Tampereen korkeakoulusäätiön käyttäjähallinnon kuvaus

Versio 0.1, Hilkka Kankaanpää, 17.10.2018

Tässä dokumentissa kuvataan Tampereen korkeakoulusäätiön (TKS) käyttäjätietokannan ja sen tietojen ajantasaisuuden toteutuksen yleisistä periaatteista sellaisella tasolla, joka antaa riittävät tiedot käyttäjätietojen laadun ja ajantasaisuuden arvioimiseksi.

Kotiorganisaatio asettaa tämän dokumentin www:hen kaikkien saataville. Dokumentti linkitetään Haka-infrastruktuurin kotisivulta.

Tässä dokumentissa käyttäjätietokannalla tarkoitetaan sitä loppukäyttäjien attribuuttien joukkoa, johon organisaation Identity Provider-palvelin tukeutuu. Käyttäjätietokannan tekninen toteutus voi olla esim. LDAP-hakemisto tai relaatiotietokanta, tai niiden yhdistelmä niin, että Identity Provider -palvelin noutaa osan attribuuteista LDAP-hakemistosta ja osan JDBC:n yli opiskelijarekisteristä.

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Perusrekistereitä ovat opiskelijarekisterit (3 kpl), henkilöstörekisterit (2 kpl), vierailijarekisterit (2 kpl) ja Tampereen yliopiston normaalikoulun oppilasrekisteri. Tiedot perusrekistereistä käyttäjätietokantaan saadaan integraatiopalvelun avulla.

Käyttäjähakemistojen tietoja ylläpidetään käyttäjätietokannan avulla ja päivitykset tehdään reaaliaikaisesti käyttäjätietojen muututtua.

1.1. Opiskelijarekisteri

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla.

Integraatiopalvelut tuovat opiskelijarekistereistä IdMään tarvittavat tiedot vähintään kerran vuorokaudessa niistä opiskelijoista, jotka ovat kirjoilla. Käyttäjätunnuksen voimassaolo määräytyy opiskelijan ilmoittautumisten tai opiskeluoikeuden päättymisen perusteella. Opiskelijan tiedot käsitellään IdMssä heti, kun ne on sinne tuotu ja päivittyvät käyttäjähaemistoihin heti tämän jälkeen.

1.1.1. Uusi opiskelija

Uuden opiskelijan tiedot siirtyvät käyttäjätietokantaan samalla siirrolla kun kaikkien muidenkin opiskelijoiden. Hän saa opiskelijaroolin heti, kun hän on ottanut paikan vastaan ja ilmoittautunut riippumatta siitä, ilmoittautuuko hän läsnä- vai poissaolevaksi. Jos hänellä ei vielä ole käyttäjätunnusta, niin hänelle tehdään automaattisesti käyttäjätunnus ja sähköpostiosoite.

1.1.2. Opiskelijan tiedoissa tapahtuu muutos

Opiskelijarekisterissä tapahtuneet muutokset päivittyvät seuraavassa integraatioajossa IdM:ään. Nimen muuttuessa nimimuotoinen sähköpostiosoite muutetaan, kun henkilö ottaa yhteyttä HelpDeskiin.

1.1.3. Opiskelija lakkaa olemasta opiskelija

Opiskelija on opiskelija niin kauan, kun hänen tiedoistaan opiskelijarekisterissä löytyy vähintään yksi opiskeluoikeus, joka

  • alkaa viimeistään seuraavan lukukauden alussa
  • ei ole valmistunut
  • ei ole keskeytetty
  • jolle on ilmoittauduttu kulumassa olevalle tai seuraavalle lukukaudelle hyväksyttävällä läsnäolo- tai poissaolotiedolla
  • tai hänellä on voimassaoleva avoimen yliopiston opiskeluoikeus

Opiskelijan opiskeluoikeus on voimassa seuraavan lukukauden ilmoittautumisen päättymispäivämäärään asti ilman erillistä ilmoitusta. Jos opiskelija ei ilmoittautumisen päättymispäivään mennessä anna hyväksyttävää läsnäolo- tai poissaoloilmoitusta, hän menettää opiskeluoikeutensa.

Opiskelijan käyttäjätunnus on voimassa seitsemän vuorokautta opiskeluoikeuden päättymispäivämäärästä tai siitä päivämäärästä, joka on kirjattu opiskelijarekisteriin valmistumis- tai keskeytyspäivämääräksi.

1.2. Henkilökuntarekisteri

Integraatiopalvelut tuovat henkilöstörekistereistä IdMään tarvittavat tiedot vähintään kerran vuorokaudessa.

