Käyttäjähallinnon kuvaus

Haka-infrastruktuuri

Kotiorganisaation käyttäjähallinnon kuvaus

Versio​

Tekijä​

Päiväys​

1.0​

Terja Antola​

​11.04.2006

​2.0

Terja Antola​

16.11.2006​

2.1​

Terja Antola​​

30.03.2007​

3.0​

Miika Kauppi​

26.10.2010​

4.0​

Elina Toivanen​

26.07.2012​

​5.0 Elina Toivanen​ ​25.1.2016
 

Tässä dokumentissa esitetään Turun yliopiston käyttäjätietokannan ja sen tietojen ajantasaisuuden toteutuksen yleiset periaatteet sellaisella tasolla, joka antaa riittävät tiedot käyttäjätietojen laadun ja ajantasaisuuden arvioimiseksi.

Kotiorganisaatio asettaa tämän dokumentin www:hen kaikkien saataville. Dokumentti linkitetään Haka-infrastruktuurin kotisivulta.

Tässä dokumentissa käyttäjätietokannalla tarkoitetaan sitä loppukäyttäjien attribuuttien joukkoa, johon organisaation Identity Provider -palvelin (IdP) tukeutuu. Käyttäjätietokannan tekninen toteutus voi olla esim. LDAP-hakemisto tai relaatiotietokanta, tai niiden yhdistelmä niin, että IdP hakee osan attribuuteista LDAP-hakemistosta ja osan JDBC:n yli opiskelijarekisteristä.

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Peruslähderekistereitä ovat: Turun yliopiston opiskelijarekisteri (OPSU), avoimen yliopiston opiskelijarekisteri (Avoimen yliopiston NettiOpsu), vierailijarekisteri, henkilöstörekisteri (Personec F) ja Turun ja Rauman normaalikoulujen oppilasrekisterit (Primus). Tiedot siirretään opiskelijoiden, avoimen yliopiston opiskelijoiden ja oppilaiden perusrekistereistä käyttäjätietokantaan kerran päivässä (eräajo) ja henkilöstörekisteristä kolme kertaa päivässä (eräajo). Vierailijarekisteri toimii reaaliaikaisesti. Käyttäjähallinta on toteutettu Oracle Waveset -tuotteella ja IdP-ohjelmistona toimii OpenAM.

LDAP-hakemiston tietoja ylläpidetään käyttäjätietokannan avulla ja päivitykset tehdään reaaliaikaisesti käyttäjätietojen muututtua.

LDAPista haetaan IdP:lle vain ne tunnukset, jotka ovat Haka-infrastruktuurin palvelusopimuksen mukaisia loppukäyttäjä, eli kotiorganisaation opiskelijat, työntekijät tai organisaation toimintaan muulla tavoin liittyvät henkilöt. LDAPista haetaan IdP:lle vain ne tunnukset, joilla ei ole arvoa "false" attribuutissa utuHakaEnabled. 

1.1. Opiskelijarekisteri

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla. Miten käyttäjätietokanta on kytketty opiskelijarekisteriin?

Opiskelijarekisteristä siirretään käyttäjätunnustietokantaan joka aamu tarvittavat tiedot kaikista läsnäolevista ja niistä poissaolevista opiskelijoista (alle vuoden mittainen yhdenjaksoinen poissaolo), jotka ovat olleet läsnä vähintään lukukauden ajan edellisen lukuvuoden aikana. Välitettyjen tietojen perusteella määräytyy käyttöoikeuden viimeinen voimassaolopäivä. Tieto opiskelijatunnuksen käyttöoikeuden uusimisesta tai päättymisestä päivittyy LDAPiin samana päivänä.

Vain läsnäolevilla tutkinto-opiskelijoilla on eduPersonAffiliation-attribuuttin arvo student. Muilla läsnäolevilla opiskelijoilla on eduPersonAffiliation-attribuuttin arvo member. Poissaolevat opiskelijat, joiden käyttäjätunnus on auki, saavat eduPersonAffiliation-attribuuttin arvon affiliate.

1.1.1. Uusi opiskelija

Miten uuden opiskelijan tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?

