Taideyliopiston käyttäjähallinnon kuvaus

Tässä dokumentissa kuvataan Taideyliopiston UniAulis-rekisterin (yleiskäyttöoikeuksien tietokanta) ja käyttäjätietokantojen (LDAP- ja eDir-hakemistot) toiminnallisuutta ja keskeisiä tietosisältöjä.

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

1.1. Opiskelijarekisteri

​Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajan tasalla.

Miten käyttäjätietokanta on kytketty opiskelijarekisteriin?

  • Oodista (15 min. välein päivittyvä lokaali kantakopio) luetaan henkilöitä koskevia tietoja UniAulis-järjestelmään (yleiskäyttöoikeuksien tietokanta).
  • Oodista luettuja tietoja rikastetaan UniAulis-järjestelmän toimesta. Rikastetut tiedot luetaan reaaliaikaisesti sisään IDM-järjestelmän eDir-metahakemistoon JDBC-ajuria käyttäen.
  • eDir-metahakemistosta käyttäjä- ja ryhmätiedot provisioidaan (reaaliaikaisesti) LDAP-autentikointihakemistoon. Shibboleth IdP kytkeytyy LDAP-autentikointihakemistoon.

1.1.1. Uusi opiskelija

Miten uuden opiskelijan tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?

Koska uusi opiskelija saa käyttäjätunnuksen/opiskelijaroolin?

Mitä tunnukselle tapahtuu, jos uusi opiskelija ei ota opiskelupaikkaa vastaan, tai ottaa paikan vastaan mutta ilmoittautuu poissaolevaksi?

  • Kaikille uusille opiskelupaikan vastaanottaneille opiskelijoille syntyy käyttäjätunnus yleiskäyttöoikeuksien tietokantaan (UniAulis) automaattisesti, Oodin läsnäolo- tai poissaoloilmoittautumistiedon perusteella.
  • Käyttäjätunnus syntyy uudelle opiskelijalle riippumatta siitä, ilmoittautuuko läsnä- vai poissaolevaksi.
  • Jos opiskelupaikkaa ei oteta vastaan, käyttäjätunnusta ei synny.
  • Käyttäjätunnus luovutetaan opiskelijalle pääsääntöisesti Taideyliopiston IT-käyttölupapalvelussa, johon tunnistaudutaan Suomi.fi-palvelua käyttäen.
  • Poikkeustapauksessa käyttäjätunnus voidaan luovuttaa opiskelijalle IT-tukipalvelupisteessä henkilöllisyystodistusta vastaan.

1.1.2. Opiskelijan tiedoissa tapahtuu muutos

Miten opiskelijan muuttuneet tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?

  • Muuttuneet tiedot päivittyvät automaattisesti: Oodi (kantakopio) –> UniAulis –> eDir-metahakemisto –> LDAP-autentikointihakemisto (–> Shibboleth IdP).

1.1.3. Opiskelija lakkaa olemasta opiskelija

Koska organisaatio (esim. opintoasiainhallinto) katsoo, että opiskelija lakkaa olemasta opiskelija

  • sen jälkeen, kun opiskelija valmistuu?
  • sen jälkeen, kun lukukausi vaihtuu, ja opiskelija ei ole ilmoittautunut läsnä olevaksi?
  • sen jälkeen, kun opiskelija ilmoittaa keskeyttävänsä opinnot?

Kuinka kauan yllä olevien tapahtumien jälkeen kestää, että organisaatio (esim. tietohallinto) sulkee opiskelijan käyttäjätunnuksen tai poistaa opiskelijaroolin?

Opintohallinto:

  • Mikäli opiskelija ei ilmoittaudu yliopistoon määräaikana, hän menettää opiskeluoikeutensa.
  • Jos hän haluaa myöhemmin jatkaa opintojaan, hänen on haettava akatemialta kirjallisesti oikeutta päästä uudelleen opiskelijaksi.
  • Tutkinnon suorittaneen opiskelijan opiskeluoikeus päättyy sen lukukauden lopussa, jonka aikana hän on suorittanut tutkintonsa.

Tietohallinto:

  • Opiskelijoiden käyttäjätunnuksiin liittyy kaikissa yllä mainituissa tapauksissa ns. armonaika (8 kk/240 vrk).
  • Käyttäjätunnus suljetaan, kun on kulunut 8 kk viimeisen läsnä- tai poissaololukukauden päättymisestä.
  • Opiskelijarooli poistuu käyttäjätunnukselta (Student –> Affiliate) armonajan ensimmäisen kuukauden jälkeen.

1.2. Henkilökuntarekisteri

Miten käyttäjätietokanta on kytketty henkilökuntarekisteriin?

