IAM-verkoston tapaamisessa 18.1.2018 CSC:n koulutustiloissa Espoossa keskusteltiin eduPersonAffiliation-attribuutin student-arvon tulkinnan muuttamisesta. Hakassa funetEduPerson-attribuuttiskeeman versio 2.2 määrittää paikallisen tulkinnan attribuutin arvoille.
Hakan tulkinnassa attribuutin arvoista on määritetty, miten attribuutin arvot kohdennetaan henkilöille. Tulkinnan perusteella avoimen yliopiston opiskelijat eivät voi saada attribuutin arvoa student, vaan muun yhteyden puuttuessa heille annetaan attribuutin arvo affiliate.
IAM-verkoston tapaamisessa ehdotettiin, että avoimen yliopiston opiskelijat lisättäisiin samaan luokkaan muiden opiskelijoiden kanssa. Jos attribuutin tulkintaa muutettaisiin, myös avoimen yliopiston opiskelijat voisivat saada attribuutin arvon student.
Asian vireilletulo ja käsittely
Ehdotuksen eduPersonAffiliation-attribuutin arvojen tulkinnan uudistamisesta teki Tampereen yliopisto IAM-verkoston tapaamisessa 18.1.2018. Sen jälkeen asiaa on käsitelty seuraavasti:
- 30.1.2018 tiedote Haka-wikin blogissa
- Sähköpostikeskustelu tammikuussa 2018 IAM-verkoston postilistalla
- Haka-ohjausryhmän kokouksen 2-2018 ilmoitusasioissa
- IAM-verkoston tapaamisessa 19.4.2018
Päätöksentekojärjestys
Haka-palvelusopimuksen mukaisesti (liite 2, kohta 3.2 Tekninen työryhmä):
Teknisen työryhmän tehtäviin kuuluu erityisesti
...
- päätösehdotuksen laatiminen ohjausryhmää varten luottamusverkossa välitettävien attribuuttien skeemasta (funetEduPerson-skeema)
IAM-verkosto on vakiintunut korkeakoulujen IdM-asiantuntijoiden ryhmä. Verkoston tapaamisiin osallistuvilla edustajilla on tehtävänsä puolesta myös tiivis sidos Hakassa noudatettavien määritysten toteuttamiseen ja seurantaan. Viime vuuosina verkoston on aktiivisesti tehnyt Haka-ohjausryhmälle aloitteita myös Hakan toiminnan ja määritysten kehittämisessä.
Haka-operoinnin valmistelema IAM-verkostossa kerätyn asiantuntemukseen pohjaava esittely voi toimia hyvänä taustatukena teknisen ryhmän kokoukselle esittää attribuuttiskeeman muutosta Haka-ohjausryhmälle. Tämä muistio on tarkoitus käsitellä IAM-verkoston tapaamisessa Jyväskylässä 19.4.2018.
Tätä muistiota voidaan käyttää esittelynä teknisen ryhmän kokouksessa ja edelleen Haka-ohjausryhmässä, jos tekninen ryhmä niin päättää.
Esitys
IAM-verkoston esitttää Hakan tekniselle ryhmälle
Muutetaan Hakan tulkintaa eduPersonAffiliation attribuutin arvoista niin, että avoimen yliopiston opiskelijat sisällytetään kuuluvaksi attribuutin arvoon student.
Argumentit esityksen puolesta
Opiskelijoiden pääsy opintoaineistoihin
Hilkka Kankaanpää argumentoi ehdotusta IAM-verkoston tapaamisessa 18.1.2018 käyttäen liitteen esitystä.
Ammattikorkeakoululain (14.11.2014/932) 10 §:n perusteella ammattikorkeakoulu voi järjestää myös erikoistumiskoulutusta, tutkintojen osia sisältävää koulutusta avoimena ammattikorkeakouluopetuksena tai muutoin erillisinä opintoina sekä täydennyskoulutusta.
Yliopistolain (24.7.2009/558) 7 §:n perusteella yliopistot voivat järjestää myös erikoistumiskoulutusta, tutkintojen osia sisältävää koulutusta avoimena yliopisto-opetuksena tai muutoin erillisinä opintoina ja täydennyskoulutusta.
Kankaanpään mukaan Tampereen yliopistolla avoimen yliopiston opetus on täysin Tampereen yliopiston opetussuunnitelman mukaista. Opiskelijavalintojen uudistuessa avoimen yliopisto-opetuksen merkitys on korostumassa. Avoimen yliopiston opiskelijat suorittavat samoja kursseja, kuin tutkinto-opiskelijat.
Pääsy opinnoissa käytettäviin aineistoihin toteutetaan nykyisin pääasiassa Haka-kirjautumiseen perustuen. Aineistojen käyttövaltuus arvioidaan aineistopalveluissa eduPersonAffiliation-attribuutin arvon perusteella. Opinnioissa käytettäviin aineistoihin pääsee esimerkiksi attribuutin arvoilla student ja faculty. Näin ollessa aineistoihin ei nykyisin pääse avoimen yliopiston opiskelijat, joiden eduPersonAffiliation arvo on affiliate.
Avoimen yliopiston opiskelijat suorittavat samoja kursseja, kuin tutkinto-opiskelujat, mutta hei eivät pääse tutkinto-opiskelijoille avoinna oleviin aineistoihin.
Opiskeiljoiden pääsy opintojen tukipalveluihin
Miina Vina kertoi IAM-verkoston sähköpostilistalla Turun ammattikorkeakoulussa selvitetyn palveluiden pääkäyttäjien näkemyksiä eduPersonAffiliation-attribuutin muuttamisesta.
