CheckID hos Bufdir: Fra klodset onboarding til kontrolleret, skalerbar adgang
Bufdir – det norske direktorat for børn, unge og familie – er selve kernen i Norges velfærdsstat. De er ansvarlige for statsfinansierede børneværnstjenester, familierådgivning og adoption samt nationalt arbejde med ligestilling, ikke-diskrimination og vold i nære relationer.
Bufdir
Bag denne mission står cirka 8500 medarbejdere hos Bufdir og driftsbureauet Bufetat, som driver institutioner og tjenester for nogle af de mest sårbare børn og familier i landet. Deres identitets- og adgangsprocesser var bygget til en anden æra. Løsningerne var on-prem, skræddersyede og smertefuldt manuelle. HR og IT brugte meget tid på de manuelle processer, og resultatet var frustration blandt både ledere og nye medarbejdere. Derudover var revisionerne forvirrende og kaotiske.
Gennem samarbejde med Fortytwo pensionerede Bufdir sin aldrende "Mine Medarbejdere"-opsætning og overgik til en ny adgangsmodel bygget på CheckID og "Leader Portal".
Forskellen var umiddelbar: onboardingen af nye medarbejdere og midlertidige medarbejdere blev renere og mere sikker; manuelle rutiner blev luget ud, og organisationen havde endelig et grundlag for korrekte adgangskontrol og en klar køreplan for adgangskodefri godkendelse.
I reelle tal betyder dette:
Omkring 8500 personer i hele Norge starter nu en guidet og sikker onboardingproces.
Adgangsrevisioner henter ikke længere information fra et halvt dusin kilder. De er mere strukturerede og mere pålidelige.
Alle brugere blev flyttet uden at miste adgang eller få tilladelser, de ikke burde have.
Kundebaggrund: Forretningskritisk, kompleks virkelighed
Bufdir er det norske direktorat for børn, unge og familie, et nationalt ekspertorgan under Ministeriet for børn og familie.
Bufdir har nationalt ansvar for børnebeskyttelse, familierådgivning, adoption, ligestilling og ikke-diskriminationsarbejde, der påvirker nogle af de mest sårbare mennesker i landet.
Missionen lyder simpel, men den daglige virkelighed er alt andet end simpel: at sikre, at børn og unge i vanskelige situationer får den støtte, beskyttelse og stabilitet, de har brug for.
Gennem sit driftsorgan, Bufetat, er Bufdir ansvarlig for at drive statslige børneværnsinstitutioner, plejefamilier og familierådgivningscentre på tværs af fem regioner. Med andre ord er organisationen spredt over hele landet og har mange frontlinjestillinger med hyppig udskiftning. Nye medarbejdere kommer til, vikarer udfylder huller, og andre flytter.
I et sådant miljø er identitet og adgang ikke blot IT-mekanismer, det er det, der bestemmer, hvem der kan åbne en sagsmappe, registrere noget vigtigt i et barns historie eller se følsomme oplysninger om en familie. Og lige så vigtigt, hvem der ikke kan.
Før: Manuelt arbejde, svag kontrol og et system, der for længst havde overskredet sin bedst før-dato
Da Tine Johannessen Merkesvik startede som Senior Advisor og IAM Lead hos Bufdir, var situationen klar: Bufdir var vokset ud af sine gamle værktøjer.
"Der var så meget manuelt arbejde, og vi havde næsten accepteret, at onboarding bare skulle være arbejdskrævende. Men det satte sikkerheden og brugerne i fare, og så måtte der gøres noget ved det."
Den traditionelle "Mine Medarbejdere"-løsning kørte lokalt og var blevet kraftigt tilpasset gennem årene. Det, der startede som en billig løsning, var blevet til et virvar af undtagelser og manuelle procedurer. Ledere og HR-medarbejdere flyttede brugerdata gennem et sagsstyringssystem med flere øjne på følsomme oplysninger, end nogen var trygge ved. Adgangskoder gik ofte gennem flere hænder, før de nåede den person, der rent faktisk skulle bruge dem.
For IT betød det:
For virksomheden var konsekvenserne lette at se.
Nye medarbejdere mødte ofte op på deres første dag uden den adgang, de havde brug for. Ledere brugte timevis på manuelt at godkende, videresende adgangskoder og lede efter information. Det var tydeligt, at sikkerhed og privatliv ikke var, hvor de skulle være.
"Vi arbejdede hårdt for at holde noget i live, som burde have været erstattet for længe siden"
Fortytwos mission: Reparer hoveddøren uden at forsinke missionen
Bufdir ledte ikke efter en pænere loginside. De havde brug for en helt ny måde at håndtere onboarding og adgang på, en måde der kunne overleve realiteterne i en landsdækkende organisation med konstant udskiftning og snesevis af lokationer.
Kravene var klare nok:
offentligt arbejde, især omkring private enheder og arbejdsret.
Bufdir havde ikke råd til nedetid i migreringsprocessen fra det gamle til det nye system. Institutionerne skulle forblive åbne, folk skulle udføre deres arbejde, og servicedesken måtte ikke blive begravet i en bølge af forvirring i det øjeblik, kontakten blev slukket, og det nye system blev implementeret.
Fortytwo kom ind med dybdegående viden om identitet og EntraID og designede et system, der fungerede i Bufdirs virkelige verden – ikke kun på papiret.
De opbyggede arbejdsgangen, forbandt systemerne og hjalp Bufdirs medarbejdere med at håndtere både de tekniske og organisatoriske ændringer.
