Haka-käyttäjätunnistusjärjestelmä
1. Johdanto
Maanpuolustuskorkeakoulun käyttäjätunnushallinnosta vastaa korkeakoulun tietohallintoala. Käyttäjätietokannan teknisenä toteutuksena on Windows -verkon käyttäjähakemisto (AD), mistä Identity Provider -palvelin noutaa attribuutit.
2. Käyttäjätietokannan ja perusrekistereiden kytkentä
2.1. Opiskelijarekisteri
Kaikkea opiskelijoihin liittyvää tietoa ylläpidetään opiskelijarekisteri WinhaPro:ssa. Opiskelijarekisteri sijaitsee tällä hetkellä suljetussa ympäristössä, jonka vuoksi rekisterin ja varsinaisen käyttölupatietokannan Windows AD välillä ei ole tietokantalinkkiä. Käyttölupaoikeuksiin vaikuttavat tiedot kustakin opiskelijasta päivitetään Active Directoryyn. Käyttäjien tiedot syötetään Active Directoryyn manuaalisesti opintoasiainosastolta saatujen tietojen mukaisesti, kun opiskelijalle luodaan tunnukset.
2.1.1. Uusi opiskelija
Järjestelmän kannalta uusi opiskelija syntyy kurssin alkaessa. Opiskelija näytetään opiskelijana Haka-federaatioon, jos hän on läsnä oleva. Tunnukset luodaan Active Directory – hakemistoon tietohallintoalan toimesta. Tunnusten luomisen perusteena toimii kurssikäsky.
2.1.2. Opiskelijan tiedoissa tapahtuu muutos
Opintoasiainosasto tekee muutoksen opintojenhallintajärjestelmään ja ilmoittaa Maanpuolustuskorkeakoulun tietohallintoalalle, jos opiskelijan tai opiskelijaryhmän tiedoissa tapahtuu muutos. Tieto päivitetään aktiivihakemistoon tietohallintoalan toimesta.
2.1.3. Opiskelija lakkaa olemasta opiskelija
Opiskelijarooli loppuu kurssin tai opiskelun päättyessä. Opiskelijarooli Haka-federaation suuntaan poistuu myös, jos hänet merkitään opintotietojärjestelmässä keskeyttäneeksi. Opiskelija voi myös jatkaa korkeakoululla työsuhteessa, jolloin hänestä tulee työntekijä. Tutkinto-osasto laatii keskeyttäneestä opiskelijasta asiakirjan viimeistään opintojen keskeyttämispäivänä. Tietohallintoala poistaa opiskelijan käyttöoikeudet asiakirjan perusteella.
2.2. Henkilökuntarekisteri
Järjestelmän kannalta henkilöstä tulee työntekijä samana päivänä kuin työsuhde alkaa. Työsuhteen päättyessä tietohallintoala päivittää tiedot aktiivihakemistoon.
2.2.1. Uusi työntekijä
Järjestelmän kannalta uusi työntekijä syntyy, kun henkilöstöala tekee henkilöstä virallisen esittelyn (tehtävään määräys) ja näin ilmoittaa työsuhteen alkamisesta Maapuolustuskorkeakoululla.
2.2.2. Työntekijän tiedoissa tapahtuu muutos
Muuttuneet tiedot päivitetään aktiivihakemistoon tietohallintoalan päivystäjän toimesta. Käytännössä tämä koskee vain puhelinnumeroihin liittyviä muutoksia ja harvoissa tapauksissa sukunimen muuttumista.
2.2.3. Työntekijä lakkaa olemasta työntekijä
Järjestelmän kannalta työntekijä lakkaa olemasta työntekijä samana päivänä kuin työsuhde loppuu. Työsuhteen päättymisestä laaditaan aina asiakirja, jonka perusteella tietohallintoala poistaa käyttöoikeudet.
2.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus
Käyttäjätunnus voidaan myöntää myös sidosryhmähenkilölle, joka perustellusta syystä tarvitsee tunnusta kuten sivutoimiselle tuntiopettajalle, ulkopuoliselle ylläpitäjälle ja emeritukselle. Lisäksi tunnuksia voidaan myöntää projektissa mukana olleelle henkilölle, jonka tunnuksen voimassaolo loppuu projektin päätyttyä. Henkilöllisyys tarkistetaan käyttäjätunnuksen antamisen yhteydessä ja tunnus on voimassa vain tarvittavan ajan.
3. Henkilöllisyyden todentaminen
3.1 Käyttäjätunnuksen antamisen yhteydessä
Opintosasiainosasto (OAO) kokoaa kurssikohtaisesti opiskelijarekisteristä tiedot uusista opiskelijoista ja lähettää sen tietohallintoon. Uusi opiskelija saa käyttäjätunnuksen ja opiskelijaroolin johdetusti opiskelijan perehdytyksen yhteydessä.
