Haka
Tässä dokumentissa ollaan kiinnostuneita käyttäjätietokannan ja sen tietojen ajantasaisuuden toteutuksen yleisistä periaatteista sellaisella tasolla, joka antaa riittävät tiedot käyttäjätietojen laadun ja ajantasaisuuden arvioimiseksi.
| Version | Uppgjord av | Datum |
|---|---|---|
| 1.0 | Fredrik Finnberg | 15.11.2009 |
| 1.1 | Fredrik Finnberg | 24.11.2009 |
| 2.0 | Johannes Edgren & Harald Hannelius | 16.11.2022 |
| 2.1 | Fredrik Byggmästar, Harald Hannelius, Hugo Kanta | 2025-01-15 |
Kotiorganisaatio asettaa tämän dokumentin www:hen kaikkien saataville ja päivittää sitä oma-aloitteisesti, kun muutoksia tulee. Dokumentti linkitetään Haka-infrastruktuurin kotisivulta.
Tässä dokumentissa käyttäjätietokannalla tarkoitetaan sitä loppukäyttäjien attribuuttien joukkoa, johon organisaation Identity Provider-palvelin tukeutuu. Käyttäjätietokannan tekninen toteutus voi olla esim. LDAP-hakemisto tai relaatiotietokanta, tai niiden yhdistelmä niin, että Identity Provider -palvelin noutaa osan attribuuteista LDAP-hakemistosta ja osan JDBC:n yli opiskelijarekisteristä.
1. Koppling mellan användardatabasen och källregistren
Uppgifter om Arcadas användare finns i en samlingsdatabas, HRegister, och denna data, som samlats ihop från våra källregister (Studentregistret SISU, Löneregister SD Worx, UFORegister), används för att regelbundet uppdatera våra LDAP-kataloger. AD och dens tjänst ADFS används för autentisering av Arcadas användare. Arcadas Identity Provider använder sig av informationen i LDAP-katalogen. Övrig data om användarna finns i Arcadas interna källregister.
Uppdateringen av LDAP och AD sker med hjälp av cronjob i samband med att HRegistret uppdateras.
Automatisk uppdatering av alla aktiva användares attribut samt rättigher sker dagligen kring midnatt. Nya användare skapas via synkroniseringskörningar till HRregisstret som sker varje timme varje dag via cronjob som kör databasförfrågningar.
Synkroniseringskörningen övervakas med hjälp av loggning till fil samt till HRegistrets eventlog för enskilda händelser för användare.
Vissa felsituationer skapar automatiskt ticket i IT-Support ticketsystemet. T.ex. utgående UFO inlägg.
1.1. Studentregistret
Lähtöoletuksena on, että opiskelijarekisterin henkilötiedot ovat ajantasalla.
Miten käyttäjätietokanta on kytketty opiskelijarekisteriin?
Databasen HRegister får aktuella uppgifter från källregistren, varav studentregistret är ett av dessa källregister. Vid varje körning jämförs den data för användaren som är sparad i HRegistret mot den data som hämtats från källregistret.
Person som saknar finländsk personbeteckning i studentregistret ges i HRegister en konstgjord personbeteckning vars första del är födelsedatum enligt modell i finsk personbeteckning DDMMÅÅ, skiljetecknet är U (F om född på 2000-talet) och de sista fyra tecknen består av XXnn (där nn är decimaltal), men om annan person, utan finländsk personbeteckning, är född samma dag tas för de två sista tecknen ibruk en decimal numrering börjande från 10 till 99.
Uppdatering av studentinformation i studentregistret sker automatiskt via OILI integration alternativt via administrativa användargränssnitt som används av studieadministrationen på studiebyrån, antagningsbyrån och internationella byrån samt fortbildningsenheten. Data om närvaro-frånvaro anmälan, som äldre studenter kan göra själva varje läsår, registreras automatiskt i studentregistret via läsårsanmälningssystemet i OILI. -uppdateras
1.1.1. Ny student
Miten uuden opiskelijan tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?
Koska uusi opiskelija saa käyttäjätunnuksen/opiskelijaroolin?
Mitä tunnukselle tapahtuu, jos uusi opiskelija ei ota opiskelupaikkaa vastaan, tai ottaa paikan vastaan mutta ilmoittautuu poissaolevaksi?
Nya studeranden införs i HRegister med hjälp av cronjob från SISU varje timme.
Studeranden får användarkontot när de har identiferat sig på portalen AAS, satt sitt första lösenord och godkänt användarreglerna.
Om studeranden inte närvaroanmäler sig löses kontot inte ut och användarkontot raderas. Användarens persondata sparas i HRegister.
När synkroniseringen körs skapas i HRegister-databasen ett nytt användarnamn som baserar sig på användarens efternamn och förnamn. Personen får en unik id ArcadaID.