Opiskelijoiden käyttäjätunnukset tehdään automaattisesti. Tiedot uusista opiskelijoista siirtyvät käyttäjätietokantaan, kun opiskelija on opiskelijapalveluissa kirjattu opiskelijarekisteriin läsnäolevaksi opiskelijaksi. Käyttäjälle määritellään oikeudet eri järjestelmiin sekä luodaan käyttäjätunnus ja sähköpostiosoite, mutta ne aktivoidaan vasta, kun hän on hyväksynyt käyttöehdot ja todistanut henkilöllisyytensä Haka-palvelusopimuksen mukaisella virallisella henkilöllisyystodistuksella. Tämän voi tehdä myös verkkopalvelussa osoitteessa https://idm.utu.fi.

1.1.2. Opiskelijan tiedoissa tapahtuu muutos

Miten opiskelijan muuttuneet tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?

Opiskelijarekisterissä tapahtuneet muutokset päivittyvät seuraavana aamuna käyttäjätunnustietokantaan ja edelleen LDAPiin ja AD:hen.

1.1.3. Opiskelija lakkaa olemasta opiskelija

Koska organisaatio katsoo, että opiskelija lakkaa olemasta opiskelija sen jälkeen, kun a) opiskelija valmistuu? b) lukukausi vaihtuu, ja opiskelija ei ole ilmoittautunut läsnäolevaksi? c) opiskelija ilmoittaa keskeyttävänsä opinnot? Kuinka kauan ylläolevien tapahtumien jälkeen kestää, että organisaatio sulkee opiskelijan käyttäjätunnuksen tai poistaa opiskelijaroolin?

Opiskelija voi tunnistautua IdP:n yli Haka-palveluihin pääsääntöisesti läsnäololukukauden ajan.

Opintotoimisto katsoo, että opiskelija on valmistumisestaan huolimatta opiskelija sen lukukauden loppuun, jolle hän on ilmoittautunut. Yleensä ilmottaudutaan koko lukuvuodeksi. Eli jos valmistuu syksyllä voi opinto-oikeus jatkua kevätlukukauden loppuunkin.

Jos opiskelija ilmoittautuu poissaolevaksi, pysyy hänen tunnuksensa voimassa edellyttäen, että kuluvana tai edellisenä lukuvuonna opiskelijalla on vähintään yksi läsnäololukukausi. Häneltä kuitenkin poistuvat LDAPista student- ja siihen liittyvä member-arvo.

Jos opiskelija keskeyttää opintonsa, student- ja siihen liittyvä member-arvo poistuvat seuraavana aamuna LDAPista ja opiskelijan tunnus sulkeutuu, mikäli hänellä ei ole muita sopimuksia yliopistossa.

Jos opiskelija peruu ilmoittautumisensa yliopistoon ennen lukukauden alkamista, hänelle ei synny tunnusta. Mikäli opiskelija luopuu opiskelupaikastaan, on hänen tunnuksensa voimassa vielä sen lukukauden loppuun, jolle hän on ilmoittautunut, mutta häneltä poistuvat LDAPista student- ja siihen liittyvä member-arvo.

1.2. Henkilökuntarekisteri

Henkilökuntarekisteristä siirretään kolmesti päivässä tarvittavat tiedot palvelussuhteista käyttäjätunnustietokantaan. Välitettyjen tietojen perusteella määräytyy käyttäjätunnuksen viimeinen voimassaolopäivä sekä LDAPin eduPersonAffliation-attribuutin staff, faculty, employee ja siihen liittyvä member-arvo.

Muutokset käyttäjätietokannan tiedoissa päivittyvät LDAPiin välittömästi.

1.2.1. Uusi työntekijä

Uudelle työntekijälle lisätään Turun yliopiston IT-palveluiden käyttöoikeudet käyttäjätunnustietokantaan automaattisesti.

1.2.2. Työntekijän tiedoissa tapahtuu muutos

Henkilökuntarekisterin palvelussuhdetietojen perusteella päivitetään käyttäjätunnuksen voimassaolotieto käyttäjätunnustietokantaan kolmesti päivässä. Muutokset käyttäjätiedoissa siirretään LDAPiin välittömästi.

1.2.3. Työntekijä lakkaa olemasta työntekijä

Turun yliopiston IT-palveluiden käyttöoikeus jatkuu kaksi viikkoa palvelussuhteen loppupäivän jälkeen, ellei palvelusuhdetta ole keskeytetty ennenaikaisesti. EduPersonAffiliation-attribuutin employee- ja siihen liittyvä member-arvo ovat voimassa kaksi viikkoa palvelussuhteen loppupäivän jälkeen.

