Ensisijaiset välilehdet

Olet täällä

HAKA -federaation mukainen käyttäjätunnusten hallinnointi Haaga-Heliassa

HAKA -federaation mukainen käyttäjätunnusten hallinnointi Haaga-Heliassa

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

1.1. Opiskelijarekisteri

Alla kaavio HAAGA-HELIAn käyttäjätiedon synnystä ja kulusta eri järjestelmiin. Olennaista on, että käyttäjätiedot säilytetään kahdessa LDAP-hakemistossa (LDAP-L ja LDAP-T). IDP-palvelu käyttää LDAP-T –hakemistoa.

Käyttäjätiedon synty ja kulku Haaga-Heliassa

HAAGA-HELIAn opintotoimistot pitävät yllä ajantasaista opiskelijarekisteriä Winha opiskelijatietojärjestelmän avulla. Winhaan luotujen opiskelijoiden käyttäjätiedot tuodaan syntyä seuraavana yönä LDAP-käyttäjähakemistoon. Tässä yhteydessä opiskelijoiden seuraavat attribuutit saavat arvon:

cn
sn
uid
givenname
displayName
eduPersonAffiliation
eduPersonPrimaryAffiliation
eduPersonPrincipalName
schacHomeOrganization
schacHomeOrganizationType
schacPersonalUniqueCode
funetEduPersonTargetDegreePolytechnic
funetEduPersonTargetDegree
funetEduPersonEducationalProgramPolytech
funetEduPersonProgram

 LDAP-hakemistosta (LDAP-L) niiden opiskelijoiden ja henkilöstön käyttäjien tiedot, jotka kuuluvat HAKA-tunnistuksen piiriin, siirretään toiseen LDAP-hakemistoon (LDAP-T), jota IDP-palvelu käyttää.

1.1.1. Uusi opiskelija

Uuden opiskelijan käyttäjätiedot siirtyvät LDAP-järjestelmään eräajoina seuraavana yönä siitä, kun tiedot on tuotu opintotoimistoissa Winhaan. Käyttäjätunnus luovutetaan opiskelijalle yleensä perehdyttämisjaksolla noin viikkoa ennen varsinaisen opiskelun alkua. Tällöin opiskelijoilta tarkastetaan alkuperäiset todistukset ja henkilöllisyys. Henkilöllisyys on osoitettava virallisesti hyväksytyllä asiakirjalla.

1.1.2. Opiskelijan tiedoissa tapahtuu muutos

Opintotoimistot päivittävät muutokset kahden päivän kuluessa niistä tiedon saatuaan Winhaan. Kaikki muutokset opiskelijan käyttäjätiedoissa, kuten poissaolevaksi ilmoittautuminen, opintojen keskeyttäminen, näkyvät käyttäjähakemistossa tätä seuraavana päivänä. Muiden kuin päätoimisten läsnä olevien tiedot poistetaan tällöin LDAP-T –hakemistosta. Tämän jälkeen opiskelija ei enää näy IDP-palvelulle.

1.1.3. Opiskelija lakkaa olemasta opiskelija

Opintotoimistot päivittävät muutokset Winhaan kahden päivän kuluessa tiedon saapumisesta. Tiedot saapuvat prosessin mukaan opintotoimistoon, kun

a) opiskelijan on anonut valmistumista tiettynä päivänä
b) opiskelija ei ole ilmoittautunut läsnä olevaksi tiettyyn päivään mennessä lukukauden vaihtuessa
c) opiskelija ilmoittaa keskeyttävänsä opinnot
Muutokset näkyvät käyttäjähakemistossa seuraavana päivänä siitä, kun tiedot on päivitetty Winhaan. Tämän jälkeen opiskelija ei enää näy IDP-palvelulle.

1.2. Henkilökuntarekisteri

1.2.1. Uusi työntekijä

Henkilöstösihteeri luo uudelle työntekijälle roolin käyttäjähallintaan aikaisintaan kaksi arkipäivää ennen työsuhteen alkamista. Rooli muodostuu attribuuttien arvoista ja työntekijälle varatuista resursseista. Valmiita käyttäjärooleja on mm. osa-aikaisille ja vuokratyöntekijöille. Tiedot editoidaan erillisellä käyttöliittymällä suoraan käyttäjähakemistoon (LDAP-L). Päätoimisten työntekijöiden tiedot siirtyvät automaattisesti täältä LDAP-T hakemistoon (ks. kuva). Osa-aikaisten ja vuokratyöntekijöiden tiedot eivät välity LDAP-T –hakemistoon. IDP-palvelu käyttää LDAP-T-hakemistoa.