CampusSport - ohjausryhmässä on päätetty ettei avoimen opiskelijat pääse käyttämään CampusSportin palveluja ja tämä valinta koskettaa myös Polku-opiskelijoita, eli heitä jotka jatkavat myöhemmin tutkinto-opiskelijoina. Polku-opiskelijoita ei haluta tällä hetkellä päästää palveluun.
Webropol - avoimen opiskelijoille ei ole ostettu lisenssejä.
Jobiili - sosiaali- ja terveysalan harjoittelupaikkojen varaaminen, pääsy rajattu avoimen opiskelijoilta. Meidän pääkäyttäjämme näki hyviä puolia tulkinnan muutoksesta, sillä Polku-opiskelijoiden olisi hyvä päästä palveluun hyvissä ajoin ennen harjoittelua ja siirtymisistään tutkinto-opiskelijoiksi. Mahdolliset haasteet liittyvät ohjeistukseen. Opettajien tulee olla tarkempia, kun hyväksyvät harjoittelupaikkojen varaukset.
Miina Vina jatkaa yhteen vetäen:
Kyselystä sain sellaisen mielikuvan, että tulkinnan muutokselle nämä järjestelmät eivät aiheuta estettä. Pääsy voitaneen rajata funetEduPersonStudentCategory-attribuutilla.
Hakan resurssirekisterissä organisaatioiden on mahdollisuus ilmoittaa, mitkä attribuutit ovat saatavilla organisaation tunnistuspalvelimelta. 16.4.2018 saatavana olevan tiedon perusteella vain kolme organisaatiota ilmoitti luovuttavansa funetEduPersonStudentCategory-attribuutin.
Argumentit esitystä vastaan
Esklusiivinen käyttövaltuutus
Mikael Linden kommentoi muutosta IAM-verkoston postilistalla:
On huono käytäntö rakentaa valtuuksia negatiivisten väittämien varaan ("joku
EI ole jotain"). Valtuutuksen pitäisi aina perustua positiivisten väittämien
varaan ("joku ON jotain"), ainakin Hakan tyyppisessä isossa hajautetussa
infrastruktuurissa jossa ei voi aina olettaa että kaikki tietää mitä muut
tekee.
Mahdollinen lisenssukustannusten kasvu
Lisäksi IAM-verkoston tapaamisessa keskusteltiin muutoksella olevan mahdollisesti korkeakouluille vaikutuksia lisenssikustannuksissa. Käytettäessä aineistojen käyttövaltuuksissa eduPersonAffiliation-attribuuttia, nykyisellä tulkinnalla tarvittavien lisenssien määrä on pienempi, kuin jos avoimen yliopiston opiskelijat luetaan mukaan opiskelijoiden joukkoon.
Toisaalta, jos myös avoimen korkeakoulun opiskelijoille joka tapauksessa joudutaan hankkimaan erikseen lisenssi samaan aineistoon, jää epäselväksi, onko todellisia vaikutuksia tarvittavien lisenssien määrään. Lisenssikustannuksissa saatetaan jopa säästää, jos avoimen korkeakoulun opiskelijoille ei erikseen tarvitse hankkia lisenssejä opetuksessa käytettävään aineistoon, vaan lisenssit hankitaan kerralla ja niiden käyttövaltuus toteutuu samalla mekanismilla kaikille opiskelijoille
Vaikutukset Hakan kotiorganisaatioille
Miina Vina kertoi IAM-verkoston sähköpostilistalla, että muutos aiheuttaisi hieman työtä organisaation tunnistuspalvelimen (IdP) ylläpitäjille ja palvelujen (Service Provider - SP) ylläpitäjille. Turun ammattikorkeakoulu ei keskustelun aikaan luovuttanut funetEduPersonStudentCategory-attribuuttia. Muutos tarkoittaisi Turun AMK:lle, että attribuutti pitäisi määritellä tunnistuspalvelimelle luovutettavien attribuuttien joukkoon sellaisille palveluille, joille se on tarpeen.
Jos korkeakoulu hyödyntää sellaisia palveluja, joissa avoimen korkeakoulun opiskelijoiden ei katsota kuuluvan opiskelijoiden joukkoon ja heille ei hankita pääsyä palveluun tai aineistoon, olisi käyttövaltuutus toteutettava funetEduPersonStudentCategory-attribuutin avulla. FunetEduPersonStudentCategory-attribuutille olisi populoitava arvo käyttäjille ja se pitäisi luovuttaa palveluille, jotka tarvitsevat eduPersonAfiliation-attribuuttia hienompaa jakoa käyttövaltuuksien hallinnassa.
Vaikutukset Haka-tunnistamiseen tukeutuville palveluille
Haka-käyttäjätunnistukseen tukeutuvat palvelut (Service Provider - SP) eivät muutoksen jälkeen pystyisi erottamaan avoimen korkeakoulun opiskelijoita esimerkiksi tutkinto-opiskelijoista pelkästään eduPersonAffiliation-attribuutin perustella. Jos käyttövaltuus haluttaisiin antaa vaan nykyisen eduPersonAffiliation arvon student käyttäjille (esimerkiksi vain tutkinto-opiskelijat), pitäisi käyttövaltuutus toteuttaa funetEduPersonStudentCategory-attribuutin avulla.
Koska vain harva korkeakoulu luovutaa funetEduPersonStudentCategory-attribuutin, tietoa tarvitseva palvelu joutuisi neuvottelemaan Hakan kotiorganisaatioiden kanssa, että ne alkaisivat luovuttaa attribuutin palvelulle.
Alkuperäinen esitys perustui siihen havaintoon, että avoimen korkeakoulujen opiskelijat suorittavat samoja opintoja, kuin tutkinto-opiskelijat. Tällä perusteella vaikuttaa epätodennäköiseltä, että tässä kuvattu vaikutus toteutuisi käytännössä.