Savonia-ammattikorkeakoulun käyttöoikeushallinnon kuvaus

Versio

Tekijä

Yhteystieto

Päiväys

Kommentti

1,0

Arthur

ari kekalainen pspt fi

29.10.2005

 

1.1

Arthur

ari kekalainen savonia-amk fi

3.5.2006

 

1.2b

Arthur

ari kekalainen savonia fi

5.10.2006

 

1.3 

Arthur 

ari kekalainen savonia fi 

19.5.2008

 

1.3.1

Tapio

tapio.poutiainen.savonia.fi

27.5.2008

 

1.4

Kaarina

kaarina.lilja savonia.fi

28.5.2008

 

2.0

Arthur

Ari.Kekalainen savonia.fi

18.6.2008

 

2.1

Arthur

Ari Kekalainen savonia fi

5.11.2008

 

2.1.a

Arthur

Ari Kekalainen savonia.fi

20.10.2010

vuositarkastus – ei muutoksia

2.2

Tapio

Tapio Poutiainen

26.11.2012

Tässä dokumentissa ollaan kiinnostuneita käyttöoikeustietokannan ja sen tietojen ajantasaisuuden toteutuksen yleisistä periaatteista sellaisella tasolla, joka antaa riittävät tiedot käyttöoikeustietojen laadun ja ajantasaisuuden arvioimiseksi.

Savonia-ammattikorkeakoulu asettaa tämän dokumentin www:hen kaikkien saataville. Dokumentti linkitetään Haka-infrastruktuurin kotisivulta.

Tässä dokumentissa käyttöoikeustiedoilla tarkoitetaan sitä loppukäyttäjien attribuuttien joukkoa, johon organisaation Shibboleth identity provider tukeutuu. Käyttöoikeushallinnon tekninen toteutus sisältää eri hallinnolliset tietokannat [opiskeluoikeus- (O), toimi- ja virkasuhde- (H) sekä kumppanitietokannan (K)], hallinnollisten tietokantojen tietoihin perustuvan käyttöoikeustietokannan [Kato] ja käyttöoikeustietokannan tietoihin perustuvat LDAP-hakemistot (=käyttöoikeustiedot). Shibboleth origin -palvelin hakee suurimman osan attribuuteista LDAP-hakemistosta (ja mahdollisesti joissain tilanteissa osan JDBC:n yli hallintotietokannoista tai käyttöoikeustietokannasta). 

Käyttöoikeustietokannan [=Kato], hallintotietokantojen [= O, H ja K] ja LDAP-hakemiston tiedot synkronoidaan vähintään kerran vuorokaudessa.

1. Käyttöoikeustietokannan ja perusrekistereiden (=hallintotietokantojen) kytkentä

1.1. Opiskelijarekisteri (=opiskeluoikeus- ja opiskelijatietokanta (O))

Lähtöoletuksena on, että opiskeluhallinnon tietokannassa opiskelijan henkilö- ja opiskeluoikeuksien tiedot ovat ajan tasalla.

Opiskeluoikeustietokannassa seurataan opiskeluoikeuden osalta uuden opiskeluoikeuden syntymistä, olemassa olevan opiskeluoikeuden läsnäolon tilan muutosta ja opiskeluoikeuden päättymistä. Henkilön käyttöoikeus sisäisiin sähköisiin järjestelmiin pysyy yllä, jos hänellä on yksi aktiivinen opiskeluoikeus.

