CheckID hos Bufdir: Fra klønete onboarding til kontrollert, skalerbar tilgang
Bufdir – Barne-, ungdoms- og familiedirektoratet, befinner seg i selv kjernen av Norges velferdsstat. De er ansvarlige for statlig finansierte barneverntjenester, familierådgivning og adopsjon, samt nasjonalt arbeid med likestilling, ikke-diskriminering og vold i nære relasjoner.
Bufdir
Bak dette oppdraget står omtrent 8500 ansatte i Bufdir og driftsbyrået Bufetat som driver institusjoner og tjenester for noen av de mest sårbare barna og familiene i landet. Identitets- og tilgangsprosessene deres var bygget for en annen tidsalder. Løsningene var on-prem, skreddersydde og smertefullt manuelle. HR og IT brukte mye tid på de manuelle prosessene, og resultatet var frustrasjon blant både ledere og nyansatte. I tillegg var revisjoner uoversiktlige og kaotiske.
Gjennom samarbeid med Fortytwo, pensjonerte Bufdir dets aldrende «Mine Ansatte»-oppsett og gikk over til en ny tilgangsmodell bygget på CheckID og «Lederportalen».
Forskjellen var umiddelbar: onboardingen av nyansatte og midlertidig ansatte og vikarer ble renere og tryggere; manuelle rutiner ble luket ut, og organisasjonen hadde endelig et grunnlag for skikkelige tilgangsrevisjoner og et klart veikart mot passordløs autentisering.
I reelle tall betyr det dette:
Rundt 8500 personer over hele Norge starter nå en guidet, sikker onboardingprosess.
Tilgangsrevisjoner henter ikke lenger informasjon fra et halvt dusin kilder. De er mer strukturerte og mer pålitelige.
Alle brukere ble flyttet over uten å miste tilgang eller motta tillatelser de ikke burde ha.
Kundebakgrunn: Forretningskritisk, kompleks virkelighet
Bufdir er Barne-, ungdoms- og familiedirektoratet, et nasjonalt ekspertorgan underlagt Barne- og familiedepartementet.
Bufdir har det nasjonale ansvaret for barnevern, familierådgivning, adopsjon, likestilling og ikke-diskriminerings arbeid som berører noen av de mest sårbare menneskene i landet.
Oppdraget høres enkelt ut, men den daglige virkeligheten er alt annet enn enkel: å sørge for at barn og unge i vanskelige situasjoner får den støtten, beskyttelsen og stabiliteten de trenger
Gjennom Bufdir sitt driftsorgan, Bufetat, er Bufdir ansvarlig for å drive statlige barneverninstitusjoner, fosterhjemstjenester og familierådgivningssentre på tvers av fem regioner. Organisasjonen er med andre ord spredt over hele landet, og har mange stillinger i frontlinjen med hyppig utskifting. Nye folk kommer inn, midlertidige ansatte fyller hull, og andre går videre.
I et slikt miljø er ikke identitet og tilgang bare IT-mekanikk, det er det som bestemmer hvem som kan åpne en saksmappe, registrere noe viktig i et barns historie eller se sensitiv informasjon om en familie. Og like viktig: hvem som ikke kan.
Før: Manuelt arbeid, svak kontroll og et system som for lengst hade passert best-før datoen
Da Tine Johannessen Merkesvik startet som Senior Rådgiver og IAM Lead hos Bufdir, var situasjonen tydelig: Bufdir hadde vokst fra de gamle verktøyene sine.
«Det var så mye manuelt arbeid, og vi hadde nesten akseptert at onboarding bare måtte være arbeidsintensivt. Men det satte sikkerheten og brukerne på spill, og da må man gjøre noe med det.»
Den tradisjonelle «Mine Ansatte»-løsningen kjørte lokalt og hadde blitt kraftig tilpasset gjennom årene. Det som startet som en rimelig løsning, hadde blitt et virvar av unntak og manuelle rutiner. Ledere og HR-ansatte flyttet brukerdata gjennom et saksbehandlingssystem med flere øyne på sensitiv informasjon enn noen var komfortable med. Passord gikk gjerne gjennom flere hender før det nådde personen som faktisk skulle bruke det.
For IT betød dette:
For bedriften var konsekvensene enkle å se.
Nye ansatte dukket ofte opp første dag uten den tilgangen de trengte. Ledere brukte timesvis på manuelle godkjenninger, videresending av passord og jakt på informasjon. Det var tydelig at sikkerhet og personvern ikke var der de burde være.
«Vi jobbet hardt for å holde noe i live som burde ha blitt erstattet for lenge siden»
Oppdraget til Fortytwo: Reparer inngangsdøren uten å forsinke oppdraget
Bufdir var ikke ute etter en penere innloggingsside. De trengte en helt ny måte å håndtere onboarding og tilganger på, en som kunne overleve realitetene til en landsdekkende organisasjon med konstant turnover og dusinvis av lokasjoner.
Kravene var tydelige nok:
offentlig arbeid, spesielt rundt private enheter og arbeidsrett.
Bufdir hadde ikke råd til nedetid. i flytteprosessen fra gammelt til nytt system. Institusjoner måtte holde åpent, folk måtte gjøre jobben sin, og servicedesken måtte ikke bli begravet under en bølge av forvirring i det øyeblikket bryteren ble skrudd av og nytt system implementert.
Fortytwo kom inn med dyp kunnskap innen identitet og EntraID, og designet et system som fungerte i Bufdirs virkelige verden – ikke bare på papiret.
