Haka-infrastruktuuri
Kotiorganisaation käyttäjähallinnon kuvaus
| Versio | Tekijä | Päiväys |
|---|---|---|
| 1 | MN | 28.2.13 |
| 2 | MN | 13.3.13 |
1. Käyttäjätietokannan ja perusrekistereiden kytkentä
1.2. Henkilökuntarekisteri
LDAP-hakemiston tietoja ylläpidetään käyttäjätietokannan avulla ja päivitykset tehdään reaaliaikaisesti käyttäjätietojen muututtua. LDAPista haetaan IdP:lle vain ne tunnukset, jotka ovat Haka-infrastruktuurin palvelusopimuksen mukaisia loppukäyttäjä, eli Kansallisarkistoon ja arkistolaitokseen työ-, virka- tai palvelussopimuksella palkatut henkilöt.
Idp käyttää suoraan henklökuntarekisteria.
1.2.1. Uusi työntekijä
Uuden työntekijän tunnuspyynnöt tehdään esimiehen toimesta käyttämällä tätä varten tarkoitettua sovellusta. Tällöin tieto päätyy myös käyttäjätietokantaan.
Tunnistaminen seuraavailla asiakirjoilla: Henkilötodistus, passi tai ajokortti.
Uuden työntekijän tiedot siirtyvät LDAP-käyttäjätietokantaan, kun hänelle myönnetään esimiehen toimesta lähiverkkotunnus.
Uusi työntekijä saa tunnuksen Kansallisarkiston Toiminnaohjauksen vastuualueelta työsuhteen alkamisen jälkeen noin vuorokauden sisällä siitä kun tunnuspyyntö on vastaanotettu.
1.2.2. Työntekijän tiedoissa tapahtuu muutos
Muutostapauksessa esimies tekee pyynnön muuttuneiden tietojen päivittämisestä. LDAP:ssä tehdään tällaisessa tapauksessa tunnuksen disablointi. Jos työntekijän etu- tai sukunimi vaihtuu, hänelle luodaan uusi lähiverkkotunnus, joka päivittyy välittömäasti LDAP-tietovarantoon. Henkilön eduPersonPrincipalName muuttuu tuolloin vastaamaan henkiön uutta etu ja/tai sukunimeä.
Jos organisaatioon tulee myöhemmin henkilö jolla on sama nimi kuin aiemmin lopetaneella, hänelle ei anneta sellaista sähköpostiosoitetta joka on ollut aiemmin käytössä.
Esim.: "Matti Virtanen" ei saa sähköpostiosoitteekseen [email protected], vaan [email protected] (jossa t on toisen ristimänimen 1.kirjain)
1.2.3. Työntekijä lakkaa olemasta työntekijä
Esimiehen tekemä pyyntö tunnusten poistamisesta ja syy poistoon, joka tehdään ennen työsuhteen päättymistä. Tunnukset poistetaan työsuhteen päättymispäivänä.
1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus
Muita käyttäjiä kuin virka- tai työsuhteessa olevia ei ole.
2. Henkilöllisyyden todentaminen
2.1. Käyttäjätunnuksen antamisen yhteydessä
Tunnistaminen seuraavailla asiakirjoilla: Henkilötodistus, passi tai ajokortti. Esimies suoritta todennuksen.
2.2. Kun käyttäjä kirjautuu käyttäjätunnuksensa avulla
Novell eDirectory-pohjainen palvelu, jossa salasanan laatuvaatimukset asetettu (VIP-auditoitu 2010)
3. Käyttäjätietokannassa saatavilla olevat tiedot
| Attribuutti | Saatavuus | Miten ajantasaisuus turvataan | Muuta (esim. tulkintaohje) |
|---|---|---|---|
| cn / commonName | Kyllä | Prosessin avulla (kuvattu) | MUST |
| description | |||
| displayName | Kyllä | Prosessin avulla (kuvattu) | MUST |
| employeeNumber | |||
| facsimileTelephoneNumber | |||
| givenName | |||
| homePhone | |||
| homePostalAddress | |||
| jpegPhoto | |||
| l / localityName | Kyllä | Prosessin avulla (kuvattu) | |
| labeledURI | |||
| Kyllä | Prosessin avulla (kuvattu) | ||
| mobile | |||
| o / organizationName | |||
| ou / organizationalUnitName | |||
| postalAddress | |||
| postalCode | |||
| preferredLanguage | |||
| seeAlso | |||
| sn / surname | Kyllä | Prosessin avulla (kuvattu) | MUST |
| street | |||
| telephoneNumber | |||
| title | |||
| uid | |||
| userCertificate | |||
| eduPersonAffiliation | Mitä arvoja on saatavilla? | ||
| eduPersonEntitlement | |||
| eduPersonNickName | |||
| eduPersonOrgDN | |||
| eduPersonOrgUnitDN | |||
| eduPersonPrimaryAffiliation | |||
| eduPersonPrimaryOrgUnitDN | |||
| eduPersonPrincipalName | Kyllä | Prosessin avulla (kuvattu) | MUST |
| eduPersonScopedAddiliation | |||
| eduPersonTargetedID | |||
| schacMotherTongue | |||
| schacGender | |||
| schacDateOfBirth | |||
| schacPlaceOfBirth | |||
| schacCountryOfCitizenship | |||
| schacHomeOrganization | Kyllä | Prosessin avulla (kuvattu) Arvo on kovakoodattu rajapintaan MUST. |
|
| narc.fi | |||
| schacHomeOrganizationType | Kyllä | Prosessin avulla (kuvattu) Arvo on kovakoodattu rajapintaan MUST |
urn:mace:terena.org:schac:homeOrganizationType:fi:other |
| schacCountryOfResidence | |||
| schacUserPresenceID | |||
| schacPersonalUniqueCode | |||
| schacPersonalUniqueID | |||
| schacUserStatus | |||
| funetEduPersonHomeOrganization | superseded | ||
| funetEduPersonStudentID | superseded | ||
| funetEduPersonIdentityCode | superseded | ||
| funetEduPersonDateOfBirth | superseded | ||
| funetEduPersonTargetDegreeUniversity | superseded | ||
| funetEduPersonTargetDegreePolytech | superseded | ||
| funetEduPersonTargetDegree | |||
| funetEduPersonEducationalProgramUniv | superseded | ||
| funetEduPersonEducationalProgramPolytech | superseded | ||
| funetEduPersonProgram | |||
| funetEduPersonMajorUniv | superseded | ||
| funetEduPersonOrientationAlternPolytech | superseded | ||
| funetEduPersonSpecialisation | |||
| funetEduPersonStudyStart | |||
| funetEduPersonPrimaryStudyStart | |||
| funetEduPersonStudyToEnd | |||
| funetEduPersonPrimaryStudyToEnd | |||
| funetEduPersonCreditUnits | |||
| funetEduPersonECTS | |||
| funetEduPersonStudentCategory | |||
| funetEduPersonStudentStatus | |||
| funetEduPersonStudentUnion | Mikä arvo on käytössä? | ||
| funetEduPersonHomeCity | |||
| funetEduPersonEPPNTimeStamp |
4. Muuta
4.1. Kardinaliteetit
Yksi henkilöllisyys per tosielämän käyttäjä (ehdoton vaatimus).
4.2. EduPersonPrincipalNamen revokointi ja kierrätys
Voiko eduPersonPrincipalName vaihtua? Ei voi.
Millä tavalla organisaatio kierrättää vapautuneita eduPersonPrincipalName-arvoja? Ei kierrätystä, samoja arvoja ei anneta uudelleen.