Denne drejebog beskriver implementering af OS2sofd med integration til SD.
1 Implementeringsplan for OS2sofd (med integration til SD)#
Her kører vi normalt med en 3-faset implementering, og et implementeringsprojekt tager ca. 100 timer i vores ende. Vi har desværre ikke så mange tal på, hvad I selv skal forvente af ressourcetræk, men tilsvarende (måske lidt mere) er nok ikke helt ved siden af.
2 Indlæsning og kvalitetssikring af data (Fase 1)#
Formålet med fase 1 er
- Sikre at vi indlæser alle relevante data fra kildesystemerne
- Sikre at vi får filtreret væk de data som ikke giver mening (løntekniske data, ikke-relevante ansættelser m.m.)
- Beslutte hvor data skal vedligeholdes fremover (OS2sofd, AD, SD) for de enkelte dataområder
Typisk tager fase 1 ikke særligt lang tid teknisk, men dialogen om SD og styringen af enheder kan tage lidt beslutningstid i jeres ende.
2.1 Forberedelse før installation af OS2sofd#
| # | Aktivitet | Hvem skal udføre opgaven | Beskrivelse af aktivitet |
|---|
| 1 | Opstartsmøde | Kommunen: Projektleder + evt. servertekniker. Digital Identity | Drejebogen og dens punkter gennemgås |
| 2 | SD - Beslutning om model | Kommunen: Projektleder evt. med hjælp fra medarbejder med ansvar for SD. SD | Model 1: Organisationshierarki struktur fra SD indlæses i OS2sofd. Adgange til SD Webservices. Model 2: Organisationshierarki struktur læses fra OS2sofd til SD. Adgange til SD Webservices. Kræver MOX snitflade. Model 3: Organisationshierarki vedligeholdes i både i SD og OS2sofd og der laves en mapning. Adgange til SD Webservices. |
| 3 | Drift- og databehandler-aftaler underskrives | Kommunen: Projektleder + Systemejer. Digital Identity | Digital Identity fremsender drifts- og databehandleraftaler. Aftalerne underskrives af Kommunen og Digital Identity |
| 4 | Godkend Serviceaftale-anmodning i administrations-modulet på Service-platformen | Kommunen: Projektleder / Systemejer for OS2sofd. Digital Identity | Digital Identity sender serviceaftalen nedenfor til godkendelse i Serviceportalens administrationsmodul. OS2sofd adgang til serviceplatformen. Aftalen indeholder følgende adgange: Digital Post (SF1601), FK Organisation (SF1500), FK Klassifikation (SF1510), CPR Opslag (SF1525) |
| 5 | CPR nr i AD | Kommunen: Projektleder + AD administrator eller servertekniker | En forudsætning for mapning af medarbejderdata fra SD med AD-konti er en unik nøgle (CPRnr). |
| 6 | Systemer som anvender FK organisation | Kommunen: Projektleder + FK org ansvarlig | I forbindelse med FK organisation skal der tages hånd om KLE opmærkning. Det er en styret proces, således at det sikres at KY, KSD m.m. ikke går i stykker. Hvis kommunen har fagsystemer, som er hårdt afhængige af data fra FK Organisation (fx KMD Nexus), skal der være en dialog omkring dette. Erfaringen viser, at Nexus er den største udfordring her, så hvis Kommunen kører Nexus skal der tages en dialog om dette så tidligt som muligt. Se også pkt. 21 |
| 7 | Server til AD services | Kommunen: Projektleder + Servertekniker | Kommunen skal have en windows server klar, hvor AD services kan installeres. AD indlæsningsintegration |
| 8 | Bestilling af SD systembruger til integration | Kommunen: Projektleder. SD | Bestilling af SD systembruger til integration. Til udlæsning af enheder og ansættelser fra SD-løn bruges disse WS WebServices: GetDepartment20111201, GetDepartmentParent20190701, GetInstitution20111201, GetOrganization20111201, GetEmployment20111201, GetEmploymentChanged20111201, GetEmploymentChangedAtDate20111201, GetPerson20111201, GetPersonChangedAtDate20111201, GetProfession20080201. Såfremt integrationen skal udlede ledere fra SDs funktionshierarki så skal SD-brugeren i øvrigt have adgang til rest-endpointet til funktioner (20160803/organisation/{uuid}/funktioner). Hvis der anvendes en model hvor OS2sofd skal vedligeholde enheder i SD-løn skal der en yderligere bruger til som opsættes på en helt anden måde. |
