HAKA-infrastruktuuri

Kotiorganisaation käyttäjähallinnon kuvaus

Versio Tekijä Päiväys
  1.0   Ismo Aulaskari   29.7.2005
  1.1   Ismo Aulaskari   24.1.2007
  1.1.1   Ismo Aulaskari   15.3.2007
     

 

Tässä dokumentissa ollaan kiinnostuneita käyttäjätietokannan ja sen tietojen ajantasaisuuden toteutuksen yleisistä periaatteista sellaisella tasolla, joka antaa riittävät tiedot käyttäjätietojen laadun ja ajantasaisuuden arvioimiseksi.

Kotiorganisaatio asettaa tämän dokumentin www:hen kaikkien saataville. Dokumentti linkitetään Haka-infrastruktuurin kotisivulta.

Tässä dokumentissa käyttäjätietokannalla tarkoitetaan sitä loppukäyttäjien attribuuttien joukkoa, johon organisaation Shibboleth origin tukeutuu. Käyttäjätietokannan tekninen toteutus voi olla esim. LDAP-hakemisto tai relaatiotietokanta, tai niiden yhdistelmä niin, että Shibboleth origin -palvelin hakee osan attribuuteista LDAP-hakemistosta ja osan JDBC:n yli opiskelijarekisteristä. 

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

1.1. Opiskelijarekisteri

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla.

Miten käyttäjätietokanta on kytketty opiskelijarekisteriin?

Opiskelijarekisterin (Oodi) ja varsinaisen käyttölupatietokannan (Master) välillä on tietokantalinkki molempiin suuntiin. Master-tietokantaan lisätään päivittäin uusien opiskelijoiden perustiedot ja päivitetään muuttuneet tiedot, joista läsnäolotietoja käytetään käytetään mm. käyttölupien omatoimiseen jatkamiseen ja eduPersonAffiliation -roolien määrittämiseen. Muuttuneet tiedot päivittyvät Oodista yleensä kerran vuorokaudessa, mutta lukuvuosittaisen ilmoittautumisen yhteydessä WebOodissa ilmoitauduttaessa läsnäolotiedot päivittyvät välitömästi.

Masterista lisätään Oodiin opiskelijan puuttuva tai poistetaan ei enää voimassa oleva sähköpostiosoite kerran vuorokaudessa. Sähköpostiosoite-eroista ilmoitetaan opiskelijarekisteriyksikköön, missä tarvittavat muutokset hoidetaan manuaalisesti.

Useimmat Masterin kautta käyttäjätietokantaan välitettävät muutokset (esim. käyttöluvan voimassaolo) päivittyvät 15 min välein.

Käyttäjätietokantaan (LDAP) päivitetään tietoja Masterin lisäksi suoraan Oodista Masteriin luotujen näkymien ja tietokantataulujen kautta (mm. roolit, tutkinto-, koulutusohjelma- ja pääainetiedot) kerran vuorokaudessa.

1.1.1. Uusi opiskelija

Miten uuden opiskelijan tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?

Uusien opiskelijoiden tiedot siirtyvät Oodista päivittäin Masteriin. Näiden perustietojen pohjalta jokaiselle generoidaan käyttäjätunnus ja sähköpostiosoite, jotka aktivoituvat ensimmäisen käyttöluvan myöntämisen yhteydessä. Oodiin tiedot päivittyvät hakijarekisteristä.

Lupien jakelun yhteydessä tarkistetaan saajan henkilöllisyys.

1.1.2. Opiskelijan tiedoissa tapahtuu muutos

Miten opiskelijan muuttuneet tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?

Opiskelijan läsnäoloilmoittautumistiedot päivitetään Master-tietokantaan yleensä kerran yössä, mutta syksyllä useamman kertaa päivässä.

Jos opiskelija ilmoittautuu läsnäolevaksi WebOodin kautta, niin läsnäolotieto päivittyy heti ja opiskelija voi myös heti jatkaa käyttölupiaan.

Tärkeiksi valitut tiedot päivittyvät 15 minuutin sisällä LDAPiin Masterin muutoksien tapahduttua.

