AMKLogo

Käyttäjähallinnon kuvaus

Versio Tekijä Päiväys Muutos
0.3Miina Lehto5.8.2011Luonnos Pauli Lehtosen aloittaman dokumenton pohjalta, päivitetty tiedot ajan tasalle ja muokattu dokumentin ulkoasua
0.4Miina Lehto3.11.2011Päivitetään tietoja
0.5Miina Lehto30.11.2011Päivitetään tietoja
0.6Miina Lehto7.12.2011Tarkennus kohtaan 1.1.3 ja 2.1
0.7Miina Lehto18.1.2012Päivitetään attribuuttilistaa
0.8Miina Lehto31.1.2012Päivitetään attribuuttilistaa
0.9Miina Lehto21.2.2012Tarkennus kohtaan 1.2.3 ja päivitetään attribuuttilistaa
1.0Miina Lehto9.3.2012Päivitetään tiedot kohtaan 4.2
1.1Miina Lehto25.3.2013Päivitetään tiedot kohtaan 3, luovutettavat attribuutit
1.2Miina Lehto19.4.2013Päivitetään tiedot kohtaan 3, luovutettavat attribuutit
1.3Miina Lehto3.5.2013Päivitetään tiedot kohtaan 3, luovutettavat attribuutit
1.4Miina Vina3.4.2014Päivitetään tiedot kohtaan 1.1.3, opiskelijan tunnuksen lukitseminen ja poisto, kohta 4.1, tunnusten roolikohtaisuus
1.5Miina Vina13.1.2015Päivitetään kohtaa 1.3
1.6Miina Vina5.5.2015Päivitetään attribuuttilistaa, givenName luovutetaan kaikilta
1.7Miina Vina1.8.2016Päivitetään attribuuttilistaa
1.8Miina Vina14.11.2017Eppn kierrätys, kohta 4.2
1.9Rantapere Joona12.3.2019Päivitetään tietoja

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

1.1. Opiskelijarekisteri

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajan tasalla. Miten käyttäjätietokanta on kytketty opiskelijarekisteriin?

Opiskelijarekisteri on Pepin perusrekisteri, jonka tietojen perusteella opiskelijoiden käyttäjätunnusten tietoja päivitetään kerran päivässä.

1.1.1. Uusi opiskelija

Miten uuden opiskelijan tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?
Koska uusi opiskelija saa käyttäjätunnuksen/opiskelijaroolin?

Uusi opiskelija saa opiskelijaroolin otettuaan opiskelupaikan vastaan ja käyttäjätunnuksen ilmoittauduttuaan läsnäolevaksi.

Mitä tunnukselle tapahtuu, jos uusi opiskelija ei ota opiskelupaikkaa vastaan, tai ottaa paikan vastaan mutta ilmoittautuu poissaolevaksi?

Tunnusta ei luoda mikäli opiskelupaikkaa ei oteta vastaan. Poissaolevaksi ilmoittautuvan uuden opiskelijan tunnusta ei luoda. Tunnukset luodaan, jos opiskelija on läsnä koulun alettua. Tunnuksiin ei tehdä muutoksia, jos opiskelija ilmoittautuu poissaolevaksi kesken opiskelun.

1.1.2. Opiskelijan tiedoissa tapahtuu muutos

Miten opiskelijan muuttuneet tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?

Opiskelijarekisteriin tehdyt muutokset päivittyvät automaattisesti seuraavana yönä.

1.1.3. Opiskelija lakkaa olemasta opiskelija

Koska organisaatio (esim. opintoasiainhallinto) katsoo, että opiskelija lakkaa olemasta opiskelija
a) sen jälkeen kun opiskelija valmistuu?

Valmistumispäivänä. Heti, kun opintotoimisto merkitsee opiskelijan valmistuneeksi.

b) sen jälkeen kun lukukausi vaihtuu, ja opiskelija ei ole ilmoittautunut läsnäolevaksi?

Opiskelija poistuu, kun opiskelija ei ilmoittaudu ilmoittautumisaikana läsnä- tai poissaolevaksi.

c) sen jälkeen kun opiskelija ilmoittaa keskeyttävänsä opinnot?

