HAKA-IdP:n käyttäjähallinnon kuvaus
Kotiorganisaation käyttäjähallinnon kuvaus
Päivitetty 21.12.2020
Tässä dokumentissa esitetään Turun yliopiston käyttäjätietokannan ja sen tietojen ajantasaisuuden toteutuksen yleiset periaatteet sellaisella tasolla, joka antaa riittävät tiedot käyttäjätietojen laadun ja ajantasaisuuden arvioimiseksi.
Tässä dokumentissa käyttäjätietokannalla tarkoitetaan sitä loppukäyttäjien attribuuttien joukkoa, johon organisaation Identity Provider -palvelin (IdP) tukeutuu. Käyttäjätietokannan tekninen toteutus on LDAP-hakemisto, johon attribuutit kirjoitetaan ja josta ne haetaan.
1. Käyttäjätietokannan ja perusrekistereiden kytkentä
Peruslähderekistereitä ovat: Turun yliopiston opiskelijarekisteri (OPSU), avoimen yliopiston opiskelijarekisteri (Avoimen yliopiston NettiOpsu), vierailijarekisteri, henkilöstörekisteri (Personec F) ja Turun ja Rauman normaalikoulujen oppilasrekisterit (Primus). Tiedot siirretään tietovarastoon ja sieltä käyttäjähallintajärjestelmään kerran päivässä (eräajo). Vierailijarekisteri toimii reaaliaikaisesti. Käyttäjähallinta on toteutettu Efecte Identity Management -tuotteella ja IdP-ohjelmistona toimii OpenAM.
LDAP-hakemiston päivitykset tehdään reaaliaikaisesti käyttäjähallintajärjestelmästä käyttäjätietojen muututtua.
LDAPista haetaan IdP:lle vain ne tunnukset, jotka ovat Haka-infrastruktuurin palvelusopimuksen mukaisia loppukäyttäjiä, eli kotiorganisaation opiskelijat, työntekijät tai organisaation toimintaan muulla tavoin liittyvät henkilöt. LDAPista haetaan IdP:lle vain ne tunnukset, joilla ei ole arvoa "false" attribuutissa utuHakaEnabled.
1.1. Opiskelijarekisteri
Opiskelijarekisteristä siirretään käyttäjätunnustietokantaan joka aamu tarvittavat tiedot kaikista läsnä- ja poissaoleviksi ilmoittautuneista opiskelijoista. Välitettyjen tietojen perusteella määräytyy käyttöoikeuden viimeinen voimassaolopäivä. Tieto opiskelijatunnuksen käyttöoikeuden uusimisesta tai päättymisestä päivittyy LDAPiin samana päivänä.
Läsnäolevilla tutkinto-opiskelijoilla, vaihto-opiskelijoilla ja Turun yliopistossa opintoja suorittavilla toisen korkeakoulun opiskelijoilla on eduPersonAffiliation-attribuuttin arvo student. Muilla läsnäolevilla opiskelijoilla on eduPersonAffiliation-attribuuttin arvo member. Poissaolevat opiskelijat ja opiskelijat, jotka eivät ole ilmoittautuneet seuraavalle lukukaudelle saavat eduPersonAffiliation-attribuuttin arvon affiliate.
1.1.1. Uusi opiskelija
Opiskelijoiden käyttäjätunnukset luodaan automaattisesti. Tiedot uusista opiskelijoista siirtyvät käyttäjähallintajärjestelmään, kun opiskelija on opiskelijapalveluissa kirjattu opiskelijarekisteriin läsnäolevaksi opiskelijaksi. Käyttäjälle määritellään oikeudet eri järjestelmiin sekä luodaan käyttäjätunnus ja sähköpostiosoite, mutta aktivointi tapahtuu vasta, kun käyttäjä on hyväksynyt käyttöehdot ja todistanut henkilöllisyytensä Haka-palvelusopimuksen mukaisella virallisella henkilöllisyystodistuksella. Tämän voi tehdä myös verkkopalvelussa osoitteessa https://idm.utu.fi.
1.1.2. Opiskelijan tiedoissa tapahtuu muutos
Opiskelijarekisterissä tapahtuneet muutokset päivittyvät seuraavana aamuna käyttäjähallintajärjestelmään ja edelleen LDAPiin ja AD:hen.
1.1.3. Opiskelija lakkaa olemasta opiskelija
Opiskelija voi kirjautua Hakaan niin kauan kuin hänellä on ilmoittautuminen voimassa.
Opintotoimisto katsoo, että opiskelija on valmistumisestaan huolimatta opiskelija sen lukukauden loppuun, jolle hän on ilmoittautunut. Yleensä ilmoittaudutaan koko lukuvuodeksi. Eli jos valmistuu syksyllä voi opinto-oikeus jatkua kevätlukukauden loppuunkin.
1.2. Henkilökuntarekisteri
Henkilökuntarekisteristä siirretään tarvittavat tiedot palvelussuhteista tietovarastoon kerran päivässä (eräajo). Välitettyjen tietojen perusteella määräytyy käyttäjätunnuksen viimeinen voimassaolopäivä sekä LDAPin eduPersonAffliation-attribuutin faculty, staff, employee ja member.
Muutokset tietovaraston tiedoissa välittyvät käyttäjähallintajärjestelmän kautta päivittäin LDAPiin.
