Arbeidstegninger og leveranseplan
Som en del av forarbeidet til selve innføringen av eADM, vil vi lage en plan og strategi for IAM-arbeidet i samarbeid med dere. Dette arbeidet skal produsere en arbeidstegning, som beskriver brukerkontoflyt, passordflyt, tilgangsstyring, rutiner ifm tiltreden, stillingsendring og fratreden av ansatte og så videre. Utifra arbeidstegningen vil vi så lage en leveranseplan.
Klikk her for å laste ned eksempel på arbeidstegning:
Eksempel - Arbeidstegninger.drawio.pdf
Klikk her for å laste ned eksempel på leveranseplan i GANTT-format:
Eksempel Leveranseplan (GANTT).pdf
Arbeidstegninger
Dette er ment som et eksempel på hvordan arbeidstegninger kan se ut. Som en del av forarbeidet til selve innføringen av IAM-løsningen, vil det utarbeides en plan og strategi for IAM-arbeidet i samarbeid med kommunen. Dette arbeidet skal produsere en arbeidstegning for IAM-systemet, som beskriver brukerkontoflyt, passordflyt, tilgangsstyring, rutiner ifm tiltreden, stillingsendring og fratreden av ansatte og så videre.
Plan for etableringsfasen
Etablering
Dette forslaget til prosjektplan er basert på vår lange erfaring med implementasjon av IAM-løsninger til kommunesektoren i Norge. Planen vil bli tilpasset og ferdigstilt sammen med kunden ifm prosjektplanleggingen i fase 1. Se også risikomatrisen til slutt, med suksessfaktorene vi har identifisert som kritiske for en vellykket prosjektgjennomføring.
Vi anbefaler at nøkkelpersoner fra IKT-avdelingen (gjerne også servicedesk/brukerstøtte), Lønn og personal, digitalisering og ev tjenesteutvikling bør være med i leveransegruppen. Som det fremgår av den vedlagte fremdriftsplanen/ansvarskartet så ønsker vi at en person hos kunden skal være koordinator for prosjektet, med ansvar for oppfølging og fremdrift. I leveranseperioden anbefaler vi statusmøter hver uke.
Trinn 1: Grunnleggende oppsett
I denne trinn 1 implementeres arbeidstegningene som er vedlagt kontrakten. Vi har delt dette trinnet opp i 5 faser, med tre svømmebaner: Blå er for arbeid leverandøren gjør selv, grønn er abeidsøkter som gjøres i felleskap mellom kunde og leverandør, gul svømmebane er for kunden sitt egenarbeid.
I hver fase er det arbeidsøkter sammen med dere, der vi videreutvikler oppsettet sammen. I tillegg anbefaler vi ukentlige statusmøter der vi oppdaterer hverandre på fremdrift. Vi benytter prosjektstyringsverktøyet Trello, men kan også gjennomføre det i kundens foretrukne prosjektstyringsverktøy om ønskelig.
Kartlegging: I denne fasen settes systemene opp og data importeres fra kildesystem. Denne fasen har en arbeidsøkt, der datakvaliteten vurderes og ev rettende tiltak diskuteres. Før fasen kan begynne må kunden gi leverandør de nødvendige tilgangene. Se https://docs.identum.no/sop/tilgang-til-tredjepartsystemer for en beskrivelse av hvilke tilganger som kan være nødvendige og hvordan de skal settes opp.
Grunnoppsett: Her settes de grunnleggende flytene i IAM-løsningen opp. Eksisterende grupper importeres fra AD/EntraID og settes inn i tilgangsstyringssystemer, det settes opp synkroniseringsmaler for brukerdataflyt og et standard sett med meldingsflyter settes opp. Arbeidsøkten i denne fasen fokuserer på filtrering av data (se https://docs.identum.no/eadm/stillingsfilter ) og en gjennomgang av hvilke meldingsflyter som kunden ønsker.
Kundetilpasning: Denne fasen konsentrerer seg om å tilpasse grunnoppsettet. Arbeidsøkten i denne fasen går derfor på tilpasning av dataflytene iht kundens ønsker og behov, oppsett av regler for e-postkontoer og M365-lisenser. I denne fasen må også kunden gå gjennom de valgte meldingsflytene fra forrige fase og tilpasse tekstene.
Kvalitetssikring og driftsetting: Denne fasen åpner med en arbeidsøkt der vi går gjennom oppsettet, produksjonsetting og bestemmer dato. Når leveransegruppen er enig og oppsettet er godkjent for produksjon, vil leverandør driftsette systemet på angitt dato. I denne fasen må kunden kjøre det nødvendige informasjonsarbeidet internt i organisasjonen, blant annet med å informere ledere om endringene. I denne fasen begynner også opplæring i bruk av løsningen. Behovet for og omfang av opplæringen vil avhenge av f.eks hvor mye selvbetjening det legges opp til i løsningene. For sluttbrukere som lærere, ansatte og ledere tilbys det typisk kurs via GLUP-læringsplattformen til Visma Smartskill.
