Joonas Mäkinen Käyttäjähallinnan esittely 14.9.2012
Opintopolku-palvelu ja SOA
Opintopolku-palvelu monessa mukana Sisäiset tarpeet ja riippuvuudet: Toteutettavat palvelut (näitä koskevat osaprojektit: KSHJ, TOR, ALPE, AIKU, KotVe) OPH:n omat muut palvelut Ulkoiset tarpeet ja riippuvuudet: Oppilaitokset kuten peruskoulut, ammatilliset oppilaitokset, lukiot, ammattikorkeakoulut, yliopistot Viranomaiset: VRK, KELA, Migri, OKM, Vero, TEM, CIMO, UAF, lähetystöt Opintopolku-palvelu on kasvava ekosysteemi
Opintopolku-palvelut SOA Aikuisten ammatillinen lisäkoulutus
SOA / Palvelukeskeinen arkkitehtuuri Sanasto: Prosessi: toiminnassa tuloksia tuottava ketju Palvelu: tuottaa prosessien tarvitseman tietojen käsittelyn (ei tarvitse olla atk:ta), sama palvelu voi esiintyä useassa prosessissa Uusi tapa tehdä asioita Vanha tietojärjestelmä = prosessi / palvelu Mahdollistaa keskittymisen prosessin parantamiseen, jota tietojärjestelmät tukevat
Nykytila useita tietojärjestelmiä käyttäjä käyttäjä käyttäjä käyttäjä Tietojär jestelm ä Tietojär jestelm ä Tietojär j estelm ä Tietojär j estelm ä käyttäjä Tietojär jestelm ä Tietojär jestelm ä Tietojär jestelm ä Tietojär jestelm ä käyttäjä käyttäjä käyttäjä käyttäjä Tietojär jestelm ä Tietojär jestelm ä käyttäjä
Tietojärjestelmät puretaan loogisiin osiin ja palveluihin
Ryhmitellään palvelut ja tietovarannot, karsitaan päällekkäisyys
Integraatiovä ylä Toteutetaan prosesseja samoilla palveluilla, erilaisilla yhdistelmillä VRK Tietovarannot opintooikeus Subtanssipalvelut arviointi ilmoittau tuminen Palvelualusta Hakeutuminen Sääntökone loki Prosessimoottori Järjestelmäpalvelut Sovelluskomponentit Ilmoittautuminen Maksu Käyttöliittymä Esim. KSHJ on prosessi tai palvelu, eikä perinteinen tietojärjestelmä Portaalit Mobiili Oppija, opettaja, virkailija
Integraatiovä ylä Henkilö ja yksilöinti sijoittuu tänne VRK Tietovarannot opintooikeus Subtanssipalvelut arviointi ilmoittau tuminen Palvelualusta Hakeutuminen Sääntökone loki Prosessimoottori Järjestelmäpalvelut Sovelluskomponentit Käyttäjähallinta kohdistuu tähän Ilmoittautuminen Käyttöliittymä Maksu Portaalit Mobiili Oppija, opettaja, virkailija
Käyttäjähallinta Opintopolku-palvelussa
Tunnistautuminen, yksilöinti ja käyttöoikeus Käytössä on useita tunnistusmekanismeja: 1. Vetuma (pankkitunnistus, mobiili, hst) 2. Virtu (viranomaistunnistus) 3. Haka (korkeakoulut) 4. Katso (Vero, Kela) 5. Oppijan tunnus. Tunnistautumisen yhteydessä tai sen jälkeen käyttäjä pyritään yksilöimään tarkistuksella väestötietojärjestelmästä. Yksilöinnillä varmistetaan ettei käyttäjällä ole useita identiteettejä palvelussa 1. Käyttäjällä voi olla useita rooleja: Hakija, virkailija (useissa eri organisaatioissa), huoltaja. 2. Henkilön ei pitäisi pystyä tekemään itseensä kohdistuvia toimenpiteitä.
Tunnistautuminen ei pelkästään anna virkailijalle mitään käyttöoikeuksia Käyttöoikeuksia pitää erikseen anoa/myöntää Yksilöidylle käyttäjälle annetaan oppijan tunnus joka yksilöi henkilöt opetustoimessa Ei tarvita enää henkilötunnusta esim. henkilön tietoja siirrettäessä.
