Tässä dokumentissa kuvataan Humanistisen ammattikorkeakoulun (Humak) käyttäjähallintoa ja sen ajantasaisuuden toteuttamista. Käyttäjätietokannalla tarkoitetaan loppukäyttäjien attribuuttien joukkoa, johon Humakin Identity Provider ( https://idp.humak.fi ) –palvelin tukeutuu käyttäjien tunnistamiseksi.

Viimeksi päivitetty 28.11.2012
Versio 0.1 Mikael Rosendahl 9.6.2009
Versio 0.2 Mikael Rosendahl 10.6.2009
Versio 0.3 Mikael Rosendahl 19.8.2009
Versio 0.4 Pekka Harjula 28.11.2012

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

1.1. Opiskelijarekisteri

Perusrekisterinä on Humakin oma opiskelijarekisteri HumakPro (HP), johon tallennetaan uusien opiskelijoiden tiedot.
HP:stä uudet tiedot lisätään ja muuttuneet tiedot päivitetään automaattisesti käyttäjähakemistoon Active Directoryyn (AD) 10 minuutin kuluessa.

1.1.1. Uusi opiskelija

Uuden opiskelijan tiedot siirtyvät opiskelijarekisteristä (HP) käyttäjähakemistoon (AD) 10 minuutin sisällä. Näiden perustietojen pohjalta jokaiselle generoidaan käyttäjätunnus ja tilanteesta riippuen myös sähköpostiosoite (muotoaetunimi.sukunimi@humak.edu), jotka aktivoituvat ensimmäisellä käyttökerralla.

Opiskelija saa käyttäjätunnuksensa opintojen alettua yleensä ensimmäisten ATK-tuntien aikana lehtorilta tai muulla sovitulla tavalla. Lehtorille tunnukset toimittaa opintosihteeri.

Tunnus generoidaan opiskelijoille, läsnä oleviksi ilmoittautuneiden lisäksi myös niille jotka ilmoittautuvat heti poissaoleviksi. Tunnuksia ei poissaoleviksi ilmoittautuneille opiskelijoille kuitenkaan luovuteta kuin vasta opintojen alkaessa.

Muut kuin tutkinto-opiskelijat saavat tunnukset vain tarvittaessa. Sähköpostitilin perustuminen riippuu valittavasta kotikampuksesta.

1.1.2. Opiskelijan tiedoissa tapahtuu muutos

Opiskelijan muuttuneet tiedot päivitetään opiskelijarekisteristä käyttäjähakemistoon automaattisesti kerran vuorokaudessa.

1.1.3. Opiskelija lakkaa olemasta opiskelija

Humakin tietojärjestelmissä on syksyn 2008 aikana siirrytty hyödyntämään automatisoitua prosessia, jonka ansioista opintojen päättymisestä seuraa tietojärjestelmien käyttöoikeuksien lakkaaminen määritettyjen sääntöjen ja periaatteiden mukaisesti.

Automatisoitu prosessi tarkoittaa samalla sitä, että ainoaksi manuaaliseksi toimenpiteeksi (opintosihteerille) jää valmistumis- tai keskeyttämispäivämäärän ja keskeyttämissyyn tallentaminen järjestelmään.

Automatisoidun prosessi etenee seuraavalla tavalla (prosessi käynnistyy mikäli käyttäjälle ei jää sellaista roolia mikä edellyttäisi käyttöoikeuksien säilyttämistä järjestelmiin):

