Tässä dokumentissa ollaan kiinnostuneita käyttäjätietokannan ja sen tietojen ajantasaisuuden toteutuksen yleisistä periaatteista sellaisella tasolla, joka antaa riittävät tiedot käyttäjätietojen laadun ja ajantasaisuuden arvioimiseksi.
Kotiorganisaatio asettaa tämän dokumentin www:hen kaikkien saataville ja päivittää sitä oma-aloitteisesti, kun muutoksia tulee. Dokumentti linkitetään Haka-infrastruktuurin kotisivulta.
Tässä dokumentissa käyttäjätietokannalla tarkoitetaan sitä loppukäyttäjien attribuuttien joukkoa, johon organisaation Identity Provider-palvelin tukeutuu. Käyttäjätietokannan tekninen toteutus voi olla esim. LDAP-hakemisto tai relaatiotietokanta, tai niiden yhdistelmä niin, että Identity Provider -palvelin noutaa osan attribuuteista LDAP-hakemistosta ja osan JDBC:n yli opiskelijarekisteristä.
Käyttäjätietokannan tietoja ylläpidetään kahdessa perusrekisterissä: opiskelija- ja henkilökuntarekisterissä. Henkilökuntarekisteriin talletetaan myös ulkopuolisten henkilöiden (ufojen) tiedot. Rekisteritiedot kopioidaan käyttäjätietokantaan kolme kertaa vuorokaudessa. Tietojen kopiointi perusrekistereistä käyttäjätietokantaan hoidetaan tietokantojen välisillä replikointimekanismeilla.
Käyttäjätietokannassa olevien tietojen perusteella ylläpidetään LDAP-hakemiston tietoja.<(p>
Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla.
Miten käyttäjätietokanta on kytketty opiskelijarekisteriin?
Opiskelijarekisteri on relaatiotietokanta, josta tarvittavat tiedot kopioidaan käyttäjätietokantaan kolme kertaa vuorokaudessa. Kun kopiointi on tehty, tiedot kirjoitetaan edelleen käyttäjätietokannasta LDAP-hakemistoon.
Miten uuden opiskelijan tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?
Koska uusi opiskelija saa käyttäjätunnuksen/opiskelijaroolin?
Mitä tunnukselle tapahtuu, jos uusi opiskelija ei ota opiskelupaikkaa vastaan, tai ottaa paikan vastaan mutta ilmoittautuu poissaolevaksi?
Kun uusi opiskelija ilmoittaa ottavansa opiskelupaikan vastaan, opiskelijan tiedot tallennetaan opiskelijarekisteriin. Käyttäjätietokannan tietojen perusteella opiskelijalle luodaan käyttäjätunnus automaattisesti. Jos uudella opiskelijalla on jo käyttäjätunnus, ei hänelle tehdä uutta tunnusta. Jos hänellä on ollut käyttäjätunnus, mutta ei käyttöoikeutta, saa hän saman tunnuksen uudelleen käyttöönsä.
Miten opiskelijan muuttuneet tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?
Opiskelijan tiedot päivittyvät käyttäjätietokantaan ajastettujen replikointien yhteydessä.
Koska organisaatio (esim. opintoasiainhallinto) katsoo, että opiskelija lakkaa olemasta opiskelija
a) sen jälkeen kun opiskelija valmistuu?
b) sen jälkeen kun lukukausi vaihtuu, ja opiskelija ei ole ilmoittautunut läsnäolevaksi?
c) sen jälkeen kun opiskelija ilmoittaa keskeyttävänsä opinnot?
Kuinka kauan ylläolevien tapahtumien jälkeen kestää, että organisaatio (esim. tietohallinto) sulkee opiskelijan käyttäjätunnuksen tai poistaa opiskelijaroolin?
Opiskelija on opiskelija niin kauan, kun hänen tiedoistaan opiskelijarekisterissä löytyy vähintään yksi tutkinto, joka
Opiskelijan opinto-oikeus on voimassa seuraavan lukukauden ilmoittautumisen päättymispäivämäärään asti ilman erillistä ilmoitusta. Jos opiskelija ei ilmoittautumisen päättymispäivään mennessä anna hyväksyttävää läsnäolo- tai poissaoloilmoitusta, hän menettää opinto-oikeutensa.
Opiskelijan käyttäjätunnus on voimassa seitsemän vuorokautta opinto-oikeuden päättymispäivämäärästä tai siitä päivämäärästä, joka on kirjattu opiskelijarekisteriin valmistumis- tai keskeytyspäivämääräksi.
Vastaavasti kuin edellä.
Henkilökuntarekisteristä (Fortime) kopioidaan tarvittavat tiedot käyttäjätietokantaan kolme kertaa vuorokaudessa. Kun kopiointi on tehty, tiedot kirjoitetaan edelleen käyttäjätietokannasta LDAP-hakemistoon.
