BILAGA 2, IT- OCH INTEGRATIONSMILJÖN

1

1 Allmän beskrivning

Ale kommuns IT-avdelning sköter kommunens drift av servrar och nätverk. De har även hand om klienter, skrivare, servicedesk och telefoniplattformen.

1.1 Teknisk miljö

Under de senaste åren har kommunen haft som inriktning och strategi att standardisera kring Microsofts produktutbud beträffande grundläggande infrastruktur. För att få bästa effekt av tidigare gjorda investeringar, efterfrågas därför ett system och en lösning som fungerar mycket väl i en Microsoftbaserad plattform.

Ale kommun har en identitetslösning som bygger på Microsofts Forefront Identity Manager, FIM. Födande system (ägare av informationen) är HR plus för personal och det elevadministrativa för elever vilket innebär att användaridentiteter i Active Directory skapas med automatik utifrån denna information. FIM kommer föda HR systemet med e-post adresser.

I driftmiljön förekommer i nuläget olika databaser, med en tydlig inriktning mot Microsofts, f.n. SQL Server 2012. Databasen för det nuvarande personalsystemet HR Plus körs på Linux (Red Hat) med Oracle 11.2.

Integrationsmotorn är idag Decapus som levereras av Tieto. Ett arbete pågår med att byta integrationsmotorn till Microsoft Biztalk.

För webbserver används i huvudsak Microsoft IIS. Kommunens intranät, vår s.k. digitala arbetsplats bygger på SharePoint 2013. Den externa webben är byggd i Sitevision. Idag kommer anställda åt självbetjäning via den digitala arbetsplatsen.

Systemet ska ha stöd för att kunna integreras mot ett externt behörighetssystem som MobilityGuard eller motsvarande (reverse proxy). Avsikten är att kunna hantera autentisering av externa användare mot tjänster i systemet via t.ex. E-legitimation eller annan autentiseringsmekanism.

Det pågår ett arbete i kommunen att se över behovet av tjänstekort för logisk och fysisk access samt visuell identifikation. Beslut är tagna att använda MIFARE teknik som standard för logisk och fysisk access. Detta kommer även gälla för access till verksamhetssystem när krav på detta finns.

För att arbeta hemifrån eller ute på fältet används Microsoft Direct Access, DA. Detta ställer krav på att applikationen är IP-v6 klar.

Kommunen har en internetanslutning med en bandbredd på 500 Mbps. Anslutning för externa leverantörer upprättas efter överenskommelse.

Kommunens IT-arkitektur beskrivs i Arkitekturdokument (version 1, revE), infogat sist i denna bilaga.

1.2 Basarbetsplats/Arbetsplatsutrustning

För att skjuta ut klientuppdateringar använder IT-avdelningen Microsoft SCCM 2012. En standard-pc hos kommunen innehåller följande:

MS Windows 7 (32-bit)/ 8 (64-bit)

MS Office 2010

MS Outlook 2010

MS Internet Explorer 10/11

MS Lync 2010

Hela Office paketet kommer uppdateras under 2014 till Office 2013. När det gäller läsplattor och smartphones förekommer iOS, android och windows.

2 Verksamhetssystem som ersätts av nytt personalsystem

I Ale kommun körs idag en mängd tillämpningar och system av olika slag. De som skall ersättas genom denna upphandling är:

HR Plus, löne- och personaladministration

HR-plus Web Självservicesystem 1200 användare

Timetool (schemaläggningssystem för vården)

Flex (flex- och schemasystem för vården, ca 800 användare)

Anställningsavtal (tjänst i SharePoint)

Vikariepoolen (tjänst i SharePoint)

3 Integrationer

Det nya personalsystemet kommer att vara en viktig informationskälla för verksamhetssystem som använder personaldata. Det är därför viktigt att system som upphandlas är väl anpassat för integration med andra system, både för att lämna och hämta information. Informationen ska vara lagrad i databaserna på ett sätt som underlättar samverkan.

De system som omfattas av ska-krav vad avser integrationer är de tre systemdelar som upphandlas samt ekonomisystemet Aditro Affärslösning.

