AMK käyt­tä­jä­hal­lin­non kuvaus

Versio	Tekijä	Päiväys
0.1	OP, TH	14.11.2006
0.2	OP, TH	12.1.2007
0.3	OP	28.6.2007
0.5	TH, OP (1.3 tarkennus)	26.10.2007
0.6	OP, TH (prima­ry­Af­fi­lia­tion)	27.9.2013
0.7	OP, TH (Kare­lian tekstiversio)	25.6.2015
0.8	TH	12.3.2018
0.9	TH	10.9.2020
1.0	TH, JV	10.2.2022

Tässä doku­men­tissa ollaan kiin­nos­tu­neita käyt­tä­jä­tie­to­kan­nan ja sen tieto­jen ajan­ta­sai­suu­den toteu­tuk­sen ylei­sistä peri­aat­teista sellai­sella tasolla, joka antaa riit­tä­vät tiedot käyt­tä­jä­tie­to­jen laadun ja ajan­ta­sai­suu­den arvioimiseksi.

Kotior­ga­ni­saa­tio asettaa tämän doku­men­tin www:hen kaik­kien saata­ville ja päivit­tää sitä oma-aloit­tei­sesti, kun muutok­sia tulee. Doku­mentti linki­te­tään Haka-infra­struk­tuu­rin kotisivulta.

Tässä doku­men­tissa käyt­tä­jä­tie­to­kan­nalla tarkoi­te­taan sitä loppu­käyt­tä­jien attri­buut­tien joukkoa, johon orga­ni­saa­tion Iden­tity Provi­der-palve­lin tukeu­tuu. Käyt­tä­jä­tie­to­kan­nan tekni­nen toteu­tus voi olla esim. LDAP-hake­misto tai relaa­tio­tie­to­kanta, tai niiden yhdis­telmä niin, että Iden­tity Provi­der -palve­lin noutaa osan attri­buu­teista LDAP­ha­ke­mis­tosta ja osan JDBC:n yli opiskelijarekisteristä.

1. Käyt­tä­jä­tie­to­kan­nan ja perus­re­kis­te­rei­den kytkentä

1.1. Opis­ke­li­ja­re­kis­teri

Lähtö­ole­tuk­sena on, että opis­ke­li­ja­re­kis­te­rin henki­lö­tie­dot ovat ajan tasalla. Miten käyt­tä­jä­tie­to­kanta on kytketty opiskelijarekisteriin?

Opis­ke­li­joi­den tiedot synk­ro­noi­daan opis­ke­li­ja­hal­lin­to­jär­jes­tel­mästä (Peppi) keski­tet­tyyn käyt­tä­jä­ha­ke­mis­toon Active Direc­to­ryyn (AD). Opis­ke­li­ja­pal­ve­lu­jen henki­löstö yllä­pi­tää opis­ke­li­joi­den tietoja. Pepin tiedot päivit­ty­vät kerran vuoro­kau­dessa ns. connec­to­rien avulla keski­tet­tyyn käyttäjähakemistoon.

1.1.1. Uusi opiskelija

Miten uuden opis­ke­li­jan tiedot päivit­ty­vät opis­ke­li­ja­re­kis­te­ristä käyt­tä­jä­tie­to­kan­taan?
Koska uusi opis­ke­lija saa käyttäjätunnuksen/opiskelijaroolin?
Mitä tunnuk­selle tapah­tuu, jos uusi opis­ke­lija ei ota opis­ke­lu­paik­kaa vastaan, tai ottaa paikan vastaan mutta ilmoit­tau­tuu poissaolevaksi?

