Käyttäjähallinnon vähimmäisvaatimukset ja soveltamisohjeet

Dokumentin tarkoitus

Tämä dokumentti on Haka-infrastruktuurin operaattorin tekemä tulkintaohje Haka-palvelusopimukselle ja sen liitteessä 3. esitetyille, kotiorganisaatiota koskeville vaatimuksille. Lisäksi dokumentissa täsmennetään joitain liitteessä määriteltyjä asioita sekä funetEduPerson-skeeman käyttöä.

Dokumentin päämäärä on esittää operaattorin toimintalinja kotiorganisaation sisäisen käyttäjähallinnon arvioinnissa ja taata korkeakoulujen tasapuolinen kohtelu.

Dokumentin kohderyhmä

• korkeakoulussa käyttäjähallinnosta vastaavat tahot (atk-keskus tai vastaava)
• palveluntarjoajat, jotka haluavat liittyä käyttäjän tunnistamisinfrastruktuuriin

---

1. Tulkinta: käyttäjätietojen ajantasaisuus

• Henkilötietolaki 9§ 2. momentti: "Rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle."
• Haka-palvelusopimus, liite 3, kohta 2.3.6: "Kotiorganisaatiot varmistavat asiaankuuluvaa huolellisuutta noudattaen, että vain virheettömiä ja ajantasaisia (...) henkilötietoja luovutetaan palveluntarjoajille"
• Haka-ohjausryhmän tulkinta 26.5.2004:  "Tieto käyttäjän käyttöoikeuden päättymisestä tulee päivittyä mielellään välittömästi, kuitenkin viimeistään viikon sisällä, sisältäen mahdollisen armonajan (grace). Käytännössä tämä edellyttää käyttäjähallinnon kytkemistä organisaation perusrekistereihin, kuten opiskelija- ja henkilökuntarekisteriin."

• Kotiorganisaation Identity Provider (IdP) -palvelin voidaan kyllä rekisteröidä Haka-infrastruktuuriin, mutta se saa tarjota käyttäjistä vain sellaisia attribuutteja, jotka ovat ajan tasalla IdP:n käyttämässä käyttäjätietokannassa. Jos esimerkiksi käyttäjätietokannan ja opiskelijarekisterin väliltä puuttuu kytkentä, ei IdP saa tarjota Haka-infrastruktuuriin käyttäjien opiskelijaroolia koskevia attribuutteja (esim. koulutusohjelma, tavoitetutkinto tai eduPersonAffiliation=student)
• Haka-palvelusopimuksen liitten 3 kohdan  2.3.5. mukaan kuitenkin vähintään funetEduPerson-skeeman MUST-attribuuteille on annettava arvo; niitä ovat skeman versiossa 2.0 common name, surname, displayName, eduPersonPrincipalName, schacHomeOrganization, schacHomeOrganizationType, joista kaksi jälkimmäistä lienevät samat kaikillä käyttäjille IdP:ssä
• Palveluntarjoajan ei ole syytä olettaa, että pelkkä "shibboleth-tunnistamisen onnistuminen" takaisi mitään muuta kuin että henkilöllä on käyttäjätunnus kyseisessä organisaatiossa. Jotkut korkeakoulut voivat antaa käyttäjätunnuksia alumneille, emerituksille tai kirjaston asiakkaina oleville "kadunmiehille".
• Toisaalta: palveluntarjoaja voi vaatia kotiorganisaatiolta palvelun kannalta tarpeellisia attribuutteja (esim. eduPersonAffiliation=student) käyttöoikeuksien toteamista varten. Kotiorganisaatio, joka ei voi tarjota palvelun vaatimia attribuuttia, rajautuu ulos kyseisestä palvelusta.

