Taideyliopiston käyttäjähallinnon kuvaus
Tässä dokumentissa kuvataan Taideyliopiston UniAulis-rekisterin (yleiskäyttöoikeuksien tietokanta) ja käyttäjätietokantojen (LDAP- ja eDir-hakemistot) toiminnallisuutta ja keskeisiä tietosisältöjä.
1. Käyttäjätietokannan ja perusrekistereiden kytkentä
1.1. Opiskelijarekisteri
Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajan tasalla.
Miten käyttäjätietokanta on kytketty opiskelijarekisteriin?
- Pepistä (tunnin välein päivittyvä integraatiotietokanta) luetaan henkilöitä koskevia tietoja UniAulis-järjestelmään (yleiskäyttöoikeuksien tietokanta).
- Pepistä luettuja tietoja rikastetaan UniAulis-järjestelmän toimesta. Rikastetut tiedot luetaan reaaliaikaisesti sisään IDM-järjestelmän eDir-metahakemistoon JDBC-ajuria käyttäen.
- eDir-metahakemistosta käyttäjä- ja ryhmätiedot provisioidaan (reaaliaikaisesti) LDAP-autentikointihakemistoon. Shibboleth IdP kytkeytyy LDAP-autentikointihakemistoon.
1.1.1. Uusi opiskelija
Miten uuden opiskelijan tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?
Koska uusi opiskelija saa käyttäjätunnuksen/opiskelijaroolin?
Mitä tunnukselle tapahtuu, jos uusi opiskelija ei ota opiskelupaikkaa vastaan, tai ottaa paikan vastaan mutta ilmoittautuu poissaolevaksi?
- Kaikille uusille opiskelupaikan vastaanottaneille opiskelijoille syntyy käyttäjätunnus yleiskäyttöoikeuksien tietokantaan (UniAulis) automaattisesti, Pepin läsnäolo- tai poissaoloilmoittautumistiedon perusteella.
- Käyttäjätunnus syntyy uudelle opiskelijalle riippumatta siitä, ilmoittautuuko läsnä- vai poissaolevaksi.
- Jos opiskelupaikkaa ei oteta vastaan, käyttäjätunnusta ei synny.
- Käyttäjätunnus luovutetaan opiskelijalle pääsääntöisesti Taideyliopiston IT-käyttölupapalvelussa, johon tunnistaudutaan Suomi.fi-palvelua käyttäen.
- Poikkeustapauksessa käyttäjätunnus voidaan luovuttaa opiskelijalle IT-tukipalvelupisteessä henkilöllisyystodistusta vastaan.
1.1.2. Opiskelijan tiedoissa tapahtuu muutos
Miten opiskelijan muuttuneet tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?
- Muuttuneet tiedot päivittyvät automaattisesti: Peppi (integraatiotietokanta) –> UniAulis –> eDir-metahakemisto –> LDAP-autentikointihakemisto (–> Shibboleth IdP).
1.1.3. Opiskelija lakkaa olemasta opiskelija
Koska organisaatio (esim. opintoasiainhallinto) katsoo, että opiskelija lakkaa olemasta opiskelija
- sen jälkeen, kun opiskelija valmistuu?
- sen jälkeen, kun lukukausi vaihtuu, ja opiskelija ei ole ilmoittautunut läsnä olevaksi?
- sen jälkeen, kun opiskelija ilmoittaa keskeyttävänsä opinnot?
Kuinka kauan yllä olevien tapahtumien jälkeen kestää, että organisaatio (esim. tietohallinto) sulkee opiskelijan käyttäjätunnuksen tai poistaa opiskelijaroolin?
Opintohallinto:
- Mikäli opiskelija ei ilmoittaudu yliopistoon määräaikana, hän menettää opiskeluoikeutensa.
- Jos hän haluaa myöhemmin jatkaa opintojaan, hänen on haettava akatemialta kirjallisesti oikeutta päästä uudelleen opiskelijaksi.
- Tutkinnon suorittaneen opiskelijan opiskeluoikeus päättyy sen lukukauden lopussa, jonka aikana hän on suorittanut tutkintonsa.
Tietohallinto:
- Opiskelijoiden käyttäjätunnuksiin liittyy kaikissa yllä mainituissa tapauksissa ns. armonaika (8 kk/240 vrk).
- Käyttäjätunnus suljetaan, kun on kulunut 8 kk viimeisen läsnä- tai poissaololukukauden päättymisestä.
- Opiskelijarooli poistuu käyttäjätunnukselta (Student –> Affiliate) armonajan ensimmäisen kuukauden jälkeen.
1.2. Henkilökuntarekisteri
Miten käyttäjätietokanta on kytketty henkilökuntarekisteriin?