Opis­ke­li­ja­pal­ve­lut lisää­vät uuden opis­ke­li­jan opis­ke­li­ja­re­kis­te­riin, tieto siirtyy käyt­tä­jä­tie­to­kan­taan kerran vuoro­kau­dessa tapah­tu­vien eräajo­jen avulla. Opis­ke­li­ja­re­kis­te­ristä saata­vien tieto­jen perus­teella opis­ke­li­jalle gene­roi­daan Kare­lia­tun­nus ja sähkö­pos­tio­soite. Ottaes­saan opis­ke­lu­pai­kan vastaan uusi opis­ke­lija sitou­tuu noudat­ta­maan oppi­lai­tok­sen määrit­te­le­miä sään­töjä. Opis­ke­lija voi akti­voida käyt­tä­jä­tun­nuk­sen tunnus-
hallin­non palve­lussa mobii­li­var­men­teella tai pank­ki­tun­nuk­silla. Opis­ke­lija voi käydä myös Help­des­kissä todis­ta­massa henki­löl­li­syy­tensä viral­li­sen henki­lö­asia­kir­jan kanssa tai Help­desk tunnis­taa henki­lön video­yh­tey­den yli kuval­li­sesta henki­löl­li­syys­to­dis­tuk­sesta, jonka jälkeen Help­desk aktivoi tunnuk­sen. Pois­sao­le­vaksi ilmoit­tau­tu­neen opis­ke­li­jan Kare­lia­tun­nus on aktii­vi­nen, pois­sao­lo­kausi huomioi­daan
eduPer­so­nAf­fi­lia­tion ja eduPer­sonPri­ma­ry­Af­fi­lia­tion –attri­buu­teissa.

1.1.2. Opis­ke­li­jan tiedoissa tapah­tuu muutos

Miten opis­ke­li­jan muut­tu­neet tiedot päivit­ty­vät opis­ke­li­ja­re­kis­te­ristä käyttäjätietokantaan?

Tiedot päivit­ty­vät kerran vuoro­kau­dessa opis­ke­li­ja­re­kis­te­ristä keski­tet­tyyn käyttäjähakemistoon.

1.1.3. Opis­ke­lija lakkaa olemasta opiskelija

Koska orga­ni­saa­tio (esim. opin­toa­siain­hal­linto) katsoo, että opis­ke­lija lakkaa olemasta opis­ke­lija
a) sen jälkeen kun opis­ke­lija valmis­tuu?
b) sen jälkeen kun luku­kausi vaihtuu, ja opis­ke­lija ei ole ilmoit­tau­tu­nut läsnä olevaksi?
c) sen jälkeen kun opis­ke­lija ilmoit­taa keskeyt­tä­vänsä opinnot?

Kuinka kauan yllä olevien tapah­tu­mien jälkeen kestää, että orga­ni­saa­tio (esim. tieto­hal­linto) sulkee opis­ke­li­jan käyt­tä­jä­tun­nuk­sen tai poistaa opiskelijaroolin?

Opis­ke­lija lakkaa olemasta opis­ke­lija, kun hän valmis­tuu, eroaa, opis­ke­luoi­keus päättyy tai kun opis­ke­lija ei ole ilmoit­tau­tu­nut läsnä olevaksi opis­ke­li­jaksi. Tutkin­toon valmis­tu­neen opis­ke­li­jan käyt­tä­jä­tun­nus on voimassa 14 vuoro­kautta valmis­tu­mis­päi­västä. Muussa kuin edellä maini­tuissa tapauk­sessa opis­ke­li­jan käyt­tä­jä­tun­nus asete­taan ”ei käytössä” -tilaan ja opis­ke­li­ja­rooli pois­te­taan 1 vrk:n kuluessa opis­ke­luoi­keu­den päättymisestä.

1.2. Henki­lö­kun­ta­re­kis­teri

Henki­lö­kun­nan osalta toimi­taan vastaa­vasti kuin edellä. Henki­lö­kun­nan tiedot saadaan henki­lös­tö­hal­lin­non yllä­pi­tä­mästä HR-tieto­jär­jes­tel­mästä (Perso­nec).

1.2.1. Uusi työntekijä

Uuden työn­te­ki­jän tiedot saadaan HR-tieto­jär­jes­tel­mästä sen jälkeen kun työso­pi­mus­pro­sessi on valmis­tu­nut. HR:stä saatu­jen tieto­jen perus­tella muodos­tuu työn­te­ki­jälle Kare­lia­tun­nus ja sähkö­pos­tio­soite. Jos työn­te­kijä on ollut aiemmin Kare­liassa työn­te­ki­jänä, saa hän käyt­töönsä aiemman Kare­lia­tun­nuk­sen. Uusi työn­te­kijä voi saada Kare­lia­tun­nuk­sen ennen työso­pi­muk­sen alkua, mikäli esihen­kilö katsoo sen tarpeel­li­seksi työteh­tä­vien, kuten opetuk­sen valmis­te­lu­teh­tä­vien vuoksi. Esihen­kilö tai hänen ilmoit­ta­mansa henkilö luovut­taa työn­te­ki­jälle käyt­tä­jä­tun­nuk­siin liit­ty­vät tiedot. Työn­te­ki­jän Kare­lia­tun­nus on mahdol­lista akti­voida tunnus­hal­lin­non palve­lussa mobii­li­var­men­teella tai pank­ki­tun­nuk­silla. Työn­te­kijä voi käydä myös Help­des­kissä osoit­ta­massa henki­löl­li­syy­tensä viral­li­sen henki­lö­asia­kir­jan kanssa, jonka jälkeen Help­desk aktivoi tunnuksen.

