Joonas Mäkinen Käyttäjähallinta 3.2.2012
Tietovarannot VRK opintooikeus Oppijan verkkopalvelut toteutetaan SOA:lla (SOA = palvelukeskeinen arkkitehtuuri) Teknologiatuotteet ovat avointa lähdekoodia, esim. Käyttöliittymäkerros: Liferayja Alfresco, Vaadin, Solr, Orbeon forms Palvelukerros: ServiceMix (ESB), Camel, jbpm5, Drools, Activiti BPM Tietovarantokerros: PostgreSQL Palveluita koodataan itse Subtanssipalvelut arviointi ilmoittau tuminen Integraatiovä ylä Palvelualusta Sovelluskomponentit Ilmoittautuminen Käyttöliittymä Maksu Hakeutuminen Sääntökone loki Prosessimoottori Järjestelmäpalvelut Portaalit Mobiili Oppija, opettaja, virkailija
Oppijan verkkopalvelut SOA Aikuisten ammatillinen lisäkoulutus
Oppijan verkkopalvelujen riippuvuudet Sisäiset tarpeet ja riippuvuudet: Toteutettavat palvelut (näitä koskevat osaprojektit: KSHJ, TOR, ALPE, AIKU, KotVe) OPH:n omat muut palvelut Muut vielä tunnistamattomat Ulkoiset tarpeet ja riippuvuudet: Oppilaitokset kuten peruskoulut, ammatilliset oppilaitokset, lukiot, ammattikorkeakoulut, yliopistot Viranomaiset: VRK, KELA, Migri, OKM, Vero, TEM, CIMO, UAF, lähetystöt Muut vielä tunnistamattomat
Tunnistautumiseen liittyviä tarpeita OPH:nhenkilöstölle AD-domainkertakirjautuminen (= sama tunnus työasemassa ja palveluissa) Korkeakoulujen henkilöstölle (ja opiskelijoille) Haka Valtion virastojen henkilöstölle Virtu(sisältäen: oman organisaation käyttäjätunnus ja salasana sekä virkakortti) Oppijalle ja tämän edustajalle tunnistautumispalvelu Vetuma (sisältäen: useimpien kotimaisten pankkien tunnistus, mobiilivarmenne, HST) Muille organisaatiokäyttäjille KATSO(integraatio perustuen SAML2 HTTP POST -standardiin) Edellisten lisäksi paperi/faksi eli nykyinen malli
Osaprojektit tuottavat sisällöt Käyttäjähallinnan projekti on tekninen toteutus osaprojektien (KSHJ, TOR, ALPE, AIKU, KotVe) tarpeille Osaprojektit tuottavat tarjottavat palvelut, joiden pääsyä hallitaan käyttäjähallinnan ratkaisulla. Esim: Mitä palveluita ylipäätään on Minkälaista tunnistautumisentasoa palvelut vaativat Mitä pitää voida sähköisesti allekirjoittaa
Käyttäjähallinnan palvelut Autentikointipalvelu(todentaa henkilön) Vetuma, HAKA jne., käsittelee tunnukset ja salasanat Autorisointipalvelu(sallii) Käsittelee tunnukseen liittyvät roolit, käyttöoikeudet Rekisteröitymispalvelu (kerätään käyttäjän tiedot) Sähköinen virkailijan käyttöoikeuksien haku-ja myöntämispalvelu tunnusten hakeminen, lisääminen jatkaminen, raportit Edustajuuden hallintapalvelu Henkilön roolien keskinäinen hallinta, vaihdetaan roolia lennosta
Virkailija-avusteinen tunnistamispalvelu Toinen henkilö voi toimia toisen henkilön puolesta Näiden valtuutusten hallinta Sähköinen allekirjoitus liittymät organisaatiotiedot ryhmätiedot henkilörekisteri oppijan yksilöimispalvelu
Tunnistus ja käyttäjähallinta
Käyttöoikeuksien muodostuminen Henkilön käyttöoikeudet koostetaan tietojoukoista. Näiden yhdistelmää kutsutaan roolientiteetiksi, johon liitetään voimassaoloaika.
Ryhmätieto esim. valintaryhmä (lääketieteen hakukohteet, tekniikan alan valinta) rajaa oikeudet koskemaan tiettyä ryhmää, joka voi ylittää organisaatiorajat Organisaatiotieto esim. oppilaitos, oppilaitoksen osa, virasto, koulutuksen järjestäjä rajaa oikeudet koskemaan vain tiettyä organisaatiota tai sen osaa hierarkkinen, ylhäältä alas kulkevat tasot tiedot saadaan sellaisenaan yleisistä organisaatiotiedoista
Palvelu esim. koulutustarjontatieto, service desk, hakupalvelu rajaa oikeudet koskemaan vain tiettyä palvelua Rooli rajaa oikeudet koskemaan vain tiettyjä toimenpiteitä Käyttäjät rooleineen voidaan jakaa edelleen neljään osaan: oppija, toisen puolesta toimiva henkilö, virkailija ja järjestelmä.
