Metropolia
...
Ammattikorkeakoulun käyttäjähallinnon kuvaus
...
Versio
...
Tekijä
...
...
0.2
...
Jukka Veikkolainen
...
3.2.2009
Tässä dokumentissa ollaan kiinnostuneita käyttäjätietokannan ja sen tietojen ajantasaisuuden toteutuksen yleisistä periaatteista sellaisella tasolla, joka antaa riittävät tiedot käyttäjätietojen laadun ja ajantasaisuuden arvioimiseksi.
...
Tässä dokumentissa käyttäjätietokannalla tarkoitetaan sitä loppukäyttäjien attribuuttien joukkoa, johon organisaation Identity Provider-palvelin tukeutuu. Käyttäjätietokannan tekninen toteutus voi olla esim. LDAP-hakemisto tai relaatiotietokanta, tai niiden yhdistelmä niin, että Identity Provider -palvelin noutaa osan attribuuteista LDAP-hakemistosta ja osan JDBC:n yli opiskelijarekisteristä.
1. Käyttäjätietokannan ja perusrekistereiden kytkentä
1.1.
...
Perusrekisteri
Lähtöoletuksena on, että opiskelijarekisterin Perusrekisterin henkilötiedot ovat ajantasallaajan tasalla.
Miten käyttäjätietokanta on kytketty opiskelijarekisteriinPerusrekisteriin?
Opiskelijarekisteri Perusrekisteri on Winhan relaatiotietokanta, joka on kytketty käyttäjätietokantaan reaaliaikaisesti triggereiden käynnistäessä tietojen synkronoinnin.
1.1.1. Uusi opiskelija
Miten uuden opiskelijan tiedot päivittyvät opiskelijarekisteristä Perusrekisteristä käyttäjätietokantaan?
Uuden opiskelijan tiedot päivittyvät käyttäjätietokantaan reaaliaikaisesti. Käyttäjälle muodostetaan näiden tietojen perusteella automaattisesti käyttäjätunnus. Jos henkilöllä on jo käyttäjätunnus, uutta tunnusta ei luoda.
...
Tunnusta ei luoda mikäli opiskelupaikkaa ei oteta vastaan. Poissaolevaksi ilmoittautuvan opiskelijan tunnus pysyy toiminnassa mutta opiskelijarooli poistuu.
1.1.2. Opiskelijan tiedoissa tapahtuu muutos
Miten opiskelijan muuttuneet tiedot päivittyvät opiskelijarekisteristä Perusrekisteristä käyttäjätietokantaan?
Opiskelijan muuttuneet tiedot päivittyvät käyttäjätietokantaan reaaliaikaisesti.
1.1.3. Opiskelija lakkaa olemasta opiskelija
Koska organisaatio (esim. opintoasiainhallinto) katsoo, että opiskelija lakkaa olemasta opiskelija
a) sen jälkeen kun opiskelija valmistuu?
b) sen jälkeen kun lukukausi vaihtuu, ja opiskelija ei ole ilmoittautunut läsnäolevaksi?
c) sen jälkeen kun opiskelija ilmoittaa keskeyttävänsä opinnot?
...
a) valmistuminen merkitään opintorekisteriin valmistumiskokouksen jälkeen
b) n. 2kk syyslukukauden alkamisen jälkeen
c) opintojen keskeyttäminen merkitään opintorekisteriin heti kun asia on käsitelty
Opiskelijarooli päättyy Kirjautuminen Haka-infrastruktuurin palveluihin estyy välittömästi näiden merkintöjen teon jälkeen.
1.2. Henkilökuntarekisteri
Henkilörekisteri on HR-järjestelmän relaatiotietokanta, joka on kytketty käyttäjätietokantaan lyhyin väliajoin pollattavan, viimeiset muutokset näyttävän näkymän kautta.
1.2.1. Uusi työntekijä
Uuden työntekijän tiedot päivittyvät käyttäjätietokantaan lähes reaaliaikaisesti. Käyttäjälle muodostetaan näiden tietojen perusteella automaattisesti käyttäjätunnus. Jos henkilöllä on jo käyttäjätunnus, uutta tunnusta ei luoda.Uusi työntekijä saa käyttäjätunnuksen perehdytyksen yhteydessä.
