Haka-käyttäjähallinta
1. Käyttäjätietokannan ja perusrekistereiden kytkentä
1.1. Opiskelijarekisteri
Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla.
Miten käyttäjätietokanta on kytketty opiskelijarekisteriin?
Opiskelijoille myönnettyjä tunnuksia ei käytetä Haka-palveluissa.
1.1.1. Uusi opiskelija
Miten uuden opiskelijan tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?
Koska uusi opiskelija saa käyttäjätunnuksen/opiskelijaroolin?
Mitä tunnukselle tapahtuu, jos uusi opiskelija ei ota opiskelupaikkaa vastaan, tai ottaa paikan vastaan mutta ilmoittautuu poissaolevaksi?
Opiskelijoille myönnettyjä tunnuksia ei käytetä Haka-palveluissa.
1.1.2. Opiskelijan tiedoissa tapahtuu muutos
Miten opiskelijan muuttuneet tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?
Opiskelijoille myönnettyjä tunnuksia ei käytetä Haka-palveluissa.
1.1.3. Opiskelija lakkaa olemasta opiskelija
Koska organisaatio (esim. opintoasiainhallinto) katsoo, että opiskelija lakkaa olemasta opiskelija
a) sen jälkeen kun opiskelija valmistuu?
b) sen jälkeen kun lukukausi vaihtuu, ja opiskelija ei ole ilmoittautunut läsnäolevaksi?
c) sen jälkeen kun opiskelija ilmoittaa keskeyttävänsä opinnot?
Kuinka kauan ylläolevien tapahtumien jälkeen kestää, että organisaatio (esim. tietohallinto) sulkee opiskelijan käyttäjätunnuksen tai poistaa opiskelijaroolin?
Jos opiskelijalla on kaksi roolia (”opiskelija-henkilökunta”), niin hänet rinnastetaan henkilökunnan jäseneksi.
1.2. Henkilökuntarekisteri
Vastaavasti kuin edellä.
1.2.1. Uusi työntekijä
Käyttäjätunnukset myönnetään IDM-järjestelmällä HR-tietojen pohjalta. Henkilökunta liitetään ”henkilökuntaryhmän” jäseneksi. Haka-federoitun käyttäjän tulee kuulua ”henkilökuntaryhmään”.
1.2.2. Työntekijän tiedoissa tapahtuu muutos
Muutokset toteutetaan HR-tietojen pohjalta IDM-järjestelmässä.
1.2.3. Työntekijä lakkaa olemasta työntekijä
Kun työsuhde päättyy, niin niin tiettyjen armonaikojen jälkeen (tavallisimmin 7 vrk) tunnus sulkeutuu.
1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus
Onko organisaatiossa vielä jotain muita käyttäjiä, joilla on käyttäjätunnus ja jotka voivat kirjautua Identity Provider -palvelimen kautta Haka-infrastruktuurin palveluihin (Suomen Akatemian tutkijat? Ravintolahenkilökunta? Siviilipalvelusmiehet? Dosentit? Alumnit? Emeritukset? Kirjaston asiakkaat?). Minkälainen haku- ja hyväksymismenettely näihin tunnuksiin liittyy?
Miten heidän käyttäjätietojensa ajantasaisuus ja sulkeutuminen/roolitiedon päivittyminen on varmistettu?
Ei ole. Haka-kirjautumiseen on oikeutettu ainoastaan ne henkilöt, joilla on voimassa oleva työsuhde.
Sellaiset käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-infrastruktuurin tarkoittamia loppukäyttäjiä, eikä heidän kirjautumistaan Identity Provider -palvelimen kautta palveluihin tule sallia.
2. Henkilöllisyyden todentaminen
2.1. Käyttäjätunnuksen antamisen yhteydessä
Millä tavalla uuden käyttäjän henkilöllisyys todennetaan, kun hänelle annetaan käyttäjätunnus?
Henkilö tunnistetaan passista, ajokortista tai poliisin myöntämästä henkilökortista työhönottovaiheessa.
2.2. Kun käyttäjä kirjautuu käyttäjätunnuksensa avulla
Salasanatodennukseen liittyvät laatuvaatimukset.
Mahdolliset käytettävissä olevat salasanaa tukevammat autentikointimenetelmät.
Salasanassa on kompleksisuusvaatimukset. Salasana pituus on 15 merkkiä. Toimikorttitunnistautuminen on mahdollista.
3. Käyttäjätietokannassa saatavilla olevat tiedot
Lisätietoja funetEduPerson-skeemasta on täällä.
Rasti kohtaan "Saatavuus", jos kyseinen henkilötieto on ajantasalla ja siten saatavilla Identity Provider -palvelimen yli.