| 9 | Aftal installations-dato med Digital Identity | Kommunen: Projektleder. Digital Identity | Installationsdato aftales med Digital Identity. Installationen foregår på teams. Der skal aftales et møde på 2 timer. På mødet skal kommunens projektleder + servertekniker deltage |
2.2 Installation af OS2sofd (Basis)#
| # | Aktivitet | Hvem skal udføre opgaven | Beskrivelse af aktivitet |
|---|
| 10 | Integration fra AD til OS2sofd | Kommunen: Projektleder, Servertekniker. Digital Identity | Opsætning og konfiguration af kommunens integration fra AD til OS2sofd, så brugeroplysninger fra Active Directory bliver synkroniseret til OS2sofd. Vejledning til AD indlæsningsintegration. AD indlæsnings-integrationen kan downloades her: OS2sofd - AD indlæsningsintegration.exe (changelog). |
| 11 | Adgange til OS2sofd og OS2rollekatalog (IdP) | Kommunen: Projektleder, Servertekniker. Digital Identity | Opsætning af adgang til OS2sofd og OS2rollekatalog. Hvilken IdP skal anvendes? Alternativt ADFS |
| 12 | Rolleadgang til OS2sofd | Kommunen: Projektleder, Servertekniker. Digital Identity | Tilføj rettigheder til de personer, som skal have adgang til OS2sofd. Rettighederne (Administrator, Skriveadgang samt Læseadgang) kan tildeles i OS2rollekataloget |
| 13 | Integration til SD | Kommunen: Projektleder, Servertekniker. Digital Identity | Opsætning af integration til SD. Systembruger fra pkt. 8 skal anvendes |
| 14 | Kontrol af at SD data læses ind i OS2sofd | Kommunen: Projektleder, Servertekniker. Digital Identity | Tjek log |
2.3 Test/kontrol af data i OS2SOFD#
| # | Aktivitet | Hvem skal udføre opgaven | Beskrivelse af aktivitet |
|---|
| 15 | Test og kontrol af data i OS2SOFD | Kommunen: Projektleder, Servertekniker | Nedenstående kan være relevant at kontrollere: Organisationsenhedernes adresser. Organisationshierarkiet - er der noget der skal rettes til (enheder der skal oprettes eller flyttes) for at understøtte rettighedstildeling. Er der brugere (fra AD) i OS2sofd, som ikke er blevet mappet til en medarbejder? Skal de oprettes som “ikke lønbærende medarbejdere”? Er data korrekte på de enkelte medarbejdere? |
2.4 Mapning af Organisation i FK org og OS2sofd#
| # | Aktivitet | Hvem skal udføre opgaven | Beskrivelse af aktivitet |
|---|
| 16 | Organisationen i FK Organisation | Kommunen: Projektleder, Servertekniker. Digital Identity | Mapning af organisation og UUID’er i FK org og OS2sofd. DI mapper de org enheder, hvor der er sammenfald i OS2sofd og FK org. Der hvor org.enheder ikke umiddelbart kan mappes, skal kommunen bidrage til mapningsopgaven. |
2.5 Kortlægning#
| # | Aktivitet | Hvem skal udføre opgaven | Beskrivelse af aktivitet |
|---|
| 17 | Kortlægning af brugere med AD, Exchange | | Kortlæg hvilke brugere, der har AD og Exchange konti mhp. Opmærkning. Se pkt. 29 |
| 18 | Afdækning af hvad der sker ifm. oprettelse, deaktivering og nedlæggelse i AD | | Når AD- og exchange-konti fremover skal oprettes automatisk, er der behov for at kortlægge, hvad der sker i forbindelse med oprettelse, deaktivering og nedlæggelse af en bruger. Informationer (fx afdeling, telefonnr m.m. blandt andet til autosignatur). Tildelinger (logon script m.m). Rettigheder (drev, sharepoint sites, distributionslister, adgang til applikationer via security groups). Vær specielt opmærksom på hvis kommunen allerede har noget automatik kørende - om det skal tilrettes eller helt erstattes. Se pkt. 25 og 26 |