CheckID som et onboarding- og recovery-flow
Nye medarbejdere bliver onboardet med CheckID på deres første arbejdsdag. Via ID-gaten og en simpel, guidet opsætning opretter de adgang på deres egen enhed, før de logger ind på en pc på arbejdet. Og hvis noget går galt senere, vender de tilbage til det samme flow for at nulstille deres adgangskode i stedet for at ringe til servicedesken.
Administrationsportalen som registreringssystem for adgang
"Mine medarbejdere" blev erstattet af "Lederportalen". Ledere sender ikke længere e-mails eller er afhængige af sagssystemer for adgang; de anmoder om og godkender rettigheder i portalen. Den samme portal forsyner downstream-systemer og fungerer som et referencepunkt for at bestemme, hvem der ser hvad.
Én organisationsstruktur, én sandhed
I stedet for at hvert centralt system skulle have sin egen version af organisationsdiagrammet, blev Fortytwo og Bufdir enige om en styrende regel: nye systemer skal modtage organisationsdata fra "Leader Portal", som igen henter sine oplysninger fra SAP. Dette gør tværfaglig hjælp og midlertidige roller håndterbare og transparente.
Sikkerhed uden drama
Private mobilnumre håndteres, som de burde: Låst ned som begrænsede sikkerhedsattributter, kun synlige for dem, der virkelig har brug for adgang, og udelukkende brugt til godkendelse. Og for medarbejdere, der ikke kan – eller ikke bør – bruge deres personlige telefoner, er der muligheder, der holder sikkerheden intakt uden at skabe barrierer.
Ulemperne: Version 1, Wi-Fi og det virkelige liv
Dette er ikke en historie om, at "alt fungerede perfekt fra dag ét". Den første version af CheckID klarede opgaven, men installationsguiden føltes mere besværlig end den behøvede at være, og medarbejderne farede vild, da processen hoppede til Microsoft. Så kom overraskelsen, som ingen havde forventet: Wi-Fi. Adgangskoder oprettet via CheckID matchede ikke, hvad den lokale AD forventede første gang nogen forsøgte at logge ind på lokationen.
Da Fortytwo-teamet opdagede mønsteret, rettede de rækkefølgen af operationerne, opdaterede vejledningen og sørgede for, at CheckID V2 kom med et mere jævnt flow og en klarere opdeling mellem onboarding af nye medarbejdere og nulstilling af adgangskoder.
Projektet afdækkede også noget mere subtilt på Bufdirs side: kommunikationshuller mellem interne IT-teams og servicedesken. Disse skulle håndteres lige så systematisk som selve identitetsflowet.
Onboarding-oplevelsen, der engang var kaotisk og manuel, kører nu på en forudsigelig og sikker måde.
Nye medarbejdere møder op med fungerende adgang. Ledere sender ikke længere adgangskoder via e-mail eller sagssystemer. Servicedesken modtager færre "Jeg kan ikke logge ind"-beskeder og har mere tid til at løse reelle problemer.
Og adgangsrevisioner sker i "Leader Portal" baseret på reelle organisationsdata i stedet for fra et kludetæppe af kilder.
I reelle tal betyder dette:
Omkring 8500 personer i hele Norge gennemgår en guidet og sikker onboardingproces.
Adgangsrevisioner består ikke længere af tilfældige stikprøver fra et halvt dusin kilder – de er mere strukturerede og mere pålidelige.
Alle brugere blev flyttet uden at miste adgang eller få tilladelser, de ikke burde have.
Hvorfor dette er vigtigere hos Bufdir end på de fleste steder
Bufdir og Bufetat arbejder med børn og familier i krise – sager, der involverer vold, omsorgssvigt, risiko og nødberedskab. I den verden er identitet og adgang ikke administrative detaljer; de er en del af at beskytte de mennesker, der er afhængige af disse tjenester.
At vide præcis, hvem der tilgik hvad, hvornår og af hvilken grund, er ikke bureaukrati – det er beskyttelse.
Ved at standardisere adgang, stramme godkendelse og gøre onboarding mere problemfri, giver Bufdir frontlinjepersonalet frihed til at fokusere på børn, ikke legitimationsoplysninger.
Tre ting gjorde forskellen:
Dybdegående ekspertise inden for Microsoft-identitet
Fortytwos ledende ingeniører arbejdede hurtigt, byggede rent og kendte Entra og CheckID ud og ind.
Arkitektur med
disciplin
"Én portal, én organisationsstruktur, én kilde til sandhed" gik fra en idé til en regel, som alle følger.
Kompetenceoverførsel, ikke afhængighed
Gennem hele projektet trænede og supporterede Fortytwo Bufdirs IAM-team, så de selv kunne betjene, forbedre og fejlfinde løsningen.
Hvad sker der så?
Den nye identitetsrygrad giver Bufdir plads til at fortsætte sin udvikling. I løbet af de næste par år er fokus klart:
Kort sagt:
Hvis et system har brug for identitet eller adgang, skal det passe til modellen.
Ingen flere særlige tilfælde eller tilpasninger.
Der er ingen vej tilbage til den tidligere løsning.
Føles din onboarding som Bufdirs "før"?
Fortytwo hjælper organisationer med at bygge identitetsplatforme, der fungerer i praksis: sikre, skalerbare og klar til de mennesker, der bruger dem hver dag.
Tal med os!
Kontakt os venligst, hvis du er interesseret eller har spørgsmål.
Vi er altid klar til et møde.
Dominique Cid-Strand
Direktøridentitet og adgang