Lapin ammattikorkeakoulun käyttäjähallinnon kuvaus

Versio

Tekijä

Päiväys

Muutos

0.1

Jukka Heikkilä

13.2.2014

alkuperäinen dokumentti

0.2

Jukka Heikkilä

17.3.2014

Päivitetty attribuutteja

03

Jukka Heikkilä

28.3.2014

Vaihdettu linkki joka osoittaa  FunetEduPerson Skeemaan

04

Jukka Heikkilä

22.10.2014

Lisätty o- attribuutti ja päivitetty opiskelijatunnusten voimassaoloa

05

Jouni

Koivumaa

29.4.2016

Päivitetty attribuuttien tiedot

06

Jouni

Koivumaa

15.11.2019

Päivitetty tekstiosuutta ja attribuuttien luovutustietoja

 

Tässä dokumentissa kuvataan Lapin ammattikorkeakoulun tietoverkon käyttäjähallinto. Tämä on osa koko Lapin korkeakoulukonsernin (LUC) käyttäjähallintoa.

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

1.1. Opiskelijarekisteri

Perusrekisteri on Peppi-oppilashallintojärjestelmä. Järjestelmää ylläpitää Lapin ammattikorkeakoulun opintotoimisto. Opiskelijatiedot synkronoidaan automaattisesti kerran vuorokaudessa Windows Active Directory (AD) käyttäjähakemistoon.

1.1.1. Uusi opiskelija

Tarvittavat opiskelijatiedot synkronoidaan Peppi-oppilashallintojärjestelmästä ajastetusti Microsoft Identity Management (MIM) -järjestelmään arkisin kerran vuorokaudessa. Tietojen pohjalta muodostetaan opiskelijalle mm. AD-käyttäjätili ja O365-sähköpostitili. Järjestelmä lähettää uudelle opiskelijalle automaattisesti ohjeen tunnusten aktivoimiseksi opiskelijan kotisähköpostiosoitteeseen. Opiskelija voi aktivoida käyttäjätilin pankkitunnuksilla tai mobiilivarmenteella. IT-tuki voi myös tarvittaessa tulostaa opiskelijalle tunnuslomakkeen henkilön tunnistautumista vastaan. Opiskelija on pakotettu vaihtamaan salasana ensimmäisellä sisäänkirjautumiskerralla.

1.1.2. Opiskelijan tiedoissa tapahtuu muutos

Muuttuneet tiedot luetaan Peppi-järjestelmästä kerran vuorokaudessa ja synkronoidaan AD:n tietoihin.

1.1.3. Opiskelija lakkaa olemasta opiskelija

Opiskelijan käyttäjätili on voimassa 28 vrk valmistumis- tai eroamispäivästä. Opiskelija ilmoittautuessa poissaolevaksi, tunnukset pysyvät avoimena


 

1.2. Henkilökuntarekisteri

Henkilökuntarekisterinä (HR) käytetään Pegasos-henkilöstönhallintajärjestelmää. Henkilötiedot synkronoidaan automaattisesti kerran vuorokaudessa Windows Active Directory (AD) käyttäjähakemistoon.

1.2.1. Uusi työntekijä

Tarvittavat henkilötiedot synkronoidaan HR-järjestelmästä ajastetusti Microsoft Identity Management (MIM) -järjestelmään arkisin kerran vuorokaudessa. Tietojen pohjalta muodostetaan henkilölle mm. AD-käyttäjätili ja O365-sähköpostitili. Henkilö voi aktivoida käyttäjätilin pankkitunnuksilla tai mobiilivarmenteella. IT-tuki voi myös tarvittaessa tulostaa henkilölle tunnuslomakkeen henkilön tunnistautumista vastaan. Henkilö on pakotettu vaihtamaan salasana ensimmäisellä sisäänkirjautumiskerralla.

1.2.2. Työntekijän tiedoissa tapahtuu muutos

Muuttuneet tiedot luetaan HR-järjestelmästä kerran vuorokaudessa ja synkronoidaan AD:n tietoihin.