Kohtaan "Miten ajantasaisuus turvataan" esimerkiksi viittaus luvun 1. järjestelmiin.
Jos organisaatiolla on omia (ei siis funetEduPersonin mukaisia) attribuutteja, jotka näkyvät ulospäin Identity Provider-palvelimesta, lisää ne taulukon loppuun. Tarvittaessa linkki dokumenttiin, joka tarkemmin kuvailee omien attribuuttien skeeman.
Attribuutti |
Saatavuus |
Miten ajantasaisuus turvataan |
Muuta (esim. tulkintaohje) |
cn / commonName |
X |
Muutos tilataan erikseen |
MUST |
description |
|
|
|
displayName |
X |
Automaatio HR-tietojen pohjata |
MUST |
employeeNumber |
|
|
|
facsimileTelephoneNumber |
|
|
|
givenName |
X |
Automaatio HR-tietojen pohjalta |
|
homePhone |
|
|
|
homePostalAddress |
|
|
|
jpegPhoto |
|
|
|
l / localityName |
|
|
|
labeledURI |
|
|
|
|
X |
Automaatio HR-tietojen pohjalta |
|
mobile |
|
|
|
o / organizationName |
|
|
|
ou / organizationalUnitName |
|
|
|
postalAddress |
|
|
|
postalCode |
|
|
|
preferredLanguage |
|
|
|
seeAlso |
|
|
|
sn / surname |
X |
Automaatio HR-tietojen pohjalta |
MUST |
street |
|
|
|
telephoneNumber |
|
|
|
title |
|
|
|
uid |
|
|
|
userCertificate |
|
|
|
eduPersonAffiliation |
|
|
Mitä arvoja on saatavilla? |
eduPersonEntitlement |
|
|
|
eduPersonNickName |
|
|
|
eduPersonOrgDN |
|
|
|
eduPersonOrgUnitDN |
|
|
|
eduPersonPrimaryAffiliation |
|
|
|
eduPersonPrimaryOrgUnitDN |
|
|
|
eduPersonPrincipalName |
X |
MUST |
|
eduPersonScopedAddiliation |
|
|
|
eduPersonTargetedID |
|
|
|
schacMotherTongue |
|
|
|
schacGender |
|
|
|
schacDateOfBirth |
|
|
|
schacPlaceOfBirth |
|
|
|
schacCountryOfCitizenship |
|
|
|
schacHomeOrganization |
|
|
MUST. |
schacHomeOrganizationType |
|
|
MUST |
schacCountryOfResidence |
|
|
|
schacUserPresenceID |
|
|
|
schacPersonalUniqueCode |
|
|
|
schacPersonalUniqueID |
|
|
|
schacUserStatus |
|
|
|
funetEduPersonHomeOrganization |
|
|
superseded |
funetEduPersonStudentID |
|
|
superseded |
funetEduPersonIdentityCode |
|
|
superseded |
funetEduPersonDateOfBirth |
|
|
superseded |
funetEduPersonTargetDegreeUniversity |
|
|
superseded |
funetEduPersonTargetDegreePolytech |
|
|
superseded |
funetEduPersonTargetDegree |
|
|
|
funetEduPersonEducationalProgramUniv |
|
|
superseded |
funetEduPersonEducationalProgramPolytech |
|
|
superseded |
funetEduPersonProgram |
|
|
|
funetEduPersonMajorUniv |
|
|
superseded |
funetEduPersonOrientationAlternPolytech |
|
|
superseded |
funetEduPersonSpecialisation |
|
|
|
funetEduPersonStudyStart |
|
|
|
funetEduPersonPrimaryStudyStart |
|
|
|
funetEduPersonStudyToEnd |
|
|
|
funetEduPersonPrimaryStudyToEnd |
|
|
|
funetEduPersonCreditUnits |
|
|
|
funetEduPersonECTS |
|
|
|
funetEduPersonStudentCategory |
|
|
|
funetEduPersonStudentStatus |
|
|
|
funetEduPersonStudentUnion |
|
|
Mikä arvo on käytössä? |
funetEduPersonHomeCity |
|
|
|
funetEduPersonEPPNTimeStamp |
|
|
|
4. Muuta 4.1. Kardinaliteetit Yksi henkilöllisyys per tosielämän käyttäjä, vai Yksi henkilöllisyys per tosielämän käyttäjä.
4.2. EduPersonPrincipalNamen revokointi ja kierrätys Voiko eduPersonPrincipalName vaihtua? Voi vaihtua ainoastaan poikkeustapauksissa. Vaihto koskee enää käytännössä ”vanhoja” tunnuksia, koska uudet tunnukset ovat muotoa nxxxxxx, missä xxxxxx on numerosarja. Vaihtuvuus on vähäistä, joten kierrätystä ei seurata. |