1.2.2. Työn­te­ki­jän tiedoissa tapah­tuu muutos

Työn­te­ki­jän työsuh­teen päät­ty­mis­päi­vä­määrä päivit­tyy HR-järjes­tel­män tieto­jen perus­teella käyttäjähakemistoon.

1.2.3. Työn­te­kijä lakkaa olemasta työntekijä

Henki­lös­tö­hal­lin­non järjes­tel­mästä saadaan henki­lön työsuh­teen päät­ty­mis­päivä, jolloin henki­lön käyt­tä­jä­tun­nus muuttuu ”ei käytössä”-tilaan. Tiedot päivit­ty­vät kerran vuorokaudessa.

1.3. Muut käyt­tä­jät ja heidän henki­lö­tie­to­jensa ajantasaisuus

Onko orga­ni­saa­tiossa vielä jotain muita käyt­tä­jiä, joilla on käyt­tä­jä­tun­nus ja jotka voivat kirjau­tua Iden­tity Provi­der -palve­li­men kautta Haka-infra­struk­tuu­rin palve­lui­hin (Suomen Akate­mian tutki­jat? Ravin­to­la­hen­ki­lö­kunta? Sivii­li­pal­ve­lus­mie­het? Dosen­tit? Alumnit? Emeri­tuk­set? Kirjas­ton asiak­kaat?). Minkä­lai­nen haku- ja hyväk­sy­mis­me­net­tely näihin tunnuk­siin liittyy? Miten heidän käyt­tä­jä­tie­to­jensa ajan­ta­sai­suus ja sulkeutuminen/roolitiedon päivit­ty­mi­nen on varmistettu?

Sellai­set käyt­tä­jät, jotka eivät ole luon­nol­li­sia henki­löitä (esim. aine­jär­jes­töt), eivät ole myös­kään Haka-infra­struk­tuu­rin tarkoit­ta­mia loppu­käyt­tä­jiä, eikä heidän kirjau­tu­mis­taan Iden­tity Provi­der -palve­li­men kautta palve­lui­hin tule sallia.

Käyt­tö­lu­pien myön­tä­mi­sestä päät­tä­vät yksi­köi­den esihen­ki­löt. Muita tunnuk­sia voivat pyytää yksi­köi­den esihen­ki­löt tai ylin johto teke­mällä tunnus­pyyn­nön Help­desk-järjes­tel­mään. Muihin käyt­tä­jiin luetaan vierai­le­vat luen­noit­si­jat, harjoit­te­li­jat, tieto­jär­jes­tel­mä­toi­mit­ta­jat, palve­lu­toi­mit­ta­jat ja sellai­set yhteis­työ­kump­pa­nit, joilla ei ole työsuh­detta orga­ni­saa­tiossa, mutta jotka kuiten­kin tarvit­se­vat tunnuk­sen työteh­tä­vän tai projek­tiin osal­lis­tu­mi­sen vuoksi.

Muut tunnuk­set tehdään aina määrä­ajaksi ja ne saavat eduPer­so­nAf­fi­lia­tion arvon ”Affi­liate”.

Kun uusi tunnus tehdään ryhmään muut tunnuk­set, voi sen voimas­sao­loksi määrit­tää korkein­taan yksi vuosi eteen­päin. Mikäli muut käyt­tä­jät -ryhmään kuulu­van tunnuk­sen käyt­tö­tarve lakkaa aiemmin kuin on arvioitu tunnusta myön­net­täessä, tunnuk­sesta vastaava henkilö ilmoit­taa päät­ty­mis­päi­vä­mää­rän Help­des­kiin. Muut käyt­tä­jät -ryhmään kuulu­ville tunnuk­sille määri­te­tään aina vastuuhenkilö.

