Version Uppgjord av Datum
1.0 Fredrik Finnberg 15.11.2009
1.1 Fredrik Finnberg 24.11.2009

Tässä dokumentissa ollaan kiinnostuneita käyttäjätietokannan ja sen tietojen ajantasaisuuden toteutuksen yleisistä periaatteista sellaisella tasolla, joka antaa riittävät tiedot käyttäjätietojen laadun ja ajantasaisuuden arvioimiseksi.

Kotiorganisaatio asettaa tämän dokumentin www:hen kaikkien saataville ja päivittää sitä oma-aloitteisesti, kun muutoksia tulee. Dokumentti linkitetään Haka-infrastruktuurin kotisivulta.

Tässä dokumentissa käyttäjätietokannalla tarkoitetaan sitä loppukäyttäjien attribuuttien joukkoa, johon organisaation Identity Provider-palvelin tukeutuu. Käyttäjätietokannan tekninen toteutus voi olla esim. LDAP-hakemisto tai relaatiotietokanta, tai niiden yhdistelmä niin, että Identity Provider -palvelin noutaa osan attribuuteista LDAP-hakemistosta ja osan JDBC:n yli opiskelijarekisteristä.

1. Koppling mellan användardatabasen och källregistren

Uppgifter om Arcadas användare finns i en samlingsdatabas, HR, och denna data, som samlats ihop från våra källregister, används för att regelbundet uppdatera vår LDAP-katalog. LDAP används för autentisering av Arcadas användare. Arcadas Identity Provider använder sig av informationen i  LDAP-katalogen. Övrig data om användarna finns i Arcadas interna källregister.

Uppdateringen av LDAP sker med hjälp av cronjob i samband med att HR uppdateras. Uppdatering av data via synkroniseringskörningar till HR sker varje timme under vardagar måndag-fredag med cronjob som kör databasförfrågningar mot källregistren om ändringar på basen av personers personbeteckning. Personbeteckningen visas inte utåt från HR och lagras inte heller i LDAP.
Synkroniseringskörningen övervakas med hjälp av loggning.

1.1. Studentregistret

Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla.

Miten käyttäjätietokanta on kytketty opiskelijarekisteriin?

Databasen HR får aktuella uppgifter från källregistren, varav studentregistret är ett av dessa källregister. Ändringar för HR kollas upp med hjälp av studentens personbeteckning mot studentregistret.

Person som saknar finländsk personbeteckning ges i studentregistret en konstgjord personbeteckning vars första del är födelsedatum enligt modell i finsk personbeteckning DDMMÅÅ och de sista fyra tecknen består av XXXX, men om annan person, utan finländsk personbeteckning, är född samma dag tas för de två sista tecknen ibruk en hexadecimal numrering börjande från 00 till FF.

Uppdatering av studentinformation i studentregistret sker via administrativa användargränssnitt som används av studieadministrationen på studiebyrån, antagningsbyrån och internationella byrån samt fortbildningsenheten. Data om närvaro-frånvaro anmälan, som äldre studenter kan göra själva via intra varje läsår, registreras automatiskt i studentregistret via läsårsanmälningssystemet.

1.1.1. Ny student

Miten uuden opiskelijan tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?
Koska uusi opiskelija saa käyttäjätunnuksen/opiskelijaroolin?
Mitä tunnukselle tapahtuu, jos uusi opiskelija ei ota opiskelupaikkaa vastaan, tai ottaa paikan vastaan mutta ilmoittautuu poissaolevaksi?

Data på nya studenter införs i studentregistret regelbundet med hjälp av importering av persondata i överföringsfiler. Denna data på nya studenter som används finns att hämta efter att bekräftelser om emottagen studieplats registrerats i nationella antagningsregistret AMKOREK. Antagningsbyrån registrerar i antagningsregistret emottagna skriftliga bekräftelser om studieplatser och studentens anmälan om närvaro/frånvaro inkommande läsår. Efter denna registrering finns studentdata att hämta från en datafil via Amkoreks-rapportverktyg. Denna överföringsfil importeras in i studentregistret minst dagligen under perioden juli-augusti varje höst, motsvarande fil kan också fås om antagning och bekräftelser skulle ske under vårterminen. I samband med undertecknande av sin bekräftelse om studieplats förbinder sig studenten samtidigt också att följa it-reglerna i Arcada.

