Felles IAM 4.0
Felles IAM 4.0 hovedversjon består av følgende ved lansering:
Rapid Identity versjon 2025.07.0-36981 og Account Claim versjon AC-29-08-24.
MERK: Når det gjelder RI (Rapid Identity), så oppgraderes denne delen av løsningen kontinuerlig og utenom våre hoved- og serviceversjoner da dette er skybasert, og leveres av IA uavhengig av Sikts versjonering av Felles IAM.
I tidsperioden fra august 2024 til september 2025 er det utført en del hotfix-oppgraderinger av Account Claim basert på endringsønsker. Hotfix er relativt små kodeendringer som ved bruk av konfigurasjon tar hensyn til den enkelte virksomhet.
1. Endringer og ny funksjonalitet
Tabellen oppsummerer funksjonalitet som inngår i G4 (generasjon 4).
| ID | Beskrivelse | Detaljer | Konfigurerbar |
|---|---|---|---|
| G4.1 | Håndtering av dødsfall registrert i SAP | Støtte for håndtering av dødsfall både fra SAP og FS, for grace og avslutning av tilganger | Ja, ved bruk av ‘end_reason’ i SAP og FS |
| G4.2 | Tilbakeskriving til FS | All tilbakeskriving er flyttet til ét actionSet i 'Internal_Processing' | Ja |
| G4.3 | Tilbakeskriving til SAP | All tilbakeskriving er flyttet til ét actionSet i 'Internal_Processing' | Ja |
| G4.4 | "gyldigEtter" | Generisk håndtering av SAP "gyldigEtter"-prosessering for 'stillinger', 'organisasjoner' og 'ansatteInfokontrakter' på samme måte som for 'ansatte' | - |
| G4.5 | Leave-of-Absence (permisjoner) | Støtte for ulike typer permisjoner (LoA) der kriterier for aktivering/deaktivering av kontoer kan konfigureres | Ja |
| G4.6 | LogAuditEvent - Forbedring av actionset | Forbedret lesbarhet i kode for audit- og feil-rapportering | - |
| G4.7 | Foretrukket språk i Account Claim | Setter ‘idautoPersonPreferredLanguage’ til det språket brukeren har valgt i Account Claim | - |
| G4.8 | Foretrukket språk i målsystem | - Foretrukket språk i WISEflow blir satt av ‘idautoPersonPreferredLanguage’ ved opprettelse av konto - Foretrukket språk kan i etterkant endres gjennom en bestillbar rettighet - Andre målsystemer vil bli lagt til | - |
| G4.9* | AppRoles usage(Delvis implementert) | - Forbedret konsistens og innsikt i hvem som har tilgang til hva. - Bruken av tilgangsobjekter i idautoPersonAppRoles7 har blitt utvidet til å inkludere rettigheter/systemroller | - |
| G4.10 | Engagements (kontrakter) | - Introduksjon for bruk av kontrakter som kobler relasjoner i orgenhet - Endringene er gjort i actionset ‘DBToIdentityStore’ og ‘FnAssignBusinessEngagementRoles’ | - |
| G4.11 | GraphQL FS Fagperson | Samme API-kall for norske og utenlandske fagpersoner, skriver campus fra SAP | - |
| G4.12 | LMS integrasjon - Canvas | Utvidet til å fullprovisjonere brukere til Canvas | - |
| G4.13* | Cristin/NVA | - Tilrettelagt for overgangen til NVA. - Bruk REST API for å aktivere fullprovisjonering | - |
| G4.14* | Digital eksamen - WISEflow | - Støtte for ny FS-WISEflow-integrasjon - Provisjonering av ORG-struktur | - |
| G4.15 | Reaktiverings E-post | Støtte for utsendelse av reaktiverings E-post | Ja |
| G4.16 | Deputy (stedfortreder) | - Re-designet hvordan SAP-bruker-ID hentes i forbindelse med identifisering av stedfortreder. - Oppdatert database-skjema for å inkludere brukerident - Stedfortreder som bestillbar rettighet | Ja |
| G4.17 | Tilbaketrekking av rettigheter er konfigurerbart | Støtte for å hindre at en endring av YRK automatisk initierer bortfall av bestillbare rettigheter | Ja, YRK som boolsk variabel i jobb-skedulering |
| G4.18 | 'DBToIdentityStore' forbedringer | - Standardisering av loggføring av feil. - Erstattet hardkodede Grace Period-policyer - Fjernet tilbakeskriving til FS/SAP | - |
| G4.19 | Prosess ved utrulling av actionset | Prosessen for felles oppgraderinger av Felles IAM er effektivisert gjennom bruk av forbedrede verktøy | - |