2. Henki­löl­li­syy­den todentaminen

2.1. Käyt­tä­jä­tun­nuk­sen anta­mi­sen yhteydessä

Millä tavalla uuden käyt­tä­jän henki­löl­li­syys toden­ne­taan, kun hänelle anne­taan käyttäjätunnus?

Kare­lia­tun­nus on mahdol­lista akti­voida verk­ko­pal­ve­lussa sähköi­sesti tai henki­lö­koh­tai­sella käyn­nillä Help­des­kissä todis­ta­malla henki­löl­li­syys kuval­li­sella henkilöasiakirjalla.

2.2. Kun käyt­täjä kirjau­tuu käyt­tä­jä­tun­nuk­sensa avulla

Sala­sa­na­to­den­nuk­seen liit­ty­vät laatu­vaa­ti­muk­set.
Mahdol­li­set käytet­tä­vissä olevat sala­sa­naa tuke­vam­mat autentikointimenetelmät.

Sala­sa­nan mini­mi­pi­tuus on 15 merkkiä, sala­sa­nassa tulee olla merk­kejä vähin­tään kolmesta eri merk­ki­ryh­mästä. Sala­sa­nan vaih­to­väli 9 kk.

3. Käyt­tä­jä­tie­to­kan­nassa saata­villa olevat tiedot

Lisä­tie­toja fune­tE­du­Per­son-skee­masta (ver 2.4) on täällä.

Rasti kohtaan ”Saata­vuus”, jos kysei­nen henki­lö­tieto on ajan tasalla ja siten saata­villa Iden­tity Provi­der -palve­li­men yli. Kohtaan ”Miten ajan­ta­sai­suus turva­taan” esimer­kiksi viit­taus luvun 1. järjestelmiin.

Jos orga­ni­saa­tiolla on omia (ei siis fune­tE­du­Per­so­nin mukai­sia) attri­buut­teja, jotka näkyvät ulos­päin Iden­tity Provi­der-palve­li­mesta, lisää ne taulu­kon loppuun. Tarvit­taessa linkki doku­ment­tiin, joka tarkem­min kuvai­lee omien attri­buut­tien skeeman.

