...
Metropolia Ammattikorkeakoulun käyttäjähallinnon kuvaus
...
Versio
...
Tekijä
...
Päiväys
...
0.1
...
Jukka Veikkolainen
...
Tässä dokumentissa ollaan kiinnostuneita käyttäjätietokannan ja sen tietojen ajantasaisuuden toteutuksen yleisistä periaatteista sellaisella tasolla, joka antaa riittävät tiedot käyttäjätietojen laadun ja ajantasaisuuden arvioimiseksi.
...
Tässä dokumentissa käyttäjätietokannalla tarkoitetaan sitä loppukäyttäjien attribuuttien joukkoa, johon organisaation Identity Provider-palvelin tukeutuu. Käyttäjätietokannan tekninen toteutus voi olla esim. LDAP-hakemisto tai relaatiotietokanta, tai niiden yhdistelmä niin, että Identity Provider -palvelin noutaa osan attribuuteista LDAP-hakemistosta ja osan JDBC:n yli opiskelijarekisteristä.
1. Käyttäjätietokannan ja perusrekistereiden kytkentä
1.1.
...
Perusrekisteri
Lähtöoletuksena on, että opiskelijarekisterin Perusrekisterin henkilötiedot ovat ajantasallaajan tasalla.
Miten käyttäjätietokanta on kytketty opiskelijarekisteriin?Perusrekisteriin?
Perusrekisteri on relaatiotietokanta, joka on kytketty käyttäjätietokantaan reaaliaikaisesti triggereiden käynnistäessä tietojen synkronoinnin.
1.1.1. Uusi opiskelija
Miten uuden opiskelijan tiedot päivittyvät opiskelijarekisteristä Perusrekisteristä käyttäjätietokantaan?
Uuden opiskelijan tiedot päivittyvät käyttäjätietokantaan reaaliaikaisesti. Käyttäjälle muodostetaan näiden tietojen perusteella automaattisesti käyttäjätunnus. Jos henkilöllä on jo käyttäjätunnus, uutta tunnusta ei luoda.
Koska uusi opiskelija saa käyttäjätunnuksen/opiskelijaroolin?
Uusi opiskelija saa käyttäjätunnuksen otettuaan opiskelupaikan vastaan ja opiskelijaroolin ilmoittauduttuaan läsnäolevaksi.
Mitä tunnukselle tapahtuu, jos uusi opiskelija ei ota opiskelupaikkaa vastaan, tai ottaa paikan vastaan mutta ilmoittautuu poissaolevaksi?
Tunnusta ei luoda mikäli opiskelupaikkaa ei oteta vastaan. Poissaolevaksi ilmoittautuvan opiskelijan tunnus pysyy toiminnassa.
1.1.2. Opiskelijan tiedoissa tapahtuu muutos
Miten opiskelijan muuttuneet tiedot päivittyvät opiskelijarekisteristä Perusrekisteristä käyttäjätietokantaan?
Opiskelijan muuttuneet tiedot päivittyvät käyttäjätietokantaan reaaliaikaisesti.
1.1.3. Opiskelija lakkaa olemasta opiskelija
Koska organisaatio (esim. opintoasiainhallinto) katsoo, että opiskelija lakkaa olemasta opiskelija
a) sen jälkeen kun opiskelija valmistuu?
b) sen jälkeen kun lukukausi vaihtuu, ja opiskelija ei ole ilmoittautunut läsnäolevaksi?
c) sen jälkeen kun opiskelija ilmoittaa keskeyttävänsä opinnot?
Kuinka kauan ylläolevien tapahtumien jälkeen kestää, että organisaatio (esim. tietohallinto) sulkee opiskelijan käyttäjätunnuksen tai poistaa opiskelijaroolin?
a) valmistuminen merkitään opintorekisteriin valmistumiskokouksen jälkeen
b) n. 2kk syyslukukauden alkamisen jälkeen
c) opintojen keskeyttäminen merkitään opintorekisteriin heti kun asia on käsitelty
Kirjautuminen Haka-infrastruktuurin palveluihin estyy välittömästi näiden merkintöjen teon jälkeen.