Syyslukukausi alkaa elokuussa. Opiskelunsa aloittavat opiskelijat ilmoittautuvat läsnä- tai poissaoleviksi syys- ja kevätlukukaudelle samalla, kun ottavat opiskelupaikkansa vastaan. Opintojaan jatkavat opiskelijat ilmoittautuvat läsnä- tai poissaoleviksi syys- ja kevätlukukaudelle 15.8. mennessä. Aloitustaan siirtäneet opiskelijat ilmoittautuvat 1.8. mennessä läsnä- tai poissaoleviksi syys- ja kevätlukukaudelle. Kevätlukukausi alkaa tammikuun alussa ja opiskelunsa aloittavat opiskelijat ilmoittautuvat samalla, kun ottavat opiskelupaikkansa vastaan. Opintojaan jatkavat opiskelijat voivat muuttaa kevään osalta ilmoittautumistietoaan välillä 1.11.-15.1. Ilmoittautumisajan päättymisen jälkeen päivittyvät opiskelijan tilatiedot, jotka määräävät käyttöoikeuden alkamista, jatkumista ja päättymistä.

1.1.1. Uusi opiskelija

Miten uuden opiskelijan tiedot päivittyvät opiskelijarekisteristä käyttöoikeustietokantaan?

Opiskeluoikeustietokannassa seurataan opiskeluoikeuden osalta uuden opiskeluoikeuden syntymistä ja lisätään käyttöoikeuskantaan henkilölle opiskelijarooli ja muut tarvittavat tiedot.

Jos opiskelija on ilmoittautunut läsnäolevaksi, hän saa aktiivisen käyttöoikeuden (rooli on ”student” poissaolevat opiskelijat ovat rooliltaan ”member”).

1.1.2. Opiskelijan tiedoissa tapahtuu muutos

Miten opiskelijan muuttuneet tiedot päivittyvät opiskelijarekisteristä käyttäjätietokantaan?

Opiskeluoikeustietokannassa seurataan opiskeluoikeuden osalta uuden opiskeluoikeuden syntymistä, olemassa olevan opiskeluoikeuden läsnäolon tilan muutosta ja opiskeluoikeuden päättymistä ja muuttunut tieto päivitetään käyttöoikeustietokantaan.

Opiskeluoikeustietokannassa seurataan opiskelijan henkilötietojen muutosta ja päivitetään muuttuneet henkilötiedot käyttöoikeustietokantaan. Mikäli muuttunut tieto on nimitieto (kutsumanimi ja/tai sukunimi) generoidaan käyttöoikeustietokannassa henkilölle uutta nimikombinaatiota vastaava uusi ansisijainen sähköpostiosoite ja kirjoitetaan se opiskeluoikeustietokannan henkilötietoihin. Entinen sähköpostiosoite jää varatuksi ja saman henkilön käyttöön.

Jos opiskelija on ilmoittautunut läsnäolevaksi, hän saa aktiivisen käyttöoikeusroolin (=”student” ja ”member”). Jos hän ilmoittautuu poissaolevaksi, käyttöoikeus passivoituu (=”member”), ellei hänellä ole muita aktiivisia opiskeluoikeuksia.

1.1.3. Opiskelija lakkaa olemasta opiskelija

Koska organisaatio katsoo, että opiskelija lakkaa olemasta opiskelija? (Kuinka pian sen jälkeen opiskelija valmistuu/eroaa? Kuinka pian sen jälkeen kun lukukausi vaihtuu ja opiskelija ei ole ilmoittautunut läsnä olevaksi?)
Miten tämä tieto päivittyy käyttäjätietokantaan?

Opiskelijan opiskeluoikeus voi päättyä valmistumiseen (käyttöoikeuden säilymisviive 30 päivää), eroamiseen, ei ilmoittautumiseen tai poissaoloilmoittautumiseen. Opiskelijan käyttöoikeuden päättymistä voidaan säädellä opintotietojärjestelmässä antamalla käyttöoikeudelle päättymispäivä, muutoin käyttöoikeus lakkaa, kun opiskelijan tila merkitään eronneeksi tai ei-ilmoittautuneeksi, ellei hänellä ole muita aktiivisia opiskeluoikeuksia.

