Gå til innhold
  • Det finnes ingen forslag fordi søkefeltet er tomt.

Bruke dynamiske Entra-grupper for automatisk tilgang i Aidn

Her forklarer vi hvordan en kommune kan bruke dynamiske grupper i Microsoft Entra ID for å redusere manuelt arbeid når tilgang skal tildeles i Aidn

Innhold: 
Hva løser dette?
Når bør du bruke dynamiske grupper?
Forutsetninger
Hva er dynamisk Entra-gruppe?
Anbefalt beste praksis for dynamiske grupper i Aidn
Vanlige dynamiske gruppevalg for Aidn
Eksempler på scenarier
Begrensninger og viktige hensyn
Oppsett i Aidn
Drift og vedlikehold
Når bør du velge noe annet enn dynamiske grupper?

Hva løser dette?

Denne guiden forklarer hvordan en kommune kan bruke dynamiske grupper i Microsoft Entra ID for å redusere manuelt arbeid når tilgang skal tildeles i Aidn.

Dette er spesielt nyttig når:

  • kommunen har mange ansatte
  • nye ansatte og interne overflyttinger skjer ofte
  • det er uønsket å sette opp rolle og arbeidssted manuelt for hver enkelt bruker

Med dynamiske Entra-grupper kan dere:

  • la HR-data eller brukerattributter i Entra styre gruppemedlemskap automatisk
  • koble en dynamisk Entra-gruppe til en Aidn-rolle + sted / nivå + eventuelle tilleggsrettigheter
  • redusere behovet for manuell oppfølging i både Entra og Aidn

Denne artikkelen er ment som et tillegg til guiden for oppsett av automatisk håndtering av tilgang i Aidn via Entra-grupper, og utdyper når og hvordan dynamiske grupper er et godt valg.

Når bør du bruke dynamiske grupper?

Dynamiske grupper er et godt valg når kommunen har pålitelige brukerattributter i Entra som oppdateres fra HRM, katalog eller annen kilde.

Typiske eksempler på nyttige attributter:

  • avdeling
  • enhet / tjeneste
  • arbeidssted
  • stilling / profesjon
  • ansettelsestype
  • egne HR-koder eller utvidelsesattributter

Dynamiske grupper passer best når dere vil automatisere standard og gjentakende tilgang, for eksempel:

  • alle sykepleiere i Hjemmetjenesten Øst
  • alle helsefagarbeidere i Korttidsavdelingen
  • alle aktive ansatte som skal ha grunnleggende tilgang til Aidn som applikasjon

Hvis disse attributtene ikke finnes eller ikke er stabile, er det ofte bedre å bruke vanlige sikkerhetsgrupper eller la Aidn tolke eksisterende grupper som signaler.

Forutsetninger

Før dere bruker dynamiske grupper for Aidn, bør følgende være på plass:

  1. Kommunen bruker Microsoft Entra ID for sine brukere.
  2. Entra-integrasjonen er aktivert i Aidn.
  3. Brukerobjektene i Entra inneholder attributtene dere trenger for å skille brukere riktig.
  4. Dere har en avklart prosess for hvem som eier og kvalitetssikrer disse attributtene.
  5. Dere har minst følgende roller tilgjengelig i organisasjonen:
    • Entra-administrator
    • Aidn systemadministrator

I tillegg bør dere avklare:

  • hvilke felt som faktisk oppdateres fra HRM
  • hvor raskt endringer slår ut i Entra
  • hva som er umiddelbar mekanisme for avvikling av tilgang ved avsluttet arbeidsforhold

Hva er en dynamisk Entra-gruppe?

En dynamisk gruppe er en Entra-gruppe der medlemskap ikke vedlikeholdes manuelt, men beregnes automatisk ut fra regler.

Det betyr at dere definerer en regel, for eksempel:

  • avdeling = Hjemmetjenesten Øst
  • profesjon = Sykepleier
  • status = Aktiv

Alle brukere som matcher regelen blir medlemmer av gruppen automatisk. Hvis brukeren senere ikke lenger matcher regelen, fjernes vedkommende fra gruppen automatisk.

Tenk på dynamiske grupper slik:

HR-fakta → brukerattributter i Entra → dynamiske grupper → kobling i Aidn → effektiv tilgang

Aidn bør fortsatt eie selve tilgangsbetydningen:

  • rolle
  • sted / nivå
  • tilleggsrettigheter
  • om gruppen skal være aktiv for automatisk tilgang

Anbefalt beste praksis for dynamiske grupper i Aidn

1) Én gruppe = én tydelig tilgangspakke

Den tryggeste modellen er fortsatt:

Én Entra-gruppe = én kobling i Aidn

Det vil si at gruppen bør kunne beskrives som:

«Alle i denne gruppen skal ha samme rolle, på samme sted / nivå, med samme tilleggsrettigheter.»

Eksempel:

  • AIDN - Hjemmetjenesten Øst - Sykepleier
  • AIDN - Korttidsavdelingen - Helsefagarbeider

Unngå dynamiske grupper som er for brede eller uklare, for eksempel:

  • «alle kliniske ansatte»
  • «Hjemmetjenesten» uten rolle

Slike grupper kan være nyttige som signaler, men bør brukes med større varsomhet.

