Tilgang til tredjepartsystemer
Tilgang til kildesystemer
Identum har ikke behov for permanent brukertilgang til kildesystemer som HRM/lønn/personalsystem, oppvekstadministrative systemer, barnehagesystem, voksenopplæring osv. Tilgang til utdataeksporten fra systemene det gjelder er tilstrekkelig, enten det er via filoverføring eller API. Ved behov og på forespørsel vil vi kunne få midlertidig tilgang ifm feilsøking, opplæring og lignende.
Tilgang til Dataporten/Feide kundeportal
Vi har ikke behov for permanent tilgang til dataporten eller Uninett sin kundeportal. Ved behov og på forespørsel vil vi kunne få midlertidig tilgang.
Tilgang til Azure Active Directory
Dersom våre systemer skal synkronisere brukere, grupper, passord, lisenser, medlemskap og status til AAD vil vi trenge tilgang tilsvarende brukeradministrator i M365 i prosjektperioden. Denne kontoen skal beskyttes med MFA. Kontoen skal stenges når prosjektperioden er over.
Selve kommunikasjonen mellom eADM/eFeide og Azure AD gjøres via en Azure applikasjon, som beskrevet på vår dokumentasjonsportal: https://docs.identum.no/eadm/klargjre-for-integrasjon-mellom-eadm-efeide-og-azu
Tilgang til Google Workspace
Dersom våre systemer skal synkronisere brukere, grupper, passord, OUer, medlemskap og status til Google Workspace vil vi trenge en bruker med tilgang tilsvarende brukeradministrator. Denne kontoen skal beskyttes med MFA. Denne brukeren kan deaktiveres når prosjektperioden er over om ønskelig. I tillegg vil kunden sin globale administrator måtte legge inne tilgangsnøkler til vår API-klient.
Tilgang til lokal Active Directory
Hvor det er nødvendig så installeres det en egen klient i kundens interne nettverk som kommuniserer med skyløsningen via kryptert linje (TLS 1.2 port 443). Klienten er en Windows-basert .Net konsollapplikasjon som blir kjørt lokalt via Task scheduler via en servicebruker. Hvilke rettigheter denne trenger avhenger av om den skal kun stå for dataflyt til vårt servermiljø, drive lokal AD integrasjon og hvilke objekttyper den skal vedlikeholde i lokal AD. Vi anbefaler at servicebruker bare får akkurat de rettighetene som er nødvendig for å utføre de oppgavene den skal.
Vi har lagt opp til at det alltid er klient som initierer kommunikasjon til serverne, det er ikke nødvendig å åpne opp for innkommende kommunikasjon. Alle kunder har sine egne unike autentiseringsnøkler som benyttes av klienten til å kommunisere med skyen.
I prosjektperioden vil prosjektleder og/eller utførende konsulent trenge tilgang til lokal AD, f.eks via VPN eller Teamviewer. Tilgangen skal være beskyttet med MFA. Dette kan være til primær domenekontroller eller (helst!) en dedikert server for eADM som har tilgang til Active directory users and computers, Active directory module for Windows Powershell og Windows Exchange management tools for Powershell. Krav er at server har minimum .Net 4.0 og minimum Powershell 4.0. Brannmur må ha åpning ut på port 443, standard SSL. Fint om dere også sørger for at Notepad++ er installert på serveren.
Selve eADM-klienten er en Windows-basert .Net konsollapplikasjon som blir kjørt lokalt via Task scheduler via en servicebruker. Derfor trenger vi en servicekonto med følgende rettigheter:
Rettighet i AD for å opprette, slette og endre brukere, grupper og OU
Rettighet til å kjøre oppgaver som en batch job (scheduled task)
Lokal full skrive/leserettighet til c:\eADM og undermapper
Eventuelt rettighet til å opprette og sette NTFS rettigheter for hjemmeområder
Eventuelt rettighet til å opprette mailbokser (enable-mailbox og enable-remotemailbox)
Brannmur må tillate utgående oppkoblinger til https://app1.eADM.no/Service.asmx
Når systemet er i drift, skal våre personlige brukerkontoer stenges, alle driftsoppgaver skal utføres av servicebruker. Passordet til servicebruker skal da endres slik at vi ikke har det. Identum har ikke behov for permanent tilgang til kundens miljø uten prosjektperiode, nødvendig vedlikehold eller på forespørsel ifm support, rekonfigurering eller lignende arbeid.