Haka-infrastruktuuri

Kotiorganisaation käyttäjähallinnon kuvaus

Versio

Tekijä

Päiväys

0.1

hh

24.9.07

0.2

hh

19.10.07

0.3

hh

23.11.07

0.4

hh

30.09.10



1. Käyttäjätietokannan ja perusrekistereiden kytkentä

1.1. Opiskelijarekisteri

Käyttäjätietokannan tiedot perustuvat opiskelijarekisterin (Oodi) tietoihin. Opiskelijoiden tärkeimmät tiedot päivitetään opiskelijarekisteristä (Oodi) eräajona päivittäin. Oodin tietojen oletetaan olevan oikeita ja ajantasaisia.

Opiskelijoiden tiedot siirrettään Oodista käyttäjärekisteriin kerran vuorokaudessa. Opiskelijoiden sähköpostiosoitteet Oodissa päivitetään samoin kerran vuorokaudessa.

1.1.1. Uusi opiskelija

Uuden opiskelijan tiedot siirretään eräajona opiskelijarekisteristä (Oodi) ja yhteishakurekisteristä (HaRek), kun opiskelijavalinta on päättynyt ja opiskelupaikkojen vastaanotot rekisteröity. Käyttäjätunnukset luodaan siirrettyjen tietojen perusteella automaattisesti.

Opiskelija saa käyttäjätunnuksensa ilmoittauduttuaan yliopistolle. Opiskelijarooli on voimassa heti. Jos opiskelija ei ota vahvistettua opiskelupaikkaa vastaan, tunnus poistetaan ilmoittautumisajan päätyttyä, mutta tunnus ja opiskelijanumero jäävät varatuiksi.

Poissaolevaksi ilmoittautuneen opiskelijan käyttäjätunnus pysyy voimassa, mutta käyttö ei ole mahdollista.


1.1.2. Opiskelijan tiedoissa tapahtuu muutos

Opiskelijan tietojen käyttöoikeuteen vaikuttavat muutokset (läsnä/poissaolo, valmistuminen, keskeyttäminen jne.) päivittyvät eräajossa käyttäjärekisteriin. Lisäksi käyttäjätietoja voidaan myös opintotoimiston sähköpostitse tekemien kiireellisten muutosilmoitusten perusteella (jälki-ilmoittautuminen, keskeyttäminen, eroaminen, nimenmuutokset jne.) milloin tahansa.

1.1.3. Opiskelija lakkaa olemasta opiskelija

Opiskelija-status lakkaa samalla hetkellä kuin opiskelija valmistuu tai keskeyttää opintonsa. Opiskelija, joka ei ole ilmoittautumisajan loppuun mennessä ilmoittautunut läsnäolevaksi, poistetaan yliopiston kirjoista ja hän menettää käyttöoikeutensa ja opiskelija-statuksensa kuten opintonsa keskeyttänyt. Poissaolevalla opiskelijalla säilyy opiskelijastatus, mutta tunnus on lukittu koko poissaolojakson ajan.

Opiskelijan tunnus sulkeutuu kaikissa tapauksissa viimeistään viikon kuluttua valmistumisesta, opintojen keskeyttämisestä tai ilmoittautumisajan päättymisestä, jos opiskelija ei ole ilmoittautunut läsnäolevaksi. Erityisistä syistä opiskelija voi saada käyttää tunnustaan opinto-oikeuden päättymisen jälkeen esim. tiedostojen tai sähköpostien siirtämiseen muualle, mutta ilman opiskelija-statusta enintään viikon ajan.

1.2. Henkilökuntarekisteri

Käyttäjätietokannan tiedot perustuvat henkilökuntarekisterin (Personec) tietoihin. Tärkeimmät tiedot päivitetään eräajona päivittäin. Personecin tietojen oletetaan olevan oikeita ja ajantasaisia.

