AMKLogo

Käyttäjähallinnon kuvaus

Versio Tekijä Päiväys Muutos
0.3Miina Lehto5.8.2011Luonnos Pauli Lehtosen aloittaman dokumentin pohjalta; päivitetty tiedot ajan tasalle, ja muokattu dokumentin ulkoasua.
0.4Miina Lehto3.11.2011Päivitetään tietoja.
0.5Miina Lehto30.11.2011Päivitetään tietoja.
0.6Miina Lehto7.12.2011Tarkennus kohtaan 1.1.3 ja 2.1.
0.7Miina Lehto18.1.2012Päivitetään attribuuttilistaa.
0.8Miina Lehto31.1.2012Päivitetään attribuuttilistaa.
0.9Miina Lehto21.2.2012Tarkennus kohtaan 1.2.3 ja päivitetään attribuuttilistaa.
1.0Miina Lehto9.3.2012Päivitetään tiedot kohtaan 4.2.
1.1Miina Lehto25.3.2013Päivitetään tiedot kohtaan 3.: luovutettavat attribuutit.
1.2Miina Lehto19.4.2013Päivitetään tiedot kohtaan 3.: luovutettavat attribuutit.
1.3Miina Lehto3.5.2013Päivitetään tiedot kohtaan 3.: luovutettavat attribuutit.
1.4Miina Vina3.4.2014Päivitetään tiedot kohtaan 1.1.3.: opiskelijan tunnuksen lukitseminen ja poisto sekä kohtaan 4.1.: tunnusten roolikohtaisuus.
1.5Miina Vina13.1.2015Päivitetään kohtaa 1.3.
1.6Miina Vina5.5.2015Päivitetään attribuuttilistaa: givenName luovutetaan kaikilta.
1.7Miina Vina1.8.2016Päivitetään attribuuttilistaa.
1.8Miina Vina14.11.2017Eppn:n kierrätys, kohta 4.2.
1.9Rantapere Joona12.3.2019Päivitetään tietoja.
2.0Sormunen Satu-Katri06.08.2020Tietoja päivitetty.

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

1.1. Opiskelijarekisteri

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajan tasalla. Miten käyttäjätietokanta on kytketty opiskelijarekisteriin?

Opiskelijarekisteri on Pepin perusrekisteri, jonne tallennettujen tietojen perusteella opiskelijoiden käyttäjätunnuksia luodaan ja päivitetään kerran päivässä.

1.1.1. Uusi opiskelija

Miten uuden opiskelijan tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?
Koska uusi opiskelija saa käyttäjätunnuksen/opiskelijaroolin?

Uusi opiskelija saa opiskelijaroolin otettuaan opiskelupaikan vastaan ja käyttäjätunnuksen ilmoittauduttuaan läsnäolevaksi.

Mitä tunnukselle tapahtuu, jos uusi opiskelija ei ota opiskelupaikkaa vastaan tai ottaa paikan vastaan, mutta ilmoittautuu poissaolevaksi?

Tunnusta ei luoda, mikäli opiskelupaikkaa ei oteta vastaan. Poissaolevaksi ilmoittautuvan uuden opiskelijan tunnusta ei luoda. Tunnukset luodaan, jos opiskelija on läsnä opintojen alettua. Tunnuksiin ei tehdä muutoksia, jos opiskelija ilmoittautuu poissaolevaksi kesken opiskelun.

1.1.2. Opiskelijan tiedoissa tapahtuu muutos

Miten opiskelijan muuttuneet tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?

Opiskelijarekisteriin tehdyt muutokset päivittyvät automaattisesti seuraavana yönä.

1.1.3. Opiskelija lakkaa olemasta opiskelija

Milloin organisaatio (esim. opintoasiainhallinto) katsoo, että opiskelija lakkaa olemasta opiskelija
a) sen jälkeen, kun opiskelija valmistuu?

Opiskelijastatus poistuu valmistumispäivänä eli heti, kun opintotoimisto merkitsee opiskelijan valmistuneeksi.

b) sen jälkeen, kun lukukausi vaihtuu, ja opiskelija ei ole ilmoittautunut läsnäolevaksi?