  • Oodista (15 min välein päivittyvä lokaali kantakopio) ja Mepco HR –järjestelmästä luetaan henkilöitä koskevia tietoja UniAulis-järjestelmään (yleiskäyttöoikeuksien tietokanta).
  • Näitä luettuja tietoja rikastetaan UniAulis-järjestelmän toimesta. Rikastetut tiedot luetaan reaaliaikaisesti sisään IDM-järjestelmän eDir-metahakemistoon JDBC-ajuria käyttäen.
  • eDir-metahakemistosta käyttäjä- ja ryhmätiedot provisioidaan (reaaliaikaisesti) LDAP-autentikointihakemistoon. Shibboleth IdP kytkeytyy LDAP-autentikointihakemistoon.

1.2.1. Uusi työntekijä

Miten uuden työntekijän tiedot päivittyvät henkilökuntarekisteristä käyttäjätietokantaan?

Koska uusi työntekijä saa käyttäjätunnuksen/henkilökuntaroolin?

  • Uudelle työntekijälle syntyy käyttäjätunnus yleiskäyttöoikeuksien tietokantaan (UniAulis) automaattisesti, työsuhteen voimassaolon perusteella.
  • Käyttäjätunnus luovutetaan työntekijälle pääsääntöisesti Taideyliopiston IT-käyttölupapalvelussa, johon tunnistaudutaan Suomi.fi-palvelua käyttäen.
  • Poikkeustapauksessa käyttäjätunnus voidaan luovuttaa työntekijälle IT-tukipalvelupisteessä henkilöllisyystodistusta vastaan.

1.2.2. Työntekijän tiedoissa tapahtuu muutos

Miten työntekijän muuttuneet tiedot päivittyvät henkilökuntarekisteristä käyttäjätietokantaan?​

  • Muuttuneet tiedot päivittyvät automaattisesti: Oodi (kantakopio) ja Mepco HR –> UniAulis –> eDir-Metahakemisto –> LDAP-autentikointihakemisto (–> Shibboleth IdP).

1.2.3. Työntekijä lakkaa olemasta työntekijä

Henkilökuntarooli poistetaan käyttäjältä työsuhteen päätyttyä. Lisäksi käyttäjätunnus lukkiutuu, mikäli sen aukipitämiselle ei ole muita perusteita (esim. voimassa oleva opiskelijarooli).
Poikkeuksena opetushenkilökunta, jonka käyttäjätunnuksiin sovelletaan ns. armonaikaa (1,5 vuotta). Henkilökuntarooli poistuu käyttäjätunnukselta heti armonajan alkaessa (Faculty –> Affiliate).

1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus

Onko organisaatiossa vielä jotain muita käyttäjiä, joilla on käyttäjätunnus ja jotka voivat kirjautua Identity Provider (Shibboleth IdP) -palvelimen kautta Haka-infrastruktuurin palveluihin (Suomen Akatemian tutkijat? Ravintolahenkilökunta? Siviilipalvelusmiehet? Dosentit? Alumnit? Emeritukset? Kirjaston asiakkaat?).

Minkälainen haku- ja hyväksymismenettely näihin tunnuksiin liittyy?

Miten heidän käyttäjätietojensa ajantasaisuus ja sulkeutuminen/roolitiedon päivittyminen on varmistettu?

Sellaiset käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-infrastruktuurin tarkoittamia loppukäyttäjiä, eikä heidän kirjautumistaan Identity Provider -palvelimen kautta palveluihin tule sallia.

Ulkopuolisille käyttäjille voidaan tarvittaessa luoda käyttäjätunnus. Tällaiset käyttäjätunnukset ovat aina määräaikaisia ja roolit määritellään tapauskohtaisesti.

2. Henkilöllisyyden todentaminen

2.1. Käyttäjätunnuksen antamisen yhteydessä

Millä tavalla uuden käyttäjän henkilöllisyys todennetaan, kun hänelle annetaan käyttäjätunnus?

  • Suomi.fi-tunnistautuminen (Taideyliopiston IT-käyttölupapalvelu).
  • Henkilöllisyystodistusta vastaan (IT-tukipalvelupiste, poikkeustapaukissa)

2.2. Kun käyttäjä kirjautuu käyttäjätunnuksen avulla

Salasanatodennukseen liittyvät laatuvaatimukset.

Mahdolliset käytettävissä olevat salasanaa tukevammat autentikointimenetelmät.

Salasanan laatuvaatimukset:

  • Pituus vähintään kymmenen merkkiä
  • Vähintään yksi ISO kirjain (A-Z)
  • Vähintään yksi pieni kirjain (a-z)
  • Vähintään yksi numero (0-9)
  • Ei saa sisältää käyttäjätunnusta
  • Ei saa sisältää käyttäjän nimeä

Salasanaa vaihdettava vähintään kerran vuodessa.