1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus

Mille muille käyttäjille organisaatio antaa käyttäjätunnuksia (Suomen Akatemian tutkijat? Ravintolahenkilökunta? Siviilipalvelusmiehet? Dosentit? Alumnit? Emeritukset? Kirjaston asiakkaat?) Miten heidän käyttäjätietojensa ajantasaisuus ja sulkeutuminen/roolitiedon päivittyminen on varmistettu?

Turun yliopistossa tunnuksia annetaan myös avoimen yliopiston nykyisille ja tuleville opiskelijoille, vierailijoille ja Turun sekä Rauman normaalikoulujen oppilaille. Avoimen yliopiston tulevat opiskelijat noutavat ilmoittautumista varten käyttöönsä tunnuksen, joka avoimen yliopiston opiskelijaksi hyväksymisen jälkeen muutetaan avoimen yliopiston opiskelijarekisterin tietojen perusteella varsinaiseksi avoimen yliopiston opiskelijatunnukseksi. Vierailijat saavat käyttöoikeuden henkilökunnan jäsenen perustellusta esityksestä. Vierailijoita on erilaisia: opetus- ja tutkimushenkilökuntaan rinnastettavat (esim. apurahatutkijat), muuhun henkilökuntaan rinnastettavat (esim. siviilipalvelusmiehet ja hallinnon harjoittelijat), yliopiston kanssa yhteistyössä toimivien organisaatioiden edustajat (esim. yliopistosäätiö) ja eläkkeelle jääneet yliopiston työntekijät. Turun ja Rauman normaalikoulujen oppilaat saavat oppilasrekisterin tietojen perusteella käyttöönsä oppilastunnuksen.

Tunnusta vastaanotettaessa henkilötiedot haetaan väestötietojärjestelmästä tai tarkistetaan virallisesta henkilöllisyystodistuksesta. Vierailijoille merkitään yliopiston henkilökuntaan kuuluva esimies, jolla on oikeus jatkaa tai lopettaa vierailijan sopimus esimiehen organisaatioyksikköön. Vierailijasopimus solmitaan aina määräajaksi ja enintään vuodeksi kerrallaan, jonka jälkeen se on anottava uudelleen tai muuten tunnus sulkeutuu sopimuksen päättymisen myötä.

Avoimen yliopiston ilmoittautumistunnusten voimassaolo on kolme kuukautta hakemisesta, jonka jälkeen tunnus sulkeutuu automaattisesti, mikäli ilmoittautujalle ei ole siinä ajassa syntynyt muita sopimuksia yliopiston kanssa.

Normaalikoulujen tunnukset ovat voimassa oppilaan koulunkäynnin ajan ja sulkeutuvat automaattisesti oppilaan päätettyä koulunkäynnin.

Sellaiset käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-infrastruktuurin tarkoittamia loppukäyttäjiä, eikä heidän kirjautumistaan IdP:n kautta palveluihin tule sallia.

Tunnuksia annetaan vain henkilöille ja tunnus on aina henkilökohtainen. Avoimeen yliopistoon ilmoittautumistunnuksella ja normaalikoulujen tunnuksilla ei pääse kirjautumaan Hakaan.

2. Henkilöllisyyden todentaminen

2.1. Käyttäjätunnuksen antamisen yhteydessä

Millä tavalla uuden käyttäjän henkilöllisyys todennetaan, kun hänelle annetaan käyttäjätunnus?

Opiskelijat käyvät henkilökohtaisesti näyttäytymässä ja todistavat henkilöllisyytensä Haka-palvelusopimuksen mukaisella virallisella henkilöllisyystodistuksella, esim. ajokortilla. Etäpaikoissa (kuten Rauma) henkilöllisyyden tarkistaa tietohallinnon valtuuttama henkilö.

Henkilökunta todistaa henkilöllisyytensä Haka-palvelusopimuksen mukaisella virallisella henkilöllisyystodistuksella hakiessaan salasanan IT-palvelujen palvelupisteestä tai IT-palvelujen valtuuttamalta henkilöltä. Salasana voidaan lähettää myös sisäisessä postissa henkilökuntarekisterin osoittamaan kansliaan, josta käyttäjä saa kirjekuoressa olevan salasanan todistamalla tarvittaessa henkilöllisyytensä.

Vaihtoehtoisesti käyttäjätunnuksen voi aktivoida verkkopalvelussa Vetuma-palvelun ja Tupas- tai mobiilitunnistuksen avulla.