Opiskelijastatus poistuu, kun opiskelija ei ilmoittaudu ilmoittautumisaikana läsnä- tai poissaolevaksi.

c) sen jälkeen, kun opiskelija ilmoittaa keskeyttävänsä opinnot?

Tieto keskeyttämisestä merkitään opiskelijarekisteriin sinä päivänä, kun opiskelija ilmoittaa keskeyttävänsä opinnot.

Kuinka kauan ylläolevien tapahtumien jälkeen kestää, että organisaatio (esim. tietohallinto) sulkee opiskelijan käyttäjätunnuksen tai poistaa opiskelijaroolin?

Opiskelijan tunnus lukitaan 31 päivää sen jälkeen, kun opiskelija merkitään opiskelijarekisteriin eronneeksi, valmistuneeksi tai kun opiskelu on päättynyt. Tunnus poistetaan 24kk kuluttua.

1.2. Henkilökuntarekisteri

Henkilörekisteri on HR-järjestelmän relaatiotietokanta.

Henkilökunnan käyttäjätunnuksia ylläpidetään käsin. Tunnusten ylläpidossa noudatetaan toimintaprosessia, jonka toimintakuvaus on nähtävissä Turun AMK:n intranetissä.

1.2.1. Uusi työntekijä

Uuden henkilön tiedot päivitetään tietojärjestelmien käyttölupahakemuksesta saatujen tietojen perusteella. Kaavakkeella anotaan käyttölupaa, ja sen allekirjoittaa sekä työntekijä että esimies. Tietohallinto luovuttaa käyttäjätunnuksen työntekijälle.

1.2.2. Työntekijän tiedoissa tapahtuu muutos

Työntekijän, jolla on voimassa oleva työsuhde, tiedot päivitetään tietojärjestelmien käyttölupahakemuksen perusteella.

1.2.3. Työntekijä lakkaa olemasta työntekijä

Esimies ilmoittaa päättyvästä työsuhteesta tietohallintoon ennen työvelvoitteen päättymistä, ja tunnus suljetaan manuaalisesti 5 päivän sisällä työsuhteen päättymisestä. Määräaikaisessa palvelussuhteessa olevien henkilöiden osalta käyttöoikeus päättyy automaattisesti käyttölupahakemuksessa mainittuna ajankohtana.

1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus

Onko organisaatiossa vielä jotain muita käyttäjiä, joilla on käyttäjätunnus ja jotka voivat kirjautua Identity Provider -palvelimen kautta Haka-verkoston palveluihin (Suomen Akatemian tutkijat, ravintolahenkilökunta, siviilipalvelusmiehet, dosentit, alumnit, emeritukset, kirjaston asiakkaat)? Minkälainen haku- ja hyväksymismenettely näihin tunnuksiin liittyy? Miten heidän käyttäjätietojensa ajantasaisuus ja sulkeutuminen/roolitiedon päivittyminen on varmistettu? Käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-verkoston loppukäyttäjiä. Heidän kirjautumistaan Identity Provider -palvelimen kautta palveluihin ei sallita.

Muiden kuin AMK:n työntekijöiden ja opiskelijoiden käyttäjätunnuksissa noudatetaan samaa prosessia, kuin henkilökunnan käyttäjätunnusten ylläpidossa. Tunnukset ovat määräaikaisia.

2. Henkilöllisyyden todentaminen

2.1. Käyttäjätunnuksen antamisen yhteydessä

Millä tavalla uuden käyttäjän henkilöllisyys todennetaan, kun hänelle annetaan käyttäjätunnus?

Opiskelija saa käyttäjätunnustiedot ID-palvelusta Suomi.fi-tunnistautumista käyttämällä, opintotoimistosta tai opettajatutorilta. Opiskelijan henkilöllisyys tarkistetaan ennen tietojen luovuttamista.
Työntekijä saa käyttäjätunnustiedot tietohallinnosta. Työntekijän henkilöllisyys tarkistetaan tunnuksen luovutuksen yhteydessä aina, jos henkilö ei ole ennestään tuttu.

Henkilöllisyyden todistamiseen käy henkilökortti, ajokortti, passi tai kuvallinen Kela-kortti.

