Forsiden UiO Universitetets senter for informasjonsteknologi
print logo

Leveransebeskrivelse, HiHs Cerebrum

Dette dokumentet inneholder informasjon om hvordan HiHs Cerebruminstans skal bygges, hva den skal inneholde, hvilke import/eksport skal kjøres osv. Dokumentet er en del av leveranse 1 i prosjektet "Cerebrum for Høgskolen i Harstad". I tillegg inneholder dokumentet informasjon om maskinvare o.l.

Initiell konfigurasjon

I alle Cerebruminstallasjoner er det en del innstillinger, så også i HiHs sin. Mange av disse er standardisert og brukes kun for interne formål. Disse vil ikke bli dokumentert her, da de ikke er relevante for prosjektet. Imidlertid er det en del innstillinger som må gjøres for hver enkelt instans. Under følger en oversikt over de innstilingsvalgene vi har gjort for HiH som det kan være aktuelt å endre på ved behov.

Kildesystemer

Det er avdekket to autoritative kildesystemer for person- og organisasjonsdata på HiH, Fellest studentsystem (FS) og personalsystem (SAP). Disse kildesystemene vil bli definert i HiHs Cerebrum. Ved registrering  av persondata i begge kildesystemer vil data registrert i SAP ha høyeste rangering og vil blir brukt ved videre eksport. I tillegg vil det bli definert et kildesystem som skal representere manuelle registreringer (bør brukes med forsiktighet), samt et kildesystem for migrerte data. Dette kildesystemet bør ikke brukes utover migrering av data.

Manuell personregistrering

I HiHs Cerebrum skal det, i tillegg til automatisk registrering av personer fra SAP og FS, være mulig å registrere personer manuelt, enten enkeltvis via Cerebrums administrative grensesnitt bofh, eller gruppevis ved hjelp av en følgende importrutine:

  • Informasjon om personer som skal registreres leveres til USIT på fil via filutvekslingstjener etter behov. Filen skal plasseres på usit@domar.hih.no:/var/HIH/manual/filnavn. Det er viktig at filen ikke sendes i e-post eller overføres via andre usikra kommunikasjonskanaler.
  • Filens navn skal være: manuell-registrering-YYYY-MM-DD.dat. Kun "dagens" fil vil bli overført og prosessert
  • Formatet på filen skal være: <fnr (11 siffer)>;<etternavn>;<fornavn>;<type*>;<dato gyldig til (YYYY-MM-DD)><telefonnr, 8siffer>
    • USIT foreslår at verdiene i <type> tilsværer tilknytningstyper som brukes, per i dag: gjestestudent og gjest
  • Etter registrering av persondata genereres det et brukernavn og en kort-ID, brukerens gyldighet settes til <dato gyldig til>
    • Brukere skal gis de samme tilgangene og innstillingene som øvrige studentbrukere.
  • Feilsituasjoner som håndteres:
    • Fødselsnummer allerede registrert i Cerebrum - oppføringen blir forkastet og en feilmelding genereres (feilmeldingen sendes til HiH)
    • Manglende info (samtlige felt er obligatoriske) - oppføringen blir forkastet og en feilmelding genereres (feilmeldingen sendes til HiH)
    • Ukjent type - oppføringen blir forkastet og en feilmelding genereres (feilmeldingen sendes til HiH)
  • Brukernavn skal tildeles etter samme algoritme som for ansatte.

Tilknytninger

I utganspunktet defineres følgende tilknytninger:

  • STUDENT med type:
    • aktiv - alle studenter som er registrert som aktive i FS i henhold til spesifikasjon av aktiv-utplukk for FS-import (FEIDE-tilgang, aff: student)
    • evu - alle deltagere på aktive etter- og videreutdanningskurs registrert i EVU-modulen i FS (FEIDE-tilgang, aff: student)
  • ANSATT med type:
    • vitenskapelig - personer som innehar stillinger registrert med kategori 'vitenskapelig' i SAP (FEIDE-tilgang, aff: employee/faculty)
    • teknisk administrativ (tekadm) - personer som innehar stillinger registrert med kategori 'øvrig' i SAP (FEIDE-tilgang, aff: employee/staff)
  • TILKNYTTET med type:
    • fagperson - personer med aktiv fagpersonregistrering i FS
    • gjest - personer registrert som gjester i SAP. Denne gruppen skal ikke eksporteres til FEIDE.
  • MANUELL med type:
    • gjestestudent - studenter fra andre institusjoner som skal ha tilgang til IT-tjenester ved HiH (ingen tilgang til FEIDE)
    • gjest - personer uten tilknytning til HiH som skal ha tilgang til utvalgte IT-tjenester ved HiH (ingen tilgang til FEIDE)

Disse tilknytningene kan kun tildeles på bakgrunn av data registrert i et av HiHs kildesystemer. Det vil ikke være noen forekomster av tilknyttede med status gjest på HiH når vi går i produksjon, men vi tar likevel denne statusen med i initiell konfigurasjon da det kan dukke opp slike senere.

