Siirry sisältöön

Käyttäjänhallinnan kuvaus

Laurea-ammattikorkeakoulu - käyttäjänhallinnan kuvaus

 

1. Lähdepalvelujen sekä käyttäjänhallinnan kytkennät

Laurean käyttäjänhallinnan ydin on Microsoft Identity Manager (MIM), johon käyttäjätiedot tuodaan lähdepalveluista (Sarastia 365 HR, Peppi sekä ulkoisten tunnusten osalta käyttäjätietokanta, jota hallitaan MyLaurea web-portaalista).

Vuoden 2022 aikana MIM korvataan OneIdentity Managerilla.

1.1. Tietojen synkronointivälit

Uudet käyttäjät muodostuvat kerran vuorokaudessa ajettavissa full-synkronoinneissa. Olemassa olevien käyttäjien tietojen muutokset tapahtuvat tunnin välein ajettavissa delta-ajoissa.

1.2. Opiskelijat

Opiskelijakäyttäjien tietolähteenä toimii opetuksenhallintajärjestelmä Peppi (perusrekisteri), joka on integroitu MIM:iin REST-rajapinnalla. Tiedot viedään MIM:stä edelleen IDM tietokantainstanssiin sekä Active Directoryyn. Peppiin palautetaan MIM:stä muodostunut käyttäjätunnus.

Opiskelijalle muodostuu käyttäjätunnus kun hänen tietonsa on kirjattu Peppiin ja full-synkronointi on tuonut vaaditut tiedot. Tunnuksen käyttöönotto tapahtuu MyLaurea web-portaalissa, jossa käyttäjä tunnistautuu vahvasti Suomi.fi-tunnistautumisella.

Aktiivinen käyttäjätunnus edellyttää että opiskelija on läsnä, eli hänelle ei ole kirjattu erokoodia Pepin läsnäolotietoihin. Mikäli erokoodi on kirjattu (esim. eronnut, valmistunut tai ei ole ilmoittautunut läsnäolevaksi), tunnus disabloidaan 14 vuorokautta erokoodin leimaamisesta ja tunnus säilyy 9kk ennen poistoa.

1.3. Henkilökunta

Henkilökuntakäyttäjien tietolähteenä toimii Sarastia 365HR, josta tuodaan henkilön tiedot CSV-tiedostoina. Näistä tiedostoista kootaan paikallisella palvelimella powershell scriptien avulla ns. master-CSV, joka viedään MIM:iin ja siitä eteenpäin (kuten kohdassa 1.2).

Henkilökuntakäyttäjän tunnus muodostetaan niin ikään full-synkronoinnissa. Opiskelijan käyttäjätunnuksesta poiketen henkilökunnan käyttäjätunnus enabloidaan vasta työsuhteen alkamispäiväksi. Henkilökunnan käyttäjätunnuksen käyttöönotto tapahtuu normaalitilanteessa niin ikään Suomi.fi -tunnistautumisella MyLaurea web-portaalissa. Poikkeustapauksissa henkilö tunnistetaan paikan päällä voimassa olevalla henkilökortilla tietohallinnon edustajan toimesta ja tunnuksen luovutus tapahtuu manuaalisesti.

Työsuhteen päättyessä käyttäjätunnus disabloidaan. Tunnuksen poisto tapahtuu 3kk kuluttua disabloinnista.

1.4 Ulkoiset käyttäjät

Ulkoisilla käyttäjillä tarkoitetaan käyttäjiä, joiden lähdejärjestelmänä ei toimi Peppi (opiskelijat) tai Sarastia 365 HR (henkilökunta).

Ulkoiset käyttäjät luodaan käyttäjänhallinnan MyLaurea web-portaalista käyttäjänhallinnan pääkäyttäjien tai ServiceDeskin toimesta. Henkilökuntaan kuuluvalla on oikeudet tilata ulkoinen käyttäjätunnus esimerkiksi Laurean yhteistyöorganisaation edustajalle, opettajaharjoittelijjalle tai muulle ei-opiskelu tai -työsuhteessa olevalle henkilölle palvelunhallintaportaalista. Tilaaja toimii ulkoisen henkilön esi- tai vastuuhenkilönä käyttäjänhallinnan näkökulmasta.

Ulkoisen käyttäjätunnuksen käyttöönottoprosessi vastaa henkilökunnan prosessia, eli käyttöönotto tehdään pääasiassa Suomi.fi -tunnistautumisella tai tunnistautumalla henkilökortilla paikan päällä.

Ulkoisen käyttäjätunnuksen attribuuttitietoja hallitaan MyLaurea-portaalista käyttäjänhallinnan pääkäyttäjien ja ServiceDeskin toimesta. Tietojen päivitys tehdään manuaalisesti. Tietojen päivityspyyntö tulee tulla tai varmistetaan Laurean esi- tai vastuuhenkilönä toimivalta taholta

Ulkoisen käyttäjätunnuksen poisto määräytyy MyLaureassa asetetun viimeisen voimassaolopäivän mukaan. Tunnuksen päättymispäivää tiedustellaan ulkoisen käyttäjän Laurea-yhteyshenkilöltä, joka myös tunnuksen tilaa.

2. Salasana

Tunnuksen käyttöönotossa käyttäjälle generoidaan satunnainen salasana. Kun käyttäjä kirjautuu ensimmäisen kerran, tämä salasana on vaihdettava. Salasanan vähimmäispituus normaalille käyttäjätunnukselle on 8 merkkiä ja ylläpitotunnukselle 12 merkkiä. Salasanan tulee sisältää merkkejä vähintään kolmesta seuraavasta kategoriasta: pieni kirjain, iso kirjain, numero tai erikoismerkki. Salasanan pakotettu vaihtoväli on 4kk. 

3. Käyttäjätietokannassa saatavilla olevat tiedot

Attribuutti

cn

sn

givenName

mail

displayName

eduPersonPrincipalName

schacHomeOrganization

schacHomeOrganizationType

eduPersonAffiliation

uid

schacPersonalUniqueID

eduPersonScopedAffiliation

schacDateOfBirth

eduPersonPrimaryAffiliation

homePostalAddress

schacPersonalUniqueCode

eduPersonAssurance

 

4. Muuta

4.1 Kardinaliteetit

Yhdellä käyttäjällä voi olla maksimissaan kaksi eri tunnusta (esim. sisäisillä harjoittelijoilla voi olla eri rooleilla henkilökunta- sekä opiskelijatunnus), sekä mahdollisesti ylläpitokäyttöä varten erillistunnuksia.

4.2 EduPersonPrincipalNamen revokointi ja kierrätys

Käyttäjätunnusta ei vaihdeta. Mikäli henkilö ei ole ollut työ-, opiskelu- tai muussa sopimuksellisessa suhteessa Laureaan ja tunnus on poistunut kohdissa 1.2, 1.3 tai 1.4 määritellyillä tavoilla, hänelle muodostetaan uusi käyttäjätunnus. Käyttäjätunnukset talletetaan tunnusarkistoon, eikä kerran käytettyä käyttäjätunnusta voida antaa toiselle henkilölle.

 Versio  Tekijä  Päiväys
1.0 Kimmo Puumala, Sonja Vanala, Mika Salo 25.11.2021