Användarnamnet tas i bruk samt aktiveras när studenten styrkt sin identitet via Arcadas konto hanterings portal Arcada Account Services (AAS) med stark identifiering Suomi.fi alternativt för personer utan Finsk identitet via tjänsten Candour. Studenten kan även uppvisa Pass eller Identitetsbevis varpå studenten får en engångs kod för att aktivera sitt konto i AAS.
Examensstudenter som inte söker in via nationella gemensamma antagningen, som t.ex. överflyttare från annan skola, registreras manuellt av studiebyrån i studentregistret.
Studenter inom specialiseringsutbildning och öppna yrkeshögskolan, utbildning som inte leder till examen, införs också i studentregistret men dessa tilldelas inte "student" affiliation (eduPersonAffiliation) utan de får affiliationen "member" sedan November 2022.
Utbytesstudenter registreras också manuellt av internationella byrån och de får "student" affiliation för den period de registrerats som närvarande. Utbytesstudenter får konstgjord personbeteckning enligt ovan beskriven modell för studenter.
1.1.2. Studentens uppgifter ändras
Miten opiskelijan muuttuneet tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?
Studenten får sin "student" affiliation kopplat till sitt användarkonto i det ögonblick som en närvaroregistrering för läsåret finns vid synkroniseringstidpunkten, likadant tas "student" affiliationen bort om en frånvaro registrerats. Saknas läsårsanmälan per givet datum för närvarande, eller kommande läsår, avlägsnas "student" affiliationen vid synkroniseringskörningen.
Även övriga uppdateringar i studentens uppgifter till HRregistret och därmed också till LDAP sker vid synkroniseringen som t.ex. ändring av namn.
1.1.3. En student upphör att vara studerande
Koska organisaatio (esim. opintoasiainhallinto) katsoo, että opiskelija lakkaa olemasta opiskelija
- sen jälkeen kun opiskelija valmistuu?
- sen jälkeen kun lukukausi vaihtuu, ja opiskelija ei ole ilmoittautunut läsnäolevaksi?
- sen jälkeen kun opiskelija ilmoittaa keskeyttävänsä opinnot?
Kuinka kauan ylläolevien tapahtumien jälkeen kestää, että organisaatio (esim. tietohallinto) sulkee opiskelijan käyttäjätunnuksen tai poistaa opiskelijaroolin?
En student som utexamineras registreras av studiebyrån, senast inom 1 vecka efter utexamineringsdagen som utdimitterad och arkiveras från studentregistret och blir då vid nästa synkroniseringskörning av med sin "student" affiliation.
Saknas läsårsanmälan per givet datum för läsåret, registreras studenten som ett avbrott och blir av med sin "student" affiliation, examens- och utbytesstuderanden får rollen "affiliate" i 30 dagar. Sju dagar efter detta stängs kontot om inte läsårsanmälan görs. Studiebyrån gör denna registrering senast inom en vecka efter sista anmälningsdagen för läsårsanmälan gått ut.
Om en student meddelar avbrott eller studietiden tar slut registrerar studiebyrån avbrottet med dess datum och då sker borttagning av samtliga affiliationer vid nästa synkroniseringskörning.
Student konton har en karenstid på 7 dagar då användarens konto hålls uppe med "affiliate" affiliation.
1.2. Personalregistret
Databasen HRegister får aktuella uppgifter från källregistren, varav löneregistret (SD Worx) är ett av källregistren där uppgifter om anställd personal finns. Denna uppdatering av personal till HRegister sker i samma körning som för studentregistret.
Uppdatering av data i löneregistret sker via löneregistrets egna användargränssnitt som används av löneräknaren och personalhandläggaren.
1.2.1. Ny personal
En ny anställd registreras i löneregistret med namn, personbeteckning och anställningsdatum samt övriga uppgifter om anställningsförhållandet. Nytt användarkonto skapas och användaruppgifterna sparas i HRegister vid synkroniseringskörningen på basen av en registrerad ny personbeteckning och affiliationer "employee", "staff", "member" samt möjligen "faculty" tilldelas kontot på basis av användarens kostnadsställen.
1.2.2. Personalens uppgifter förändras
Ändringar i anställdas uppgifter uppdateras likadant som för studenter i samband med synkroniseringen.
1.2.3. En person upphör att vara anställd
Ett anställningsförhållande tar slut vid det slutdatum som registreras av löneadministrationen i personregistret. Detta slutdatum används för att avgöra när den anställdes affiliationer raderas.
Personalens konton har vanligen en karenstid på 7 dagar då användarens konto hålls uppe med "affiliate" och "staff" affiliation. Denna karenstid kan förlängas vid behov av rektor.