2.2. Kun käyttäjä kirjautuu käyttäjätunnuksellaan

Mitkä ovat salasanatodennukseen liittyvät laatuvaatimukset? Onko käytettävissä salasanaa vahvempia autentikointimenetelmiä?

Salasanan on oltava vähintään 8 merkkiä pitkä. Järjestelmään on asetettu ehtoja salasanan muodolle. Seuraavista tulee täyttyä kolme ehtoa: isot kirjaimet, pienet kirjaimet, erikoismerkki tai numero. Järjestelmä ei salli salasanan olevan liian samankaltainen käyttäjän nimen, vanhan salasanan tai käyttäjätunnuksen kanssa. Järjestelmä pakottaa vaihtamaan salasanan määräajoin. Käytössä ei ole muita autentikointimenetelmiä.

3. Käyttäjätietokannasta saatavilla olevat tiedot

Lisätietoja funetEduPerson-skeemasta (saatavilla olevat käyttäjätiedot) CSC:n sivuilla.

Oheisesta taulukosta löytyvät saatavilla olevat attribuutit.
Kohdassa "Saatavuus" on rasti, jos kyseinen henkilötieto on ajan tasalla ja siten saatavilla Identity Provider -palvelimen keutta.

Opiskelijoiden käyttäjätunnusten ajantasaisuus turvataan päivittäisillä eräajoilla opiskelijarekisteristä.
Henkilökunnan käyttäjätunnusten tietojen päivittäminen perustuu toimintaprosessiin.

Attribuutti Saatavuus Muuta (esim. tulkintoja)
cn / commonNamexMUST
description
displayNamexMUST
eduPersonAffiliationxstaff, student, affiliate
eduPersonEntitlementx
eduPersonNickName
eduPersonOrgDN
eduPersonOrgUnitDN
eduPersonPrimaryAffiliationxstaff, student, affiliate
eduPersonPrimaryOrgUnitDN
eduPersonPrincipalNamexMUST
eduPersonScopedAffiliationxstaff/student/affiliate@turkuamk.fi
eduPersonTargetedIDx
employeeNumber
facsimileTelephoneNumber
funetEduPersonCreditUnits
funetEduPersonGivenNamesx
funetEduPersonFullNamex
funetEduPersonECTS
funetEduPersonHomeCity
funetEduPersonPrimaryStudyStart
funetEduPersonPrimaryStudyToEnd
funetEduPersonProgramx
funetEduPersonSpecialisation
funetEduPersonStudentCategory
funetEduPersonStudentStatus
funetEduPersonStudentUnionMikä arvo on käytössä?
funetEduPersonStudyStart
funetEduPersonStudyToEnd
funetEduPersonTargetDegree
givenNamex
homePhone
homePostalAddress
jpegPhoto
l / localityName
labeledURI
mailx
mobile
nationalIdentificationNumberx
o / organizationName
ou / organizationalUnitName
postalAddress
postalCode
preferredLanguagex (vain opiskelijat)fi, en
schacCountryOfCitizenship
schacCountryOfResidence
schacDateOfBirth
schacGender
schacHomeOrganizationxMUST turkuamk.fi
schacHomeOrganizationTypexMUST :fi:polytechnic
schacMotherTongue
schacPersonalUniqueCode
schacPersonalUniqueIDx
schacPlaceOfBirth
schacUserPresenceID
schacUserStatus
seeAlso
sn / surnamexMUST
street
telephoneNumber
title
uid
userCertificate

4. Muuta

4.1. Kardinaliteetit

Miten roolit vaikuttavat käyttäjätunnusten määrään (yksi henkilöllisyys per tosielämän käyttäjä vai yksi henkilöllisyys per rooli)? Onko esim. opiskelija-työntekijällä kaksi käyttäjätunnusta?

Henkilöllä on yksi tunnus per rooli. Opiskelija-työntekijällä on siten kaksi tunnusta.

4.2. EduPersonPrincipalNamen revokointi ja kierrätys

Voiko eduPersonPrincipalName vaihtua?

EPPN ei vaihdu.

Millä tavalla organisaatio kierrättää vapautuneita eduPersonPrincipalName-arvoja?

EPPN-arvoa ei kierrätetä.