1.2.3. Työntekijä lakkaa olemasta työntekijä

Henkilön käyttäjätili on voimassa 28 vrk työsuhteen päättymispäivästä.

1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus

Muut käyttäjät hallinnoidaan manuaalisesti tarpeen mukaan. Näillä tunnuksilla on kuitenkin vain paikallisiin järjestelmiin kirjautumisoikeudet.

2. Henkilöllisyyden todentaminen

2.1. Käyttäjätunnuksen antamisen yhteydessä

Kun käyttäjälle luovutetaan käyttäjätunnukset, hänen tulee pystyä todistamaan henkilöllisyytensä virallisella henkilötunnistusasiakirjalla. Henkilöllisyyden tarkistuksen tekee tunnusten luovuttaja.

2.2. Kun käyttäjä kirjautuu käyttäjätunnuksensa avulla

Käyttäjä pakotetaan vaihtamaan salasana ensimmäisellä kirjautumiskerralla. Salasanan minimipituus on 8 merkkiä. Järjestelmä muistaa kuusi aikaisempaa salasanaa, joita ei voi käyttää uudelleen. Salasana on voimassa 180 päivää.


 

3. Käyttäjätietokannassa saatavilla olevat tiedot

Lisätietoja funetEduPerson-skeemasta (ver 2.3) on täällä.

Attribuutti

Saatavuus

Miten ajantasaisuus turvataan

Muuta (esim. tulkintaohje)

cn

X

tiedot synkronoidaan oppilashallinto- ja HR-järjestelmästä

MUST

displayName

X

tiedot synkronoidaan oppilashallinto- ja HR-järjestelmästä

MUST

givenName

X

tiedot synkronoidaan oppilashallinto- ja HR-järjestelmästä

 

mail

X

sähköpostiosoite muuttuu, mikäli henkilön nimi muuttuu.

 

ou

X

tiedot synkronoidaan oppilashallinto- ja HR-järjestelmästä. Vaihtuu mikäli opiskelija tai henkilö vaihtaa yksikköä

 

sn

X

tiedot synkronoidaan oppilashallinto- ja HR-järjestelmästä.

MUST

uid

X

opiskelijalla ei vaihdu opintojen aikana. Henkilökunnalla ei vaihdu.

 

eduPersonAffiliation

X

tiedot synkronoidaan oppilashallinto- ja HR-järjestelmästä.

 

eduPersonEntitlement

X

tiedot ylläpidetään manuaalisesti tarpeen mukaan.

 

eduPersonPrimaryAffiliation

X

tiedot synkronoidaan oppilashallinto- ja HR-järjestelmästä.

 

eduPersonPrincipalName

X

voi muuttua opiskelijalla, mikäli ollut aiemmin opiskelijana. Samaa EPPN-arvoa ei kierrätetä.

MUST

eduPersonTargetedID

X

muodostetaan ”käyttäjätunnus”+ merkkijono.

 

schacHomeOrganization

X

ei muutu

MUST.

schacHomeOrganizationType

X

ei muutu

MUST

schacPersonalUniqueCode

X

ei muutu

 

schacPersonalUniqueID

X

ei muutu

 

nationalIdentificationNumber

X

ei muutu

 

funetEduPersonLearnerId

X

ei muutu

 

 


 

4. Muuta

4.1. Kardinaliteetit

Uuden käytännön mukaan (1.8.2019) henkilöllä tai uudella opiskelijalla on vain yksi käyttäjätili, johon voi liittyä useampia rooleja. Aiemmin aloittaneilla opiskelijoilla on opinto-oikeuskohtainen käyttäjätili.

4.2. EduPersonPrincipalNamen revokointi ja kierrätys

Ennen 1.8.2019 aloittanut opiskelija saa uuden EPPN-arvon, mikäli tulee uudelleen opiskelemaan. Muutoin EPPN-arvoa kierrätetä.