|
Versio |
Tekijä |
Päiväys |
|
0.1 |
Hilkka Kankaanpää |
16.1.2006 |
|
0.2 |
Hilkka Kankaanpää |
9.2.2006 |
|
1.0 |
Hilkka Kankaanpää |
13.2.2006 |
|
2.0 |
Hilkka Kankaanpää |
30.10.2006 |
Tässä dokumentissa kuvataan Tampereen yliopiston Katti-käyttäjätietojärjestelmän ja sen tietojen ylläpidon toteutusta. Katti-käyttäjätietojärjestelmän taustalla on relaatiotietokanta (ja LDAP), josta löytyy loppukäyttäjien attribuuttien joukko, johon organisaation Shibboleth identity proveider tukeutuu.
Katti-käyttäjätietojäjestelmän tietoja ylläpidetään kolmesta perusrekisteristä: opiskelijavalinta-, opiskelija- ja henkilöstörekisteristä. Tiedot rekistereiden välillä replikoidaan kerran vuorokaudessa eräajoilla.
LDAP–hakemiston tietoja ylläpidetään käyttäjätietokannasta käsin.
Opsu-opiskelijatietojärjestelmän taustalla on relaatiotietokanta, josta tarvittavat tiedot kopioidaan Kattin tietokantaan ja edelleen LDAP-hakemistoon ajastetuilla replikoinneilla.
Opiskelijaksi valittu saa hyväksymistiedon tallennuksen yhteydessä käyttäjätunnuksen, ellei hänellä sellaista ennestään ole. Mikäli valitulla on jo voimassaoleva TaY:n käyttäjätunnus ei hänelle tehdä uutta. Jos hänellä on ollut käyttäjätunnus, mutta ei ole käyttöoikeutta (l. käyttäjätunnus ei ole millään palvelimella avoin), saa hän tämän leksikaalisesti saman tunnuksen uudelleen käyttöönsä. Uuden opiskelijan tiedot replikoidaan käyttäjätietokantaan heti tuloksen tallentamisen jälkeen ja samalla hänelle tehdään nimimuotoinen sähköpostiosoite. Uuden opiskelijan on itse aktivoiva tunnuksensa, jotta käyttöoikeus tulee voimaan.
Opiskelijan muuttuneet tiedot päivittyvät Katti-käyttäjätietojärjestelmään ajastetun replikoinnin yhteydessä. Nimimuotoinen sähköpostiosoite muutetaan, kun opiskelija ottaa yhteyttä käyttäjätunnushallintoon.
Opiskelija on opiskelija niin kauan, kun opiskelijalla on avoin opinto-oikeus ja hän on ilmoittautunut läsnäolevaksi. Jos opiskelija suorittaa tutkinnon, eikä hänellä ole enää avoimia opinto-oikeuksia, hän lakkaa olemasta opiskelija 4 kuukautta tutkinnon suorituksen jälkeen, jos hän on ilmoittautunut koko täksi ajaksi läsnä olevaksi, ja hänen tunnuksensa suljetaan. Lukukausien vaihtuessa opiskelijoiden läsnäolotiedot tarkistetaan alkaneelle lukukaudelle 10.9. ja 10.1. Jos opiskelija keskeyttää opintonsa tai määräaikainen opinto-oikeus päättyy, käyttäjätunnus sulkeutuu automaattisesti seuraavana päivänä.
Tieto kunkin opiskelijan oikeudesta käyttäjätunnukseen replikoidaan Katti-käyttäjätietokantaan kerran vuorokaudessa.
Käyttäjätunnushallinnassa tarvittavat henkilön tiedot replikoidaan kerran vuorokaudessa.
Työntekijän perustiedot ovat käyttäjätietokannassa ja käyttäjätunnushallinto luo uuden käyttäjätunnuksen paperisen käyttölupahakemuksen perusteella.
Työntekijän muuttuneet tiedot päivittyvät käyttäjätietokantaan replikoinnin yhteydessä. Nimimuotoinen sähköpostiosoite muutetaan, kun henkilö ottaa yhteyttä käyttäjätunnushallintoon. Jos määräaikainen henkilö saa jatkomääräyksen, jatketaan hänen käyttäjätunnuksensa voimassaoloa automaattisesti Prima-henkilöstörekisterin perusteella.
Työntekijä lakkaa olemasta työntekijä, kun hänellä ei ole voimassa olevaa työsuhdetta. Tällöin myös oikeus käyttäjätunnukseen päättyy tämän roolin perusteella. Tunnus sulkeutuu automaattisesti työsuhteen päättyttyä 7 vuorokauden kuluessa.
Käyttäjätunnus voidaan antaa myös Tampereen yliopiston ulkopuolisille henkilöille, joilla on jokin asiallinen yhteys TaY:oon. Tavallisimpia ryhmiä ovat dosentit, emeritukset ja erilaiset tutkijat. Nämä tunnukset ovat aina määräaikaisia, ne annetaan korkeintaan 2 vuodeksi kerrallaan ja niiden myöntämisestä päättää aina laitoksen johtaja.
