Haka-käyttäjätunnistusjärjestelmä

Kotiorganisaation käyttäjähallinnon kuvaus

Versio Tekijä Päiväys
0.1 Timo Järvensivu 25.5.2005
0.2 Jari Auvinen 17.7.2006
0.3 Jari Auvinen 8.1.2007
0.4 Jari Auvinen 18.1.2013

Tässä dokumentissa ollaan kiinnostuneita käyttäjätietokannan ja sen tietojen ajantasaisuuden toteutuksen yleisistä periaatteista sellaisella tasolla, joka antaa riittävät tiedot käyttäjätietojen laadun ja ajantasaisuuden arvioimiseksi.

Kotiorganisaatio asettaa tämän dokumentin www:hen kaikkien saataville ja päivittää sitä oma-aloitteisesti, kun muutoksia tulee. Dokumentti linkitetään Haka-infrastruktuurin kotisivulta.

Tässä dokumentissa käyttäjätietokannalla tarkoitetaan sitä loppukäyttäjien attribuuttien joukkoa, johon organisaation Identity Provider-palvelin tukeutuu. Käyttäjätietokannan tekninen toteutus voi olla esim. LDAP-hakemisto tai tietokanta, tai niiden yhdistelmä niin, että Identity Provider -palvelin noutaa osan attribuuteista LDAP-hakemistosta ja osan JDBC:n yli tietokannasta 

Jos kaipaat lisätietoja, ota yhteys it-helpdesk@tut.fi

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Käyttäjätietokannan tietoja ylläpidetään kahdessa perusrekisterissä: opiskelija- ja henkilöstörekisterissä. Henkilöstörekisteriin talletetaan myös ulkopuolisten henkilöiden (ufojen) tiedot. Rekisteritiedot kopioidaan käyttäjätietokantaan kolme kertaa vuorokaudessa. Tietojen kopiointi perusrekistereistä käyttäjätietokantaan hoidetaan tietokantojen välisillä replikointimekanismeilla.

Käyttäjätietokannassa olevien tietojen perusteella ylläpidetään LDAP-hakemiston tietoja.

1.1. Opiskelijarekisteri

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla.
Miten käyttäjätietokanta on kytketty opiskelijarekisteriin?

Opiskelijarekisteri on tietokanta, josta tarvittavat tiedot kopioidaan käyttäjätietokantaan kolme kertaa vuorokaudessa. Kun kopiointi on tehty, tiedot kirjoitetaan edelleen käyttäjätietokannasta LDAP-hakemistoon.

1.1.1. Uusi opiskelija

Miten uuden opiskelijan tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?
Koska uusi opiskelija saa käyttäjätunnuksen/opiskelijaroolin?
Mitä tunnukselle tapahtuu, jos uusi opiskelija ei ota opiskelupaikkaa vastaan tai ottaa paikan vastaan, mutta ilmoittautuu poissaolevaksi?

Kun uusi opiskelija ilmoittaa ottavansa opiskelupaikan vastaan, opiskelijan tiedot tallennetaan opiskelijarekisteriin. Käyttäjätietokannan tietojen perusteella opiskelijalle luodaan käyttäjätunnus automaattisesti. Jos uudella opiskelijalla on jo käyttäjätunnus, ei hänelle tehdä uutta tunnusta. Jos hänellä on ollut käyttäjätunnus, mutta ei käyttöoikeutta, saa hän saman tunnuksen uudelleen käyttöönsä.

1.1.2. Opiskelijan tiedoissa tapahtuu muutos

Miten opiskelijan muuttuneet tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?

Opiskelijan tiedot päivittyvät käyttäjätietokantaan ajastettujen replikointien yhteydessä.

1.1.3. Opiskelija lakkaa olemasta opiskelija

Koska organisaatio (esim. opintoasiainhallinto) katsoo, että opiskelija lakkaa olemasta opiskelija

Kuinka kauan ylläolevien tapahtumien jälkeen kestää, että organisaatio (esim. tietohallinto) sulkee opiskelijan käyttäjätunnuksen tai poistaa opiskelijaroolin?

Opiskelija on opiskelija niin kauan, kun hänen tiedoistaan opiskelijarekisterissä löytyy vähintään yksi tutkinto, joka

Opiskelijan opinto-oikeus on voimassa seuraavan lukukauden ilmoittautumisen päättymispäivämäärään asti ilman erillistä ilmoitusta. Jos opiskelija ei ilmoittautumisen päättymispäivään mennessä anna hyväksyttävää läsnäolo- tai poissaoloilmoitusta, hän menettää opinto-oikeutensa.

Opiskelijan käyttäjätunnus on voimassa seitsemän vuorokautta opinto-oikeuden päättymispäivämäärästä tai siitä päivämäärästä, joka on kirjattu opiskelijarekisteriin valmistumis- tai keskeytyspäivämääräksi.

1.2. Henkilöstörekisteri

Vastaavasti kuin edellä.

Henkilöstörekisteristä (Personec F V) kopioidaan tarvittavat tiedot käyttäjätietokantaan kolme kertaa vuorokaudessa. Kun kopiointi on tehty, tiedot kirjoitetaan edelleen käyttäjätietokannasta LDAP-hakemistoon.