Tilknytningsrangering

For automatisk oppdatering av e-postadresser og andre attributter knyttet til affiliation er definert en rangering av tilknytninger. Tilknytninger med lavest tall på prioritetsangivelse har høyeste prioritet. '*' er joker og betyr "hvilken-som-helst". For HiH er rangeringen som følger:

 

    ANSATT: 'vitenskapelig': [100, 140],
                   'tekadm': [100, 140],
                   'timelaerer': [160, 180],
                   '*': [350, 390]},
    'STUDENT': {'aktiv': [260,300],
                         'evu': [260,300],
                         '*': [310, 350]},
    'TILKNYTTET': {'*':[360,500]},
    'MANUELL': {'*': [600, 900]}
 

Eksterne identifikatorer

Følgende eksterne identifikatorer blir definert:

  • Fødselsnummer (11-siffer, kan komme fra både FS og SAP)
  • Studentnummer (6-siffer, kan kun komme fra FS)
  • SAP-ID (8-siffer, kan kun komme fra SAP)
  • adgkort-ID (6 siffer, for studenter skal denne være lik studentnummer fra FS, for ansatt og andre genereres den i Cerebrum. Koden for ansatte skal være i rekken 000000 - 009999, mens det for gjester og ekstern skal være 700000 - 799999).

Spread

I Cerebrum angir spread til hvilke systemer informasjon om en bruker skal eksporteres. For HiH definerer vi spread for personr, brukere og grupper.

Bruker

  • AD-ans-account (informasjon om brukeren synkroniseres til ansattedomenet)
  • AD-stud-account (informasjon om brukeren synkroniseres til AD studentdomenet)
  • Exchange-ans-account (informasjon om brukerens e-post synkroniseres til Exchange-ansatt-server)
  • Exchange-stud-account (informasjon om brukerens e-post synkroniseres til Exchange-student-server)

Person

  • LDAP-person (informasjon om personens primærbruker eksporteres til LDAP for bruk i FEIDE)
  • Bewator-person (informasjon om personen og dennes primærbruker eksporteres til Bewator)

Gruppe

  • AD-ans-group (informasjon om gruppen og medlemskap i gruppen synkroniseres til ansattdomenet i AD)
  • AD-stud-group (informasjon om gruppen og medlemskap i gruppen synkroniseres til studentdomenet  i AD)
  • Exchange-ans-group (gruppen brukes som distribusjonsgruppe i ansatt-Exchange)
  • Exchange-ans-group (gruppen brukes som distribusjonsgruppe i student-Exchange)
  • LDAP-group (informasjon om grupper og medlemskap i gruppen eksporteres til LDAP)

Karantener

I Cerebrum benyttes begrepet "karantene" til å angi at en bruker skal deaktiveres og dermed miste sin tilgang til IT-tjenester ved HiH, samt FEIDE-baserte tjenester. Karantener brukes i forkant av avvikling og i spesielle situasjoner som f.eks. misbruk av tilgang. Karantener kan settes frem i tid slik at de blir å regne som aktive i fremtiden og det er også mulig å midlertidig fjerne en eksisterende karantene slik at den berørte brukeren får tilgang til IT-tjenester i en begrenset periode (7 dager vil bli brukt som default tillatt midlertidig fjerning av karantene).

For HiH vil det blir definert følgende karantenetyper:

  • generell - når brukeren har sluttet og vi ikke vet noe mer. Denne karantenen settes manuelt av administratorer.
  • auto_inaktiv - når en student ikke lenger er aktiv. Denne karantene settes av studentautomatikken.
  • autopassord - når en bruker ikke har skiftet passord til tross for pålegg fra IT-avdelingen. Denne karantenen settes av passordskifteautomatikken.
  • teppe - når det blir oppdaget misbruk av IT-ressurser. Denne karantenen settes manuelt av administratorer.

Merk at også organisatoriske enheter og grupper kan settes i karantene. Denne funksjonaliteten er imidlertid ikke i bruk per i dag.

Brukernavn

For studenter ved HiH skal studentnummer fra FS brukes som brukernavn. 

For ansatte brukes samme algoritme som for UiO. I beskrivelsen av algoritmen under bruker vi Geir-Ove Johnsen Hansen som eksempel på navn det skal genereres brukernavn fra. Merk at Geir-Ove Johnsen er fornavn og Hansen er etternavnet. Algoritmen forsøker følgende til den har funnet et unikt brukernavn:

  • Genererte brukernavn baseres på personens navn
  • Brukernavn har en definert og konfigurerbar maksimumslengde, f.eks.
    at et brukernavn ikke skal ha mer enn åtte tegn.
  • Bindestrek i fornavn og etternavn ignoreres slik at ingen brukernavn
    inneholder tegnet '-'.
  • Hvis personen har to eller flere fornavn, sett sammen brukernavn
    av intialer og en substreng av etternavnet.
    Eks.: kan få et brukernavn "gojhanse".
  • Neste forsøk er å lage brukernavnet av prefixer av fornavnet og
    etternavnet. Eks.: geiroha
  • Neste forsøk er å generere brukernavn fra prefix av kun fornavnet.
    Eks.: geirov
  • Siste forsøk er å generere brukernavn fra prefix av fornavn + et
    tall-suffix. Eks.: geirov1, geirov2, etc

Passord

HiH skal benytte passphrases i stedet for passord. Passphrases skal bestå av minimum 12 tegn, med minimum et mellomrom (godkjent per e-post 24. 06. 2010).

Informasjon om rutiner for utdeling av passord

E-post

Domener

HiH har for tiden to e-postdomener: hih.no som er for ansatte og eksterne, og student.hih.no som er for studenter. Domenet student.hih.no skal erstattes av stud.hih.no. Imidlertid må alle eksisterende adresser i domenet student.hih.no kunne brukes videre.

HiH vil kanskje få et domene til stud.hih.no, men vi skal få beskjed når/hvis dette skal tas i bruk.

E-postadresser

For brukere i domenet student.hih.no (brukere med affiliation STUDENT eller MANUELL/gjestestudent) skal e-postadresser være på formen: brukernavn@student.hih.no.

For brukere i domenet hih.no gjelder følgende:

  1. Alle skal ha adresse på formen: brukernavn@hih.no
  2. I tillegg skal en av følgende adresser genereres hvis mulig:
    1. fornavn.etternavn@hih.no, eks.: bard.bergersen@hih.no
    2. Bruk første fornavn, initialer og etternavn, eks.: bard.m.bergersen@hih.no
    3. Initialer og etternavn, eks.: b.m.bergersen@hih.no

 

Migrering

HiH skal migrere eksisterende bruker- og gruppedata til Cerebrum fra eksisterende system. Migrering skal foretas i forkant av produksjon og bør testes grundig.

Migreringsplan

Importer

Import fra SAP

Import fra FS

Eksporter/synkroniseringer

Eksport til AD/Exchange

Eksport til LDAP (FEIDE)

Eksport til Bewator

Eksport til FS

ABC-eksport

Andre rutiner

Passordskiftevarsling

Oversikt over tjenesten, samt momenter HiH må ha et forhold til

HiH ønsker passordskiftevarsling med følgende oppsett:

  • Passord skal skiftes en gang i året
  • Første varsling sendes ut 9 uker i forveien
  • Andre varsel sendes ut 2 uker i forveien
  • Ingen brukere er unntatt fra tvungent passordskifte
  • 9 ukers-varsel:
    "Passordet ditt utløper snart. Du kan bytte passordet ved å klikke på linken http://xxxxxxxxx.
      Mvh IT-avdelingen"
  • 2 Ukers-varsel:
    Passordet ditt utløper om 2 uker. Kontoen din blir sperret hvis du ikke bytter passordet innen fristen.
    Bytt det på ved å klikke på klikken htttp://xxxxxxxx.
    Mvh IT-avdelingen
  • Engelsk 9-ukers varsel: "Your password is about to expire. You can change your password by clicking on this link https://xxxxxxxxxx".
  • Engelsk 2-ukers varsel: "Your password will expire in two weeks. Your account will be blocked if you do not change your password within the time limit. Change it by clicking on this link https://xxxxxxxxxx."
  • Avsenderadresse for passordskiftemailene skal være noreply@hih.no
  • Passordskiftetjenesten for HiH skal være tilgjengelig via http://www.hih.no/it/skifte-passord.html. NB! Denne siden kan kun peke til en sikret side der passordskfite faktisk gjennomføres.

Fødselsnummerendringer

TBD

Klienttilgang

Administrasjonsverktøyet bofh.

Instansen

  • Maskinnavn: cerebrum-hih.uio.no
  • IP-adresse: 129.240.2.143

Tilganger instansen er avhengig av

Internt på USIT

  • Postgres-hotell: Databasen cerebrum_hih_prod på PG-pakken dbpg-cerebrum-ext
  • LDAP-hotell: Nøkkelbasert SSH-tilgang til maskinenene ldap-hotell1.uio.no og ldap-hotell2.uio.no
  • UiO Nett: Åpent inn til cerebrum-hih.uio.no på port 8000 (bofh)

Hos HiH

  • FS: Databasen FSHIH.uio.no
  • ADnarve.hih.no og fjolme.stud.hih.no på port 8000
  • Filutveksling: Nøkkelbasert SSH-tilgang til domar.hih.no

Jobber

Oversikt over nødvendige rutiner og synkroniseringer

 

Publisert 19. nov. 2009 14:33 - Sist endret 3. jun. 2011 13:00
Tips en venn