1.1.3. Opiskelija lakkaa olemasta opiskelija

Koska organisaatio katsoo, että opiskelija lakkaa olemasta opiskelija?

Opiskelijarooli päättyy, kun opinto-oikeus päättyy tai opiskelija ei ole ilmoittautunut läsnäolevaksi.

Miten tämä tieto päivittyy käyttäjätietokantaan?

Käyttäjähakemistossa (LDAP) pidetään yllä kustakin käyttöluvan haltijasta roolitietoa eduPersonAffiliation -sanaston mukaisesti. Jos opiskelija valmistuu, hänen opinto-oikeutensa päättyy, hän vaihtaa läsnäolonsa poissaolevaksi, keskeyttää opintonsa vuodeksi tms, poistuu häneltä "student"-rooli, vaikka käyttölupa saattaakin jäädä voimaan. Roolitieto päivittyy päivittäin.

Master-tietokannassa on tieto opiskelijan läsnä-/poissaolosta, mutta tätä tietoa käytetään ainoastaan, kun opiskelija jatkaa käyttölupaansa.

1.2. Henkilökuntarekisteri

Vastaavasti kuin edellä.

Henkilökuntarekisterin (Personec F) tietoja saadaan vain DaWa-tietovaraston kautta näkyminä. Tietovaraston ja Master-tietokannan välillä on tietokantalinkki molempiin suuntiin. DaWaan päivitetään Masterista käyttäjätunnus ja Masteriin päivittyy tieto työsuhteen päättymispäivästä.

Käyttäjätietokantaan (LDAP) päivitetään tietoja henkilöstötietojärjestelmä Personec F:sta tietovarasto DaWan kautta (mm. vakanssiryhmä ja sijoitusyksikkö)

1.2.1. Uusi työntekijä

Tällä hetkellä luonti tapahtuu käsityönä (kirjataan Masteriin) - tarkoitus on, että tulevaisuudessa työntekijän tiedot saataisiin mahdollisimman varhain Personec F:sta tietovaraston kautta, jolloin näitä tietoja pystytään käyttämään samaan tapaan kuin uusien opiskelijoiden lupia aktivoitaessa.

1.2.2. Työntekijän tiedoissa tapahtuu muutos

Palvelussuhteen voimassaolotieto päivitetään joka yö Masteriin. Nimi- yms. tiedot eivät siirry automaattisesti.

1.2.3. Työntekijä lakkaa olemasta työntekijä

Kun henkilöllä ei ole voimassaolevaa tointa/virkaa hoidettavana.

Henkilökuntarooli päivitetään kerran vuorokaudessa (vrt. opiskelijat edellä) hakemalla roolin päivitystieto Personec F:stä (jälleen tietovaraston kautta), mutta joitakin ongelmaryhmiä vielä on, mm. apurahatutkijat, Suomen Akatemialta palkkarahaa saavat jne.

1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus

Mille muille käyttäjille organisaatio antaa käyttäjätunnuksia (Suomen Akatemian tutkijat? Ravintolahenkilökunta? Siviilipalvelusmiehet? Dosentit? Alumnit? Emeritukset? Kirjaston asiakkaat?)

Miten heidän käyttäjätietojensa ajantasaisuus ja sulkeutuminen/roolitiedon päivittyminen on varmistettu?

Käyttölupien myöntämisestä päättää lopulta laitos. Vain laitoksen atk-yhdyshenkilö voi jatkaa käyttölupia. Läsnäoleva opiskelija tai palvelusuhteessa oleva voi itse jatkaa käyttölupaansa läsnäolon tai palvelussuhteen voimassaoloajan perusteella. Opiskelija voi jatkaa lupaansa enintään läsnäoloa seuraavan lukukauden alkupuolelle eli 31.1. tai 30.9. saakka, henkilökunta joko palvelussuhteensa loppuun, mutta kuitenkin enintään puoleksitoista vuodeksi kerrallaan.

Roolit päivittyvät vähintään kerran yössä.

Sellaiset käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-infrastruktuurin tarkoittamia loppukäyttäjiä, eikä heidän kirjautumistaan shibboleth originin kautta palveluihin tule sallia.

