Kotiorganisaation käyttäjähallinnan kuvaus

Tässä dokumentissa kuvataan Ilmatieteen laitoksen (FMI) käyttäjähallintaa. Käyttäjähallinnasta vastaa Sääpalvelujen tuotantojärjestelmät -yksikkö.

Versio

Tekijä

Päiväys

1.1.

Simo Poskiparta

26.11.2015

1.0

Arto Keskinen

23.9.2014

1. Käyttäjätietokannan ja perusrekistereiden kytkentä

Käyttäjätietokannan tekninen toteutus on Microsoft Active Directory (AD), josta Shibboleth Identity Provider -palvelin noutaa attribuutit. Käyttäjätietokantaa ylläpidetään keskitetyn itse tuotetun käyttäjähallinnan järjestelmän ("tunnusyhteenveto") avulla. Tunnusyhteenvetoon tehdyt muutokset päivittyvät AD:n tietokantaan välittömästi sekä lisäksi koko tietokanta synkronoidaan kerran vuorokaudessa.

1.1. Henkilöstökuntarekisteri

Tunnukset haetaan erillisellä lomakkeella, johon vaaditaan esimiehen hyväksyntä. Suoraa yhteyttä henkilöstöhallinnon järjestelmiin ei ole.

1.1.1. Uusi työntekijä

Uudelle työntekijälle haetaan käyttäjätunnus työntekijän tarvitsemiin IT-järjestelmiin ja -palveluihin esimiehen allekirjoittamalla käyttölupahakemuksella.

1.1.2. Työntekijän tiedoissa tapahtuu muutos

Työntekijä toimittaa esimiehen allekirjoittaman käyttöluvan muutoshakemuksen. Tiedot päivitetään tunnusyhteenvetoon.

1.1.3. Työntekijä lakkaa olemasta työntekijä

Työntekijän käyttäjätunnus jäädytetään työsuhteen päätyttyä. Tarvittaessa käyttäjätunnus voidaan avata uudelleen. Määräajan kuluttua tunnus poistetaan.

1.2. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus

Siviilipalvelusmiesten ja konsulttien kohdalla toimitaan samoin kuin työntekijöidenkin, hakemuksen allekirjoittajana ryhmäpäällikkö tai yksikön päällikkö. Käyttölupahakemukseen merkitään päättymispäivä, jonka perusteella tunnusyhteenveto automaattisesti sulkee tunnuksen.

2. Henkilöllisyyden todentaminen

2.1. Käyttäjätunnuksen antamisen yhteydessä

Käyttäjätunnus annetaan, kun käyttölupahakemus on hyväksytty ja käsitelty. Käyttäjän henkilöllisyys todetaan virallisesta henkilötodistuksesta tai ajokortista. Mikäli tunnuksia hakeva henkilö työskentelee esimerkiksi aluetoimiyksiköissä eikä pääse hakemaan tunnuksia henkilökohtaisesti, varmistuu käyttäjän henkilöllisyydestä hänen esimiehensä ennen tunnusten luovuttamista käyttäjälle.

2.2. Käyttäjän kirjautuminen käyttäjätunnuksensa avulla

Käyttäjä vaihtaa salasanan ensimmäisen kirjautumisen yhteydessä. Salasanan vähimmäispituus on 10 merkkiä, ja sen on sisällettävä 3/4 erikoismerkkiä: pieni kirjain, iso kirjain, numero tai erikoismerkki. Salasanan laatu tarkastetaan, ja vain ehdot täyttävä salasana hyväksytään. Salasana on vaihdettava 120 päivän välein.

3. Käyttäjätietokannassa saatavilla olevat tiedot

AttribuuttiMiten ajantasaisuus turvataanMuuta (esim. tulkintaohje)
cn / commonName1.1, 1.2Käyttäjätunnus
displayName1.1, 1.2Kutsumanimi Sukunimi
givenName1.1, 1.2Etunimi
mail1.1, 1.2Sähköpostiosoite
sn / surname1.1, 1.2Sukunimi
eduPersonPrincipalName1.1, 1.2tunnus@fmi.fi
schacHomeOrganizationmuuttumatonfmi.fi
schacHomeOrganizationTypemuuttumatonurn:mace:terena.org:schac:homeOrganizationType:fi:researchInstitution

4. Muuta

4.1. Kardinaliteetit

Yhtä käyttäjätietokantaan tallennettua tietuetta / tunnusta vastaa yksi tosielämän käyttäjä.

4.2. EduPersonPrincipalNamen revokointi ja kierrätys

Lähtökohtaisesti EPPN:a ei vaihdeta. Tästä voidaan kuitenkin poiketa erityisistä syistä. Tällaisia syitä ovat esimerkiksi henkilön nimen muuttuminen avioliiton tai -eron takia. EPPN:t jäädytetään, kun haltijan käyttöoikeus päättyy, eikä sitä anneta toiselle henkilölle.