Taideyliopiston käyttäjähallinnon kuvaus

Versio Muokkaaja Muutokset Päiväys
1.1 Juha Nyholm Lisätty FEP 2.2 attribuutit 13.07.2016
       

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Tässä dokumentissa kuvataan Taideyliopiston UniAulis-rekisterin (yleiskäyttöoikeuksien tietokanta) ja käyttäjätietokantojen (LDAP-hakemistot) toiminnallisuutta ja keskeisiä tietosisältöjä.

1.1. Opiskelijarekisteri

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla.

Miten käyttäjätietokanta on kytketty opiskelijarekisteriin?

 

Oodista (kahden tunnin välein päivittyvä lokaali kantakopio) luetaan henkilöitä koskevia tietoja UniAulis-järjestelmään (yleiskäyttöoikeuksien tietokanta).
Oodista luettuja tietoja rikastetaan UniAulis-järjestelmän toimesta. Rikastetut tiedot luetaan reaaliaikaisesti sisään IDM-järjestelmän LDAP-metahakemistoon JDBC-ajuria käyttäen.
LDAP-metahakemistosta käyttäjä- ja ryhmätiedot provisioidaan (reaaliaikaisesti) LDAP-autentikointihakemistoon. Shibboleth IdP kytkeytyy LDAP-autentikointihakemistoon.

1.1.1. Uusi opiskelija

Miten uuden opiskelijan tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?

Koska uusi opiskelija saa käyttäjätunnuksen/opiskelijaroolin?

Mitä tunnukselle tapahtuu, jos uusi opiskelija ei ota opiskelupaikkaa vastaan, tai ottaa paikan vastaan mutta ilmoittautuu poissaolevaksi?

 

Kaikille uusille opiskelupaikan vastaanottaneille opiskelijoille syntyy käyttäjätunnus yleiskäyttöoikeuksien tietokantaan (UniAulis) automaattisesti, Oodin läsnäolo- tai poissaoloilmoittautumistiedon perusteella.
Käyttäjätunnus syntyy uudelle opiskelijalle riippumatta siitä, ilmoittautuuko läsnä- vai poissaolevaksi.
Jos opiskelupaikkaa ei oteta vastaan, käyttäjätunnusta ei synny.

Käyttäjätunnus luovutetaan opiskelijalle pääsääntöisesti Taideyliopiston IT-käyttölupapalvelussa, johon tunnistaudutaan VETUMA-palvelua käyttäen.
Poikkeustapaukessa käyttäjätunnus voidaan luovuttaa opiskelijalle IT-tukipalvelupisteessä henkilöllisyystodistusta vastaan.

1.1.2. Opiskelijan tiedoissa tapahtuu muutos

Miten opiskelijan muuttuneet tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?

 

Muuttuneet tiedot päivittyvät automaattisesti: Oodi (kantakopio) --> UniAulis --> LDAP-metahakemisto --> LDAP-autentikointihakemisto ( --> Shibboleth IdP).

1.1.3. Opiskelija lakkaa olemasta opiskelija

Koska organisaatio (esim. opintoasiainhallinto) katsoo, että opiskelija lakkaa olemasta opiskelija
a) sen jälkeen kun opiskelija valmistuu?
b) sen jälkeen kun lukukausi vaihtuu, ja opiskelija ei ole ilmoittautunut läsnäolevaksi?
c) sen jälkeen kun opiskelija ilmoittaa keskeyttävänsä opinnot?

Kuinka kauan ylläolevien tapahtumien jälkeen kestää, että organisaatio (esim. tietohallinto) sulkee opiskelijan käyttäjätunnuksen tai poistaa opiskelijaroolin?

 

Opintohallinto:

Mikäli opiskelija ei ilmoittaudu yliopistoon määräaikana, hän menettää opiskeluoikeutensa.

Jos hän haluaa myöhemmin jatkaa opintojaan, hänen on haettava akatemialta kirjallisesti oikeutta päästä uudelleen opiskelijaksi.

