HAKA-infrastuktuuri - Kotiorganisaation käyttäjähallintokuvaus
Tässä dokumentissa kuvataan Humanistisen ammattikorkeakoulun (HUMAK) käyttäjähallintoa ja sen ajantasaisuuden toteuttamista. Käyttäjätietokannalla tarkoitetaan loppukäyttäjien attribuuttien joukkoa, johon HUMAKin Identity Provider ( https://idp.humak.fi ) –palvelin tukeutuu käyttäjien tunnistamiseksi.
Viimeksi päivitetty 19.8.2009
Versio 0.1 Mikael Rosendahl 9.6.2009
Versio 0.2 Mikael Rosendahl 10.6.2009
Versio 0.3 Mikael Rosendahl 19.8.2009
1. Käyttäjätietokannan ja perusrekistereiden kytkentä
1.1. Opiskelijarekisteri
Perusrekisterinä on HUMAKin oma opiskelijarekisteri HumakPro (HP), johon tallennetaan uusien opiskelijoiden tiedot.
HP:stä uudet tiedot lisätään ja muuttuneet tiedot päivitetään automaattisesti käyttäjähakemistoon Active Directoryyn (AD) 10 minuutin kuluessa.
1.1.1. Uusi opiskelija
Uuden opiskelijan tiedot siirtyvät opiskelijarekisteristä (HP) käyttäjähakemistoon (AD) 10 minuutin sisällä. Näiden perustietojen pohjalta jokaiselle generoidaan käyttäjätunnus ja sähköpostiosoite (muotoa etunimi [dot] sukunimi [at] humak [dot] edu), jotka aktivoituvat ensimmäisellä käyttökerralla.
Opiskelija saa käyttäjätunnuksensa opintojen alettua yleensä ensimmäisten ATK-tuntien aikana lehtorilta tai muulla sovitulla tavalla. Lehtorille tunnukset toimittaa opintosihteeri.
Tunnus generoidaan opiskelijoille, läsnä oleviksi ilmoittautuneiden lisäksi myös niille jotka ilmoittautuvat heti poissaoleviksi. Tunnuksia ei poissaoleviksi ilmoittautuneille opiskelijoille kuitenkaan luovuteta kuin vasta opintojen alkaessa.
Muut kuin tutkinto-opiskelijat saavat tunnukset vain tarvittaessa ja pääsääntöisesti heille ei luoda myöskään sähköpostitiliä.
1.1.2. Opiskelijan tiedoissa tapahtuu muutos
Opiskelijan muuttuneet tiedot päivitetään opiskelijarekisteristä käyttäjähakemistoon automaattisesti kerran vuorokaudessa.
1.1.3. Opiskelija lakkaa olemasta opiskelija
HUMAKin tietojärjestelmissä on syksyn 2008 aikana siirrytty hyödyntämään automatisoitua prosessia, jonka ansioista opintojen päättymisestä seuraa tietojärjestelmien käyttöoikeuksien lakkaaminen määritettyjen sääntöjen ja periaatteiden mukaisesti.
Automatisoitu prosessi tarkoittaa samalla sitä, että ainoaksi manuaaliseksi toimenpiteeksi (opintosihteerille) jää valmistumis- tai keskeyttämispäivämäärän ja keskeyttämissyyn tallentaminen järjestelmään.
Automatisoidun prosessi etenee seuraavalla tavalla (prosessi käynnistyy mikäli käyttäjälle ei jää sellaista roolia mikä edellyttäisi käyttöoikeuksien säilyttämistä järjestelmiin):
- Opiskelijalle talletetaan valmistumis- tai keskeytystieto Hallinto02-toiminnolla
- Järjestelmä lähettää opiskelijalle valmistumis- tai keskeyttämispäivää seuraavan päivän aamuna automaattisen viestin sekä sähköpostitse että HumakPron yksityisenä viestinä. Sähköpostiviesti lähetetään HUMAKin myöntämään sähköpostiosoitteeseen. Opiskelija voi kuitenkin edelleen lähettää sähköpostinsa mihin tahansa osoitteeseen. Tällöin viestistä ei jää kopiota HUMAKin palvelimelle. Suoritettu toiminto (varoitusviestin lähetys) tallentuu järjestelmään; supervisorit voivat katsoa näitä tietoja Hallinto03 –valikon toiminnalla (Hallinto03 näyttää suoritetuista toiminnoista seuraavat tiedot: sukunimi, kutsumanimi, kampus, koulutusohjelma, toimintojen suorittamisajankohta, suoritettujen toimintojen numerokoodit).