1.2.1. Uusi työntekijä

Uudelle työntekijälle syntyy käyttäjätunnus automaattisesti, kun hänen työsopimuksensa on kirjattu henkilötietojärjestelmään ja tiedot on siirretty käyttäjätietokantaan. Tunnus voidaan luoda myös esimiehen (laitoksen/yksikön johtaja, dekaani) allekirjoittaman tunnuksenpyyntölomakkeen perusteella. Tunnukset luodaan joko määräaikaisiksi tai toistaiseksi voimassa oleviksi, työsopimuksen tietojen mukaan.

1.2.2. Työntekijän tiedoissa tapahtuu muutos

Työntekijän tietojen käyttöoikeuksiin vaikuttavat muutokset (yliopiston palveluksesta eroaminen, virkavapaus, tehtävien tai aseman muutos) päivittyvät eräajona käyttäjärekisteriin. Lisäksi tietoja päivitetään myös yksikön tekemän ilmoituksen perusteella.

1.2.3. Työntekijä lakkaa olemasta työntekijä

Tunnus sulkeutuu ennalta ilmoitettuna aikana tai yksikön tai työntekijän omasta pyynnöstä. Tunnus suljetaan ennen ilmoitettua aikaa, kun yksikkö ilmoittaa työsuhteen (tai vastaavan) päättymisestä muuttamalla tunnuksen voimassaoloaikaa. Ylläpitoajo lukitsee tunnuksen (salasanan) kun voimassaoloaika on päättynyt. Tunnus ja sen omistamat tiedostot poistetaan seuraavassa poistoajossa. Erityisistä syistä tunnuksen käyttö voidaan sallia viikon ajaksi työsuhteen päättymisen jälkeen esimerkiksi henkilökohtaisen postin muualle siirtämistä varten.

1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus

IdP-palvelimen kautta kirjautuminen on periaatteessa mahdollista myös eräille muille käyttäjäryhmille kuin opiskelijoille ja henkilökunnalle. Näitä ryhmiä ovat Suomen Akatemian tutkijat, apurahatutkijat, yliopiston dosentit ja emeritukset, eräiden toisten yliopistojen Vaasassa opintoja suorittavat opiskelijat (HY/oik [oma yksikkö Vaasassa], OY/Kajaani [lähettää sivuaineopiskelijoita]), eräiden yhteistyökumppaneiden työntekijät (siivous- ja kiinteistöhuolto, ravintolat) sekä harjoittelijat ja siviilipalvelusmiehet silloin kun he ovat työntekijöihin rinnastettavissa tehtävissä.

Näiden ryhmien eduPersonAffiliation-attribuutin arvoina on joko member (esim. dosentit, emeritukset, yhteistyökumppaneiden työntekijät) tai affiliate (HY:n yksikön opiskelijat). Harjoittelijoita ja siviilipalvelusmiehiä, jotka toimivat työntekijöihin rinnastettavissa tehtävissä, käsitellään kuten yliopiston työntekijöitä.

Tutkijoiden, dosenttien ja emeritusten tunnukset käsitellään samalla tavoin kuin yliopiston oma henkilökunta (yksikön johtaja tai työnantajan edustaja allekirjoittaa tunnustilauksen), tietohallintojohtaja hyväksyy yhteistyökumppaneiden työntekijöiden tunnustilaukset. Tunnukset ovat voimassa yksikön ilmoituksen mukaiseen päättymispäivään tai vuosi/puoli vuotta kerrallaan, yksikön vahvistuksen perusteella.

HY:n oikeustieteellisen koulutuksen opiskelijoille luodaan tunnuksen HY:n antamien tietojen perusteella, Oulun yliopiston Kajaanin yksikön opiskelijat käsitellään kuten yliopiston omat opiskelijat. Voimassaolo päättyy opintojen päättyessä tai keskeytyessä.

2. Henkilöllisyyden todentaminen

2.1. Käyttäjätunnuksen antamisen yhteydessä

Jos käyttäjä ei ole ennestään tunnettu henkilö, hänen on todistettava henkilöllisyytensä jollain virallisella henkilötodistuksella (henkilökortti, passi, muu Schengen-alueella hyväksytty matkustusasiakirja). Opiskelijoilta vaaditaan lisäksi opiskelijakortti, jossa oltava kuluvan lukukauden ilmoittautumistarra.