1.2. Henkilökuntarekisteri (=toimisuhdetietokanta, (H))

Lähtöoletuksena on, että toimisuhdetietokannan henkilö- ja toimi/virkasuhteiden tiedot ovat ajan tasalla. Tietoja ylläpitää kunkin toimi/virkasuhteen osalta suhteen solminut viranhaltija tai hänen valtuuttamansa työntekijä. Toimisuhdekantaan voidaan merkitä käyttöoikeuksien alkupäivä ja määräaikaisten osalta myös käyttöoikeuksien loppupäivä. Määräaikaisten (erityisesti opettajien) osalta voi käyttöoikeuksien alkupäivä olla aikaisempi ja käyttöoikeuksien loppumispäivä myöhäisempi kuin toimisuhteen kesto (=palkanmaksu). Määräaikaisille opettajille ja asiantuntijoille maksetaan usein vain kontaktituntien perusteella (ja toimisuhdekin solmitaan vain siksi ajaksi), mutta toimisuhteen velvoitteet (mm. opetuksen valmistelu ja suoritusten arviointi) voivat tapahtua myös ennen ja jälkeen kirjattua toimisuhdejaksoa. Toimisuhdekantaan kirjataan vain ne, joihin korkeakoululla on työntekijä-työnantajasuhde. Jokainen toimisuhderekisterissä oleva viedään korkeakoulun palkkajärjestelmään viimeistään pari päivää ennen palkanmaksupäivää (=> kaikki muut mm. yrityksen tai toiminimen kautta laskuttavat palveluntarjoajat, sekä korkeakouluhallinnon luottamushenkilöt kirjataan kumppanikantaan).

Yhtymän palkkajärjestelmään kirjataan toimisuhteita kaksi kertaa kuukaudessa pari päivää ennen palkanmaksupäivää (15 ja 30/31 päivä). Yhtymän palkkajärjestelmässä olevat määräaikaiset toimisuhteet ovat ajan tasalla vain kaksi kertaa kuukaudessa niiden toimisuhteiden osalta, jotka jatkuvat palkanmaksupäivän yli. Mikäli toistaiseksi voimassa oleva toimisuhde päättyy ja henkilö poistetaan palkkajärjestelmästä, henkilöstösihteerit merkitsevät kyseisen henkilön käyttöoikeuksille päättymispäivän myös sähköisten järjestelmien käyttöoikeuksien perusteena olevaan toimisuhdekantaan.

Toimisuhdetietokannassa seurataan toimisuhteen osalta uuden toimi/virkasuhteen syntymistä, olemassa olevan suhteen voimassaolon/läsnäolon tilan muutosta ja suhteen päättymistä reaaliaikaisesti. Henkilön käyttöoikeus sähköisiin järjestelmiin pysyy yllä jos hänellä on yksi aktiivinen toimi/virkasuhde.

1.2.1. Uusi työntekijä

Toimisuhdetietokannassa seurataan toimi/virkasuhteen osalta uuden suhteen syntymistä ja päivitetään käyttöoikeuskantaan henkilölle toimisuhderooli ja muut tarvittavat tiedot.

1.2.2. Työntekijän tiedoissa tapahtuu muutos

Toimisuhdetietokannassa seurataan toimisuhteen osalta uuden suhteen syntymistä, olemassa olevan suhteen voimassaolon/läsnäolon tilan muutosta ja suhteen päättymistä ja muuttunut tieto päivitetään käyttöoikeustietokantaan.

Toimisuhdetietokannassa seurataan henkilön henkilötietojen muutosta ja päivitetään muuttuneet henkilötiedot käyttöoikeustietokantaan. Mikäli muuttunut tieto on nimitieto (kutsumanimi ja/tai sukunimi) generoidaan käyttöoikeustietokannassa henkilölle uutta nimikombinaatiota vastaava uusi ensisijainen sähköpostiosoite ja kirjoitetaan se toimisuhdetietokannan henkilötietoihin. Entinen sähköpostiosoite jää varatuksi ja saman henkilön käyttöön.