Tieto keskeyttämisestä merkitään opiskelijarekisteriin sinä päivänä, kun opiskelija ilmoittaa keskeyttävänsä opinnot.

Kuinka kauan ylläolevien tapahtumien jälkeen kestää, että organisaatio (esim. tietohallinto) sulkee opiskelijan käyttäjätunnuksen tai poistaa opiskelijaroolin?

Opiskelijan tunnus lukitaan 31 päivää sen jälkeen, kun opiskelijarekisterissä opiskelija merkitään eronneeksi, valmistuneeksi tai opiskelu on päättynyt. Tunnus poistetaan 24kk kuluttua.

1.2. Henkilökuntarekisteri

Henkilörekisteri on HR-järjestelmän relaatiotietokanta.

Henkilökunnan käyttäjätunnuksia ylläpidetään käsin. Tunnusten ylläpidossa noudatetaan toimintaprosessia, jonka toimintakuvaus on nähtävissä Turun AMK:n intranetissä.

1.2.1. Uusi työntekijä

Uuden henkilön tiedot päivitetään tietojärjestelmien käyttölupahakemuksesta saatujen tietojen perusteella. Kaavakkeella anotaan käyttölupaa ja kaavakkeen allekirjoittaa sekä työntekijä, että esimies. Tietohallinto luovuttaa käyttäjätunnuksen työntekijälle.

1.2.2. Työntekijän tiedoissa tapahtuu muutos

Myös vanhan henkilön tiedot päivitetään tietojärjestelmien käyttölupahakemuksesta saatujen tietojen perusteella.

1.2.3. Työntekijä lakkaa olemasta työntekijä

Esimies ilmoittaa päättyvästä työsuhteesta tietohallintoon ennen työvelvoitteen päättymistä ja tunnus suljetaan manuaalisesti 5 päivän sisällä työsuhteen päättymisestä. Määräaikaisessa palvelussuhteessa olevien henkilöiden osalta käyttöoikeus päättyy automaattisesti käyttölupahakemuksessa mainittuna ajankohtana.

1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus

Onko organisaatiossa vielä jotain muita käyttäjiä, joilla on käyttäjätunnus ja jotka voivat kirjautua Identity Provider -palvelimen kautta Haka-infrastruktuurin palveluihin (Suomen Akatemian tutkijat? Ravintolahenkilökunta? Siviilipalvelusmiehet? Dosentit? Alumnit? Emeritukset? Kirjaston asiakkaat?). Minkälainen haku- ja hyväksymismenettely näihin tunnuksiin liittyy? Miten heidän käyttäjätietojensa ajantasaisuus ja sulkeutuminen/roolitiedon päivittyminen on varmistettu? Sellaiset käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-infrastruktuurin tarkoittamia loppukäyttäjiä, eikä heidän kirjautumistaan Identity Provider -palvelimen kautta palveluihin tule sallia.

Muiden, kuin AMK:n työntekijöiden ja opiskelijoiden käyttäjätunnuksissa noudatetaan samaa prosessia, kuin henkilökunnan käyttäjätunnusten ylläpidossa. Tunnukset ovat määräaikaisia.

2. Henkilöllisyyden todentaminen

2.1. Käyttäjätunnuksen antamisen yhteydessä

Millä tavalla uuden käyttäjän henkilöllisyys todennetaan, kun hänelle annetaan käyttäjätunnus?

Opiskelija saa käyttäjätunnustiedot ID-palvelusta Suomi.fi-tunnistautumista käyttämällä, opintotoimistosta tai opettajatutorilta. Opiskelijan henkilöllisyys tarkistetaan ennen tietojen luovuttamista.
Työntekijä saa käyttäjätunnustiedot tietohallinnosta. Työntekijän henkilöllisyys tarkistetaan tunnuksen luovutuksen yhteydessä aina, jos henkilö ei ole ennestään tuttu.

Henkilöllisyyden todistamiseen käy henkilökortti, ajokortti, passi tai kuvallinen Kela-kortti.

2.2. Kun käyttäjä kirjautuu käyttäjätunnuksensa avulla

Salasanatodennukseen liittyvät laatuvaatimukset. Mahdolliset käytettävissä olevat salasanaa tukevammat autentikointimenetelmät.

