Ny modell för användarbehörigheter 2017-12-12 Robert Åhlén Ny modell för användarbehörigheter Referensgruppsmöte

Agenda och praktiskt 09.30 Frukostmacka och kaffe 10.00 Pass 1 Varför användarbehörigheter? Vad är användarbehörigheter i NyA? Hur fungerar det på olika lärosäten idag? UHR:s erfarenheter från Riksrevisionen. 11.30 Lunch 12.15 Pass 2 Hur ser lösningsförslaget ut? Lärosätens erfarenheter från Ladok3 13.30 Fika 13.45 Pass 3 Gränssnittsdiskussioner Vilka grundladdade roller behövs i NyA-webben och klienten? 15.00 Slut!

Varför har vi användarbehörigheter? Personuppgiftslagen Datainspektionens rekommendationer

Varför användarbehörigheter? Inte vem som helst ska få peta på vad som helst Måste ha rätt kompetens för att få utföra vissa uppgifter. Vet alla hur man anger ett meritvärde, hur man utför en sammanslagning? Centralt viktiga uppgifter får inte utföras fel/av illvilja: Uppgifter om anmälningsalternativ Anmälningsavgiftens storlek Definition av antagningsomgång Definition av gymnasiekurser Köra och publicera urval Etc. Hindra personuppgiftsläckage Vem som helst får inte ha tillgång till vilka personuppgifter som helst

Varför personuppgiftsskydd? Syftet med personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks vid behandling av personuppgifter Olika sätt att göra detta: Minimera mängden personuppgifter Begränsa åtkomsten till uppgifterna Skydda uppgifterna Låt systemet styra användarna rätt Olika synvinklar att diskutera på andra ställen än det här mötet: Information till registrerade Arbetsrutiner för att minimera otillåten åtkomst – ”varje sökning måste göras för ett berättigat ändamål som har sin grund i verksamheten” Säkerhetsstrategi för NyA, inkl. riskbedömning och kryptering Logg av användning av systemet Säkerhetskopiering Ingen egentlig skillnad mot GDPR

Datainspektionens rekommendationer Datainspektionens skrifter ”E-förvaltning och personuppgiftslagen” ”Säkerhet för personuppgifter” ”Inbyggd integritet” Citat ur skrifterna: ”En grundläggande princip är att anställda inom en myndighet endast bör ha elektronisk tillgång till personuppgifter som de behöver för sitt arbete. Detta gäller även om uppgifterna är offentliga.” ”För att begränsa den elektroniska tillgången ska myndigheten ha ett system för behörighetsstyrning.” ”Myndigheten ska också tekniskt begränsa åtkomstmöjligheterna så mycket som det är faktiskt praktiskt möjligt med hänsyn till den aktuella verksamheten och känsligheten hos personuppgifterna” ”IT-system som hanterar personuppgifter ska redan från början ha stöd för säkerhetsfunktioner” Inte nämnt skyddade personuppgifter

Användarbehörigheter i NyA Nutid och framtid

Vad är användarbehörigheter i NyA? Användarbehörighet: VEM får göra VAD på vilken SAK? Dels inloggning (autentisering) Dels behörighetskontroll (auktorisering) Idag flera olika tekniska och verksamhetsmässiga lösningar för inloggning inom NyA: Lokalt användarnamn och lösenord för Expertklienten Lärosätets användarnamn och lösenord för NyA-webben (dessa kan då inte använda Följ sökandes sidor, t.ex.) Lokalt användarnamn och lösenord för Hubble (ej samma som Expertklienten) Lärosäteskonto eller Antagning.se-konto för sökande Och flera för behörighetskontroll: Hierarkiska roller ”Antagningshandläggare 1-5” i Expertklienten Flytande roller ”Bas, Utdata, etc.” i NyA-webben Inte heller nämnt Användarhandboken, Digitala bedömningshandboken och NyA-sidorna

Problem med dagens lösning Verksamhetsmässigt för få, och fel, roller Både på NyA-webben och i Expertklienten Svårt att administrera och få till behörighetsrollerna på NyA- webben Både för lärosäten och för UHR Uselt gränssnitt för att administrera användare och roller i Expertklienten Vi kan inte ha olika sätt att hantera inloggning och behörighetskontroll när vi bygger ett ”nytt NyA” på webben Tekniskt överkomplicerat Måste förenkla för att komma vidare

Den nya modellen då Inga systemdefinierade roller Teoretiskt full flexibilitet för att fylla lärosätenas behov Fördefinierade roller kommer finnas Lärosäten får bygga egna roller Tekniskt enhetligt och enkelt Lätt att hantera, felsöka och förbättra VEM: Alla användare loggar in via lokalt lärosäte VAD: Alla funktioner i systemet kan teoretiskt delas i olika roller SAK: Går att begränsa till viss institutions utbildningar/data Tillåter viss lokal administration Via eget AD/behörighetssystem Administreras på en ny webbsida Första steget till ”nytt webbaserat NyA”