Oppija Tunnistautuminen Yksilöinti Käyttöoikeuksien Anominen/ myöntäminen VRK Valinnat Palvelu x Virkailija Käyttäjät Oppijan kirjautuminen Suoritukset Palvelu y Yksilöidyt käyttäjät OID Vaihe 1 Vaihe 2 Vaihe 3
Oppija Seppo Tunnistautuminen Yksilöinti Käyttöoikeuksien Anominen/ Myöntäminen, Palvelujen käyttö Seppo? VRK Oid 123 Oppijan roolissa Valinnat Palvelu x Virkailija Seppo Käyttäjät Oid 123 Virkailijan roolissa Oppijan kirjautuminen Suoritukset Yksilöidyt käyttäjät OID Seppo oid 123 Palvelu y Vaihe 1 Vaihe 2 Vaihe 3
Tunnistautumiseen liittyviä tarpeita OPH:n ja korkeakoulujen henkilöstölle (ja opiskelijoille) Haka Valtion virastojen henkilöstölle Virtu (sisältäen: oman organisaation käyttäjätunnus ja salasana sekä virkakortti) Oppijalle ja tämän edustajalle tunnistautumispalvelu Vetuma (sisältäen: useimpien kotimaisten pankkien tunnistus, mobiilivarmenne, HST) Osalla organisaatiokäyttäjistä KATSO (integraatio perustuen SAML2 HTTP POST -standardiin) Edellisten lisäksi paperi/faksi eli nykyinen malli Kevyt tunnistautumiset, web2.0
Tunnistusprosessin vaiheet
Yksilöinti Tapahtuu automaattisesti, jos henkilöllä on hetu Yksilöinti tapahtuu virkailijatoimenpiteenä Oppijan verkkopalvelussa Yksilöinnin myötä henkilölle annetaan kansallinen oppijanumero
Kansallinen oppijanumero Yksilöidään kaikki Oppijan palvelukokonaisuuden henkilöt Yksilöidylle henkilölle annetaan kansallinen oppijanumero tunnisteeksi Kansallinen oppijanumero on OID-koodi, jonka omistaja on OPH Kansallinen oppijanumero siirtyy tiedonsiirtojen yhteydessä Voidaan käyttää asioinnissa hetun sijaan
Miten kansallinen oppijanumero annetaan?
Huomioita Oppijan palvelukokonaisuudesta siirtyy yksilöityjä henkilöitä, joiden avaimena käytetään kansallista oppijanumeroa Käyttäjiltä vaaditaan hetu yksilöintiä varten, jos sellainen on. Myös virkailijoilta. Henkilötunnus ja nimi yhdistelmä tarkistetaan VRK:sta
Suuri identiteettikeskustelu: yksi vai monta? Tapaaminen tietosuojavaltuutetun kanssa 5.9.2012 Henkilötunnuksen käyttäminen Opintopolku-palvelussa Lähtökohtana kysymys palvelun kannalta: kenellä on oikeus käsitellä tietoja Tulisi käyttää vahvaa tunnistautumista ja yksilöintiä (erottelua) Hetun korvaaminen palvelussa ns. kansallisella oppijanumerolla on hyvä idea Nykyiset tunnistautumispalvelut (Vetumat, Haka jne.) ovat pirstoutuneet, yksilöinnillä saadaan palveluun henkilölle yksi identiteetti Kansallinen oppijanumero on hallintotoimialakohtainen, eikä siten välttämättä vaadi erillistä lainsäädäntöä Johtopäätös: kaikki Opintopolku-palvelun käyttäjät yksilöidään ja tunnistetaan (henkilöllä on yksi identiteetti)
Käyttöoikeuden muodostuminen Organisaatio + palvelu + rooli Organisaatiotieto esim. oppilaitos, oppilaitoksen osa, virasto, koulutuksen järjestäjä rajaa oikeudet koskemaan vain tiettyä organisaatiota tai sen osaa hierarkkinen, ylhäältä alas kulkevat tasot tiedot saadaan sellaisenaan yleisistä organisaatiotiedoista
Palvelu esim. koulutustarjontatieto, service desk, hakupalvelu rajaa oikeudet koskemaan vain tiettyä palvelua Rooli rajaa oikeudet koskemaan vain tiettyjä toimenpiteitä CRUD-malli Koosterooleilla voidaan yhdistellä palveluita ja rooleja aihioiksi Käyttäjät rooleineen voidaan jakaa edelleen neljään osaan: oppija, toisen puolesta toimiva henkilö, virkailija ja järjestelmä.