Sellaiset käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-infrastruktuurin tarkoittamia loppukäyttäjiä, eikä heidän kirjautumistaan Shibboleth originin kautta palveluihin tule sallia.
Uuden opiskelijan täytyy aktivoida käyttäjätunnuksensa, jotta hän saa sen käyttöönsä. Hyväksymiskirjeen mukana lähetetään käyttäjätunnus ja ohje aktivoida tunnus TUPAS-palvelun avulla. Jos opiskelija ei ole aktivoinut tunnustaan ennen ilmoittautumistaan, hän saa käyttäjätunnuksen ja aktivointisalasanan ilmoittautuessaan aktuaarinkansliassa todistettuaan henkilöllisyytensä. Tunnus on käytettävissä, kun opiskelija on sen aktivoinut ja ilmoittautunut läsnäolevaksi.
Muiden opiskelijoiden täytyy asioida henkilökohtaisesti käyttäjätunnushallinnossa, jossa heidän henkilöllisyytensä tarkistetaan ennen kuin heille annetaan käyttäjätunnus ja salasana.
Henkilökunnan tunnus tehdään paperisen käyttölupahakemuksen perusteella. Käyttäjätunnus ja salasana lähetetään vastaanottajalle suljetussa kirjekuoressa laitoksen sihteerin kautta, joka antaa tunnustiedot vastaanottajalle.
Salasana on oltava 8-40 merkkiä ja sille tehdään määrätyt
laatutarkistukset.
TUPAS-autentikointia voidaan käyttää esim. vaihdettaessa
salasanaa ja uuden tunnuksen aktivoinnissa.
Rasti kohtaan
"Saatavuus", jos kyseinen henkilötieto on ajantasalla
ja siten saatavilla Shibboleth identity
proveder-palvelimen yli.
Kohtaan "Miten ajantasaisuus turvataan" esimerkiksi viittaus luvun 1.
järjestelmiin.
Jos organisaatiolla on omia (ei siis funetEduPersonin mukaisia) attribuutteja, jotka näkyvät
ulospäin Shibboleth originista,
lisää ne taulukon loppuun. Tarvittaessa linkki dokumenttiin, joka tarkemmin
kuvailee omien attribuuttien skeeman.
|
Attribuutti |
Saatavuus |
Miten ajantasaisuus turvataan |
Muuta (esim. tulkintaohje) |
|
cn / commonName |
X |
perusrekistereistä kerran vuorokaudessa |
MUST |
|
description |
|
|
|
|
displayName |
X |
perusrekistereistä kerran vuorokaudessa |
MUST |
|
employeeNumber |
|
|
|
|
facsimileTelephoneNumber |
|
|
|
|
givenName |
X |
perusrekistereistä kerran vuorokaudessa |
|
|
homePhone |
X |
opiskelijarekisteristä kerran vuorokaudesssa |
Tieto vain opiskelijoilla |
|
homePostalAddress |
X |
opiskelijarekisteristä kerran vuorokaudesssa |
|
|
jpegPhoto |
|
|
|
|
l / localityName |
|
|
|
|
labeledURI |
|
|
|
|
|
X |
|
|
|
mobile |
|
|
|
|
o / organizationName |
X |
vakio University of Tampere |
|
|
ou / organizationalUnitName |
X |
opiskelijarekisteristä tai henkilöstörekisteristä kerran vuorokaudesssa |
Tieto vain läsnä olevilla tutkinto-opiskeiljoilla ja henkilökunnalla |
|
postalAddress |
|
|
|
|
postalCode |
|
|
|
|
preferredLanguage |
X |
opiskelijarekisteristä kerran vuorokaudessa |
Tieto vain opiskelijoilla |
|
seeAlso |
|
|
|
|
sn / surname |
X |
perusrekistereistä kerran vuorokaudessa |
MUST |
|
street |
|
|
|
|
telephoneNumber |
X |
henkilö- ja virkarekisteristä kerran vuorokaudessa |
Tieto vain työntekijöillä |
|
title |
X |
henkilö- ja virkarekisteristä kerran vuorokaudessa |
Tieto vain työntekijöillä |
|
uid |
X |
muuttumaton |
|
|
userCertificate |
|
|
|
|
eduPersonAffiliation |
X |
perusrekistereistä kerran vuorokaudessa |
Student
– läsnäoleva tutkinto-opiskelija Staff – muu henkilökunta, ei
virkavapaalla Alumn
– alumnit |
|
eduPersonEntitlement |
X |
opiskelijarekisteristä tai henkilöstörekisteristä kerran vuorokaudesssa |
|
|
eduPersonNickName |
X |
|
|
|
eduPersonOrgDN |
X |
vakio |
|
|
eduPersonOrgUnitDN |
X |
opiskelijarekisteristä tai henkilöstörekisteristä kerran vuorokaudesssa |
Tieto vain läsnä olevilla tutkinto-opiskelijoilla ja henkilökunnalla |
|
eduPersonPrimaryAffiliation |
X |
perusrekistereistä kerran vuorokaudessa |
1. faculty 2.staff 3. employee 4.
