HAKA-IdP:n käyttäjähallinnon kuvaus
Turun yliopisto
Päivitetty 15.8.2023
Tässä asiakirjassa esitetään Turun yliopiston Haka-Identity Provider (IdP; suom. tunnistuslähde) käyttäjähallinnon toteutuksen yleiset periaatteet sellaisella tasolla, joka antaa riittävät perusteet käyttäjätietojen laadun ja ajantasaisuuden arvioimiseksi.
Käyttäjähallinnolla tarkoitetaan niitä loppukäyttäjiä edustavia tietoja, johon Turun yliopiston pääsynhallintajärjestelmä tukeutuu toimiessaan tunnistuslähteenä Haka-luottamusverkoston palveluille. Käyttäjän tiedot koostuvat yksilöivistä, luokittelevista ja kuvaavista attribuuteista. Tekninen toteutus on LDAP-hakemisto, johon attribuutit kirjoitetaan ja josta ne luetaan.
1. Käyttäjähallinnon ja lähderekistereiden kytkentä
Lähderekistereinä toimivat: yliopiston ja avoimen yliopiston opiskelijarekisteri (Peppi), henkilöstörekisteri (Mepco), vierailijarekisteri (Efecte Identity Management), sekä Turun ja Rauman normaalikoulujen oppilasrekisterit (Primus).
Henkilö voi olla yliopistolla monessa roolissa, jolloin hänen tietonsa voivat löytyä useammasta lähderekisteristä tai samasta moneen kertaan. Tämä vaikuttaa käyttäjätunnuksen voimassaoloon eli vaikka yksi rooli lakkaa, niin tunnuksen voimassaolo voi kuitenkin jatkua toisen roolin perusteella.
Tiedot siirretään lähderekistereistä tietovarastoon, jossa tiedot koostetaan. Tietovarastosta aineisto tuodaan käyttäjähallintajärjestelmään eräajona kahdesti yössä. Vierailijarekisteri on osa käyttäjähallintajärjestelmää, joten sitä ei tarvitse erikseen tuoda. Käyttäjähallintajärjestelmä on toteutettu Efecte Identity Management -tuotteella ja Haka-IdP:n ohjelmistona toimii Keycloak-pääsynhallintajärjestelmä.
LDAP-hakemiston päivitykset (provisionnit) tehdään käyttäjähallintajärjestelmästä kahden minuutin välein. Provisioinneissa kirjataan muuttuneet tiedot.
IdP todentaa käyttäjän vertaamalla käyttäjän antamia tunnisteita LDAP-hakemistosta löytyviin tietoihin. Kirjautumisessa hyväksytään vain ne tunnukset, jotka ovat Haka-luottamusverkoston palvelusopimuksen mukaisia loppukäyttäjiä, eli kotiorganisaation opiskelijat, työntekijät tai organisaation toimintaan muulla tavoin liittyvät henkilöt. Näillä on oltava arvo ”true” utuHakaEnabled-attribuutissa.
1.1. OPISKELIJAREKISTERI
Käyttäjähallintajärjestelmään siirretään joka yö (eräajo) opiskelijarekisteristä lähtöisin olevat tiedot läsnä- ja poissaoleviksi ilmoittautuneista opiskelijoista. Välitettyjen tietojen perusteella määräytyy käyttäjätunnusten viimeinen voimassaolopäivä. Tieto tunnuksen käyttöoikeuden uusimisesta tai päättymisestä päivittyy LDAP-hakemistoon, kun kaikki opiskelijarekisterin tiedot ovat ensin siirtyneet käyttäjähallintajärjestelmään.
Läsnäolevilla tutkinto-opiskelijoilla, vaihto-opiskelijoilla ja Turun yliopistossa opintoja suorittavilla toisen korkeakoulun opiskelijoilla on eduPersonAffiliation-attribuutin arvo ”student”. Muilla läsnä olevilla, on arvo ”member”. Poissaolevat opiskelijat ja opiskelijat, jotka eivät ole ilmoittautuneet seuraavalle lukukaudelle, saavat eduPersonAffiliation-attribuuttiin arvon ”affiliate”.
1.1.1. Uusi opiskelija
Opiskelijoiden käyttäjätunnukset luodaan automaattisesti. Uuden opiskelijan tiedot siirtyvät käyttäjähallintajärjestelmään, kun opiskelija on kirjattu läsnäolevaksi. Opiskelijalle määritellään oikeudet eri järjestelmiin sekä luodaan käyttäjätunnus ja sähköpostiosoite, mutta aktivointi tapahtuu vasta, kun hän on hyväksynyt käyttöehdot ja todistanut henkilöllisyytensä. Henkilöllisyyden todistaminen voi tapahtua IT-palvelupisteissä Haka-palvelusopimuksen mukaisella henkilöllisyystodistuksella tai sähköisesti https://idm.utu.fi -palvelussa.
1.1.2. Opiskelijan tiedoissa tapahtuu muutos
Opiskelijarekisterissä tapahtuneet muutokset päivittyvät seuraavana yönä käyttäjähallintajärjestelmään ja sieltä edelleen LDAP-hakemistoon.
1.1.3. Opiskelija lakkaa olemasta opiskelija
Opiskelija voi kirjautua Haka-luottamusverkostoon, hänen ilmoittautumisensa ollessa voimassa. Opintotoimisto katsoo, että valmistunut on opiskelija, sen lukukauden loppuun, jolle hän on ilmoittautunut. Eli jos on ilmoittautunut koko vuodeksi, niin opiskelijalla on pääsy Haka-luottamusverkostoon myös kevätlukukaudella, vaikka hän on jo valmistunut syksyllä.
