HUS Plus Tilannekatsaus Identiteetinhallinta – AD (verkkotunnus) - Exchange (sähköposti) käyttöönotto 24.5.2010

1. HUS Plus TilannekatsausIdentiteetinhallinta – AD (verkkotunnus) - Exchange (sähköposti) käyttöönotto 24.5.2010 Mirka LeppänenHankepäällikköHUS-TietotekniikkaHenkilöstötoimikunta 15.4.2010

2. Identiteetinhallinta-projektin sisältö • HRM-hankkeen aikana identiteetinhallinnan piiriin liitetään HUSin sisäiset käyttäjät (=HUS maksaa palkkaa, eli tiedot Oracle HRMS:ssä) seuraaviin järjestelmiin: • Oracle E-Business Suite 2.2.2009 • Active Directory (verkkotunnus) ja Exchange (sähköposti) tavoite 24.5.2010 • Uranus tavoite syksy 2010 • Jatkokehitystä varten perustettava uusi projekti: • Tuotteistettava uusien järjestelmien liittäminen IDM:ään • Prioriosoitava mitä järjestelmiä liitetään • Husin ulkopuoliset käyttäjät mukaan • Hankittavissa uusissa järjestelmissä kannattaa huomioida IDM:än vaatimukset ja yhteensopivuus jo kilpailutusvaiheessa

3. Kertakirjautuminen • Identiteetinhallinta ei ole sama kuin kertakirjautuminen ! • HRM-hankkeen aikana kertakirjautuminen on otettu käyttöön 2.2.2009 HUS Plus -portaalin ja Oracle HRMS:n, IDM:n ja lomaohjelmiston välissä • Käyttäjille eivät ehkä ole mieltäneet asiaa, mutta jos sitä ei olisi: • Ensin kirjauduttaisiin HUS Plussaan • Ja aina kun menee eri Oracle moduuliin (esim, poissaolot, matkalaskut, käyttöoikeudet) tai lomaohjelmistoon, joutuisi kirjautumaan uudelleen ko moduuliin • HUS-Tietotekniikassa haetaan ratkaisua kertakirjaumiseen käyttäjien tarkoittamassa mielessä • Eli kirjautumalla työasemalle, pääsisi ilman uusia tunnuksia ja salasanoja useisiin eri järjestelmiin

4. Miten identiteetinhallinta toimii käytännössä? • Oracle HRMS on luotettu lähde • Työsopimus tehdään Oraclen henkilöstömoduuliin • Sieltä tieto siirtyy Identiteetinhallinta-tuotteeseen • HUOM! On todella tärkeää tehdä työsopimus ajallaan, ennen sitä ei saa myöskään tunnuksia! • Identiteetinhallinta luo automatiikan mukaiset tunnukset käyttäjälle • Eli oikeuksia ei tarvitse erikseen paperilla tilata • Voi olla erilaisia prosesseja järjestelmästä riippuen • Perusoikeudet ilman hyväksyntöjä • Joihinkin voidaan tarvita esimiehen hyväksyntä • Ja osassa tarvitaan myös järjestelmän pääkäyttäjän tms. hyväksyntä esimiehen hyväksynnän lisäksi • Loppukäyttäjälle Identiteetinhallinta-tuotteeseen edetään HUS Plussan kautta • Voi tilata lisäoikeuksia (henkilö itse tai esimies) • Esimiehet hyväksyvät sellaiset oikeudet, jotka vaativat hyväksyntää • Nämä mahdollisuudet lisääntyvät sitä mukaan, kun uusia järjestelmiä saadaan liitettyä

5. AD (verkkotunnus) ja Exchange (sähköposti) liittäminen identiteetinhallintaan –mitä tarkoittaa? • Tavoiteaikataulu: tuotantokäytön aloitus 24.5.2010 • Tarkoittaa käytännössä, että verkkotunnus ja sähköpostiosoite ja -laatikko syntyvät automaattisesti kun työsopimus on tehty Oracleen • Uudet työntekijät • Vanhojen työntekijöiden tietojen muutokset • Tunnuksia ei enää haeta paperilla/sähköisellä lomakkeella atk-avusta • Oikeuksien poistuminen • Automaattisesti tulleet oikeudet poistuu automaattisesti työsuhteen päätyttyä, lisäoikeudet eivät • Levyalueet eivät tule automaattisesti, haetaan toistaiseksi vanhalla tavalla • Esimiehen hyväksyntä tarvitaan • Esimiehille lomake Plussassa, henkilöstölle löytyy intrasta lomake • Toimittajan kanssa haetaan ratkaisua, jotta levyalueet voi jatkossa anoa Plussan kautta • Identiteetinhallinta on ollut tuotannossa 2.2.2009 alkaen (tunnus Oracleen) • Automatiikka on päällä tai ei ole -> ei voi pilotoida osalla käyttäjistä

