Haka-infrastruktuuri

Kotiorganisaation käyttäjähallinnon kuvaus



Versio Tekijä Päiväys
  1   MN   28.2.13
  2   MN   13.3.13


1. Käyttäjätietokannan ja perusrekistereiden kytkentä


1.2. Henkilökuntarekisteri

LDAP-hakemiston tietoja ylläpidetään käyttäjätietokannan avulla ja päivitykset tehdään reaaliaikaisesti käyttäjätietojen muututtua. LDAPista haetaan IdP:lle vain ne tunnukset,
jotka ovat Haka-infrastruktuurin palvelusopimuksen mukaisia loppukäyttäjä, eli Kansallisarkistoon ja arkistolaitokseen työ-, virka- tai  palvelussopimuksella palkatut henkilöt.
Idp käyttää suoraan henklökuntarekisteria.

1.2.1. Uusi työntekijä

Uuden työntekijän tunnuspyynnöt tehdään esimiehen toimesta käyttämällä tätä varten tarkoitettua
sovellusta. Tällöin tieto päätyy myös käyttäjätietokantaan.

Tunnistaminen seuraavailla asiakirjoilla: Henkilötodistus, passi tai ajokortti.

Uuden työntekijän tiedot siirtyvät LDAP-käyttäjätietokantaan, kun hänelle myönnetään esimiehen toimesta lähiverkkotunnus.

Uusi työntekijä saa tunnuksen Kansallisarkiston Toiminnaohjauksen vastuualueelta työsuhteen alkamisen jälkeen noin vuorokauden sisällä siitä kun tunnuspyyntö on vastaanotettu.

1.2.2. Työntekijän tiedoissa tapahtuu muutos

Muutostapauksessa esimies tekee pyynnön muuttuneiden tietojen päivittämisestä. LDAP:ssä tehdään tällaisessa tapauksessa tunnuksen disablointi. Jos työntekijän etu- tai sukunimi vaihtuu,
hänelle luodaan uusi lähiverkkotunnus, joka päivittyy välittömäasti LDAP-tietovarantoon. Henkilön eduPersonPrincipalName muuttuu tuolloin vastaamaan henkiön uutta etu ja/tai sukunimeä.
Jos organisaatioon tulee myöhemmin henkilö jolla on sama nimi kuin aiemmin lopetaneella, hänelle ei anneta sellaista sähköpostiosoitetta joka on ollut aiemmin käytössä.
Esim.: "Matti Virtanen" ei saa sähköpostiosoitteekseen matti.virtanen@narc.fi, vaan matti.t.virtanen@narc.fi  (jossa t on toisen ristimänimen 1.kirjain)

1.2.3. Työntekijä lakkaa olemasta työntekijä

Esimiehen tekemä pyyntö tunnusten poistamisesta ja syy poistoon, joka tehdään ennen työsuhteen päättymistä. Tunnukset poistetaan työsuhteen päättymispäivänä.

1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus

Muita käyttäjiä kuin virka- tai työsuhteessa olevia ei ole.


2. Henkilöllisyyden todentaminen


2.1. Käyttäjätunnuksen antamisen yhteydessä

Tunnistaminen seuraavailla asiakirjoilla: Henkilötodistus, passi tai ajokortti. Esimies suoritta todennuksen.

2.2. Kun käyttäjä kirjautuu käyttäjätunnuksensa avulla

Novell eDirectory-pohjainen palvelu, jossa salasanan laatuvaatimukset asetettu (VIP-auditoitu 2010)

3. Käyttäjätietokannassa saatavilla olevat tiedot


Attribuutti
Saatavuus
Miten ajantasaisuus turvataan
Muuta (esim. tulkintaohje)
cn / commonName
  Kyllä  Prosessin avulla (kuvattu)
 MUST
description      
displayName   Kyllä  Prosessin avulla (kuvattu)  MUST
employeeNumber      
facsimileTelephoneNumber    
givenName      
homePhone      
homePostalAddress      
jpegPhoto      
l / localityName
  Kyllä   Prosessin avulla (kuvattu)  
labeledURI
     
mail   Kyllä   Prosessin avulla (kuvattu)  
mobile      
o / organizationName
     
ou / organizationalUnitName
     
postalAddress
     
postalCode      
preferredLanguage      
seeAlso      
sn / surname
  Kyllä   Prosessin avulla (kuvattu)  MUST
street      
telephoneNumber      
title      
uid      
userCertificate



eduPersonAffiliation
     Mitä arvoja on saatavilla?
eduPersonEntitlement      
eduPersonNickName
     
eduPersonOrgDN      
eduPersonOrgUnitDN      
eduPersonPrimaryAffiliation    
eduPersonPrimaryOrgUnitDN      
eduPersonPrincipalName   Kyllä   Prosessin avulla (kuvattu)  MUST
eduPersonScopedAddiliation      
eduPersonTargetedID      
schacMotherTongue
     
schacGender
     
schacDateOfBirth
     
schacPlaceOfBirth
     
schacCountryOfCitizenship
     
schacHomeOrganization
  Kyllä   Prosessin avulla (kuvattu)
  Arvo on kovakoodattu rajapintaan
MUST.
narc.fi
schacHomeOrganizationType   Kyllä   Prosessin avulla (kuvattu)
 
Arvo on kovakoodattu rajapintaan
MUST
urn:mace:terena.org:schac:homeOrganizationType:fi:other
schacCountryOfResidence      
schacUserPresenceID      
schacPersonalUniqueCode      
schacPersonalUniqueID



schacUserStatus



funetEduPersonHomeOrganization


superseded
funetEduPersonStudentID

superseded
funetEduPersonIdentityCode

superseded
funetEduPersonDateOfBirth

superseded
funetEduPersonTargetDegreeUniversity

superseded
funetEduPersonTargetDegreePolytech

superseded
funetEduPersonTargetDegree


funetEduPersonEducationalProgramUniv

superseded
funetEduPersonEducationalProgramPolytech

superseded
funetEduPersonProgram


funetEduPersonMajorUniv

superseded
funetEduPersonOrientationAlternPolytech

superseded
funetEduPersonSpecialisation


funetEduPersonStudyStart


funetEduPersonPrimaryStudyStart


funetEduPersonStudyToEnd



funetEduPersonPrimaryStudyToEnd


funetEduPersonCreditUnits


funetEduPersonECTS


funetEduPersonStudentCategory


funetEduPersonStudentStatus


funetEduPersonStudentUnion

Mikä arvo on käytössä?
funetEduPersonHomeCity


funetEduPersonEPPNTimeStamp










4. Muuta

4.1. Kardinaliteetit

Yksi henkilöllisyys per tosielämän käyttäjä (ehdoton vaatimus).

4.2. EduPersonPrincipalNamen revokointi ja kierrätys

Voiko eduPersonPrincipalName vaihtua?  Ei voi.
Millä tavalla organisaatio kierrättää vapautuneita eduPersonPrincipalName-arvoja?  Ei kierrätystä, samoja arvoja ei anneta uudelleen.