2.2. Kun käyttäjä kirjautuu käyttäjätunnuksensa avulla

Salasanan on oltava vähintään 8 merkkiä pitkä ja sen tulee sisältää myös muita merkkejä kuin kirjaimia. Saman tunnuksen ja salasanan käyttäminen Oodiin kirjautumiseen asettaa salasanalle joitakin ainakin periaatteessa salasanaa heikentäviä vaatimuksia (vain 7-bitin ASCII-merkit sallittu). Tämä ongelma poistuu viimeistään silloin, kun Oodin autentikointiin aletaan käyttää Shibbolethia.

3. Käyttäjätietokannassa saatavilla olevat tiedot

Attribuutti

Saatavuus

Ajantasaisuuden turvaaminen

Muuta

cn / commonName

  X

  päivitys kerran  vuorokaudessa

 MUST

description

 

 

 

displayName

  X

  päivitys kerran  vuorokaudessa

 MUST

employeeNumber

  X

  päivitys kerran vuorokaudessa

 

givenName

  X

  päivitys kerran  vuorokaudessa

 

homePostalAddress

  X

  päivitys kerran  vuorokaudessa

 

mail

  X

  postijärjestelmä päivittää

 

mobile

  X

  päivitys kerran  vuorokaudessa

 

o / organizationName

 

 

 

ou / organizationalUnitName

  X

  päivitys kerran  vuorokaudessa

  Käytetty sanasto

sn / surname

  X

  päivitys kerran  vuorokaudessa

 MUST

title

  X

  päivitys kerran  vuorokaudessa

 

uid

  X

  käyttäjärekisteristä

 

eduPersonAffiliation

  X

  käyttäjärekisteristä

 affiliate, member, student, employee, staff, faculty

eduPersonEntitlement

 

 

 

eduPersonOrgDN

 

 

 

eduPersonOrgUnitDN

 

 

 

eduPersonPrimaryAffiliation

 

 


eduPersonPrimaryOrgUnitDN

 

 

 

eduPersonPrincipalName

  X

  käyttäjätunnuksen  perusteella  käyttäjärekisteristä

 MUST

eduPersonScopedAffiliation

 

 

 

preferredLanguage

  X

  päivitys kerran  vuorokaudessa

  FI, SE, EN

schacGender

  X

 

 

schacDateOfBirth

  X

 

 

schacHomeOrganization

  X

  uwasa.fi

MUST.

schacHomeOrganizationType

  X

  university

MUST

schacPersonalUniqueCode

  X

  päivitys kerran  vuorokaudessa

 

schacPersonalUniqueID

  X

 

  opiskelijanumero

schacCountryOfCitizenship

  X

 

 kaksikirjaiminen  ISO - 3366-koodi

funetEduPersonHomeCity

  X

  päivitys kerran  vuorokaudessa

 kuntanumero

funetEduPersonTargetDegree

  X

  päivitys kerran  vuorokaudessa

  tilastokeskuksen koodi

funetEduPersonProgram

  X

  päivitys kerran  vuorokaudessa

  tilastokeskuksen koodi

funetEduPersonSpecialisation

  X

  päivitys Oodista kerran vuorokaudessa

  tilastokeskuksen koodi

funetEduPersonEPPNTimeStamp

  X

  käyttäjärekisteristä


funetEduPersonStudentStatus

  X

  päivitys kerran  vuorokaudessa

  present, absent  (+abroad, removed, pending,  tunnus ei toimi näillä  statuksilla)



4. Muuta

4.1. Kardinaliteetit

Yhdellä henkilöllä (esimerkiksi opiskelija-opettaja) voi olla useampia tunnuksia, joilla on tunnuksen roolia vastaavat eduPersonAffiliation-arvot.

4.2. EduPersonPrincipalNamen revokointi ja kierrätys

Käytöstä poistettuja tunnuksia ja vastaavia eduPersonPrincipalName-arvoja ei käytetä uudestaan. Opiskelijoiden tunnukset koostuvat aloitusvuoden tunnuskirjaimesta ja opiskelijanumerosta, muut tunnukset muodostetaan nimistä.

4.3. Muuta

...