- Pepistä (tunnin välein päivittyvä integraatiotietokanta) ja Mepco HR –järjestelmästä luetaan henkilöitä koskevia tietoja UniAulis-järjestelmään (yleiskäyttöoikeuksien tietokanta).
- Näitä luettuja tietoja rikastetaan UniAulis-järjestelmän toimesta. Rikastetut tiedot luetaan reaaliaikaisesti sisään IDM-järjestelmän eDir-metahakemistoon JDBC-ajuria käyttäen.
- eDir-metahakemistosta käyttäjä- ja ryhmätiedot provisioidaan (reaaliaikaisesti) LDAP-autentikointihakemistoon. Shibboleth IdP kytkeytyy LDAP-autentikointihakemistoon.
1.2.1. Uusi työntekijä
Miten uuden työntekijän tiedot päivittyvät henkilökuntarekisteristä käyttäjätietokantaan?
Koska uusi työntekijä saa käyttäjätunnuksen/henkilökuntaroolin?
- Uudelle työntekijälle syntyy käyttäjätunnus yleiskäyttöoikeuksien tietokantaan (UniAulis) automaattisesti, työsuhteen voimassaolon perusteella.
- Käyttäjätunnus luovutetaan työntekijälle pääsääntöisesti Taideyliopiston IT-käyttölupapalvelussa, johon tunnistaudutaan Suomi.fi-palvelua käyttäen.
- Poikkeustapauksessa käyttäjätunnus voidaan luovuttaa työntekijälle IT-tukipalvelupisteessä henkilöllisyystodistusta vastaan.
1.2.2. Työntekijän tiedoissa tapahtuu muutos
Miten työntekijän muuttuneet tiedot päivittyvät henkilökuntarekisteristä käyttäjätietokantaan?
- Muuttuneet tiedot päivittyvät automaattisesti: Peppi (integraatio) ja Mepco HR –> UniAulis –> eDir-Metahakemisto –> LDAP-autentikointihakemisto (–> Shibboleth IdP).
1.2.3. Työntekijä lakkaa olemasta työntekijä
Henkilökuntarooli poistetaan käyttäjältä työsuhteen päätyttyä. Lisäksi käyttäjätunnus lukkiutuu, mikäli sen aukipitämiselle ei ole muita perusteita (esim. voimassa oleva opiskelijarooli).
Poikkeuksena opetushenkilökunta, jonka käyttäjätunnuksiin sovelletaan ns. armonaikaa (1,5 vuotta). Henkilökuntarooli poistuu käyttäjätunnukselta heti armonajan alkaessa (Faculty –> Affiliate).
1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus
Sellaiset käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-infrastruktuurin tarkoittamia loppukäyttäjiä, eikä heidän kirjautumistaan Identity Provider -palvelimen kautta palveluihin tule sallia.
Ulkopuolisille käyttäjille voidaan tarvittaessa luoda käyttäjätunnus. Tällaiset käyttäjätunnukset ovat aina määräaikaisia ja roolit määritellään tapauskohtaisesti.
2. Henkilöllisyyden todentaminen
2.1. Käyttäjätunnuksen antamisen yhteydessä
Millä tavalla uuden käyttäjän henkilöllisyys todennetaan, kun hänelle annetaan käyttäjätunnus?
- Suomi.fi-tunnistautuminen (Taideyliopiston IT-käyttölupapalvelu).
- Henkilöllisyystodistusta vastaan (IT-tukipalvelupiste, poikkeustapaukissa)
2.2. Kun käyttäjä kirjautuu käyttäjätunnuksen avulla
Salasanatodennukseen liittyvät laatuvaatimukset.
Mahdolliset käytettävissä olevat salasanaa tukevammat autentikointimenetelmät.
Salasanan laatuvaatimukset:
- Pituus vähintään kymmenen merkkiä
- Vähintään yksi ISO kirjain (A-Z)
- Vähintään yksi pieni kirjain (a-z)
- Vähintään yksi numero (0-9)
- Ei saa sisältää käyttäjätunnusta
- Ei saa sisältää käyttäjän nimeä
Salasanaa vaihdettava vähintään kerran vuodessa.
3. Käyttäjätietokannassa saatavilla olevat tiedot
Rasti kohtaan ”Saatavuus”, jos kyseinen henkilötieto on ajan tasalla ja siten saatavilla Identity Provider -palvelimen yli. Kohtaan ”Miten ajantasaisuus turvataan” esimerkiksi viittaus luvun 1. järjestelmiin. Jos organisaatiolla on omia (ei siis funetEduPersonin mukaisia) attribuutteja, jotka näkyvät ulospäin Identity Provider-palvelimesta, lisää ne taulukon loppuun. Tarvittaessa linkki dokumenttiin, joka tarkemmin kuvailee omien attribuuttien skeeman.