 

1.2.3. Työntekijä lakkaa olemasta työntekijä

Työntekijän toimisuhde voi päättyä määräaikaisuudelle merkittyyn päättymispäivään, eroamiseen tai ilmoittautumiseen pitkäksi tulkittavalle virkavapaalle ilman sähköisten järjestelmien käyttöoikeuksia (toimisuhteen vastuuviranhaltija tai henkilöesimies tulkitsee).

1.3. Muut käyttäjät ja heidän henkilötietojensa ajantasaisuus (=kumppanitietokanta, (K))

Mille muille käyttäjille organisaatio antaa käyttäjätunnuksia (Suomen Akatemian tutkijat? Ravintolahenkilökunta? Siviilipalvelusmiehet? Dosentit? Alumnit? Emeritukset? Kirjaston asiakkaat?)
Miten heidän käyttäjätietojensa ajantasaisuus ja sulkeutuminen/roolitiedon päivittyminen on varmistettu?

Sellaiset käyttäjät, jotka eivät ole luonnollisia henkilöitä (esim. ainejärjestöt), eivät ole myöskään Haka-infrastruktuurin tarkoittamia loppukäyttäjiä, eikä heidän kirjautumistaan shibboleth originin kautta palveluihin tule sallia.

Lähtöoletuksena on, että kumppanitietokannan henkilö- ja kumppanuussuhteiden tiedot ovat ajan tasalla. Tietoja ylläpitää kunkin kumppanuussuhteen osalta suhteen solminut työntekijä tai siihen erikseen oikeutettu kumppani. Kumppanikantaan kirjataan myös kaikki sellaiset henkilöt, jotka tekevät työtä korkeakoululle, mutta eivät ole toimisuhteessa korkeakouluun (= yrityksen kautta laskuttavat luennoitsijat, opettajat, projektikumppanit ja palveluntarjoajat).

Kumppanitietokannassa seurataan uuden suhteen syntymistä, olemassa olevan suhteen voimassaolon/läsnäolon tilan muutosta ja suhteen päättymistä. Henkilön käyttöoikeus sähköisiin järjestelmiin pysyy yllä jos hänellä on yksi aktiivinen kumppanuussuhde.

1.3.1. Uusi kumppani

Kumppanitietokannassa seurataan kumppanuussuhteen osalta uuden suhteen syntymistä ja kirjoitetaan käyttöoikeuskantaan henkilölle kumppanuusrooli ja henkilötiedot.

1.3.2. Kumppanin tiedoissa tapahtuu muutos

Kumppanitietokannassa seurataan uuden suhteen syntymistä, olemassa olevan suhteen voimassaolon/läsnäolon tilan muutosta ja suhteen päättymistä reaaliaikaisesti ja muuttunut tieto päivitetään käyttöoikeustietokantaan.

Kumppanitietokannassa seurataan henkilön henkilötietojen muutosta ja päivitetään muuttuneet henkilötiedot käyttöoikeustietokantaan. Mikäli muuttunut tieto on nimitieto (kutsumanimi ja/tai sukunimi) generoidaan käyttöoikeustietokannassa henkilölle uutta nimikombinaatiota vastaava uusi ensisijainen sähköpostiosoite ja kirjoitetaan se kumppanitietokannan henkilötietoihin.

1.3.3. Henkilö lakkaa olemasta kumppani

Henkilön kumppanuussuhde voi päättyä määräaikaisuudelle merkittyyn päättymispäivään, eroamiseen tai ilmoittautumiseen pitkäksi tulkittavalle "virkavapaalle” (solmija tulkitsee).  

2. Henkilöllisyyden todentaminen

2.1. Käyttäjätunnuksen antamisen yhteydessä

Millä tavalla uuden käyttäjän henkilöllisyys todennetaan, kun hänelle annetaan käyttäjätunnus?

