Haka | SeAMK

Haka

Kotiorganisaation käyttäjähallinnon kuvaus

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Versio Tekijä Päiväys Muutos
0.1 Asmo Myllyaho 17.10.2007 alkuperäinen dokumentti
0.2 Ari Sivula 19.10.2007 termistön täsmäys
0.3 Asmo Myllyaho 30.12.2010 päivitys
0.4 Veli-Matti Mäkelä 1.12.2020 Päivitys opiskelijoiden primäärilähteen osalta
0.5 Veli-Matti Mäkelä 18.12.2020 Päivitys henkilökunnan primäärilähteen ja luovutettavien attribuuttien osalta

1.1. Opiskelijarekisteri

Opiskelijatietojen osalta perusrekisterinä on Peppi –oppilashallintojärjestelmä, jonne on tallennettuna opiskelijoiden perustiedot. Pepistä päivitetään opiskelijoiden tiedot ja muuttuneet läsnäolotiedot Active Directory (AD) –käyttäjähakemistoon vähintään kerran vuorokaudessa. AD-käyttäjähakemistoa käytetään Shibboleth-todennuksessa.

Henkilökunnan osalta perustietoja ylläpidetään Populus -henkilötietojärjestelmässä, josta uudet ja muuttuneet tiedot päivitetään käyttäjähakemistoon vähintään kerran vuorokaudessa.

1.1.1. Uusi opiskelija

Uusien opiskelijoiden tiedot päivittyvät Pepistä Active Directoryyn kerran vuorokaudessa. Pepistä saatavien tietojen perusteella uusille opiskelijoille generoituu käyttäjätunnus ja sähköpostiosoite. Uudet tunnukset aktivoituvat ensimmäisellä käyttökerralla.

Opiskelija saa opiskelijaroolin opintojen alussa perehdytyksen luennolla tai myöhemmin henkilökohtaisesti opintotoimistosta.

Käyttäjätunnus ja sähköpostiosoite generoituu kaikille opiskelijoille, mutta käyttöönoton voi tehdä vain ne opiskelijat, jotka ovat ottaneet opiskelupaikan vastaan tai ovat ilmoittautuneet läsnäoleviksi.

1.1.2. Opiskelijan tiedoissa tapahtuu muutos

Opiskelijan muuttuneet tiedot päivittyvät käyttäjärekisteriin kerran vuorokaudessa oppilashallintojärjestelmästä tulevien syötteiden perusteella.

1.1.3. Opiskelija lakkaa olemasta opiskelija

Opiskelijan rooli opiskelijana päättyy valmistumispäivänä, kun opiskelija on merkitty oppilashallintojärjestelmään valmistuneeksi. Käyttäjätunnus sulkeutuu seitsemän vuorokauden kuluttua siitä, kun käyttäjärekisteri saa oppilashallintojärjestelmästä tiedon opiskelijan valmistumisesta.

Jos opiskelija ei ole ilmoittautunut lukuvuoden alussa läsnäolevaksi opiskelijaksi muodostunut käyttäjätunnus ei aktivoidu tai sulkeutuu.

Opintojen keskeytyessä merkitään keskeytyminen oppilashallintojärjestelmään ja käyttäjätunnus sulkeutuu samalla tavalla kuin opiskelijan valmistuessa.

Käyttäjätunnukset sulkeutuvat yllä kuvatulla tavalla. Käyttäjätunnuksiin liittyvät palvelut (esimerkiksi kotihakemistot ja sähköpostilaatikko) poistetaan 180 päivän kuluttua tunnuksen sulkeutumisesta. Samalla käyttäjän tunnus poistetaan järjestelmistä.

1.2. Henkilökuntarekisteri

Henkilökunnan henkilörekisteri on Populus –henkilöstöhallinnon järjestelmä.

1.2.1. Uusi työntekijä

Uusien henkilökuntaan kuuluvien tiedot kirjataan Populukseen henkilöstöhallinnossa. Populuksesta uudet käyttäjätunnukset ja sähköpostiosoitteet ajetaan käyttäjähallintaan kerran vuorokaudessa.