Tunnuksia voidaan myöntää myös sellaisille tahoille, joilla ei ole oikeutta eduPersonAffiliation-roolin mukaiseen Member-statukseen. Tällaisia ovat erilaiset yliopiston yhteistyötahot (vierailijoita tms), ainejärjestöjä, ulkopuolisia maksullisen palvelusopimuksen tehneitä tahoja (yrityshautomoiden tyyppinen toiminta), yliopistoliikunnan yliopiston ulkopuolisia asiakkaita jne. Nämä ovat erotettavissa ns. oikeista käyttäjistä roolitiedon perusteella.

Shibboleth-yhteyteen vaaditaan member-rooli. Member-roolin saa jos on läsnäoleva opiskelija tai palvelussuhteessa oleva työntekijä. Rooleja alkuperäislähteiden (Oodi ja DaWa/Personec F) perusteella muodostettaessa on jokaisesta tunnuksesta oltava tiedossa henkilötunnus.

2. Henkilöllisyyden todentaminen

2.1. Käyttäjätunnuksen antamisen yhteydessä

Millä tavalla uuden käyttäjän henkilöllisyys todennetaan, kun hänelle annetaan käyttäjätunnus?

Virallinen henkilöllisyystodistus vaaditaan.

2.2. Kun käyttäjä kirjautuu käyttäjätunnuksen avulla

Salasanatodennukseen liittyvät laatuvaatimukset.

Mahdolliset käytettävissä olevat salasanaa tukevammat autentikointimenetelmät.

Keskitetyssä autentikoinnissa mukana olevissa järjestelmissä on aloitettu siirtyminen vähintään 8-merkkisiin salasanoihin. Tämä tehdään vaiheittain vuoden kuluessa, ja tähän liittyvä päätös koskee myös muiden kuin tietotekniikkaosaston hallinnoimia palvelimia, jos ne ovat mukana keskitetyssä autentikoinnissa.

Osassa järjestelmiä on asetettu vaatimuksia salasanan monimutkaisuuden suhteen, ja osassa salasanalle on pakotettu vaihtoväli (1 vuosi tai vähemmänkin).

Vahvemman tunnistautumisen osalta työn alla on VETUMA-autentikoinnin käyttö salasanan vaihdossa, kertakäyttösalasanajärjestelmän kehittäminen ja PKI-tekniikkaa hyödyntävien toimikorttien käyttö eräässä henkilöstöhallinnon järjestelmässä (ei Shibboleth-integraatiota).

3. Käyttäjätietokannassa saatavilla olevat tiedot

Rasti kohtaan "Saatavuus", jos kyseinen henkilötieto on ajantasalla ja siten saatavilla Shibboleth origin-palvelimen yli.

Kohtaan "Miten ajantasaisuus turvataan" esimerkiksi viittaus luvun 1. järjestelmiin.

Jos organisaatiolla on omia (ei siis funetEduPersonin mukaisia) attribuutteja, jotka näkyvät ulospäin Shibboleth originista, lisää ne taulukon loppuun. Tarvittaessa linkki dokumenttiin, joka tarkemmin kuvailee omien attribuuttien skeeman.

Attribuutti Saatavuus Miten ajantasaisuus turvataan Muuta (esim. tulkintaohje)
cn   x   15 min välein Master<->LDAP Nimissä muuttuminen on kiinni siitä viitsivätkö nimensä muuttajat ilmoittaa muutoksista Masteriin.  
sn   x   15 min välein Master<->LDAP. Masteriin sukunimitieto päivitetään käsin, vaikka se vaihtuisikin jossakin taustajärjestelmistä.  
uid      
givenname   x   15 min välein Master<->LDAP Sisältää puhuttelunimen ja etunimien alkukirjaimet.
funetEduPersonHomeOrganization   x   vakioarvo, 15 min välein  
telephoneNumber      
description      
seeAlso      
userPassword      
title      
street      
facsimileTelephoneNumber      
o      
postalAddress      
postalCode      
ou      
l      
displayName   x   15 min välein Master->LDAP   Vain puhuttelunimi
jpegPhoto      
labeledURI      
userCertificate      
preferredLanguage   x   15 min välein Master->LDAP  
homePhone   x   Jos opiskelija ilmoittaa muutoksesta   Saatavilla vain opiskelijoille
homePostalAddress   x   Jos opiskelija ilmoittaa muutoksesta   Saatavilla vain opiskelijoille
mobile   x   Jos opiskelija ilmoittaa muutoksesta   Saatavilla vain opiskelijoille
eduPersonAffiliation   x   Vuorokausittain opiskelija- ja henkilökuntarekistereistä   Saatavilla olevat arvot: affiliate, member, student, employee, staff, faculty
eduPersonPrimaryAffiliation   x   Vuorokauden välein opiskelija- ja henkilökuntarekistereistä   Saatavilla olevat arvot: affiliate, member, student, employee
eduPersonEntitlement      
eduPersonPrincipalName   x 15 min välein

