Versio |
Tekijä |
Päiväys |
1.1 |
Sakari Salla |
11.2.2019 |
|
|
|
Tässä dokumentissa ollaan kiinnostuneita käyttäjätietokannan ja sen
tietojen ajantasaisuuden toteutuksen yleisistä periaatteista sellaisella
tasolla, joka antaa riittävät tiedot käyttäjätietojen laadun ja ajantasaisuuden
arvioimiseksi.
Kotiorganisaatio asettaa tämän dokumentin www:hen kaikkien saataville ja
päivittää sitä oma-aloitteisesti, kun muutoksia tulee. Dokumentti linkitetään
Haka-infrastruktuurin kotisivulta.
Tässä dokumentissa käyttäjätietokannalla tarkoitetaan sitä
loppukäyttäjien attribuuttien joukkoa, johon organisaation Identity
Provider-palvelin tukeutuu. Käyttäjätietokannan
tekninen toteutus voi olla esim. LDAP-hakemisto tai
relaatiotietokanta, tai niiden yhdistelmä niin, että Identity
Provider -palvelin noutaa osan attribuuteista LDAP-hakemistosta ja osan JDBC:n
yli opiskelijarekisteristä.
Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla.
Miten käyttäjätietokanta on kytketty opiskelijarekisteriin?
Diakin opiskelijarekisteriä ylläpidetään Peppi –opintorekisteriohjelmistolla. Peppi –käyttäjärekisteriä päivitetään opintosihteerien toimesta esimerkiksi uusia käyttäjiä luodessa. Käyttäjät voivat muuttaa joidenkin attribuuttien sisältöä Primuksen Wilma –käyttöliittymän kautta omantoimisesti.
Opiskelijarekisteriä päivitetään Diakin käyttäjätietovarastoon automaattisesti 2 kertaa vuorokaudessa. Käyttäjätietovarastona ja käyttäjätietojen pääasiallisena lähteenä käytetään Active Directory –hakemistoa. Peppi –rekistereistä tieto siirretään ja käsitellään ohjelmallisesti ja tallennetaan Active directory –hakemistoon.
Miten uuden opiskelijan tiedot päivittyvät opiskelijarekisteristä
käyttäjätietokantaan?
Koska uusi opiskelija saa
käyttäjätunnuksen/opiskelijaroolin?
Mitä tunnukselle tapahtuu, jos uusi opiskelija ei ota opiskelupaikkaa
vastaan, tai ottaa paikan vastaan mutta ilmoittautuu poissaolevaksi?
Uuden opiskelijan tiedot luodaan automaattisesti opiskelijavalintatiedoista. Opiskelijavalintatiedot siirretään Peppi –rekisteriin, josta ne luodaan automaattisesti käyttäjätietovarastoon. Tunnukset luovutetaan henkilökohtaisesti opiskelijoille henkilökunnan tarkastettua opiskelijan henkilöllisyys. Mikäli opiskelija ei ota vastaan opiskeluoikeutta tai ei vastaanota tunnusta, järjestelmä lukitsee opiskelijan tunnuksen 60 päivän kuluessa.
Miten opiskelijan muuttuneet tiedot päivittyvät
opiskelijarekisteristä käyttäjätietokantaan?
Opiskelijan tiedot päivittyvät automaattisesti Peppi –rekisterin tietojen mukaisesti käyttäjätietovarastoon. Muutokset välittyvät automaattisesti 2 kertaa vuorokaudessa.
Koska organisaatio (esim. opintoasiainhallinto)
katsoo, että opiskelija lakkaa olemasta opiskelija
a) sen jälkeen kun opiskelija valmistuu?
b) sen jälkeen kun lukukausi vaihtuu, ja opiskelija ei ole ilmoittautunut läsnäolevaksi?
c) sen jälkeen kun opiskelija ilmoittaa keskeyttävänsä opinnot?
Kuinka kauan ylläolevien tapahtumien jälkeen kestää,
että organisaatio (esim. tietohallinto) sulkee opiskelijan käyttäjätunnuksen
tai poistaa opiskelijaroolin?
Kun opiskelija valmistuu, ei ilmoittaudu läsnä olevaksi tai keskeyttää opintonsa tunnus lukittuu 60 päivän kuluessa ja siirretään poistetuksi käyttäjäksi.
Diakin henkilökuntarekisteriä ylläpidetään SympaHR –ohjelmistolla. Sympa –käyttäjärekisteriä päivitetään henkilöstöpalveluiden toimesta.
