Udarbejdelse af jobfunktionsroller

Relaterede dokumenter
Vejledning til udarbejdelse af jobfunktionsroller og tilknytning til brugersystemroller

SPOR 2 ADGANGSSTYRING. Netværksdage Støttesystemer 11. og 12. marts 2015

NemRolle. KOMBIT adgangsstyring med sikkerhed og overblik. Beskrivelse af funktioner og anvendelse

Overblik over roller og kompetencer i forhold til Støttesystemerne

Administrationsmodul, Adgangsstyring for systemer og Adgangsstyring for brugere

SPOR 1: ADGANGSSTYRING

STS NETVÆRKSDAGE ADGANGSSTYRING. Brian Storm Graversen April 2016

Generelt om støttesystemerne

Det kommunale systemlandskab

Version 1.0. Vilkår for brug af Støttesystemet Adgangsstyring

Støttesystemerne. Det er tid til

Introduktion til Klassifikation

Introduktion til Støttesystem Organisation

SPOR 2: STØTTESYSTEMER

NETVÆRKSDAGE MARTS Michel Sassene

Bilag 2. Vilkår for anvendelse af sikkerhedsmodellen i den fælleskommunale Rammearkitektur Version 2.0

Adgangsstyring er en forudsætning for at benytte en i den fælleskommunale infrastruktur, da brugere og systemer ellers ikke vil få adgang.

Oplæg om Rollekataloget i praksis v / Hanne Juul-Naber. 30. maj 2018

Introduktion til Støttesystem Ydelsesindeks

OS2 Rollekatalog i Horsens Kommune. Tanker om ibrugtagning

Dette dokument beskriver kort, hvorledes ansatte ved nationale myndigheder får tildelt adgang til BBR 1.8.

SPOR 4. Projektlederens rolle, opgaver og estimering. København 11. marts og Horsens 12. marts 2015

Introduktion til Støttesystem Sags- og Dokumentindeks

SPOR 7: IBRUGTAGNING OG ANVENDELSE

Støttesystemet Klassifikation. Klassifikation. Et af de otte Støttesystemer

Baggrundsbeskrivelse for installation af føderation i partnerorganisationer til Danmarks Miljøportal. Baggrund. 1. Hvad er føderation

OS2rollekatalog Det tekniske fundament og dets muligheder

STØTTESYSTEMER. STS Organisering i kommunerne. V/ Peter Hansen implementeringskonsulent på STS

Kravspecification IdP løsning

Bilag 2A Beskrivelse af sikkerhedsmodellen i Rammearkitekturen

Scope dokument for Advisservice

STØTTESYSTEMET KLASSIFIKATION

ADGANGSSTYRING. 26. Februar 2019

Fælleskommunal infrastruktur - SAPA-seminar, marts Michel Sassene, KOMBIT

Vejledning i tildeling af rettigheder i NemLogin til STS Administrationsmodulet

Opgaveoverblik i forbindelse med ibrugtagning af de fælleskommunale Støttesystemer

KLASSIFIKATION ET AF DE OTTE STØTTESYSTEMER. Version 2.0

SP Ydelseskatalog. Version 1.0. KOMBIT A/S Halfdansgade København S Tlf CVR Side 1/17

Indledning Dokumentet indeholder et oplæg til fastlæggelse af scope for realisering af forretningsservicen Partskontakt.

Sags- og Dokumentindeks og Ydelsesindeks

STØTTESYSTEMERNE - FRA TANKE TIL HANDLING. Kenneth Møller Johansen Peter Hansen Martin Scheil Corneliussen

Socialt Frikort Brugervejledning for Sagsbehandlere

Guide til integration med NemLog-in / Brugeradministration

OS2rollekatalog Det tekniske fundament og dets muligheder

STS ORGANISATION. 26. februar 2019

KOMBITS UDMØNTNING AF RAMMEARKITEKTUREN. V/ Chefkonsulent Morten Hass

Lokal implementering af Identity Provider

SNITFLADER TIL INDEKSER. Præsentation af de fælleskommunale støttesystemernes snitflader til indekser

DECEMBER Vejledning til kommunens snitfladestrategi

OS2autoproces. Vejledning til implementering

Brugervejledning til Administrationsmodulet for leverandører

OS2Opgavefordeler. Workshop, KL-Huset,

Løsningsbeskrivelse. Den fælleskommunale Serviceplatform

Samlet Fast Ejendom (SFE) Bygning På Fremmed Grund (kommende fra Bygning På Lejet Grund ) Ejerlejlighed

Underbilag 2.24 Kommunernes it-miljø

Introduktion til Støttesystemet Beskedfordeler

Vejledning til brug Administrationsmodulet som leverandør med rollerne Leverandøradministrator og Organisationsadministrator

1. Release- og Versioneringsstrategi for Serviceplatformen og services

Krav og vejledning til kommunernes fremtidige it-udbud

SAPA Kommunenetværk Øst & Vest. KMJ 28. august 2013, Værløse 29. August 2013, Middelfart

Acadre-integration til SAPA

Kommunernes Ydelsessystem: Vejledning til business caseredskab

DEN FÆLLESKOMMUNALE INFRASTRUKTUR. Overblik, indblik og anvendelse

1 Klassifikation-version2.0

Udarbejdelse af strategier for hændelsesorientering

VELKOMMEN Kommunernes data- og infrastrukturdag 2019

Transkript:

Udarbejdelse af jobfunktionsroller En vejledning til kommunernes og ATP s opgaver Version 1.1 marts 2015 KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 1/22

Vejledning til udarbejdelse af jobfunktionsroller og tilknytning til brugersystemroller Indhold 1. Introduktion... 4 1.1 Baggrund... 4 2. Adgangsstyring for brugervendte systemer... 4 2.1 Brugervendte systemer... 5 2.2 Brugersystemroller og dataafgrænsninger... 5 2.3 Typiske brugersystemroller... 6 3. Modellering af jobfunktionsroller... 6 3.1 DUBU* - et brugervendt it-system... 7 3.2 Jobfunktionsrolle... 7 3.3 Udgangspunkt i leverandørens forslag til jobfunktionsroller... 8 3.4 Identifikation af jobfunktionsroller... 9 3.4.1 Indholdet af en jobfunktionsroller afhænger af modellering af brugersystemrollerne... 9 3.4.2 Scenarie 1 adskillelse på jobfunktion... 10 3.4.3 Scenarie 2 adskillelse på emneniveau... 11 3.5 Uddelegering af jobfunktioner til andre kommuner... 13 3.6 Parameterstyrede dataafgrænsninger... 13 4. Kommunale eksempler... 15 4.1 Aalborg Kommune... 16 4.1.1 Nuværende organisation til håndtering af rettighedstildeling... 16 4.1.2 Forventet organisation efter indførsel af Støttesystemerne... 16 4.1.3 Værktøjer i dag og i fremtiden... 16 4.1.4 Forventet håndtering af jobfunktionsroller... 16 4.2 Ballerup Kommune... 16 4.2.1 Nuværende organisation til håndtering af rettighedstildeling... 17 4.2.2 Forventet organisation efter indførsel af Støttesystemerne... 17 4.2.3 Værktøjer i dag og i fremtiden... 18 4.2.4 Forventet håndtering af jobfunktionsroller... 18 4.3 Esbjerg Kommune... 18 4.3.1 Tildeling af systemrettigheder... 18 KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 2/22

4.3.2 Organisatoriske roller... 19 4.3.3 Systemroller... 19 4.3.4 Funktioner... 21 4.3.5 Organisationsændringer... 21 KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 3/22

1. Introduktion Denne vejledning henvender sig til de personer i en kommune, der arbejder med udarbejdelse af jobfunktionsroller, tilknytningen af disse jobfunktionsroller til brugersystemroller, samt angivelse af dataafgrænsningsværdier. I KOMBITs Støttesystemer til adgangsstyring foregår administration og håndhævelse af adgangsrettigheder ud fra brugersystemroller og tilhørende dataafgrænsninger. Denne vejledning beskriver, hvordan man på en hensigtsmæssig måde kan udarbejde sine jobfunktionsroller, knytte dem til brugersystemroller og angive relevante dataafgrænsningsværdier. 1.1 Baggrund KOMBITs Støttesystemer til adgangsstyring håndterer to forskellige scenarier: 1. Når et it-system (et anvendersystem) tilgår en fællekommunal service i et andet it-system (en serviceudbyder) 2. Når en bruger tilgår et it-system (et brugervendt system) Dette dokument forholder sig alene til scenarie 2 - hvor en bruger tilgår et it-system, og formålet er at beskrive de værktøjer og processer, der er tilgængelige for den enkelte kommune, så denne kan styre adgange og rettigheder for egne brugere. I forbindelse med opbygning af jobfunktionsroller, forventes kendskab til de arbejdsopgaver (jobfunktioner) brugerne løfter i forhold til de brugervendte it-systemer jobfunktionsrollerne bør afspejle den virkelighed som kommunens medarbejdere arbejder i til dagligt. Opgaven med at opbygge jobfunktionsroller kan i praksis udføres lokalt i de enkelte forvaltninger, så man sikrer at kendskab til arbejdsgange og opgaver inddrages. Dette dokument er en vejledning i, hvad man bør overveje i den forbindelse. Afsnit 2 beskriver, hvordan brugersystemroller for et brugervendt system er udarbejdet, og er relevant baggrundsviden i forhold til Afsnit 3. Afsnit 3 beskriver, hvordan kommunerne kan definere jobfunktionsroller for brugervendte systemer. Afsnit 4 indeholder eksempler på kommuner der i dag arbejder med roller, og beskriver hvordan de håndterer administrationen af roller, hvilke værktøjer de anvender, og hvordan dette passer ind i de kommende støttesystemer fra KOMBIT. 2. Adgangsstyring for brugervendte systemer Dette afsnit giver en kort opsummering af, hvordan brugersystemroller og dataafgrænsninger fungerer for brugervendte systemer. Læsere, der allerede er bekendt med de fælleskommunale modeller for adgangsstyring kan springe dette afsnit over. KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 4/22

