Fleksibel desktop
BR har tidligere i budget 08 og budget 10 afsat i alt 18,3 mio. kr til Single Sign On (SSO), Virtual Desktop Infrastucture (VDI) og Identity Management (IDM). SSO programmellet muliggør, at der kun anvendes ét netværkskendeord til fagsystemer. IDM er et værktøj til automatiseret brugeradministration og VDI har brugerprogrammel centralt på servere i stedet for PC’en.
Økonomiforvaltningens Koncernservice har i foråret 2011 gennemført en pilotdrift med SSO og VDI, og skal i denne måned, jf. orienteringen til Økonomiudvalget d. 31. maj 2011, redegøre for en vurdering af teknologierne samt de videre skridt. Herunder anvendelsen af de resterende 6,1 mio. kr.
Indstilling og beslutning
Økonomiforvaltningen indstiller at Økonomiudvalget over for Borgerrepræsentationen anbefaler,
1. at vurderingen af SSO, VDI og IDM i nærværende indstilling tages til efterretning
2. at SSO implementeres hos op til 3000 IT-brugere i kommunen
3. at en løsning til password reset af netværkskendeord implementeres hos de IT-brugere, som ikke omfattes af SSO
4. at der udvikles og implementeres digitale autorisationsblanketter til styring af brugerrettigheder, og medarbejdertyper til systemrettigheder
5. at der igangsættes en foranalyse vedr. mulig løsning af samling af medarbejderes autorisationsdata
6. at der til finansiering af ovenstående gives en anlægsbevilling på i alt 6,3 mio. kr. (2011 p/l) fordelt med 3,4 mio. kr. i 2011 og 2,9 mio. kr. i 2012. Der anvises finansiering på 6,1 mio. kr. på bevillingen Koncernservice, anlæg, funktion 6.45.51.3, og 0,2 mio. kr. på Økonomisk forvaltning, anlæg, funktion 6.45.51.3
7. At driftsudgifterne (2011 p/l) på i alt 0,3 mio. kr. i 2011, 0,5 mio. kr. i 2012 og 1,1 mio.kr. fra 2013 og frem finansieres inden for Koncernservices egen ramme med baggrund i de forventede driftsgevinster af løsningerne
Problemstilling
Jf. notat på Økonomiudvalgets aflæggerbord af 31. maj 2011 ” Orientering vedr. implementering af Single Sign On og Identity management i kommunen”, skal der efter afslutning af pilotdrift for SSO og VDI i august 2011 fremlægges en indstilling til Økonomiudvalget med redegørelse for muligheden for implementering af løsningerne til alle brugere.
Formålet med SSO og VDI er, at gøre brugerens arbejdsplads fleksibel. SSO muliggør, at brugeren kun skal logge på én gang til samtlige fagsystemer og VDI medfører, at brugeren kan benytte forskellige arbejdspladser i løbet af dagen uden at skulle lukke systemet ned.
Såfremt det vurderes realistisk at gå videre med implementeringen vil indstillingen indeholde en businesscase, som redegør for implementeringsomkostningerne, implementeringshorisont samt realisering af effektiviseringsgevinster.
Løsning
Økonomiforvaltningens Koncernservice indgik efter en udbudsforretning i november 2010 på baggrund af budget 2008 og budget 2010 beslutningerne en kontrakt med Logica om SSO og VDI med IDM som option. Aftalen indebar, at der i foråret 2011 er blevet gennemført en pilotdrift af SSO og VDI, samt at der er mulighed for at købe yderligere licenser til en større udrulning i kommunen.
IDM blev ikke tilkøbt ved kontraktunderskrift, da det blev vurderet at være en for stor risiko at implementere alle tre elementer samtidigt, samt at investeringsbehovet var større end de midler, som blev afsat i budget 10 til IDM.
SSO programmellet muliggør, at medarbejdere kun skal benytte ét netværkskendeord for at logge på fagsystemer. IDM er et værktøj til automatiseret administration af it-brugere. VDI har brugerprogrammel centralt på servere i stedet for på PC’en, men med samme funktionalitet som en PC. Hos brugeren installeres en lille computer med skærm.
Erfaringer fra pilotdrift, samt vurdering af SSO, VDI og IDM
Pilotprojektet har indebåret, at 160 brugere i henholdsvis Kontaktcentret i Borgerservice, samt på Dortheagården i SUF har testet henholdsvis SSO og VDI.
Vedrørende SSO har testen vist en meget positiv brugertilbagemelding[1]. SSO opleves, som en stor hjælp i dagligdagen, når man skifter mellem at arbejde i mange forskellige systemer. Testen har vist, at man med et samlet password kan arbejde uhindret mellem op til de 14 systemer, som har været omfattet af pilotprojektet[2]. De tekniske vurderinger af løsningen, som Koncernservice har foretaget peger på, at løsningen kan udbredes til endnu flere systemer end de i testen omfattede.
