Käyttäjänhallinnan kuvaus

1. Lähdepalvelujen sekä käyttäjänhallinnan kytkennät

Laurean käyttäjänhallinnan ydin on OneIdentity IDM-järjestelmä, johon käyttäjätiedot tuodaan lähdepalveluista (Sarastia 365 HR = henkilökunta, Peppi = opiskelijat sekä ulkoisten tunnusten osalta OneIdentity sekä OneIdenityn web-portaali). HR sekä Peppi -lähteistä tieto tuodaan Frends-integraatioalustan kautta, jossa tapahtuu myös tiedon validointi.

1.1. Tietojen synkronointivälit

Uudet käyttäjäidentiteetit kohdepalvelutileineen sekä käyttöoikeuksineen muodostuvat n. tunnin välein. HR- ja Peppi-lähtöisten käyttäjien tietojen muutosten viennit Frendsin kautta OneIdenityyn tapahtuvat tunnin välein. Ulkoisten käyttäjien tietojen muutokset hallitaan manuaalisesti OneIdentitystä.

1.2. Opiskelijat

Opiskelijakäyttäjien tietolähteenä toimii opetuksenhallintajärjestelmä Peppi (perusrekisteri), joka on integroitu Frendsiin Pepin rajapinnalla. Tiedot viedään Frendsistä edelleen OneIdentityn tietokantainstanssiin sekä OneIdentitystä kohdepalveluihin (mm. Active Directory, Azure Active Directory, Canvas). Peppiin palautetaan OneIdentityssä muodostunut käyttäjätunnus.

Opiskelijalle muodostuu käyttäjätunnus, kun hänen tietonsa on kirjattu Peppiin ja Frendsin prosessi on vienyt vaaditut tiedot OneIdentityyn. Tunnuksen käyttöönotto tapahtuu Laurean OneIdentity web-portaalissa (myöhemmin tässä dokumentissa viitattu sisäisellä nimellä: IAM-Portaali), jossa käyttäjä tunnistautuu vahvasti Suomi.fi-tunnistautumisella. Poikkeustapauksissa (esimerkiksi opiskelijalla ei ole suomalaista henkilötunnusta) opiskelija tunnistetaan opintotoimiston toimesta voimassa olevalla henkilökortilla ja hänelle luovutetaan käyttäjätunnus sekä väliaikainen, IAM-Portaalin satunnaisgeneroima salasana, joka on vaihdettava seitsemän (7) vuorokauden kuluessa.

Aktiivinen käyttäjätunnus edellyttää, että opiskelijalla esiintyy Pepissä aktiivinen tai lähiaikana alkava läsnäolo(koodi). Tunnuksen passivointi tapahtuu erokoodin sekä opinto-oikeuden päättymispäivän perusteella, sekä sen jälkeisen ns. grace perioidin jälkeen. Grace perioid on tällä hetkellä 90 vuorokautta. Tunnus säilyy OneIdenityssä 9kk ennen poistoa.

1.3. Henkilökunta

Henkilökuntakäyttäjien tietolähteenä toimii Sarastia 365HR, josta tuodaan henkilön tiedot CSV-tiedostoina. Näistä tiedostoista kootaan paikallisella palvelimella powershell scriptien avulla ns. master-CSV, joka noudetaan Frendsin toimesta ja toimitetaan OneIdentityn tietokantainstanssiin sekä OneIdentitystä kohdepalveluihin (kuten kohdassa 1.2).

Henkilökuntakäyttäjän tunnus muodostetaan master-CSV:stä tulevan tiedon, sekä Frendsin validoinnin sekä siirron perusteella OneIdenityssä. Opiskelijan käyttäjätunnuksesta poiketen henkilökunnan käyttäjätunnus aktivoidaan vasta työsuhteen alkamispäiväksi. Henkilökunnan käyttäjätunnuksen käyttöönotto tapahtuu normaalitilanteessa niin ikään Suomi.fi -tunnistautumisella IAM-Portaalissa. Poikkeustapauksissa henkilö tunnistetaan paikan päällä voimassa olevalla henkilökortilla tietohallinnon edustajan toimesta ja tunnuksen luovutus tapahtuu manuaalisesti.