2.1 Brugervendte systemer De fælleskommunale systemer skal anvendes af brugere fra forskellige kommuner, og sikkerhedsmodellen i den fælleskommunale infrastruktur er udviklet netop til at understøtte dette scenarie, dvs. hvor brugere fra forskellige kommuner kan tilgå de fællekommunale systemer, uden at disse fagsystemer nødvendigvis behøves at kende til de brugerdomæner, der findes i de enkelte kommuner. Dette sikres ved at basere adgangsstyring for brugere på en fødereret model, hvor brugere oprettes, tildeles adgang til systemerne og autentificeres lokalt hos de enkelte kommuner. De systemer, som understøttes af adgangsstyring for brugere, kaldes for brugervendte systemer: tilgår Brugervendt system Bruger De fælleskommunale fagsystemer (fx KY, KSD og SAPA) er eksempler på brugervendte systemer 1. Perspektivet er, at kommuner fremadrettet vil stille krav om, at de systemer, de indkøber skal benytte den fælleskommunale model for adgangsstyring. 2.2 Brugersystemroller og dataafgrænsninger Et brugervendt system håndhæver brugeradgang ud fra et antal brugersystemroller med tilhørende dataafgrænsninger. Disse brugersystemroller er udarbejdet i forbindelse med designet af det brugervendte system, og er fælles for alle kommuner, der anvender det brugervendte system. En brugersystemroller beskriver de handlinger en bruger kan udføre i det brugervendte system og er som navnet siger systemspecifikke. En brugersystemrolle kan indeholde en række dataafgrænsninger, som begrænser brugersystemrollens datamæssige virkefelt. Eksempelvis ville en brugersystemrolle Hent sag kunne indeholde en dataafgrænsning på sagstype defineret som et KLE nummer. Brugere kan så tildeles brugersystemrollen Hent sag, og man kan sætte dataafgrænsningsværdien sagstype = 27.10.*. Således autoriseres brugeren til at hente alle sager, der har en sagstype med KLE hovedgruppe 27 og KLE undergruppe 10. Brugere tildeles dog ikke brugersystemroller direkte. For at understøtte en fødereret model for adgangsstyring, samt lette administrationen af brugeradgange, tillader den fælleskommunale adgangsstyring, at hver enkelt kommune kan definere deres egne jobfunktionsroller, hvor den enkelte jobfunktionsrolle indeholder en eller flere 1 KOMBITs Støttesystemer vil også have en brugergrænseflade til administrativt brug og vil ligeledes være eksempler på brugervendte systemer KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 5/22

brugersystemroller. Man kan betragte de to roller som et hierarki, hvor det øverste lag består af forretningsorienterede roller (jobfunktionsroller), og det nederste lag består at tekniske roller (brugersystemroller). 2.3 Typiske brugersystemroller Brugersystemroller defineres i forbindelse med designet af det brugervendte system (af leverandøren), og sættet af brugersystemroller vil være forskellige fra brugervendt system til brugervendt system de vil dog typisk være modelleret efter følgende metode, hvor man under designet af det brugervendte system har gennemført følgende trin 1. Identificér de aktiviteter systemet kan udføre, og gruppér disse i passende grupper, der svarer til de brugersystemroller systemet vil have. 2. For hver gruppe af aktiviteter, identificeres de datamæssige afgrænsninger, der vil være relevante for givne aktiviteter. Dette vil typisk give et første sæt af brugersystemroller, der yderligere kvalitetssikres ved at følgende spørgsmål gennemløbes, hvilket kan resultere i en tilpasning af sættet af brugersystemroller: 1. Hvilke brugere vil have gavn af, at brugersystemrollen eller dataafgrænsningen bliver opsplittet i to eller flere roller eller afgrænsninger? 2. Hvad er konsekvensen af, at en bruger får tildelt adgang, som der ikke umiddelbart har brug for? 3. Kan brugersystemrollen naturligt mappes til en jobfunktionsrolle? 4. Kan en brugersystemrolle udelades? 3. Modellering af jobfunktionsroller Dette afsnit beskriver begrebet jobfunktionsrolle, de arbejdsopgaver der er for den enkelte kommune i forbindelse med udarbejdelsen af jobfunktionsroller, samt de værktøjer der understøtter disse opgaver. Alle eksempler i dette afsnit tager udgangspunkt i et fiktivt brugervendt it-system kaldet DUBU* - DUBU* er løst baseret på det fællesoffentlige it-system Digitalisering Udsatte Børn og Unge, også kaldet DUBU. DUBU* afviger primært fra DUBU ved at anvende Støttesystemet adgangsstyring for brugere som adgangskontrol, og er modelleret med brugersystemroller som beskrevet i næste afsnit. KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 6/22

