Gå til innhold
  • Det finnes ingen forslag fordi søkefeltet er tomt.

Sette opp automatisk håndtering av tilgang i Aidn via Entra-grupper

Her forklarer vi hvordan en kommune kan bruke grupper i Microsoft Entra ID til å automatisere tildeling av roller og tilleggsrettigheter i Aidn, koblet til riktig arbeidssted / nivå (organisasjon eller avdeling)

Innhold: 
Hva løser dette?
Forutsetninger
Anbefalt beste praksis: strukturering av Entra-grupper for Aidn
Avanserte scenarier: brukere med flere roller og/eller flere avdelinger
Oppsett i Aidn: koble Entra-gruppe til rolle og arbeidssted
Drift: endre, pause eller avvikle en gruppe

Hva løser dette?

Dette betyr at alle medlemmer av en Entra-gruppe automatisk får riktig tilgang, og at nye eller endrede medlemskap håndteres løpende.

Med tilgangsgrupper i Aidn kan du:

  • Koble én Entra-gruppe → én Aidn-rolle + arbeidssted (organisasjon eller avdeling) + tilleggsrettigheter
  • Aktivere automatisk tilgang, slik at:
    • eksisterende medlemmer får tilgang i Aidn
    • nye medlemmer som legges til i Entra-gruppen automatisk får tilgang
    • brukere som fjernes fra Entra-gruppen mister gruppebasert tilgang

Forutsetninger

  1. Kommunen bruker Microsoft Entra ID for sine brukere.
  2. Entra-integrasjonen er aktivert i Aidn.
  3. Du har (minst) følgende roller i organisasjonen:
    • Entra-administrator (oppretter og administrerer grupper)
    • Aidn systemadministrator (setter opp koblingen i Aidn)

Anbefalt beste praksis: strukturering av Entra-grupper for Aidn

Kommuner organiserer Entra-grupper på ulike måter. For å få stabil og forutsigbar automatisering i Aidn, anbefaler vi å etablere en «Aidn-tilgangsmodell» basert på grupper som er tydelige og forutsigbare.

1) Designprinsipp: En gruppe = en tilgangspakke i Aidn

For å holde oppsettet i Aidn enkelt og trygt:

  • Unngå grupper der medlemmene trenger ulike Aidn-roller eller ulike arbeidssteder.
  • Hvis behovene varierer → del gruppen opp (eller opprett egne «Aidn-grupper» i tillegg til eksisterende strukturgrupper).

Tommelfingerregel:

Hvis du ikke kan beskrive gruppen som

«Alle i denne gruppen skal ha samme rolle, på samme sted/nivå, med samme tilleggsrettigheter»,

bør gruppen deles opp.

2) Navngivning: standardiser og gjør gruppene søkbare

Bruk en konsekvent navnekonvensjon som viser:

  • at dette er en Aidn-gruppe
  • hvilket nivå/sted den gjelder for
  • hvilken rolle den gir
  • valgfritt: hvilken pakke med tilleggsrettigheter den inkluderer

Anbefalt mønster:

  • AIDN - <NIVÅ/STED> - <ROLLE> - <TILLEGG (valgfritt)>

Eksempler:

  • AIDN - Vossestrand omsorgssenter - Helsepersonell
  • AIDN - Hjemmetjenesten - Sykepleier
  • AIDN - Granvin - Brukeradministrator
  • AIDN - Voss sjukehus - Helsepersonell - Legemidler

3) Skill mellom «basisrolle» og «tilleggsrettigheter» når bare noen trenger mer

Hvis kun et mindre antall brukere trenger ekstra rettigheter (for eksempel knyttet til legemidler):

  • Opprett en egen gruppe for tilleggsrettigheter, slik at de kan tildeles presist.

Anbefalt oppsett:

  • Basis: AIDN - <STED> - Helsepersonell
  • Tillegg: AIDN - <STED> - Helsepersonell - Legemidler

I Aidn kobler du begge gruppene: basisgruppen uten tillegg, og tilleggsgruppen med ekstra rettigheter.

4) Medlemskap: automatiser der det er mulig (men hold det forståelig)

  • Hvis dere har HR-attributter (avdeling, enhet, stilling, lokasjon): vurder dynamiske grupper (forutsatt riktig lisens og modenhet).
  • Hvis ikke: bruk tildelte sikkerhetsgrupper og etabler en enkel prosess for vedlikehold.

Viktig: Vær tydelig på hvem som eier gruppene og hvem som godkjenner medlemskap.

5) Unngå kompleksitet som kan gi uforutsigbare resultater

Ved mindre du vet at det støttes i deres oppsett:

  • Unngå «kreativ» bruk av nøstede grupper (gruppe i gruppe)
  • Unngå grupper som dekker mange steder eller avdelinger «for enkel administrasjon» – det gjør korrekt tilgang vanskelig å sikre

Avanserte scenarier: brukere med flere roller og/eller flere avdelinger

I Aidn bør tilgang fra Entra-grupper behandles som additiv: En bruker kan være medlem av flere Entra-grupper, og hver gruppe kan gi en spesifikk rolle + sted/nivå + tillegg.