Työsuhteen päättyessä käyttäjätunnus deaktivoidaan. Tunnuksen poisto tapahtuu henkilökunnalla 3kk kuluttua disabloinnista.

1.4 Ulkoiset käyttäjät

Ulkoisilla käyttäjillä tarkoitetaan käyttäjiä, joiden lähdejärjestelmänä ei toimi Peppi (opiskelijat) tai Sarastia 365 HR (henkilökunta).

Ulkoinen käyttäjäidentiteetti luodaan IAM-portaalista Laureaan suorassa työsuhteessa (HR-lähtöinen käyttäjäidentiteetti) olevan henkilön toimesta. Ulkoinen käyttäjäidentiteetti voidaan luoda esim. Laurean yhteistyöorganisaation edustajalle, opettajaharjoittelijalle tai muulle ei-opiskelu tai -suorassa työsuhteessa olevalle henkilölle. Identiteetin luonut taho toimii käyttäjänhallinnan näkökulmasta luodun identiteetin esihenkilönä (manager) ja on tästä attestointivelvollinen.

Ulkoisen käyttäjäidentiteetin (/käyttäjätunnuksen) käyttöönottoprosessi vastaa henkilökunnan prosessia, eli käyttöönotto tehdään pääasiassa Suomi.fi -tunnistautumisella tai tunnistautumalla henkilökortilla paikan päällä.

Ulkoisen käyttäjäidentiteetin tietoja hallitaan OneIdentity Managerista Laurean tietohallintohenkilöstön toimesta (rajattu käyttäjänhallinnan pääkäyttäjiin sekä mahdollisiin ServiceDeskin nimettyihin henkilöihin). Tietojen päivitys tehdään manuaalisesti. Tietojen päivityspyyntö tulee tulla tai varmistetaan Laurean esi- tai vastuuhenkilönä toimivalta taholta

Ulkoinen käyttäjäidentiteeti on voimassa neljä (4) kuukautta kerrallaan. Viimeisen voimassaolokuukauden sisällä on suoritettava käyttäjäidentiteetin attestointi. Attestoinnissa henkilö, joka toimii ulkoisen käyttäjän esihenkilönä (esiintyy ulkoisen identiteetin manager-tiedossa OneIdentityssä), päättää jatketaanko käyttäjäidentiteettiä seuraavat neljä (4) kuukautta, poistetaanko se välittömästi vai attestointiajan (1kk) umpeuduttua.

2. Salasana

Kun käyttäjä kirjautuu ensimmäisen kerran, hänen on hyväksyttävä Laurean käyttösäännöt sekä luotava itselleen salasana. Salasanan vähimmäispituus käyttäjätunnukselle on 15 merkkiä. Salasanan tulee sisältää vähintään pieniä kirjaimia, isoja kirjaimia sekä numeroita. Myös erikoismerkit ovat sallittuja. Salasanan pakotettu vaihtoväli on 12kk. 

3. Käyttäjätietokannassa saatavilla olevat tiedot

4. Muuta

4.1 Kardinaliteetit

Yhdellä käyttäjällä voi olla maksimissaan kaksi normaalia käyttäjätunnusta (esim. sisäisillä harjoittelijoilla voi olla eri rooleilla henkilökunta- sekä opiskelijatunnus), sekä mahdollisesti ylläpitokäyttöä varten erillistunnuksia.

4.2 EduPersonPrincipalNamen revokointi ja kierrätys

Käyttäjäidentiteetin käyttäjätunnusta ei vaihdeta. Mikäli henkilö ei ole ollut työ-, opiskelu- tai muussa sopimuksellisessa suhteessa Laureaan ja tunnus on poistunut kohdissa 1.2, 1.3 tai 1.4 määritellyillä tavoilla, hänelle muodostetaan uusi käyttäjätunnus. Käyttäjätunnukset talletetaan tunnusarkistoon, eikä kerran käytettyä käyttäjätunnusta voida antaa toiselle henkilölle.