| 19 | Kortlægning af information til konfiguration af brugerkonto-typer | | I forbindelse med opsætning af brugerkontotyper er der behov for at vide: En eller flere konti pr. medarbejder. Hvor lang tid før ansættelses start skal kontoen aktiveres? Hvor lang tid efter ansættelsesstop skal kontoen aktiveres. Hvor lang tid efter ansættelsesstop skal kontoen slettes. Hvilke afhængigheder er der af kontooprettelsen fx skal AD oprettes før exchange konto. Skal oprettelsen forskydes i tid (fx 10 min) for at sikre at fx AD konto er oprettet før Exchange konto. Navnestandard, hvordan skal kontoens navn genereres. Se også pkt. 27 |
| 20 | Overvej tekst til mail-skabeloner i OS2sofd | | I OS2sofd er der en række mail-skabeloner - gennemgå skabeloner og overvej, hvad I ønsker at skrive i dem. Se pkt. 28 |
3 Opsætning af overførsel af data til andre systemer (fase 2)#
Når fase 1 er slut, så har vi et solidt billede af de data I har indlæst i OS2sofd, og kan opsætte overførslen af disse data til eksterne systemer
| # | Aktivitet | Hvem skal udføre opgaven | Beskrivelse af aktivitet |
|---|
| 21 | Overførsel til OS2rollekatalog | Kommunen: Projektleder, Servertekniker. Digital Identity | Hvis kommunen har eller skal have OS2rollekatalog, så starter vi med at overføre data til denne. Hvis indlæsning af data fra AD er påbegyndt på et tidligere tidspunkt, skal overgangen sikres, men det er rent teknik |
| 22 | Andre systemer (OS2vikar mm.) | Kommunen. Digital Identity | Integration til fx OS2vikar mm. |
4 IdM processer (Fase 3)#
Når vi har sikret ejerskabet af data, og har sikret at data er ens på tværs af kildesystemer og fagsystemet, så er vi klar til at starte IdM processerne. Typisk er det denne del af OS2sofd implementeringen der tager længst tid, da der er mange afklaringer, der skal tages i de enkelte processer. Her er der en række integrationer, primært mod AD, som opsættes.
4.1 Konfiguration#
| # | Aktivitet | Hvem skal udføre opgaven | Beskrivelse af aktivitet |
|---|
| 23 | Password reset løsning | Kommunen. Digital Identity | I forbindelse med automatisk oprettelse af AD/Exchange konti bliver det ikke længere muligt manuelt at tildele et midlertidig password til den nye medarbejder. Der bliver behov for at anskaffe en Password/reset løsning, hvis kommunen ikke allerede har sådan en. Den nye medarbejder skal kunne oprette et password ved hjælp af MitID. |
| 24 | OS2sofd AD Replikator | Kommunen. Digital Identity | Evt. installation og konfiguration af AD replikator. Denne service står for oprettelsen og vedligehold af en OU struktur i AD, der matcher den OU struktur der findes i OS2sofd - den kan samtidig også stå for flytningen af brugere rundt i AD strukturen, så de indplaceres der hvor deres primære ansættelse er (dette er én model for brugerflytning - se også Writeback modellen). Servicen er optionel - hvis man ikke ønsker en styret struktur i AD, så kan man undlade denne service. Integrationen afvikles på kommunens netværk. Vejledningen kan downloades her: OS2sofd - AD Replikator Agent.pdf. Integrationen kan downloades her: OS2sofd - AD Replikator Agent.exe (changelog). |