1.2. HENKILÖKUNTAREKISTERI
Henkilökuntarekisteristä siirretään tiedot palvelussuhteista tietovarastoon kerran päivässä (eräajo). Käyttäjänhallintajärjestelmään välitettyjen tietojen perusteella määräytyy käyttäjätunnuksen viimeinen voimassaolopäivä sekä LDAP-hakemiston eduPersonAffliation-attribuutin faculty, staff, employee tai member arvot.
1.2.1. Uusi työntekijä
Uudelle työntekijälle lisätään Turun yliopiston IT-palveluiden käyttöoikeudet automaattisesti, mutta aktivointi tapahtuu vasta, kun hän on hyväksynyt käyttöehdot ja todistanut henkilöllisyytensä. Henkilöllisyyden todistaminen voi tapahtua IT-palvelupisteissä Haka-palvelusopimuksen mukaisella henkilöllisyystodistuksella tai sähköisesti https://idm.utu.fi -palvelussa.
1.2.2. Työntekijän tiedoissa tapahtuu muutos
Henkilökuntarekisterin palvelussuhdetietojen perusteella päivitetään käyttäjätunnuksen voimassaolo tietovarastoon kerran päivässä. Muutokset välittyvät käyttäjähallintajärjestelmän kautta LDAP-hakemistoon.
1.2.3. Työntekijä lakkaa olemasta työntekijä
Turun yliopiston IT-palveluiden käyttöoikeus jatkuu kaksi viikkoa palvelussuhteen loppupäivän jälkeen, ellei suhdetta ole keskeytetty ennenaikaisesti. Myös EduPersonAffiliation-attribuutin arvot ovat voimassa tämän ajan.
1.3. MUUT KÄYTTÄJÄT JA HEIDÄN HENKILÖTIETOJENSA AJANTASAISUUS
Turun yliopistossa tunnuksia annetaan myös avoimen yliopiston opiskelijoille, vierailijoille sekä Turun ja Rauman normaalikoulujen oppilaille.
Avoimen yliopiston hakijan saadessa opinto-oikeuden, tieto siirretään opiskelijarekisteristä tietovaraston kautta käyttäjähallintajärjestelmään ja sieltä LDAP-hakemistoon. Käyttäjätunnus on voimassa opinto-oikeuden ajan. Kun tunnuksen voimassaolo lakkaa, niin sillä ei voi enää kirjautua yliopiston verkkopalveluihin.
Henkilökuntaan kuuluva voi anoa yliopiston vierailijalle käyttäjätunnusta. Käyttäjätunnus on voimassa vierailijasopimuksen keston ajan, joka on maksimissaan vuosi. Vierailijalla on esimies, joka voi jatkaa sopimusta tarvittaessa.
Vierailijasopimuksia on erilaisia: opetus- ja tutkimushenkilökuntaan rinnastettavat (esim. apurahatutkijat), muuhun henkilökuntaan rinnastettavat (esim. siviilipalvelusmiehet ja hallinnon harjoittelijat), yliopiston kanssa yhteistyössä toimivien organisaatioiden edustajat (esim. yliopistosäätiö). Erilaiset sopimukset vaikuttavat vierailijan käyttöoikeuksiin.
1.4. MUUT TOIMIJAT
Tunnuksia annetaan Haka-luottamusverkostossa vain henkilöille ja tunnus on aina henkilökohtainen. Sellaisilla käyttäjätunnuksilla, jotka edustavat jotain muunlaista toimijaa, ei voi kirjautua HAKA-palveluihin.
2. Henkilöllisyyden todentaminen
2.1. KÄYTTÄJÄTUNNUKSEN ANTAMISEN YHTEYDESSÄ
Henkilö voi aktivoida käyttäjätunnuksensa tai uusia salasanansa Suomi.fi-tunnistuksella https://idm.utu.fi -palvelussa.
Uuden käyttäjätunnuksen voi myös aktivoida tai salasanan uusia IT- palvelupisteessä käyttäen Haka-palvelusopimuksen mukaista henkilöllisyystodistusta.
2.2. KÄYTTÄJÄTUNNUKSEN SALASANAN MÄÄRITTELY
Salasanassa täytyy olla vähintään kymmenen merkkiä. Siinä voi olla kirjaimia väliltä a-z ja A-Z sekä numeroita ja erikoismerkkejä. Salasana vanhenee kuudessa kuukaudessa, jolloin se on vaihdettava uuteen.
3. Muuta
3.1. YKSI KÄYTTÄJÄTUNNUS
Käyttäjällä on tavallisesti vain yksi käyttäjätunnus, johon on liitetty tiedot käyttäjän kaikista rooleista. Poikkeustapauksissa käyttäjällä voi olla useampia käyttäjätunnuksia (poikkeukset koskevat pääsääntöisesti ylläpitohenkilökuntaa).
3.2. KÄYTTÄJÄTUNNUS ON PYSYVÄ
Käyttäjän käyttäjätunnusta ei vaihdeta tai kierrätetä.
Tunnuksia ei poisteta sulkeutumisen yhteydessä, jotta käyttäjän mahdollisesti palatessa takaisin, hän voi jatkaa saman tunnuksen käyttöä. Saman tunnuksen kierrätys on myös kielletty, jottei toinen henkilö voi saamallaan tunnuksella päästä aikaisemman omistajan tietoihin, josta voisi syntyä tietoturvaan ja tietosuojaan liittyviä ongelmia.
4. LDAP-hakemistossa saatavilla olevat tiedot
Lisätietoja funetEduPerson -skeemasta.
TY-Haka-attribuutit 2023 (PDF)