3.1 DUBU* - et brugervendt it-system DUBU* er et sagsbehandlingssystem til håndtering af sager vedrørende udsatte børn og unge. Alle sager i DUBU* er KLE-opmærket, og i eksemplerne vil vi alene fokusere på sager opmærket med følgende KLE numre KLE Beskrivelse 27.24.* Særlige tilbud til børn og unge 27.30.* Anbringelsessteder, godkendelse, opfølgning og tilsyn 32.18.* Ydelser efter serviceloven DUBU* indeholder samtidig en række brugersystemroller, der definerer hvilke handlinger en bruger kan udføre på sager. For alle brugersystemroller gælder at der kan dataafgrænses på KLE nummer, så en bruger alene kan arbejde med sager opmærket med en bestemt gruppe af KLE numre. Brugersystemrolle List alle sager List egne sager Tildel sag Hent sag Opdater sag Udfør aktivitet i sag Beskrivelse Giver adgang til at se en oversigt over alle åbne sager Giver adgang til at se en oversigt over egne sager Giver adgang til at tildele en sag til en bestemt bruger Giver adgang til at åbne en sag og se detaljer på den Giver adgang til at opdatere dokumentationen af en sag Giver adgang til at udføre aktiviteter i en sag 3.2 Jobfunktionsrolle En jobfunktionsrolle kan opfattes som en naturlig arbejdsopgave i en kommune, og modelleres som en samling af brugersystemroller, hvor de tilhørende dataafgrænsninger er tildelt en dataafgrænsningsværdi. Tanken er, at jobfunktionsrollen indeholder den adgang til systemer, som er nødvendige for at udføre jobfunktionen. Hvis en sagsbehandler i en forvaltning har brug for adgang til 7 forskellige systemer, vil jobfunktionsrollen i praksis kunne indeholde brugersystemroller fra alle disse 7 systemer. Jobfunktionsroller bør udarbejdes af kommunen, så de svarer til de jobfunktioner, den enkelte kommune har. En jobfunktionsrolle kunne eksempelvis svare til en jobfunktion som Borgerservicemedarbejder, Udbetaler for kontanthjælp eller som Sagsbehandler for børn og unge. Jobfunktionsroller giver således kommunerne mulighed for at samle brugersystemroller i nogle overordnede roller, der passer til de jobfunktioner som kommunernes medarbejdere løfter til dagligt. Hermed gøres den daglige administration med at tildele roller til brugere lettere for kommunen, da man ikke skal forholde sig til system-specifikke rollebegreber, men i stedet til hvilke jobfunktioner som ens medarbejdere har. KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 7/22

Idet jobfunktionsroller kan defineres forskelligt for hver enkelt kommune, giver det kommunerne mulighed for at organisere deres arbejde forskelligt, selv om de anvender de samme brugervendte systemer. Jobfunktionsrollers indhold af brugersystemroller administreres af kommunen i det fælleskommunale støttesystem Administrationsmodulet. Selve tildelingen af jobfunktionsroller til brugere foregår derimod lokalt hos kommunen ved brug af dens egen brugeradministrationsløsning. Hermed kan den daglige tildeling og fjernelse af rettigheder foretages af lokale administratorer af kommunens brugerkatalog. Samtidig kan evt. eksisterende automatiske processer bygget ind i brugerkataloget fjerne og/eller tildele rettigheder i forbindelse med ansættelse, jobskifte, afskedigelse eller lignende. Jobfunktionsroller kan indeholde brugersystemroller fra mere end ét brugervendt system og kan således benyttes som et genbrugeligt administrativt håndtag, der kan bruges til at samle komplicerede opsætninger af brugersystemroller med tilhørende dataafgrænsninger. 3.3 Udgangspunkt i leverandørens forslag til jobfunktionsroller I forbindelse med udviklingen af et brugervendt system, og modelleringen af brugersystemroller dertil, bør leverandøren af it-systemet samtidig udarbejde et forslag til jobfunktionsroller, og bindingen mellem de foreslåede jobfunktionsroller og it-systemets brugersystemroller, inkl. forslag til relevante dataafgrænsningsværdier. Dette forslag til jobfunktionsroller vil tage udgangspunkt i de forventede arbejdsgange i systemet, og kan være et godt udgangspunkt for en kommune. Forslaget til jobfunktionsroller tager dog ikke højde for andre it-systemer, og man bør som kommune overveje om de foreslåede roller skal tilpasses, eller evt. slås sammen med eksisterende jobfunktionsroller i den sammenhæng. KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 8/22

Man bør dog være opmærksom på at disse forslag til jobfunktionsroller ikke nødvendigvis vil være dækkende for alle kommuner. Den enkelte kommune har frihed til at designe egne jobfunktionsroller, der passer til de arbejdsopgaver, der er i kommunen. 3.4 Identifikation af jobfunktionsroller I forbindelse med modellering af jobfunktionsroller er der nogle overordnede overvejelser man bør tage sig 1. Ønsker man at jobfunktionsroller går på tværs af it-systemer, dvs. at én jobfunktionsrolle kan indeholde brugersystemroller fra flere it-systemer, eller vil man oprette et sæt af jobfunktionsroller til hvert it-system 2. Ønsker man at jobfunktionsroller afspejler arbejdsgange eller ansættelsesforhold? Det kan være en god ide at have nogle retningslinjer, så de jobfunktionsroller man får udarbejdet følger samme rettesnor, ellers kan det blive svært at administrere jobfunktionsroller over tid. Under alle omstændigheder bør man forsøge at modellere sine jobfunktionsroller så de let kan genbruges på tværs af medarbejdere. Hvis man gør sine jobfunktionsroller for specifikke, risikerer man at nærme sit det scenarie hvor man har en unik jobfunktionsrolle per ansat. 3.4.1 Indholdet af en jobfunktionsroller afhænger af modellering af brugersystemrollerne Brugersystemroller i et it-system vil typisk falde i én af to kategorier 1. Brugersystemrollerne er aktør-baserede, dvs. der er tale om en grovkornet rettighedsmodel, hvor brugersystemrollerne har navne som Indberetter, Sagsbehandler og Godkender. 2. Brugersystemroller er handlings-baserede, dvs. der er tale om en mere finkornet rettighedsmodel, hvor brugersystemrollerne har navne som Hent sag, Opdater sag og Godkend sag. For it-systemer der har aktør-baserede brugersystemroller, vil man ofte kunne lave en 1-1 mapning mellem jobfunktionsroller og brugersystemroller. Dog skal man være opmærksom på at man kan have brug for at inddele yderligere i henhold til relevante dataafgrænsninger det kunne fx være brugersystemrollen Sagsbehandler, der mappes til 3 forskellige jobfunktionsroller Sagsbehandler for område A, Sagsbehandler for område B og Sagsbehandler for område C. For it-systemer der har handlings-baserede brugersystemroller, vil man ofte lave en 1- mange mapning, hvor hver jobfunktionsrolle indeholder flere brugersystemroller. Her vil man ofte have et højere niveau af frihed til at modellere jobfunktionsroller efter egne arbejdsgange. KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 9/22

