IAM - Arkitekt - ATJ6224

Beskrivelse av oppdragetDIGA (Digitaliseringsavdelingen) er UDI sin IT-avdeling, som i tillegg til drift og vedlikeholdhar flere større pågående programmer.Det er nå et behov for bistand innenfor fellessystemet «utlendingsforvaltningen» med IAM,med fokus på samhandlingsaktører. Det er behov for bistand fra en seniorrådgiver knyttettil rollen autorisering/føderasjon. Ressursen vil jobbe med andre ressurser for å utarbeideMVP for IAM relatert til IdP (Keycloak) og PDP (OPA/Axiomatics).Vi ønsker en erfaren konsulent med sterk IAM-kompetanse innen føderering ogfingranulert tilgangsstyring. UDI jobber med modernisering av saksbehandlingsløsningensom brukes av flere virksomheter (samhandlingsaktører). Brukere skal autentiseres i sinerespektive virksomheter, men fødereres inn i en felles løsningsplattform, hvor policybasertog relasjonsbasert autorisering står i sentrum. I tillegg skal det tilbys løsning for åprovisjonere / deprovisjonere brukere og tilhørende roller/grupper via SCIM grensesnitt.Rollen har særlig fokus påEtablere føderert IDP (Identitetstilbyder plattform), på-vegne-av-funksjonalitet mellomsaksbehandlere og ledere fra samhandlingsaktører, hvor noen har fokus på å registrereinformasjon, verifisere og knytte informasjon til riktig brukerprofiler og person-objekter ogderes saker, mens andre aktører kan utføre kontrollfunksjoner, men selve saksbehandlerskal bruke løsningen og tilganger for å fatte vedtak. For å kunne fatte korrekt vedtak,trenger saksbehandler tilgang til all nødvendig informasjon, inkludert historisk informasjonog informasjon fra andre saker hvor søker har noe relasjon. IAM løsningen skal ogsåstøtte Zero trust med understøttelse av sikkerhetsbevis (access token) som flyter gjennomsikre API kall og verifikasjon av sikkerhetsbevis mot både IPD og PDP. I tillegg skal detunderstøttes med logging og funksjonalitet for sporing. Samt tett integrasjon mednasjonale felleskomponenter for IAM, slik som ansattporten.Arbeidsoppgaver• Designe og implementere IAM-løsninger for samhandlingsaktører• Etablere IDP for føderering som støtter SAML, OIDC / OAuth 2.0• Etablere SCIM-basert provisjonering og deprovisjonering• IAM integrere eksterne virksomheter og samhandlingsaktører• Utvikle selvbetjeningsløsninger for delegering av roller ressurser.• Etablere policy-, relasjons- og attributtbasert tilgangskontroll (PBAC, ReBAC,ABAC)• Integrere PDP-løsninger som OPA, Axiomatics eller tilsvarende• Bruke AuthZen mellom PEP og PDP• Sikre at access tokens / security tokens bærer nødvendige attesterte attributter• Bidra til sikker token-flyt og Zero Trust-arkitektur• Samarbeide tett med utviklingsteam, arkitekter og sikkerhetsmiljø• Veilede utviklingsteam i bruk av IAM• Oppdatere utviklingshåndboken• Konfigurerer å sette opp IAM produkter både i utviklingsmiljø, testmiljø ogproduksjonsmiljø.• Migrere eksisterende løsninger som benytter UDI EntraID til å benyttes felles IDPløsning.Kompetansekrav• Ressursen må ha mer enn 5 års erfaring med informasjonssikkerhet• Ressursen må ha formell utdannelse på Bachelorgrad nivå eller tilsvarende, innenfor IKT fagligområde eller IT-sikkerhet.• Lang og dokumentert erfaring knyttet til faglig omfang av forespørselen kan oppveie forkravet om bachelorgrad. Med lang erfaring menes mer enn 10 år• Ressursen må ha solid erfaring med IAM for samhandlingsaktører på tvers av flerevirksomheter.• Ressursen må ha god forståelse av OIDC, OAuth 2.0, SAML og god kjennskap tilføderering (SAML, OIDC).• Ressursen må ha erfaring med Keycloak (eller tilsvarende IDP), både konfigurasjon og drifti utvikling og produksjon (samt erfaring med (IaC, DevOps (Github Actions ellertilsvarende)), og kjennskap til Kubernetes.• Ressursen må ha erfaring med PDP/policy-basert autorisering (OPA, Axiomatics, Ping,Keycloak Authorization Services)• Ressursen bør ha erfaring med SCIM og produkter som understøtter SCIM• Ressursen bør ha forståelse for token-flyt, claims, attributter og autorisering på tvers avsystemlag basert på policy, relasjon og attributter.• Ressursen bør ha erfaring fra komplekse integrasjonslandskap• Ressursen bør ha kjennskap til Microsoft EntraID løsning.Personlige egenskaper• Utviklings- og løsningsorientert• Effektiv, systematisk og pragmatisk• Gode evner til å:o Lytte og involvere, men samtidig ta beslutningero Se detaljer og helhet samtidigo Arbeide strukturert og skape fremdrifto Sette seg raskt inn i komplekse problemstillinger• Meget gode ferdigheter i norsk muntlig og skriftlig• Pedagogisk evne og vilje til kompetansedeling• God samarbeidsegenskaper og teamorientert fokus• Gode kommunikasjonsegenskaperVilkårOmfang: Inntil 1500 timer (100%)Oppstart: Etter nærmere avtaleVarighet: 31.12.2026Opsjon: Med opsjon på forlengelse til utlø av rammeavtalen 30.04.2027Svarfrist: 02.03.2026 kl 16:00