Andra system som det nya systemet kommer att integreras med är:

Aditro Affärslösning- ekonomisystem

WinLas - Las-hantering, med åtkomst för chefer

Qlikview - beslutsstödssystem

Treserva - administration inom social- och skolverksamhet

TES - schema och planeringssystem för hemtjänst.

KOLL – register över lärarlegitimationer

FIM

Befolkningsregister – slagning av personuppgifter

Adato, för rehab-ärenden som införs under 2014.

Lisa, för arbetsmiljö som införs införas under 2014

Preliminärt kommer integrationer eventuellt att ske som tilläggstjänst även mot:

Stratsys – beslutsstödsystem och SharePoint Ales intranät (CMS)

Följande skisser visar de kopplingar och hänvisningar till krav (bilaga 4 Kravspecifikation):

(Bild 1) Integrationer till HR och Lön

(Bild 2) Integrationer till Självservice och tidrapport

(Bild 3) Integrationer till Resursadministration

Ale kommun

Arkitektdokument

2014-05-05

Version 1 Revison E

VERSIONSHANTERING Obs Dokumentet bör revideras minst en gång per år.

Datum Version Beskrivning Ändrat av

2012-09-03 1 JA

2013-02-25 1B Uppdaterade skisser och rättning av

fel (bildnummer)

JA

2013-09-19 1D Uppdateringar av info 6.4, 6.5, 6.6 JI

2013-09-25 1D Tilläggsinformation om AD FS JI

2014-05-05 1E Korrigering av ADFS och

integrationsmotor samt FIM

MH

INNEHÅLL

1. Inledning ______________________________________________________________ 7

1.1 Avgränsningar __________________________________________________________ 7

1.2 Målgrupp ______________________________________________________________ 7

2. Dokumentstruktur ______________________________________________________ 7

2.1 Förkortningar ___________________________________________________________ 8

3. Referensmodell för IT-plattform __________________________________________ 10

3.1 Referensmodell (logisk) __________________________________________________ 11

3.2 Referensmodell (fysisk) __________________________________________________ 12

3.3 Referensmodell och nuläge _______________________________________________ 14

3.4 Användargrupper ______________________________________________________ 16

4. Övergripande arkitektur identitets och behörighetshantering ___________________ 18

4.1 Nuvarande arkitektur ___________________________________________________ 18

4.2 Målbild _______________________________________________________________ 20

4.3 Uppdaterad information om AD FS ________________________________________ 21

4.4 Nuvarande arkitektur integrationer _______________________________________ 21

4.5 Målbild _______________________________________________________________ 23

5. Beskrivning avhuvudkomponenter/områden ________________________________ 25

5.1 BKS behörighetsåtkomst (Access Management)______________________________ 25

5.2 Content management (extranet) ___________________________________________ 25

5.3 Katalogtjänster _________________________________________________________ 25

5.3.1 Nätverkskatalog ______________________________________________________________ 25 5.3.2 Behörighetskatalog ___________________________________________________________ 25

5.4 Identitetshantering ______________________________________________________ 25

5.5 Skolportal _____________________________________________________________ 25

5.6 Intranet/digital arbetsplats _______________________________________________ 25

5.7 E-tjänster _____________________________________________________________ 26

5.8 Integrationsmotor/servicebuss (ESB) _______________________________________ 26

6. Användningsfall och Scenarion __________________________________________ 26

6.1 Användningsfall inloggning mot elevportal __________________________________ 26

6.2 Scenario E-tjänst mot verksamhetssystem __________________________________ 29

6.3 Scenario ”lös e-tjänst” ___________________________________________________ 30

1. Inledning Detta dokument beskriver arkitekturen för Ale kommuns grundläggande IT-

komponenter. Syftet med dokumentet är att kunna visa vilka komponenter och

produkter som finns samt hur de fungerar tillsammans. Primärt har fokus lagts på

områden för att kunna hantera e-tjänster och behörighetshantering. Som utgångspunkt

har en referensmodell använts för att kunna relatera befintliga produkter som används

idag inom kommunen. Referensmodellen relaterar även till framtida komponenter som

är under införande. Dokumentet ägs av May Herlin, IT-strateg.

1.1 Avgränsningar

Dokumentet syftar inte till att ge en detaljerad beskrivning av hur olika system

är konfigurerade.

