Lapin ammattikorkeakoulun käyttäjähallinnon kuvaus
|
Versio |
Tekijä |
Päiväys |
Muutos |
|
0.1 |
Jukka Heikkilä |
13.2.2014 |
alkuperäinen dokumentti |
|
0.2 |
Jukka Heikkilä |
17.3.2014 |
Päivitetty attribuutteja |
|
03 |
Jukka Heikkilä |
28.3.2014 |
Vaihdettu linkki joka osoittaa
FunetEduPerson Skeemaan |
|
04 |
Jukka Heikkilä |
22.10.2014 |
Lisätty o- attribuutti ja päivitetty opiskelijatunnusten
voimassaoloa |
|
05 |
Jouni Koivumaa |
29.4.2016 |
Päivitetty attribuuttien tiedot |
|
06 |
Jouni Koivumaa |
15.11.2019 |
Päivitetty tekstiosuutta ja attribuuttien luovutustietoja |
|
07 |
Jouni Koivumaa |
31.5.2021 |
Päivitetty tekstiosuutta ja attribuuttien luovutustietoja |
Tässä dokumentissa kuvataan Lapin ammattikorkeakoulun tietoverkon käyttäjähallinto. Tämä on osa koko Lapin korkeakoulukonsernin (LUC) käyttäjähallintoa.
1. Käyttäjätietokannan ja perusrekistereiden kytkentä
1.1. Opiskelijarekisteri
Perusrekisteri on Peppi-oppilashallintojärjestelmä. Järjestelmää ylläpitää Lapin ammattikorkeakoulun opintotoimisto. Opiskelijatiedot synkronoidaan automaattisesti kerran vuorokaudessa Windows Active Directory (AD) käyttäjähakemistoon.
1.1.1. Uusi opiskelija
Tarvittavat opiskelijatiedot
synkronoidaan Peppi-oppilashallintojärjestelmästä ajastetusti Microsoft
Identity Management (MIM) -järjestelmään arkisin kerran vuorokaudessa. Tietojen
pohjalta muodostetaan opiskelijalle mm. AD-käyttäjätili ja O365-sähköpostitili.
Järjestelmä lähettää uudelle opiskelijalle automaattisesti ohjeen tunnusten
aktivoimiseksi opiskelijan kotisähköpostiosoitteeseen. Opiskelija voi aktivoida
käyttäjätilin pankkitunnuksilla tai mobiilivarmenteella. IT-tuki voi myös
tarvittaessa tulostaa opiskelijalle tunnuslomakkeen henkilön tunnistautumista
vastaan. Opiskelija on pakotettu vaihtamaan salasana ensimmäisellä
sisäänkirjautumiskerralla.
1.1.2. Opiskelijan tiedoissa tapahtuu muutos
Muuttuneet tiedot luetaan
Peppi-järjestelmästä kerran vuorokaudessa ja synkronoidaan AD:n
tietoihin.
1.1.3. Opiskelija lakkaa olemasta opiskelija
Opiskelijan käyttäjätili on
voimassa 28 vrk valmistumis- tai eroamispäivästä. Opiskelija ilmoittautuessa
poissaolevaksi, tunnukset pysyvät avoimena
1.2. Henkilökuntarekisteri
Henkilökuntarekisterinä (HR) käytetään Mepco-henkilöstönhallintajärjestelmää. Henkilötiedot synkronoidaan automaattisesti kerran vuorokaudessa Windows Active Directory (AD) käyttäjähakemistoon.
1.2.1. Uusi työntekijä
Tarvittavat henkilötiedot synkronoidaan
HR-järjestelmästä ajastetusti Microsoft Identity Management (MIM)
-järjestelmään arkisin kerran vuorokaudessa. Tietojen pohjalta muodostetaan
henkilölle mm. AD-käyttäjätili ja O365-sähköpostitili. Henkilö voi aktivoida
käyttäjätilin pankkitunnuksilla tai mobiilivarmenteella. IT-tuki voi myös
tarvittaessa tulostaa henkilölle tunnuslomakkeen henkilön tunnistautumista
vastaan. Henkilö on pakotettu vaihtamaan salasana ensimmäisellä
sisäänkirjautumiskerralla.
1.2.2. Työntekijän tiedoissa tapahtuu muutos
Muuttuneet tiedot luetaan
HR-järjestelmästä kerran vuorokaudessa ja synkronoidaan AD:n
tietoihin.