- Automaattinen prosessi tekee muut tarvittavat alla luetellut toimenpiteet 7 päivän kuluttua valmistumis-/keskeyttämispäivämäärästä (klo 5 :00 aamulla):
- Poistaa opiskelijan kaikilta niiltä rajatuilta foorumeilta jonka jäsenenä tai omistajana hän on ollut. Järjestelmä lähettää automaattiset viestit niille rajatuille foorumeille, joihin poistamisen ovat kohdistuneet.
- Poistaa sähköpostialiakset käytöstä
- Poistaa AD-tunnuksen (Active Directory)
- Kääntää HumakPron käyttöoikeuden pois päältä
- Tallettaa tiedot suoritetuista toiminnoista järjestelmään; supervisorit voivat katsoa näitä tietoja Hallinto03 –valikon toiminnalla
- Näiden toimenpiteiden jälkeen opiskelija ei voi enää kirjautua HumakProhon tai humak.edu –sähköpostiin. Myöskään humak.edu –osoitteeseen lähetetyt viestit eivät mene enää perille vaan lähettäjä saa ilmoituksen tuntemattomasta osoitteesta (User unknown). Sähköpostitilin sisältöä ei kuitenkaan tuhota vielä tässä vaiheessa. Samoin käyttäjän HumakPro-dokumentteja ei tuhota vielä tässä vaiheessa. Mikäli opiskelijalla olisi jostain syystä ollut käytössään humak.fi –tili, tämä lakkaisi toimimasta koska prosessi kääntää AD-tunnuksen pois päältä.
- Automaattinen prosessi tuhoaa opiskelijan sähköpostitilin sisällön ja HumakProssa olevat dokumentit Tietojärjestelmien käyttösäännöissä määritetyn ajan kuluttua. Tietyt HumakPron dokumentit kuitenkin säilytetään (esim. opinnäytetyötietokannassa olevat tiedostot).
1.2. Henkilökuntarekisteri
Perusrekisterinä on HUMAKin oma henkilökuntarekisteri HumakPro (HP), johon tallennetaan uusien työntekijöiden tiedot.
HP:stä uudet tiedot lisätään ja muuttuneet tiedot päivitetään automaattisesti käyttäjähakemistoon Active Directoryyn (AD) 10 minuutin kuluessa.
1.2.1. Uusi työntekijä
Uuden työntekijän lisää HumakProhon hallinnon henkilöstösihteeri, joka toimittaa uuden käyttäjätunnuksen ja salasanan uudelle työntekijälle.
1.2.2. Työntekijän tiedoissa tapahtuu muutos
Muuttuneet henkilötiedot päivitetään taloushallinnon rekistereihin, joista ne toimitetaan henkilöstöhallintoon ja henkilöstösihteeri päivittää muuttuneet tiedot HumakProhon. Jos opiskelijasta tulee työntekijä opiskelun aikana, hänet kirjataan henkilöstörekisteriin ja hänen HumakProssa oleviin tietoihin päivitetään tarvittavat henkilökuntatiedot. Henkilö voi olla samanaikaisesti sekä opiskelija että henkilökuntaa.
1.2.3. Työntekijä lakkaa olemasta työntekijä
Henkilöstöhallinnolla on etukäteen tieto työsuhteen alkamisesta ja päättymisestä, joista henkilöstösihteeri pitää kirjaa. Irtisanomis- ja irtisanoutumistapauksissa esimies toimittaa tiedon työsuhteen päättymisestä henkilöstöhallintoon ja henkilöstösihteeri päivittää muuttuneet tiedot HumakProhon. Jos samalle henkilölle tehdään uusi työsopimus hänellä aiemmin ollut käyttäjätunnus avataan.
1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus
Muita tunnuksia hallinnoidaan erikseen, eikä niitä voi käyttää Shibboleth-autentikointiin.
2. Henkilöllisyyden todentaminen
2.1. Käyttäjätunnuksen antamisen yhteydessä
Henkilön todennukseen vaaditaan virallinen henkilötodistus. Tarkistuksen tekee käyttäjätunnuksen luovuttava henkilö. Työntekijän kohdalla tiedot saadaan työsopimuksesta.
2.2. Kun käyttäjä kirjautuu käyttäjätunnuksensa avulla
Salasanatodennuksen laatuvaatimuksena on vähintään 8-merkkinen salasana, joka muodostuu vain alfanumeerisista merkeistä (A-Z, a-z and 0-9) ja tulee sisältää pieniä ja isoja kirjaimia sekä vähintään yhden numeron. Salasana ei saa olla saman kirjaimen toistamista (kuten aaAAaa88) eikä se saa sisältää skandeja (ö, ä, å).
