Haka
Kotiorganisaation käyttäjähallinnon kuvaus
1. Käyttäjätietokannan ja perusrekistereiden kytkentä
| Versio | Tekijä | Päiväys | Muutos |
|---|---|---|---|
| 0.1 | Asmo Myllyaho | 17.10.2007 | Alkuperäinen dokumentti |
| 0.2 | Ari Sivula | 19.10.2007 | Termistön täsmäys |
| 0.3 | Asmo Myllyaho | 30.12.2010 | Päivitys |
| 0.4 | Veli-Matti Mäkelä | 1.12.2020 | Päivitys opiskelijoiden primäärilähteen osalta |
| 0.5 | Veli-Matti Mäkelä | 18.12.2020 | Päivitys henkilökunnan primäärilähteen ja luovutettavien attribuuttien osalta |
| 0.6 | Veli-Matti Mäkelä | 16.11.2023 | Päivitys luovutettavien attribuuttien sekä salasanapolitiikan osalta |
1.1. Opiskelijarekisteri
Opiskelijatietojen osalta perusrekisterinä on Peppi –oppilashallintojärjestelmä, jonne on tallennettuna opiskelijoiden perustiedot. Pepistä päivitetään opiskelijoiden tiedot ja muuttuneet läsnäolotiedot Active Directory (AD) –käyttäjähakemistoon vähintään kerran vuorokaudessa. AD-käyttäjähakemistoa käytetään Shibboleth-todennuksessa.
Henkilökunnan osalta perustietoja ylläpidetään Populus -henkilötietojärjestelmässä, josta uudet ja muuttuneet tiedot päivitetään käyttäjähakemistoon vähintään kerran vuorokaudessa.
1.1.1. Uusi opiskelija
Uusien opiskelijoiden tiedot päivittyvät Pepistä Active Directoryyn kerran vuorokaudessa. Pepistä saatavien tietojen perusteella uusille opiskelijoille generoituu käyttäjätunnus ja sähköpostiosoite. Uudet tunnukset aktivoituvat ensimmäisellä käyttökerralla.
Opiskelija saa opiskelijaroolin opintojen alussa perehdytyksen luennolla tai myöhemmin henkilökohtaisesti opintotoimistosta.
Käyttäjätunnus ja sähköpostiosoite generoituu kaikille opiskelijoille, mutta käyttöönoton voi tehdä vain ne opiskelijat, jotka ovat ottaneet opiskelupaikan vastaan tai ovat ilmoittautuneet läsnäoleviksi.
1.1.2. Opiskelijan tiedoissa tapahtuu muutos
Opiskelijan muuttuneet tiedot päivittyvät käyttäjärekisteriin kerran vuorokaudessa oppilashallintojärjestelmästä tulevien syötteiden perusteella.
1.1.3. Opiskelija lakkaa olemasta opiskelija
Opiskelijan rooli opiskelijana päättyy valmistumispäivänä, kun opiskelija on merkitty oppilashallintojärjestelmään valmistuneeksi. Käyttäjätunnus sulkeutuu seitsemän vuorokauden kuluttua siitä, kun käyttäjärekisteri saa oppilashallintojärjestelmästä tiedon opiskelijan valmistumisesta.
Jos opiskelija ei ole ilmoittautunut lukuvuoden alussa läsnäolevaksi opiskelijaksi muodostunut käyttäjätunnus ei aktivoidu tai sulkeutuu.
Opintojen keskeytyessä merkitään keskeytyminen oppilashallintojärjestelmään ja käyttäjätunnus sulkeutuu samalla tavalla kuin opiskelijan valmistuessa.
Käyttäjätunnukset sulkeutuvat yllä kuvatulla tavalla. Käyttäjätunnuksiin liittyvät palvelut (esimerkiksi kotihakemistot ja sähköpostilaatikko) poistetaan 180 päivän kuluttua tunnuksen sulkeutumisesta. Samalla käyttäjän tunnus poistetaan järjestelmistä.
1.2. Henkilökuntarekisteri
Henkilökunnan henkilörekisteri on Populus –henkilöstöhallinnon järjestelmä.
1.2.1. Uusi työntekijä
Uusien henkilökuntaan kuuluvien tiedot kirjataan Populukseen henkilöstöhallinnossa. Populuksesta uudet käyttäjätunnukset ja sähköpostiosoitteet ajetaan käyttäjähallintaan kerran vuorokaudessa.