Opintoasianosasto tarkistaa opiskelijan henkilöllisyyden opiskelijan ilmoittautumisen yhteydessä poliisin myöntämästä ajokortista tai passista. Henkilökunnan osalta henkilöllisyys tarkistetaan työsuhteen alkaessa aloittavan työntekijän esimiehen toimesta (AKxxxx) poliisin myöntämästä ajokortista tai passista.
3.2 Kun käyttäjä kirjautuu käyttäjätunnuksensa avulla
Keskitetyssä autentikoinnissa käytetään vähintään 12-merkkisiä salasanoja, joissa on kompleksisuusvaatimus. Järjestelmä vaatii käyttäjää vaihtamaan salasanan 180 päivän välein.
4. Käyttäjätietokannassa saatavilla olevat tiedot
X=attribuutti saatavana
| Attribuutti |
Saatavuus |
Miten ajantasaisuus turvataan |
Muuta (esim. tulkintaohje) |
| cn / commonName |
x |
|
MUST |
| description |
|
|
|
| displayName |
x |
|
MUST |
| employeeNumber |
|
|
|
| facsimileTelephoneNumber |
|
|
|
| givenName |
x |
|
|
| homePhone |
|
|
|
| homePostalAddress |
|
|
|
| jpegPhoto |
|
|
|
| l / localityName |
|
|
|
| labeledURI |
|
|
|
| |
|
|
|
| mobile |
|
|
|
| o / organizationName |
|
|
|
| ou / organizationalUnitName |
|
|
|
| postalAddress |
|
|
|
| postalCode |
|
|
|
| preferredLanguage |
|
|
|
| seeAlso |
|
|
|
| sn / surname |
x |
|
MUST |
| street |
|
|
|
| telephoneNumber |
x |
|
MUST |
| title |
|
|
|
| uid |
|
|
|
| userCertificate |
|
|
|
| eduPersonAffiliation |
|
|
|
| eduPersonEntitlement |
|
|
|
| eduPersonNickName |
|
|
|
| eduPersonOrgDN |
|
|
|
| eduPersonOrgUnitDN |
|
|
|
| eduPersonPrimaryAffiliation |
|
|
|
| eduPersonPrimaryOrgUnitDN |
|
|
|
| eduPersonPrincipalName |
X |
|
MUST |
| eduPersonScopedAddiliation |
|
|
|
| eduPersonTargetedID |
|
|
|
| schacMotherTongue |
|
|
|
| schacGender |
|
|
|
| schacDateOfBirth |
|
|
|
| schacPlaceOfBirth |
|
|
|
| schacCountryOfCitizenship |
|
|
|
| schacHomeOrganization |
|
|
|
| schacHomeOrganizationType |
x |
|
MUST |
| schacCountryOfResidence |
|
|
|
| schacUserPresenceID |
|
|
|
| schacPersonalUniqueCode |
|
|
|
| schacPersonalUniqueID |
|
|
|
| schacUserStatus |
|
|
|
| funetEduPersonHomeOrganization |
x |
|
MUST |
| funetEduPersonStudentID |
|
|
|
| funetEduPersonIdentityCode |
|
|
|
| funetEduPersonDateOfBirth |
|
|
|
| funetEduPersonTargetDegreeUniversity |
|
|
|
| funetEduPersonTargetDegreePolytech |
|
|
|
| funetEduPersonTargetDegree |
|
|
|
| funetEduPersonEducationalProgramUniv |
|
|
|
| funetEduPersonEducationalProgramPolytech |
|
|
|
| funetEduPersonProgram |
|
|
|
| funetEduPersonMajorUniv |
|
|
|
| funetEduPersonOrientationAlternPolytech |
|
|
|
| funetEduPersonSpecialisation |
|
|
|
| funetEduPersonStudyStart |
|
|
|
| funetEduPersonPrimaryStudyStart |
|
|
|
| funetEduPersonStudyToEnd |
|
|
|
| funetEduPersonPrimaryStudyToEnd |
|
|
|
| funetEduPersonCreditUnits |
|
|
|
| funetEduPersonECTS |
|
|
|
| funetEduPersonStudentCategory |
|
|
|
| funetEduPersonStudentStatus |
|
|
|
| funetEduPersonStudentUnion |
|
|
|
| funetEduPersonHomeCity |
|
|
|
| funetEduPersonEPPNTimeStamp |
|
|
|
4. Muuta
4.1. Kardinaliteetit
Kullakin henkilökäyttäjällä on järjestelmässä vain yksi tunnus.