Siden én tilgangsgruppe i Aidn er laget for én rolle per kobling, anbefales det å modellere hvert unike tilgangsbehov som sin egen Entra-gruppe.

Scenario A: Samme rolle i to avdelinger

Eksempel: En bruker er sykepleier i både avdeling A og avdeling B.

Anbefalt:

  • Foretrukket (tydelig revisjon og eierskap): Én Entra-gruppe per avdeling:
    • AIDN - Avdeling A - Sykepleier
    • AIDN - Avdeling B - Sykepleier
  • Valgfritt: Hvis Aidn-oppsettet tillater flere steder i én kobling, kan én gruppe knyttes til flere steder. Bruk dette med varsomhet – separate grupper gir ofte bedre kontroll.

Scenario B: To roller i samme avdeling

Eksempel: En bruker trenger både sykepleier og saksbehandler i avdeling A.

Anbefalt:

  • Én Entra-gruppe per rolle:
    • AIDN - Avdeling A - Sykepleier
    • AIDN - Avdeling A - Saksbehandler

Brukeren er medlem av begge → Aidn tildeler begge rollene på samme sted.

Scenario C: To roller i to ulike avdelinger

Eksempel: Sykepleier i avdeling A og saksbehandler i avdeling B.

Anbefalt:

  • Modellér hver kombinasjon eksplisitt:
    • AIDN - Avdeling A - Sykepleier
    • AIDN - Avdeling B - Saksbehandler

Hvis en bruker faktisk trenger begge rollene i begge avdelinger, blir det fire kombinasjoner. Det kan føles som «flere grupper», men gir presis og forutsigbar tilgang.

Håndtering av konflikter, minste privilegium og midlertidig tilgang

Når roller kombineres, vurder disse prinsippene:

  • Minste privilegium: Gi kun de rollene som er nødvendige.
  • Rolleskille: Hvis enkelte kombinasjoner ikke er tillatt, håndhev dette gjennom godkjenning og/eller tekniske begrensninger.
  • Midlertidig forhøyet tilgang: Bruk en egen tidsavgrenset gruppe:
    • AIDN - <Avdeling> - Saksbehandler - TEMP

Anbefalt eierskapsmodell for Entra-grupper

  • La hver avdeling/enhet eie sine egne Aidn-tilgangsgrupper der det er mulig.
  • La sentrale team eie grupper med høye privilegier (for eksempel administratorroller).
  • Bruk endringsloggen i Aidn for å verifisere at tilgang er gitt via riktige grupper.

Manuell tilgang i tillegg til gruppebasert tilgang (anbefalt for unntak)

Gruppebasert tilgang dekker standard og gjentakende behov. I tillegg kan brukeradministratorer i Aidn gi manuell tilgang direkte til enkeltbrukere.

Bruk dette når:

  • Bare én eller svært få brukere trenger ekstra tilgang.
  • Behovet er midlertidig.

Eksempel:

De fleste sykepleiere håndteres via AIDN - Avd A - Sykepleier, men én person trenger også saksbehandler i en periode. I stedet for å lage en egen Entra-gruppe, kan brukeradministrator gi rollen direkte.

Oppsett i Aidn: koble Entra-gruppe til rolle og arbeidssted

Steg 1: Gå til tilgangsgrupper

  1. Åpne Administrasjon
  2. Gå til Tilgangsgrupper
  3. Du ser faner for Grupper og Endringslogg
  4. Under Eksterne grupper vises Entra-grupper importert til Aidn

Steg 2: Sett opp gruppen (første gang)

  1. Finn Entra-gruppen i listen (den er vanligvis Inaktiv før oppsett)
  2. Klikk «Sett opp gruppe»

  3. Velg:
    1. Sted / arbeidssted: ett eller flere relevante steder
      • bruk et «bredt» sted for tenant-/org-nivå
      • bruk mer spesifikke steder for avdeling/enhet
    2. Rolle: riktig Aidn-rolle
    3. Tilleggsrettigheter: velg ved behov

    4. Klikk Lagre


Steg 3: Aktiver automatisk tilgang

  1. Åpne gruppen
  2. Slå på Automatisk tilgang
  3. Gruppen blir Aktiv, og medlemmene får tilgang basert på koblingen

Drift: endre, pause eller avvikle en gruppe

Endre koblingen (rolle/sted/tillegg)

  1. Åpne gruppen
  2. Klikk Rediger
  3. Oppdater sted, rolle eller tilleggsrettigheter
  4. Klikk Lagre

Pause tilgang midlertidig

  • Slå av Automatisk tilgang

→ Gruppens tilgang blir Inaktiv (nyttig ved feiloppsett eller gjennomgang)

Se historikk og revisjonsspor

  • Bruk fanen Endringslogg for å se:
    • status (Tildelt / Oppdatert / Utgått / Deaktivert)
    • hvem som tildelte (inkludert «Gruppe: …»)
    • tidspunkt og hvilke rettigheter som ble påvirket