Modning og videreutvikling: Denne fasen er en glidende overgang til Trinn 2. I selve innkjøringsperioden på 30 dager vil vi gå gjennom sjekklister for å verifisere at systemet fungerer som det skal. Vel så viktig er det å få tilbakemeldinger fra ledere, HR, IT og de ansatte selv; tilpasse meldingsflyter og tilgangsstyringsregler iht tilbakemeldingene og finjustere oppsettet.
Trinn 2: Videreutvikling av løsningen
Denne fasen bygger videre på trinn 1, og aktivitetene i denne delen vil være avhengig av behovene som ble kartlagt ila fase 1. Eksempler:
· Automatisk nedgradering av ubrukte lisenser
· Regler for deaktivering av ansatte i permisjon
· Rydding av “Zombiekontoer” i AD/Entra ID
· Behovsprøvd tilgangsstyring, dvs at kun ansatte med konkrete behov får tilgang til fagsystemer/sikker sone
· Håndtering av eksterne brukere, innleide osv
· Digitale arbeidsflyter for onboarding, eksterne ansatte, søknad om tilgang osv
Oppgavene i trinn 2 foreslås gjennomført av ressurspersoner på det enkelte punkt i samarbeid med leverandør (f.eks Arkivar ifm oppsett av integrasjon med sak/arkiv-system), og at det rapporteres tilbake til leveransegruppen.
Se vedlagte fremdriftsplan i GANTT-format for en mer detaljert gjennomgang av punktene i leveransen og hvordan de er avhengig av hverandre. Det er også angitt i skjemaet hvem som er ansvarlig for det enkelte punkt. Fargekode i GANTT-skjemaet er:
· Rød: Arbeid som må utføres av oppvekstavdelingen hos kunden
· Blå: Arbeid som utføres av leverandør
· Grønn: Arbeid som utføres av leverandør og kunde sammen
· Gul: Arbeid som utføres av kunden
Eksempel Leveranseplan (GANTT).pdf
Varighet for leveransen er avhengig av hvor mye ressurser kunden kan stille med. Minimum er typisk 4 uker oppsett + 30 dagers innkjøringsperiode.
Vi har lagt opp til en prosess der systemet rulles ut i flere stadier, istedenfor at all funksjonalitet slås på samtidig. Produksjonsettingen av løsningen vil derfor være produksjonsetting av brukerkontoflyt til AD/EntraID sammen med grunnleggende tilgangsstyring og meldingsflyt. Vi legger opp til at man begynner å sette opp koblingene til de andre målsystemene parallelt med innkjøringsperioden (gitt at kunden har kapasitet, selvsagt!), med påfølgende videreutvikling av tilgangsstyring, arbeidsflyter og mer avansert bruk av IAM-systemet.
Risikomatrise
Risikofaktor | Tiltak | Ansvar | Risikograd |
Manglende eierskap/deltagelse av HR/Lønn i IAM-prosjektet. | Involver HR/Lønn gjennom regelmessige møter fra oppstart; Etablere eierskap ved å tildele ansvar for systemets datastruktur. | Kunde | 3 |
Manglende eierskap/deltagelse av IT i IAM-prosjektet | Sørg for at IT-avdelingen er involvert i valg av teknologi; Arranger workshops for å øke eierskapet og engasjementet. | Kunde | 2 |
Manglende kartlegging av eksisterende/fremtidige IAM-behov i organisasjonen | Utfør en GAP-analyse for å sammenligne dagens og fremtidige behov; Oppdater behov gjentatte ganger under prosjektets gang. | Kunde / Leverandør | 4 |
Manglende avgrensning av prosjektet | Bruk Paretoprinsippet for prosessprioritering; Gjennomfør regelmessige prosjektvurderinger for justeringer. | Kunde / Leverandør | 3 |
Manglende interne ressurser | Utforme en ressursplan for å identifisere nødvendige ressurser i tide; tildel midlertidige ressurser ved behov. | Kunde / Leverandør | 4 |
Manglende kommunikasjon med sluttbrukere | Etabler en kommunikasjonsstrategi inkludert regelmessige oppdateringer; Implementer et brukeravvikssystem for tilbakemeldinger. | Kunde / Leverandør | 4 |
Integrasjon med eksisterende systemer | Kartlegg alle eksisterende systemer og avdekk integrasjonskrav; Test integrasjoner i testmiljøer før live implementering. | Kunde / Leverandør | 4 |
Data sikkerhet og personvern | Utfør risikoanalyser og sikkerhetstester; Implementer strenge tilgangskontrollmekanismer. | Kunde / IT-sikkerhetsteam. | 5 |
Brukermotstand mot endringer | Kommuniser fordelene med det nye systemet tidlig og ofte; Involver brukere i testingen av systemet. | Kunde / Kommunikasjonsavdelingen. | 3 |
Tids- og budsjettoverskridelser | Opprett en detaljert prosjektplan med milepæler; Gjennomfør jevnlige prosjektgjennomganger for å tilpasse tidslinjer og kostnader | Kunde / Koordinator. | 4 |
Etablering av ny FEIDE-katalog
Se appendiks for en gjennomgang av de forskjellige punktene prosess med endring av feidekatalog. En kritisk faktor for å levere dette før skolestart i august 2026 er at de nye feidekatalogene blir godkjent av SIKT. Selv om kommunene allerede har feidekataloger i drift, er ikke det det samme som at det er problemfritt å få nye godkjent. Typisk har SIKT press på kapasiteten sin i juni og august. Det anbefales derfor at prosessen med å sette opp og få godkjent ny feidekatalog settes i gang så raskt som mulig etter tildeling.