1.2.2. Työntekijän tiedoissa tapahtuu muutos
Kaikki palvelusuhteeseen muutokset päivitetään käyttäjätietojärjestelmään kerran vuorokaudessa.
1.2.3. Työntekijä lakkaa olemasta työntekijä
Henkilön työsuhteen päättyessä käyttäjätunnus suljetaan 7 vuorokauden kuluttua siitä, kun tieto siitä on tullut käyttäjätietojärjestelmään. Tunnukseen liittyvät palvelut (esimerkiksi kotihakemisto ja sähköpostilaatikko) poistetaan kuuden kuukauden kuluttua. Samalla käyttäjän tunnus poistetaan järjestelmistä.
2. Henkilöllisyyden todentaminen
2.1. Käyttäjätunnuksen antamisen yhteydessä
Saadakseen tunnuksen tulee käyttäjän todistaa henkilöllisyytensä luotettavalla, virallisella henkilötunnistusasiakirjalla. Tarkistuksen tekee tunnuksen luovuttaja. Toinen vaihtoehto on käyttää tunnuksenluovutussovellusta, joka käyttää suomi.fi todennusta.
2.2. Kun käyttäjä kirjautuu käyttäjätunnuksensa avulla
Kaikkien käyttäjien salasanojen tulee täyttää seuraavat kriteerit:
- pituus vähintään kahdeksan merkkiä
- kryptinen (isoja kirjaimia, pieniä kirjaimia, numeroita, erikoismerkkejä)
- ei saa olla johdettavissa käyttäjän tiedoista
- ei saa olla aiemmin käytetty
Käyttäjien on muutettava salasanansa epäillyn tietomurron kohdalla.
Muita autentikointimenetelmiä ei ole käytössä.
3. Käyttäjätietokannassa saatavilla olevat tiedot
| Attribuutti | Saatavuus | Miten ajantasaisuus turvataan | Muuta (esim. tulkintaohje) |
|---|---|---|---|
| cn / commonName | X | Peppi tai Populus lähteenä. Muuttuu, jos käyttäjän etunimi tai kutsumanimi tai sukunimi muuttuu. | MUST |
| description | X | Peppi tai Populus lähteenä. Voi muuttua primäärilähteiden tietojen mukaan. | |
| displayName | X | Peppi tai Populus lähteenä. Muuttuu, jos käyttäjän etunimi tai kutsumanimi tai sukunimi muuttuu. | MUST |
| employeeNumber | X | Peppi tai Populus lähteenä, henkilökunnalla työtunnus, opiskelijoilla opiskelijanumero. Henkilökunnalla ei muutu, opiskelijoilla muuttuu jos vanha rooli poistunut. | |
| facsimileTelephoneNumber | |||
| givenName | X | Peppi tai Populus lähteenä. Muuttuu, jos käyttäjän etunimi muuttuu. | MUST |
| homePhone | |||
| homePostalAddress | |||
| jpegPhoto | |||
| l / localityName | X | Peppi tai käyttäjähallinnan portaali lähteenä. Muuttuu toimipisteen mukaan. | |
| labeledURI | |||
| X | Peppi tai Populus lähteenä. Muuttuu, jos käyttäjän etunimi tai kutsumanimi tai sukunimi muuttuu. Myös ylläpito voi attribuuttia päivittää. | SHOULD | |
| mobile | X | Peppi tai MECM lähteenä. | |
| o / organizationName | X | Organisaation nimi vakioarvona. Muuttuu jos organisaation nimi muuttuisi. | |
| ou / organizationalUnitName | |||
| postalAddress | X | Peppi tai käyttäjähallinnan portaali lähteenä. Muuttuu henkilön primäärilähteiden tietojen mukaan. | |
| postalCode | X | Peppi tai käyttäjähallinnan portaali lähteenä. Muuttuu henkilön primäärilähteiden tietojen mukaan. | |
| preferredLanguage | X | Opiskelijoilla alkuarvot lähteenä, käyttäjät voivat itse vaihtaa kielen käyttäjähallinnan portaalissa. | |
| seeAlso | |||
| sn / surname | X | Peppi tai Populus lähteenä. Muuttuu, jos käyttäjän sukunimi muuttuu. | MUST |
| street | X | Peppi tai Populus lähteenä. | |
| telephoneNumber | X | Peppi tai MECM lähteenä. Voi muuttua primäärilähteen tietojen perusteella. | |