Henkilöstösihteeri välittää tunnuksen henkilön tulevalle esimiehelle, joka luovuttaa sen henkilölle ensimmäisenä työpäivänä. Esimiehen velvollisuus on tällöin tarkistaa henkilön henkilöllisyys.

1.2.2. Työntekijän tiedoissa tapahtuu muutos

Muutos on kaikissa tapauksissa prosessien mukaisesti ilmoitettava henkilöstöpalveluun ennen muutoksen voimaantuloa. Henkilöstösihteeri päivittää muutokset kahden päivän kuluessa siitä, kun muutos on tullut voimaan. Muutos tehdään erillisellä käyttöliittymällä suoraan henkilön käyttäjätietoihin LDAP-L –hakemistoon. Jos henkilön työsuhteen tyyppi muuttuu, niin muiden kuin päätoimisten työsuhteessa olevien tiedot poistetaan tällöin automaattisesti LDAP-T –hakemistosta. Tämän jälkeen henkilö ei enää näy IDP-palvelulle.

1.2.3. Työntekijä lakkaa olemasta työntekijä

Työsuhteen päättyminen on kaikissa tapauksissa prosessien mukaisesti ilmoitettava henkilöstöpalveluun ennen muutoksen voimaantuloa. Henkilöstösihteeri päivittää muutokset kahden päivän kuluessa siitä, kun muutos on tullut voimaan. Muutos tehdään erillisellä käyttöliittymällä suoraan henkilön käyttäjätietoihin LDAP-L –hakemistoon. Tiedot poistetaan tämän jälkeen automaattisesti LDAP-T –hakemistosta. Tämän jälkeen henkilö ei enää näy IDP-palvelulle.

1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus

Kaikki IDP-palvelun kautta tunnistettavat käyttäjät ovat kokopäiväisiä opiskelijoita tai henkilökuntaa.

2. Henkilöllisyyden todentaminen

2.1. Käyttäjätunnuksen antamisen yhteydessä

Opintotoimiston henkilöstö tarkastaa opiskelijan henkilöllisyyden tunnuksen luovutuksen yhteydessä viranomaisen hyväksymästä henkilötodistuksesta.

Henkilöstön osalta henkilöllisyys tarkastetaan henkilöstöpalveluissa viranomaisen hyväksymästä henkilötodistuksesta työsopimusta allekirjoitettaessa (Henkilöstöpalvelut) sekä tunnusta luvutettaessa (Esimies).

2.2. Kun käyttäjä kirjautuu käyttäjätunnuksensa avulla

Salasanojen pituudesta ja koostumuksesta on voimassa seuraavat pakottavat käytännöt:  

1) pituus vähintään 8 merkkiä

Vähintään kolme seuraavista neljästä ehdosta

2) sisältää vähintään yhden numeron

3) Sisältää vähintään yhden pienen kirjaimen a-z

4) Sisältää vähintään yhden suuren kirjaimen A-Z

5) Sisältää vähintään yhden seuraavista erikoismerkeistä: !"#$%&()*+,-./:;<=>?_
Huomaa: kaikki erikoismerkit, esim €,\,ä,ä,å,å,ö,ö,..., eivät käy haaga-helian salasanaan, koska ne ymmärretään eri järjestelmissä eri tavoin.

Salasana pitää vaihtaa kaksi kertaa vuodessa.

3. Käyttäjätietokannassa saatavilla olevat tiedot

Katso taulukko kohdassa 1.1 Taulukossa näkyvät funetEduPersonin mukaiset atribuutit, jotka näkyvät ulospäin Identity Provider-palvelimesta.

4. Muuta

4.1. Kardinaliteetit

Sallitaan vain yksi tunnus jokaista käyttäjäroolia kohden. Opiskelija voi olla yhdessä koulutusohjelmassa läsnäoleva ja toisessa koulutusohjelmassa valmistunut yht’aikaa, mutta ei samassa käyttäjäroolissa. Toisin sanoen esimerkiksi opiskelija-työntekijällä on kaksi eri tunnusta.

4.2. EduPersonPrincipalNamen revokointi ja kierrätys

Käyttäjätunnus ei voi vaihtua muutoin, kun tuhoamalla vanhan ja luomalla uuden. Käyttäjätunnuksen pohjana on järjestysnumero, joka ei voi kiertää toiselle käyttäjälle.