OPPIJAn roolin tasoja yksilöimätön oppija oppijalla ei ole suomalaista hetua, ja samalla syntymäajalla löytyy useita oppijoita, eikä virkailija ole vielä tehnyt yhdistämisyksilöintitoimenpidettä yksilöity oppija oppijalla on suomalainen hetu virkailija on tehnyt yksilöinnin hetuttomalle oppijalle heikosti tunnistettu oppija oppija on rekisteröitynyt palveluun vahvasti tunnistettu oppija oppija on käyttänyt VETUMAa, käyttää luottamusverkostojen tunnusta, virkailija on tehnyt tunnistuksen tai muita vastaavia tapoja
Muita rooleja Toisen henkilön puolesta toimiva henkilö Kaikki roolit ovat vahvasti tunnistettuja esimerkkejä: oppilaanohjaaja, huoltaja VIRKAILIJAn rooleja ovat: kaikki virkailijan roolit ovat vahvasti tunnistettuja katselija (voi katsella rajattuja tietoja) tallentaja (edellisten lisäksi, voi tallentaa ja poistaa rajattuja tietoja) vastuukäyttäjä (edellisten lisäksi, voi muuttaa rakenteita ja joitain koodistoja) pääkäyttäjä (edellisten lisäksi, voi hallinnoida käyttöoikeuksia)
JÄRJESTELMÄ teknisiä rooleja palvelukohtaisesti (sovelluskohtaisesti), esim. VRK, TOR, service desk voidaan tarvita enemmän tasoja kuten virkailijalla tunnukselle on kuitenkin aina oltava siitä vastaava henkilö
Soveltaminen Samalla henkilöllä voi olla useita käyttöoikeuksia edellisten yhdistelmien perusteella. Teknisesti käyttöoikeudet koostetaan kaavan mukaisesti: <ryhmä>/<organisaatio> <palvelu> <rooli> (= roolientiteetti) Näistä muodostuu esim. virkailija Orvokki Vahtorannan käyttöoikeudet: Rääkkylän opiston koulutustarjontatiedon tallentaja Rääkkylän opiston hakemusten katselija
Esimerkkejä Palvelujen määrittely on vielä kesken (arvaus nykytilasta). Kouluta: tarjontapääkäyttäjä Oppilaitoksen tarjontapalvelun vastuukäyttäjä OPH:n koodistopalvelun vastuukäyttäjä OPH:n koulutuksen järjestäjätietojen vastuukäyttäjä Oppilaitoksen roolirekisterin katselija Kouluta: valintapääkäyttäjä Oppilaitoksen hakupalvelun tallentaja Oppilaitoksen neuvonnan tallentaja YO-sektori: opasvastuukäyttäjä OPH Kotven pääkäyttäjä AMK-sektori: AMKOREK-tietojen katselu Oppilaitoksen valintarekisterin katselija
Henkilöllä on useita rooleja samanaikaisesti Henkilön edustajuus ( rooli, hattu, lippalakki ) valitaan samalla kun kirjaudutaan sisään Oppijan verkkopalveluun. Käyttäjä voi vaihtaa edustajuuttaan missä vaiheessa tahansa ilman, että joutuu kirjautumaan ulos Oppijan verkkopalvelusta. Henkilön käyttöoikeudet pitävät sisällään automaattisesti kaikki hänelle myönnetystä vahvimmasta käyttöoikeudesta heikommat käyttöoikeudet. Edustajuuden vaihto tapahtuu pudotusvalikosta tms. jossa näkyy luokitellut rooliryhmät.
Esimerkki hatun/lippalakin vaihdosta (Peppi)
Roolitaulukko Rooli kuvaus vastuu Oppija Hakeutuja Henkilö joka etsii tietoa asiakas koulutuksesta ja harkitsee hakeutumista koulutukseen Hakija Koulutukseen hakenut henkilö asiakas Opiskelija Jonkin oppilaitoksen piirissä asiakas opiskeleva henkilö Toisen henkilön puolesta toimiva henkilö Huoltaja Alaikäisen huoltaja Asiakas, asioi alaikäisen lapsensa puolesta Edustaja Holhooja, edunvalvoja Asiakas, asioi edustettavan puolesta Opo Opinto-ohjaaja on oppijan opas ja edunvalvoja. Virkailija katselija voi katsella rajattuja tietoja tallentaja edellisten lisäksi, voi tallentaa ja poistaa rajattuja tietoja vastuukäyttäjä edellisten lisäksi, voi muuttaa rakenteita ja joitain koodistoja pääkäyttäjä edellisten lisäksi, voi hallinnoida käyttöoikeuksia Järjestelmä sovellus x Vastaa oppilaiden ohjaamisesta. Opolla voi myös olla vastuita liittyen oppilaan tietojen päivitykseen. Opo myös tunnistaa alaikäisen hakijan. Vastaa paikallisella tasolla valintaperusteiden hallinnoinnista. rooli, jolla on päävastuu paikallisesta prosessista ja joka antaa käyttäjäoikeuksia oman organisaation toisille käyttäjille. Rooli on lähinnä koulutuksenjärjestäjän rooli.
Virkailijan käyttöoikeuksien hallinta Oppilaitoksella on oma pääkäyttäjä joka hallinnoi oppilaitoksensa tunnuksia. Esimerkki tunnuksen hakemisesta: 1. OPH myöntää oppilaitoksen pääkäyttäjälle tunnuksen 2. Oppilaitoksen virkailijat hakevat tunnuksia oman oppilaitoksensa pääkäyttäjältä 3. Oppilaitoksen pääkäyttäjä hoitaa oppilaitoksensa virkailijoiden tunnukset, salasanat, tunnusten uusimiset yms.
Sähköinen virkailijan käyttöoikeuksien haku-ja myöntämispalvelu Palvelulla hallinnoidaan virkailijoiden käyttöoikeuksien myöntämistä Käyttäjä hakee sähköisesti tunnusta sekä siihen liittyviä käyttöoikeuksia organisaationsa pääkäyttäjältä Pääkäyttäjä voi myöntää käyttöoikeuksia omien oikeuksiensa rajoissa (tietyn ryhmän, organisaation tai näiden osien sisällä) ja vastaa myöntämistään käyttöoikeuksista. Pääkäyttäjä joko myöntää tai jättää myöntämättä tunnuksen tai siihen liittyviä käyttöoikeuksia. Palvelu sisältää lupien voimassaolon jatkamisen
Rautalanka v0.2 käyttöoikeuksin lisääminen
Esimerkkinä HERO