Uuden työntekijän tiedot saadaan henkilökuntarekisteristä työ- tai virkasuhteen alkamispäivänä. Käyttäjätietokannan tietojen perusteella työntekijälle luodaan käyttäjätunnus automaattisesti. Jos uudella työntekijällä on jo käyttäjätunnus, ei hänelle tehdä uutta tunnusta. Jos hänellä on ollut käyttäjätunnus, mutta ei käyttöoikeutta, saa hän saman tunnuksen uudelleen käyttöönsä.
Työntekijän muuttuneet tiedot päivittyvät käyttäjätietokantaan replikoinnin yhteydessä. Jos määräaikainen henkilö saa jatkomääräyksen, jatketaan hänen käyttäjätunnuksen voimassaoloa automaattisesti henkilökuntarekisterin perusteella.
Työtekijä lakkaa olemasta työntekijä, kun hänellä ei ole voimassaolevaa työ- tai virkasuhdetta. Käyttäjätunnus on voimassa seitsemän vuorokautta työ- tai virkasuhteen päättymispäivämäärästä lukien.
Onko organisaatiossa vielä jotain muita käyttäjiä, joilla on käyttäjätunnus ja jotka voivat kirjautua Identity Provider -palvelimen kautta Haka-infrastruktuurin palveluihin (Suomen Akatemian tutkijat? Ravintolahenkilökunta? Siviilipalvelusmiehet? Dosentit? Alumnit? Emeritukset? Kirjaston asiakkaat?). Minkälainen haku- ja hyväksymismenettely näihin tunnuksiin liittyy?
Miten heidän käyttäjätietojensa ajantasaisuus ja sulkeutuminen/roolitiedon päivittyminen on varmistettu?
Käyttäjätunnus voidaan antaa myös TTY:n ulkopuoliselle henkilölle, joka perustellulla syyllä tarvitsee tunnusta. Tavallisimpia ryhmiä ovat Suomen Akatemian tutkijat, emeritukset ja huoltohenkilökunta. Nämä tunnukset ovat aina määräaikaisia ja ne annetaan maksimissaan kolmeksi vuodeksi kerrallaan. Näiden tunnuksien myöntämisestä päättää aina laitoksen johtaja ja hän ottaa tunnuksen vastuulleen allekirjoittamalla henkilötietoilmoituksen.
Ulkopuolisten henkilöiden (ufojen) tiedot talletetaan henkilökuntarekisteriin. Ufomääräykseen liittyy tieto, jolla ne voidaan erottaa normaalista työ- tai virkasuhteesta. Tunnus sulkeutuu seitsemän vuorokauden kuluttua määräyksen päättymispäivän jälkeen.
Sellaiset käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-infrastruktuurin tarkoittamia loppukäyttäjiä, eikä heidän kirjautumistaan Identity Provider -palvelimen kautta palveluihin tule sallia.
Millä tavalla uuden käyttäjän henkilöllisyys todennetaan, kun hänelle annetaan käyttäjätunnus?
Opiskelija saa käyttäjätunnustiedot IT Helpdesk:stä, jossa hänen henkilöllisyytensä tarkistetaan ennen tietojen luovuttamista.
Työntekijöiden ja ufojen käyttäjätunnustiedot lähetetään sisäisessä postissa laitoksen sihteerille, joka välittää tiedot eteenpäin. Henkilötietojen tarkistus on tehty sopimuksen allekirjoituksen yhteydessä.
Henkilö saa käyttäjätunnustiedot myös TUPAS-autentikoinnin kautta.
Salasanatodennukseen liittyvät laatuvaatimukset.
Mahdolliset käytettävissä olevat salasanaa tukevammat autentikointimenetelmät.
Salasanan on oltava vähintään 8 merkkiä ja sille tehdään määrätyt laatutarkistukset.
TUPAS-autentikointia voidaan käyttää esim. vaihdettaessa salasanaa ja uuden tunnuksen aktivoinnissa.
Lisätietoja funetEduPerson-skeemasta on CSC:n sivulla Funet ja tietohallinto > Haka-käyttäjätunnistusjärjestelmä > Määritykset > FunetEduPerson-skeema
Rasti kohtaan "Saatavuus", jos kyseinen henkilötieto on ajantasalla ja siten saatavilla Identity Provider -palvelimen yli.
Kohtaan "Miten ajantasaisuus turvataan" esimerkiksi viittaus luvun 1. järjestelmiin.