Nedenfor kommer to eksempler på hvordan man kan vælge at modellere jobfunktionsroller, når it-systemets brugersystemroller er handlings-baserede. 3.4.2 Scenarie 1 adskillelse på jobfunktion Med udgangspunkt i det brugervendte it-system DUBU* beskrevet tidligere i dette afsnit, ønsker vi at udarbejde jobfunktionsroller der kan understøtte følgende arbejdsgang - Sager visiteres af en sagsfordeler, der tildeler sagen til en egentlig sagsbehandler - Sagsbehandlere kan arbejde med tildelte sager, herunder opdatere dokumentation og udføre aktiviteter i sagen. Dog skal aktiviteter i sager vedørende Ydelser efter serviceloven overdrages til en medarbejder i økonomiafdelingen for udførsel af aktivitet i sagen. Dokumentationsopgaven ligger stadig hos sagsbehandleren. - Medarbejdere i økonomiafdelingen skal kunne udføre aktiviteter i sager der vedrører Ydelser efter serviceloven, men skal ikke have anden adgang til DUBU* For at understøtte ovenstående arbejdsgang, udarbejdes 3 jobfunktionsroller, en til hver type af medarbejder Jobfunktionsrolle: Sagsfordeler Brugersystemroller List alle sager Tildel sag Dataafgrænsninger KLE=27.24.* KLE=27.30.* KLE=32.18* Ovenstående brugersystemroller og dataafgrænsninger sikrer at en sagsfordeler kan danne sig et overblik over alle åbne sager, samt tildele dem til sagsbehandlere. Jobfunktionsrolle: Sagsbehandler Brugersystemroller List egne sager Hent sag Opdater sag Dataafgrænsninger KLE=27.24.* KLE=27.30.* KLE=32.18* Udfør aktivitet i sag Tildel sag KLE=27.24.* KLE=27.30.* KLE=32.18.* Ovenstående brugersystemroller og dataafgrænsninger sikrer at en sagsbehandler kan dokumentere og udføre aktiviteter i alle typer af sager, på nær ydelses-sager, hvor de kun kan løfte dokumentationsopgaven. Jobfunktionsrolle: Økonomimedarbejder KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 10/22

Brugersystemroller List egne sager Hent sag Udfør aktivitet i sag Dataafgrænsninger KLE=32.18.* Ovenstående brugersystemroller og dataafgrænsninger sikrer at en økonomimedarbejder kan udføre aktiviteter i ydelses-sager, og ikke andet. Understøttet arbejdsgang 3.4.3 Scenarie 2 adskillelse på emneniveau Med udgangspunkt i det brugervendte it-system DUBU* beskrevet tidligere i dette afsnit, ønsker vi at udarbejde jobfunktionsroller der kan understøtte følgende arbejdsgang - Sager vedrørende ydelser håndteres af økonomiafdelingen - Sager vedrørende anbringelser hånderes af en specialafdeling - Generelle sager vedrørende udsatte børn og unge håndteres af sagsbehandlere For at understøtte ovenstående arbejdsgang, udarbejdes 3 jobfunktionsroller, en til hver type af medarbejder Jobfunktionsrolle: Økonomimedarbejder Brugersystemroller List alle sager Hent sag Opdater sag Udfør aktivitet i sag Dataafgrænsninger KLE=32.18* KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 11/22

Ovenstående brugersystemroller og dataafgrænsning sikrer at en økonomimedarbejder kan fremsøge, dokumentere og udføre aktiviteter i alle sager der har med ydelser at gøre. Jobfunktionsrolle: Sagsbehandler for anbringelser Brugersystemroller List alle sager Hent sag Opdater sag Udfør aktivitet i sag Dataafgrænsninger KLE=27.30.* Ovenstående brugersystemroller og dataafgrænsning sikrer at en sagsbehandler for anbringelser kan fremsøge, dokumentere og udføre aktiviteter i alle sager der har med anbringelser at gøre. Jobfunktionsrolle: Sagsbehandler for særlige tilbud Brugersystemroller List alle sager Hent sag Opdater sag Udfør aktivitet i sag Dataafgrænsninger KLE=27.24.* Ovenstående brugersystemroller og dataafgrænsning sikrer at en sagsbehandler for særlige tilbud kan fremsøge, dokumentere og udføre aktiviteter i alle sager der har med særlige tilbud at gøre. KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 12/22