2.2. Kun käyttäjä kirjautuu käyttäjätunnuksen avulla

Salasanatodennukseen liittyvät laatuvaatimukset. Mahdolliset käytettävissä olevat salasanaa tukevammat autentikointimenetelmät.

Ldap-salasanassa täytyy olla vähintään kymmenen merkkiä. Siinä voi olla kirjaimia a-z ja A-Z sekä numeroita ja erikoismerkkejä. Salasanassa tulee olla kolmenlaisia eri merkkejä. Salasana vanhenee 90 päivän välein, jolloin se on vaihdettava uuteen.

3. Käyttäjätietokannassa saatavilla olevat tiedot

Lisätietoja funetEduPerson-skeemasta.

Rasti kohtaan "Saatavuus", jos kyseinen henkilötieto on ajantasalla ja siten saatavilla IdP-palvelimen yli. Kohtaan "Miten ajantasaisuus turvataan" esimerkiksi viittaus luvun 1. järjestelmiin.

Jos organisaatiolla on omia (ei siis funetEduPersonin mukaisia) attribuutteja, jotka näkyvät ulospäin IdP:stä, lisää ne taulukon loppuun. Tarvittaessa linkki dokumenttiin, joka tarkemmin kuvailee omien attribuuttien skeeman.

 

Attribuutti​ Saatavuus​ Miten
ajantasaisuus
turvataan?​
Muuta
(esim. tulkintaohje)​
cn​ X​ 1.1,1.2 ​ Kutsumanimi Sukunimi ​
description​ X​ 1.1, 1.2, 1.3 ​ Ensisijainen yksikkö, rooli yksikössä ​
displayName​ X​ 1.1, 1.2 ​ Kutsumanimi ​​Sukunimi
employeeNumber​ X​ 1.2​
facsimileTelephoneNumber​
givenName​ X​ 1.1, 1.2 ​ Kutsumanimi
homePhone​ ​X 1.1​ Ei noudata määrättyä muotoa (vain opiskelijoilla)​
homePostalAddress​ X​ 1.1​ Kotiosoite (vain opiskelijoilla kattava muoto) ​
jpegPhoto​
l​ X​ 1.2​ Sijaintipaikkakunta (vain henkilökunnalla)​
labeledURI​
mail​ X​ 1.1, 1.2​ Ensisijainen sähköpostiosoite (esim. muotoa tunnus@utu.fi tai kutsumanimi.sukunimi@utu.fi) ​
mobile​ Saattaa löytyä manuaalisesti ylläpidettynä ​
o​ X​ vakio​ University Of Turku ​
ou​ X​ 1.1, 1.2, 1.3​ Yksiköt, joihin käyttäjä kuuluu​
postalAddress​
postalCode​ X​ 1.1, 1.2​
preferredLanguage​ X​ 1.1, 1.2​ fi, en tai sv ​
seeAlso​
sn​ X​ 1.1, 1.2, 1.3​​ Sukunimi​
street​
telephoneNumber​
1.1, 1.2, 1.3​​ Ylläpidetään manuaalisesti eräajoin ​
title​ X​ 1.2​
uid​ X​ Generoidaan tunnusta luotaessa​ käyttäjätunnus​
​initials
​carLicense
​departmentNumber
​employeeType
​manager
​postOfficeBox
​businessCategory
​physicalDeliveryOfficeName
userCertificate​
​electronicIdentificationNumber
​nationalIdentificationNumber
eduPersonAffiliation​ X 1.1, 1.2, 1.3​ student - läsnäoleva tutkinto-opiskelija
faculty - opetus- ja tutkimushenkilökunta
staff - hallinnollinen tms. henkilökunta
employee - henkilö työ/virkasuhteessa
member - kaikki ylläolevat ja muut läsnäolevat opiskelijat
alumn - ei käytössä
affiliate - poissaolevat opiskelijat ​
eduPersonEntitlement​ X​ Annetaan IT-palvelupisteessä pyydettäessä​ tai sopimuksen perusteella automaattisesti Tällä hetkellä voi saada arvot -urn:mace:terena.org:tcs:
escience-user​
-urn:mace:dir:entitlement:common-lib-terms
​eduPersonGivenNames
eduPersonFullName
eduPersonLearnerId​
eduPersonNickName​
​eduPersonOrcid
eduPersonOrgDN​
eduPersonOrgUnitDN​
eduPersonPrimaryAffiliation​ X​ 1.1, 1.2, 1.3 Valitaan prioriteettijärjestyksessä Hakan ohjeistuksen mukaisesti
eduPersonPrimaryOrgUnitDN​
eduPersonPrincipalName​ X​ 1.1, 1.2, 1.3​ tunnus@utu.fi ​
eduPersonScopedAffiliation​ X​ 1.1, 1.2, 1.3​ eduPersonPrimaryAffiliation@utu.fi
eduPersonTargetedID​ X​ Generoidaan ensimmäisen kerran tätä vaativaan kohdepalveluun kirjaduttaessa ​  ​
schacMotherTongue​ X​ 1.1​ Äidinkieli (vain opiskelijoilla)​
schacGender​ X​ 1.1​ Sukupuoli (Vain opiskelijoilla)​
schacDateOfBirth​ X​ 1.1, 1.2, 1.3​ Syntymäpäivä​
schacPlaceOfBirth​
schacCountryOfCitizenship​ X​ 1.1​ Kansalaisuus (vain opiskelijoilla)​
schacHomeOrganization​ X​ vakio​ utu.fi​
schacHomeOrganizationType​ X​ vakio​ urn:mace:
terena.org:
schac:
homeOrganization
Type:fi:university ​
schacCountryOfResidence​
schacUserPresenceID​
schacPersonalUniqueCode​ X​ 1.1​
schacPersonalUniqueID​ X​ 1.1, 1.2, 1.3​ Henkilötunnus​
schacUserStatus​
funetEduPersonHomeOrganization​ X vakio​ utu.fi​
funetEduPersonStudentID​ X​ 1.1​
funetEduPersonTargetDegree​ X​ 1.1​ Suoritettava tutkinto​
funetEduPersonProgram​ X​ 1.1​ Tutkinto-ohjelma​
funetEduPersonSpecialisation​ X​ 1.1​ Opintosuunta​
funetEduPersonStudyStart​ X​ 1.1​ Opintojen aloittamispäivä ​
funetEduPersonPrimaryStudyStart​ X​ 1.1​ Ensisijaisten opintojen aloittamispäivä ​
funetEduPersonStudyToEnd​
funetEduPersonPrimaryStudyToEnd​
funetEduPersonCreditUnits​ X​ 1.1​ Opintoviikot​
funetEduPersonECTS​ X​ 1.1​ Opintopisteet​
funetEduPersonStudentCategory​ X​ 1.1​
funetEduPersonStudentStatus​ X​ 1.1​ Läsnäolotieto​
funetEduPersonStudentUnion​ X​ 1.1​ Turun yliopiston ylioppilaskunta, jos opiskelija kuuluu siihen ​
funetEduPersonHomeCity​ X​ 1.1​ Kotikunta (vain opiskelija) ​
funetEduPersonEPPNTimeStamp​