• kytkentä organisaation perusrekistereihin voi olla joko tekninen (esim. skripti välittää perusrekisterin muutokset käyttäjätietokantaan) tai perustua organisaation toimintaprosesseihin (esim. opintoasiainhallinnon virkailija sulkee opiskelijan käyttäjätunnuksen samalla kun opiskelija tulee hakemaan tutkintotodistusta, tai päivittää opiskelijan ilmoittaman muuttuneen kotiosoitteen paitsi opiskelijarekisteriin, myös käyttäjätietokantaan). Jos käyttäjätunnuksen sulkeutuminen taataan toimintaprosessin avulla, tulee toimintaprosessin olla määrämuotoinen ja dokumentoitu, ja sitä tulee myös tosiasiallisesti noudattaa.
• jos käyttäjällä ei ole organisaatiossa perusrekisteriä (esim. Suomen Akatemian palkkaama tutkija, joka työskentelee tutkimusryhmässä yliopiston laitoksella), tulee kotiorganisaation taata käyttäjän käyttäjätunnuksen tai roolitiedon sulkeutuminen äärellisessä ajassa tekemällä siitä määräaikainen.

• nämä vaatimukset koskevat vain Haka-infrastruktuurin palveluntarjoajien suuntaan näkyvää toimintaa. Haka-infrastruktuuri ei ota kantaa siihen, koska esimerkiksi organisaatiosta poistuvien henkilöiden organisaation sisäiset käyttäjätunnukset (esim. Unix tai sähköposti) sulkeutuvat.
• Haka-infrastruktuurin tehtävä ei ole ottaa kantaa siihen, koska korkeakoulu tulkitsee että opiskelija lakkaa olemasta opiskelija (ja hänen oikeutensa opiskelijoille tarkoitettuihin resursseihin päättyy). Jonkun korkeakoulun mukaan tämä tapahtuu valmistumishetkellä, toisen korkeakoulun mukaan tämä tapahtuu kun valmistumishetkellä kulumassa oleva lukuvuosi päättyy.
• Tyypillisesti korkeakouluissa on myös lukukausi-ilmoittautumisajan päättymisen aikaan ylimenovaihe, jolloin sekä päättyvälle että alkavalle lukukaudelle ilmoittautuneet opiskelijat ovat Haka-näkökulmasta opiskelijoita.

2. Tulkinta: henkilöllisyyden todentaminen käyttäjätunnusta annettaessa

• Haka-palvelusopimus, liite 3, 2.3.2: "Antaessaan käyttäjätunnuksen uudelle loppukäyttäjälle kotiorganisaatio todentaa käyttäjätunnuksen saajan henkilöllisyyden luottamusverkoston toimintakäytäntöjen mukaisesti
  sekä vaatii, että käyttäjä hyväksyy ja sitoutuu noudattamaan kotiorganisaationsa käyttösääntöjä."

• Kuvalliseen KELA-korttiin, TUPAS-tunnisteisiin ja HST-korttiin perustuva autentikointi rinnastuu poliisin myöntämän tunnistamisasiakirjan avulla tapahtuvaan todentamiseen
• ulkomaalaisten henkilöllisyyden todentamiseen käytetään passia, ajokorttia tai Schengen-alueella hyväksyttyä matkustusasiakirjaa

3. Tulkinta: siirtymäaika

• Haka-palvelusopimus: "Vuosien 2005 ja 2006 ajaksi operaattori voi myöntää luottamusverkoston jäsenille siirtymäaikoja liitteen 3 mukaisten vaatimusten täyttämisessä"

• siirtymäaikoja voidaan myöntää pienten poikkeamien korjaamista varten. Poikkeamat voivat tulla esiin mm. palvelusopimuksen liitteessä 4 kuvatussa itseauditoinnissa.
• pieniä poikkeamia ovat esimerkiksi
• käyttäjätunnisten sulkeutuminen tai roolitietojen päivittyminen yli viikon viiveellä
• loppukäyttäjän autentikointi vähemmän kuin 8-merkkisellä salasanalla
• pieniä poikkeamia eivät ole esimerkiksi
• käyttäjätietokannan ja organisaation perusrekisterin väliltä puuttuva kytkentä

4. Täsmennettyjä ohjeita skeemasta

• funetEduPerson-skeeman on tarkoitus olla yhteinen nimittäjä Haka-infrastruktuurissa siirrettäville attribuuteille. Kotikorkeakoulut ja palveluntarjoajat voivat sopia myös muista attribuuteista.