6. AD (verkkotunnus) ja Exchange (sähköposti) liittäminen identiteetinhallintaan – mitä tarkoittaa? • Esimies ilmoittaa tunnuksen uudelle työntekijälle • Käyttäjätunnus: etunimi.sukunimi@hus.fi tai HUS-numero • Salasana: henkilötunnus ilman väliviivaa (kirjain isolla) piste HUS (isolla) • 311276222K.HUS • Salasanaa ei voi enää vaihtaa Plussassa, ainoastaan verkkoon kirjautuessa, josta sama salasana päivittyy myös Plussaan • Vaikka tunnus/ss on sama, Plussaan kirjaudutaan kuitenkin erikseen • Poissaoloautomatiikkaa ei oteta mukaan tässä vaiheessa • Tarkoittaa käytännössä, että kaikilla kenellä on Oraclessa voimassaoleva toimeksianto, on myös tunnukset verkkoon, sähköpostiin ja Plussaan • Vaikka olisi pitkä poissaolo, tunnukset eivät poistu välillä • Tavoitteena saada automatiikka käyttöön syksyllä • Useat muut projektit odottavat AD:n liittämistä identiteetinhallintaan • AD:hen on kytketty jo nyt useita järjestelmiä ja lisää on tulossa • Triplanet • Riskienhallintajärjestelmä • Raportoinnit • Kertakirjautuminen

7. Tuotantoonlähdön suunnitelma • AD:ssä olevat sähköpostisoitteet on tarkastettu vastaamaan Oraclessa olevia, kaikilla AD käyttäjillä on HUS-numero • Kaikkiaan noin 27 000 kpl, korjattiin satoja, selvittämättömiksi jäi 2% • HR:n sähköpostitarkastus räätäli otettu käyttöön AD:tä vastaan • Kun uusi sähköpostiosoite muodostuu, taustalla automaattinen tarkastus, ettei ko osoite ole jo käytössä • Testaukset menossa • Laajamittainen tiedotus tärkeää • To 20.5. – Su 23.5 käyttöönoton valmistelut • Viikonlopun aikana tunnukset luodaan pienissä erissä, alkuun yksitellen, jotta varmistutaan toimivuudesta ja tietojen oikeellisuudesta • Tarvittaessa keskeytetään ja korjataan • Viikonloppuna keskeiset henkilöt Husilla ja toimittajilla (Logica+Oracle+Hp+Fujitsu) päivystävät 24/7 • Su 23.5. illalla lopullinen päätös tuotantokäytön aloituksesta

8. Identiteetinhallinnan hyödyt • Käyttöoikeuksien annon ja poiston automatisointi • Toimintaprosessi tehostuu • Parempi palvelutaso, koska tunnukset/oikeudet saadaan joustavammin ja nopeammin käyttöön • Käyttäjätietojen ylläpito helpottuu • Kustannustehokkuus, manuaalisia työvaiheita jää pois • Parantunut tietoturva • Ajantasainen, helposti raportoitava ja jäljitettävissä oleva tieto käyttöoikeuksista eri järjestelmiin • Tunnuksia ei jää roikkumaan • Roolipohjainen käyttöoikeuksien hallinta • Tunnuksia ei anneta erikseen jokaiseen järjestelmään vaan henkilölle annetaan ”rooli”, joka sisältää oikeudet useampaan järjestelmään • Automatisointi perustuu HUSissa nimikkeeseen ja toimipisteeseen, joista johdetaan tarvittavat tunnukset ja oikeudet (esim. sairaanhoitaja, kp nnnn Meilahden päivystyspoliklinikka)

9. Kiitos mielenkiinnosta!