Understøttet arbejdsgang 3.5 Uddelegering af jobfunktioner til andre kommuner Som udgangspunkt er der en implicit dataafgrænsning på alle roller til brugervendte systemer, der sikrer, at en kommunens medarbejdere alene kan se og arbejde med data der tilhører denne kommune. Hvis Kommune A har brug for at uddelegere adgang, så Kommune B s medarbejdere kan få adgang til Kommune A s data, så håndteres dette ved at uddelegere en jobfunktionsrolle. Kommune A opretter jobfunktionsrollen som normalt, og der angives hvilke brugersystemroller samt dataafgrænsningsværdier rollen indeholder, hvorefter det angives, at denne jobfunktionsrolle er uddelegeret til Kommune B. Herefter kan Kommune B tildele jobfunktionsrollen til sine egne medarbejdere. Når en medarbejder fra Kommune B, der har den uddelegerede jobfunktionsrolle tildelt, logger på det brugervendte system, får medarbejderen adgang til at arbejde med de data som normalt kun er tilgængelige for Kommune A dvs. medarbejderen fra Kommune B arbejder på vegne af Kommune A. 3.6 Parameterstyrede dataafgrænsninger I scenarie 2 ovenfor definerede vi 3 forskellige jobfunktionsroller, der indeholdte de samme brugersystemroller men havde forskellige dataafgrænsningsværdier (forskellige KLE numre). KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 13/22

Når man har en situation hvor man har flere jobfunktionsroller, der kun afviger på dataafgrænsningsværdierne, er det muligt at oprette én enkelt jobfunktionsrolle, og så lade dataafgrænsningsværdierne være parameterstyrede. I ovenstående eksempel vil vi nøjes med at oprette én jobfunktionsrolle ved navn Sagsbehandler Jobfunktionsrolle: Sagsbehandler Brugersystemroller List alle sager Hent sag Opdater sag Udfør aktivitet i sag Dataafgrænsninger KLE=<parameterstyret> Ovenstående brugersystemroller og parameterstyret dataafgrænsning sikrer at en sagsbehandler tildelt jobfunktionsrollen kan arbejde med sager der er opmærket med den eller de KLE numre som angives som en parameter i forbindelse med logon til DUBU*. Ovenstående jobfunktionsrolle kan tildeles både sagsbehandlere for særlige tilbud, sagsbehandlere for anbringelser og medarbejdere i økonomiafdelingen der håndterer sagsbehandling af ydelsessager. Administrationen af hvilke KLE numre som en medarbejder får tildelt adgang til håndteres i kommunens eget brugerkatalog. Når en medarbejder med denne jobfunktionsrolle foretager et login til DUBU* sikrer støttesystemet Adgangsstyring for brugere, sammen med kommunens egen Identity Provider (der laver opslag i brugerkataloget), at værdien udfyldes med den eller de KLE numre som medarbejderen er blevet tildelt adgang til. Hermed kan man nøjes med et mindre antal jobfunktionsroller, og genbruge dem på tværs af emneområder. KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 14/22

Ovenstående diagram viser et normalt login-flow, hvor punkt 4 vil lave et yderligere opslag i brugerkataloget i forbindelse med parameterstyrede dataafgrænsningsværdier. 1. En sagsbehandler ønsker at logge på DUBU* 2. DUBU* sender sagsbehandleren videre til støttesystemet Adgangsstyring for brugere, der håndterer login for brugere i DUBU* 3. Støttesystemet Adgangsstyring for brugere identificerer hvilken kommune som sagsbehandleren kommer fra, og sender sagsbehandleren videre til kommunens lokale Identity Provider 4. Kommunens lokale Identity Provider vil, efter at have bedt sagsbehandleren om at logge på, foretage opslag i det kommunale brugerkatalog, for at hente de jobfunktionsroller som sagsbehandleren er tildelt. Hvis disse jobfunktionsroller indeholder parameterstyrede dataafgrænsningsværdier, hentes de konkrete værdier for denne sagsbehandler. Jobfunktionsroller og dataafgrænsningsværdier sendes tilbage gennem støttesystemet Adgangsstyring for brugere, der veksler disse til brugersystemroller som DUBU* kan adgangsstyre efter. 4. Kommunale eksempler Følgende kapitel indeholder eksempler på hvordan udvalgte kommuner arbejder med roller i dag, med fokus på de arbejdsgange, processer og it-systemer der anvendes i de respektive kommuner. Kapitlet udvides løbende med eksempler fra kommuner, efterhånden som KOMBIT modtager sådanne. KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 15/22