| G4.20 | Navnekonvensjon | - Det er fjernet prefiksen "generasjon" for alle actionset, prosjekter og community adapters - Alle de oppdaterte actionsets har en beskrivelse som starter med “v4.* -” | - |
| G4.21 | TOOLS/tableAnalytics/portalAnalytics | Redusert kompleksitet og generalisering av 'tableAnalytics' og 'portalAnalytics' | Ja |
| G4.22 | Rutine for opprydding av overflødige kontoer | Brukere uten tilknytninger/brukerobjekt i portalen vil bli slettet fra Metavault etter x dager, siden de ikke vil bli prosessert av 'PDDeleteAccount' - Nytt actionset 'TOOL_PurgeMVUsersNotInPD' | Ja |
| G4.23 | Daily Issue Report | Daily Issue Report har blitt standardisert der det er mulig, slik at den er mest mulig lik for alle institusjoner | - |
| G4.24 | "Sticky" bestillbar rettighet | Når en person bytter avdeling og samtidig leder er det konfigurerbart om personens bestillbare rettigheter skal trekkes tilbake | Ja |
| G4.25 | Generelle forbedringer og standardisering | Utført forbedringer, noe utvidet funksjonalitet og logikk standardisert på tvers av virksomheter (se seksjon 4) | - |
*Inngår ikke i G4, håndteres utenfor hovedversjon
2. Endring fra G3 til G4
Listen nedenfor er ikke fullstendig, men inneholder saker som er registrert i RT.
2.1 Håndtering av dødfall i SAP
Tidligere hadde vi kun håndtering av dødfall fra FS og UBW. Vi har nå inkludert håndtering av dødfall for ansatte og gjester fra SAP.
(RT #453054, G4.1)
2.2 Håndtering av permisjoner
Støtte for ulike typer LoA (leave of absence),hvor aktivering og deaktivering av kontoer gjøres konfigurerbart i konfigurasjonsfilen 'sap_loa_codes.json'.
Brukere med aktive permisjoner får tilknytning (affiliation) 'Employee LoA' og 'Student LoA'.
For bestillbare rettigheter:
- Brukere med tilknytning (affiliation) 'LoA' skal ikke få sine bestillbare rettigheter tilbakekalt.
Det vil ikke sendes E-post med deaktiverings- eller reaktiveringsmeldinger knyttet til permisjoner (LoA).
(RT #453054, G4.5)
2.3 Sette foretrukket språk ved kontoaktivering (Account Claim)
Setter språk i ulike målystsemer for bruker. Dette er nå konfigurert for Wiseflow, LMS, Top Desk og LDAP.
Bestillbar rettighet 'Preferred language' kan endre språk i etterkant av kontoaktiveringen.
(USN #235207, RT #445539, G4.8)
2.4 Campustilhørighet på fagperson fra SAP til FS
campustilhørighet fra SAP på fagpersoner settes nå i FS.
'metaWorkaddressTuple=true' og 'metaUseCampus=true' må være satt i 'SharedGlobals.properties' for at campustilhørighet skal bli satt for fagpersoner i FS.
(Nord I2409 4881, RT 437729, G4.11)
2.5 Redesign av Stedfortreder
Det er redesignet hvordan SAP-bruker-ID hentes i forbindelse med identifisering av stedfortreder. I forbindelse med dette er skjemaet oppdatert for å inkludere brukerident.
- Vi har redesignet måten stedfortreder blir satt på sentralt fra SAP.
- En ny bestillbar rettighet, 'Delegert tilgangsgodkjenner', er implementert.
Følgende verdier må settes i 'SharedGlobals.properties':
- metaLocalAllowDeputyAsRequestableEntitlement=false
- useDeputyAsDisablementNotificationRecipient=false
- sapUseDeputyAsApprover=false
(HiMolde #110579, RT #443126, G4.16)
2.6 'Sticky' bestillbar rettighet
Bestillbare rettigheter med kategorier som starter med 'Permanent' vil bli ignorert av 'PortalLdapExpireEntitlementsOrgChange'. Disse rettighetene blir derfor knyttet til brukeren og trekkes ikke tilbake om brukeren flyttes til en annen avdeling.
(RT #470117, NMBU-2025-27820, G4.24)
2.7 Forbedret navn på actionset
I G4 oppdaterer vi navnekonvensjonene for prosjekter og actionset.
Disse vil ikke lenger ha prefiks med generasjon. Så “G3_FnToArray” vil nå bli kalt “FnToArray”, og “G3_Local_Processing” vil bli kalt “Local_Processing”. Versjonsnummeret vil bli inkludert i beskrivelsesfeltet, og alle oppdaterte actionset vil ha en beskrivelse som starter med “v4.* -”.