De bygde arbeidsflyten, koblet sammen systemene og hjalp Bufdirs folk med å styre gjennom både de tekniske og de organisatoriske endringene.
CheckID som onboarding- og gjenopprettingsflyt
Nye ansatte onboardes ved hjelp av CheckID første arbeidsdag. Via ID porten og et enkelt, veiledet oppsett oppretter de tilgang på egen enhet før de logger seg på en PC på arbeidsplassen. Og hvis noe går galt senere, går de tilbake til samme flyt for å tilbakestille passordet sitt i stedet for å ringe servicedesken.
Lederportalen som registreringssystem for tilgang
«Mine Ansatte» ble erstattet av «Lederportalen». Ledere sender ikke lenger e-post eller er avhengige av sakssystemer for tilgang; de ber om og godkjenner rettigheter inne i portalen. Den samme portalen mater nedstrømssystemer og fungerer som referansepunkt for å bestemme hvem som skal se hva.
Én organisasjonsstruktur, én sannhet
I stedet for at hvert sentralsystem har sin egen versjon av organisasjonskartet, ble Fortytwo og Bufdir enige om en styrende regel: nye systemer skal motta organisasjonsdata fra «Lederportalen», som igjen henter informasjonen sin fra SAP. Det gjør tverrfaglig hjelp og midlertidige roller håndterbare og oversiktlige.
Sikkerhet uten drama
Private mobilnumre håndteres slik de skal: låst som begrensede sikkerhetsattributter, kun synlige for de som virkelig trenger tilgang, og brukt utelukkende til autentisering. Og for ansatte som ikke kan – eller ikke burde – bruke sin personlige telefon, finnes det alternativer som holder sikkerheten intakt uten å opprette hindringer.
Ulempene: versjon 1, Wi-Fi og det virkelige liv
Dette er ikke en historie om at «alt fungerte perfekt fra dag én». Den første versjonen av CheckID gjorde jobben, men installasjonsveiviseren føltes tyngre enn den trengte å være, og ansatte gikk seg vill når prosessen hoppet over til Microsoft. Deretter kom overraskelsen ingen hadde forutsett: Wi-Fi. Passord opprettet gjennom CheckID stemte ikke overens med hva lokal AD forventet første gang noen prøvde å logge inn på lokasjon.
Da Fortytwo-teamet oppdaget mønsteret, fikset de rekkefølgen på operasjonene, oppdaterte veiledningen og sørget for at CheckID V2 kom med smidigere flyt og en tydeligere oppdeling mellom onboarding av nyansatte og tilbakestilling av passord.
Prosjektet avdekket også noe mer subtilt på Bufdirs side: kommunikasjonshull mellom interne IT-team og servicedesken. Disse måtte jobbes med like systematisk som selve identitetsflyten.
Onboarding-opplevelsen som en gang var kaotisk og manuell, kjører nå på en forutsigbar og sikker måte.
Nye ansatte møter opp med fungerende tilgang. Ledere sender ikke lenger passord via e-post eller sakssystemer. Servicedesken får færre «Jeg kan ikke logge inn»-meldinger og har mer tid til å løse reelle problemer.
Og tilgangsrevisjoner skjer i «Lederportalen», basert på reelle organisasjonsdata i stedet for fra et lappeteppe av kilder.
I reelle tall betyr det dette:
Rundt 8500 personer over hele Norge er på vei over i en guidet, sikker onboarding-prosess.
Tilgangsrevisjon består ikke lenger av stikkprøver fra et halvt dusin kilder – de er mer strukturerte og mer pålitelige.
Alle brukere ble flyttet over uten å miste tilgang eller motta tillatelser de ikke burde ha.
Hvorfor dette er viktigere hos Bufdir enn de fleste steder
Bufdir og Bufetat jobber med barn og familier i krise – saker som involverer vold, omsorgssvikt, risiko og nødhjelpstiltak. I den verdenen er identitet og tilgang ikke administrative detaljer; de er en del av å beskytte menneskene som er avhengige av disse tjenestene.
Å vite nøyaktig hvem som fikk tilgang til hva, når og av hvilken grunn er ikke byråkrati – det er beskyttelse.
Ved å standardisere tilgang, stramme inn autentisering og gjøre onboarding smidigere, frigjør Bufdir frontlinjeansatte til å fokusere på barn, ikke legitimasjon.
Tre ting gjorde forskjellen:
Dypgående ekspertise på Microsoft-identitet
Fortytwos senioringeniører jobbet raskt, bygde rent og kunne Entra og CheckID ut og inn.
Arkitektur med
disiplin
«Én portal, én organisasjonsstruktur, én kilde til sannhet» gikk fra en idé til en regel alle følger.
Kapabilitetsoverføring, ikke avhengighet
Gjennom hele prosjektet trente og støttet Fortytwo Bufdirs IAM-team slik at de kan drifte, forbedre og feilsøke løsningen selv.
Hva skjer videre?
Den nye identitetsryggraden gir Bufdir rom til å fortsette å bevege seg. I løpet av de neste par årene er fokuset klart:
Enkelt sagt:
Hvis et system trenger identitet eller tilgang, må det passe til modellen.
Ingen flere særtilfeller eller skreddersøm.
Ingen vei tilbake til tidligere løsning.
Føles onboardingen din som Bufdirs «før»?
Fortytwo hjelper organisasjoner med å bygge identitetsplattformer som fungerer i praksis: sikre, skalerbare og klare for menneskene som bruker dem hver dag.
Snakk med oss!
Ta kontakt om du er interessert eller lurer på noe.
Vi er alltid klar for et møte.
Dominique Cid-Strand
Director Identity & Access