Käyttäjätunnuksen pohjalta

 
eduPersonOrgDN      
eduPersonOrgUnitDN      
eduPersonScopedAffiliation   x Generoidaan aina Shibboleth-yhteydessä

Pääroolin ja kotiorganisaation pohjalta

 
eduPersonPrimaryOrgUnitDN      
funetEduPersonIdentityCode      
funetEduPersonDateOfBirth      
funetEduPersonTargetDegreeUniversity      
funetEduPersonTargetDegreePolytechnic      
funetEduPersonEducationalProgramUniv      
funetEduPersonEducationalProgramPolytech      
funetEduPersonOrientationAlternPolytech      
funetEduPersonMajorUniv      
funetEduPersonHomeOrganization      
funetEduPersonStudentID      
  mail   x   15 min välein  
  logout-url   x   Generoidaan Shibboleth-yhteydessä  
funetEduPersonEducationalProgram   x   Vuorokausittain opiskelijarekisteristä  
funetEduPersonSpecialisation   x   Vuorokausittain opiskelijarekisteristä  
funetEduPersonTargetDegree   x   Vuorokausittain opiskelijarekisteristä  
schacPersonalUniqueCode   x   15 min välein Master->LDAP  
funetEduPersonEPPNTimeStamp   x   Tunnuksen varauksen yhteydessä, ei kierrätystä tällä hetkellä.  
schacHomeOrganization   x   Vakioarvo  
schacHomeOrganizationType   x   Vakioarvo  
schacDateOfBirth   x   15 min välein Master->LDAP  
schacPersonalUniqueID   x   15 min välein Master->LDAP  
hyCampus   x   Vuorokausittainen synkronointi Master->LDAP, laitokset yl   Nelliportaalin kaipaama HY:n sisäinen kampuskoodi, katso http://www.helsinki.fi/atk/luvat/ldap/doc/index.html
  <litu-attribuutit>   x     Tällä hetkellä ainoastaan litu-pilotin käytössä olleesta origin-palvelimesta. Tiedot tulevat osin hakemistosta, osin Oodista (kts. erillinen litu-dokumentaatio)

http://www.helsinki.fi/~aulaskar/tietos/litu/doc2/doc.html

       

 

4. Muuta

4.1. Kardinaliteetit

Yksi henkilöllisyys per tosielämän käyttäjä, vai

Yksi henkilöllisyys per rooli (esim. opiskelija-työntekijällä kaksi käyttäjätunnusta)?

Periaatteessa käyttäjällä on vain yksi tunnus, johon saatetaan liittää useita rooleja (henkilökunta, opiskelija jne). Joissakin tilanteissa käyttäjällä voi olla ns. normaalin käyttäjätunnuksen lisäksi joku erikoistunnus (esim. kevyttunnus tai ns. alaviivallinen tunnus).

4.2. EduPersonPrincipalNamen revokointi ja kierrätys

Voiko eduPersonPrincipalName vaihtua?

Millä tavalla organisaatio kierrättää vapautuneita eduPersonPrincipalName-arvoja?

Käyttäjätunnusta ei vaihdeta, mutta käyttäjä voi luopua tunnuksestaan ja kaikista siihen liittyvistä luvistaan ja täten saada uuden. Toistaiseksi kerran käytössä ollutta käyttäjätunnusta ei oteta uudelleen käyttöön.