När en ny student registreras i studentregistret får han/hon en unik studentkod i studentregistret som är bundet till det utbildningsprogram studenten är antagen till. När synkroniseringen körs skapas i HR-databasen ett nytt användarnamn och en unik id på basen av personens personbeteckning ifall personen inte redan har ett användarnamn sedan tidigare i HR, samt övrig data såsom namn, e-postadress, utbildningsprogram, som sedan införs in i LDAP-katalogen för den nye användaren.

Användarnamnet tas i bruk, aktiveras, när studenten personligen kvitterar ut sitt lösenord mot uppvisande av sitt med foto försedda identitetsbevis som är utfärdat av polisen, t.ex. pass eller körkort.

Examensstudenter som inte söker in via nationella gemensamma antagningen, som t.ex. överflyttare från annan skola, registreras manuellt av studiebyrån i studentregistret. Samma procedur sker som ovan för skapande och utgivande av nytt användarnamn på basen av studentens personbeteckning.  

Studenter inom specialiseringsutbildning och öppna yrkeshögskolan, utbildning som inte leder till examen, införs också i studentregistret men dessa tilldelas inte studentroll.
Utbytesstudenter registreras också manuellt av internationella byrån och de får studentroll för den period de registrerats som närvarande. Utbytesstudenter får konstgjord personbeteckning enligt ovan beskriven modell för studenter.

1.1.2. Studentens uppgifter ändras

Miten opiskelijan muuttuneet tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?

Studenten får sin studentroll kopplat till sitt användarkonto i det ögonblick som en närvaroregistrering för läsåret finns vid synkroniseringstidpunkten, likadant tas studentrollen bort om en frånvaro registrerats. Saknas läsårsanmälan per givet datum för närvarande, eller kommande läsår, avlägsnas studentrollen vid synkroniseringskörningen.

Även övriga uppdateringar i studentens uppgifter till HR och därmed också till LDAP sker vid synkroniseringen som t.ex. ändring av namn.

1.1.3. En student upphör att vara studerande

Koska organisaatio (esim. opintoasiainhallinto) katsoo, että opiskelija lakkaa olemasta opiskelija

  1. sen jälkeen kun opiskelija valmistuu?
  2. sen jälkeen kun lukukausi vaihtuu, ja opiskelija ei ole ilmoittautunut läsnäolevaksi?
  3. sen jälkeen kun opiskelija ilmoittaa keskeyttävänsä opinnot?

Kuinka kauan ylläolevien tapahtumien jälkeen kestää, että organisaatio (esim. tietohallinto) sulkee opiskelijan käyttäjätunnuksen tai poistaa opiskelijaroolin?

En student som utexamineras registreras av studiebyrån, senast inom 1 vecka efter utexamineringsdagen som utdimitterad och arkiveras från studentregistret och blir då vid nästa synkroniseringskörning av med sin student-roll.

Saknas läsårsanmälan per givet datum för läsåret, registreras studenten som ett avbrott och arkiveras då ur studentregistret och blir av med sin studentroll. Studiebyrån gör denna registrering senast inom en vecka efter sista anmälningsdagen för läsårsanmälan gått ut.

Om en student meddelar avbrott eller studietiden tar slut registrerar studiebyrån avbrottet med dess datum och då sker borttagning av samtliga roller vid nästa synkroniseringskörning.

1.2. Personalregistret

Databasen HR får aktuella uppgifter från källregistren, varav löneregistret (Personec W)  är ett av källregistren där uppgifter om anställd personal finns. Denna uppdatering av personal till HR sker i samma körning som för studentregistret, varannan timme under vardagar måndag-fredag. Ändringar för HR kollas upp med hjälp av den anställdes personbeteckning mot löneregistret.

Uppdatering av data i löneregistret sker via löneregistrets egna användargränssnitt som används av löneräknaren och personalhandläggaren.

1.2.1. Ny personal

En ny anställd registreras i löneregistret med namn, personbeteckning och anställningsdatum samt övriga uppgifter om anställningsförhållandet. Nytt användarkonto i HR skapas av synkroniseringskörningen på basen av en registrerad ny personbeteckning och roller tilldelas kontot.