1.2.1. Uusi työntekijä

Uuden työntekijän tiedot saadaan henkilöstörekisteristä heti, kun ne on sinne kirjattu ja hänelle tehdään automaattisesti käyttäjätunnus ja sähköpostiosoite, jos hänellä ei vielä ole käyttäjätunnusta. Henkilökunnan peruskäyttövaltuudet tehdään aikaisintaan 3 päivää ennen palvelujakson alkua.

1.2.2. Työntekijän tiedoissa tapahtuu muutos

Henkilöstörekisterissä tapahtuneet muutokset päivittyvät seuraavassa integraatioajossa IdM:ään. Jos määräaikainen henkilö saa jatkosopimuksen, jatketaan hänen käyttäjätunnuksensa voimassaoloa automaattisesti henkilöstörekisterin perusteella. Nimen muuttuessa nimimuotoinen sähköpostiosoite muutetaan, kun henkilö ottaa yhteyttä HelpDeskiin.

1.2.3. Työntekijä lakkaa olemasta työntekijä

Työntekijä lakkaa olemasta työntekijä, kun hänellä ei ole voimassaolevaa työsopimusta. Tällöin myös oikeus käyttäjätunnukseen päättyy tämän roolin perusteella. Tunnus sulkeutuu automaattisesti työsuhteen päätyttyä seitsemän vuorokauden kuluttua.

1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus

Käyttäjätunnus voidaan antaa myös Tampereen korkeakoulusäätiön ulkopuolisille henkilöille, joilla on jokin asiallinen yhteys TKS:öön ja jotka perustellulla syyllä tarvitsevat käyttäjätunnusta. Tavallisimpia ryhmiä ovat emeritukset ja erilaiset tutkijat, joiden rooli on henkilökuntaan rinnastettava. Nämä tunnukset tehdään henkilöstörekisteriin tallennettavien emeritus- ja resurssisopimusten perusteella. Lisäksi voi olla henkilöitä vierailija-roolissa, heidän vierailijasopimuksensa tallennetaan HR-järjestelmään. Kaikki nämä sopimukset ovat määräaikaisia, korkeintaan 2 vuotta ja niihin vaaditaan vastuuhenkilö ja niiden myöntämisestä päättää yksikön vastuuhenkilö tai hänen valtuuttamansa henkilö.

Integraatiopalvelut tuovat henkilöstörekistereistä ym. sopimuksista tarvittavat tiedot IdMään vähintään kerran vuorokaudessa.

Sellaiset käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-infrastruktuurin tarkoittamia loppukäyttäjiä Tampereen korkeakoulusäätiössä, eikä heidän kirjautumistaan Identity Provider -palvelimen kautta palveluihin sallita.

2. Henkilöllisyyden todentaminen

2.1. Käyttäjätunnuksen antamisen yhteydessä

Uuden käyttäjän täytyy vaihtaa käyttäjätunnuksensa salasana ja hyväksyttävä käyttösäännöt, jotta hän saa tunnuksen käyttöönsä. Hän voi kirjautua aktivointisovellukseen joko suomi.fi tunnistautumispalvelun avulla tai kertakäyttösalasanalla, jonka hän saa HelpDeskistä todistettuaan henkilöllisyytensä.

Uusi tunnus on käytettävissä, kun henkilö on vaihtanut sen salasanan ja hyväksynyt käyttösäännöt.

2.2. Kun käyttäjä kirjautuu käyttäjätunnuksensa avulla

Salasana on oltava 10-40 merkkiä ja sille tehdään määrätyt laatutarkistukset. Suomi.fi kirjautumista tai HelpDeskistä saatavaa kertakäyttösalasanaa voidaan käyttää vaihdettaussa unohtunutta salasanaa. Salasana vanhenee 210 päivän välein.

Laatutarkistukset:

  • Merkkivalikoima
    • Kirjainkoosta riippuvat (case-sensitiiviset) alfanumeeriset symbolit: a-z, A-Z, 0-9
    • Ei skandeja eikä välilyöntiä
    • Ei tabulointia eikä ctrl-merkkejä
    • Ei näppäinyhdistelmää vaativia merkkejä (dead key characters)
    • Täytyy sisältää kaikista vähintään yhden merkin seuraavista ryhmistä: pieni kirjain (a-z), iso kirjain (A-Z) tai numero (0-9)
  • Ei saa sisältää osaa nimestäsi tai käyttäjätunnuksestasi.
  • Salasanahistoria muistaa viisi edellistä salasanaa.
  • Salasanan minimivaihtoväli on yksi päivä.

Salasana ei saa muistuttaa liiaksi vanhaa.

3. Käyttäjätietokannassa saatavilla olevat tiedot

Lisätietoja funetEduPerson-skeemasta on täällä.

