Identitets- och behörighetshantering (IAM) blir svår i hybridmiljöer av tre skäl: identiteter lever på flera ställen samtidigt (lokalt AD, Entra ID, verksamhetssystem), ingen enskild källa styr vad som är sant om en person, och förändringar – anställningar, tjänstebyten, avslut – måste därför hanteras manuellt på varje ställe. Resultatet är eftersläpande konton, kvarliggande behörigheter och en IT-avdelning som lägger arbetsveckor på rutinärenden. Lösningen är inte fler verktyg utan tre principer: HR-systemet som enda källa, automatiserad livscykel och rollbaserad behörighetsstyrning.
Den här artikeln går igenom varför problemet uppstår och vad som faktiskt löser det.
Det pratas ofta om hybridmiljöer som ett övergångsläge – som om alla organisationer vore på väg mot ett rent molnlandskap och bara inte hunnit fram. För de flesta nordiska kommuner och mellanstora organisationer stämmer det inte. Lokalt Active Directory finns kvar för att verksamhetssystemen kräver det. Entra ID finns för att Microsoft 365 kräver det. Vård- och omsorgssystem, skolplattformar, ekonomisystem och passersystem har var sitt behörighetsregister. Hybrid är inte en fas – det är arkitekturen ni kommer att leva med under överskådlig tid.
Det betyder att IAM-strategin måste utgå från att identiteter finns på många ställen samtidigt. Strategier som förutsätter "en katalog som styr allt" är byggda för en miljö ni inte har.
När en person anställs skapas hon i HR-systemet. Sedan skapas hon igen – manuellt – i AD, i Entra, i verksamhetssystemet, i passersystemet. Varje registrering är en chans till stavfel, fel avdelning, fel startdatum. Och från dag ett börjar kopiorna glida isär: HR vet att hon bytte enhet i mars, AD fick veta det i maj, verksamhetssystemet vet det fortfarande inte.
Det är inte slarv. Det är den matematiska konsekvensen av att samma information underhålls på fem ställen av tre olika roller utan automatisk koppling.
En anställd som varit tio år i organisationen och bytt tjänst tre gånger bär typiskt med sig behörigheter från alla fyra rollerna. Ingen tog bort de gamla, för ingen visste säkert att de kunde tas bort – och att fråga runt tar tid ingen har. Varje behörighet som delas ut är en skuld som någon förr eller senare måste betala tillbaka: granska, motivera eller avveckla. I en hybridmiljö utan automatik betalas den skulden nästan aldrig ner. Den bara växer, revision efter revision.
Avslut är den farligaste varianten. När någon slutar stängs Entra-kontot kanske samma dag – men kontot i verksamhetssystemet, VPN-åtkomsten, det delade funktionskontot? De upptäcks vid nästa säkerhetsgenomgång, om de upptäcks alls. Kvarliggande konton efter avslutade anställningar är en av de vanligaste attackvägarna vid intrång, och en av de första sakerna en revisor letar efter.
I många organisationer är den verkliga behörighetsmodellen inte dokumenterad någonstans – den finns i huvudet på den tekniker som "brukar fixa nya konton". Vilka grupper en ny ekonomiassistent ska ha, vilka undantag som gäller för rektorer, varför vissa vikarier får ett visst systemkonto: allt är praxis, inte policy. Det fungerar tills personen är på semester, byter jobb eller går i pension. Då står organisationen med en behörighetsmodell ingen kan läsa.
Den enskilt viktigaste arkitekturförändringen: utse HR-systemet till källan för vem som arbetar här, i vilken roll, från när till när. Allt annat – AD, Entra, verksamhetssystem – blir konsumenter av den sanningen, aldrig producenter. När HR registrerar en anställning, ett tjänstebyte eller ett avslut är det den händelsen som styr, automatiskt och samma dag.
Det här är också skälet till att IAM inte är ett rent IT-projekt. HR äger källdatan, och kvaliteten på behörighetshanteringen blir aldrig bättre än kvaliteten på HR-registreringen. De organisationer som lyckas är de där IT-chefen och HR-chefen ser det här som ett gemensamt system, inte som IT:s verktyg med HR som motvillig dataleverantör.
Med källan på plats kan hela livscykeln automatiseras: konton skapas innan första arbetsdagen, behörigheter följer med vid tjänstebyte – och framför allt: allt stängs vid avslut, överallt, samtidigt. Inte bara Entra-kontot utan även verksamhetssystemen, de lokala katalogerna och åtkomsten som annars glöms bort.
Automatiken gör också det tunga säsongsarbetet hanterbart. Skolstart i augusti, sommarvikarier i vården, projektanställningar vid årsskiftet – volymer som manuellt kräver övertid blir med automatik en icke-händelse.
Rollbaserad behörighetsstyrning (RBAC) betyder att behörigheter knyts till roller – "ekonomiassistent", "sjuksköterska natt", "rektor" – i stället för att delas ut person för person. Poängen är dubbel. Dels blir nya anställningar förutsägbara: rätt behörigheter från dag ett, utan att någon behöver komma ihåg vad som ingår. Dels blir avvecklingen automatisk: den som lämnar rollen lämnar behörigheterna. Skulden betalas ner löpande i stället för att ackumuleras.
Ett varningens ord: rollmodellen ska spegla organisationen som den är, inte som ett konsultprojekt önskar att den vore. Börja med de tio vanligaste rollerna, som täcker merparten av volymen, och förfina därifrån. Rollmodeller som försöker fånga varje undantag från start blir så komplexa att ingen underhåller dem – och då är ni tillbaka i den frusna lådan.
Allt ovan står och faller med kopplingarna mellan systemen. Och här avgörs den långsiktiga kostnaden: kan er egen IT-avdelning lägga till ett nytt verksamhetssystem, justera en regel, ändra en rollmall – eller kräver varje förändring en specialist med timpris? En hybridmiljö förändras ständigt; nya system tillkommer, gamla byts ut. Om varje förändring går via extern kompetens har ni inte automatiserat bort det manuella arbetet, bara flyttat kostnaden från egna arbetstimmar till konsultfakturor.
Är inte det här löst om vi går helt över till molnet? Nej. Även en "helt molnbaserad" kommun har verksamhetssystem med egna behörighetsregister, och elever, vikarier och förtroendevalda som inte följer standardflödet. Källproblemet – vem styr vad som är sant om en person – finns kvar oavsett var systemen driftas.
Vi har redan Entra ID – räcker inte det? Entra är navet för inloggning och åtkomst till Microsoft-världen, men det vet inte automatiskt vad HR vet, och det når inte in i lokala verksamhetssystem. Frågan är inte Entra eller något annat, utan vad som fyller Entra – och allt annat – med rätt information vid rätt tidpunkt.
Hur lång tid tar det att införa livscykelautomatik? Det beror mindre på tekniken och mer på datakvaliteten i HR-källan och antalet system som ska kopplas på. Det brukar ta 8-12 veckor för ett införande av Identum's lösning för grundflödet HR → AD/Entra, därefter system för system. Det viktiga är att ta lågt hängande frukter först, så att man skapar värde för organisationen så snabbt som möjligt.
Vad är skillnaden mellan IAM och IGA? IAM (identitets- och behörighetshantering) är samlingsbegreppet: hela hanteringen av identiteter, konton och behörigheter. IGA (Identity Governance and Administration) betonar styrnings- och granskningsdelen – attesteringar, regelefterlevnad, revisionsspår. I praktiken behöver en kommun båda: automatiken som gör jobbet och styrningen som bevisar att jobbet blev rätt gjort.