Dokumentet beskriver endast olika produkter och komponenter utifrån ett

övergripande perspektiv.

Dokumentet beskriver inte arkitektur för olika verksamhetsystem/områden

inom kommunen.

1.2 Målgrupp

IT-arkitekter

IT-samordnare

IT-konsulter

Konsulter

2. Dokumentstruktur

Arkitektdokument Riktlinjer

Processbeskrivning

2.1 Förkortningar

Förkortning Betydelse/Referens

AD, Microsoft Windows baserad Katalogtjänst för att hantera användare och

grupper (säkerhet och inloggning)

http://en.wikipedia.org/wiki/Active_Directory

AD FS AD FS är en identitetsåtkomstlösning som tillhandahåller

webbläsarbaserade klienter

http://en.wikipedia.org/wiki/Active_Directory_Federation_Services

BIF Bastjänster för informationsförsörjning

http://www.svrinfo.se/Projekt-tjanster/BIF/

BKS Behörighetskontrollsystem, se även WAM

DSML Directory Service Markup Language, XML-baserat protokol för att

hantera katalogrelaterad information

http://en.wikipedia.org/wiki/Directory_Service_Markup_Language

EN 13606 Europeisk standard för elektronisk kommunikation av

vårdinformation (patientdata)

http://en.wikipedia.org/wiki/EN_13606

ESB Enterprise Service Bus, komponent för att integrera olika

system/applikationer som kommunicerar via webbtjänster

http://en.wikipedia.org/wiki/Enterprise_service_bus

HSA Hälso- och sjukvårdsadressregister

http://www.svrinfo.se/Projekt-tjanster/HSA/

IDM Identity Management

http://en.wikipedia.org/wiki/Identity_management

LDAP Lightweight Directory Access Protocol, protokoll för att

kommunicera med LDAP-kataloger

http://en.wikipedia.org/wiki/LDAP

LDIF LDAP Data Interchange Format, LDAP-baserat filformat för att

hantera kataloginformation

http://en.wikipedia.org/wiki/LDIF

Metakatalog Komponent för att hantera och konsolidera identitets- och

behörighetsinformation mellan olika system/applikationer

http://en.wikipedia.org/wiki/Metadirectory

Microsoft FIM Identitetsprodukt (metakatalog) från Microsoft

http://en.wikipedia.org/wiki/Forefront_Identity_Manager

Microsoft NET Utvecklingsramverk från Microsoft

http://sv.wikipedia.org/wiki/Dotnet_Framework

Microsoft SharePoint Webbutvecklingsplattform från Microsoft

http://en.wikipedia.org/wiki/Microsoft_SharePoint

NPÖ Nationell Patient Översikt

http://www.svrinfo.se/Projekt-tjanster/NPO/

PKI Public Key Infrastructure, standard för att hantera certifikat

http://en.wikipedia.org/wiki/Public_key_infrastructure

SAML Security Assertion Markup Language, XML-baserat

federationsprotokoll

http://en.wikipedia.org/wiki/SAML

SITHS Certifikatslösning för säker IT

http://www.svrinfo.se/Projekt-tjanster/SITHS/

Sjunet Kommunikationslösning för vård och omsorgs

http://www.svrinfo.se/Projekt-tjanster/Sjunet/

SVPL Samordnad vårdplanering

Teis Integrationsmotor från Tieto

http://www.teis.se/

WAM Web Access Management, komponent för att hantera säker åtkomst

mot webb-baserade tjänster

http://en.wikipedia.org/wiki/Web_Access_Management

XACML eXtensible Access Control Markup Language, standard för att

hantera behörighetsregler mellan organisationer

http://en.wikipedia.org/wiki/XACML

BILAGA 2, IT- OCH INTEGRATIONSMILJÖN

10

3. Referensmodell för IT-plattform Referensmodellen utgår från en generell IT-plattform och har delats upp i tre olika områden, applikationslager, mellanprogramvara

och data/informationslager. Syftet är att kunna se hur kommunens befintliga komponenter (produkter, programvara) mappar in mot

referensmodellen, men även få möjligheten att se hur framtida lösningar relaterar mot modellen.

Punkterna 3.1 och 3.2 är generella och är inte specifika för Ale kommun.