1.2.2. Personalens uppgifter förändras

Ändringar i anställdas uppgifter uppdateras likadant som för studenter i samband med synkroniseringen.

1.2.3. En person upphör att vara anställd

Ett anställningsförhållande tar slut vid det slutdatum som registreras av löneadministrationen i personregistret. Detta  slutdatum används för att avgöra när den anställdes personalroller tas bort.

1.3. Övriga användare och uppdatering av deras personuppgifter

Onko organisaatiossa vielä jotain muita käyttäjiä, joilla on käyttäjätunnus ja jotka voivat kirjautua Identity Provider -palvelimen kautta Haka-infrastruktuurin palveluihin (Suomen Akatemian tutkijat? Ravintolahenkilökunta? Siviilipalvelusmiehet? Dosentit? Alumnit? Emeritukset? Kirjaston asiakkaat?). Minkälainen haku- ja hyväksymismenettely näihin tunnuksiin liittyy?
Miten heidän käyttäjätietojensa ajantasaisuus ja sulkeutuminen/roolitiedon päivittyminen on varmistettu?

Övriga användare registreras i vårt tredje källregister, sk. UFO-registret, där personer registreras med sina personuppgifter som behövs för att kunna skapa ett användarkonto:  namn, personbeteckning, adress, telefon, ansvarsperson, start- och slutdatum. Ändringar för HR kollas likadant som övriga källregister regelbundet upp med hjälp av personbeteckningen mot UFO-registret.

Sellaiset käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-infrastruktuurin tarkoittamia loppukäyttäjiä, eikä heidän kirjautumistaan Identity Provider -palvelimen kautta palveluihin tule sallia.

2. Konstaterande av personens identitet

2.1. I samband med att användarnamnet ges ut

Millä tavalla uuden käyttäjän henkilöllisyys todennetaan, kun hänelle annetaan käyttäjätunnus?

Den som ger ut användarnamn och lösenordet ber av personen om att få se hans/hennes av polis utfärdat identitetsbevis såsom körkort eller pass.

Personens  användarkonto söks fram alltid i första hand upp på basen av personbeteckningen via HR-registrets användargränssnitt där man får  personuppgifter om personen och möjlighet att byta och skriva ut nytt lösenord för kontot. Tillgång till detta verktyg har IT-administrativ personal, helpdesk, personalhandläggare och -sekreterare.

Saknar personen en finländsk personbeteckning, eller finländskt identitetsbevis, sker sökning  av personens uppgifter på basen av födelsedatum och namn. Jämförelse i personuppgifter med hjälp av tillgängligt identitetsbevis görs då med namn, adress, nationalitet, utbildningsprogram före konto ges ut eller nytt lösenord ges.

2.2. Då användaren loggar in med sitt användarnamn

Salasanatodennukseen liittyvät laatuvaatimukset.

Lösenordet bör vara minst 8 tecken långt, och innehålla alfanumeriska stora och små bokstäver. Via webbsida för lösenordsbyte på intran sker en  kvalitetscheck på starkt lösenord och detta bör för byte vara minst 10 tecken, innehålla stora och små bokstäver samt siffror.

Regelbundna kvalitetscheckar körs på samtliga lösenord . Konton med svaga lösenord stängs omedelbart och användaren måste då kontakta helpdesk för att få kontot öppnat och ett nytt starkare lösenord.

Mahdolliset käytettävissä olevat salasanaa tukevammat autentikointimenetelmät.

3. Tillgänglig information ur användardatabasen

Lisätietoja funetEduPerson-skeemasta (ver 2.1) on täällä.

Rasti kohtaan "Saatavuus", jos kyseinen henkilötieto on ajantasalla ja siten saatavilla Identity Provider -palvelimen yli.

Kohtaan "Miten ajantasaisuus turvataan" esimerkiksi viittaus luvun 1. järjestelmiin.

Jos organisaatiolla on omia (ei siis funetEduPersonin mukaisia) attribuutteja, jotka näkyvät ulospäin Identity Provider-palvelimesta, lisää ne taulukon loppuun. Tarvittaessa linkki dokumenttiin, joka tarkemmin kuvailee omien attribuuttien skeeman.