Uuden työntekijän tiedot talletetaan Sympa henkilökunta –rekisteriin. Kun käyttäjä on talletettu Sympa –rekisteriin luodaan käyttäjätunnus käyttäjälle automaattisesti käyttäjätietovarastoon. Henkilökunnan jäsen saa käyttäjätunnuksen sinä päivänä kun työsuhde alkaa rekisteritietojen mukaisesti.
Sympa –rekisteriin tehdyt tietojen muutokset siirtyvät automaattisesti käyttäjätietovarastoon 2 kertaa vuorokaudessa.
Kun käyttäjän työsuhde päättyy Sympa –rekisterin tietojen mukaan lukitaan tunnus automaattisesti ja siirretään poistetuksi käyttäjäksi.
Onko organisaatiossa vielä jotain muita käyttäjiä, joilla
on käyttäjätunnus ja jotka voivat kirjautua Identity Provider -palvelimen kautta Haka-infrastruktuurin
palveluihin (Suomen Akatemian tutkijat?
Ravintolahenkilökunta? Siviilipalvelusmiehet? Dosentit? Alumnit?
Emeritukset? Kirjaston asiakkaat?). Minkälainen haku- ja hyväksymismenettely
näihin tunnuksiin liittyy?
Miten heidän käyttäjätietojensa ajantasaisuus ja sulkeutuminen/roolitiedon
päivittyminen on varmistettu?
Sellaiset käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim.
ainejärjestöt), eivät ole myöskään Haka-infrastruktuurin tarkoittamia
loppukäyttäjiä, eikä heidän kirjautumistaan Identity Provider -palvelimen kautta palveluihin tule sallia.
Diakissa ei ole muita käyttäjäryhmiä kuin opiskelijat ja henkilökunta.
Millä tavalla uuden käyttäjän henkilöllisyys todennetaan, kun hänelle annetaan käyttäjätunnus?
Ennen käyttäjätunnuksien saamista käyttäjä todistaa henkilöllisyytensä virallisella henkilöllisyystodistuksella henkilökunnan edustajalle.
Salasanatodennukseen liittyvät laatuvaatimukset.
Mahdolliset käytettävissä olevat salasanaa tukevammat autentikointimenetelmät.
Kaikki Diakin tietoverkkopalvelut on yhdistetty keskitettyyn käyttäjätietovarastoon, joten kaikkiin palveluihin käytetään samaa tunnusta ja salasanaa. Poikkeuksena ovat hallinnon käyttämät henkilöstö- ja taloushallinnonohjelmistot. Salasanan vaatimukset ovat 8 merkkiä, yksi tai useampi erikoismerkki ja yksi tai useampi isokirjan. Salasana tulee vaihtaa 6 kk välein. Käyttäjälle annetaan automaattisesti kehotus vaihtaa salasana.
Pääosapalveluista on toteutettu http –palveluina, joten vahvaan autentikointia ei ole käytössä käyttäjien palveluihin.
Lisätietoja funetEduPerson-skeemasta
(ver 2.0) on täällä.
Rasti kohtaan "Saatavuus", jos kyseinen henkilötieto on ajantasalla ja siten saatavilla Identity
Provider -palvelimen yli.
Kohtaan "Miten ajantasaisuus turvataan" esimerkiksi viittaus luvun 1.
järjestelmiin.
Jos organisaatiolla on omia (ei siis funetEduPersonin
mukaisia) attribuutteja, jotka näkyvät ulospäin Identity
Provider-palvelimesta, lisää ne taulukon loppuun.
Tarvittaessa linkki dokumenttiin, joka tarkemmin kuvailee omien attribuuttien
skeeman.