Henkilöllisyys todennetaan viranomaisen antamasta henkilötodistuksesta (kuvallinen henkilökortti, ajokortti, passi, ...).

Opiskelijat todennetaan opintotoimistossa opiskelijan ensimmäisen ilmoittautumisjakson loppuun mennessä ja henkilöllisyyden todentamisen peruste, päivämäärä ja todentaja merkitään opiskelijan henkilötietokortille. Toimi- ja virkasuhteiset, sekä kumppanit todennetaan ensimmäisen suhteen solmimisen yhteydessä ja henkilöllisyyden todentamisen peruste, päivämäärä ja todentaja merkitään henkilön kortille.

Henkilö voidaan tunnistaa myös sähköisesti viranomaisen tai rahoituslaitoksen tarjoaman vahvan sähköisen tunnistautumispalvelun avulla (VRK-sähköinen tunnistautuminen tai pankkien verkkopalvelun vahva tunnistautuminen)..

2.2. Kun käyttäjä kirjautuu käyttäjätunnuksen avulla

Salasanatodennukseen liittyvät laatuvaatimukset.
Mahdolliset käytettävissä olevat salasanaa tukevammat autentikointimenetelmät.

Salasanoille on minimipituus ja sisältövaatimuksia, jotka on toteutettu salasanan vaihtoa varten julkaistussa sovelluksessa.

Kampuskäytössä perussovelluksiin kirjaudutaan käyttäjätunnus-salasanayhdistelmällä. Shibboleth-käytössä sovelluksiin kirjaudutaan kampustunnuksin ja salasanoin. Vierailijaverkossa ja kansallisessa/kansainvälisessä (eduroam) verkkovierailussa käytetään erillisiä vierailijatunnuksia ja salasanoja (SvnEduroamUid ja SvnEduroamPassw) (näissä Radius-proxy ratkaisuissa käyttäjätunnus ja salasana voivat jäädä palveluntarjoajien järjestelmien lokitietoon, sekä saattavat liikkua salaamattomina).

Henkilön vahvaa tunnistamista (esimerkiksi käyttäjätunnus, pin-koodi ja vaihtuvat salasanat) käytetään suojatun yksityisverkon avaamisessa kampusverkon ulkopuolelta ja osassa niistä talouden ja hallinnon sovelluksista, joissa voidaan tehdä oikeustoimia työnantajan lukuun.


3. Käyttöoikeustietokannassa saatavilla olevat tiedot

Merkintä "on" taulukon sarakkeessa "Saatavuus" kertoo, että kyseinen henkilötieto on ajan tasalla ja siten saatavilla Shibboleth IDP-palvelimen yli.
Sarakkeessa "Miten ajantasaisuus turvataan" kerrotaan päivitystaajuudesta ja kaikki tiedot perustuvat luvun 1. järjestelmäkuvauksiin.

Savonialla on omia (ei siis funetEduPersonin mukaisia) attribuutteja, jotka näkyvät ulospäin Shibboleth IDP:stä ja ne on lisätty taulukkoon asiayhteyteen liittyvään kohtaan. Joidenkin attribuuttien kohdalla on tai voi olla linkki dokumenttiin, joka tarkemmin kuvailee omien attribuuttien skeeman.


Attribuutti

Saata-vuus

Miten ajan-tasaisuus turvataan

Muuta (esim. tulkintaohje) -> Moniarvoinen/Yksiarvoinen M/Y

 

 

cn

on

päivitys ja tarkistus päivittäin

Henkilön koko nimi. Esimerkkinä Matti Yrjö Tapani Möttönen -> cn = "Matti Yrjö Tapani Möttönen" (Pakollinen) Koko nimi muotoa <etunimi> [mahdollisesti kirjaimia muista etunimistä tai kokonaisia muita etunimiä] <sukunimi> [student] [affiliate]

 M

Haka

sn

on

päivitys ja tarkistus päivittäin

Henkilön sukunini. Voi sisältää skandeja tai muita kansallisia merkkejä. (Pakollinen)

 M

Haka

uid

on

päivitys ja tarkistus päivittäin

Henkilön käyttäjätunnus. Alfanumeerinen henkilön läpi koko korkeakoulun yksilöivä tunniste. On varattuna kaksi vuotta käytöstä vapautumisen jälkeen. Ei sisällä skandeja tai muita kansallisia merkkejä.