(G4.20)
For Sikt_Functions community adapter er følgende actionset blitt oppdatert:
| Oppdaterte actionset med G3 referanse fjernet |
|---|
| FnGenerateEmail |
| FnPadNumbers |
| FnBuildExtProperties |
| FnHashPassword |
| FnTimeNow |
| FnHttpPUT |
| FnHttpPOST |
| FnHttpPATCH |
| FnHttpGET |
| FnSendEmail |
| FnCreateRecordFromObject |
| FnCleanseLdapSearchString |
| FnUrlQueryParams |
| FnIsTuple |
| FnGetCampus |
Nye actionset:
| Nye actionset uten G3_ prefix I navnet |
|---|
| Connection_MQAPI |
| Connection_RIDB |
| ErrorHandler |
| FnDateAdd |
| FnDateDiff |
| FnEndDateGracePeriod |
| FnEndOfDayExpired |
| FnEvaluateNINrank |
| FnFormatDate |
| FnToArray |
| FnGetPrimaryAffiliation |
| FnHasRecordChanged |
| FnIsDnr |
| FnIsFnr |
| FnIsSO |
| FnPadString |
Alle disse actionset har fått fjernet sine G3-referanser, deaktiverte linjer er fjernet, og beskrivelsen er oppdatert til 'v4.* -'.
For en eventuell rollback eksisterer fortsatt 'G3_'-actionset i community-adapteren, men disse vil bli fjernet når vi er sikre på at ingen institusjoner lenger refererer til dem.
3. Feilretting fra G3 til G4
Listen under er ikke fullstendig, den beskriver kort feilrettinger med tilhørende saker registrert i RT.
3.1 Tilbakeskriving til FS
Tidligere skjedde tilbakeskriving til FS skjedde på to steder: fra 'Central_processing' for studenter og fra 'Local_processing' for fagpersoner. Disse to prosessene har blitt slått sammen til en og kjøres kun fra 'Internal_processing'. Dette gir en mer optimal prosess og muliggjør bruk av logikk for forretningsroller og navnepolicy.
Actionset 'G3_RIDBWritebackToDFO', 'G3_FnWritebackToDFO', 'G3_FnWritebackToFS', 'FSUpdateUserStatusChange' og 'PortalLdapToFSFagperson' har blitt erstattet med actionset 'PortalLdapWritebackToFS' og 'PortalLdapWritebackToDFO'. I 'DBToIdentityStore' har tilbakeskriving fjernet.
(OsloMet INC0061683 / RT #462992, Nord I2408 3987 / RT #432257, G4.2)
3.2 Utsending av epost ved aktivering av kontoer som har vært sperret
Det er nå mulig å sende ut E-post ved reaktivering av konto som har vært sperret i det nye actionset ligger i 'Internal_Processing', 'EmailReenablementNotifications'. Det er en tilhørende E-postmal til denne funksjonaliteten 'AccountReactivated.eml'.
(UiB I2401-13742, RT #390170, G4.15)
3.3 Deaktiverte konti uten primary affiliation
Det var tilfeller der inaktive kontoer ikke hadde fått tildelt primary affiliation (idautoPersonAffiliation). Dette førte til at de heller ikke fikk 'Separated Employee' eller 'Separated Student' i 'idautoPersonAffiliations'. Det medførte at de ikke ble slettet av PDDeleteAccounts, selv om slettedatoen var passert.
Vi har erstattet hardkodede grace-policyer og fjernet tilbakeskriving til FS/SAP i slike tilfeller. Nå vil slike inaktive kontoer slettes når slettedato passeres.
(UiB I2409-3251 / #RT 435769, OsloMet INC0045444 / #RT 441655, G4.18)
4. Generelle forbedringer og standardisering
Oppgradert og utvidet funksjonalitet med logikk som er standardisert på tvers av institusjoner.(G4.25)
4.1 Nytt actionset 'PortalLDAPToBergHansen'
En ny Berg-Hansen integrasjon er nå tilgjengelig ved å bruke deres 'employeedata'-API, denne ligger i prosjektet 'Local_Processing'. Denne integrasjonen erstatter deres filbaserte integrasjon, som de har hatt frem til i dag.
Dokumentasjon som beskriver hvordan man kan ta i bruk den nye integrasjonen ligger i Teams-kanalen 'Prosjekt:IAM - Erfaringskanal'.