Attri­buutti	Saata­vuus	Miten ajan­ta­sai­suus turvataan	Muuta (esim. tulkintaohje)
cn / commonName	X	rekis­te­reistä kerran vuorokaudessa	MUST
desc­rip­tion	X		henki­lö­kunta
display­Name	X	rekis­te­reistä kerran vuorokaudessa	MUST
emplo­yee­Num­ber	X	rekis­te­reistä kerran vuorokaudessa	henki­lö­kunta
facsi­mi­le­Te­lep­ho­ne­Num­ber
given­Name	X	rekis­te­reistä kerran vuorokaudessa
homeP­hone
home­Pos­ta­lAddress
jpegP­hoto
l / localityName
labe­le­dURI
mail	X	rekis­te­reistä kerran vuorokaudessa
mobile
o / organizationName
ou / organizationalUnitName
posta­lAddress
postalCode
prefer­red­Lan­guage
seeAlso
sn / surname	X	rekis­te­reistä kerran vuorokaudessa	MUST
street
telep­ho­ne­Num­ber
title	X	rekis­te­reistä kerran vuorokaudessa	henki­lö­kunta
uid	X	rekis­te­reistä kerran vuorokaudessa	MUST
userCer­ti­ficate
eduPer­so­nAf­fi­lia­tion	X	rekis­te­reistä kerran vuorokaudessa	Mitä arvoja on saata­villa? student, faculty, staff, emplo­yee, member, affi­liate, alumn
eduPer­so­nEn­tit­le­ment	X	vakio­tieto	https://info.funet.fi
eduPer­son­Nick­Name
eduPer­so­nOrgDN
eduPer­so­nOr­gU­nitDN
eduPer­sonPri­ma­ry­Af­fi­lia­tion	X	rekis­te­reistä kerran vuorokaudessa	joku näistä: student, faculty, staff, member
eduPer­sonPri­ma­ry­Or­gU­nitDN
eduPer­sonPrinci­pal­Name	X	rekis­te­reistä kerran vuorokaudessa	MUST
eduPer­sonSco­pe­dAf­fi­lia­tion	X	rekis­te­reistä kerran vuorokaudessa
eduPer­son­Tar­ge­te­dID
schac­Mot­her­Ton­gue
schac­Gen­der
schac­Da­teOf­Birth
schacPlaceOf­Birth
schacCount­ry­OfCi­tizens­hip
chac­Ho­meOr­ga­niza­tion	X	vakio­tieto	MUST, Vakio­arvo: pkamk.fi
schac­Ho­meOr­ga­niza­tion­Type	X	vakio­tieto	MUST, Vakio­arvo: fi:polytechnic
chacCount­ry­OfRe­si­dence
schacUserPre­senceID
schac­Per­so­na­lU­niqueCode
schac­Per­so­na­lU­niqueID	X	rekis­te­reistä kerran vuorokaudessa
schacUserS­ta­tus
fune­tE­du­Per­son­Ho­meOr­ga­niza­tion			super­se­ded
fune­tE­du­Per­sonS­tu­den­tID			super­se­ded
fune­tE­du­Per­so­nI­den­ti­tyCode			super­se­ded
fune­tE­du­Per­son­Da­teOf­Birth			super­se­ded
fune­tE­du­Per­son­Tar­get­Degree­Uni­ver­sity			super­se­ded
fune­tE­du­Per­son­Tar­get­Degree­Po­ly­tech			super­se­ded
fune­tE­du­Per­son­Tar­get­Degree
fune­tE­du­Per­so­nE­duca­tio­nal­Pro­gra­mU­niv			super­se­ded
funetEduPersonEducationalProgramPolytech			super­se­ded
fune­tE­du­Per­son­Pro­gram
fune­tE­du­Per­son­Ma­jo­rU­niv			super­se­ded
fune­tE­du­Per­so­nO­rien­ta­tio­nAl­tern­Po­ly­tech			super­se­ded
fune­tE­du­Per­sonS­pecia­li­sa­tion
fune­tE­du­Per­sonS­tu­dyS­tart
fune­tE­du­Per­sonPri­ma­ryS­tu­dyS­tart
fune­tE­du­Per­sonS­tu­dy­ToEnd
fune­tE­du­Per­sonPri­ma­ryS­tu­dy­ToEnd
fune­tE­du­Per­sonC­re­di­tU­nits
fune­tE­du­Per­so­nECTS
fune­tE­du­Per­sonS­tu­dentCa­te­gory
fune­tE­du­Per­sonS­tu­dentS­ta­tus
fune­tE­du­Per­sonS­tu­den­tU­nion
fune­tE­du­Per­son­Ho­meCity
fune­tE­du­Per­so­nEPPN­Ti­meS­tamp
fune­tE­du­Per­son­Gi­ven­Na­mes	X	rekis­te­reistä kerran vuorokaudessa
fune­tE­du­Per­son­Full­Name	X	rekis­te­reistä kerran vuorokaudessa
fune­tE­du­Per­son­Lear­ne­rId	X	rekis­te­reistä kerran vuorokaudessa

4. Muuta

4.1. Kardi­na­li­tee­tit

Yksi henki­löl­li­syys per tosie­lä­män käyt­täjä, vai
Yksi henki­löl­li­syys per rooli (esim. opis­ke­lija-työn­te­ki­jällä kaksi käyttäjätunnusta)?

Yksi käyt­tä­jä­tun­nus per rooli. Jos henkilö on opis­ke­lija sekä työn­te­kijä, on hänellä kaksi käyttäjätunnusta.

4.2. EduPer­sonPrinci­pal­Na­men revo­kointi ja kierrätys

Voiko eduPer­sonPrinci­pal­Name vaihtua?
Millä tavalla orga­ni­saa­tio kier­rät­tää vapau­tu­neita eduPersonPrincipalName-arvoja?

eduPer­sonPrinci­pal­Name muuttuu vain perus­tel­lusta syystä (esim. suku­ni­men vaih­tu­mi­nen henki­lö­kun­nalla). Jos opis­ke­li­jasta tulee työn­te­kijä, muuttuu eduPer­sonPrinci­pal­Name. eduPer­sonPrinci­pal­Name-arvoja ei kier­rä­tetä henki­löltä toiselle henki­lölle. Henkilö voi saada saman ePPN arvon kuin hänellä on ollut aiemmin käytössään.