Salasanan on oltava vähintään 8 merkkiä pitkä. Järjestelmässä on asetettu ehtoja salasanan muodolle. Kolme ehtoa pitää täyttyä näistä: isot kirjaimet, pienet kirjaimet, erikoismerkki, numero. Järjestelmä ei salli salasanan olevan liian lähellä käyttäjän nimeä, vanhaa salasanaa tai käyttäjätunnusta. Järjestelmä pakottaa vaihtamaan salasanan määräajoin. Käytössä ei ole muita autentikointimenetelmiä.

3. Käyttäjätietokannassa saatavilla olevat tiedot

Lisätietoja funetEduPerson-skeemasta (ver 2.2) on täällä.
Rasti kohtaan "Saatavuus", jos kyseinen henkilötieto on ajantasalla ja siten saatavilla Identity Provider -palvelimen yli.
Kohtaan "Miten ajantasaisuus turvataan" esimerkiksi viittaus luvun 1. järjestelmiin. Jos organisaatiolla on omia (ei siis funetEduPersonin mukaisia) attribuutteja, jotka näkyvät ulospäin Identity Provider-palvelimesta, lisää ne taulukon loppuun. Tarvittaessa linkki dokumenttiin, joka tarkemmin kuvailee omien attribuuttien skeeman.

Opiskelijoiden käyttäjätunnusten ajantasaisuus turvataan päivittäisillä eräajoilla opiskelijarekisteristä.
Henkilökunnan käyttäjätunnusten tietojen päivittäminen perustuu toimintaprosessiin.

Attribuutti Saatavuus Miten ajantasaisuus turvataan Muuta (esim. tulkintoja)
cn / commonNamexMUST
description
displayNamexMUST
eduPersonAffiliationxstaff, student, affiliate
eduPersonEntitlementx
eduPersonNickName
eduPersonOrgDN
eduPersonOrgUnitDN
eduPersonPrimaryAffiliationxstaff, student, affiliate
eduPersonPrimaryOrgUnitDN
eduPersonPrincipalNamexMUST
eduPersonScopedAffiliationxstaff/student/affiliate@turkuamk.fi
eduPersonTargetedIDx
employeeNumber
facsimileTelephoneNumber
funetEduPersonCreditUnits
funetEduPersonGivenNamesx
funetEduPersonFullNamex
funetEduPersonECTS
funetEduPersonHomeCity
funetEduPersonPrimaryStudyStart
funetEduPersonPrimaryStudyToEnd
funetEduPersonProgramx
funetEduPersonSpecialisation
funetEduPersonStudentCategory
funetEduPersonStudentStatus
funetEduPersonStudentUnionMikä arvo on käytössä?
funetEduPersonStudyStart
funetEduPersonStudyToEnd
funetEduPersonTargetDegree
givenNamex
homePhone
homePostalAddress
jpegPhoto
l / localityName
labeledURI
mailx
mobile
nationalIdentificationNumberx
o / organizationName
ou / organizationalUnitName
postalAddress
postalCode
preferredLanguagex (vain opiskelijat)fi, en
schacCountryOfCitizenship
schacCountryOfResidence
schacDateOfBirth
schacGender
schacHomeOrganizationxMUST turkuamk.fi
schacHomeOrganizationTypexMUST :fi:polytechnic
schacMotherTongue
schacPersonalUniqueCode
schacPersonalUniqueIDx
schacPlaceOfBirth
schacUserPresenceID
schacUserStatus
seeAlso
sn / surnamexMUST
street
telephoneNumber
title
uid
userCertificate

4. Muuta

4.1. Kardinaliteetit

Yksi henkilöllisyys per tosielämän käyttäjä, vai Yksi henkilöllisyys per rooli (esim. opiskelija-työntekijällä kaksi käyttäjätunnusta)?

Henkilöllä on yksi tunnus per rooli. Opiskelija-työntekijällä siten kaksi tunnusta.

4.2. EduPersonPrincipalNamen revokointi ja kierrätys

Voiko eduPersonPrincipalName vaihtua?

EPPN ei vaihdu.

Millä tavalla organisaatio kierrättää vapautuneita eduPersonPrincipalName-arvoja?

EPPN-arvoa ei kierrätetä