deltage |
2.2 Installation af OS2sofd (Basis)#
| Aktivitet | Hvem skal udføre opgaven | Beskrivelse af aktivitet |
|---|---|---|
| 10. Integration fra AD til OS2sofd | Kommunen Projektleder Servertekniker Digital Identity | Opsætning og konfiguration af kommunens integration fra AD til OS2sofd, så brugeroplysninger fra Active Directory bliver synkroniseret til OS2sofd Vejledning til AD indlæsningsintegration AD indlæsnings-integrationen kan downloades her OS2sofd - AD indlæsningsintegration.exe - (changelog). |
| 11. Adgange til OS2sofd (IdP) | Kommunen Projektleder Servertekniker Digital Identity | Opsætning af adgang til OS2sofd Hvilken IdP skal anvendes? Alternativt ADFS |
| 12. Rolleadgang til OS2sofd | Kommunen Projektleder Servertekniker Digital Identity | Tilføj rettigheder til de personer, som skal have adgang til OS2sofd. Rettighederne (Administrator, Skriveadgang samt Læseadgang) kan tildeles i OS2rollekataloget |
| 13. Integration til OPUS | Kommunen Projektleder Servertekniker Digital Identity | Opsætning af periodisk fil-upload af Organisation - og medarbejderdata fra kommunens lokale filsystem til infrastrukturen driftet af Digital Identity. Vejledningen kan downloades her: S3FileUploader.pdf. Integrationen kan downloades her: S3FileUploader.exe - (changelog). API nøgle fra pkt. 8 skal anvendes |
| 14. Kontrol af at LOS/OPUS data læses ind i OS2sofd | Kommunen Projektleder Servertekniker Digital Identity | Tjek log |
2.3 Test/kontrol af data i OS2SOFD#
| Aktivitet | Hvem skal udføre opgaven | Beskrivelse af aktivitet |
|---|---|---|
| 15. Test og kontrol af data i OS2SOFD | Kommunen Projektleder Servertekniker | Nedenstående kan være relevant at kontrollere: • Organisationsenhedernes adresser • Organisationshierarkiet - er der noget der skal rettes til (enheder der skal oprettes eller flyttes) for at understøtte rettighedstildeling • Er der brugere (fra AD) i SOFD Core, som ikke er blevet mappet til en medarbejder? Skal de oprettes som “ikke lønbærende medarbejdere i OPUS”? Er data korrekte på de enkelte medarbejdere? |
2.4 Mapning af Organisation i FK org og OS2sofd#
| Aktivitet | Hvem skal udføre opgaven | Beskrivelse af aktivitet |
|---|---|---|
| 16. Organisationen i FK Organisation | Kommunen Projektleder Servertekniker Digital Identity | Mapning af organisation og UUID’er i FK org og OS2sofd. DI mapper de org enheder, hvor der er sammenfald i OS2sofd og FK org. Der hvor org.enheder ikke umiddelbart kan mappes, skal kommunen bidrage til mapningsopgaven. |
2.5 Kortlægning#
| Aktivitet | Hvem skal udføre opgaven | Beskrivelse af aktivitet |
|---|---|---|
| 17. Kortlægning af brugere med AD, Exchange og OPUS konti | Kortlæg hvilke brugere, der har AD, Exchange og Opus konti mhp. Opmærkning. Se pkt. 29 | |
| 18. Afdækning af as-is bruger-oprettelse, deaktivering og nedlæggelse i AD | Når AD- og exchange-konti fremover skal oprettes automatisk, er der behov for at kortlægge, hvilke oplysninger der bliver sat i forbindelse med oprettelse af en bruger. • Informationer (fx afdeling, telefonnr m.m. blandt andet til autosignatur) • Tildelinger (logon script m.m) • Rettigheder (drev, sharepoint sites, distributionslister, adgang til applikationer via security groups) Vær specielt opmærksom på hvis kommunen allerede har noget automatik kørende - om det skal tilrettes eller helt erstattes. Se pkt. 25 og 26 | |