Selve byttet av feidekatalog bør skje etter skoleslutt våren 2025 og før skoleopprykk kjøres i skoleadministrativt system. Da kan man teste og gjøre nødvendige tilpasninger mtp eksport til Microsoft School Data Sync, Apple School Manager og itslearning. Selve akseptansetesten kan da komme etter skoleopprykk og før elever og ansatte kommer tilbake fra skoleferien.
Ressursbruk
Vi har estimert ressursforbruk fra vår side i prosjektet. Estimatet dekker det tekniske ifm levering av arbeidstegningene og fremdriftsplanen. Totalt estimerer vi 240 arbeidstimer fra vår side, se prismatrisen. Estimatene er basert på erfaringer fra tidligere gjennomførte IAM-prosjekter, kundens kravspesifikasjon og erfaring med oppsett og drift.
Det er viktig å understreke dette er et estimat og arbeidsmengde kan variere fra prosjekt til prosjekt grunnet faktorer som f.eks datakvalitet, gjennomføringsevne, konfigurasjonskompleksitet, osv. Dersom krav eller omfang til løsningen endrer seg ila leveransen, vil estimat kunne endre seg tilsvarende.
Som minimum anbefaler vi at kunden tildeler nok ressurser til at alle prosjektdeltagere kan delta i ukentlige statusmøter, og at 2-3 personer stiller i hver arbeidsøkt. Arbeidsøktene beregnes til å vare en halv dag hver. I tillegg kommer opplæring og arbeid internt i kommunen med informasjonsarbeid og tilpasning av meldingsflyter, altså alle blokker i fremdriftsplanen i gult og rødt.
Opplæring
Leverandøren tilbyr omfattende opplæring som en integrert del av våre leveranser. Opplæring av administratorer i bruk av løsningen gjennomføres som en del av leveranseprosjektet og innkjøringsperioden, mens opplæring av servicedeskbrukere kjøres som kurspakker. De består av et generelt introduksjons/brukerstøttekurs, som går gjennom de grunnleggende funksjonene i eADM. Etter det er et et kurs for administratorer. Typisk vil det grunnleggende kurset være 2-3 timer, mens administratorkurset vil være ca 4 timer. P Lengden er litt flytende, siden det må tilpasses ambisjonsnivået til kunden og oppsettet.
Leverandør tilbyr også egne kurspakker for administratorer, men vi ønsker å understreke at den beste opplæringen er når administratorene deltar i leveransen, både på de ukentlige statusmøtene i prosjektet og på de forskjellige workshopene. I tillegg anbefales det at administratorer også er med på selve konfigureringen og oppsettet av løsningen, slik at de får den nødvendige klikketreningen som skal til for at det skal sitte i fingrene. Se fremdriftsplanen vedlagt punkt 5.1 for en overordnet skisse av hvordan leveransen gjennomføres og hva som må gjøres ifm oppsett. I innkjøringsperioden skal administratorer jobbe aktivt sammen med leverandør for å justere og optimalisere oppsettet, og dette vil gi meget god erfaring og trening i bruk av systemet.
For ansatte, ledere, lærere og skoleadministratorer, gis det kurs i bruk av eADM og eFeide gjennom Visma Smartskill sin Glup-læringsplattform. Disse kursene og opplæringene er tilgjengelige på norsk, og det finnes også en egen YouTube-kanal med opplæringsvideoer.
All kursing og opplæring gis på norsk.
Dokumentasjon
Generell dokumentasjon om løsningene finnes på https://docs.identum.no/, https://mega.eadm.no/docs/#/ og https://mega.efeide.no/docs/#/ .
Kundespesifikk dokumentasjon overleveres kunde etter at innkjøringsperioden av systemet er gjennomført, og vil være basert på den løpende dokumenteringen som gjøres ifm leveransen. Dette vil inkludere logger fra prosjektstyringsverktøyet og referat fra den enkelte workshop. Grunnsteinen i den kundespesifikke dokumentasjonen er arbeidstegningene, og de skal revideres ifm forvaltningsmøtene slik at både kunde og leverandør har en oppdatert versjon av denne.
Det understrekes også at en kritisk viktig komponent i dokumentasjonen er i selve løsningen. Regelsett, meldingsflyter, synkroniseringsmaler osv har egne felt for beskrivelse, og de er en viktig kilde til informasjon om hvordan systemet er satt opp. Det skal dokumenteres hva regel/meldingsflyten/synkmalen gjør, hvordan den er satt opp og ev endringer skal også fortløpende dokumenteres.
All dokumentasjon er på norsk.