Versions Compared

Old Version 6

changes.mady.by.user Kari Laalo

Saved on

compared with

New Version Current

changes.mady.by.user Jani Heikkinen

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Table of Contents

Alustus

IAM-verkoston tapaamisessa 18.1.2018 CSC:n koulutustiloissa Espoossa keskusteltiin eduPersonAffiliation-attribuutin student-arvon tulkinnan muuttamisesta. Hakassa funetEduPerson-attribuuttiskeeman versio 2.2 määrittää paikallisen tulkinnan attribuutin arvoille.

Hakan tulkinnassa attribuutin arvoista on määritetty, miten attribuutin arvot kohdennetaan henkilöille. Tulkinnan perusteella avoimen korkeakoulun opiskelijat eivät voi saada attribuutin arvoa student, vaan muun yhteyden puuttuessa heille annetaan attribuutin arvo affiliate.

EduPersonAfiliation-atribuuttia tarkemmin opiskelijan roolia on mahdollista määrittää funeEduPersonStudentCategory-attribuutilla. FunetEduPersonStudentCategory ja eduPersonAffiliation -attribuutit eivät ole Hakan pakollisten attribuuttien joukossa. Pakollisella attribuutilla tarkoitetaan sellaista käyttäjätietoa, joka Haka-kotiorganisaation on populoitava käyttäjälle käyttäjähakemistossaan.

IAM-verkoston tapaamisessa ehdotettiin, että avoimen korkeakoulun opiskelijat tulkittaisiin kuuluvan samaan joukkoon muiden opiskelijoiden kanssa. Jos attribuutin tulkintaa muutettaisiin, myös avoimen korkeakoulun opiskelijat saisivat attribuutin arvon student.

...

Teknisen työryhmän tehtäviin kuuluu erityisesti

...

  • päätösehdotuksen  laatiminen  ohjausryhmää  varten  luottamusverkossa  välitettävien  attribuuttien skeemasta (funetEduPerson-skeema)

Haka-palvelusopimusuudistuksen jälkeen 15.11.2019:

  • päättää Operaattorin esityksestä Luottamusverkossa välitettävien henkilötietojen teknisestä esitystavasta (esim. funetEduPerson-skeema)

IAM-verkosto on vakiintunut korkeakoulujen IdM-käyttäjähallinnan asiantuntijoiden ryhmä. Verkoston tapaamisiin osallistuvilla edustajilla on tehtävänsä puolesta myös tiivis sidos Hakassa noudatettavien määritysten toteuttamiseen ja seurantaan. Viime vuosina verkosto on aktiivisesti tehnyt Haka-ohjausryhmälle aloitteita myös Hakan toiminnan ja määritysten kehittämisessä.

...

Panel
titleEsitys eduPersonAffiliation-attribuutin arvojen tulkinnan muuttamisesta

Muutetaan Hakan tulkintaa eduPersonAffiliation attribuutin arvoista niinsiten, että avoimen yliopiston korkeakoulun opiskelijat sisällytetään kuuluvaksi attribuutin arvoon student.

Halutaanko esittää funetEduPersonStudentCategory-attribuuttia pakolliseksi?

...

Miksi, kun myöskään affiliation ei ole pakollinen attribuutti?

Keskustelussa esitettyjä argumenteja

Opiskelijoiden pääsy opintoaineistoihin

...

Avoimen korkeakoulun opiskelijat suorittavat samoja kursseja, kuin tutkinto-opiskelujat, mutta hei eivät pääse tutkinto-opiskelijoille avoinna oleviin aineistoihin.

Avoimen korkeakouluväylän kautta tutkintoon johtavaa väylää kulkevia opiskelijoita kutsutaan polkuopiskelijoiksi ("toinen polku tutkintoon johtavaan koulutukseen").

Opiskeiljoiden pääsy opintojen tukipalveluihin

...

Hakan resurssirekisterissä organisaatioiden on mahdollisuus ilmoittaa, mitkä attribuutit ovat saatavilla organisaation tunnistuspalvelimelta. 16.4.2018 saatavana olevan tiedon perusteella vain kolme organisaatiota ilmoitti luovuttavansa funetEduPersonStudentCategory-attribuutin.