Observera att referensmodellen endast har som syfte att relatera befintliga produkter till de som Ale har idag och de produkter som

man planerar att införa. Syftet är inte att Ale kommun ska införskaffa alla de komponenter som finns omnämnda i

referensmodellen.

3.1 Referensmodell (logisk)

Visar en logisk bild över olika områden i referensmodellen.

FIM

Bild 3-1-1: Referensmodell (logisk)

BILAGA 2, IT- OCH INTEGRATIONSMILJÖN

12

3.2 Referensmodell (fysisk)

Visar en fysisk bild hur olika komponenter kan samverka.

Bild 3-2-1: Referensmodell (fysisk)

BILAGA 2, IT- OCH INTEGRATIONSMILJÖN

14

3.3 Referensmodell och nuläge

Bilden nedan beskriver ett antal produkter som finns idag inom Ale kommun och hur dessa förhåller sig till Referensmodellen.

Identity and Access Management

Identity Management

Provisioning (FIM)

Access Management

(WAM)

Role Based Management

(RBAC)

Adm

inis

tration

(Work

flow

)

Aud

it &

Com

plia

nce

(IS

O 2

7 0

00

/SO

X)Business Process Management (BPM)

Go

vern

an

ce

(Serv

ice R

eg

istr

y)

Enterprise Service Bus (ESB)

Adapters MessagingData-

Access App

lica

tion s

ecuri

ty

(XA

CM

L)

Business Integration

Web ServerWeb Portal/Web

integrationApplication server Fat ClientsTerminal Services

Service Consumer

Browsers PDA/Cell Applications B2B Systems

Legacy/

MainframesDatabases DirectoriesFiles/Resources

Information

Copyright © Directory Systems AB 2008 reference model v1.2

App

lica

tion/P

rese

nta

tion

Mid

dle

ware

Data

Content Management (CMS)

Microsoft Windows 7/8

Microsoft Active

Directory (NOS)

Microsoft SQL

Oracle (Redhat)

Lotus Notes

Microsoft

Windows Server

2008

Windows

Workflow

Mobility Guard

FIM

SiteVision

Internet Explorer 10/

11

Microsoft Office

2010

Share Point

(.NET)

Bild 3-3-1: Referensmodell (logisk) komponent mappning

3.4 Användargrupper

Mot referensmodellen finns ett antal användargrupper som är identifierade och beskrivs nedan. Användarna kan ses som aktörer

som ska kunna relateras mot kommunens IT-arkitektur.

Bild 3-4-1: Identitetsrelation

BILAGA 2, IT- OCH INTEGRATIONSMILJÖN

17

Definition av aktörer

Anställda – Personer som innehar en tillsvidareanställning eller vistidsanställning.

Elever – Personer som är aktiva inom Ale kommuns utbildningsväsen

Konsulter/inhyrd personal – Personer som utför arbete åt Ale kommun och behöver komma åt kommunen IT-system men

har sin anställning hos en annan arbetsgivare

Politiker – Personer med politiskt uppdrag inom Ale kommun

Vårdnadshavare – Person som har en relation med ett barn bosatt inom Ale kommun eller verksamt inom Ale kommuns

utbildningsväsen

Medborgare – Person bosatt inom eller utom Ale kommun som vill kunna använda medborgarrelaterade tjänster

Andra myndigheter – Anställda tillhörande en annan myndighet som vill kunna använda Ale kommuns IT-tjänster

Näringsidkare – Person anställd i ett företag eller egenföretagare som vill kunna använda Ale kommuns IT-tjänster

4. Övergripande arkitektur identitets och behörighetshantering Denna punkt beskriver arkitekturen kring identitets och behörighetshantering.

4.1 Nuvarande arkitektur

Nedanstående bild visar den nuvarande arkitekturen för identitetshantering med relation till portal och behörighetshantering.

Molntjänster

Mobility Guard

DMZ

Sitevison CMS

Ale.se

ADFS

AD

PersonalsystemHR-plusAnställd

Elev

ElevsystemAdela

Personregister

Anställd Elev

Säkerhetsrelaterad trafik

Datasynkronisering

Övrig trafik

Exchange

Copyright © 2005 - 2011 Directory Systems AB.

