HAKA-infrastruktuuri

Kotiorganisaation käyttäjähallinnon kuvaus

Versio

Tekijä

Muutokset

Päiväys

0.1

Jarkko Seppä

 

26.8.2005

0.2

Janne Keskitalo

Yhtenäistetty termistöä, täytetty attribuuttitaulukko

29.8.2005

1.0

Jarkko Seppä

Katselmoitu versio

2.9.2005

1.1

Jukka Hakosalo

Päivitys

15.2.2007

2.0

Jukka Hakosalo

Päivitys

27.10.2009

2.1

Jukka Hakosalo

Päivitys

5.10.2010

Tässä dokumentissa kuvataan Oulun yliopiston tietohallinnon Kuksa-käyttäjätietokannan ja sen tietojen ajantasaisuuden toteutuksen yleisistä periaatteista sellaisella tasolla, joka antaa riittävät tiedot käyttäjätietojen laadun ja ajantasaisuuden arvioimiseksi.

Tässä dokumentissa Kuksa-käyttäjätietokannalla tarkoitetaan sitä loppukäyttäjien attribuuttien joukkoa, johon organisaation Shibboleth Identity Provider tukeutuu. 

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Kuksa-tietokannan tiedot koostetaan kolmesta perusrekisteristä: opiskelijarekisteristä, henkilökuntarekisteristä ja käyttäjätunnusrekisteristä. Kuksa on relaatiokanta ja se on kytketty opiskelijarekisterin tietokantalinkillä. Myös käyttäjätunnusten tiedot haetaan tietokantalinkin avulla. Tiedot henkilökuntarekisteristä siirretään eräajoilla. Kuksan tiedot tyhjennetään ja täytetään joka vuorokausi.

1.1. Opiskelijarekisteri

Oodi-opiskelijarekisteri on relaatiotietokanta. Tarvittavat tiedot päivittyvät kerran vuorokaudessa tietokantalinkin kautta Kuksa-kantaan.

1.1.1. Uusi opiskelija

Uusi opiskelija lisätään käyttäjätietokantaan opiskelijarekisterin tietojen perusteella kerran vuorokaudessa ajettavassa eräajossa.

Opiskelijaksi katsotaan perustutkinto-opiskelijan lisäksi:
- jatkotutkinto-opiskelija
- täydentäviä opintoja opiskeleva

Opiskelijalta edellytetään ilmottautumista läsnäolevaksi opiskelijaksi. Lukukausi katsotaan vaihtuneen sinä päivänä, kun lukukauden ilmoittautumisaika päättyy.

1.1.2 Opiskelijan tiedoissa tapahtuu muutos

Opiskelijan tiedoissa tapahtuvat muutokset siirtyvät opintorekisteristä Kuksa-kantaan seuraavan vuorokauden aikana. Tiedot opintojen päättymisestä siirtyvät Kuksa-kantaan kohdassa 1.1.3 kuvatulla tavalla.

1.1.3 Opiskelija lakkaa olemasta opiskelija

Opiskelija katsotaan opiskelijaksi pääsääntöisesti lukuvuoden loppuun asti. Kun opiskelija valmistuu, hän on opiskelija kuluvan vuoden 16.9 asti,
jolloin myös ilmottautuminen seuraavalle lukukaudelle päättyy. Jos henkilön opiskelu päättyy erilliseen keskeytysilmoitukseen, keskeytystieto siirtyy
opintorekisteriin heti ja Kuksa-kantaan seuraavan vuorokauden aikana.

1.2. Henkilökuntarekisteri

Tiedot henkilökuntarekisteristä päivitetään Kuksa-käyttäjätietokantaan vuorokausittain eräajona.

1.2.1. Uusi työntekijä

Uuden työntekijän tiedot siirtyvät käyttäjätietokantaan eräajojen yhteydessä.

1.2.2. Työntekijän tiedoissa tapahtuu muutos

Työntekijän muuttuneet tiedot päivittyvät eräajojen yhteydessä.

1.2.3. Työntekijä lakkaa olemasta työntekijä

Työntekijä lakkaa olemasta työntekijä, kun hänen työmääräyksensä päättyy.

1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus

Sellaiset käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-infrastruktuurin tarkoittamia loppukäyttäjiä, eikä heidän kirjautumistaan Shibboleth IdP:n kautta palveluihin tule sallia. Näitä henkilöitä ei talleteta käyttäjätietokantaan. Laitokset voivat syöttää ns. ulkopolisia henkilöitä henkilötietojärjestelmään. Vuorokauden kuluessa tiedot siirtyvät Kuksa-kantaan.