• Käyttäjän yksilöivänä tunnisteena käytetään eduPersonPrincipalName -attribuuttia (muotoa xxxxxx@domain, esim. linden@tut.fi)
• Domain-nimenä käytetään korkeakoulun domain-nimeä
• suositus: sama korkeakoulu ei käyttä attribuutissa eri domain-nimiä, esimerkiksi yliopisto.fi ja staff.yliopisto.fi
• on kotikorkeakoulun sisäinen asia,minkä arvon domain-spesifi osa saa
• arvo voidaan ottaa esimerkiksi käyttäjätunnuksesta (esim. linden@tut.fi)
• yhdellä tosielämän henkilöllä voi olla useita EPPN-attribuutteja
• erityisesti: eri attribuutti kotikorkeakoulussa opiskelija- ja henkilökuntarooleihin (amk:ssa tyypillisesti opiskelija-työntekijällä kaksi käyttäjätunnusta)
• lisäksi: tosielämän henkilöllä, joka esimerkiksi opiskelee kahdessa korkeakoulussa, on kaksi EPPN-tunnistetta (esim. eskoesim@korkeakoulu-a.fi ja eesimerk@korkeakoulu-b.fi)
• tällöin loppukäyttäjän on kirjautuessa palveluun lähtökohtaisesti itse tiedettävä, minä näistä esiintyy
• palveluntarjoajan tulee huomioida tämän vaikutukset palvelua rakentaessaan
• henkilön EPPN-attribuutti saa vaihtua vain painavista syistä
• painava syy saattaa olla esimerkiksi avioero, jolloin sukunimen sisältävää domain-spesifiä osaa voidaan muuttaa
• jos käyttäjä haluaa profiilitietonsa säilyvän käyttämissään palveluissa, voi käyttäjä pyytää kotikorkeakouluaan ilmoittamaan EPPN-tunnisteen muuttumisesta palveluntarjoajalle
• henkilön EPPN-attribuutin kierrättäminen
• kotikorkeakoulun tulee huolehtia, että vapautunut EPPN on jäissä vähintään 24 kuukautta, ennen kuin se annetaan eri henkilölle
• palveluntarjoajan tulee olettaa, että EPPN:n haltijan henkilöllisyys on vaihtunut edellisen kirjautumisen jälkeen, jos hän ei ole kirjautunut järjestelmään 24 kuukauteen
• näiden toimenpiteiden on tarkoitus varmistaa, että kierrätetyn EPPN:n uusi haltija ei voi missään tapauksessa päästä käsiksi EPPN:n edellisen haltijan profiiliiin ja työtiedostoihin missään palvelimessa
• jos palvelulla on perusteltu syy säilyttää käyttäjän profiilitietoja 24 kuukautta pidempään, on funetEduPerson ver 2.0-skeemassa käytettävissä funetEduPersonEPPNTimeStamp-attribuutti

• korkeakoulu on voinut antaa käyttäjälle, jota ei ole kirjattu väestötietojärjestelmään, sisäiseen käyttöön tarkoitetun "keinotekoisen" henkilötunnuksen
• kotiorganisaatio ei saa asettaa keinotekoista henkilötunnusta schacPersonalUniqueID-attribuutin arvoksi
• koska mikään ei takaa, että joku toinen organisaatio ei ole antanut samaa henkilötunnusta eri henkilölle

• kotiorganisaation tulee antaa jokaiselle loppukäyttäjälle sama arvo
• esim. kaikille loppukäyttäjälle joko tkk.fi tai hut.fi

Liite: Versiohistoria