SSO løsningen vurderes dermed samlet set at lette den enkelte brugers adgang til fagsystemer samt effektivisere administrationen hos KS vedr. oprettelse af nye password (netværkskendeord og kendeord til fagsystemer).
Det vurderes imidlertid ikke, at løsningen vil være anvendelig i forhold til alle IT-brugere i kommunen. Løsningen skaber primært værdi for de brugere, som opererer i mange IT-systemer. I samråd med forvaltningernes IT-chefer er det Økonomiforvaltningens vurdering, at SSO løsningen med fordel vil kunne udrulles til 3000 IT-brugere i kommunen. Det anbefales derfor, at der arbejdes videre med en implementering af SSO i Københavns Kommune på op til 3000 IT-brugere. Det vurderes, at udrulning til 1000 brugere kan ske i 2011 og udrulning til resterende 2000 brugere kan være afsluttet ved udgange af 2012 afhængig af, hvor mange systemer løsningen skal omfatte.
VDI løsningen har i den gennemførte brugertest oplevet knap så gode resultater.
Ideen med skift fra PC til VDI var god[3], men driftsstabiliteten ultimo maj og primo juni var af svingende karakter, hvilket skabte utilfredshed hos brugerne[4]. Det lykkedes dog at køre stabil drift ved afslutningen af pilotdriften.
VDI teknologien forudsætter økonomiske investeringer, da etableringsomkostninger til netværk, hardware og software medfører, at den økonomiske gevinst først kan høstes på et senere tidspunkt sammenlignet med Kommunens PC udgift.
IDM har ikke været en del af pilotdriften. Gartner Group har imidlertid i forbindelse med pilotdriften af SSO og VDI foretaget en analyse af IDM-området i Koncernservice for nærmere at vurdere potentialet ved implementering af IDM. I denne analyse har Gartner tilkendegivet, at investeringsbehovet er større end de afsatte midler i budget10, men at effektiviseringerne også forventes at være større end de i budget10 besluttede, når en fuld udrulning af IDM-løsningen er sket.
Gartner har imidlertid samtidig understreget, at der er tale om et komplekst implementeringsprojekt, som forudsætter at bl.a. kommunens grunddata er helt på plads. Endelig anslår Gartner, at implementeringen af IDM vil tage minimum to år. Økonomiforvaltningens Koncernservice anbefaler, på baggrund af kommunens aktuelle modenhed på området, at der ikke på nuværende tidspunkt arbejdes videre med implementering af en egentlig IDM løsning i Københavns Kommune.
Der er enighed blandt kommunens forvaltninger om, at der fortsat er et potentiale samt kvalitets- og revisionsmæssige fordele i at implementere løsninger, der automatiserer administrationen af it-brugere. Det foreslås derfor, at der etableres en password reset løsning til de IT-brugere i kommunen, som ikke omfattes af SSO løsningen. Password reset løsningen vil gøre det muligt for kommunens brugere via en selvbetjeningsmodel selv at få et nyt kendeord, hvis det man har glemt det gamle eller har brug for et nyt. Denne løsning vurderes at reducere de 17.000 tusinde henvendelser om året vedrørende bestilling af nyt password med op til 75%. Det forventes, at løsningen er udrullet til alle relevante IT brugere i 2012.
I regi af administrationsplanprojektet er der sket en kortlægning af processerne vedrørende administration af rettigheder til it-brugerne i kommunen. Opgaven er næsten fuldt centraliseret i Koncernservice, men der er en effektivisering at hente ved at forbedre it-understøttelsen af processerne, der i dag foregår primært manuelt. Forvaltningerne er enige om, at udviklingen af en digital blanket til anmodninger om brugerrettigheder og udarbejdelse af såkaldte medarbejdertyper til systemrettigheder, vil give både kvalitetsmæssige og effektivitetsmæssige forbedringer. Samlet set vil effektiviseringen i forvaltningerne og Koncernservice være på 2,8 mio. kr. når løsningerne er fuldt indfaset i 2013. Effektiviseringen leverer dermed en væsentlig del af den manglende effektivisering fra budget 2010.
