Kotiorganisaation käyttäjähallinnan kuvaus

Tässä dokumentissa kuvataan Ilmatieteen laitoksen (FMI) käyttäjähallintaa. Käyttäjähallinnasta vastaa Sääpalvelujen tuotantojärjestelmät -yksikkö.

Versio

Tekijä

Päiväys

1.1.

Simo Poskiparta

26.11.2015

1.0

Arto Keskinen

23.9.2014

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Käyttäjätietokannan tekninen toteutus on Microsoft Active Directory (AD), josta Shibboleth Identity Provider -palvelin noutaa attribuutit. Käyttäjätietokantaa ylläpidetään keskitetyn itse tuotetun käyttäjähallinnan järjestelmän ("tunnusyhteenveto") avulla. Tunnusyhteenvetoon tehdyt muutokset päivittyvät AD:n tietokantaan välittömästi sekä lisäksi koko tietokanta synkronoidaan kerran vuorokaudessa.

1.1. Henkilöstökuntarekisteri

Tunnukset haetaan erillisellä lomakkeella, johon vaaditaan esimiehen hyväksyntä. Suoraa yhteyttä henkilöstöhallinnon järjestelmiin ei ole.

1.1.1. Uusi työntekijä

Uudelle työntekijälle haetaan käyttäjätunnus työntekijän tarvitsemiin IT-järjestelmiin ja -palveluihin esimiehen allekirjoittamalla käyttölupahakemuksella.

1.1.2. Työntekijän tiedoissa tapahtuu muutos

Työntekijä toimittaa esimiehen allekirjoittaman käyttöluvan muutoshakemuksen. Tiedot päivitetään tunnusyhteenvetoon.

1.1.3. Työntekijä lakkaa olemasta työntekijä

Työntekijän käyttäjätunnus jäädytetään työsuhteen päätyttyä. Tarvittaessa käyttäjätunnus voidaan avata uudelleen. Määräajan kuluttua tunnus poistetaan.

1.2. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus

Siviilipalvelusmiesten ja konsulttien kohdalla toimitaan samoin kuin työntekijöidenkin, hakemuksen allekirjoittajana ryhmäpäällikkö tai yksikön päällikkö. Käyttölupahakemukseen merkitään päättymispäivä, jonka perusteella tunnusyhteenveto automaattisesti sulkee tunnuksen.

2. Henkilöllisyyden todentaminen

2.1. Käyttäjätunnuksen antamisen yhteydessä

Käyttäjätunnus annetaan, kun käyttölupahakemus on hyväksytty ja käsitelty. Käyttäjän henkilöllisyys todetaan virallisesta henkilötodistuksesta tai ajokortista. Mikäli tunnuksia hakeva henkilö työskentelee esimerkiksi aluetoimiyksiköissä eikä pääse hakemaan tunnuksia henkilökohtaisesti, varmistuu käyttäjän henkilöllisyydestä hänen esimiehensä ennen tunnusten luovuttamista käyttäjälle.

2.2. Käyttäjän kirjautuminen käyttäjätunnuksensa avulla

Käyttäjä vaihtaa salasanan ensimmäisen kirjautumisen yhteydessä. Salasanan vähimmäispituus on 10 merkkiä, ja sen on sisällettävä 3/4 erikoismerkkiä: pieni kirjain, iso kirjain, numero tai erikoismerkki. Salasanan laatu tarkastetaan, ja vain ehdot täyttävä salasana hyväksytään. Salasana on vaihdettava 120 päivän välein.

3. Käyttäjätietokannassa saatavilla olevat tiedot

Attribuutti Miten ajantasaisuus turvataan Muuta (esim. tulkintaohje)
cn / commonName 1.1, 1.2 Käyttäjätunnus
displayName 1.1, 1.2 Kutsumanimi Sukunimi
givenName 1.1, 1.2 Etunimi
mail 1.1, 1.2 Sähköpostiosoite
sn / surname 1.1, 1.2 Sukunimi
eduPersonPrincipalName 1.1, 1.2 tunnus@fmi.fi
schacHomeOrganization muuttumaton fmi.fi
schacHomeOrganizationType muuttumaton urn:mace:terena.org:schac:homeOrganizationType:fi:researchInstitution

4. Muuta

4.1. Kardinaliteetit

Yhtä käyttäjätietokantaan tallennettua tietuetta / tunnusta vastaa yksi tosielämän käyttäjä.

4.2. EduPersonPrincipalNamen revokointi ja kierrätys

Lähtökohtaisesti EPPN:a ei vaihdeta. Tästä voidaan kuitenkin poiketa erityisistä syistä. Tällaisia syitä ovat esimerkiksi henkilön nimen muuttuminen avioliiton tai -eron takia. EPPN:t jäädytetään, kun haltijan käyttöoikeus päättyy, eikä sitä anneta toiselle henkilölle.