4.2 Nye actionset for å reprosessere brukere
Actionset som provisjonerer og deprovisjonerer brukere til målystsemer, er avhengige av funksjonen 'openLdapChangeIterator'. Denne funksjonen informerer actionset om hvilke brukere som har endringer, og disse brukerne blir deretter markert for reprosessering. En ufullstendig kjøring av actionset vil kunne oppstå dersom det er API-feil eller sesjonsproblemer. For å fange opp brukerene som ikke får en fullstendig prosessering, har vi lagt til følgende actionset:
- FnFetchUsersToProcess
- FnMarkUserForReprocessing
Brukere som er ufullstendig prosessert vil nå bli markert for ny behandling av 'FnMarkUserForReprocessing'. Disse brukerne vil deretter bli plukket opp for reprosessering neste gang jobben kjøres, sammen med de andre brukerne som er markert til prosessering. Dette oppnås ved å kombinere 'openLdapChangeIterator' og 'FnFetchUsersToProcess'.
For integrasjoner utviklet av Sikt, vil vi legge til denne logikken når vi oppgraderer til G4. For actionset utviklet av institusjonen, må dette legges til manuelt av institusjonen.
4.3 Oppdatering av actionset 'FnUpdateJobTitle'
For å ta i bruk 'FnUpdateJobTitle' må globalverdiene 'metaJobTitleTuple' og 'metaLocalJobTitleTuple' settes til 'TRUE'. FnUpdateJobTitle er nå standardisert og inkluderer følgende funksjonalitet:
Hvis brukeren har en verdi med prefikset 'tittel' eller 'title' i AppRoles6:
- Hvis verdien er en tuple, for eksempel: “tittel:norsk|engelsk”, settes disse tuple-verdiene som brukerens 'jobtitle' i Portal: idautoPersonJobTitle = “Jobtittel fra SAP|norsk|engelsk”
- Hvis verdien er en enkeltverdi, for eksempel: “tittel:norsk”, søkes denne verdien opp i filen 'custom_title_mapping.json'.
- Hvis det finnes et treff, oppdateres Portalen med: idautoPersonJobTitle = “Jobtittel fra SAP|norsk-match|engelsk-match”
- Hvis det ikke finnes et treff, oppdateres Portalen med: idautoPersonJobTitle = “Jobtittel fra SAP|norsk|”
Hvis brukeren ikke har forespurt en tittel:
- Hvis globalverdien sapUseCustomJobTitle er satt til 'TRUE', søkes den egendefinerte tittelen fra SAP opp i filen 'custom_title_mapping.json'.
- Hvis globalverdien sapUseCustomJobTitle ikke er 'TRUE', søkes jobbtittelen fra SAP opp i filen 'custom_title_mapping.json'.
I begge tilfeller ovenfor vil det settes en verdi i den første tuple-verdien i idautoPersonJobTitle. Denne verdien settes av DBToIdentityStore. Hvis globalverdien sapUseCustomJobTitle er 'TRUE' og har en verdi, vil den egendefinerte tittelen være den første tuple-verdien.
4.4 Oppdatering i SCIM
Utvidelser har blitt lagt til SCIM-brukerobjektene. Dette er hovedsakelig for å støtte TP (Timeplanleggingssystem). TP vil nå kunne hente brukerobjekter direkte fra RI-SCIM i stedet for Feide LDAP. Attributtet 'orgUnits' er lagt til i skjemaet 'no:edu:scim:user'. 'orgUnits' viser alle brukerens organisatoriske enheter med en type-attributt som angir “primary” eller “secondary”.
{
"symbol": "FAC",
"legacyStedkode": "100000",
"nameNb": "Fakultet",
"nameEn": "Faculty",
"type": "secondary"
}
Attributtet 'groups' er lagt til i skjemaet: 'urn:ietf:params:scim:schemas:core:2.0:User'. 'groups' vil vise alle gruppemedlemskap brukeren har i RI.
{
"value": "56059d8b-cb56-42fe-a819-31c6334f65b5",
"$ref": "https://gw-INST.intark.uh-it.no/scim/test/v2/Groups/56059d8b-cb56-42fe-a819-31c6334f65b5",
"displayName": "Tilgangsgruppe",
"type": "direct"
}
4.5 Konfigurering ved opphør av bestillbare rettigheter
Det er mulig å konfigurere 'PortalLdapExpireEntitlementsOrgChange' til å enten ta bort eller beholde betillbare rettigheter ved endring av yrkeskode.
'yrk=true' medfører at de bestillbare rettighetene blir tilbaketrukket. MERK: Dette er ikke en variabel i 'SharedGlabals.proberties', men direkte i skedulert jobb for 'PortalLdapExpireEntitlementsOrgChange'.
(G4.17)
4.6 Systemroller i Rapid Identity
Roller og moduler i RI samt som ikke benyttes i Felles IAM er fjernet. Det er innført tilgangsstyring i prosjektene i Connect.
For informasjon om hvilke systemroller som nå er konfigurert og tatt i bruk i Felles IAM fra og med G4 se System roles in Rapid Identity