| cn / commonName | X | UniAulis | Muodostetaan ”lennossa” IdP-palvelimella käyttäjän etunimestä ja sukunimestä | |
| Description | | |||
| displayName | X | UniAulis | Muodostetaan ”lennossa” IdP-palvelimella käyttäjän etunimestä ja sukunimestä | |
| employeeNumber | X | UniAulis | Pelkästään henkilöstöllä; Puuttuu opiskelijoilta | |
| facsimileTelephoneNumber | | |||
| givenName | X | UniAulis | Mandatory; Etunimi | |
| homePhone | | |||
| homePostalAddress | | |||
| jpegPhoto | | |||
| l / localityName | UniAulis | Pelkästään henkilöstöllä; Puuttuu opiskelijoilta | | |
| labeledURI | | |||
| X | UniAulis | etunimi.sukunimi@uniarts.fi | ||
| mobile | | |||
| o / organizationName | | |||
| ou / organizationalUnitName | | |||
| postalAddress | | |||
| postalCode | | |||
| preferredLanguage | X | UniAulis | Vaihtoehdot: FI / SV / EN | |
| seeAlso | | |||
| sn / surname | X | UniAulis | Mandatory | |
| street | | |||
| telephoneNumber | X | UniAulis | Pelkästään henkilöstöllä; Puuttuu opiskelijoilta | |
| title | X | UniAulis | Pelkästään henkilöstöllä; Puuttuu opiskelijoilta | |
| uid | X | UniAulis | Käyttäjätunnus | |
| userCertificate | | |||
| eduPersonAffiliation | X | UniAulis | Student, Faculty, Staff, Employee, Member, Affiliate (moniarvoinen) | |
| eduPersonPrimaryAffiliation | X | UniAulis | Student / Faculty, Staff / Employee / Member / Affiliate (yksiarvoinen) | |
| eduPersonEntitlement | X | UniAulis | urn:mace:dir:entitlement:common-lib-terms | |
| eduPersonNickName | | |||
| eduPersonOrgDN | | |||
| eduPersonOrgUnitDN | | |||
| eduPersonPrimaryOrgUnitDN | | |||
| eduPersonPrincipalName | X | UniAulis, Ei vaihdu | Mandatory | abc12345@uniarts.fi, eesimerkki@siba.fi, eesimerkki@teak.fi |
| eduPersonScopedAffiliation | | |||
| eduPersonTargetedID | | |||
| schacMotherTongue | | |||
| schacGender | | |||
| schacDateOfBirth | | |||
| schacPlaceOfBirth | | |||
| schacCountryOfCitizenship | | |||
| schacHomeOrganization | X | UniAulis | uniarts.fi | |
| schacHomeOrganizationType | X | UniAulis | urn:mace:terena.org:schac:homeOrganizationType:fi:university | |
| schacCountryOfResidence | | |||
| schacUserPresenceID | | |||
| schacPersonalUniqueCode | | |||
| schacPersonalUniqueID | X | HETU schac prefixillä. Luovutetaan vain tietyille SP:ille. | | |
| schacUserStatus | | |||
| funetEduPersonHomeOrganization | superseded | | ||
| funetEduPersonStudentID | superseded | | ||
| funetEduPersonIdentityCode | superseded | | ||
| funetEduPersonDateOfBirth | superseded | | ||
| funetEduPersonTargetDegreeUniversity | superseded | | ||
| funetEduPersonTargetDegreePolytech | superseded | | ||
| funetEduPersonTargetDegree | | |||
| funetEduPersonEducationalProgramUniv | superseded | | ||
| funetEduPersonEducationalProgramPolytech | superseded | | ||
| funetEduPersonProgram | | |||
| funetEduPersonMajorUniv | superseded | | ||
| funetEduPersonOrientationAlternPolytech | superseded | | ||
| funetEduPersonSpecialisation | | |||
| funetEduPersonStudyStart | | |||
| funetEduPersonPrimaryStudyStart | | |||
| funetEduPersonStudyToEnd | | |||
| funetEduPersonPrimaryStudyToEnd | | |||
| funetEduPersonCreditUnits | | |||
| funetEduPersonECTS | | |||
| funetEduPersonStudentCategory | | |||
| funetEduPersonStudentStatus | | |||
| funetEduPersonStudentUnion | | |||
| funetEduPersonHomeCity | | |||
| funetEduPersonEPPNTimeStamp | | |||
| funetEduPersonLearnerId | X | UniAulis | | |
| funetEduPersonGivenNames | X | UniAulis | Kaikki etunimet jos ovat saatavilla, muutoin pelkkä etunimi. | |
| funetEduPersonFullName | X | UniAulis | Muodostetaan ”lennossa” IdP-palvelimella käyttäjän etunimistä ja sukunimestä | |
| electronicIdentificationNumber | | |||
| nationalIdentificationNumber | X | UniAulis | HETU. Luovutetaan vain tietyille SP:ille. | |
| |