FIM

O365

Vårdnadshavare

Stratsys

Vårdnadshavare

Vårdnadshavare

Elever

Anställda

ADFS

SharePointIntranät

E-tjänster

c

Medborgare

Windows

Claims

Bild 4-1-2: Nuvarande identitetslösning

4.2 Målbild

Nedanstående bild 4-2-1 visar målbildsarkitekturen arkitekturen för identitetshantering med relation till portal och

behörighetshantering.

Bild 4-2-1: Översikt av framtida arkitektur för infrastruktur

I bild 4-2-1 (ovan) beskrivs en framtida lösning för att olika typer av integrationer. Idag används främst Tietos Decapus för att

hantera integrationer.

4.3 Uppdaterad information om AD FS

Vi har nyligen börjat använda AD FS för federationer med t ex Microsofts Office 365-tjänsten och kommer även att använda AD

FS för säker inloggning mot Microsoft SharePoint. Vi kommer också att federera mot Stratsys och ITs learning inom en snar

framtid. Arkitektur för e-tjänster och integrationer

4.4 Nuvarande arkitektur integrationer

Idag är det merparten av integrationerna så kallade punkt till punkt integrationer mellan specifika system.

En del integrationer hanteras via integrationsmotorn Decapus från Teito. Primärt är det synkrona/batchbaserade filöverföningar som

hanteras av Decapus idag.

FIM använder Navet för att verifiera personuppgifter på anställda.

Bild 5-1-1 visar delar av hu nuläget ser ut kring integrationer. Bild 5-2-1 visar en framtidsbild hur systemen integreras via en

gemensam servicebuss/integrationsmotor.

Bild 5-1-1: punkt till punkt integration (nuläge)

Bild 5-1-2: integrationer via servicebuss/integrationsmotor

Endast större verksamhetssystem bör integreras mot en servicebuss då det varje integration är relativt kostsam.

4.5 Målbild

Bild 5-2-1 beskrivs hur e-tjänster hanteras i en framtida arkitektur. Vissa verksamhetssystem har stöd för att hantera e-tjänster mot

t.ex. medborgare. Systemen kommer med inbyggt stöd för att hantera E-tjänster vilket medför relativt begränsad arbetsinsats för Ale

kommun. I andra fall finns det inget verksamhetssystem med stöd för de e-tjänster som kommunen vill tillhandahålla. I de fallen

kommer de krävas en större insatts för kommunen att kunna bygga en e-tjänst. Ale kommuns primära strategi är att de

verksamhetssystem som finns och som köps in, ska tillhandhålla stöd för e-tjänster i den mån det är möjligt.

Bild 5-2-1: Översikt av framtida arkitektur för e-tjänster

5. Beskrivning avhuvudkomponenter/områden

5.1 BKS behörighetsåtkomst (Access Management)

Extern behörighetshantering/åtkomst avser användare som ansluter utifrån Ale kommuns nätverk t.ex. via internet för att kunna nå

interna resurser (IT-system). Behörighetslösningen har till uppgift att skydda interna resurser från intrång obehöriga användare mm.

Behörighetslösningen ska kunna hantera inloggning/autentisering för anställda, elever, medborgare, näringsidkare, entreprenörer

mm. Behörighetslösningen ska även kunna hantera federation med andra parter t.ex. via SAML v2.

Behörighetslösningen är baserad på MobilityGuard.

5.2 Content management (extranet)

Ale använder SiteVision för att hantera den externa webbsidan www.ale.se .

5.3 Katalogtjänster

Inom Ale kommun finns det primärt två katalogtjänster. En katalog för att hantera interna användare som anställda och elever, samt

en extern katalog för att hantera användare som ansluter från externt nät som Internet samt medborgare för att hantera åtkomst mot

olika typer av E-tjänster.

5.3.1 Nätverkskatalog

Nätverkskatalogen bygger idag på Microsoft Active Directory och används främst för att hantera behörigheter i klient och

serverplattform. Primärt hanteras åtkomst till fil och applikationstilldelning för anställda och elever.

5.3.2 Behörighetskatalog

Behörighetskatalogen baseras förnärvarande på Microsofts Active Directory och hanterar primärt externa användare som

vårdnadshavare mm.