1.2.2. Työntekijän tiedoissa tapahtuu muutos

Kaikki palvelusuhteeseen muutokset päivitetään käyttäjätietojärjestelmään kerran vuorokaudessa.

1.2.3. Työntekijä lakkaa olemasta työntekijä

Henkilön työsuhteen päättyessä käyttäjätunnus suljetaan 7 vuorokauden kuluttua siitä, kun tieto siitä on tullut käyttäjätietojärjestelmään. Tunnukseen liittyvät palvelut (esimerkiksi kotihakemisto ja sähköpostilaatikko) poistetaan kuuden kuukauden kuluttua. Samalla käyttäjän tunnus poistetaan järjestelmistä.

2. Henkilöllisyyden todentaminen

2.1. Käyttäjätunnuksen antamisen yhteydessä

Saadakseen tunnuksen tulee käyttäjän todistaa henkilöllisyytensä luotettavalla, virallisella henkilötunnistusasiakirjalla. Tarkistuksen tekee tunnuksen luovuttaja. Toinen vaihtoehto on käyttää tunnuksenluovutussovellusta, joka käyttää suomi.fi todennusta.

2.2. Kun käyttäjä kirjautuu käyttäjätunnuksensa avulla

Kaikkien käyttäjien salasanojen tulee täyttää seuraavat kriteerit:

  • pituus vähintään kahdeksan merkkiä
  • kryptinen (isoja kirjaimia, pieniä kirjaimia, numeroita, erikoismerkkejä)
  • ei saa olla johdettavissa käyttäjän tiedoista
  • ei saa olla aiemmin käytetty

Kaikkien käyttäjien on vaihdettava salasanansa pakotetusti 180 vuorokauden välein.

Muita autentikointimenetelmiä ei ole käytössä.