Hur arbetar ni på lärosätet idag? Runda bords-samtal

Lärosätets användarbehörigheter Vem administrerar vanliga antagningshandläggares användarkonton? Hur resonerar ni kring nivåerna idag? Vem administrerar institutionshandläggares konton? Hur resonerar ni kring rollerna idag? Har ni eget behörighetssystem som det administreras i? Finns det nån policy/riktlinjer/motsvarande nedskrivet? Vilken roll har enhets-, avdelnings-, motsv. chef/er kontra produktionsansvarig/a? Hur sköts föräldraledighet, ändring av arbetsuppgifter, när någon slutar?

Riksrevisionen granskar UHR Gunilla Hammarström berättar

Lite mer detaljerat om lösningsförslaget

Lite begrepp, översiktligt Vi visar inga gränssnitt just nu – här är konceptet: Alla användare loggar in via sitt lärosäteskonto En användare har ”användarbehörigheter” Dels ”behörighetsprofil” VAD får man göra? En ”BP” är en gruppering av vilka funktioner som man kommer åt, vilka åtgärder som man får göra i systemet En behörighetsprofil byggs upp av ”systemaktiviteter” Varje funktion i systemet är en ”systemaktivitet” T.ex. se personuppgifter, registrera utländskt gymnasiebetyg, ta bort meritvärde Dels ”tillåtelsebegränsning” (resursrestriktion, tillåtelseprofil…) På vilken SAK får man göra det? För vilka lärosäten, för vilka institutioner, får besluten fattas Teoretiskt framöver: Vissa anmälningsalternativ, vissa kurser/program

Användare har användarbehörigheter Användar-behörigheter Profilerna består av tillåtna systemaktiviteter, på tillåtna organisatoriska enheter En användarbehörighet består max och minst av en behörighetsprofil och en tillåtelsebegränsning Användare har användarbehörigheter Användar-behörigheter Behörighets-profil Utföra reserv-antagning Sätta planerings- och antagningstal Tillåtelse-begränsning Inst. för teknik, matematik och fysik En användare har ”användarbehörigheter” Dels ”behörighetsprofil” VAD får man göra? En ”BP” är en gruppering av vilka funktioner som man kommer åt, vilka åtgärder som man får göra i systemet En behörighetsprofil byggs upp av ”systemaktiviteter” Varje funktion i systemet är en ”systemaktivitet” T.ex. se personuppgifter, registrera utländskt gymnasiebetyg, ta bort meritvärde Dels ”tillåtelsebegränsning” (resursrestriktion, tillåtelseprofil…) På vilken SAK får man göra det? För vilka lärosäten, för vilka institutioner, får besluten fattas Teoretiskt framöver: Vissa anmälningsalternativ, vissa kurser/program

Lite begrepp, översiktligt Användare får ha flera ”användarbehörigheter”, flera par av behörighetsprofil och tillåtelsebegränsning T.ex. Ta ut sökandelistor (BP) för hela högskolan (TB) men göra reservantagning (BP) för humanistiska institutionen (TB) Handlägga gymnasiebetyg (BP) i VO för alla lärosäten (TB) men vanlig handläggning (BP) endast för sitt eget lärosäte (TB) …med respekt för respektive begränsningar Användaren får då behörighet motsvarande sin totala behörighet… Användare får ha flera användarbehörigheter Användare Användar-behörighet 1 BP ”Göra bedömningar” TB ”Centrum för vattenforskning” Användar-behörighet 2 BP ”Registrera utländska betyg” TB ”Alla lärosäten”

Lite begrepp, översiktligt En användarbehörighet kan skickas med vid inloggning och kan administreras av lokalt IT-system Används troligen för majoriteten av användare Kan kompletteras i särskilt gränssnitt Behörigheter för att handlägga på andra lärosäten samt vissa höga behörigheter kan endast läggas på i administrations- gränssnittet Vissa behörigheter kan endast ges av behörigheter som UHR ska ha Tillbaks till föregående bild – borttag av TB

Utrullningsplan Tekniskt provskott – ny hantering på NyA-webben, cirka våren 2018 NyA-webben byter lösning helt och hållet, cirka senvåren/sommaren 2018 Hubble byter lösning, cirka senvåren/sommaren 2018 Hela klienten, cirka hösten/vintern/våren 2018-19 För sökande, cirka hösten/vintern/våren 2018-19

Erfarenheter från Ladok3 Högskolan i Borås, Malmö högskola Karolinska institutet, Linnéuniversitet

Högskolan i Borås Malmö högskola Karolinska institutet Linnéuniversitet Därför vore det otroligt värdefullt för oss om ni kunde sammanställa ert lärosätes erfarenheter med Ladok3:s användarbehörigheter. Hur går det att arbeta med, hur har införandeinformationen varit, hur har ni tänkt med olika roller, etc.   Det behöver INTE vara en uppsats och det behöver INTE redovisas skriftligt, men det vore bra om ni kunde prata med någon Ladok-kollega och sedan säga något kort om lärosätets erfarenheter.