Der er udarbejdet et spørgeskema til opsamling af input fra kommuner, som nogle af eksemplerne nedenfor er baseret på. 4.1 Aalborg Kommune Dette afsnit er baseret på et spørgeskema udfyldt af Jesper Kondrup Christensen fra Aalborg Kommune. 4.1.1 Nuværende organisation til håndtering af rettighedstildeling I Aalborg arbejder vi med rollebaseret adgang til KMD systemerne KMD Sag, KMD Aktiv og KMD Sygedagpenge via KSP/CICS. Endvidere tildeles rettigheder i AD baseret på AD grupper. Vi her et eget udviklet Identity Management (IdM) system, der anvendes til administration af rettigheder, så indberetningen kun sker ét sted. Vi har netop taget Silkeborg Data (SD) og Prisme i brug. Rettighederne til SD sker i SD og Prisme rettigheder sker via AD. Vores IdM system er ved at blive tilrettet, så det også understøtter SD. Rettighedstildelingen rekvireres decentralt og udføres centralt. Nævnte IdM system understøtter denne rekvisitionsmodel. 4.1.2 Forventet organisation efter indførsel af Støttesystemerne Støttesystemet Adgangsstyring for brugere, vil blot være en mere komponent, der skal administreres via vores IdM system. På sigt forventer vi at kunne fjerne KSP/CICS og at SD bliver integreret med støttesystemerne, så vi kun har støttesystemet Adgangsstyring for brugere og AD tilbage, hvorved administrationen forenkles. 4.1.3 Værktøjer i dag og i fremtiden Vi anvender et eget udviklet IdM system. Vi har tidligere undersøgt markedet for standardsystemer til dette formål, men har vurderet, at det vil være billigere og mere fleksibelt selv at udvikle systemet. Vi er fremover åben for at ændre denne beslutning. 4.1.4 Forventet håndtering af jobfunktionsroller Vi har igangsat et arbejde, der skal afdække om vi kan anvende de nuværende brugersystemroller eller om det vil være mere hensigtsmæssigt at udarbejde et nyt jobfunktionsrolle katalog, på baggrund af det forslag, som leverandørerne af KY, KSD og SAPA kommer med. Formålet med et nyt katalog vil være, at det i højere grad afspejler arbejdsgangene i forretningen. 4.2 Ballerup Kommune Dette afsnit er baseret på et spørgeskema udfyldt af Niels Erik Nordbjerg fra Ballerup Kommune. KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 16/22

4.2.1 Nuværende organisation til håndtering af rettighedstildeling Vi arbejder allerede med rollebaseret adgang. Vi anvende Omada IdM MS Forefront. Den er integreret til Silkeborg Data (SD) løn, og henter derfra deltaudtræk hver 4. time via SD s webservice. En ny medarbejder bliver automatisk oprettet i AD, får Home-dir, mailkonto, placeres i organisationen. Organistionstilknytning kommer fra APOS, hvor løn-org og adm-org er relateret til hinanden. IdM trækker de 2 organisationer fra APOS hver nat. Yderligere IT roller varetages af ca. 70 decentrale IT-tildelere, der hver har et antal organisatoriske enheder som deres ansvarsområde. Adgang til alle andre IT systemer angives af IT-tildeleren i IdM brugergrænsefladen, som er filtreret til hver enkelt IT-tildeler. Disse angiver også telefonnumre på de ansatte. Alle medarbejdere oprettes automatisk i APOS inkl. evt. lederrolle, kontaktdata, teamtilknytninger. APOS udstiller alle data i etlfbogen, som er en del af APOS UI suite. Alt fungerer sådan som det er tænkt. Vi vedligeholder ikke data i AD det styres alt sammen fra IdM. Vi holder en meget simpel administrativ organisation i AD et med ca. 70 organisatoriske enheder. I APOS har vi den fulde organisation med ca. 350 organisatoriske enheder. Da vi holder det så simpelt vi kan i AD skal vi sjældent lave organisatoriske ændringer i AD. Allerhelst ville vi helt undgå organisation i AD, men med vores nuværende systemportefølje lader det sig ikke gøre. Denne meget systematiserede og automatiserede tilgang til brugeradministration sikrer, at vi ikke har overflødige eller forældede konti i AD. Vi har ca. 50% af de ansatte i AD. De øvrige 50% forbereder vi at give adgang til interne ressourcer via en Identity Provider løsning, som vi sætter i udbud i Q2 2015 i samarbejde med vore IT-forsyningspartnere Furesø og Egedal kommuner. I Omada IdM har vi haft udfordringer med ansatte med flere ansættelser, hvor ansættelsen og personen hidtil har været samme entitet/objekt. Vi adskiller nu dette, så det kommer i overensstemmelse med organisationsstandarden, hvor en person har sit eget objekt og kan være aktør på et engagement / (ansættelse). 4.2.2 Forventet organisation efter indførsel af Støttesystemerne Da APOS i forvejen er rammearkitektur kompatibel, så forventer vi at anvende APOS som master ift. støttesystemerne Organisation og Klassifikation. APOS udstiller data til OMADA IdM, som igen udstiller data via et godt udbygget REST baseret web API. Vi påtænker at vores kommende føderationsløsning (Identity Provider) vil trække data dels fra AD (brugernavn, password) og dels fra IdM (organisatorisk tilhørsforhold, organisatorisk rolle), som så samles som claims i en OIOSAML baseret token til støttesystemet Adgangsstyring for brugere. KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 17/22

