Haka-infrastruktuuri

Kotiorganisaation käyttäjähallinnon kuvaus
Versio Tekijä Päiväys
  1   MN   28.2.13
  2   MN   13.3.13


1. Käyttäjätietokannan ja perusrekistereiden kytkentä

1.2. Henkilökuntarekisteri

LDAP-hakemiston tietoja ylläpidetään käyttäjätietokannan avulla ja päivitykset tehdään reaaliaikaisesti käyttäjätietojen muututtua. LDAPista haetaan IdP:lle vain ne tunnukset,
jotka ovat Haka-infrastruktuurin palvelusopimuksen mukaisia loppukäyttäjä, eli Kansallisarkistoon ja arkistolaitokseen työ-, virka- tai  palvelussopimuksella palkatut henkilöt.
Idp käyttää suoraan henklökuntarekisteria.

1.2.1. Uusi työntekijä

Uuden työntekijän tunnuspyynnöt tehdään esimiehen toimesta käyttämällä tätä varten tarkoitettua
sovellusta. Tällöin tieto päätyy myös käyttäjätietokantaan.

Tunnistaminen seuraavailla asiakirjoilla: Henkilötodistus, passi tai ajokortti.

Uuden työntekijän tiedot siirtyvät LDAP-käyttäjätietokantaan, kun hänelle myönnetään esimiehen toimesta lähiverkkotunnus.

Uusi työntekijä saa tunnuksen Kansallisarkiston Toiminnaohjauksen vastuualueelta työsuhteen alkamisen jälkeen noin vuorokauden sisällä siitä kun tunnuspyyntö on vastaanotettu.

1.2.2. Työntekijän tiedoissa tapahtuu muutos

Muutostapauksessa esimies tekee pyynnön muuttuneiden tietojen päivittämisestä. LDAP:ssä tehdään tällaisessa tapauksessa tunnuksen disablointi. Jos työntekijän etu- tai sukunimi vaihtuu,
hänelle luodaan uusi lähiverkkotunnus, joka päivittyy välittömäasti LDAP-tietovarantoon. Henkilön eduPersonPrincipalName muuttuu tuolloin vastaamaan henkiön uutta etu ja/tai sukunimeä.
Jos organisaatioon tulee myöhemmin henkilö jolla on sama nimi kuin aiemmin lopetaneella, hänelle ei anneta sellaista sähköpostiosoitetta joka on ollut aiemmin käytössä.
Esim.: "Matti Virtanen" ei saa sähköpostiosoitteekseen matti.virtanen@narc.fi, vaan matti.t.virtanen@narc.fi  (jossa t on toisen ristimänimen 1.kirjain)

1.2.3. Työntekijä lakkaa olemasta työntekijä

Esimiehen tekemä pyyntö tunnusten poistamisesta ja syy poistoon, joka tehdään ennen työsuhteen päättymistä. Tunnukset poistetaan työsuhteen päättymispäivänä.

1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus

Muita käyttäjiä kuin virka- tai työsuhteessa olevia ei ole.

2. Henkilöllisyyden todentaminen


2.1. Käyttäjätunnuksen antamisen yhteydessä

Tunnistaminen seuraavailla asiakirjoilla: Henkilötodistus, passi tai ajokortti. Esimies suoritta todennuksen.

2.2. Kun käyttäjä kirjautuu käyttäjätunnuksensa avulla

Novell eDirectory-pohjainen palvelu, jossa salasanan laatuvaatimukset asetettu (VIP-auditoitu 2010)

3. Käyttäjätietokannassa saatavilla olevat tiedot
Attribuutti
 		Saatavuus
 		Miten ajantasaisuus turvataan
 		Muuta (esim. tulkintaohje)
cn / commonName
 		  Kyllä  Prosessin avulla (kuvattu)
 		 MUST
description      
displayName   Kyllä  Prosessin avulla (kuvattu)  MUST
employeeNumber      
facsimileTelephoneNumber    
givenName      
homePhone      
homePostalAddress      
jpegPhoto      
l / localityName
 		  Kyllä   Prosessin avulla (kuvattu)  
labeledURI
 		     
mail   Kyllä   Prosessin avulla (kuvattu)  
mobile      
o / organizationName
 		     
ou / organizationalUnitName
 		     
postalAddress
     
postalCode      
preferredLanguage      
seeAlso      
sn / surname
 		  Kyllä   Prosessin avulla (kuvattu)  MUST
street      
telephoneNumber      
title      
uid      
userCertificate


eduPersonAffiliation
 		     Mitä arvoja on saatavilla?
eduPersonEntitlement      
eduPersonNickName
 		     
eduPersonOrgDN      
eduPersonOrgUnitDN      
eduPersonPrimaryAffiliation    
eduPersonPrimaryOrgUnitDN      
eduPersonPrincipalName   Kyllä   Prosessin avulla (kuvattu)  MUST
eduPersonScopedAddiliation      
eduPersonTargetedID      
schacMotherTongue
 		     
schacGender
 		     
schacDateOfBirth
 		     
schacPlaceOfBirth
 		     
schacCountryOfCitizenship
 		     
schacHomeOrganization
 		  Kyllä   Prosessin avulla (kuvattu)
  Arvo on kovakoodattu rajapintaan
 MUST.
narc.fi
schacHomeOrganizationType   Kyllä   Prosessin avulla (kuvattu)
  Arvo on kovakoodattu rajapintaan		 MUST
 urn:mace:terena.org:schac:homeOrganizationType:fi:other
schacCountryOfResidence      
schacUserPresenceID      
schacPersonalUniqueCode      
schacPersonalUniqueID


schacUserStatus


funetEduPersonHomeOrganization

superseded
funetEduPersonStudentID

superseded
funetEduPersonIdentityCode

superseded
funetEduPersonDateOfBirth

superseded
funetEduPersonTargetDegreeUniversity

superseded
funetEduPersonTargetDegreePolytech

superseded
funetEduPersonTargetDegree


funetEduPersonEducationalProgramUniv

superseded
funetEduPersonEducationalProgramPolytech

superseded
funetEduPersonProgram


funetEduPersonMajorUniv

superseded
funetEduPersonOrientationAlternPolytech

superseded
funetEduPersonSpecialisation


funetEduPersonStudyStart


funetEduPersonPrimaryStudyStart


funetEduPersonStudyToEnd


funetEduPersonPrimaryStudyToEnd


funetEduPersonCreditUnits


funetEduPersonECTS


funetEduPersonStudentCategory


funetEduPersonStudentStatus


funetEduPersonStudentUnion

Mikä arvo on käytössä?
funetEduPersonHomeCity


funetEduPersonEPPNTimeStamp










4. Muuta

4.1. Kardinaliteetit

Yksi henkilöllisyys per tosielämän käyttäjä (ehdoton vaatimus).

4.2. EduPersonPrincipalNamen revokointi ja kierrätys

Voiko eduPersonPrincipalName vaihtua?  Ei voi.
Millä tavalla organisaatio kierrättää vapautuneita eduPersonPrincipalName-arvoja?  Ei kierrätystä, samoja arvoja ei anneta uudelleen.