student 5. member 6. affiliate 7. alumn |
|
eduPersonPrimaryOrgUnitDN |
X |
opiskelijarekisteristä tai henkilöstörekisteristä kerran vuorokaudesssa |
Tieto vain läsnä olevilla tutkinto-opiskelijoilla ja henkilökunnalla |
|
eduPersonPrincipalName |
X |
muuttumaton |
MUST
|
|
eduPersonScopedAffiliation |
X |
perusrekistereistä kerran vuorokaudessa |
|
|
eduPersonTargetedID |
|
|
|
|
schacMotherTongue |
X |
opiskelijarekisteristä kerran vuorokaudessa |
Tieto vain opiskelijoilla |
|
schacGender |
X |
perusrekistereistä kerran vuorokaudessa |
|
|
schacDateOfBirth |
X |
perusrekistereistä kerran vuorokaudessa |
|
|
schacPlaceOfBirth |
|
|
|
|
schacCountryOfCitizenship |
X |
opiskelijarekisteristä kerran vuorokaudessa |
Tieto vain opiskelijoilla |
|
schacHomeOrganization |
X |
vakio |
uta.fi |
|
schacHomeOrganizationType |
X |
vakio |
urn:mace:terena.org:schac:homeOrganizationType:fi:university |
|
schacCountryOfResidence |
|
|
|
|
schacUserPresenceID |
|
|
|
|
schacPersonalUniqueCode |
X |
opiskelijarekisteristä kerran vuorokaudessa |
|
|
schacPersonalUniqueID |
X |
perusrekistereistä kerran vuorokaudessa |
|
|
schacUserStatus |
|
|
|
|
funetEduPersonHomeOrganization |
X |
vakio uta.fi |
superseded |
|
funetEduPersonStudentID |
X |
opiskelijarekisteristä kerran vuorokaudessa |
superseded |
|
funetEduPersonIdentityCode |
X |
perusrekisteristä kerran |
superseded |
|
funetEduPersonDateOfBirth |
X |
perusrekisteristä kerran vuorokaudessa |
superseded |
|
funetEduPersonTargetDegreeUniversity |
X |
opiskelijarekisteristä kerran vuorokaudessa |
superseded |
|
funetEduPersonTargetDegreePolytech |
|
|
superseded |
|
funetEduPersonTargetDegree |
X |
opiskelijarekisteristä kerran vuorokaudessa |
|
|
funetEduPersonEducationalProgramUniv |
X |
opiskelijarekisteristä kerran vuorokaudessa |
superseded |
|
funetEduPersonEducationalProgramPolytech |
|
|
superseded |
|
funetEduPersonProgram |
X |
opiskelijarekisteristä kerran vuorokaudessa |
|
|
funetEduPersonMajorUniv |
X |
opiskelijarekisteristä kerran vuorokaudessa |
superseded |
|
funetEduPersonOrientationAlternPolytech |
|
|
superseded |
|
funetEduPersonSpecialisation |
X |
opiskelijarekisteristä kerran vuorokaudessa |
|
|
funetEduPersonStudyStart |
X |
opiskelijarekisteristä kerran vuorokaudessa |
|
|
funetEduPersonPrimaryStudyStart |
X |
opiskelijarekisteristä kerran vuorokaudessa |
|
|
funetEduPersonStudyToEnd |
|
|
|
|
funetEduPersonPrimaryStudyToEnd |
|
|
|
|
funetEduPersonCreditUnits |
X |
opiskelijarekisteristä kerran vuorokaudessa |
|
|
funetEduPersonECTS |
X |
opiskelijarekisteristä kerran vuorokaudessa |
|
|
funetEduPersonStudentCategory |
X |
opiskelijarekistereistä kerran vuorokaudessa |
|
|
funetEduPersonStudentStatus |
X |
opiskelijarekistereistä kerran vuorokaudessa |
|
|
funetEduPersonStudentUnion |
|
|
Mikä arvo on käytössä? |
|
funetEduPersonHomeCity |
X |
opiskelijarekistereistä kerran vuorokaudessa |
|
|
funetEduPersonEPPNTimeStamp |
X |
|
|
|
|
|
|
|
|
|
|
|
|
Henkilöllä on yksi ja vain yksi leksikaalinen käyttäjätunnus, johon liittyy erilaisia käyttöoikeuksia.
eduPersonPrincipalName ei voi
vaihtua.