2) Skill mellom apptilgang og faglig tilgang

Det er ofte lurt å ha én dynamisk gruppe som kun betyr:

  • brukeren skal ha tilgang til Aidn som applikasjon

Eksempel:

  • GR-APP-Aidn

Denne gruppen bør normalt ikke alene styre:

  • klinisk rolle
  • avdelingstilgang
  • tilleggsrettigheter

Bruk heller egne grupper for konkrete tilgangspakker i Aidn.

3) Bruk strukturerte attributter der det er mulig

Hvis dere kan velge mellom fritekst og strukturerte verdier, velg strukturerte verdier.

Mindre robust:

  • stilling = «Sykepleier natt 80 %»

Mer robust:

  • profesjonskode = RN
  • enhetskode = HOMECARE_EAST

Jo mer strukturert kilden er, desto mer forutsigbart blir gruppemedlemskapet.

4) Bruk dynamiske grupper til standardbehov, ikke alle unntak

Dynamiske grupper passer best for:

  • standardroller
  • faste enheter
  • repeterbare mønstre

Unntak håndteres ofte bedre gjennom:

  • manuell tilgang i Aidn
  • midlertidige tilganger
  • ekstra rettigheter i begrensede perioder

5) Ha en tydelig modell for eierskap og drift

Avklar:

  • hvem som eier regelverket i Entra
  • hvem som eier gruppenes betydning i Aidn
  • hvem som kontrollerer at brukerattributtene er riktige
  • hvem som følger opp feil eller avvik

Vanlige dynamiske gruppevalg for Aidn

Alternativ 1: Dynamisk gruppe for grunnleggende apptilgang

Beskrivelse

Dette er den enkleste varianten. Gruppen brukes kun for å si at brukeren skal kunne logge inn i Aidn som applikasjon.

Eksempel

Gruppe:

GR-APP-Aidn

Eksempel på logikk:

  • kommunen = Øygarden
  • arbeidsforhold = aktivt
  • brukertype = intern ansatt
Når dette passer

Bruk dette når:

  • dere ønsker å automatisere hvem som skal ha Aidn-konto
  • dere ennå ikke har gode nok attributter til å automatisere rolle og sted
  • dere vil starte enkelt

Viktig

Denne gruppen bør ikke alene bestemme klinisk tilgang i Aidn.

Alternativ 2: Dynamiske grupper for full tilgangspakke i Aidn

Beskrivelse

Dette er den mest skalerbare modellen. Hver dynamiske gruppe representerer én full tilgangspakke som kan kobles direkte i Aidn.

Eksempel

Gruppe:

AIDN - Hjemmetjenesten Øst - Sykepleier

Eksempel på logikk:

  • avdeling = Hjemmetjenesten Øst
  • profesjon = Sykepleier
  • arbeidsforhold = aktivt

Kobling i Aidn:

  • Sted / arbeidssted: Hjemmetjenesten Øst
  • Rolle: Sykepleier
  • Tilleggsrettigheter: ved behov

Når dette passer

Bruk dette når:

  • dere har stabile og gode Entra-attributter
  • dere vil automatisere onboarding, flytting og avvikling i stor skala
  • de fleste brukerne følger standard mønstre
Eksempel på scenario
  1. Kari registreres i HR som sykepleier i Hjemmetjenesten Øst.
  2. HRM oppdaterer brukerattributtene i Entra.
  3. Kari blir automatisk medlem av riktig dynamisk gruppe.
  4. Aidn ser gruppen og gir riktig rolle og sted automatisk.

Alternativ 3: Dynamiske grunn-grupper + unntak i Aidn

Beskrivelse

Dette er ofte den mest realistiske modellen i praksis. Dynamiske grupper håndterer standardtilgangen for de fleste, mens få spesialtilfeller håndteres manuelt i Aidn.

Eksempel

Dynamisk gruppe:

AIDN - Korttidsavdelingen - Helsefagarbeider

Aidn gir standardtilgang for alle i gruppen. En enkelt bruker kan i tillegg få et midlertidig unntak i Aidn.

Når dette passer

Bruk dette når:

  • flertallet følger samme tilgangsmønster
  • noen få brukere trenger ekstra rettigheter eller midlertidige avvik
  • dere vil redusere administrasjon uten å miste fleksibilitet
Eksempel på scenario
  1. Ola får standardtilgang via dynamisk gruppe til Korttidsavdelingen.
  2. Han dekker en annen enhet i to uker.
  3. Brukeradministrator gir et midlertidig tillegg i Aidn.
  4. Når perioden er over, fjernes unntaket, mens standardtilgangen står igjen.

Alternativ 4: Dynamiske grupper basert på egendefinerte HR-attributter

Beskrivelse

Noen ganger er standardfelter som stilling eller avdeling for ustrukturerte. Da kan det være bedre å bruke egne HR-koder eller utvidelsesattributter.