  1. Opiskelijalle talletetaan valmistumis- tai keskeytystieto
  2. Järjestelmä lähettää opiskelijalle tallennusta seuraavan päivän aamuna automaattisen viestin sekä sähköpostitse että HumakPron yksityisenä viestinä. Suoritettu toiminto (varoitusviestin lähetys) tallentuu järjestelmään; supervisorit voivat katsoa näitä tietoja HALLINTO-osion toiminnolla ‘Automaattinen lopetusprosessi’.
  3. Automaattinen prosessi tekee muut tarvittavat alla luetellut toimenpiteet 7 päivän kuluttua valmistumis-/keskeyttämispäivämäärästä (klo 5 :00 aamulla):
    1. Poistaa opiskelijan kaikilta niiltä rajatuilta foorumeilta jonka jäsenenä tai omistajana hän on ollut. Lisäksi toiminnon ‘Käyttöliittymän asetukset – Rajatut foorumit’ avulla on mahdollista katsoa käyttäjäkohtaisesti miltä rajatuilta foorumeilta käyttäjä on automaattisen prosessin myötä poistettu (tämä toiminto myös näyttää foorumit joille käyttäjä kuuluu). Lisäksi toiminto mahdollistaa supervisoreille käyttäjän lisäämisen rajatulle foorumille ja käyttäjän poistamisen rajatulta foorumilta.
    2. Poistaa sähköpostialiakset käytöstä (aliakset jäävät sähköpostijärjestelmään mutta ne käsitellään teknisesti siten, että ne eivät ole enää käytössä)
    3. Passivoi AD-tunnuksen (Active Directory)
    4. Kääntää HumakPron käyttöoikeuden pois päältä
    5. Tallettaa tiedot suoritetuista toiminnoista järjestelmään; supervisorit voivat katsoa näitä tietoja HALLINTO-osion toiminnolla ‘Automaattinen lopetusprosessi’.
    6. Näiden toimenpiteiden jälkeen opiskelija ei voi enää kirjautua HumakProhon tai humak.edu –sähköpostiin. Myöskään humak.edu –osoitteeseen lähetetyt viestit eivät mene enää perille vaan lähettäjä saa ilmoituksen tuntemattomasta osoitteesta (User unknown). Sähköpostitilin sisältöä ei kuitenkaan tuhota vielä tässä vaiheessa. Samoin käyttäjän HumakPro-dokumentteja ei tuhota vielä tässä vaiheessa. Mikäli opiskelijalla olisi jostain syystä ollut käytössään humak.fi –tili, tämä lakkaisi toimimasta koska prosessi kääntää AD-tunnuksen pois päältä.
       
  4. Automaattinen prosessi tuhoaa opiskelijan sähköpostitilin sisällön ja HumakProssa olevat dokumentit Tietojärjestelmien käyttösäännöissä määritetyn ajan kuluttua. Tietyt HumakPron dokumentit kuitenkin säilytetään (esim. opinnäytetyötietokannassa olevat tiedostot).

1.2. Henkilökuntarekisteri

Perusrekisterinä on Humakin oma henkilökuntarekisteri HumakPro (HP), johon tallennetaan uusien työntekijöiden tiedot.

HP:stä uudet tiedot lisätään ja muuttuneet tiedot päivitetään automaattisesti käyttäjähakemistoon Active Directoryyn (AD) 10 minuutin kuluessa.

1.2.1. Uusi työntekijä

Uuden työntekijän lisää HumakProhon hallinnon henkilöstösihteeri, joka toimittaa uuden käyttäjätunnuksen ja salasanan uudelle työntekijälle.

1.2.2. Työntekijän tiedoissa tapahtuu muutos

Muuttuneet henkilötiedot päivitetään taloushallinnon rekistereihin, joista ne toimitetaan henkilöstöhallintoon ja henkilöstösihteeri päivittää muuttuneet tiedot HumakProhon. Jos opiskelijasta tulee työntekijä opiskelun aikana, hänet kirjataan henkilöstörekisteriin ja hänen HumakProssa oleviin tietoihin päivitetään tarvittavat henkilökuntatiedot. Henkilö voi olla samanaikaisesti sekä opiskelija että henkilökuntaa.

1.2.3. Työntekijä lakkaa olemasta työntekijä

Henkilöstöhallinnolla on etukäteen tieto työsuhteen alkamisesta ja päättymisestä, joista henkilöstösihteeri pitää kirjaa. Irtisanomis- ja irtisanoutumistapauksissa esimies toimittaa tiedon työsuhteen päättymisestä henkilöstöhallintoon ja henkilöstösihteeri päivittää muuttuneet tiedot HumakProhon. Jos samalle henkilölle tehdään uusi työsopimus hänellä aiemmin ollut käyttäjätunnus avataan.

1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus

Muita tunnuksia hallinnoidaan erikseen, eikä niitä voi käyttää Shibboleth-autentikointiin.

2. Henkilöllisyyden todentaminen

2.1. Käyttäjätunnuksen antamisen yhteydessä

Henkilön todennukseen vaaditaan virallinen henkilötodistus. Tarkistuksen tekee käyttäjätunnuksen luovuttava henkilö. Työntekijän kohdalla tiedot saadaan työsopimuksesta.

2.2. Kun käyttäjä kirjautuu käyttäjätunnuksensa avulla

Salasanatodennuksen laatuvaatimuksena on vähintään 8-merkkinen salasana, joka muodostuu vain alfanumeerisista merkeistä (A-Z, a-z and 0-9) ja tulee sisältää pieniä ja isoja kirjaimia sekä vähintään yhden numeron. Salasana ei saa olla saman kirjaimen toistamista (kuten aaAAaa88) eikä se saa sisältää skandeja (ö, ä, å).