Argumentit esitystä vastaan 

...

Opiskelijaedut

Kun voimassaolevaa eduPersonAffiliation=student -tulkintaa tehtiin 2000 -luvun alkupuolella, johtotähtenä pidettiin opiskelijalle kohdentuvia yhteiskunnan ja yksityisen sektorin antamia etuuksia. Sosiaaliedut, kuten KELA:n ateriatuki, kohdentuvat vain tutkinto- ja vaihto-opiskelijoille. Avoimen korkeakoulun opiskelijat eivät myöskään saa opiskelija-alennusta VR:n lipuista ja yksityissektorin palveluista, joiden saaminen edellyttää opiskelijakortin esittämistä. eduPersonAffiliation=student-arvoa asetettaessa haluttiin siirtää tämä käytäntö digitaaliseen maailmaan.

Eksklusiivinen käyttövaltuutus

Mikael Linden kommentoi muutosta IAM-verkoston postilistalla. Kommentti koski erityisesti ehdotettua mallia, jossa palvelut voisivat halutessaan pitäytyä nykyisessä pääsynrajauksessa tekemällä konfiguraation "eduPersonAffiliation="Student" PAITSI funetEduPersonStudentCategory="open-university":

On huono käytäntö rakentaa valtuuksia negatiivisten väittämien varaan ("joku
EI ole jotain"). Valtuutuksen pitäisi aina perustua positiivisten väittämien
varaan ("joku ON jotain"), ainakin Hakan tyyppisessä isossa hajautetussa
infrastruktuurissa jossa ei voi aina olettaa että kaikki tietää mitä muut
tekee.

...

Toisaalta, esityksessä on kyse siitä, että avoimen yliopiston opiskelijat nimenomaan pitäisi lukea kuuluvaksi opiskelijoiden joukkoon. Tällöin opiskelijan määritelmä ei olisi eksklusiivinen: "opiskelijat poislukien avoimen korkeakoulun opiskelija", vaan lähtökohtaisesti tulkittaisiin avoimen korkeakoulun opiskelijat yhdenvertaiseksi tutkinto-opiskelijoiden kanssa.

Esityksen olettama on, että tässä kappaleessa tarkoitetulle negatiiviselle väittämälle on vähenevä tarve ja on tarve tukea paremmin palveluja, joissa oletetaan avoimen korkeakoulun opiskelijoiden kuuluvan opiskelijoiden joukkoon.

Mahdollinen lisenssikustannusten kasvu

IAM-verkoston tapaamisessa keskusteltiin muutoksella olevan mahdollisesti vaikutuksia korkeakoulujen lisenssikustannuksissa. Käytettäessä aineistojen käyttövaltuuksissa eduPersonAffiliation-attribuuttia , nykyisellä tulkinnalla tarvittavien lisenssien määrä on pienempi, kuin jos avoimen yliopiston opiskelijat luetaan mukaan opiskelijoiden joukkoon.

Toisaalta, jos myös avoimen korkeakoulun opiskelijoille joka tapauksessa joudutaan hankkimaan erikseen lisenssi samaan aineistoon, jää epäselväksi, onko todellisia vaikutuksia tarvittavien lisenssien määrään. Lisenssikustannuksissa saatetaan jopa säästää, jos avoimen korkeakoulun opiskelijoille ei erikseen tarvitse hankkia lisenssejä opetuksessa käytettävään aineistoon, vaan lisenssit hankitaan kerralla ja niiden käyttövaltuus toteutuu samalla mekanismilla kaikille opiskelijoille.

Joillakin organisaatioilla jo nykyinen toimintatapa

IAM-verkoston kesksteluilssa kävi ilmi, että joissakin organisaatioissa valloitseva käytäntö jo on esitetyn mukainen, eli avoimen korkeakoulun opiskelijoille

...

annetaan eduPersonAffiliation attribuutin arvoksi student. Käytäntö on vastoin funetEduPerson-skeeman nykyistä tulkintaa.

En myös kysytty, voiko organisaatio muuttaa käytäntöään omalla päätöksellään siitä huolimatta, että Hakan attribuuttiskeema esittää toisenlaisen tulkinnan. Haka-operoinnin näkemys on ollut, että organisaatio ei voi omalla päätöksellään Haka-luottamusverkostossa luovuttaa skeemasta poikkeavia attribuuttiarvoja. On kuitenkin organisaation oma asia, minkälaista attribuutti-skeemaa organisaatio noudattaa esim. kahdenvälisissä luottosuhteissa, joissa Haka ei ole osapuolena.

Muutoksen vaikutukset Hakan kotiorganisaatioille

Miina Vina kertoi IAM-verkoston sähköpostilistalla, että muutos aiheuttaisi hieman työtä organisaation tunnistuspalvelimen (IdP) ylläpitäjille. Turun ammattikorkeakoulu ei keskustelun aikaan luovuttanut funetEduPersonStudentCategory-attribuuttia. Muutos tarkoittaisi Turun AMK:lle, että attribuutti pitäisi määritellä tunnistuspalvelimelle luovutettavien attribuuttien joukkoon sellaisille palveluille, joille se on tarpeen.

Jos korkeakoulu hyödyntää sellaisia palveluja, joissa avoimen korkeakoulun opiskelijoiden ei katsota kuuluvan opiskelijoiden joukkoon ja heille ei hankita pääsyä opiskelijoille tarkoitettuun palveluun tai aineistoon, olisi käyttövaltuutus toteutettava funetEduPersonStudentCategory-attribuutin avulla. FunetEduPersonStudentCategory-attribuutille olisi populoitava arvo käyttäjille ja se pitäisi luovuttaa palveluille, jotka tarvitsevat eduPersonAfiliation-attribuuttia hienompaa jakoa käyttövaltuuksien hallinnassa.

...

Muutoksen vaikutukset Haka-tunnistamiseen tukeutuville palveluille

Haka-käyttäjätunnistukseen tukeutuvat palvelut (Service Provider - SP) eivät muutoksen jälkeen pystyisi erottamaan avoimen korkeakoulun opiskelijoita esimerkiksi tutkinto-opiskelijoista pelkästään eduPersonAffiliation-attribuutin perustella. Jos käyttövaltuus haluttaisiin antaa vaan nykyisen eduPersonAffiliation arvon student käyttäjille (esimerkiksi vain tutkinto-opiskelijat), pitäisi käyttövaltuutus toteuttaa funetEduPersonStudentCategory-attribuutin avulla.

...

Jos eduPersonAffiliation-attribuutin arvon student muutosta ei tehdä, tarvitaan muutoksia korkeakouluissa ja sellaisissa palveluissa, joissa oletetaan avoimen korkeakolun korkeakoulun opiskelijoiden kuuluvan opiskelijoiden joukkoon. Tällaisissa käyttövaltuuksissa tapauksissa eduPersonAffiliation-attribuutti ei riitä käyttövaltuustiedon päättelyyn. Palvelut joutuisivat pyytämään kotiorganisaatioita luovuttamaan funetEduPersonStudentCategory -attribuutin ja päättelemään käyttövaltuuden esimerkiksi yhdessä attribuutin arvoilla gualifying-studies ja open-university.

...

Muutoksen yhteydessä ei ole toteutettu kyselyä tai selvitystä siitä, kuinka paljon on palveluja, joissa avoimen korkeakoulun opiskelijoita ei pitäisi lukea tutkinto-opiskelijoiksi verrattaviksi opiskelijoiksi. Muutoksesta on tiedotettu Hakan käytäntöjen mukaisesti ja palveluilla on ollut mahdollisuus ilmaista Haka-operaattorille näkemuksensä näkemyksensä muutoksesta. Erään palvelun (SP) edustaja otti yhteyttä Haka-operointiin kysyäkseen tarkennuksia muutoksesta, mutta ilmaisi, että muutos ei aiheuta suurta haittaa palvelussa. Operointi ei ole saanut muita yhteydenottoja muutokseen liittyen.