1.2.1. Uusi työntekijä

Uuden työntekijän tiedot saadaan henkilöstörekisteristä työsuhteen alkamispäivänä. Käyttäjätietokannan tietojen perusteella työntekijälle luodaan käyttäjätunnus automaattisesti. Jos uudella työntekijällä on jo käyttäjätunnus, ei hänelle tehdä uutta tunnusta. Jos hänellä on ollut käyttäjätunnus, mutta ei käyttöoikeutta, saa hän saman tunnuksen uudelleen käyttöönsä.

1.2.2. Työntekijän tiedoissa tapahtuu muutos

Työntekijän muuttuneet tiedot päivittyvät käyttäjätietokantaan replikoinnin yhteydessä. Jos määräaikainen henkilö saa jatkosopimuksen, jatketaan hänen käyttäjätunnuksen voimassaoloa automaattisesti henkilöstörekisterin perusteella.

1.2.3. Työntekijä lakkaa olemasta työntekijä

Työtekijä lakkaa olemasta työntekijä, kun hänellä ei ole voimassaolevaa työsopimusta. Käyttäjätunnus on voimassa seitsemän vuorokautta työsopimuksen päättymispäivämäärästä lukien.

1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus

Onko organisaatiossa vielä jotain muita käyttäjiä, joilla on käyttäjätunnus ja jotka voivat kirjautua Identity Provider -palvelimen kautta Haka-infrastruktuurin palveluihin (Suomen Akatemian tutkijat? Ravintolahenkilökunta? Siviilipalvelusmiehet? Dosentit? Alumnit? Emeritukset? Kirjaston asiakkaat?). Minkälainen haku- ja hyväksymismenettely näihin tunnuksiin liittyy?
Miten heidän käyttäjätietojensa ajantasaisuus ja sulkeutuminen/roolitiedon päivittyminen on varmistettu?

Käyttäjätunnus voidaan antaa myös TTY:n ulkopuoliselle henkilölle, joka perustellulla syyllä tarvitsee tunnusta. Tavallisimpia ryhmiä ovat Suomen Akatemian tutkijat, emeritukset ja huoltohenkilökunta. Nämä tunnukset ovat aina määräaikaisia ja ne annetaan maksimissaan kolmeksi vuodeksi kerrallaan. Näiden tunnuksien myöntämisestä päättää aina laitoksen johtaja ja hän ottaa tunnuksen vastuulleen allekirjoittamalla henkilötietoilmoituksen.

Ulkopuolisten henkilöiden (ufojen) tiedot talletetaan henkilöstörekisteriin. Ufo-sopimukseen liittyy tieto, jolla ne voidaan erottaa normaalista työsopimuksesta. Tunnus sulkeutuu seitsemän vuorokauden kuluttua sopimuksen päättymispäivän jälkeen.

Sellaiset käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-infrastruktuurin tarkoittamia loppukäyttäjiä, eikä heidän kirjautumistaan Identity Provider -palvelimen kautta palveluihin tule sallia.

2. Henkilöllisyyden todentaminen

2.1. Käyttäjätunnuksen antamisen yhteydessä

Millä tavalla uuden käyttäjän henkilöllisyys todennetaan, kun hänelle annetaan käyttäjätunnus?

Opiskelija saa käyttäjätunnustiedot IT Helpdesk:stä, jossa hänen henkilöllisyytensä tarkistetaan ennen tietojen luovuttamista.

Työntekijö ja ufo saa käyttäjätunnustiedot IT Helpdesk:stä, jossa hänen henkilöllisyytensä tarkistetaan ennen tietojen luovuttamista. Tukipyynnön kautta tunnuslomake lähetetään laitossihteerille sisäisessä postissa. Henkilötietojen tarkistus on tehty sopimuksen allekirjoituksen yhteydessä.

Henkilö saa käyttäjätunnustiedot myös TUPAS-autentikoinnin kautta.

2.2. Kun käyttäjä kirjautuu käyttäjätunnuksensa avulla

Salasanatodennukseen liittyvät laatuvaatimukset.
Mahdolliset käytettävissä olevat salasanaa tukevammat autentikointimenetelmät.

Salasanan on oltava vähintään 10 merkkiä ja sille tehdään määrätyt laatutarkistukset.

TUPAS-autentikointia voidaan käyttää esim. vaihdettaessa salasanaa ja uuden tunnuksen aktivoinnissa.

3. Käyttäjätietokannassa saatavilla olevat tiedot

Lisätietoja funetEduPerson-skeemasta löytyy CSC:n sivulta kohdasta Funet ja tietohallinto > Määritykset > FunetEduPerson-skeema.

Lista saatavilla olevista atribuuteista löytyy HAKA-wikistä osoitteesta https://confluence.csc.fi/display/HAKA/IdP-palvelinten+luovuttamat+attribuutit.

4. Muuta

4.1. Kardinaliteetit

Yksi henkilöllisyys per tosielämän käyttäjä, vai
Yksi henkilöllisyys per rooli (esim. opiskelija-työntekijällä kaksi käyttäjätunnusta)?

Henkilöllä on vain yksi käyttäjätunnus, johon liittyy erilaisia käyttöoikeuksia/rooleja.

4.2. EduPersonPrincipalNamen revokointi ja kierrätys

Voiko eduPersonPrincipalName vaihtua?
Millä tavalla organisaatio kierrättää vapautuneita eduPersonPrincipalName-arvoja?

EduPersonPrincipalName vaihdetaan, jos henkilö esittää perustellun syyn vaihtamiselle.

Vapautunut käyttäjätunnus pidetään lukittuna kaksi vuotta ennen uudelleenkäyttöä.