3. Käyttäjätietokannassa saatavilla olevat tiedot

Rasti kohtaan ”Saatavuus”, jos kyseinen henkilötieto on ajan tasalla ja siten saatavilla Identity Provider -palvelimen yli. Kohtaan ”Miten ajantasaisuus turvataan” esimerkiksi viittaus luvun 1. järjestelmiin. Jos organisaatiolla on omia (ei siis funetEduPersonin mukaisia) attribuutteja, jotka näkyvät ulospäin Identity Provider-palvelimesta, lisää ne taulukon loppuun. Tarvittaessa linkki dokumenttiin, joka tarkemmin kuvailee omien attribuuttien skeeman.

cn / commonName​XUniAulisMuodostetaan ”lennossa” IdP-palvelimella
käyttäjän etunimestä ja sukunimestä
   ​
Description   
displayNameXUniAulisMuodostetaan ”lennossa” IdP-palvelimella
käyttäjän etunimestä ja sukunimestä
employeeNumberXUniAulisPelkästään henkilöstöllä; Puuttuu opiskelijoilta
facsimileTelephoneNumber   
givenNameXUniAulisMandatory; Etunimi
homePhone   
homePostalAddress   
jpegPhoto   
l / localityName UniAulisPelkästään henkilöstöllä; Puuttuu opiskelijoilta
labeledURI   
mailXUniAulis​etunimi.sukunimi@uniarts.fi​​
mobile   
o / organizationName   
ou / organizationalUnitName   
postalAddress   
postalCode   
preferredLanguageXUniAulisVaihtoehdot: FI / SV / EN
seeAlso   
sn / surnameXUniAulisMandatory
street   
telephoneNumberXUniAulisPelkästään henkilöstöllä; Puuttuu opiskelijoilta
titleXUniAulisPelkästään henkilöstöllä; Puuttuu opiskelijoilta
uidXUniAulisKäyttäjätunnus
userCertificate   
eduPersonAffiliationXUniAulisStudent, Faculty, Staff, Employee, Member, Affiliate (moniarvoinen)
eduPersonPrimaryAffiliationXUniAulisStudent / Faculty, Staff / Employee / Member / Affiliate (yksiarvoinen)
eduPersonEntitlementXUniAulisurn:mace:dir:entitlement:common-lib-terms
eduPersonNickName   
eduPersonOrgDN   
eduPersonOrgUnitDN   
eduPersonPrimaryOrgUnitDN   
eduPersonPrincipalNameXUniAulis, Ei vaihduMandatory​abc12345@uniarts.fi, eesimerkki@siba.fi, eesimerkki@teak.fi
eduPersonScopedAffiliation   
eduPersonTargetedID   
schacMotherTongue   
schacGender   
schacDateOfBirth   
schacPlaceOfBirth   
schacCountryOfCitizenship   
schacHomeOrganizationXUniAulisuniarts.fi
schacHomeOrganizationTypeXUniAulisurn:mace:terena.org:schac:homeOrganizationType:fi:university
schacCountryOfResidence   
schacUserPresenceID   
schacPersonalUniqueCode   
schacPersonalUniqueIDX HETU schac prefixillä. Luovutetaan vain tietyille SP:ille.
schacUserStatus   
funetEduPersonHomeOrganization  superseded
funetEduPersonStudentID  superseded
funetEduPersonIdentityCode  superseded
funetEduPersonDateOfBirth  superseded
funetEduPersonTargetDegreeUniversity  superseded
funetEduPersonTargetDegreePolytech  superseded
funetEduPersonTargetDegree   
funetEduPersonEducationalProgramUniv  superseded
funetEduPersonEducationalProgramPolytech  superseded
funetEduPersonProgram   
funetEduPersonMajorUniv  superseded
funetEduPersonOrientationAlternPolytech  superseded
funetEduPersonSpecialisation   
funetEduPersonStudyStart   
funetEduPersonPrimaryStudyStart   
funetEduPersonStudyToEnd   
funetEduPersonPrimaryStudyToEnd   
funetEduPersonCreditUnits   
funetEduPersonECTS   
funetEduPersonStudentCategory   
funetEduPersonStudentStatus   
funetEduPersonStudentUnion   
funetEduPersonHomeCity   
funetEduPersonEPPNTimeStamp   
funetEduPersonLearnerIdXUniAulis 
funetEduPersonGivenNamesX​UniAulisKaikki etunimet jos ovat saatavilla, muutoin pelkkä etunimi.
funetEduPersonFullNameXUniAulisMuodostetaan ”lennossa” IdP-palvelimella
käyttäjän etunimistä ja sukunimestä
electronicIdentificationNumber   
nationalIdentificationNumberXUniAulisHETU. Luovutetaan vain tietyille SP:ille.