3.1 Attributtabell

Attribut Tillgängligt Hur aktualiteten garanteras Kommentar
cn / commonName x HR-databasen, cron MUST
description      
displayName x HR-databasen, cron  MUST
employeeNumber      
facsimileTelephoneNumber      
givenName x HR-databasen, cron  
homePhone      
homePostalAddress      
jpegPhoto      
l / localityName      
labeledURI      
mail x HR-databasen, ändras inte.
Samma värde som eduPerson
PrincipalName
 
mobile      
o / organizationName      
ou / organizationalUnitName      
postalAddress      
postalCode      
preferredLanguage      
seeAlso      
sn / surname x HR-databasen, cron MUST
street      
telephoneNumber      
title      
uid x HR-databasen, ändras inte  
userCertificate      
eduPersonAffiliation x HR-databasen, cron student
eduPersonEntitlement      
eduPersonNickName      
eduPersonOrgDN      
eduPersonOrgUnitDN      
eduPersonPrimaryAffiliation      
eduPersonPrimaryOrgUnitDN      
eduPersonPrincipalName x HR-databasen, ändras inte MUST.
uid@arcada.fi
eduPersonScopedAddiliation      
eduPersonTargetedID      
schacMotherTongue      
schacGender      
schacDateOfBirth      
schacPlaceOfBirth      
schacCountryOfCitizenship      
schacHomeOrganization x standardvärde, konstant MUST.
arcada.fi
schacHomeOrganizationType x standardvärde, konstant MUST
urn:mace:terena.org
:schac:
homeOrganizationType:fi:
polytechnic
schacCountryOfResidence      
schacUserPresenceID      
schacPersonalUniqueCode      
schacPersonalUniqueID      
schacUserStatus      
funetEduPersonHomeOrganization     superseded
funetEduPersonStudentID     superseded
funetEduPersonIdentityCode     superseded
funetEduPersonDateOfBirth     superseded
funetEduPersonTargetDegreeUniversity     superseded
funetEduPersonTargetDegreePolytech     superseded
funetEduPersonTargetDegree      
funetEduPersonEducationalProgramUniv     superseded
funetEduPersonEducationalProgramPolytech     superseded
funetEduPersonProgram x HR-databasen, cron Enligt statistikcentralens koder för utbildningsprogram.
funetEduPersonMajorUniv     superseded
funetEduPersonOrientationAlternPolytech     superseded
funetEduPersonSpecialisation      
funetEduPersonStudyStart      
funetEduPersonPrimaryStudyStart      
funetEduPersonStudyToEnd      
funetEduPersonPrimaryStudyToEnd      
funetEduPersonCreditUnits      
funetEduPersonECTS      
funetEduPersonStudentCategory      
funetEduPersonStudentStatus      
funetEduPersonStudentUnion     Mikä arvo on käytössä?
funetEduPersonHomeCity      
funetEduPersonEPPNTimeStamp      

4. Övrigt

4.1. Kardinaliteter

Yksi henkilöllisyys per tosielämän käyttäjä, vai
Yksi henkilöllisyys per rooli (esim. opiskelija-työntekijällä kaksi käyttäjätunnusta)?

I regel finns alltid endast ett användarkonto per verklig person. Kontot tilldelas behövliga roller utgående från uppgifter HR får via källregistren: studentregister, personalregister och UFO-registret.

Administrativa konton, som behövs internt, syns inte utåt via Identity providern.

4.2. EduPersonPrincipalName - ändring och återanvändning

Voiko eduPersonPrincipalName vaihtua?
Millä tavalla organisaatio kierrättää vapautuneita eduPersonPrincipalName-arvoja?

Ett en gång utdelat användarnamn (och motsvarande eduPersonPricipalName) återanvänds inte alls. HR-databasen upprätthåller denna information om vilka användarnamn som en gång skapats. Om en gammal användare återvänder får denne då sitt gamla användarnamn återaktiverat på basen av att användarnamnet är bundet till personbeteckningen.

Användarnamnet ändras inte även om personens namn ändrats, utom det finns särskilt vägande skäl för detta.