1.3. Övriga användare och uppdatering av deras personuppgifter
Onko organisaatiossa vielä jotain muita käyttäjiä, joilla on käyttäjätunnus ja jotka voivat kirjautua Identity Provider -palvelimen kautta Haka-infrastruktuurin palveluihin (Suomen Akatemian tutkijat? Ravintolahenkilökunta? Siviilipalvelusmiehet? Dosentit? Alumnit? Emeritukset? Kirjaston asiakkaat?). Minkälainen haku- ja hyväksymismenettely näihin tunnuksiin liittyy?
Miten heidän käyttäjätietojensa ajantasaisuus ja sulkeutuminen/roolitiedon päivittyminen on varmistettu?
Övriga användare registreras i vårt tredje källregister, UFO-registret, där personer registreras med sina personuppgifter som behövs för att kunna skapa ett användarkonto: namn, personbeteckning, hemadress, postadress, telefon, personlig-epostadress, ansvarsperson (heltids anställd vid Arcada i Chefsroll), Ticket ID för händelsen samt förklaring, start- och slutdatum. Ändringar för HR kollas likadant som övriga källregister regelbundet upp med hjälp av personbeteckningen mot UFO-registret.
Sellaiset käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-infrastruktuurin tarkoittamia loppukäyttäjiä, eikä heidän kirjautumistaan Identity Provider -palvelimen kautta palveluihin tule sallia.
2. Konstaterande av personens identitet
2.1. I samband med att användarnamnet ges ut
Millä tavalla uuden käyttäjän henkilöllisyys todennetaan, kun hänelle annetaan käyttäjätunnus?
Användarkonto utfärdas då användaren har identifierat sig på AAS.
Ifall AAS eller Suomi.Fi identifiering inte är möjlig bör den som utfärdar användarnamet be personen
identifiera sig via tjänsten Candour. I tjänsten identifierar användaren med NFC-utrustat pass. I undantagsfall kan användaren uppvisa av myndighet utfärdat identitetsbevis såsom Identitetskort eller Pass.
Personens användarkonto söks fram alltid i första hand upp på basen av personbeteckningen via HRegistrets användargränssnitt där man får personuppgifter om personen och möjlighet att byta och skriva ut nytt lösenord för kontot, spärra konton samt hantera attribut gällande epost. Tillgång till detta verktyg har IT-administrativ personal, helpdesk, personalhandläggare och -sekreterare.
Saknar personen en finländsk personbeteckning, eller finländskt identitetsbevis, sker sökning av personens uppgifter på basen av födelsedatum och namn. Jämförelse i personuppgifter med hjälp av tillgängligt identitetsbevis görs då med namn, adress, nationalitet, utbildningsprogram före konto ges ut eller nytt lösenord ges.
2.2. Då användaren loggar in med sitt användarnamn
Salasanatodennukseen liittyvät laatuvaatimukset.
Lösenordet bör vara minst 8 tecken långt, och innehålla alfanumeriska stora och små bokstäver. AAS utför en kvalitetscheck på starkt lösenord och detta bör för byte vara minst 8 tecken, innehålla stora och små bokstäver samt siffror.
Regelbundna kvalitetscheckar körs på samtliga lösenord. Konton med svaga lösenord stängs omedelbart och användaren måste då kontakta helpdesk för att få kontot öppnat och ett nytt starkare lösenord.
Mahdolliset käytettävissä olevat salasanaa tukevammat autentikointimenetelmät.
3. Tillgänglig information ur användardatabasen
Lisätietoja funetEduPerson-skeemasta on täällä.
Rasti kohtaan "Saatavuus", jos kyseinen henkilötieto on ajantasalla ja siten saatavilla Identity Provider -palvelimen yli.
Kohtaan "Miten ajantasaisuus turvataan" esimerkiksi viittaus luvun 1. järjestelmiin.
Jos organisaatiolla on omia (ei siis funetEduPersonin mukaisia) attribuutteja, jotka näkyvät ulospäin Identity Provider-palvelimesta, lisää ne taulukon loppuun. Tarvittaessa linkki dokumenttiin, joka tarkemmin kuvailee omien attribuuttien skeeman.