4. Muuta

4.1. Kardinaliteetit

Yksi henkilöllisyys per tosielämän käyttäjä, vai yksi henkilöllisyys per rooli (esim. opiskelija-työntekijällä kaksi käyttäjätunnusta)?

Käyttäjällä on vain yksi käyttäjätunnus, johon on liitetty tiedot käyttäjän kaikista rooleista. Poikkeustapauksissa käyttäjällä voi olla kaksi tai useampi käyttäjätunnusta (tälläiset poikeukset ovat pääsääntöisesti ylläpitohenkilökuntaa).

4.2. EduPersonPrincipalNamen revokointi ja kierrätys

Voiko eduPersonPrincipalName vaihtua?

Ei voi. Käyttäjän käyttäjätunnus pysyy aina samana, vaikka nimi muuttuisi.

Millä tavalla organisaatio kierrättää vapautuneita eduPersonPrincipalName-arvoja?

Tunnukset ovat sulkeutumisensa jälkeen varattuina vähintään kaksi vuotta siltä varalta, että käyttäjä tulee takaisin yliopistoon. Kun tunnus on poistettu, voidaan samanniminen tunnus luoda uudelleen, mutta sille tulee tässä yhteydessä esim. uusi uid ja guid.

 
Asiasana:
Tagit:

20014 Turun yliopisto, Finland
Puhelinvaihde: 029 450 5000

Henkilöhaku

Seuraa meitä: 
Facebook   Twitter   Instagram   Youtube   LinkedIn
Opiskelu Tutkimus Palvelut ja yhteistyö Yliopisto Tiedekunnat ja yksiköt Ajankohtaista Lahjoita
© Turun yliopisto