| 19. Kortlægning af information til konfiguration af brugerkonto-typer | I forbindelse med opsætning af brugerkontotyper er der behov for at vide: • En eller flere konti pr. medarbejder • Hvor lang tid før ansættelses start skal kontoen aktiveres? • Hvor lang tid efter ansættelsesstop skal kontoen deaktiveres • Hvor lang tid efter ansættelsesstop skal kontoen slettes • Hvilke afhængigheder er der af kontooprettelsen fx skal AD oprettes før exchange konto • Skal oprettelsen forskydes i tid (fx 10 min) for at sikre at fx AD konto er oprettet før Exchange konto. • Navnestandard, hvordan skal kontoens navn genereres. Se også pkt. 27 | |
| 20. Overvej tekst til mail-skabeloner i OS2sofd | I OS2sofd er der en række mail-skabeloner - gennemgå skabeloner og overvej, hvad I ønsker at skrive i dem. Opsætningen er “alt eller intet” - hvis en skabelon er aktiv gælder den for hele kommunen. Se pkt. 28 |
3 Opsætning af overførsel af data til andre systemer (fase 2)#
Når fase 1 er slut, så har vi et solidt billede af de data I har indlæst i OS2sofd, og kan opsætte overførslen af disse data til eksterne systemer
| Aktivitet | Hvem skal udføre opgaven | Beskrivelse af aktivitet |
|---|---|---|
| 21. Overførsel til OS2rollekatalog | Kommunen Projektleder Servertekniker Digital Identity | Hvis kommunen har eller skal have OS2rollekatalog, så starter vi med at overføre data til denne. Hvis indlæsning af data fra AD er påbegyndt på et tidligere tidspunkt, skal overgangen sikres, men det er rent teknik |
| 22. Andre systemer (OS2vikar mm.) | Kommunen Digital Identity | Integration til fx OS2vikar mm. |
4 IdM processer (Fase 3)#
Når vi har sikret ejerskabet af data, og har sikret at data er ens på tværs af kildesystemer og fagsystemet, så er vi klar til at starte IdM processerne. Typisk er det denne del af OS2sofd implementeringen der tager længst tid, da der er mange afklaringer, der skal tages i de enkelte processer. Her er der en række integrationer, primært mod AD, som opsættes.
4.1 Konfiguration#
| Aktivitet | Hvem skal udføre opgaven | Beskrivelse af aktivitet |
|---|---|---|
| 23. Password reset løsning | Kommunen Digital Identity | I forbindelse med automatisk oprettelse af AD/Exchange konti bliver det ikke længere muligt manuelt at tildele et midlertidig password til den nye medarbejder. Der bliver behov for at anskaffe en Password/reset løsning, hvis kommunen ikke allerede har sådan en. Den nye medarbejder skal kunne oprette et password ved hjælp af MitID. |
| 24. OS2sofd AD Replikator | Kommunen Digital Identity | • Denne service står for oprettelsen og vedligehold af en OU struktur i AD, der matcher den OU struktur der findes i OS2sofd - den kan samtidig også stå for flytningen af brugere rundt i AD strukturen, så de indplaceres der hvor deres primære ansættelse er (dette er én model for brugerflytning - se også Writeback modellen) • Servicen er optionel - hvis man ikke ønsker en styret struktur i AD, så kan man undlade denne service Integrationen afvikles på kommunens netværk. Vejledningen kan downloades her: OS2sofd - AD Replikator Agent.pdf. Integrationen kan downloades her: OS2sofd - AD Replikator Agent.exe - (changelog). |
| 25. OS2sofd AD Writeback | Kommunen Digital Identity | Installation og konfiguration af AD writeback (se pkt. 18) • Denne service står for vedligehold af attributter på AD konti, baseret på data fra OS2sofd (og dermed løn m.m.) • Servicen kan også sikre at leder-angivelsen i AD holdes ajour ud fra den lederangivelse der er i OS2sofd • Servicen har også en optionel model for flytning af brugere, baseret på TAGs. Denne model giver mening hvis man ikke anvender Replikator servicen ovenfor - den kræver dog lidt manuel vedligehold af en mapning mellem OS2sofd OU strukturen og AD OU strukturen inde i OS2sofd brugergrænsefladen. • Servicen ER optionel, men alle plejer at installere den, da den giver værdi uagtet hvor meget eller hvor lidt man anvender den Integrationen afvikles på kommunens netværk. Vejledningen kan downloades her: OS2sofd - AD Writeback Agent.pdf. Integrationen kan downloades her: OS2sofd - AD Writeback Agent.exe - (changelog). |