| title | X | Peppi tai Populus lähteenä. Voi muuttua primäärilähteen tietojen perusteella. | |
| uid | X | Peppi tai Populus lähteenä. Ei pääsääntöisesti muutu. | |
| userCertificate | |||
| eduPersonAffiliation | X | Peppi tai Populus lähteenä. Riippuu käyttäjän roolista. Esim. tukinto-opiskelijoilla on student ja muilla opiskelijoilla ja poissaolevilla affiliate. | SHOULD |
| eduPersonEntitlement | |||
| eduPersonNickName | |||
| eduPersonOrgDN | |||
| eduPersonOrgUnitDN | |||
| eduPersonPrimaryAffiliation | X | Peppi tai Populus lähteenä. Riippuu käyttäjän roolista. Esim. tukinto-opiskelijoilla on student ja muilla opiskelijoilla ja poissaolevilla affiliate. | |
| eduPersonPrimaryOrgUnitDN | |||
| eduPersonPrincipalName | X | Peppi tai Populus lähteenä. Opiskelijoilla ensimmäinen opiskelijanumero ja henkilökunnalla työtunnus.Ei muutu. | MUST |
| eduPersonScopedAffiliation | X | Sama kuin eduPersonAffiliation mutta @realm-päätteellä (@seamk.fi). | SHOULD |
| eduPersonAssurance | X | Suomi.fi ensitunnistuksen tehneillä https://refeds.org/assurance/IAP/high ja muilla https://refeds.org/assurance/IAP/medium | MUST |
| eduPersonTargetedID | |||
| schacMotherTongue | |||
| schacGender | X | Peppi tai Populus lähteenä. Voi muuttua primäärilähteiden tietojen mukaan. | |
| schacDateOfBirth | X | Peppi tai Populus lähteenä. Voi muuttua vain jos primäärilähteessä väärä tieto. | |
| schacPlaceOfBirth | |||
| schacCountryOfCitizenship | |||
| schacHomeOrganization | X | Vakioarvo: seamk.fi | MUST |
| schacHomeOrganizationType | Vakioarvo: urn:mace:terena.org:schac:homeOrganizationType:fi:polytechnic | MUST | |
| schacCountryOfResidence | |||
| schacUserPresenceID | |||
| schacPersonalUniqueCode | X | Peppi tai Populus lähteenä. Voi muuttua vain jos primäärilähteessä väärä tieto. | |
| schacPersonalUniqueID | X | Peppi tai Populus lähteenä. Voi muuttua vain jos primäärilähteessä väärä tieto. | |
| schacUserStatus | |||
| funetEduPersonHomeOrganization | superseded | ||
| funetEduPersonStudentID | superseded | ||
| funetEduPersonIdentityCode | superseded | ||
| funetEduPersonDateOfBirth | superseded | ||
| funetEduPersonTargetDegreeUniversity | superseded | ||
| funetEduPersonTargetDegreePolytech | superseded | ||
| funetEduPersonTargetDegree | |||
| funetEduPersonEducationalProgramUniv | superseded | ||
| funetEduPersonEducationalProgramPolytech | superseded | ||
| funetEduPersonProgram | |||
| funetEduPersonMajorUniv | superseded | ||
| funetEduPersonOrientationAlternPolytech | superseded | ||
| funetEduPersonSpecialisation | |||
| funetEduPersonStudyStart | |||
| funetEduPersonPrimaryStudyStart | |||
| funetEduPersonStudyToEnd | |||
| funetEduPersonPrimaryStudyToEnd | |||
| funetEduPersonCreditUnits | |||
| funetEduPersonECTS | |||
| funetEduPersonStudentCategory | |||
| funetEduPersonStudentStatus | |||
| funetEduPersonStudentUnion | |||
| funetEduPersonHomeCity | |||
| funetEduPersonEPPNTimeStamp | |||
| funetEduPersonLearnerId | Peppi tai Populus lähteenä. Voi muuttua vain jos primäärilähteessä väärä tieto. |
4.1. Kardinaliteetit
Kaikilla käyttäjillä on yksi tunnus per rooli.
4.2. EduPersonPrincipalNamen revokointi ja kierrätys
Käyttäjätunnusta ei vaihdeta, mutta pakottavissa tapauksissa henkilölle voidaan luoda uusi käyttäjätunnus. Tällöin myös tunnukseen sidotut palvelut resetoituvat.