Versio | Tekijä | Päiväys |
|---|---|---|
| 0.8 | Jukka Veikkolainen | 30.5.2016 |
| 0.7 | Jukka Veikkolainen | 13.6.2013 |
0.6 | Jukka Veikkolainen | 26.10.2010 |
0.5 | Jukka Veikkolainen | 27.1.2010 |
0.4 | Jukka Veikkolainen | 23.3.2009 |
0.3 | Jukka Veikkolainen | 19.3.2009 |
0.2 | Jukka Veikkolainen | 3.2.2009 |
Tässä dokumentissa ollaan kiinnostuneita käyttäjätietokannan ja sen tietojen ajantasaisuuden toteutuksen yleisistä periaatteista sellaisella tasolla, joka antaa riittävät tiedot käyttäjätietojen laadun ja ajantasaisuuden arvioimiseksi.
Kotiorganisaatio asettaa tämän dokumentin www:hen kaikkien saataville ja päivittää sitä oma-aloitteisesti, kun muutoksia tulee. Dokumentti linkitetään Haka-infrastruktuurin kotisivulta.
Tässä dokumentissa käyttäjätietokannalla tarkoitetaan sitä loppukäyttäjien attribuuttien joukkoa, johon organisaation Identity Provider-palvelin tukeutuu. Käyttäjätietokannan tekninen toteutus voi olla esim. LDAP-hakemisto tai relaatiotietokanta, tai niiden yhdistelmä niin, että Identity Provider -palvelin noutaa osan attribuuteista LDAP-hakemistosta ja osan JDBC:n yli opiskelijarekisteristä.
Lähtöoletuksena on, että Perusrekisterin henkilötiedot ovat ajan tasalla.
Miten käyttäjätietokanta on kytketty Perusrekisteriin?
Perusrekisteri on relaatiotietokanta, joka on kytketty käyttäjätietokantaan reaaliaikaisesti triggereiden käynnistäessä tietojen synkronoinnin.
Miten uuden opiskelijan tiedot päivittyvät Perusrekisteristä käyttäjätietokantaan?
Uuden opiskelijan tiedot päivittyvät käyttäjätietokantaan reaaliaikaisesti. Käyttäjälle muodostetaan näiden tietojen perusteella automaattisesti käyttäjätunnus. Jos henkilöllä on jo käyttäjätunnus, uutta tunnusta ei luoda.
Koska uusi opiskelija saa käyttäjätunnuksen/opiskelijaroolin?
Uusi opiskelija saa käyttäjätunnuksen otettuaan opiskelupaikan vastaan ja opiskelijaroolin ilmoittauduttuaan läsnäolevaksi.
Mitä tunnukselle tapahtuu, jos uusi opiskelija ei ota opiskelupaikkaa vastaan, tai ottaa paikan vastaan mutta ilmoittautuu poissaolevaksi?
Tunnusta ei luoda mikäli opiskelupaikkaa ei oteta vastaan. Poissaolevaksi ilmoittautuvan opiskelijan tunnus pysyy toiminnassa.
Miten opiskelijan muuttuneet tiedot päivittyvät Perusrekisteristä käyttäjätietokantaan?
Opiskelijan muuttuneet tiedot päivittyvät käyttäjätietokantaan reaaliaikaisesti.
Koska organisaatio (esim. opintoasiainhallinto) katsoo, että opiskelija lakkaa olemasta opiskelija a) sen jälkeen kun opiskelija valmistuu? b) sen jälkeen kun lukukausi vaihtuu, ja opiskelija ei ole ilmoittautunut läsnäolevaksi? c) sen jälkeen kun opiskelija ilmoittaa keskeyttävänsä opinnot?
Kuinka kauan ylläolevien tapahtumien jälkeen kestää, että organisaatio (esim. tietohallinto) sulkee opiskelijan käyttäjätunnuksen tai poistaa opiskelijaroolin?
a) valmistuminen merkitään opintorekisteriin valmistumiskokouksen jälkeen
b) n. 2kk syyslukukauden alkamisen jälkeen
c) opintojen keskeyttäminen merkitään opintorekisteriin heti kun asia on käsitelty
Kirjautuminen Haka-infrastruktuurin palveluihin estyy välittömästi näiden merkintöjen teon jälkeen.
Henkilörekisteri on HR-järjestelmän relaatiotietokanta, joka on kytketty käyttäjätietokantaan lyhyin väliajoin pollattavan, viimeiset muutokset näyttävän näkymän kautta.
Uuden työntekijän tiedot päivittyvät käyttäjätietokantaan lähes reaaliaikaisesti. Käyttäjälle muodostetaan näiden tietojen perusteella automaattisesti käyttäjätunnus. Jos henkilöllä on jo käyttäjätunnus, uutta tunnusta ei luoda.
Työntekijän muuttuneet tiedot päivittyvät käyttäjätietokantaan lähes reaaliaikaisesti.
Työntekijä lakkaa olemasta työntekijä, kun hänellä ei ole voimassaolevaa työ- tai virkasuhdetta. Tällöin myös oikeus käyttäjätunnukseen päättyy tämän roolin perusteella ja kirjautuminen Haka-infrastruktuurin palveluihin estyy välittömästi.