3. Käyttäjätietokannassa saatavilla olevat tiedot
Attribuutti | Saatavuus | Miten ajantasaisuus turvataan | Muuta (esim.tulkintaohje) |
cn / commonName | x | HumakPro (HP) ja henkilöstöhallinto lähteenä, pysyvä arvo | MUST |
description |
|
|
|
displayName | x | HP lähteenä, pysyvä arvo | MUST |
employeeNumber |
|
|
|
facsimileTelephoneNumber |
|
| |
givenName | x | HP ja henkilöstö hallinto lähteenä |
|
homePhone |
|
|
|
homePostalAddress |
|
|
|
jpegPhoto |
|
|
|
l / localityName |
|
|
|
labeledURI |
|
|
|
x | AD lähteenä, automatisoitu |
| |
mobile |
|
|
|
o / organizationName | x | HP lähteenä |
|
ou / organizationalUnitName |
|
|
|
postalAddress |
|
|
|
postalCode |
|
|
|
preferredLanguage |
|
|
|
seeAlso |
|
|
|
sn / surname | x | HP ja henkilöstö- | MUST |
street |
|
|
|
telephoneNumber |
|
|
|
title | x | HP lähteenä |
|
uid | x | HP lähteenä, ei vaihdu |
|
userCertificate | |||
eduPersonAffiliation |
|
| |
eduPersonEntitlement |
|
|
|
eduPersonNickName |
|
|
|
eduPersonOrgDN |
|
|
|
eduPersonOrgUnitDN |
|
|
|
eduPersonPrimaryAffiliation |
|
| |
eduPersonPrimaryOrgUnitDN |
|
|
|
eduPersonPrincipalName | x | Pysyvä | MUST |
eduPersonScopedAddiliation |
|
|
|
eduPersonTargetedID |
|
|
|
schacMotherTongue |
|
|
|
schacGender |
|
|
|
schacDateOfBirth |
|
|
|
schacPlaceOfBirth |
|
|
|
schacCountryOfCitizenship |
|
|
|
schacHomeOrganization | x | Vakio | MUST. |
schacHomeOrganizationType | x | Vakio | MUST |
schacCountryOfResidence |
|
|
|
schacUserPresenceID |
|
|
|
schacPersonalUniqueCode |
|
|
|
schacPersonalUniqueID | |||
schacUserStatus | |||
funetEduPersonHomeOrganization | superseded | ||
funetEduPersonStudentID | superseded | ||
funetEduPersonIdentityCode | superseded | ||
funetEduPersonDateOfBirth | superseded | ||
funetEduPersonTargetDegreeUniversity | superseded | ||
funetEduPersonTargetDegreePolytech | superseded | ||
funetEduPersonTargetDegree |
|
| |
funetEduPersonEducationalProgramUniv | superseded | ||
funetEduPersonEducational | superseded | ||
funetEduPersonProgram | |||
funetEduPersonMajorUniv | superseded | ||
funetEduPerson | superseded | ||
funetEduPersonSpecialisation | |||
funetEduPersonStudyStart | |||
funetEduPersonPrimaryStudyStart | |||
funetEduPersonStudyToEnd | |||
funetEduPersonPrimaryStudyToEnd | |||
funetEduPersonCreditUnits | |||
funetEduPersonECTS | |||
funetEduPersonStudentCategory | |||
funetEduPersonStudentStatus |
|
| |
funetEduPersonStudentUnion | |||
funetEduPersonHomeCity | |||
funetEduPersonEPPNTimeStamp | x | HP lähteenä |
|
| logout-url | x | https://idp.humak.fi/idp/LOGOUT |
4. Muuta
4.1. Kardinaliteetit
Käyttäjällä on järjestelmässä yksi henkilöllisyys per tosielämän käyttäjä, mutta käyttäjän rooli voi olla samanaikaisesti sekä opiskelija että henkilökuntaa. Mikäli käyttäjällä on admin -oikeudet henkilökunnan roolissa, hän ei kuitenkaan voi mennä muuttamaan esim. omia opintosuoritusrekisterinsä tietoja.
4.2. EduPersonPrincipalNamen revokointi ja kierrätys
Käyttäjätunnus on pysyvä, eikä sitä vaihdeta (muodostuu sukunimestä etunimestä ja numerosta ns. kasitunnus esim. ankkak01 (Aku Ankka), seuraava Aku Ankka saa tunnuksen ankkak02 jne.). Käyttäjätunnus voidaan kuitenkin vaihtaa esim. nimen muutoksen yhteydessä. Käyttäjä voi myös luopua tunnuksesta ja siihen liittyvistä luvista ja saada tilalle uuden.
Opiskelijan tai henkilökunnan käytössä olleita käyttäjätunnuksia ei kierrätetä.
Jaa