Endelig foreslås igangsat en kortlægning af, hvordan en samling af autorisationsdata på alle medarbejdere vil kunne etableres. Samling af medarbejdernes autorisationsdata vil kunne skabe et overblik, som i dag ikke er tilgængelig i Kommunen og vil imødekomme revisionens krav om bedre overblik over medarbejdernes autorisationsdata, samt at der kan foretages en løbende kontrol af, at den enkelte medarbejder kun har de autorisationer, der er nødvendige for arbejdets udførsel. Kommunen har modtaget en revisionspåtegning for manglende overblik over medarbejderes autorisationer og for at der ikke foretages en løbende kontrol og opfølgning. Foranalysen forventes at kunne sættes i gang 2. kvartal 2012 og en endelig implementering vil strække sig over et par år.
[1] Brugertilfredshed 3,72 hvor 5 er yderst tilfreds
[2] CPR2 grafisk, Indkøb Kør, CICS 1, Pas og Kørekort, Vagtplan, Visitation, Løn og Fravær, KMD Institution grafisk, KMD Sag Basis og Journal grafisk, KMD Social Pension grafisk, Kommunal sygesikring, KOS Journal, KOS Plejehjem og Skattemappen via digital signatur
[3] Brugertilfredshed 2,74 hvor 5 er yderst tilfreds
[4] Brugertilfredshed på systemets stabilitet 2,22 hvor 5 er yderst tilfreds
Økonomi
Der er samlet 6,1 mio. kr. reserveret til den videre implementering af SSO, VDI og IDM i kommunens budget.
De 4 foreslåede løsninger skaber behov for en anlægsinvestering på i alt 6,275 mio. kr. Økonomiforvaltningen finansierer inden for sit nuværende budget mankoen på 175 t. kr.
Tabel 1. Forslagets omkostninger
|
1.000 kr. 2011 p/l |
2011 |
2012 |
2013 |
2014 |
||
SSO |
|||||||
Anlægsinvestering |
1.280 |
2.295 |
|
|
|
||
Driftsomkostninger ved ny løsning (varig driftsudgift) |
26 |
157 |
1.007 |
1.007 |
|
||
Password-reset |
|||||||
Anlægsinvestering |
544 |
106 |
|
|
|
||
Driftsudgifter til implementering (midlertidig driftsudgift) |
140 |
|
|
|
|
||
Driftsomkostninger ved ny løsning (varig driftsudgift) |
19 |
75 |
75 |
75 |
|
||
Digital autorisation og medarbejdertyper |
|
||||||
Anlægsinvestering |
1.550 |
|
|
|
|
||
Driftsomkostninger |
131 |
261 |
|
|
|
||
Kortlægning autorisationsdata |
|||||||
Anlægsinvestering |
|
500 |
|
|
|
||
Samlede omkostninger |
|
||||||
Samlet anlægsinvestering |
3.374 |
2.901 |
|
|
|
||
Driftsomkostninger ved ny løsning |
316 |
493 |
1.082 |
1.082 |
|
||
SSO: Anlægsinvestering anvendes til projektledelse, køb og installation af 1000 licenser i 2011 og en option på køb af 2000 licenser i 2012, undervisning og support samt videreudvikling af fagsystemer der kan tilgå SSO. SSO licenser koster kr. 311 pr. bruger med en årlig vedligeholdelsesudgift på kr. 70 efter de første 12. mdr. Såfremt at det ikke er en fornuftig businesscase med tilkøb af alle 3000 licenser, kan midlerne omdisponeres til etablering af autorisationsdata jf. neden for.
Password - reset: Anlægsinvestering anvendes til projektledelse, køb af software implementering af løsningen samt undervisning og support.
Driftsudgiften finansieres af KS.
Digital autorisation og medarbejdertyper: Koncernservice foretager udviklingen af den digitale blanket. Omkostningerne hertil estimeres at være 700 t. kr. i anlæg. Heri indgår desuden midler til videreudvikling af løsningen, når medarbejdertyperne er definerede.
For at definere medarbejdertyperne afsættes 700 t.kr. i anlæg til projektledelse samt 150 t. kr. til konsulentbistand i forbindelse med forarbejdet.
Driftsudgiften finansieres af KS.
Foranalyse autorisationsdata: Anlægsinvestering vil være svarende til en fuldtidsmedarbejder i år 2012 3 mdr. samt ekstern konsulentbistand. Herudover vil systemejer i KK skulle levere oplysning til brug for foranalysen og udgiften hertil afholdes inden for egne rammer.
Videre proces
Indstillingen skal efter Økonomiudvalgets behandling forelægges Borgerrepræsentationen.
Aftale med leverandør om køb af Password-reset software forventes indgået i 2011.
Aftale med Leverandør om køb af option produktionsmodning vedr. SSO skal være indgået senest den 9. september 2011 med forbehold for BRs senere godkendelse.
Claus Juhl Bjarne Winge
Beslutning
Økonomiudvalgets beslutning den 6. september 2011
Indstillingen blev anbefalet.