| 26. OS2sofd Account Agent | Kommunen Digital Identity | Installation og konfiguration af Account Agent (se også pkt. 18) • Denne service står for oprettelse og nedlæggelse af AD konti og Exchange konti • Vi skal afdække hvad en standard brugeroprettelse og nedlæggelse håndterer i dag, og sikre en teknisk opsætning der matcher dette • Vi skal afdække om der skal være et manuelt godkendelses-trin i brugeroprettelsen, eller om den skal ske helt automatisk • Vi skal afdække om det er alle i organisationen der skal have en AD konto, eller om der er områder hvor man ikke skal have en • Vi skal afdække om der er brugere der får en AD konto, som IKKE skal have en Exchange konto, og I så fald hvilke - samt evt licensstyring til O365 • Vi skal afklare hvordan vi håndterer ikke-lønnede medarbejdere i forhold til AD konti og IdM processerne Integrationen afvikles på kommunens netværk. Vejledningen kan downloades her: OS2sofd - User Account Agent.pdf. Integrationen kan downloades her: OS2sofd - User Account Agent.exe - (changelog). |
| 27. Konfiguration af brugerkonto-typer | Kommunen Projektleder Servertekniker Projektgruppe Digital Identity | Engangsopgave ved idriftsættelse af den automatiske brugerkontoadministration i OS2sofd. Opsætningen vil være afgørende for, efter hvilke “regler” OS2sofd skal generere de enkelte konti ved den automatiske oprettelse. Det handler både om navnestandard, afhængigheder og frister. Standardbrugerkonti vil være oprettet fra start. Ønsker kommunen at oprette en ny brugerkontotype anbefales det, at vende dette med DI. Se pkt. 19 |
| 28. Oprettelse af mail-skabeloner | Kommunen Projektleder Projektgruppe | Engangsopgave ved idriftsættelse af den automatiske brugerkontoadministration i SOFD Core. Du kan her tilrette og aktivere de mailskabeloner, som kommunen vælger skal udsendes automatisk. Opsætningen er “alt eller intet” - hvis en skabelon er aktiv gælder den for hele kommunen. Se pkt. 20 |
| 29. Opsætning af automatisk opdatering af INFOType105 | Kommunen | Automatisk tilbageskrivning til Infotype 105 er udfyldelse af felterne • IT-bruger (markering/hak) • Brugernavn • Mail-adresse |
4.2 Opmærkning i OS2sofd#
| Aktivitet | Hvem skal udføre opgaven | Beskrivelse af aktivitet |
|---|---|---|
| 30. Opsætning af regler for oprettelse AD og Exchange konti | Kommunen Projektleder Projektgruppe | Opsætning af regler for oprettelse AD og Exchange konti. Opmærkningen træder ikke i kraft før “User Account Agent” aktiveres. • Eventuelle medarbejdere, der ikke har noget tilhørsforhold i SOFD Core skal håndteres og deaktiveres - eller have tilknyttet et tilhørsforhold, da de ikke bliver deaktiveret automatisk. Udtræk listen “Personer uden tilhørsforhold, der har en AD konto” under rapporter i OS2sofd. |
| 31. Deaktiverede AD konti - Opmærkning i OS2sofd | Hvis I har medarbejdere med aktive ansættelsesforhold, men hvor AD-konti er deaktiverede - er det meget VIGTIGT at få dette håndteret inden der sættes strøm til den lokale IdM-agent og automatisk oprettelse af AD/exchange. For at sikre, at AD-kontoen forbliver deaktiveret på trods af, at medarbejderen har et aktivt ansættelsesforhold, skal flaget “Undtagelsesmarkering” sættes på medarbejderen i SOFD Core. Flaget sættes på medarbejderens fane “Brugerkonti” via knappen “Sæt undtagelsesmarkering”. |