Tutkinnon suorittaneen opiskelijan opiskeluoikeus päättyy sen lukukauden lopussa, jonka aikana hän on suorittanut tutkintonsa.

 

Tietohallinto:

Opiskelijoiden käyttäjätunnuksiin liittyy kaikissa yllämainituissa tapauksissa ns. armonaika (1 vuosi).

Käyttäjätunnus suljetaan kun on kulunut vuosi viimeisen läsnä- tai poissaololukukauden päättymisestä.

Opiskelijarooli poistuu käyttäjätunnukselta (Student --> Affiliate) armonajan ensimmäisen kuukauden jälkeen.

1.2. Henkilökuntarekisteri

Miten käyttäjätietokanta on kytketty henkilökuntarekisteriin?

 

Oodista (kahden tunnin välein päivittyvä lokaali kantakopio) ja Personec F –järjestelmästä luetaan henkilöitä koskevia tietoja UniAulis-järjestelmään (yleiskäyttöoikeuksien tietokanta).
Näitä luettuja tietoja rikastetaan UniAulis-järjestelmän toimesta. Rikastetut tiedot luetaan reaaliaikaisesti sisään IDM-järjestelmän LDAP-metahakemistoon JDBC-ajuria käyttäen.
LDAP-metahakemistosta käyttäjä- ja ryhmätiedot provisioidaan (reaaliaikaisesti) LDAP-autentikointihakemistoon. Shibboleth IdP kytkeytyy LDAP-autentikointihakemistoon.

1.2.1. Uusi työntekijä

Miten uuden työntekijän tiedot päivittyvät henkilökuntarekisteristä käyttäjätietokantaan?

Koska uusi työntekijä saa käyttäjätunnuksen/henkilökuntaroolin?

 

Uudelle työntekijälle syntyy käyttäjätunnus yleiskäyttöoikeuksien tietokantaan (UniAulis) automaattisesti, työsuhteen voimassaolon perusteella.

Käyttäjätunnus luovutetaan työntekijälle pääsääntöisesti Taideyliopiston IT-käyttölupapalvelussa, johon tunnistaudutaan VETUMA-palvelua käyttäen.
Poikkeustapaukessa käyttäjätunnus voidaan luovuttaa työntekijälle IT-tukipalvelupisteessä henkilöllisyystodistusta vastaan.

1.2.2. Työntekijän tiedoissa tapahtuu muutos

Miten työntekijän muuttuneet tiedot päivittyvät henkilökuntarekisteristä käyttäjätietokantaan?

 

Muuttuneet tiedot päivittyvät automaattisesti: Oodi (kantakopio) ja Personec F --> UniAulis --> LDAP-Metahakemisto --> LDAP-autentikointihakemisto ( --> Shibboleth IdP).

1.2.3. Työntekijä lakkaa olemasta työntekijä

Henkilökuntarooli poistetaan käyttäjältä työsuhteen päätyttyä. Lisäksi käyttäjätunnus lukkiutuu, mikäli sen aukipitämiselle ei ole muita perusteita (esim. voimassaoleva opiskelijarooli).
Poikkeuksena opetushenkilökunta, jonka käyttäjätunnuksiin sovelletaan ns. armonaikaa (1,5 vuotta). Henkilökuntarooli poistuu käyttäjätunnukselta heti armonajan alkaessa (Faculty --> Affiliate).

1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus

Onko organisaatiossa vielä jotain muita käyttäjiä, joilla on käyttäjätunnus ja jotka voivat kirjautua Identity Provider -palvelimen kautta Haka-infrastruktuurin palveluihin (Suomen Akatemian tutkijat? Ravintolahenkilökunta? Siviilipalvelusmiehet? Dosentit? Alumnit? Emeritukset? Kirjaston asiakkaat?).

Minkälainen haku- ja hyväksymismenettely näihin tunnuksiin liittyy?

Miten heidän käyttäjätietojensa ajantasaisuus ja sulkeutuminen/roolitiedon päivittyminen on varmistettu?

