Ryhmien sisäiset oikeustasot
Motivaatio
Haka nyt tarjoaa eduPersonAssurance
-attribuutin, joka määrittää tavan, millä perustein henkilö on otettu mukaan organisaatioon (#2261 (closed)). Esimerkiksi
- Vaihto-opiskelijalle tai avoimen yliopiston opiskelijalle saatetaan antaa yliopistotunnus ilman henkilöllisyyden todentamista =>
- Pääaianeopiskelijalta tai valintakokeen hakijalta saatetaan pyytää lähettämään henkilöllisyystodistuksen skannaus
- Tutkijaa tai henkilökuntaa saatetaan pyytää tulla näyttämään alkuperäinen henkilöllisyystodistus yliopiston henkilökunnalle
Kyseessä on nimenomaan ensimmäisen kerran tunnistuskäytäntö:
Antaessaan käyttäjätunnuksen uudelle loppukäyttäjälle kotiorganisaatio todentaa käyttäjätunnuksen saajan henkilöllisyyden luottamusverkoston toimintakäytäntöjen mukaisesti sekä vaatii, että käyttäjä hyväksyy ja sitoutuu noudattamaan kotiorganisaationsa käyttösääntöjä.
(Käyttäjähallinnon vähimmäisvaatimukset ja soveltamisohjeet)
Haka nykyään vaatii erottamaan ja ilmoittamaan nämä ensitunnistuskäytänteet palveluntarjoajille. Lisätietoja eri ensitunnistustasoista: REFEDS Assurance Framework. Katso myös Hakan tulkinta tasoista.
Tällä hetkellä TIMissa Haka-käyttäjät laitetaan aina suoraan Haka users
-ryhmään sekä oman kotiorganisaation ryhmään. Jatkossa olisi kuitenkin hyvää pystyä erottelemaan oikeustasoja ryhmän sisällä. Alkuun tästä on hyötyä ensisijaisesti Haka-organisaatioille, mutta jos/kun TIMiin tulee muita tunnistautumistapoja, saattaa sielläkin olla tarpeellista erotella oikeustasoja.
Speksi
Oikeustaso on numero, joka kuvaa käyttäjän tasoa TIM-ryhmässä. Korkeampi numero vastaa korkeampaa tasoa, muuten numeroilla ei muuta sisäistä merkitystä.
Olennaiset muutokset:
-
usergroupmember
-taulu muokataan kuvaamaan käyttäjän oikeustasoa -
blockaccess
-taulu muokataan sisältämään tietoa siitä, mitä oikeustasoa oikeus koskee
Täten taulut ovat:
Oletuksena taso on 0
tai NULL
.
Managessa tasoihin voi sen jälkeen viitata seuraavasti:
-
Ryhmän nimi
=> antaa oikeuden koko ryhmälle -
Ryhmän nimi:1
=> antaa oikeuden niille ryhmän jäsenille, joiden oikeustaso ryhmässä on1
tai suurempi
Voisi olla joku laajennetu syntaksi? Esim. valitaan tasot 1-2?
Toteutus
-
- versio
- Numeerinen taso
- Mahdollisuus asettaa minitaso oikeudelle
- Ei käyttöliittymää tason vaihtamiselle, alkuun riittää pätevä vain Hakan ryhmille
- Oikeustaso pätee vain Managessa
-
- versio
- Mahdollisuus muokata käyttäjän taso ryhmän hallintadokumentista
-
- versio
- Monipuolisempi valitsin tasolle (esim. tasot 1-2)
- Managessa näytetään ryhmän kohdalla "sallitut" tasot
- Oikeustason valitsin toimii kaikkialla (pluginit, dokumenttiasetukset)
Pohdintaa vaihtoehtoisista toteutustavoista
- Tasonumero
useraccount
-tauluun ryhmän sijaan- Taso liittyy nimenomaan käyttäjän jäsenyyteen jossakin organisaatiossa, ei käyttäjään
- Hankala migraatio, jos tasoja alkaa tulla muista tunnistusmenetelmistä (esim. Sisu)
- Ensitunnistuskäytäntö ei kuvaa tunnistautumisen vahvuutta. Hakassa on tuki tunnistautumisen vahvuudelle (esim. singe factor vs. multi factor), mutta se on tällä hetkellä kehnosti käytössä organisaatioissa.
- Erilliset ryhmät eri tasoille
- Tasot ovat porrastetut => ylempi taso saa oikeuden alempiin tasoihin
- Erilliset ryhmät, mutta käyttäjä lisätään automaattisesti alempiin
- Turhaa toistoa tietokannassa => tähdätään mahdollisimman parhaasaan normalisaatioon
- Sisäkkäiset ryhmät
Aikataulu
Tällä hetkellä TIMissa ei ole merkittävää tarvetta erotella Haka-organisaatioiden jäsenet ensitunnistautumisen tason perusteella. Tämä on kuitenkin hyvää tehdä pian, koska se voi helpottaa tulevaisuudessa työtä organisaatioiden yli (esim. jos joku toinen yliopisto haluaa kerätä dataa TIMista, voidaan oikeustason perusteella antaa sopiva pääsy opiskelijoiden tietoihin).
Lisäksi tällä hetkellä kaikki Hakan kautta tunnistetut saavat vähintään tason medium
, mikä vastaa nykyistä tilannetta. Oikeustasoja tulisi muuttaa siis viimeistään silloin, kun Haka alkaa myöntää pelkästään low
-tasoja. Ainoa poikkeus on 1.2.2022 alkaen on se, että low
tason voi saada erilisellä rekisteröimisellä:
Tulkinta soveltuvista menetelmistä (1.2.2022 jälkeen):
- Erikseen rekisteröity (opintohakemus tms.), varmistettu sähköpostiosoite
(Käyttäjähallinnon vähimmäisvaatimukset ja soveltamisohjeet, kohta 2, low
-tason kuvaus)