1.2.2. Työntekijän tiedoissa tapahtuu muutos
Työntekijän muuttuneet tiedot päivittyvät käyttäjätietokantaan lähes reaaliaikaisesti.
1.2.3. Työntekijä lakkaa olemasta työntekijä
Työntekijä lakkaa olemasta työntekijä, kun hänellä ei ole voimassaolevaa työ- tai virkasuhdetta. Tällöin myös oikeus käyttäjätunnukseen päättyy tämän roolin perusteella . Tunnus sulkeutuu automaattisesti työ- tai virkasuhteen päättyttyä 14 vuorokauden kuluessaja kirjautuminen Haka-infrastruktuurin palveluihin estyy välittömästi.
1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus
Onko organisaatiossa vielä jotain muita käyttäjiä, joilla on käyttäjätunnus ja jotka voivat kirjautua Identity Provider -palvelimen kautta Haka-infrastruktuurin palveluihin (Suomen Akatemian tutkijat? Ravintolahenkilökunta? Siviilipalvelusmiehet? Dosentit? Alumnit? Emeritukset? Kirjaston asiakkaat?). Minkälainen haku- ja hyväksymismenettely näihin tunnuksiin liittyy?
Miten heidän käyttäjätietojensa ajantasaisuus ja sulkeutuminen/roolitiedon päivittyminen on varmistettu?
Sellaiset käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-infrastruktuurin tarkoittamia loppukäyttäjiä, eikä heidän kirjautumistaan Identity Provider -palvelimen kautta palveluihin tule sallia.
Ainoastaan Metropolian opiskelijat ja henkilökunta voivat kirjautua Haka-infrastruktuurin palveluihin.
2. Henkilöllisyyden todentaminen
2.1. Käyttäjätunnuksen antamisen yhteydessä
Millä tavalla uuden käyttäjän henkilöllisyys todennetaan, kun hänelle annetaan käyttäjätunnus?Henkilöllisyys todennetaan kuvallisesta henkilöllisyystodistuksesta.
Käyttäjätunnuksen saa tunnistautumalla pankkitunnusten tai mobiilivarmenteen avulla osoitteessa http://salasana.metropolia.fi
Sekä opiskelija, että työntekijä (jolla ei ole suomalaisia pankkitunnuksia) voi saada aktivointiin tarvittavat tunnus- ja aktivointitiedot muilla tavoin (ohje)
2.2. Kun käyttäjä kirjautuu käyttäjätunnuksensa avulla
Salasanatodennukseen liittyvät laatuvaatimukset.
Mahdolliset käytettävissä olevat salasanaa tukevammat autentikointimenetelmät.
Salasanan minimipituus on 8 merkkiä.
3. Käyttäjätietokannassa saatavilla olevat tiedot
Lisätietoja funetEduPerson-skeemasta (ver 2.0) on täällä_._
Rasti kohtaan "Saatavuus", jos kyseinen henkilötieto on ajantasalla ja siten saatavilla Identity Provider -palvelimen yli.
Kohtaan "Miten ajantasaisuus turvataan" esimerkiksi viittaus luvun 1. järjestelmiin.
Jos organisaatiolla on omia (ei siis funetEduPersonin mukaisia) attribuutteja, jotka näkyvät ulospäin Identity Provider-palvelimesta, lisää ne taulukon loppuun. Tarvittaessa linkki dokumenttiin, joka tarkemmin kuvailee omien attribuuttien skeeman.