Perusrakenne Käyttöoikeus Rooli Palvelu Organisaatio
Koosterooli (=käyttöoikeusryhmä) Käyttöoikeusryhmä Rooli Rooli Rooli Rooli Palvelu Palvelu Palvelu Palvelu Organisaatio
Soveltaminen Samalla henkilöllä voi olla useita käyttöoikeuksia edellä kuvattujen yhdistelmien perusteella. Teknisesti käyttöoikeudet koostetaan kaavan mukaisesti: <organisaatio> <palvelu> <rooli> (= roolientiteetti) Näistä muodostuu esim. virkailija Orvokki Vahtorannan käyttöoikeudet: Rääkkylän opiston koulutustarjontatiedon tallentaja Rääkkylän opiston hakemusten katselija
Esimerkkejä Palvelujen määrittely on vielä kesken (arvaus nykytilasta). Kouluta: tarjontapääkäyttäjä Oppilaitoksen tarjontapalvelun vastuukäyttäjä OPH:n koodistopalvelun vastuukäyttäjä OPH:n koulutuksen järjestäjätietojen vastuukäyttäjä Oppilaitoksen roolirekisterin katselija Kouluta: valintapääkäyttäjä Oppilaitoksen hakupalvelun tallentaja Oppilaitoksen neuvonnan tallentaja YO-sektori: opasvastuukäyttäjä OPH Kotven pääkäyttäjä AMK-sektori: AMKOREK-tietojen katselu Oppilaitoksen valintarekisterin katselija
Henkilöllä on useita rooleja samanaikaisesti Henkilön edustajuus ( rooli, hattu, lippalakki ) valitaan samalla kun kirjaudutaan sisään Oppijan verkkopalveluun. Käyttäjä voi vaihtaa edustajuuttaan missä vaiheessa tahansa ilman, että joutuu kirjautumaan ulos Oppijan verkkopalvelusta. Henkilön käyttöoikeudet pitävät sisällään automaattisesti kaikki hänelle myönnetystä vahvimmasta käyttöoikeudesta heikommat käyttöoikeudet. Edustajuuden vaihto tapahtuu pudotusvalikosta tms. jossa näkyy luokitellut rooliryhmät.
Henkilö ja käyttöoikeudet Käyttöoikeus Käyttöoikeus Käyttöoikeus Käyttöoikeus Käyttöoikeus Käyttöoikeusryhmä Käyttöoikeusryhmä Käyttöoikeusryhmä Organisaatio Organisaatio
Virkailijan käyttöoikeuksien hallinta Oppilaitoksella on oma pääkäyttäjä joka hallinnoi oppilaitoksensa tunnuksia. Esimerkki tunnuksen hakemisesta: 1. OPH myöntää oppilaitoksen pääkäyttäjälle tunnuksen 2. Oppilaitoksen virkailijat hakevat tunnuksia oman oppilaitoksensa pääkäyttäjältä 3. Oppilaitoksen pääkäyttäjä hoitaa oppilaitoksensa virkailijoiden tunnukset, salasanat, tunnusten uusimiset yms.
Sähköinen virkailijan käyttöoikeuksien haku- ja myöntämispalvelu Palvelulla hallinnoidaan virkailijoiden käyttöoikeuksien myöntämistä Käyttäjä hakee sähköisesti tunnusta sekä siihen liittyviä käyttöoikeuksia organisaationsa pääkäyttäjältä Pääkäyttäjä voi myöntää käyttöoikeuksia omien oikeuksiensa rajoissa (tietyn ryhmän, organisaation tai näiden osien sisällä) ja vastaa myöntämistään käyttöoikeuksista. Pääkäyttäjä joko myöntää tai jättää myöntämättä tunnuksen tai siihen liittyviä käyttöoikeuksia. Palvelu sisältää lupien voimassaolon jatkamisen
Tarkistukset Onko oikeus käsitellä? Käyttöliittymä palveluväylä palvelu Henkilön rooli Roolin ja palvelun käsittelemä tieto
Käyttäjähallinta ja käyttöoikeushallinta -arkkitehtuuri käyttöliittymä palveluväylä A&A
Autentikaatio ja auktorisointi palvelukutsun yhteydessä
Materiaalit löytyvät wikistä Palvelukorttiin yhdistetään kaikki määrittelymateriaali, jota on tuotettu kyseisen palvelun tarpeisiin. Palvelukortti otetaan työnalle siinä vaiheessa kun varsinainen palvelukin on määrittelyssä. Työn etenemistä voi seurata sitä mukaa kun kortistoon syntyy uusia palvelukortteja. Rautalankamallit löytyvät osana palvelukortteja ja käyttötapauksia https://confluence.csc.fi/display/oppija/
Kiitos! kshj@oph.fi http://www.oph.fi/kshj/