4.2.3 Værktøjer i dag og i fremtiden Vi mener at de værktøjer vi anvender i dag vil være tilstrækkelige til at kunne honorere de krav KOMBIT rammearkitekturen vil stille. Naturligvis suppleret med den føderationsløsning vi er ved at etablere. 4.2.4 Forventet håndtering af jobfunktionsroller Vi forventer at kunne anvende vore egne data i vid udstrækning ift. KOMBITs jobfunktionsroller, således at vi måske kan nøjes med et mindre antal håndholdte jobfunktionsroller. 4.3 Esbjerg Kommune Dette afsnit beskriver Esbjerg Kommunes anvendelse af roller i dag, og de systemer som understøtter deres organisation i at anvende roller på en praktisk måde. Afsnittet er udarbejdet af Irene Sandager fra Esbjerg Kommune. 4.3.1 Tildeling af systemrettigheder I Esbjerg har vi et identity management system (IdM), nedenfor følger en kort beskrivelse med eksempler på hvorledes Esbjerg Kommune styrer rettigheder i vores IdM system. Der er ca. 400 decentralt placerede indberettere, der har mulighed for at indberette i IdM systemet. Dog har den enkelte indberetter kun rettighed inden for udvalgte organisationsenheder. Inden for de organisationsenheder kan de oprette, ændre og nedlægge aktører, samt tildele og fratræde rettigheder til den enkelte aktør til forskellige systemer. Hvis der bliver indberettet, at en aktør skifter afdeling eller fratræder, så bliver rettighederne automatisk fjernet. Vi har alle medarbejdere (aktører), der er ansat ved Esbjerg Kommune registeret i IdM systemet. IdM systemet håndterer også indberetningen til Lønservice i f.t. lønoplysninger vedr. den enkelte medarbejder, hvilket langt hen af vejen sikrer kvaliteten af data, og korrekte oplysninger om fratrædelser. Ikke alle vores systemer håndteres igennem IdM systemet. Men det er en løbende proces, hvor der hele tiden bliver koblet nye systemer på IdM. IdM systemet sørger bl.a. automatisk for at holde Active Directory (AD) opdateret med brugerobjekterne og tildeling af gruppemedlemskaberne. En stor del af det, som indberettes, bliver udført automatisk. Dog er der stadigvæk manuelle processer, hvor IdM i stedet sender en mail til en administrator, som så udfører den givne handling. Det er hele tiden en afvejning af økonomi, ønske fra systemejeren, samt hvad der er muligt i f.t. det enkelte system. KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 18/22

Når et nyt system skal kobles på IdM, så er en medarbejder fra Digitalisering & It i dialog med fagområdet og systemejeren for det pågældende system, for at få modelleret de roller der skal kunne tildeles. Derved får vi samlet viden om både fagområdet og systemet, der skal tilkobles, samt hvad der er muligt i IdM systemet og AD, og hvorledes andre fagsystemer anvender roller. IdM viser i brugergrænsefladen et sæt af roller, som så oversættes i IdM i den videre behandling til mere tekniske roller, som indberetteren ikke ser eller har kendskab til. Vi arbejder med 3 sæt af rolletyper, organisatoriske roller, systemroller og funktioner 4.3.2 Organisatoriske roller Aktøren får i f.t. sit organisatoriske tilhørsforhold automatisk tildelt et sæt af roller, eksempelvis adgang til office-programmer, intranet, drev, og eventuelle systemer som hele afdelingen bruger. Eksempelvis medarbejdernet fra Silkeborg Data, hvor der ikke skal foretages et valg. 4.3.3 Systemroller Indberetteren tildeler systemroller til aktøren på systemfanen, som vedkommende skal have i det enkelte fagsystem. Se figur 1. Aktøren får både installeret systemet samt rettighed til systemet. Figur 1 KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 19/22

Der er nogle systemer, hvor der kun findes en rolle. Så indberetteren skal kun vælge systemet. Andre systemer har også mulighed for valg af flere systemspecifikke roller. Se eksempler på: Acadre (ESDH) i figur 2 Silkeborg Data (Løn) i figur 3 KMD Care (omsorg) i figur 4 Figur 2 Figur 3 KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 20/22

Figur 4 4.3.4 Funktioner Begrebet dækker pt. kun over en funktion og det er lederfunktionen, se figur 5, men det er forberedt til at kunne indeholde flere funktioner. Funktionen leder gør det muligt at vedligehold oplysninger om lederhierakiet og hvem der er leder af hvilke afdelinger. 4.3.5 Organisationsændringer Figur 5 Ved organisationsændringer har vi en manuel proces, der dog er velbeskrevet og involvere mange personer. I vores IdM løsning er der en administrator, som sørger for at oprette nye organisationsenheder og flytte aktørerne til de nye organisationsenheder og der sørger for KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 21/22

at de får tildelt de organisatoriske roller, som de skal have. Der er selvfølgelig mulighed for at masseopdatere aktørerne. KOMBIT A/S Halfdansgade 8 2300 København S Tlf 3334 9400 www.kombit.dk kombit@kombit.dk CVR 19 43 50 75 Side 22/22

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback