Alustus
IAM-verkoston tapaamisessa 18.1.2018 CSC:n koulutustiloissa Espoossa keskusteltiin eduPersonAffiliation-attribuutin student-arvon tulkinnan muuttamisesta. Hakassa funetEduPerson-attribuuttiskeeman versio 2.2 määrittää paikallisen tulkinnan attribuutin arvoille.
Hakan tulkinnassa attribuutin arvoista on määritetty, miten attribuutin arvot kohdennetaan henkilöille. Tulkinnan perusteella avoimen korkeakoulun opiskelijat eivät voi saada attribuutin arvoa student, vaan muun yhteyden puuttuessa heille annetaan attribuutin arvo affiliate.
EduPersonAfiliation-atribuuttia tarkemmin opiskelijan roolia on mahdollista määrittää funeEduPersonStudentCategory-attribuutilla. FunetEduPersonStudentCategory ja eduPersonAffiliation -attribuutit eivät ole Hakan pakollisten attribuuttien joukossa. Pakollisella attribuutilla tarkoitetaan sellaista käyttäjätietoa, joka Haka-kotiorganisaation on populoitava käyttäjälle käyttäjähakemistossaan.
IAM-verkoston tapaamisessa ehdotettiin, että avoimen korkeakoulun opiskelijat tulkittaisiin kuuluvan samaan joukkoon muiden opiskelijoiden kanssa. Jos attribuutin tulkintaa muutettaisiin, myös avoimen korkeakoulun opiskelijat saisivat attribuutin arvon student.
Asian vireilletulo ja käsittely
Ehdotuksen eduPersonAffiliation-attribuutin arvojen tulkinnan uudistamisesta teki Tampereen yliopisto IAM-verkoston tapaamisessa 18.1.2018. Sen jälkeen asiaa on käsitelty seuraavasti:
- 30.1.2018 tiedote Haka-wikin blogissa
- Sähköpostikeskustelu tammikuussa 2018 IAM-verkoston sähköpostilistalla
- Haka-ohjausryhmän kokouksen 2-2018 ilmoitusasioissa
- IAM-verkoston tapaamisessa 19.4.2018
Päätöksentekojärjestys
Haka-palvelusopimuksen mukaisesti (liite 2, kohta 3.2 Tekninen työryhmä):
Teknisen työryhmän tehtäviin kuuluu erityisesti
...
- päätösehdotuksen laatiminen ohjausryhmää varten luottamusverkossa välitettävien attribuuttien skeemasta (funetEduPerson-skeema)
Haka-palvelusopimusuudistuksen jälkeen 15.11.2019:
päättää Operaattorin esityksestä Luottamusverkossa välitettävien henkilötietojen teknisestä esitystavasta (esim. funetEduPerson-skeema)
IAM-verkosto on vakiintunut korkeakoulujen käyttäjähallinnan asiantuntijoiden ryhmä. Verkoston tapaamisiin osallistuvilla edustajilla on tehtävänsä puolesta myös tiivis sidos Hakassa noudatettavien määritysten toteuttamiseen ja seurantaan. Viime vuosina verkosto on aktiivisesti tehnyt Haka-ohjausryhmälle aloitteita myös Hakan toiminnan ja määritysten kehittämisessä.
Haka-operoinnin valmistelema IAM-verkostossa kerättyyn asiantuntemukseen pohjaava esittely voi toimia hyvänä taustatukena teknisen ryhmän kokoukselle esittää attribuuttiskeeman muutosta Haka-ohjausryhmälle. Tämä muistio on tarkoitus käsitellä IAM-verkoston tapaamisessa Jyväskylässä 19.4.2018.
Tätä muistiota voidaan käyttää esittelynä teknisen ryhmän kokouksessa ja edelleen Haka-ohjausryhmässä, jos tekninen ryhmä niin päättää.
Esitys
IAM-verkosto esitttää Hakan tekniselle ryhmälle
Muutetaan Hakan tulkintaa eduPersonAffiliation attribuutin arvoista siten, että avoimen korkeakoulun opiskelijat sisällytetään kuuluvaksi attribuutin arvoon student.
Halutaanko esittää funetEduPersonStudentCategory-attribuuttia pakolliseksi? Miksi, kun myöskään affiliation ei ole pakollinen attribuutti?
Keskustelussa esitettyjä argumenteja
Opiskelijoiden pääsy opintoaineistoihin
Hilkka Kankaanpää argumentoi ehdotusta IAM-verkoston tapaamisessa 18.1.2018 käyttäen liitteen esitystä.
Ammattikorkeakoululain (14.11.2014/932) 10 §:n perusteella ammattikorkeakoulu voi järjestää myös erikoistumiskoulutusta, tutkintojen osia sisältävää koulutusta avoimena ammattikorkeakouluopetuksena tai muutoin erillisinä opintoina sekä täydennyskoulutusta.
Yliopistolain (24.7.2009/558) 7 §:n perusteella yliopistot voivat järjestää myös erikoistumiskoulutusta, tutkintojen osia sisältävää koulutusta avoimena yliopisto-opetuksena tai muutoin erillisinä opintoina ja täydennyskoulutusta.
Kankaanpään mukaan Tampereen yliopistolla avoimen yliopiston opetus on täysin Tampereen yliopiston opetussuunnitelman mukaista. Opiskelijavalintojen uudistuessa avoimen yliopisto-opetuksen merkitys on korostumassa. Avoimen yliopiston opiskelijat suorittavat samoja kursseja, kuin tutkinto-opiskelijat.
Pääsy opinnoissa käytettäviin aineistoihin toteutetaan pääasiassa Haka-kirjautumiseen perustuen. Aineistojen käyttövaltuus arvioidaan aineistopalveluissa eduPersonAffiliation-attribuutin arvon perusteella. Opinnioissa käytettäviin aineistoihin pääsee esimerkiksi attribuutin arvoilla student ja faculty. Näin ollessa aineistoihin ei pääse avoimen korkeakoulun opiskelijat, joiden eduPersonAffiliation arvo on affiliate.
Avoimen korkeakoulun opiskelijat suorittavat samoja kursseja, kuin tutkinto-opiskelujat, mutta hei eivät pääse tutkinto-opiskelijoille avoinna oleviin aineistoihin.
Avoimen korkeakouluväylän kautta tutkintoon johtavaa väylää kulkevia opiskelijoita kutsutaan polkuopiskelijoiksi ("toinen polku tutkintoon johtavaan koulutukseen").
Opiskeiljoiden pääsy opintojen tukipalveluihin
Miina Vina kertoi IAM-verkoston sähköpostilistalla Turun ammattikorkeakoulussa selvitetyn palveluiden pääkäyttäjien näkemyksiä eduPersonAffiliation-attribuutin muuttamisesta.
CampusSport - ohjausryhmässä on päätetty ettei avoimen opiskelijat pääse käyttämään CampusSportin palveluja ja tämä valinta koskettaa myös Polku-opiskelijoita, eli heitä jotka jatkavat myöhemmin tutkinto-opiskelijoina. Polku-opiskelijoita ei haluta tällä hetkellä päästää palveluun.
Webropol - avoimen opiskelijoille ei ole ostettu lisenssejä.
Jobiili - sosiaali- ja terveysalan harjoittelupaikkojen varaaminen, pääsy rajattu avoimen opiskelijoilta. Meidän pääkäyttäjämme näki hyviä puolia tulkinnan muutoksesta, sillä Polku-opiskelijoiden olisi hyvä päästä palveluun hyvissä ajoin ennen harjoittelua ja siirtymisistään tutkinto-opiskelijoiksi. Mahdolliset haasteet liittyvät ohjeistukseen. Opettajien tulee olla tarkempia, kun hyväksyvät harjoittelupaikkojen varaukset.
Miina Vina jatkaa yhteen vetäen:
Kyselystä sain sellaisen mielikuvan, että tulkinnan muutokselle nämä järjestelmät eivät aiheuta estettä. Pääsy voitaneen rajata funetEduPersonStudentCategory-attribuutilla.
Hakan resurssirekisterissä organisaatioiden on mahdollisuus ilmoittaa, mitkä attribuutit ovat saatavilla organisaation tunnistuspalvelimelta. 16.4.2018 saatavana olevan tiedon perusteella vain kolme organisaatiota ilmoitti luovuttavansa funetEduPersonStudentCategory-attribuutin.
Opiskelijaedut
Kun voimassaolevaa eduPersonAffiliation=student -tulkintaa tehtiin 2000 -luvun alkupuolella, johtotähtenä pidettiin opiskelijalle kohdentuvia yhteiskunnan ja yksityisen sektorin antamia etuuksia. Sosiaaliedut, kuten KELA:n ateriatuki, kohdentuvat vain tutkinto- ja vaihto-opiskelijoille. Avoimen korkeakoulun opiskelijat eivät myöskään saa opiskelija-alennusta VR:n lipuista ja yksityissektorin palveluista, joiden saaminen edellyttää opiskelijakortin esittämistä. eduPersonAffiliation=student-arvoa asetettaessa haluttiin siirtää tämä käytäntö digitaaliseen maailmaan.
Eksklusiivinen käyttövaltuutus
Mikael Linden kommentoi muutosta IAM-verkoston postilistalla. Kommentti koski erityisesti ehdotettua mallia, jossa palvelut voisivat halutessaan pitäytyä nykyisessä pääsynrajauksessa tekemällä konfiguraation "eduPersonAffiliation="Student" PAITSI funetEduPersonStudentCategory="open-university":
On huono käytäntö rakentaa valtuuksia negatiivisten väittämien varaan ("joku
EI ole jotain"). Valtuutuksen pitäisi aina perustua positiivisten väittämien
varaan ("joku ON jotain"), ainakin Hakan tyyppisessä isossa hajautetussa
infrastruktuurissa jossa ei voi aina olettaa että kaikki tietää mitä muut
tekee.
Toisaalta, esityksessä on kyse siitä, että avoimen yliopiston opiskelijat nimenomaan pitäisi lukea kuuluvaksi opiskelijoiden joukkoon. Tällöin opiskelijan määritelmä ei olisi eksklusiivinen: "opiskelijat poislukien avoimen korkeakoulun opiskelija", vaan lähtökohtaisesti tulkittaisiin avoimen korkeakoulun opiskelijat yhdenvertaiseksi tutkinto-opiskelijoiden kanssa.
Esityksen olettama on, että tässä kappaleessa tarkoitetulle negatiiviselle väittämälle on vähenevä tarve ja on tarve tukea paremmin palveluja, joissa oletetaan avoimen korkeakoulun opiskelijoiden kuuluvan opiskelijoiden joukkoon.
Mahdollinen lisenssikustannusten kasvu
IAM-verkoston tapaamisessa keskusteltiin muutoksella olevan mahdollisesti vaikutuksia korkeakoulujen lisenssikustannuksissa. Käytettäessä aineistojen käyttövaltuuksissa eduPersonAffiliation-attribuuttia nykyisellä tulkinnalla tarvittavien lisenssien määrä on pienempi, kuin jos avoimen yliopiston opiskelijat luetaan mukaan opiskelijoiden joukkoon.
Toisaalta, jos myös avoimen korkeakoulun opiskelijoille joka tapauksessa joudutaan hankkimaan erikseen lisenssi samaan aineistoon, jää epäselväksi, onko todellisia vaikutuksia tarvittavien lisenssien määrään. Lisenssikustannuksissa saatetaan jopa säästää, jos avoimen korkeakoulun opiskelijoille ei erikseen tarvitse hankkia lisenssejä opetuksessa käytettävään aineistoon, vaan lisenssit hankitaan kerralla ja niiden käyttövaltuus toteutuu samalla mekanismilla kaikille opiskelijoille.
Joillakin organisaatioilla jo nykyinen toimintatapa
IAM-verkoston kesksteluilssa kävi ilmi, että joissakin organisaatioissa valloitseva käytäntö jo on esitetyn mukainen, eli avoimen korkeakoulun opiskelijoille annetaan eduPersonAffiliation attribuutin arvoksi student. Käytäntö on vastoin funetEduPerson-skeeman nykyistä tulkintaa.
En myös kysytty, voiko organisaatio muuttaa käytäntöään omalla päätöksellään siitä huolimatta, että Hakan attribuuttiskeema esittää toisenlaisen tulkinnan. Haka-operoinnin näkemys on ollut, että organisaatio ei voi omalla päätöksellään Haka-luottamusverkostossa luovuttaa skeemasta poikkeavia attribuuttiarvoja. On kuitenkin organisaation oma asia, minkälaista attribuutti-skeemaa organisaatio noudattaa esim. kahdenvälisissä luottosuhteissa, joissa Haka ei ole osapuolena.
Muutoksen vaikutukset Hakan kotiorganisaatioille
Miina Vina kertoi IAM-verkoston sähköpostilistalla, että muutos aiheuttaisi hieman työtä organisaation tunnistuspalvelimen (IdP) ylläpitäjille. Turun ammattikorkeakoulu ei keskustelun aikaan luovuttanut funetEduPersonStudentCategory-attribuuttia. Muutos tarkoittaisi Turun AMK:lle, että attribuutti pitäisi määritellä tunnistuspalvelimelle luovutettavien attribuuttien joukkoon sellaisille palveluille, joille se on tarpeen.
Jos korkeakoulu hyödyntää sellaisia palveluja, joissa avoimen korkeakoulun opiskelijoiden ei katsota kuuluvan opiskelijoiden joukkoon ja heille ei hankita pääsyä opiskelijoille tarkoitettuun palveluun tai aineistoon, olisi käyttövaltuutus toteutettava funetEduPersonStudentCategory-attribuutin avulla. FunetEduPersonStudentCategory-attribuutille olisi populoitava arvo käyttäjille ja se pitäisi luovuttaa palveluille, jotka tarvitsevat eduPersonAfiliation-attribuuttia hienompaa jakoa käyttövaltuuksien hallinnassa.
Muutoksen vaikutukset Haka-tunnistamiseen tukeutuville palveluille
Haka-käyttäjätunnistukseen tukeutuvat palvelut (Service Provider - SP) eivät muutoksen jälkeen pystyisi erottamaan avoimen korkeakoulun opiskelijoita esimerkiksi tutkinto-opiskelijoista pelkästään eduPersonAffiliation-attribuutin perustella. Jos käyttövaltuus haluttaisiin antaa vaan nykyisen eduPersonAffiliation arvon student käyttäjille (esimerkiksi vain tutkinto-opiskelijat), pitäisi käyttövaltuutus toteuttaa funetEduPersonStudentCategory-attribuutin avulla.
Koska vain harva korkeakoulu luovutaa funetEduPersonStudentCategory-attribuutin, tietoa tarvitseva palvelu joutuisi neuvottelemaan Hakan kotiorganisaatioiden kanssa, että ne alkaisivat luovuttaa attribuutin palvelulle.
Alkuperäinen esitys perustui siihen havaintoon, että avoimen korkeakoulujen opiskelijat suorittavat samoja opintoja, kuin tutkinto-opiskelijat. Tällä perusteella vaikuttaa epätodennäköiseltä, että tässä kuvattu vaikutus toteutuisi käytännössä.
Vaikutukset, jos muutosta ei tehdä
Jos eduPersonAffiliation-attribuutin arvon student muutosta ei tehdä, tarvitaan muutoksia korkeakouluissa ja sellaisissa palveluissa, joissa oletetaan avoimen korkeakoulun opiskelijoiden kuuluvan opiskelijoiden joukkoon. Tällaisissa tapauksissa eduPersonAffiliation-attribuutti ei riitä käyttövaltuustiedon päättelyyn. Palvelut joutuisivat pyytämään kotiorganisaatioita luovuttamaan funetEduPersonStudentCategory -attribuutin ja päättelemään käyttövaltuuden esimerkiksi yhdessä attribuutin arvoilla gualifying-studies ja open-university.
Yhteenveto
Muutoksella tuettaisiin niitä palveluja, joissa oletetaan avoimen korkeakoulun opiskelijoiden kuuluvan opiskelijoiden joukkoon. Tampereen yliopistossa on havaittu, että avoimen korkeakoulun opiskelijat suorittavat samoja kursseja tutkinto-opiskelijoiden kanssa ja tarvitsevat pääsyn samoihin aineistoihin.
Haka-operoinnin tietoon ei ole saatettu tai IAM-verkostossa ei ole tullut esille, että jossakin palvelussa tulisi erityistä haittaa siitä, että avoimen korkeakoulun opiskelijat luettaisiin tutkinto-opiskelijoihin verrattaviksi opiskelijoiksi.
Muutoksen yhteydessä ei ole toteutettu kyselyä tai selvitystä siitä, kuinka paljon on palveluja, joissa avoimen korkeakoulun opiskelijoita ei pitäisi lukea tutkinto-opiskelijoiksi verrattaviksi opiskelijoiksi. Muutoksesta on tiedotettu Hakan käytäntöjen mukaisesti ja palveluilla on ollut mahdollisuus ilmaista Haka-operaattorille näkemyksensä muutoksesta. Erään palvelun (SP) edustaja otti yhteyttä Haka-operointiin kysyäkseen tarkennuksia muutoksesta, mutta ilmaisi, että muutos ei aiheuta suurta haittaa palvelussa. Operointi ei ole saanut muita yhteydenottoja muutokseen liittyen.
2 Comments
Kari Laalo
09:40:15 From Babo S/ÅA : Meillä ei vielä ole avoimmen opiskelijat samassa rekisterissä kuin "tavalliset" opiskelijat eikä nykyinen rekisteri ole mielestäni tarpeeksi luotettava. En tällä hetkellä haluaisi tehdä kaikista avoimmen op. "student", mutta kunhan meillä on Peppi ja siellä myös avoimmen niin sitten ehkä :)
09:42:34 From Babo S/ÅA : mutta toisaalta meillä ei ole olut ongelmia "affiliate"n takia, käytämme tuota funetedupersoncategorya
09:57:47 From Babo S/ÅA : Meillä on tällä hetkellä se ongelma että avoimmen opiskelijat tulevat rekisteriin liian myöhään, joskus vasta kun kurssi on ohi ja suoritettu.. joten en pysty saaman tarpeeksi nopeasti tietoa. Mutta ne siirtyvät kyllä Peppiin joten tilanne muuttuu
Kari Laalo
Metadatan attribuuttipyyntöjen perusteella katsotaan, ketkä käyttävät epa ja vaikka webropol-kysely, jolla kysytään muutoksen vaikutuksia ja esim. mahdollisuus käyttää
member-arvoastudent-arvon sijasta