1.2. Henkilökuntarekisteri
Vastaavasti kuin edelläHenkilörekisteri on HR-järjestelmän relaatiotietokanta, joka on kytketty käyttäjätietokantaan lyhyin väliajoin pollattavan, viimeiset muutokset näyttävän näkymän kautta.
1.2.1. Uusi työntekijä
Uuden työntekijän tiedot päivittyvät käyttäjätietokantaan lähes reaaliaikaisesti. Käyttäjälle muodostetaan näiden tietojen perusteella automaattisesti käyttäjätunnus. Jos henkilöllä on jo käyttäjätunnus, uutta tunnusta ei luoda.
1.2.2. Työntekijän tiedoissa tapahtuu muutos
Työntekijän muuttuneet tiedot päivittyvät käyttäjätietokantaan lähes reaaliaikaisesti.
1.2.3. Työntekijä lakkaa olemasta työntekijä
Työntekijä lakkaa olemasta työntekijä, kun hänellä ei ole voimassaolevaa työ- tai virkasuhdetta. Tällöin myös oikeus käyttäjätunnukseen päättyy tämän roolin perusteella ja kirjautuminen Haka-infrastruktuurin palveluihin estyy välittömästi.
1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus
Onko organisaatiossa vielä jotain muita käyttäjiä, joilla on käyttäjätunnus ja jotka voivat kirjautua Identity Provider -palvelimen kautta Haka-infrastruktuurin palveluihin (Suomen Akatemian tutkijat? Ravintolahenkilökunta? Siviilipalvelusmiehet? Dosentit? Alumnit? Emeritukset? Kirjaston asiakkaat?). Minkälainen haku- ja hyväksymismenettely näihin tunnuksiin liittyy?
Miten heidän käyttäjätietojensa ajantasaisuus ja sulkeutuminen/roolitiedon päivittyminen on varmistettu?
Sellaiset käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-infrastruktuurin tarkoittamia loppukäyttäjiä, eikä heidän kirjautumistaan Identity Provider -palvelimen kautta palveluihin tule sallia.
Ainoastaan Metropolian opiskelijat ja henkilökunta voivat kirjautua Haka-infrastruktuurin palveluihin.
2. Henkilöllisyyden todentaminen
2.1. Käyttäjätunnuksen antamisen yhteydessä
Millä tavalla uuden käyttäjän henkilöllisyys todennetaan, kun hänelle annetaan käyttäjätunnus?
Käyttäjätunnuksen saa tunnistautumalla pankkitunnusten tai mobiilivarmenteen avulla osoitteessa http://salasana.metropolia.fi
Sekä opiskelija, että työntekijä (jolla ei ole suomalaisia pankkitunnuksia) voi saada aktivointiin tarvittavat tunnus- ja aktivointitiedot muilla tavoin (ohje)
2.2. Kun käyttäjä kirjautuu käyttäjätunnuksensa avulla
Salasanatodennukseen liittyvät laatuvaatimukset.
Mahdolliset käytettävissä olevat salasanaa tukevammat autentikointimenetelmät.
Salasanan minimipituus on 8 merkkiä.
3. Käyttäjätietokannassa saatavilla olevat tiedot
Lisätietoja funetEduPerson-skeemasta (ver 2.0) on täällä_._
Rasti kohtaan "Saatavuus", jos kyseinen henkilötieto on ajantasalla ja siten saatavilla Identity Provider -palvelimen yli.
Kohtaan "Miten ajantasaisuus turvataan" esimerkiksi viittaus luvun 1. järjestelmiin.
Jos organisaatiolla on omia (ei siis funetEduPersonin mukaisia) attribuutteja, jotka näkyvät ulospäin Identity Provider-palvelimesta, lisää ne taulukon loppuun. Tarvittaessa linkki dokumenttiin, joka tarkemmin kuvailee omien attribuuttien skeeman.