 Y

 

givenName

on

päivitys ja tarkistus päivittäin

Se henkilön etunimi, joka on ilmoitettu olevan kutsumanimi (puhuttelunimi). Voi sisältää skandeja tai muita kansallisia merkkejä.

 Y

Haka

schacHomeOrganization

on

päivitys ja tarkistus päivittäin

Kotiorganisaation domainnimi. Sisältää kulloinkin käytetyn domainnimen. Muuttuu ajoittain. Esimerkkinä nykyinen "savonia.fi "

Y

Haka

schacHomeOrganizationType

on

Kotiorganisaation tyyppi. urn:mace:terena.org:schac:homeOrganizationType:fi:polytechnic

Haka

telephoneNumber

on

päivitys ja tarkistus päivittäin

Henkilön ensisijainen puhelinnumero. Numero on muotoa etumerkki, maasuunta, suuntanumero ja puhelinnumero yhteen kirjoitettuna +358172556000

 Y

 

seeAlso

on

päivitys ja tarkistus päivittäin

 

 

 

userPassword

on

päivitys ja tarkistus päivittäin ja aina henkilön toteuttaman salasanan muutoksen yhteydessä

Ei välitetä toisiin järjestelmiin !

 

Henkilön salasana kryptattuna XXXXX-metodilla.

 Y

 

 

 

 

 

 

 

displayName

on

Päivitys ja tarkistus päivittäin

Henkilön kutsumanimi. Yksiarvoinen. Henkilön nimi tavanomaisessa kirjoitusasussaan (Pakollinen)

Y

Haka

mail

on

päivitys ja tarkistus päivittäin

Henkilökunta: Esimerkkinä Matti Yrjö Tapani Möttönen -> email => "matti.y.mottonen@savonia.fi"

Opiskelija: Esimerkiksi cn = "Aina Päivi Säde Möttönen" ja givenname = "Säde" (ja korkeakoulussa on jo opiskelija, jolla on sähköpostiosoite sade.mottonen@student.savonia.fi) = > email => "sade.a.mottonen@student.savonia.fi"

Kumppani: Esimerkinä cn = "Ansa Anna Rauha Riitanen " ja givenname = "Anna" (ja korkeakoulussa on jo kumppani, jolla on sähköpostiosoite "anna.riitanen@partner.savonia.fi" = > email = "anna.a.riitanen@affiliate.savonia.fi"

 M

Haka

homePostalAddress

on

päivitys ja tarkistus päivittäin

Voi olla, jos käyttäjä on sen ilmoittanut ja sallinut näkyväksi.

 Y

 

mobile

on

päivitys ja tarkistus päivittäin

Henkilön ensisijainen matkaviestinnumero. Opiskelijalla ja kumppanilla voi olla, jos he ovat numeron ilmoittaneet ja sallineet näytettäväksi .Numero on muotoa etumerkki, maasuunta, suuntanumero ja puhelinnumero yhteen kirjoitettuna +358447856000

 Y

 

eduPersonPrimaryAffiliation

on

päivitys ja tarkistus päivittäin

Henkilön ensisijainen suhde korkeakouluun. Yksiarvoinen varattujen sanojen listalta [faculty, student, staff, alumn, affiliate, member, employee, library-walk-in]

Y

Haka

eduPersonAffiliation

on

päivitys ja tarkistus päivittäin

Henkilön suhde korkeakouluun. Moniarvoinen varattujen sanojen listalta [faculty, student, staff, alumn, affiliate, member, employee, library-walk-in]

M

Haka

eduPersonPrincipalName

on

päivitys ja tarkistus päivittäin

Käyttäjän yksilöivän nimen (tai numerotunnisteen) ja security domainin yhdistävä tieto.