Sellaiset käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-infrastruktuurin tarkoittamia loppukäyttäjiä, eikä heidän kirjautumistaan Identity Provider -palvelimen kautta palveluihin tule sallia.

 

Ulkopuolisille käyttäjille voidaan tarvittaessa luoda käyttäjätunnus. Tällaiset käyttäjätunnukset ovat aina määräaikaisia ja roolit määritellään tapauskohtaisesti.

2. Henkilöllisyyden todentaminen

2.1. Käyttäjätunnuksen antamisen yhteydessä

Millä tavalla uuden käyttäjän henkilöllisyys todennetaan, kun hänelle annetaan käyttäjätunnus?

 
  • VETUMA-tunnistautuminen (Taideylopiston IT-käyttölupapalvelu).
  • Henkilöllisyystodistusta vastaan (IT-tukipalvelupiste, poikkeustapaukissa)

2.2. Kun käyttäjä kirjautuu käyttäjätunnuksen avulla

Salasanatodennukseen liittyvät laatuvaatimukset.

Mahdolliset käytettävissä olevat salasanaa tukevammat autentikointimenetelmät.

 

Salasanan laatuvaatimukset:

  • Pituus vähintään kymmenen merkkiä
  • Vähintään yksi ISO kirjain (A-Z)
  • Vähintään yksi pieni kirjain (a-z)
  • Vähintään yksi numero (0-9)
  • Ei saa sisältää erikoismerkkejä (esim. å, ö, é, ©, €, #)
  • Ei saa sisältää käyttäjätunnusta
  • Ei saa sisältää käyttäjän nimeä

Salasanaa vaihdettava vähintään kerran vuodessa.

3. Käyttäjätietokannassa saatavilla olevat tiedot

Rasti kohtaan "Saatavuus", jos kyseinen henkilötieto on ajantasalla ja siten saatavilla Identity Provider -palvelimen yli. Kohtaan "Miten ajantasaisuus turvataan" esimerkiksi viittaus luvun 1. järjestelmiin. Jos organisaatiolla on omia (ei siis funetEduPersonin mukaisia) attribuutteja, jotka näkyvät ulospäin Identity Provider-palvelimesta, lisää ne taulukon loppuun. Tarvittaessa linkki dokumenttiin, joka tarkemmin kuvailee omien attribuuttien skeeman.

Attribuutti
Saatavuus
Miten ajantasaisuus turvataan
Muuta (esim. tulkintaohje)
cn / commonName
X
UniAulis
Muodostetaan "lennossa" IdP-palvelimella
käyttäjän etunimestä ja sukunimestä
description
 
 
 
displayName
X
UniAulis
Muodostetaan "lennossa" IdP-palvelimella
käyttäjän etunimestä ja sukunimestä
employeeNumber
X
UniAulis
Pelkästään henkilöstöllä; Puuttuu opiskelijoilta
facsimileTelephoneNumber
 
 
 
givenName
X
UniAulis
Mandatory; Etunimi
homePhone
 
 
 
homePostalAddress
 
 
 
jpegPhoto
 
 
 
l / localityName
 
UniAulis
Pelkästään henkilöstöllä; Puuttuu opiskelijoilta
labeledURI
 
 
 
mail
X
UniAulis
mobile
 
 
 
o / organizationName
 
 
 
ou / organizationalUnitName
 
 
 
postalAddress
 
 
 
postalCode
 
 
 
preferredLanguage
X
UniAulis
Vaihtoehdot: FI / SV / EN
seeAlso
 
 
 
sn / surname
X
UniAulis
Mandatory
street
 
 
 
telephoneNumber
X
UniAulis
Pelkästään henkilöstöllä; Puuttuu opiskelijoilta
title
X
UniAulis
Pelkästään henkilöstöllä; Puuttuu opiskelijoilta
uid
X
UniAulis
Käyttäjätunnus
userCertificate
 