Jos organisaatiolla on omia (ei siis funetEduPersonin mukaisia) attribuutteja, jotka näkyvät ulospäin Identity Provider-palvelimesta, lisää ne taulukon loppuun. Tarvittaessa linkki dokumenttiin, joka tarkemmin kuvailee omien attribuuttien skeeman.
| Attribuutti | Saatavuus | Miten ajantasaisuus turvataan | Muuta (esim. tulkintaohje) |
| cn / commonName | X | 3 kertaa vuorokaudessa | |
| description | |||
| displayName | X | 3 kertaa vuorokaudessa | |
| employeeNumber | X | 3 kertaa vuorokaudessa | |
| facsimileTelephoneNumber | |||
| givenName | X | 3 kertaa vuorokaudessa | |
| homePhone | X | 3 kertaa vuorokaudessa | Harvat ilmoittavat |
| homePostalAddress | X | 3 kertaa vuorokaudessa | |
| jpegPhoto | |||
| l / localityName | |||
| labeledURI | |||
| X | 3 kertaa vuorokaudessa | ||
| mobile | X | 3 kertaa vuorokaudessa | |
| o / organizationName | |||
| ou / organizationalUnitName | |||
| postalAddress | |||
| postalCode | |||
| preferredLanguage | |||
| seeAlso | |||
| sn / surname | X | 3 kertaa vuorokaudessa | |
| street | |||
| telephoneNumber | X | 3 kertaa vuorokaudessa | |
| title | |||
| uid | X | Generoidaan tunnuksen luonnin yhteydessä. Muutetaan vain jos perusteltu tarve. | |
| userCertificate | |||
| eduPersonAffiliation | X | 3 kertaa vuorokaudessa |
Opiskelija: student ja member Henkilökunta - Tutkimus- ja opetus: faculty, employee ja member - Muut: staff, employee ja member Ulkopuoliset (Ufot): member |
| eduPersonEntitlement | X | 3 kertaa vuorokaudessa | |
| eduPersonNickName | X | 3 kertaa vuorokaudessa | |
| eduPersonOrgDN | |||
| eduPersonOrgUnitDN | |||
| eduPersonPrimaryAffiliation | |||
| eduPersonPrimaryOrgUnitDN | |||
| eduPersonPrincipalName | X | 3 kertaa vuorokaudessa | |
| eduPersonScopedAddiliation | |||
| eduPersonTargetedID | |||
| schacMotherTongue | X | 3 kertaa vuorokaudessa | |
| schacGender | X | 3 kertaa vuorokaudessa | |
| schacDateOfBirth | X | 3 kertaa vuorokaudessa | |
| schacPlaceOfBirth | |||
| schacCountryOfCitizenship | X | 3 kertaa vuorokaudessa | |
| schacHomeOrganization | X | vakio | tut.fi |
| schacHomeOrganizationType | X | vakio | university |
| schacCountryOfResidence | |||
| schacUserPresenceID | |||
| schacPersonalUniqueCode | X | 3 kertaa vuorokaudessa | |
| schacPersonalUniqueID | |||
| schacUserStatus | |||
| funetEduPersonHomeOrganization | superseded | ||
| funetEduPersonStudentID | superseded | ||
| funetEduPersonIdentityCode | superseded | ||
| funetEduPersonDateOfBirth | superseded | ||
| funetEduPersonTargetDegreeUniversity | superseded | ||
| funetEduPersonTargetDegreePolytech | superseded | ||
| funetEduPersonTargetDegree | X | 3 kertaa vuorokaudessa | |
| funetEduPersonEducationalProgramUniv | superseded | ||
| funetEduPersonEducationalProgramPolytech | superseded | ||
| funetEduPersonProgram | X | 3 kertaa vuorokaudessa | |
| funetEduPersonMajorUniv | superseded | ||
| funetEduPersonOrientationAlternPolytech | superseded | ||
| funetEduPersonSpecialisation | |||
| funetEduPersonStudyStart | |||
| funetEduPersonPrimaryStudyStart | |||
| funetEduPersonStudyToEnd | |||
| funetEduPersonPrimaryStudyToEnd | |||
| funetEduPersonCreditUnits | |||
| funetEduPersonECTS | |||
| funetEduPersonStudentCategory | |||
| funetEduPersonStudentStatus | |||
| funetEduPersonStudentUnion | |||
| funetEduPersonHomeCity | |||
| funetEduPersonEPPNTimeStamp |
Yksi henkilöllisyys per tosielämän käyttäjä, vai
Yksi henkilöllisyys per rooli (esim. opiskelija-työntekijällä kaksi käyttäjätunnusta)?
Henkilöllä on vain yksi käyttäjätunnus, johon liittyy erilaisia käyttöoikeuksia/rooleja.
Voiko eduPersonPrincipalName vaihtua?
Millä tavalla organisaatio kierrättää vapautuneita eduPersonPrincipalName-arvoja?
EduPersonPrincipalName vaihdetaan, jos henkilö esittää perustellun syyn vaihtamiselle.
Vapautunut käyttäjätunnus pidetään lukittuna kaksi vuotta ennen uudelleenkäyttöä.