3. Käyttäjätietokannassa saatavilla olevat tiedot

Attribuutti

Saatavuus

Miten ajantasaisuus turvataan

Muuta (esim.tulkintaohje)

cn / commonName

  x

HumakPro (HP) ja henkilöstöhallinto

lähteenä, pysyvä arvo

 MUST

description

 

 

 

displayName

  x

HP lähteenä, pysyvä arvo

 MUST

employeeNumber

 

 

 

facsimileTelephoneNumber

 

 

 

givenName

  x

HP ja henkilöstö hallinto lähteenä

 

homePhone

 

 

 

homePostalAddress

 

 

 

jpegPhoto

 

 

 

l / localityName

 

 

 

labeledURI

 

 

 

mail

  x

AD lähteenä, automatisoitu

 

mobile

 

 

 

o / organizationName

 x

 HP lähteenä

 

ou / organizationalUnitName

 

 

 

postalAddress

 

 

 

postalCode

 

 

 

preferredLanguage

 

 

 

seeAlso

 

 

 

sn / surname

  x

HP ja henkilöstö-
hallinto
lähteenä

 MUST

street

 

 

 

telephoneNumber

 

 

 

title

 x

 HP lähteenä

 

uid

  x

HP lähteenä, ei vaihdu

 

userCertificate

   

eduPersonAffiliation

  x

 Muodostuu käyttäjän HP-roolin perusteella

 

eduPersonEntitlement

 

 

 

eduPersonNickName

 

 

 

eduPersonOrgDN

 

 

 

eduPersonOrgUnitDN

 

 

 

eduPersonPrimaryAffiliation

 

 

 

eduPersonPrimaryOrgUnitDN

 

 

 

eduPersonPrincipalName

  x

Pysyvä

 MUST

eduPersonScopedAddiliation

 

 

 

eduPersonTargetedID

 

 

 

schacMotherTongue

 

 

 

schacGender

 

 

 

schacDateOfBirth

 

 

 

schacPlaceOfBirth

 

 

 

schacCountryOfCitizenship

 

 

 

schacHomeOrganization

  x

Vakio

MUST.
humak.fi

schacHomeOrganizationType

  x

Vakio

MUST
urn:mace:terena.org:schac:
homeOrganizationType:fi:polytechnic

schacCountryOfResidence

 

 

 

schacUserPresenceID

 

 

 

schacPersonalUniqueCode

 

 

 

schacPersonalUniqueID

   

schacUserStatus

   

funetEduPersonHomeOrganization

  

superseded

funetEduPersonStudentID

  

superseded

funetEduPersonIdentityCode

  

superseded

funetEduPersonDateOfBirth

  

superseded

funetEduPersonTargetDegreeUniversity

  

superseded

funetEduPersonTargetDegreePolytech

  

superseded

funetEduPersonTargetDegree

 

 

 

funetEduPersonEducationalProgramUniv

  

superseded

funetEduPersonEducational
ProgramPolytech

  

superseded

funetEduPersonProgram

   

funetEduPersonMajorUniv

  

superseded

funetEduPerson
OrientationAlternPolytech

  

superseded

funetEduPersonSpecialisation

   

funetEduPersonStudyStart

   

funetEduPersonPrimaryStudyStart

   

funetEduPersonStudyToEnd

   

funetEduPersonPrimaryStudyToEnd

   

funetEduPersonCreditUnits

   

funetEduPersonECTS

   

funetEduPersonStudentCategory

   

funetEduPersonStudentStatus

 

 

 

funetEduPersonStudentUnion

   

funetEduPersonHomeCity

   

funetEduPersonEPPNTimeStamp

 x HP lähteenä

 

logout-urlx https://idp.humak.fi/idp/LOGOUT

4. Muuta

4.1. Kardinaliteetit

Käyttäjällä on järjestelmässä yksi henkilöllisyys per tosielämän käyttäjä, mutta käyttäjän rooli voi olla samanaikaisesti sekä opiskelija että henkilökuntaa. Mikäli käyttäjällä on admin -oikeudet henkilökunnan roolissa, hän ei kuitenkaan voi mennä muuttamaan esim. omia opintosuoritusrekisterinsä tietoja.

4.2. EduPersonPrincipalNamen revokointi ja kierrätys

Käyttäjätunnus on pysyvä, eikä sitä vaihdeta (muodostuu sukunimestä etunimestä ja numerosta ns. kasitunnus esim. ankkak01 (Aku Ankka), seuraava Aku Ankka saa tunnuksen ankkak02 jne.). Käyttäjätunnus voidaan kuitenkin vaihtaa esim. nimen muutoksen yhteydessä. Käyttäjä voi myös luopua tunnuksesta ja siihen liittyvistä luvista ja saada tilalle uuden.
Opiskelijan tai henkilökunnan käytössä olleita käyttäjätunnuksia ei kierrätetä.

  • No labels