1.2.1. Uusi työntekijä
Uudelle työntekijälle lisätään Turun yliopiston IT-palveluiden käyttöoikeudet automaattisesti.
1.2.2. Työntekijän tiedoissa tapahtuu muutos
Henkilökuntarekisterin palvelussuhdetietojen perusteella päivitetään käyttäjätunnuksen voimassaolotieto tietovarastoon kerran päivässä. Muutokset tietovaraston tiedoissa välittyvät käyttäjähallintajärjestelmän kautta päivittäin LDAPiin.
1.2.3. Työntekijä lakkaa olemasta työntekijä
Turun yliopiston IT-palveluiden käyttöoikeus jatkuu kaksi viikkoa palvelussuhteen loppupäivän jälkeen, ellei palvelusuhdetta ole keskeytetty ennenaikaisesti. EduPersonAffiliation-attribuutin arvot ovat voimassa kaksi viikkoa palvelussuhteen loppupäivän jälkeen.
1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus
Turun yliopistossa tunnuksia annetaan myös avoimen yliopiston nykyisille ja avoimeen yliopistoon hakeville, vierailijoille ja Turun sekä Rauman normaalikoulujen oppilaille.
Avoimen yliopiston hakijat luovat ilmoittautumista varten käyttöönsä tunnuksen verkkopankkitunnuksillaan tai noutavat tunnuksen avoimen yliopiston virkailijalta, joka tarkastaa hakijan virallisesta henkilöllisyystodistuksesta.
Kun hakija on saanut avoimen yliopiston opinto-oikeuden, tieto siirretään avoimen yliopiston opiskelijarekisteristä tietovaraston kautta käyttäjätietohallintaan ja sieltä LDAPiin.
Avoimen yliopiston ilmoittautumistunnusten voimassaolo on kolme kuukautta hakemisesta, jonka jälkeen tunnus sulkeutuu automaattisesti, mikäli ilmoittautujalle ei ole siinä ajassa syntynyt muita sopimuksia yliopiston kanssa.
Vierailijat saavat käyttöoikeuden henkilökunnan jäsenen perustellusta esityksestä. Vierailijoita on erilaisia: opetus- ja tutkimushenkilökuntaan rinnastettavat (esim. apurahatutkijat), muuhun henkilökuntaan rinnastettavat (esim. siviilipalvelusmiehet ja hallinnon harjoittelijat), yliopiston kanssa yhteistyössä toimivien organisaatioiden edustajat (esim. yliopistosäätiö).
Vierailijoille merkitään yliopiston henkilökuntaan kuuluva esimies, jolla on oikeus jatkaa tai lopettaa vierailijan sopimus esimiehen organisaatioyksikköön. Vierailijasopimus solmitaan aina määräajaksi ja enintään vuodeksi kerrallaan, minkä jälkeen se on anottava uudelleen tai muuten tunnus sulkeutuu sopimuksen päättymisen myötä.
Sellaiset käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-infrastruktuurin tarkoittamia loppukäyttäjiä, eikä heidän kirjautumistaan IdP:n kautta palveluihin sallita.
Tunnuksia annetaan vain henkilöille, ja tunnus on aina henkilökohtainen.
2. Henkilöllisyyden todentaminen
2.1. Käyttäjätunnuksen antamisen yhteydessä
Henkilö voi aktivoida käyttäjätunnuksensa tai uusia salasanansa verkkopankkitunnuksillaan osoitteessa https://idm.utu.fi.
Henkilö voi hakea uuden käyttäjätunnuksensa tai uusia salasanansa IT-palveluiden palvelupisteestä, jossa hän todistaa henkilöllisyytensä Haka-palvelusopimuksen mukaisella virallisella henkilöllisyystodistuksella.
2.2. Kun käyttäjä kirjautuu käyttäjätunnuksen avulla
Salasanassa täytyy olla vähintään kymmenen merkkiä. Siinä voi olla kirjaimia a-z ja A-Z sekä numeroita ja erikoismerkkejä. Salasanassa tulee olla kolmenlaisia eri merkkejä. Salasana vanhenee 190 päivässä, jolloin se on vaihdettava uuteen.
3. Käyttäjätietokannassa saatavilla olevat tiedot
Lisätietoja funetEduPerson-skeemasta.
TY-Haka-attribuutit 21.12.2020 (PDF)
4. Muuta
4.1. Kardinaliteetit
Käyttäjällä on vain yksi käyttäjätunnus, johon on liitetty tiedot käyttäjän kaikista rooleista. Poikkeustapauksissa käyttäjällä voi olla kaksi tai useampi käyttäjätunnusta (tälläiset poikeukset ovat pääsääntöisesti ylläpitohenkilökuntaa).
4.2. EduPersonPrincipalNamen revokointi ja kierrätys
Käyttäjän käyttäjätunnusta ei periaatteessa vaihdeta eikä kierrätetä.
Tunnukset ovat sulkeutumisensa jälkeen varattuina siltä varalta, että käyttäjä tulee takaisin yliopistoon. Jos tunnus on jostakin syystä joskus poistettu, voidaan samanniminen tunnus luoda uudelleen, mutta sille tulee tässä yhteydessä esim. uusi uid ja guid ja muut tiedot.