Attribuutti |
Saatavuus |
Miten ajantasaisuus turvataan |
Muuta (esim. tulkintaohje) |
cn / commonName |
x |
Päivittyy
1 krt / h |
MUST
|
description
|
|
|
|
displayName |
x |
Päivittyy 2 kertaa vuorokaudessa |
MUST
|
employeeNumber |
|
|
|
facsimileTelephoneNumber |
|
|
|
givenName
|
x |
Päivittyy 2 kertaa vuorokaudessa |
|
homePhone |
|
|
|
homePostalAddress |
|
|
|
jpegPhoto |
|
|
|
l / localityName |
|
|
|
labeledURI |
|
|
|
|
x |
Päivittyy 2 kertaa vuorokaudessa |
|
mobile |
x |
Päivittyy 2 kertaa vuorokaudessa |
|
o / organizationName |
x |
Päivittyy 2 kertaa vuorokaudessa |
|
ou / organizationalUnitName |
x |
Päivittyy 2 kertaa vuorokaudessa |
|
postalAddress |
|
|
|
postalCode |
|
|
|
preferredLanguage |
x |
Päivittyy 2 kertaa vuorokaudessa |
|
seeAlso |
|
|
|
sn / surname |
x |
Päivittyy 2 kertaa vuorokaudessa |
MUST |
street |
x |
Päivittyy 2 kertaa vuorokaudessa |
|
telephoneNumber |
x |
Päivittyy 2 kertaa vuorokaudessa |
|
title |
|
|
|
uid |
|
|
|
userCertificate |
|
|
|
eduPersonAffiliation |
x |
Päivittyy 2 kertaa vuorokaudessa (student,employee) |
Mitä arvoja on saatavilla? |
eduPersonEntitlement |
x |
Päivittyy 2 kertaa vuorokaudessa |
|
eduPersonNickName |
|
|
|
eduPersonOrgDN |
|
|
|
eduPersonOrgUnitDN |
|
|
|
eduPersonPrimaryAffiliation |
|
|
|
eduPersonPrimaryOrgUnitDN |
|
|
|
eduPersonPrincipalName |
x |
Päivittyy 2 kertaa vuorokaudessa |
MUST |
eduPersonScopedAddiliation |
x |
Päivittyy 2 kertaa vuorokaudessa |
|
eduPersonTargetedID |
|
|
|
schacMotherTongue |
|
|
|
schacGender |
|
|
|
schacDateOfBirth |
|
|
|
schacPlaceOfBirth |
|
|
|
schacCountryOfCitizenship |
|
|
|
schacHomeOrganization |
x |
Päivittyy 2 kertaa vuorokaudessa (diak.fi) |
MUST. |
schacHomeOrganizationType |
x |
Päivittyy 2 kertaa vuorokaudessa |
MUST |
schacCountryOfResidence |
|
|
|
schacUserPresenceID |
|
|
|
schacPersonalUniqueCode |
|
|
|
schacPersonalUniqueID |
x |
Päivittyy 2 kertaa vuorokaudessa |
|
schacUserStatus |
|
|
|
funetEduPersonHomeOrganization |
|
|
superseded |
funetEduPersonStudentID |
|
|
superseded |
funetEduPersonIdentityCode |
|
|
superseded |
funetEduPersonDateOfBirth |
|
|
superseded |
funetEduPersonTargetDegreeUniversity |
|
|
superseded |
funetEduPersonTargetDegreePolytech |
|
|
superseded |
funetEduPersonTargetDegree |
|
|
|
funetEduPersonEducationalProgramUniv |
|
|
superseded |
funetEduPersonEducationalProgramPolytech |
|
|
superseded |
funetEduPersonProgram |
|
|
|
funetEduPersonMajorUniv |
|
|
superseded |
funetEduPersonOrientationAlternPolytech |
|
|
superseded |
funetEduPersonSpecialisation |
|
|
|
funetEduPersonStudyStart |
|
|
|
funetEduPersonPrimaryStudyStart |
|
|
|
funetEduPersonStudyToEnd |
|
|
|
funetEduPersonPrimaryStudyToEnd |
|
|
|
funetEduPersonCreditUnits |
|
|
|
funetEduPersonECTS |
|
|
|
funetEduPersonStudentCategory |
|
|
|
funetEduPersonStudentStatus |
|
|
|
funetEduPersonStudentUnion |
|
|
Mikä arvo on käytössä? |
funetEduPersonHomeCity |
|
|
|
funetEduPersonEPPNTimeStamp |
|
|
|
|
|
|
|
|
|
|
|
Yksi henkilöllisyys per tosielämän
käyttäjä, vai
Yksi henkilöllisyys per rooli (esim. opiskelija-työntekijällä kaksi
käyttäjätunnusta)?
Yhdellä henkilöllisyydellä voi järjestelmässä olla vain yksi käyttäjätunnus. Yhdellä käyttäjällä voi olla vain joko opiskelija- tai henkilökuntatunnus.
Voiko eduPersonPrincipalName
vaihtua?
Millä tavalla organisaatio kierrättää vapautuneita eduPersonPrincipalName-arvoja?
Käyttäjätunnusta ei voi vaihtaa. Kerran käytössä ollutta tunnusta ei voi käyttää uudestaan. Käyttäjä voi luopua tunnuksestaan ja saada uuden, mutta tällöin hän saa uuden käyttäjätunnuksen.