Attribuutti | Saatavuus | Miten ajantasaisuus turvataan | Muuta (esim. tulkintaohje) |
---|---|---|---|
cn / commonName | x | päivittyy reaaliaikaisesti | MUST |
description |
|
|
|
displayName | x | päivittyy reaaliaikaisesti | MUST |
employeeNumber |
|
|
|
facsimileTelephoneNumber |
|
|
|
givenName |
|
|
|
homePhone |
|
|
|
homePostalAddress |
|
|
|
jpegPhoto |
|
|
|
l / localityName |
|
|
|
labeledURI |
|
|
|
|
|
| |
mobile |
|
|
|
o / organizationName |
|
|
|
ou / organizationalUnitName |
|
|
|
postalAddress |
|
|
|
postalCode |
|
|
|
preferredLanguage |
|
|
|
seeAlso |
|
|
|
sn / surname | x | päivittyy reaaliaikaisesti | MUST |
street |
|
|
|
telephoneNumber |
|
|
|
title |
|
|
|
uid |
|
|
|
userCertificate |
|
|
|
eduPersonAffiliation |
|
| Mitä arvoja on saatavilla? |
eduPersonEntitlement |
|
|
|
eduPersonNickName |
|
|
|
eduPersonOrgDN |
|
|
|
eduPersonOrgUnitDN |
|
|
|
eduPersonPrimaryAffiliation |
|
|
|
eduPersonPrimaryOrgUnitDN |
|
|
|
eduPersonPrincipalName | x |
| MUST |
eduPersonScopedAddiliation |
|
|
|
eduPersonTargetedID |
|
|
|
schacMotherTongue |
|
|
|
schacGender |
|
|
|
schacDateOfBirth |
|
|
|
schacPlaceOfBirth |
|
|
|
schacCountryOfCitizenship |
|
|
|
schacHomeOrganization | x |
| MUST. metropolia.fi |
schacHomeOrganizationType | x |
| MUST. urn:mace:terena.org:schac:homeOrganizationType:fi:polytechnic |
schacCountryOfResidence |
|
|
|
schacUserPresenceID |
|
|
|
schacPersonalUniqueCode |
|
|
|
schacPersonalUniqueID |
|
|
|
schacUserStatus |
|
|
|
funetEduPersonHomeOrganization |
|
| superseded |
funetEduPersonStudentID |
|
| superseded |
funetEduPersonIdentityCode |
|
| superseded |
funetEduPersonDateOfBirth |
|
| superseded |
funetEduPersonTargetDegreeUniversity |
|
| superseded |
funetEduPersonTargetDegreePolytech |
|
| superseded |
funetEduPersonTargetDegree |
|
|
|
funetEduPersonEducationalProgramUniv |
|
| superseded |
funetEduPersonEducationalProgramPolytech |
|
| superseded |
funetEduPersonProgram | x | päivittyy reaaliaikaisesti |
|
funetEduPersonMajorUniv |
|
| superseded |
funetEduPersonOrientationAlternPolytech |
|
| superseded |
funetEduPersonSpecialisation |
|
|
|
funetEduPersonStudyStart |
|
|
|
funetEduPersonPrimaryStudyStart |
|
|
|
funetEduPersonStudyToEnd |
|
|
|
funetEduPersonPrimaryStudyToEnd |
|
|
|
funetEduPersonCreditUnits |
|
|
|
funetEduPersonECTS |
|
|
|
funetEduPersonStudentCategory |
|
|
|
funetEduPersonStudentStatus |
|
|
|
funetEduPersonStudentUnion |
|
| Mikä arvo on käytössä? |
funetEduPersonHomeCity |
|
|
|
funetEduPersonEPPNTimeStamp |
|
|
|
3. Käyttäjätietokannasta luovutettavat tiedot
Attribuuttitestipalvelu: https://rr.funet.fi/attribute-test/
Palvelussa voi tarkistaa mitä tietoja Metropolian IdP-palvelin omalta käyttäjätunnukselta luovuttaa.
4. Muuta
4.1. Kardinaliteetit
Yksi henkilöllisyys per tosielämän käyttäjä, vai
Yksi henkilöllisyys per rooli (esim. opiskelija-työntekijällä kaksi käyttäjätunnusta)?
Yksi henkilöllisyys per tosielämän käyttäjä.
4.2. EduPersonPrincipalNamen revokointi ja kierrätys
Voiko eduPersonPrincipalName vaihtua?
Millä tavalla organisaatio kierrättää vapautuneita eduPersonPrincipalName-arvoja?
...
Vapautuneet eduPersonPrincipalname:t pidetään varattuna vähintään kaksi vuotta.