3.1 Attributtabell
| Attribut | Tillgängligt | Hur aktualiteten garanteras | Kommentar |
|---|---|---|---|
| cn / commonName | x | HRegister, cron | MUST |
| description | |||
| displayName | x | HRegister, cron | MUST |
| employeeNumber | |||
| facsimileTelephoneNumber | |||
| givenName | x | HRegister, cron | |
| homePhone | |||
| homePostalAddress | |||
| jpegPhoto | |||
| l / localityName | |||
| labeledURI | |||
| x | HR-databasen, ändras inte. Samma värde som eduPerson PrincipalName |
||
| mobile | x | Endast personal för tilfället | |
| o / organizationName | |||
| ou / organizationalUnitName | |||
| postalAddress | |||
| postalCode | |||
| preferredLanguage | x | ||
| seeAlso | |||
| sn / surname | x | HRegister, cron | MUST |
| street | |||
| telephoneNumber | x | Endast personal för tilfället | |
| title | x | Endast personal | |
| uid | x | HRegister, ändras inte | |
| userCertificate | |||
| eduPersonAffiliation | x | HRegister, cron | MUST ("affiliate", "alum", "student", "faculty", "employee", "member", "staff") |
| eduPersonAssurance | x | Vi identifierar alla användare | |
| eduPersonEntitlement | x | Alla register | MAY |
| eduPersonNickName | |||
| eduPersonOrgDN | |||
| eduPersonOrgUnitDN | |||
| eduPersonPrimaryAffiliation | |||
| eduPersonPrimaryOrgUnitDN | |||
| eduPersonPrincipalName | x | HRegister, ändras inte | MUST. uid |
| eduPersonScopedAffiliation | x | MUST ("affiliate |
|
| eduPersonTargetedID | x | Anonymiserad Scoped ID för användaren | |
| eduPersonUniqueId | x | ||
| schacMotherTongue | |||
| schacGender | |||
| schacDateOfBirth | |||
| schacPlaceOfBirth | |||
| schacCountryOfCitizenship | |||
| schacHomeOrganization | x | standardvärde, konstant | MUST. arcada.fi |
| schacHomeOrganizationType | x | standardvärde, konstant | MUST urn:mace:terena.org :schac: homeOrganizationType:fi: polytechnic |
| schacCountryOfResidence | |||
| schacUserPresenceID | |||
| schacPersonalUniqueCode | |||
| schacPersonalUniqueID | x | Prefix + Personbeteckning | |
| schacUserStatus | |||
| funetEduPersonFullName | x | GivenNames + Surname | |
| funetEduPersonHomeOrganization | superseded | ||
| funetEduPersonLearnerId | x | ||
| funetEduPersonStudentID | superseded | ||
| funetEduPersonIdentityCode | superseded | ||
| funetEduPersonDateOfBirth | superseded | ||
| funetEduPersonTargetDegreeUniversity | superseded | ||
| funetEduPersonTargetDegreePolytech | superseded | ||
| funetEduPersonTargetDegree | x | ||
| funetEduPersonEducationalProgramUniv | superseded | ||
| funetEduPersonEducationalProgramPolytech | superseded | ||
| funetEduPersonProgram | x | HRegister, cron | Enligt statistikcentralens koder för utbildningsprogram . |
| funetEduPersonMajorUniv | superseded | ||
| funetEduPersonOrientationAlternPolytech | superseded | ||
| funetEduPersonSpecialisation | |||
| funetEduPersonStudyStart | |||
| funetEduPersonPrimaryStudyStart | |||
| funetEduPersonStudyToEnd | |||
| funetEduPersonPrimaryStudyToEnd | |||
| funetEduPersonCreditUnits | |||
| funetEduPersonECTS | |||
| funetEduPersonStudentCategory | x | ||
| funetEduPersonStudentStatus | x | ||
| funetEduPersonStudentUnion | Mikä arvo on käytössä? | ||
| funetEduPersonHomeCity | |||
| funetEduPersonEPPNTimeStamp | |||
| nationalIdentificationNumber | x | HRegister, cron | Endast för riktiga personbeteckningar |
4. Övrigt
4.1. Kardinaliteter
Yksi henkilöllisyys per tosielämän käyttäjä, vai
Yksi henkilöllisyys per rooli (esim. opiskelija-työntekijällä kaksi käyttäjätunnusta)?
I regel finns alltid endast ett användarkonto per verklig person. Kontot tilldelas behövliga affiliationer utgående från uppgifter HRegistret samlat från källregistren: studentregister, personalregister och UFO-registret.
Administrativa konton, som behövs internt, syns inte utåt via Identity providern.
4.2. EduPersonPrincipalName - ändring och återanvändning
Voiko eduPersonPrincipalName vaihtua?
Millä tavalla organisaatio kierrättää vapautuneita eduPersonPrincipalName-arvoja?
Ett en gång utdelat användarnamn (och motsvarande eduPersonPricipalName) återanvänds inte alls. HRegister upprätthåller denna information om vilka användarnamn som en gång skapats. Om en gammal användare återvänder får denne då sitt gamla användarnamn återaktiverat på basen av att användarnamnet är bundet till personbeteckningen.
Användarnamnet ändras inte även om personens namn ändrats, utom det finns särskilt vägande skäl för detta.