Rasti kohtaan "Saatavuus", jos kyseinen henkilötieto on ajantasalla ja siten saatavilla Identity Provider -palvelimen yli.
Kohtaan "Miten ajantasaisuus turvataan" esimerkiksi viittaus luvun 1. järjestelmiin.

Jos organisaatiolla on omia (ei siis funetEduPersonin mukaisia) attribuutteja, jotka näkyvät ulospäin Identity Provider-palvelimesta, lisää ne taulukon loppuun. Tarvittaessa linkki dokumenttiin, joka tarkemmin kuvailee omien attribuuttien skeeman.

Lista attribuuteista

Attribuutti Saatavuus Miten ajantasaisuus turvataan Muuta (esim. tulkintaohje)
cn / commonName X 1.1, 1.2, 1.3 Kutsumanimi Sukunimi
description      
displayName X 1.1, 1.2, 1.3 Kutsumanimi Sukunimi
employeeNumber X 1.2 Vain henkilökunnalla 
facsimileTelephoneNumber      
givenName X 1.1, 1.2, 1.3 Kutsumanimi
homePhone      
homePostalAddress      
jpegPhoto      
l / localityName      
labeledURI      
mail X 1.1, 1.2, 1.3 Ensisijainen sähköpostiosoite
mobile X    
o / organizationName X vakio  
ou / organizationalUnitName   1.1, 1.2, 1.3  
postalAddress      
postalCode      
preferredLanguage X 1.1, 1.2, 1.3  fi tai en 
seeAlso      
sn / surname X 1.1, 1.2, 1.3  sukunimi
street      
telephoneNumber      
title X 1.2  Tieto vain työntekijällä 
uid X muuttumaton  
userCertificate      
nationalIdentificationNumber (hetu) X 1.1, 1.2, 1.3  
eduPersonAffiliation X 1.1, 1.2, 1.3  Student, Faculty, Staff, Employee, Member, Affiliate
eduPersonEntitlement X 1.1, 1.2, 1.3    
eduPersonNickName      
eduPersonOrgDN      
eduPersonOrgUnitDN      
eduPersonPrimaryAffiliation X 1.1, 1.2, 1.3  Student, Faculty, Staff, Member, Affiliate  
eduPersonPrimaryOrgUnitDN X 1.1, 1.2, 1.3   
eduPersonPrincipalName X 1.1, 1.2, 1.3  tunnus@tuni.fi
eduPersonScopedAddiliation X 1.1, 1.2, 1.3   
eduPersonTargetedID X    
schacMotherTongue X 1.1 Äidinkieli (vain opiskelija)
schacGender 1.1, 1.2, 1.3  Sukupuoli
schacDateOfBirth X 1.1, 1.2, 1.3  Syntymäpäivä
schacPlaceOfBirth      
schacCountryOfCitizenship X 1.1 Kansalaisuus (vain opiskelija)
schacHomeOrganization X vakio tuni.fi

schacHomeOrganizationType 1.1, 1.2, 1.3   urn:schac:homeOrganizationType:fi:university  tai urn:schac:homeOrganizationType:fi:polytechnic   
schacCountryOfResidence      
schacUserPresenceID      
schacPersonalUniqueCode X 1.1  (vain opiskelija) 
schacPersonalUniqueID      
schacUserStatus      
funetEduPersonTargetDegree X 1.1 Suoritettava tutkinto (vain opiskelija)
funetEduPersonProgram      
funetEduPersonSpecialisation      
funetEduPersonStudyStart      
funetEduPersonPrimaryStudyStart      
funetEduPersonStudyToEnd      
funetEduPersonPrimaryStudyToEnd      
funetEduPersonCreditUnits      
funetEduPersonECTS      
funetEduPersonStudentCategory X 1.1  (vain opiskelija)
funetEduPersonStudentStatus X 1.1 Läsnäolotieto (vain opiskelija)
funetEduPersonStudentUnion X 1.1 Mikä arvo on käytössä? (vain opiskelija)
funetEduPersonHomeCity X 1.1 Kotikunta (vain opiskelija)
funetEduPersonEPPNTimeStamp      
funetEduPersonLeanderID X 1.1 OppijaID (vain opiskelija)
funetEduPersonGivenNames X 1.1, 1.2, 1.3   Kutsumanimi

4. Muuta

4.1. Kardinaliteetit

Käyttäjällä on vain yksi käyttäjätunnus, johon on liitetty tieto kaikista rooleista ja käyttövaltuuksista. Poikkeustapauksissa käyttäjällä voi olla kaksi tai useampia käyttäjätunnuksia, tällaiset poikkeukset ovat ylläpitohenkilökuntaa.

4.2. EduPersonPrincipalNamen revokointi ja kierrätys

EduPersonPrincipalName ei vaihdu

EduPersonPrincipalName arvoja ei kierrätetä, ne jäädytetään pysyvästi.