3. Käyttäjätietokannassa saatavilla olevat tiedot

Attribuutti Saatavuus Miten ajantasaisuus turvataan Muuta (esim. tulkintaohje)
cn / commonName X Peppi tai Populus lähteenä. Muuttuu, jos käyttäjän etunimi tai kutsumanimi tai sukunimi muuttuu. MUST
description X Peppi tai Populus lähteenä. Voi muuttua primäärilähteiden tietojen mukaan.
displayName X Peppi tai Populus lähteenä. Muuttuu, jos käyttäjän etunimi tai kutsumanimi tai sukunimi muuttuu. MUST
employeeNumber X Peppi tai Populus lähteenä, henkilökunnalla työtunnus, opiskelijoilla opiskelijanumero. Henkilökunnalla ei muutu, opiskelijoilla muuttuu jos vanha rooli poistunut.
facsimileTelephoneNumber
givenName X Peppi tai Populus lähteenä. Muuttuu, jos käyttäjän etunimi muuttuu. MUST
homePhone
homePostalAddress
jpegPhoto
l / localityName X Peppi tai käyttäjähallinnan portaali lähteenä. Muuttuu toimipisteen mukaan.
labeledURI
mail X Peppi tai Populus lähteenä. Muuttuu, jos käyttäjän etunimi tai kutsumanimi tai sukunimi muuttuu. Myös ylläpito voi attribuuttia päivittää. SHOULD
mobile X Peppi tai MECM lähteenä.
o / organizationName X Organisaation nimi vakioarvona. Muuttuu jos organisaation nimi muuttuisi.
ou / organizationalUnitName
postalAddress X Peppi tai käyttäjähallinnan portaali lähteenä. Muuttuu henkilön primäärilähteiden tietojen mukaan.
postalCode X Peppi tai käyttäjähallinnan portaali lähteenä. Muuttuu henkilön primäärilähteiden tietojen mukaan.
preferredLanguage X Opiskelijoilla alkuarvot lähteenä, käyttäjät voivat itse vaihtaa kielen käyttäjähallinnan portaalissa.
seeAlso
sn / surname X Peppi tai Populus lähteenä. Muuttuu, jos käyttäjän sukunimi muuttuu. MUST
street X Peppi tai Populus lähteenä.
telephoneNumber X Peppi tai MECM lähteenä. Voi muuttua primäärilähteen tietojen perusteella.
title X Peppi tai Populus lähteenä. Voi muuttua primäärilähteen tietojen perusteella.
uid X Peppi tai Populus lähteenä. Ei pääsääntöisesti muutu.
userCertificate
eduPersonAffiliation X Peppi tai Populus lähteenä. Riippuu käyttäjän roolista. Esim. tukinto-opiskelijoilla on student ja muilla opiskelijoilla ja poissaolevilla affiliate. SHOULD
eduPersonEntitlement
eduPersonNickName
eduPersonOrgDN
eduPersonOrgUnitDN
eduPersonPrimaryAffiliation X Peppi tai Populus lähteenä. Riippuu käyttäjän roolista. Esim. tukinto-opiskelijoilla on student ja muilla opiskelijoilla ja poissaolevilla affiliate.
eduPersonPrimaryOrgUnitDN
eduPersonPrincipalName X Peppi tai Populus lähteenä. Opiskelijoilla ensimmäinen opiskelijanumero ja henkilökunnalla työtunnus.Ei muutu. MUST
eduPersonScopedAffiliation X Sama kuin eduPersonAffiliation mutta @realm-päätteellä (@seamk.fi). SHOULD
eduPersonAssurance X Suomi.fi ensitunnistuksen tehneillä https://refeds.org/assurance/IAP/high ja muilla https://refeds.org/assurance/IAP/medium MUST
eduPersonTargetedID
schacMotherTongue
schacGender X Peppi tai Populus lähteenä. Voi muuttua primäärilähteiden tietojen mukaan.
schacDateOfBirth X Peppi tai Populus lähteenä. Voi muuttua vain jos primäärilähteessä väärä tieto.
schacPlaceOfBirth
schacCountryOfCitizenship
schacHomeOrganization X Vakioarvo: seamk.fi MUST
schacHomeOrganizationType Vakioarvo: urn:mace:terena.org:schac:homeOrganizationType:fi:polytechnic MUST
schacCountryOfResidence
schacUserPresenceID
schacPersonalUniqueCode X Peppi tai Populus lähteenä. Voi muuttua vain jos primäärilähteessä väärä tieto.
schacPersonalUniqueID X Peppi tai Populus lähteenä. Voi muuttua vain jos primäärilähteessä väärä tieto.
schacUserStatus
funetEduPersonHomeOrganization superseded
funetEduPersonStudentID superseded
funetEduPersonIdentityCode superseded
funetEduPersonDateOfBirth superseded
funetEduPersonTargetDegreeUniversity superseded
funetEduPersonTargetDegreePolytech superseded
funetEduPersonTargetDegree
funetEduPersonEducationalProgramUniv superseded
funetEduPersonEducationalProgramPolytech superseded
funetEduPersonProgram
funetEduPersonMajorUniv superseded
funetEduPersonOrientationAlternPolytech superseded
funetEduPersonSpecialisation
funetEduPersonStudyStart
funetEduPersonPrimaryStudyStart
funetEduPersonStudyToEnd
funetEduPersonPrimaryStudyToEnd
funetEduPersonCreditUnits
funetEduPersonECTS
funetEduPersonStudentCategory
funetEduPersonStudentStatus
funetEduPersonStudentUnion
funetEduPersonHomeCity
funetEduPersonEPPNTimeStamp

4.1. Kardinaliteetit

Kaikilla käyttäjillä on yksi tunnus per rooli.

4.2. EduPersonPrincipalNamen revokointi ja kierrätys

Käyttäjätunnusta ei vaihdeta, mutta pakottavissa tapauksissa henkilölle voidaan luoda uusi käyttäjätunnus. Tällöin myös tunnukseen sidotut palvelut resetoituvat.