2. Henkilöllisyyden todentaminen

2.1. Käyttäjätunnuksen antamisen yhteydessä

Uusi opiskelija noutaa opiskelijarekisteritietojen perusteella etukäteen luodun tunnuksen ja salasanan tietohallinnon neuvonnasta todistettuaan henkilöllisyytensä poliisin myöntämän tunnistusasiakirjan tai luotettavuudessa siihen rinnastettavalla tavalla. Henkilökunnalle tunnus luodaan työmääräystietojen tarkastuksen jälkeen ja tunnus-salasana -pari toimitetaan käyttäjälle. Käyttäjätunnus ja salasana lähetetään vastaanottajalle suljetussa kuoressa henkilön nimellä varustettuna yksikön toimistosihteerille. Tiedot voidaan luovuttaa työntekijälle myös henkilökohtaisesti, jos tämä asioi tietohallinnon neuvonnassa. Tällöin henkilöllisyys tarkastetaan samoin, kuin opiskelijoidenkin kohdalla.

3. Käyttäjätietokannassa saatavilla olevat tiedot

 

Attribuutti

Miten ajantasaisuus turvataan

Muuta (esim. tulkintaohje)

cn

Päivittyy perusrekistereistä kerran vuorokaudessa

 

displayName

Päivittyy perusrekistereistä kerran vuorokaudessa

 

employeeNumber

Päivittyy perusrekistereistä kerran vuorokaudessa

henkilökunta

givenName

Päivittyy perusrekistereistä kerran vuorokaudessa

 

homePhone

Päivittyy perusrekistereistä kerran vuorokaudessa

 

homePostalAddress

Päivittyy perusrekistereistä kerran vuorokaudessa

opiskelijat

l

muuttumaton

kaikille 'Oulu'

mail

Päivittyy perusrekistereistä kerran vuorokaudessa

 

o

muuttumaton

kaikille 'University of Oulu'

ou

Päivittyy perusrekistereistä kerran vuorokaudessa

henkilökunta

postalAddress

Päivittyy perusrekistereistä kerran vuorokaudessa

opiskelijat

postalCode

Päivittyy perusrekistereistä kerran vuorokaudessa

opiskelijat

sn

Päivittyy perusrekistereistä kerran vuorokaudessa

 

street

Päivittyy perusrekistereistä kerran vuorokaudessa

opiskelijat

telephoneNumber

 Päivittyy perusrekistereistä kerran vuorokaudessa

 

title

Päivittyy perusrekistereistä kerran vuorokaudessa

henkilökunta

uid

Päivittyy perusrekistereistä kerran vuorokaudessa, muuttumaton

md5

eduPersonAffiliation

Päivittyy perusrekistereistä kerran vuorokaudessa

employee/student/member

eduPersonPrimaryAffiliation

Päivittyy perusrekistereistä kerran vuorokaudessa

employee/student/member

eduPersonPrimaryOrgUnitDN

Päivittyy perusrekistereistä kerran vuorokaudessa

opiskelijat

eduPersonPrincipalName

Päivittyy perusrekistereistä kerran vuorokaudessa, muuttumaton

 

eduPersonScopedAffiliation

Päivittyy perusrekistereistä kerran vuorokaudessa

 

eduPersonTargetedID

muuttumaton

 

funetEduPersonIdentityCode

Päivittyy perusrekistereistä kerran vuorokaudessa

 

funetEduPersonProgram

Päivittyy perusrekistereistä kerran vuorokaudessa, muuttumaton

opiskelijat

logout-url

muuttumaton

 kaikille 'https://login.oulu.fi/idp/logout'

schacDateOfBirth

Päivittyy perusrekistereistä kerran vuorokaudessa.

 

schacHomeOrganization

muuttumaton

kaikille 'oulu.fi'

schacHomeOrganizationType

muuttumaton

kaikille 'urn:mace:terena.org:schac:homeOrganizationType:fi:university

schacPersonalUniqueCode

Päivittyy perusrekistereistä kerran vuorokaudessa

opiskelijat

 schacPersonalUniqueID

Päivittyy perusrekistereistä kerran vuorokaudessa

 

urkundaddress

muuttumaton

tunnus anotaan ensin

4. Muuta

4.1. Kardinaliteetit

Yhtä käyttäjätietokantaan talletettua henkilöllisyyttä vastaa yksi tosielämän käyttäjä.

4.2. EduPersonPrincipalNamen revokointi ja kierrätys

Lähtökohtaisesti EPPN:a ei vaihdeta. Tästä voidaan kuitenkin poiketa erityisistä syistä. Tällaisia syitä ovat esimerkiksi henkilön nimen muuttuminen avioliiton tai -eron takia. EPPN:t jäädytetään, kun haltijan käyttöoikeus päättyy, eikä sitä anneta toiselle henkilölle.