Eksempel

I stedet for:

  • stilling = «Sykepleier»

bruk:

  • profesjonskode = RN
  • enhetskode = HOMECARE_EAST

Gruppe:

AIDN - HOMECARE_EAST - RN

Kobling i Aidn:

  • Sted: Hjemmetjenesten Øst
  • Rolle: Sykepleier
Når dette passer

Bruk dette når:

  • fritekstfelter varierer for mye
  • HRM har mer presise koder
  • dere ønsker et mer robust og fremtidsrettet oppsett

Eksempler på scenarier

Scenario A: Ny ansatt

Ansattinformasjon:

  • profesjon = Sykepleier
  • avdeling = Hjemmetjenesten Øst
  • status = aktiv

Resultat:

  • brukeren blir automatisk medlem i riktig dynamisk gruppe
  • Aidn gir rolle og sted automatisk
  • ingen manuell oppretting per bruker er nødvendig

Scenario B: Intern overflytting

Før:

  • avdeling = Korttidsavdelingen
  • profesjon = Helsefagarbeider

Etter:

  • avdeling = Hjemmetjenesten Vest
  • profesjon = uendret

Resultat:

  • brukeren faller ut av gammel gruppe
  • brukeren kommer inn i ny gruppe
  • Aidn oppdaterer tilgang basert på ny kobling

Dette er en av de største gevinstene med dynamiske grupper.

Scenario C: Samme bruker i to gyldige grupper

Eksempel:

  • bruker arbeider fast i Hjemmetjenesten Øst
  • bruker har også en formell tilknytning til Korttidsavdelingen

Mulige grupper:

  • AIDN - Hjemmetjenesten Øst - Sykepleier
  • AIDN - Korttidsavdelingen - Sykepleier

Resultat i Aidn:

  • brukeren får tilgang begge steder

Dette er greit så lenge begge medlemskap er reelle, ønskede og kan forklares.

Scenario D: Avsluttet arbeidsforhold

Når arbeidsforhold avsluttes, bør følgende skje:

  1. HR oppdaterer arbeidsforholdet.
  2. Entra-brukeren deaktiveres og/eller attributtene endres.
  3. Brukeren faller ut av de dynamiske gruppene.
  4. Aidn slutter å gi tilgang gjennom disse koblingene.

Viktig sikkerhetsprinsipp

Aidn bør fortsatt behandle deaktivert Entra-bruker som et umiddelbart signal om at effektiv tilgang skal bort, selv om opprydding i dynamiske grupper skjer senere.

Begrensninger og viktige hensyn

Dynamiske grupper er kraftige, men ikke riktig i alle situasjoner.

Vær oppmerksom på at:

  • gruppene er bare så gode som attributtene de bygger på
  • inkonsistente verdier gir inkonsistent medlemskap
  • midlertidige oppdrag og unntak passer ofte dårlig i basisregler
  • brede grupper kan føre til uønsket tilgang hvis de kobles for grovt i Aidn
  • det må være tydelig hvem som eier og kvalitetssikrer regelen

Hvis kommunen ikke har gode nok brukerattributter i Entra, er det ofte bedre å:

  • bruke vanlige sikkerhetsgrupper
  • etablere egne Aidn-grupper
  • eller håndtere standardtilgang på annen måte og bruke Aidn til unntak

Oppsett i Aidn

Når de dynamiske gruppene er opprettet og begynner å få medlemmer i Entra, settes de opp i Aidn på samme måte som andre Entra-grupper:

  1. Åpne Administrasjon
  2. Gå til Tilgangsgrupper
  3. Finn gruppen under Eksterne grupper
  4. Klikk Sett opp gruppe
  5. Velg:
    • Sted / arbeidssted
    • Rolle
    • Tilleggsrettigheter ved behov
  6. Klikk Lagre
  7. Åpne gruppen og slå på Automatisk tilgang

Når gruppen er aktiv, vil medlemmer få tilgang i tråd med koblingen som er satt opp i Aidn.

Drift og vedlikehold

Når dere bruker dynamiske grupper, er det viktig å vite at det finnes to lag som må vedlikeholdes:

I Entra

  • regel for gruppemedlemskap
  • kvalitet på brukerattributter
  • eierskap til gruppen

I Aidn

  • koblingen mellom gruppen og riktig rolle / sted
  • eventuelle tilleggsrettigheter
  • om gruppen skal være aktiv for automatisk tilgang

Ved feil eller gjennomgang kan dere i Aidn:

  • åpne gruppen
  • redigere koblingen
  • slå av Automatisk tilgang midlertidig

Når bør du velge noe annet enn dynamiske grupper?

Vurder andre løsninger hvis:

  • Entra ikke har gode nok brukerattributter
  • attributtene er for fritekstbaserte eller inkonsistente
  • mange brukere trenger lokale unntak og midlertidige tilganger
  • kommunen allerede har velfungerende, manuelt vedlikeholdte sikkerhetsgrupper

I slike tilfeller kan det være bedre å:

  • bruke vanlige Entra-grupper
  • bruke Aidn-spesifikke grupper