Haka-käyttäjätunnistusjärjestelmä

1. Johdanto

Maanpuolustuskorkeakoulun käyttäjätunnushallinnosta vastaa korkeakoulun tietohallintoala. Käyttäjätietokannan teknisenä toteutuksena on Windows -verkon käyttäjähakemisto (AD), mistä Identity Provider -palvelin noutaa attribuutit.

2. Käyttäjätietokannan ja perusrekistereiden kytkentä

2.1. Opiskelijarekisteri

Kaikkea opiskelijoihin liittyvää tietoa ylläpidetään opiskelijarekisteri WinhaPro:ssa. Opiskelijarekisteri sijaitsee tällä hetkellä suljetussa ympäristössä, jonka vuoksi rekisterin ja varsinaisen käyttölupatietokannan Windows AD välillä ei ole tietokantalinkkiä. Käyttölupaoikeuksiin vaikuttavat tiedot kustakin opiskelijasta päivitetään Active Directoryyn. Käyttäjien tiedot syötetään Active Directoryyn manuaalisesti opintoasiainosastolta saatujen tietojen mukaisesti, kun opiskelijalle luodaan tunnukset.

2.1.1. Uusi opiskelija

Järjestelmän kannalta uusi opiskelija syntyy kurssin alkaessa. Opiskelija näytetään opiskelijana Haka-federaatioon, jos hän on läsnä oleva. Tunnukset luodaan Active Directory – hakemistoon tietohallintoalan toimesta. Tunnusten luomisen perusteena toimii kurssikäsky.

2.1.2. Opiskelijan tiedoissa tapahtuu muutos

Opintoasiainosasto tekee muutoksen opintojenhallintajärjestelmään ja ilmoittaa Maanpuolustuskorkeakoulun tietohallintoalalle, jos opiskelijan tai opiskelijaryhmän tiedoissa tapahtuu muutos. Tieto päivitetään aktiivihakemistoon tietohallintoalan toimesta.

2.1.3. Opiskelija lakkaa olemasta opiskelija

Opiskelijarooli loppuu kurssin tai opiskelun päättyessä. Opiskelijarooli Haka-federaation suuntaan poistuu myös, jos hänet merkitään opintotietojärjestelmässä keskeyttäneeksi. Opiskelija voi myös jatkaa korkeakoululla työsuhteessa, jolloin hänestä tulee työntekijä. Tutkinto-osasto laatii keskeyttäneestä opiskelijasta asiakirjan viimeistään opintojen keskeyttämispäivänä. Tietohallintoala poistaa opiskelijan käyttöoikeudet asiakirjan perusteella.

2.2. Henkilökuntarekisteri

Järjestelmän kannalta henkilöstä tulee työntekijä samana päivänä kuin työsuhde alkaa. Työsuhteen päättyessä tietohallintoala päivittää tiedot aktiivihakemistoon.

2.2.1. Uusi työntekijä

Järjestelmän kannalta uusi työntekijä syntyy, kun henkilöstöala tekee henkilöstä virallisen esittelyn (tehtävään määräys) ja näin ilmoittaa työsuhteen alkamisesta Maapuolustuskorkeakoululla.

2.2.2. Työntekijän tiedoissa tapahtuu muutos

Muuttuneet tiedot päivitetään aktiivihakemistoon tietohallintoalan päivystäjän toimesta. Käytännössä tämä koskee vain puhelinnumeroihin liittyviä muutoksia ja harvoissa tapauksissa sukunimen muuttumista.

2.2.3. Työntekijä lakkaa olemasta työntekijä

Järjestelmän kannalta työntekijä lakkaa olemasta työntekijä samana päivänä kuin työsuhde loppuu. Työsuhteen päättymisestä laaditaan aina asiakirja, jonka perusteella tietohallintoala poistaa käyttöoikeudet.

2.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus

Käyttäjätunnus voidaan myöntää myös sidosryhmähenkilölle, joka perustellusta syystä tarvitsee tunnusta kuten sivutoimiselle tuntiopettajalle, ulkopuoliselle ylläpitäjälle ja emeritukselle. Lisäksi tunnuksia voidaan myöntää projektissa mukana olleelle henkilölle, jonka tunnuksen voimassaolo loppuu projektin päätyttyä. Henkilöllisyys tarkistetaan käyttäjätunnuksen antamisen yhteydessä ja tunnus on voimassa vain tarvittavan ajan.