 
 
eduPersonAffiliation
X
UniAulis
Student, Faculty, Staff, Employee, Member, Affiliate (moniarvoinen)
eduPersonPrimaryAffiliation
X
UniAulis
Student / Faculty, Staff / Employee / Member / Affiliate (yksiarvoinen)
eduPersonEntitlement
X
UniAulis
urn:mace:dir:entitlement:common-lib-terms
eduPersonNickName
 
 
 
eduPersonOrgDN
 
 
 
eduPersonOrgUnitDN
 
 
 
eduPersonPrimaryOrgUnitDN
 
 
 
eduPersonPrincipalName
X
UniAulis, Ei vaihdu
Mandatory
eduPersonScopedAffiliation
 
 
 
eduPersonTargetedID
 
 
 
schacMotherTongue
 
 
 
schacGender
 
 
 
schacDateOfBirth
 
 
 
schacPlaceOfBirth
 
 
 
schacCountryOfCitizenship
 
 
 
schacHomeOrganization
X
UniAulis
uniarts.fi
schacHomeOrganizationType
X
UniAulis
urn:mace:terena.org:schac:homeOrganizationType:fi:university
schacCountryOfResidence
 
 
 
schacUserPresenceID
 
 
 
schacPersonalUniqueCode
 
 
 
schacPersonalUniqueID
X
 
HETU schac prefixillä. Luovutetaan vain tietyille SP:ille.
schacUserStatus
 
 
 
funetEduPersonHomeOrganization
 
 
superseded
funetEduPersonStudentID
 
 
superseded
funetEduPersonIdentityCode
 
 
superseded
funetEduPersonDateOfBirth
 
 
superseded
funetEduPersonTargetDegreeUniversity
 
 
superseded
funetEduPersonTargetDegreePolytech
 
 
superseded
funetEduPersonTargetDegree
 
 
 
funetEduPersonEducationalProgramUniv
 
 
superseded
funetEduPersonEducationalProgramPolytech
 
 
superseded
funetEduPersonProgram
 
 
 
funetEduPersonMajorUniv
 
 
superseded
funetEduPersonOrientationAlternPolytech
 
 
superseded
funetEduPersonSpecialisation
 
 
 
funetEduPersonStudyStart
 
 
 
funetEduPersonPrimaryStudyStart
 
 
 
funetEduPersonStudyToEnd
 
 
 
funetEduPersonPrimaryStudyToEnd
 
 
 
funetEduPersonCreditUnits
 
 
 
funetEduPersonECTS
 
 
 
funetEduPersonStudentCategory
 
 
 
funetEduPersonStudentStatus
 
 
 
funetEduPersonStudentUnion
 
 
 
funetEduPersonHomeCity
 
 
 
funetEduPersonEPPNTimeStamp
 
 
 
funetEduPersonLearnerId
X
UniAulis  
funetEduPersonGivenNames X UniAulis Kaikki etunimet jos ovat saatavilla, muutoin pelkkä etunimi.
funetEduPersonFullName X UniAulis Muodostetaan "lennossa" IdP-palvelimella
käyttäjän etunimistä ja sukunimestä
electronicIdentificationNumber      
nationalIdentificationNumber X UniAulis HETU. Luovutetaan vain tietyille SP:ille.
 
 
 
 

4. Muuta

4.1. Kardinaliteetit

Yksi henkilöllisyys per tosielämän käyttäjä, vai

Yksi henkilöllisyys per rooli (esim. opiskelija-työntekijällä kaksi käyttäjätunnusta)?

 

Yksi henkilöllisyys per tosielämän käyttäjä.

4.2. EduPersonPrincipalNamen revokointi ja kierrätys

Voiko eduPersonPrincipalName vaihtua?

Millä tavalla organisaatio kierrättää vapautuneita eduPersonPrincipalName-arvoja?

 

EduPersonPrincipalName ei vaihdu.

EduPersonPrincipalName arvoja ei kierrätetä, vaan ne jäädytetään pysyvästi.