Vanhojen henkilökunnan, opiskelijoiden ja kumappaneiden EPPN on muotoa svnEpPCn@funetEduPersonHomeOrganization . Opiskelijan svnEpPCn = sade.a.mottonen ->

EPPN = " sade.a.mottonen@savonia.fi"

Uusien henkilöiden osalta (noin vuoden 2009 alusta) EPPN=”svn123456789@savonia.fi

 Y

Haka

funetEduPersonEPPNTimeStamp

on

päivitys ja tarkistus päivittäin

Henkilön EPPN:n myöntämisaika. YYYYMMDD

Teknisistä syistä osa myöntämisajoista on "kuvitteellisia" eikä niistä voi päätellä todellista myöntämisaikaa. Tämä liittyy TimeStamp-piirteen käyttöönotosta EPPN:n käyttöönoton jälkeen. Aikaleiman käyttötarkoitus on vain erotella "varoajan" jälkeen uudelleen käyttöön otettu EPPN:n takana oleva henkilö joskus aikaisempina vuosina samaa EPPN-tunnistetta käyttäneestä henkilöstä.

Esimerkiksi EPPN:n ”Teppo.Teppana@savonia.fi” haltija ”Teppana, Teppo Taneli” eroaa yhtymän palveluksesta ja EPPN vapautuu uuteen käyttöön 24 kk jälkeen. Uusi henkilö ”Teppana, Teppo Johannes” solmii yli kahden vuoden kuluttua toimisuhteen korkeakoulun kanssa ja tämä henkilö saa EPPN:lleen arvon ”Teppo.Teppana@savonia.fi” ja EPPNTimeStampille arvon jonka avulla nämä henkilöt voidaan erotella. Viimeisin on siis aivan eri "vuosimallia".

Y

Haka

 

 

 

 

 

 

eduCourseMember

on

päivittäin

eduCourseMember=

learner@urn:mace:savonia.fi:coursesMc2305:2005-1-1

M

Haka

 

 

 

 

 

 

4. Muuta

4.1. Kardinaliteetit

Yksi henkilöllisyys per tosielämän käyttäjä, vai
Yksi henkilöllisyys per rooli (esim. opiskelija-työntekijällä kaksi käyttäjätunnusta)?

Yksi henkilöllisyys per rooli. Roolit ovat opiskelija, henkilökunta ja kumppani.
Yhdellä henkilöllä on 1-3 kpl käyttäjätunnuksia.

4.2. EduPersonPrincipalNamen revokointi ja kierrätys

Voiko eduPersonPrincipalName vaihtua?

Henkilön vaihtaessa nimeä (sukunimi/etunimi) hän voi vaatia käyttöoikeushallintoa luomaan itselleen uuden EPPN-arvon. Vaatimuksiin ei luvata automaattisesti suostumusta. Pääsääntöisesti uutta EPPN-arvoa ei luoda vaikka henkilön nimiosa vaihtuisi.

EPPN ei vapaudu ennen kuin sitä hallinneen henkilön kaikki roolit ovat päättyneet yli 24 kuukautta sitten.

Organisaation security domain voi vaihtua.

Millä tavalla organisaatio kierrättää vapautuneita eduPersonPrincipalName-arvoja?

Varoaika vapautuneille eduPersonPrincipalName arvoille on kaksi vuotta (24 kk).

********************************************************************************************************

Savonia-ammattikorkeakoulu, Kehittämis- ja palvelukeskus, Tietohallintokeskus, Käyttöoikeushallinto

Käyttöoikeushallinto, Tietohallintokeskus, PL 6 (Opistotie 2 B, 3k)., 70201 KUOPIO