Onko organisaatiossa vielä jotain muita käyttäjiä, joilla on käyttäjätunnus ja jotka voivat kirjautua Identity Provider -palvelimen kautta Haka-infrastruktuurin palveluihin (Suomen Akatemian tutkijat? Ravintolahenkilökunta? Siviilipalvelusmiehet? Dosentit? Alumnit? Emeritukset? Kirjaston asiakkaat?). Minkälainen haku- ja hyväksymismenettely näihin tunnuksiin liittyy?Miten heidän käyttäjätietojensa ajantasaisuus ja sulkeutuminen/roolitiedon päivittyminen on varmistettu?Sellaiset käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-infrastruktuurin tarkoittamia loppukäyttäjiä, eikä heidän kirjautumistaan Identity Provider -palvelimen kautta palveluihin tule sallia.
Ainoastaan Metropolian opiskelijat ja henkilökunta voivat kirjautua Haka-infrastruktuurin palveluihin.
Millä tavalla uuden käyttäjän henkilöllisyys todennetaan, kun hänelle annetaan käyttäjätunnus?
Käyttäjätunnuksen saa tunnistautumalla pankkitunnusten tai mobiilivarmenteen avulla osoitteessa http://salasana.metropolia.fi
Opiskelija (jolla ei ole suomalaisia pankkitunnuksia) voi myös saada käyttäjätunnustiedot helpdeskistä tai opintotoimistosta. Opiskelijan henkilöllisyys tarkistetaan ennen tietojen luovuttamista.
Työntekijä (jolla ei ole suomalaisia pankkitunnuksia) voi myös saada käyttäjätunnustiedot helpdeskistä tai lähiesimieheltä. Työntekijän henkilöllisyys tarkistetaan työsopimuksen teon yhteydessä ja aina, jos henkilö ei ole ennestään tuttu.
Salasanatodennukseen liittyvät laatuvaatimukset. Mahdolliset käytettävissä olevat salasanaa tukevammat autentikointimenetelmät.
Salasanan minimipituus on 8 merkkiä.
Attribuutti | Saatavuus | Miten ajantasaisuus turvataan | Muuta (esim. tulkintaohje) |
|---|---|---|---|
cn / commonName | x | päivittyy reaaliaikaisesti | MUST |
description | |||
displayName | x | päivittyy reaaliaikaisesti | MUST |
employeeNumber | |||
facsimileTelephoneNumber | |||
givenName | |||
homePhone | |||
homePostalAddress | |||
jpegPhoto | |||
l / localityName | |||
labeledURI | |||
x | |||
mobile | x | ||
| nationaldentificationNumber | x | ||
o / organizationName | |||
ou / organizationalUnitName | |||
postalAddress | |||
postalCode | |||
preferredLanguage | x | ||
seeAlso | |||
sn / surname | x | päivittyy reaaliaikaisesti | MUST |
street | |||
telephoneNumber | |||
title | |||
uid | x | ||
userCertificate | |||
eduPersonAffiliation | x | Mitä arvoja on saatavilla? | |
eduPersonEntitlement | |||
eduPersonNickName | |||
eduPersonOrgDN | |||
eduPersonOrgUnitDN | |||
eduPersonPrimaryAffiliation | x | ||
eduPersonPrimaryOrgUnitDN | |||
eduPersonPrincipalName | x | MUST | |
eduPersonScopedAddiliation | x | ||
eduPersonTargetedID | x | ||
schacMotherTongue | |||
schacGender | |||
schacDateOfBirth | |||
schacPlaceOfBirth | |||
schacCountryOfCitizenship | |||
schacHomeOrganization | x | MUST. metropolia.fi | |
schacHomeOrganizationType | x | MUST. urn:schac: | |
schacCountryOfResidence | |||
schacUserPresenceID | |||
schacPersonalUniqueCode | |||
schacPersonalUniqueID | x | ||
schacUserStatus | |||
funetEduPersonHomeOrganization | superseded | ||
funetEduPersonStudentID | superseded | ||
funetEduPersonIdentityCode | superseded | ||
funetEduPersonDateOfBirth | superseded | ||
funetEduPersonTargetDegreeUniversity | superseded | ||
funetEduPersonTargetDegreePolytech | superseded | ||
funetEduPersonTargetDegree | |||
funetEduPersonEducationalProgramUniv | superseded | ||
funetEduPersonEducationalProgramPolytech | superseded | ||
funetEduPersonProgram | x | päivittyy reaaliaikaisesti | |
funetEduPersonMajorUniv | superseded | ||
funetEduPersonOrientationAlternPolytech | superseded | ||
funetEduPersonSpecialisation | |||
funetEduPersonStudyStart | |||
funetEduPersonPrimaryStudyStart | |||
funetEduPersonStudyToEnd | |||
funetEduPersonPrimaryStudyToEnd | |||
funetEduPersonCreditUnits | |||
funetEduPersonECTS | |||
funetEduPersonStudentCategory | |||
funetEduPersonStudentStatus | |||
funetEduPersonStudentUnion | Mikä arvo on käytössä? | ||
funetEduPersonHomeCity | |||
funetEduPersonEPPNTimeStamp |
Yksi henkilöllisyys per tosielämän käyttäjä, vaiYksi henkilöllisyys per rooli (esim. opiskelija-työntekijällä kaksi käyttäjätunnusta)?
Yksi henkilöllisyys per tosielämän käyttäjä.
Voiko eduPersonPrincipalName vaihtua?Millä tavalla organisaatio kierrättää vapautuneita eduPersonPrincipalName-arvoja?
Käyttäjätunnus ja eduPersonPrincipalname vaihdetaan vain erittäin painavasta syystä.
Vapautuneet eduPersonPrincipalname:t pidetään varattuna vähintään kaksi vuotta.