Attribuutti | Saatavuus | Miten ajantasaisuus turvataan | Muuta (esim. tulkintaohje) |
|---|---|---|---|
cn / commonName | x | päivittyy reaaliaikaisesti | MUST |
description |
|
|
|
displayName | x | päivittyy reaaliaikaisesti | MUST |
employeeNumber |
|
|
|
facsimileTelephoneNumber |
|
|
|
givenName |
|
|
|
homePhone |
|
|
|
homePostalAddress |
|
|
|
jpegPhoto |
|
|
|
l / localityName |
|
|
|
labeledURI |
|
|
|
|
|
| |
mobile |
|
|
|
o / organizationName |
|
|
|
ou / organizationalUnitName |
|
|
|
postalAddress |
|
|
|
postalCode |
|
|
|
preferredLanguage |
|
|
|
seeAlso |
|
|
|
sn / surname | x | päivittyy reaaliaikaisesti | MUST |
street |
|
|
|
telephoneNumber |
|
|
|
title |
|
|
|
uid |
|
|
|
userCertificate |
|
|
|
eduPersonAffiliation | x |
| Mitä arvoja on saatavilla? |
eduPersonEntitlement |
|
|
|
eduPersonNickName |
|
|
|
eduPersonOrgDN |
|
|
|
eduPersonOrgUnitDN |
|
|
|
eduPersonPrimaryAffiliation |
|
|
|
eduPersonPrimaryOrgUnitDN |
|
|
|
eduPersonPrincipalName | x |
| MUST |
eduPersonScopedAddiliation |
|
|
|
eduPersonTargetedID |
|
|
|
schacMotherTongue |
|
|
|
schacGender |
|
|
|
schacDateOfBirth |
|
|
|
schacPlaceOfBirth |
|
|
|
schacCountryOfCitizenship |
|
|
|
schacHomeOrganization | x |
| MUST. metropolia.fi |
schacHomeOrganizationType | x |
| MUST. urn:mace:terena.org:schac:homeOrganizationType:fi:polytechnic |
schacCountryOfResidence |
|
|
|
schacUserPresenceID |
|
|
|
schacPersonalUniqueCode |
|
|
|
schacPersonalUniqueID |
|
|
|
schacUserStatus |
|
|
|
funetEduPersonHomeOrganization |
|
| superseded |
funetEduPersonStudentID |
|
| superseded |
funetEduPersonIdentityCode |
|
| superseded |
funetEduPersonDateOfBirth |
|
| superseded |
funetEduPersonTargetDegreeUniversity |
|
| superseded |
funetEduPersonTargetDegreePolytech |
|
| superseded |
funetEduPersonTargetDegree |
|
|
|
funetEduPersonEducationalProgramUniv |
|
| superseded |
funetEduPersonEducationalProgramPolytech |
|
| superseded |
funetEduPersonProgram | x | päivittyy reaaliaikaisesti |
|
funetEduPersonMajorUniv |
|
| superseded |
funetEduPersonOrientationAlternPolytech |
|
| superseded |
funetEduPersonSpecialisation |
|
|
|
funetEduPersonStudyStart |
|
|
|
funetEduPersonPrimaryStudyStart |
|
|
|
funetEduPersonStudyToEnd |
|
|
|
funetEduPersonPrimaryStudyToEnd |
|
|
|
funetEduPersonCreditUnits |
|
|
|
funetEduPersonECTS |
|
|
|
funetEduPersonStudentCategory |
|
|
|
funetEduPersonStudentStatus |
|
|
|
funetEduPersonStudentUnion |
|
| Mikä arvo on käytössä? |
funetEduPersonHomeCity |
|
|
|
funetEduPersonEPPNTimeStamp |
|
|
|
3. Käyttäjätietokannasta luovutettavat tiedot
Attribuuttitestipalvelu: https://rr.funet.fi/attribute-test/
Palvelussa voi tarkistaa mitä tietoja Metropolian IdP-palvelin omalta käyttäjätunnukselta luovuttaa.
4. Muuta
4.1. Kardinaliteetit
Yksi henkilöllisyys per tosielämän käyttäjä, vai
Yksi henkilöllisyys per rooli (esim. opiskelija-työntekijällä kaksi käyttäjätunnusta)?
Yksi henkilöllisyys per tosielämän käyttäjä.
4.2. EduPersonPrincipalNamen revokointi ja kierrätys
Voiko eduPersonPrincipalName vaihtua?
Millä tavalla organisaatio kierrättää vapautuneita eduPersonPrincipalName-arvoja?
Käyttäjätunnus ja eduPersonPrincipalname vaihdetaan vain erittäin painavasta syystä.
Vapautuneet eduPersonPrincipalname:t pidetään varattuna vähintään kaksi vuotta.