3. Henkilöllisyyden todentaminen

3.1 Käyttäjätunnuksen antamisen yhteydessä

Opintosasiainosasto (OAO) kokoaa kurssikohtaisesti opiskelijarekisteristä tiedot uusista opiskelijoista ja lähettää sen tietohallintoon. Uusi opiskelija saa käyttäjätunnuksen ja opiskelijaroolin johdetusti opiskelijan perehdytyksen yhteydessä.

Opintoasianosasto tarkistaa opiskelijan henkilöllisyyden opiskelijan ilmoittautumisen yhteydessä poliisin myöntämästä ajokortista tai passista. Henkilökunnan osalta henkilöllisyys tarkistetaan työsuhteen alkaessa aloittavan työntekijän esimiehen toimesta (AKxxxx) poliisin myöntämästä ajokortista tai passista.

3.2 Kun käyttäjä kirjautuu käyttäjätunnuksensa avulla

Keskitetyssä autentikoinnissa käytetään vähintään 12-merkkisiä salasanoja, joissa on kompleksisuusvaatimus. Järjestelmä vaatii käyttäjää vaihtamaan salasanan 180 päivän välein.

4. Käyttäjätietokannassa saatavilla olevat tiedot

X=attribuutti saatavana

Attribuutti

Saatavuus

Miten ajantasaisuus turvataan

Muuta (esim. tulkintaohje)

cn / commonName

  x

 

 MUST

description

 

 

 

displayName

  x

 

 MUST

employeeNumber

 

 

 

facsimileTelephoneNumber

 

 

 

givenName

x

 

 

homePhone

 

 

 

homePostalAddress

 

 

 

jpegPhoto

 

 

 

l / localityName

 

 

 

labeledURI

 

 

 

mail

 

 

 

mobile

 

 

 

o / organizationName

 

 

 

ou / organizationalUnitName

 

 

 

postalAddress

 

 

 

postalCode

 

 

 

preferredLanguage

 

 

 

seeAlso

 

 

 

sn / surname

  x

 

 MUST

street

 

 

 

telephoneNumber

 x

 

 MUST

title

 

 

 

uid

 

 

 

userCertificate

 

 

 

eduPersonAffiliation

 

 

 

eduPersonEntitlement                                         

 

 

 

eduPersonNickName

 

 

 

eduPersonOrgDN

 

 

 

eduPersonOrgUnitDN

 

 

 

eduPersonPrimaryAffiliation

 

 

 

eduPersonPrimaryOrgUnitDN

 

 

 

eduPersonPrincipalName

X

 

MUST

eduPersonScopedAddiliation

 

 

 

eduPersonTargetedID

 

 

 

schacMotherTongue

 

 

 

schacGender

 

 

 

schacDateOfBirth

 

 

 

schacPlaceOfBirth

 

 

 

schacCountryOfCitizenship

 

 

 

schacHomeOrganization

 

 

 

schacHomeOrganizationType

x

 

MUST

schacCountryOfResidence

 

 

 

schacUserPresenceID

 

 

 

schacPersonalUniqueCode

 

 

 

schacPersonalUniqueID

 

 

 

schacUserStatus

 

 

 

funetEduPersonHomeOrganization

x

 

MUST

funetEduPersonStudentID

 

 

 

funetEduPersonIdentityCode

 

 

 

funetEduPersonDateOfBirth

 

 

 

funetEduPersonTargetDegreeUniversity

 

 

 

funetEduPersonTargetDegreePolytech

 

 

 

funetEduPersonTargetDegree

 

 

 

funetEduPersonEducationalProgramUniv

 

 

 

funetEduPersonEducationalProgramPolytech

 

 

 

funetEduPersonProgram

 

 

 

funetEduPersonMajorUniv

 

 

 

funetEduPersonOrientationAlternPolytech

 

 

 

funetEduPersonSpecialisation

 

 

 

funetEduPersonStudyStart

 

 

 

funetEduPersonPrimaryStudyStart

 

 

 

funetEduPersonStudyToEnd

 

 

 

funetEduPersonPrimaryStudyToEnd

 

 

 

funetEduPersonCreditUnits

 

 

 

funetEduPersonECTS

 

 

 

funetEduPersonStudentCategory

 

 

 

funetEduPersonStudentStatus

 

 

 

funetEduPersonStudentUnion

 

 

 

funetEduPersonHomeCity

 

 

 

funetEduPersonEPPNTimeStamp

 

 

 

 

4. Muuta

4.1. Kardinaliteetit

Kullakin henkilökäyttäjällä on järjestelmässä vain yksi tunnus.