5.4 Identitetshantering

Ale kommun använder Microsoft FIM för identitetshantering för både anställda, elever och vårdnadshavare.

5.5 Skolportal

Arbete pågår med att etablera en ny skolportal. Skolportalen kommer att baseras på Microsoft SharePoint.

5.6 Intranet/digital arbetsplats

Ale kommuns intranät/digitala arbetsplats baseras på Microsoft SharePoint.

5.7 E-tjänster

Den övergripande strategin är att respektive verksamhetssystem/område ska ansvara för att tillhandahålla e-tjänster. D.v.s. E-

tjänsterna ska kunna hanteras direkt i de verksamhetssystem som finns inom organisationen. E-tjänsterna publiceras i den

gemensamma webbmiljön för externa användare. Vissa delar bör hanteras via gemensamma komponenter som inloggning med e-

legitimation mm. I de fall där det inte finns något underliggande verksamhetssystem för en e-tjänst, bör e-tjänsten utvecklas i

kommunens portal/webbmiljö.

5.8 Integrationsmotor/servicebuss (ESB)

Ale kommun har idag inte någon generell integrationsmotor eller service buss för att hantera integrationer mellan olika system.

Tietos Decapus används för att hantera asynkrona integrationer som primärt baseras på filöverföringar mellan system. Ale avser att

utvärdera möjligheterna att införa en gemensam/generell integrationsmotor/ESB.

6. Användningsfall och Scenarion Denna punkt beskriver användningsfall och scenarion som beskriver hur olika komponenter i arkitekturen används.

6.1 Användningsfall inloggning mot elevportal

Användningsfall Inloggning mot elevportal för Medborgare

(Vårdnadshavare)

Beskrivning

Detta användningsfall beskriver hur en användare (aktör) loggar in mot elevportalen.

Användningsfallet startar i samband med att användaren loggar in.

Villkor (preconditions)

Användaren har ett E-leg

Användaren finns registrerad som vårdandshavare i personregister för elev

inom Ale

Primär aktör(er)

Vårdnadshavare

Elev

Sekundär aktör(er)

BKS (Behörighetskontroll)

Skolportal

Användarkatalog

Huvudflöde

1. Vårdnadshavare loggar in med E-legitimation i elevportalen

2. BKS verifierar E-legitimationen

3. BKS skapar ett användarkonto i användarkatalogen baserat på uppgifterna i E-

legitimationen (personnummer, för- och efternamn)

4. Skolportalen verifierar mot personregistret vilken relation som finns mellan

elev och vårdandshavare

5. Vårdandshavaren loggas in och presenteras med behörig information (klassrum

IUP etc.)

Sekundärt flöde

Kommentar

Flödesdiagram

6.2 Scenario E-tjänst mot verksamhetssystem

I detta scenario beskrivs hur en e-tjänst i ett verksamhetssystem kan hanteras. Verksamhetssystemet har inbyggd funktionalitet för

hantering av e-tjänster. I detta fall exemplifieras en e-tjänst mot det digitala e-Arkivet som har stöd för att hantera externa

användare som medborgare. För att få åtkomst mot publikt arkivmaterial krävs ingen inloggning (verifiering). I de fall där

användaren vill få tillgång till icke publikt arkivmaterial krävs en inloggning/användarverifikation t.ex. via behörighetssystemet

(BKS).

Bild 7-2-1: E-tjänst mot verksamhetssystem

6.3 Scenario ”lös e-tjänst”

Detta scenario beskriver hur ”lösa e-tjänster” kan hanteras. Med lös e-tjänst menas att det inte finns något underliggande

verksamhetssystem. E-tjänsten måste utvecklas specifikt för Ale kommuns ändamål. Detta ställer naturligtvis större krav på

kommunens underliggande arkitektur. I detta scenario exemplifieras ansökan om grävningstillstånd som e-tjänst. E-tjänsten byggs i

kommunens webbplattform. I scenariot beskrivs även hur en integration mot en underliggande servicebuss kan fungera för att kunna

hämta information/verksamhetsdata som är nödvändig för e-tjänsten.

Bild 7-3-1: Lös e-tjänst