1.2.3. Työntekijä lakkaa olemasta työntekijä
Henkilön käyttäjätili on voimassa 28 vrk työsuhteen päättymispäivästä.
1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus
Muut käyttäjät hallinnoidaan manuaalisesti tarpeen mukaan. Näillä tunnuksilla on kuitenkin vain paikallisiin järjestelmiin kirjautumisoikeudet.
2. Henkilöllisyyden todentaminen
2.1. Käyttäjätunnuksen antamisen yhteydessä
Kun käyttäjälle luovutetaan käyttäjätunnukset, hänen tulee pystyä todistamaan henkilöllisyytensä virallisella henkilötunnistusasiakirjalla. Henkilöllisyyden tarkistuksen tekee tunnusten luovuttaja.
2.2. Kun käyttäjä kirjautuu käyttäjätunnuksensa avulla
Käyttäjä pakotetaan vaihtamaan salasana ensimmäisellä kirjautumiskerralla. Salasanan minimipituus on 8 merkkiä. Järjestelmä muistaa kuusi aikaisempaa salasanaa, joita ei voi käyttää uudelleen. Salasana on voimassa 180 päivää.
3. Käyttäjätietokannassa saatavilla olevat tiedot
Lisätietoja funetEduPerson-skeemasta löytyy täältä.
|
Attribuutti |
Saatavuus |
Miten ajantasaisuus turvataan |
Muuta (esim. tulkintaohje) |
|
cn |
X |
tiedot synkronoidaan oppilashallinto- ja HR-järjestelmästä |
MUST |
|
displayName |
X |
tiedot synkronoidaan oppilashallinto- ja HR-järjestelmästä |
MUST |
|
givenName |
X |
tiedot synkronoidaan oppilashallinto- ja HR-järjestelmästä |
|
|
|
X |
sähköpostiosoite muuttuu, mikäli henkilön nimi muuttuu. |
|
|
ou |
X |
tiedot synkronoidaan oppilashallinto- ja HR-järjestelmästä. Vaihtuu mikäli opiskelija tai henkilö vaihtaa yksikköä |
|
|
sn |
X |
tiedot synkronoidaan oppilashallinto- ja HR-järjestelmästä. |
MUST |
|
uid |
X |
opiskelijalla ei vaihdu opintojen aikana. Henkilökunnalla ei vaihdu. |
|
|
eduPersonAffiliation |
X |
tiedot synkronoidaan oppilashallinto- ja HR-järjestelmästä. |
|
|
eduPersonEntitlement |
X |
tiedot ylläpidetään manuaalisesti tarpeen mukaan. |
|
|
eduPersonPrimaryAffiliation |
X |
tiedot synkronoidaan oppilashallinto- ja HR-järjestelmästä. |
|
|
eduPersonScopedAffiliation |
X |
tiedot synkronoidaan oppilashallinto- ja HR-järjestelmästä. |
|
|
eduPersonPrincipalName |
X |
voi muuttua opiskelijalla, mikäli ollut aiemmin opiskelijana. Samaa EPPN-arvoa ei kierrätetä. |
MUST |
|
eduPersonTargetedID |
X |
muodostetaan ”käyttäjätunnus”+ merkkijono. |
|
|
schacHomeOrganization |
X |
ei muutu |
MUST. |
|
schacHomeOrganizationType |
X |
ei muutu |
MUST |
|
schacPersonalUniqueCode |
X |
ei muutu |
|
|
schacPersonalUniqueID |
X |
ei muutu |
|
|
nationalIdentificationNumber |
X |
ei muutu |
|
|
funetEduPersonLearnerId |
X |
ei muutu |
|
4. Muuta
4.1. Kardinaliteetit
Uuden käytännön mukaan (1.8.2019) henkilöllä tai uudella opiskelijalla on vain yksi käyttäjätili, johon voi liittyä useampia rooleja. Aiemmin aloittaneilla opiskelijoilla on opinto-oikeuskohtainen käyttäjätili.
4.2. EduPersonPrincipalNamen revokointi ja kierrätys
Ennen 1.8.2019 aloittanut opiskelija saa uuden EPPN-arvon, mikäli tulee uudelleen opiskelemaan. Muutoin EPPN-arvoa kierrätetä.