| 25 | OS2sofd AD Writeback | Kommunen. Digital Identity | Installation og konfiguration af AD writeback (se pkt. 18). Denne service står for vedligehold af attributter på AD konti, baseret på data fra OS2sofd (og dermed løn m.m.). Servicen kan også sikre at leder-angivelsen i AD holdes ajour ud fra den lederangivelse der er i OS2sofd. Servicen har også en optionel model for flytning af brugere, baseret på TAGs. Denne model giver mening hvis man ikke anvender Replikator servicen ovenfor - den kræver dog lidt manuel vedligehold af en mapning mellem OS2sofd OU strukturen og AD OU strukturen inde i OS2sofd brugergrænsefladen. Servicen ER optionel, men alle plejer at installere den, da den giver værdi uagtet hvor meget eller hvor lidt man anvender den. Integrationen afvikles på kommunens netværk. Vejledningen kan downloades her: OS2sofd - AD Writeback Agent.pdf. Integrationen kan downloades her: OS2sofd - AD Writeback Agent.exe (changelog). |
| 26 | OS2sofd Account Agent | Kommunen. Digital Identity | Installation og konfiguration af Account Agent (se også pkt. 18). Denne service står for oprettelse og nedlæggelse af AD konti og Exchange konti. Vi skal afdække hvad en standard brugeroprettelse og nedlæggelse håndterer i dag, og sikre en teknisk opsætning der matcher dette. Vi skal afdække om der skal være et manuelt godkendelses-trin i brugeroprettelsen, eller om den skal ske helt automatisk. Vi skal afdække om det er alle i organisationen der skal have en AD konto, eller om der er områder hvor man ikke skal have en. Vi skal afdække om der er brugere der får en AD konto, som IKKE skal have en Exchange konto, og I så fald hvilke - samt evt licensstyring til O365. Vi skal afklare hvordan vi håndterer ikke-lønnede medarbejdere i forhold til AD konti og IdM processerne. Integrationen afvikles på kommunens netværk. Vejledningen kan downloades her: OS2sofd - User Account Agent.pdf. Integrationen kan downloades her: OS2sofd - User Account Agent.exe (changelog). |
| 27 | Konfiguration af brugerkonto-typer | Kommunen: Projektleder, Servertekniker, Projektgruppe. Digital Identity | Engangsopgave ved idriftsættelse af den automatiske brugerkontoadministration i OS2sofd. Opsætningen vil være afgørende for, efter hvilke “regler” OS2sofd skal generere de enkelte konti ved den automatiske oprettelse. Det handler både om navnestandard, afhængigheder og frister. Standardbrugerkonti vil være oprettet fra start. Ønsker kommunen at oprette en ny brugerkontotype anbefales det, at vende dette med DI. Se pkt. 19 |
| 28 | Oprettelse af mail-skabeloner | Kommunen: Projektleder, Projektgruppe | Engangsopgave ved idriftsættelse af den automatiske brugerkontoadministration i SOFD Core. Du kan her tilrette og aktivere de mailskabeloner, som kommunen vælger skal udsendes automatisk. Opsætningen er “alt eller intet” - hvis en skabelon er aktiv gælder den for hele kommunen. Se pkt. 20 |
4.2 Opmærkning i OS2sofd#
| # | Aktivitet | Hvem skal udføre opgaven | Beskrivelse af aktivitet |
|---|
| 29 | Opsætning af regler for oprettelse AD og Exchange konti | Kommunen: Projektleder, Projektgruppe | Opsætning af regler for oprettelse AD og Exchange konti. Opmærkningen træder ikke i kraft før “User Account Agent” aktiveres. Eventuelle medarbejdere, der ikke har noget tilhørsforhold i SOFD Core skal håndteres og deaktiveres - eller have tilknyttet et tilhørsforhold, da de ikke bliver deaktiveret automatisk. Udtræk listen “Personer uden tilhørsforhold, der har en AD konto” under rapporter i OS2sofd. |
| 30 | Deaktiverede AD konti - Opmærkning i OS2sofd | | Hvis I har medarbejdere med aktive ansættelsesforhold, men hvor AD-konti er deaktiverede - er det meget VIGTIGT at få dette håndteret inden der sættes strøm til den lokale IdM-agent og automatisk oprettelse af AD/exchange. For at sikre, at AD-kontoen forbliver deaktiveret på trods af, at medarbejderen har et aktivt ansættelsesforhold, skal flaget “Undtagelsesmarkering” sættes på medarbejderen i SOFD Core. |
Flaget “Undtagelsesmarkering” sættes på medarbejderens fane “Brugerkonti” i OS2sofd via knappen “Sæt undtagelsesmarkering”.