Lite gränssnittsbilder https://tqv45u.axshare.com/anv_ndare-02.html För att väcka fantasin!

Diskussionsfrågor

Diskussionsfrågor Vilka behörighetsprofiler behöver vi grundladda vid leverans? Befintliga nivåer och funktioner är inte så användbara och används inte heller. Vilka behöver ni? Både expertklienten och NyA-webb Men grundfrågan är egentligen: Vad ska vi låta lärosätena underhålla? Vad ska vi låta UHR underhålla?

Grundidén ser ut så här UHR bygger ”grundprofiler”, lärosäten kopierar dem till sitt eget lärosäte och lägger på dem på sina användare Fördelar: Full frihet för lärosätena att justera och anpassa Nackdelar: Full frihet för lärosätena att justera och anpassa När det då tillkommer systemaktiviteter och UHR uppdaterar sina grundprofiler, förväntas lärosäten göra samma sak eller kopiera över profilerna igen Dubbeladministration, ungefär som med urvalsmodeller: Modellerna är lokala men måste ibland se likadana ut Tillägg/borttag av nationellt beslutade urvalsgrupper (BIEX) kräver att alla gör rätt, var och en för sig Variant: Istället för att kopiera, använda direkt? Fördelar: Fullt genomslag av uppdateringar från UHR Nackdelar: Kan inte justera och anpassa utan att tappa fördelen…

Alternativ idé – som SB-modeller hellre än urvalsmodeller BÅDE fullt genomslag OCH full frihet? En särskild behörighetsmodell består av kravgrupper eller kravgruppsgrupperingar, UHR bygger vissa ”nationella” kravgrupper så att lärosätena ska slippa hålla koll på alla kurser som motsvarar en viss gymnasiekurs

Alternativ idé – som SB-modeller hellre än urvalsmodeller Konceptet ”grupper av systemaktiviteter” som UHR bygger och som lärosäten använder som byggstenar i sina profiler En grupp av systemaktiviteter innehåller ”allt” som behövs för en ganska snävt definierad användarroll, t.ex.: Fatta beslut på sökalternativ Registrera svenska betyg Registrera utländska betyg Styra lokala processer Lärosäten lånar de som de vill använda, och kompletterar med egna justeringar

…som består av grupper av systemaktiviteter från UHR och egna tillägg. Ändrar UHR i gruppen, slår den ändringen igenom, men ändrar inte de egna tilläggen. …som består av grupper av systemaktiviteter från UHR och egna tillägg. Lärosätet sparar en behörighetsprofil… Behörighets- profil Grupp av systemaktivitet: ”Beslut på sökalt” Fatta beslut om SB Fatta beslut om sökspärr Eget tillägg Bygga ärendekö

Tillbaks till grundfrågan Vilka behörighetsprofiler behöver vi grundladda vid leverans? Gäller alltså NyA-webben i första hand Personuppgiftsskyddsfaktorer: Begränsa åtkomsten till uppgifterna Låt systemet styra användarna rätt Underlätta användning genom att inte plottra ner systemet med massor av menyalternativ och funktioner som inte är relevanta

Roll Får se/göra base (Basanvändare) Sök fram person, se personunderlag department (Institutionsanvändare – utdata) Menyvalen Statistik och Listor: * Se och göra Menyvalet: Antagna/Reserver * Se uppgifter department_assessment (Institutionsanvändare – Bedömning) Menyvalet Bedömningar: * Se och göra OBS – base behövs för att kunna se uppgifter om person department_late_admission (Sen anmälan och efterantagning) Menyvalet Administrera uppgifter om utbildningar: * Se och uppdatera följande: Stängt fr.o.m., Antagningstal, Planeringstal, Efterantagningstal department_late_admission_read_only (Sen anmälan och efterantagning – tittbehörighet) Menyvalet Administrera uppgifter om utbildningar: * Se uppgifter reserve_admission (Reservantagning) Menyvalet: Antagna/Reserver * Se och göra uppgifter OBS – base behövs för att kunna se uppgifter om person Menyvalet Administrera uppgifter om utbildningar: * Se och uppdatera följande: Reservantagning avslutad, reservantagning startar tidigast, återbud tillåtet före

Diskussionsfrågor Styra vissa saker på NyA-webben från klienten: Enligt uppgift: Avmarkerar ”tillåt antagningstal” efter visst processteg – ”nu har ni gjort det ni ska, från och med nu är det vi som bestämmer”