Page History
Work in progress
toistaiseksi näkyvissä vain KVP:läisille
Tieturvaosiot
...
...
Käyttäjän, ylläpitäjän, organisaation pääylläpitäjän ja organisaation vastuut
Käyttäjätunnukset ovat henkilökohtaisia, eikä niitä saa luovuttaa muiden käyttöön. Vain nimetyillä luonnollisilla henkilöillä saa olla Finna-palvelun ylläpitotunnuksiakäyttäjätunnuksia.
Organisaatioiden ylläpitäjät ja käyttäjät ovat myös velvoitettuja ilmoittamaan Finna palvelupisteelle henkilövaihdoksista ja tarpeista uusille tunnuksille, joiden lisäyksetlisäykset hoidetaan sitten sitä kautta keskitetysti.
Ylläpitäjä-oikeudet annetaan vain rajatulle joukolle ja organisaatioissa pyritään pitämään ylläpitäjä-statuksen omaavia henkilöitä vain muutamia. Ylläpitäjät ovat myös Organisaation pääylläpitäjät (Organisation Admin) ovat myös velvollisia pitämään kirjaa, siitä kenellä organisaation sisällä henkilökunnasta on tällaiset ylläpitäjä-tunnukset käytössä ja kenellä ei. . Pääylläpitäjiä on jokaisessa organisaatiossa yksi. Lisätietoa käyttäjähallinnasta: Käyttäjätoiminnot.
Organisaatio vastaa hallinnoimiensa tunnusten tekemistä muutoksista (erityisesti ohjelmakoodi) ja näiden mahdollisista seurauksista Finnan palvelinympäristöön.
Tekniset rajoitukset ja valvonta
Hallintaliittymän käyttö sekä ja pääsy on rajattu sekä IP-osoitteella sekä salasanallaettä käyttäjätunnus + salasana -yhdistelmällä.
Pääsyn omaavia IP-osoitteita hallinoidaan pääasiassa Finna-palvelupisteen kautta. Pyritään myös Käyttöä pyritään seuraamaan aktiivisesti seuraamaan käyttöä ja poistamaan tarpeettomiksi jääneitä osoitteita listaltatarpeettomiksi jääneet IP-osoitteet poistetaan pääsylistalta.
Käyttäjien lisääminen ja poistaminen lisätään tallennetaan käyttäjälokiin, jonne on pääsy vain pääkäyttäjä-tunnuksilla, joita on hallussa vain Finnan palvelupisteen sekä ja kehityksen työntekijöillä. Yli vuoden käyttämättömänä olleet käyttäjätunnukset tullaan jatkossa poistamaan automaattisesti.
Organisaation pääylläpitäjä Ylläpitäjä -käyttäjät hallinoivat omia organisaation käyttäjiä ainoastaan niissä tilanteissa kun on tarve, eli käyttäjän poistamisen tai salasanan vaihdon oman organisaationsa käyttäjiä lisäämisen, poistamisen tai muokkaustarpeen yhteydessä.
Tiedon salaaminen
...
Tiedostoihin/hakemistoihin pääsy on rajattu ylläpitäjille ainoastaan muutamaan hakemistoon ja niiden alihakemistoihin, tarkoittaen päätasolla vain kansioita 'local' sekä 'themes' Ja ja näiden alihakemistoja. Käyttäjillä ei ole pääsyä tiedostonhallintaan.
TODO:
...
Lisäksi sivupohjien ja ohjelmakoodi-tiedostojen näkyminen edellyttää organisaation pääylläpitäjän myöntämiä lisäoikeuksia. Käyttäjä-roolilla ei ole pääsyä tiedostonhallinta-osioon.
Katso myös: Hallintaliittymän tietosuojaseloste
Epäselvissä tapauksissa kannattaa ottaa yhteyttä Finna palveluosoitteeseen finna-posti [at] helsinki.fi
...
Selvitys tulevaisuuteen
Kaksivaiheisen tunnistautumisen mahdollistaminen (mobiilivarmenne, multiotp open source?)
Organisaatiot huolehtivat IP-avauksista ja käyttäjätunnuksien poistamisista organisaatiolta, ja ilmoittavat meille henkilövaihdoksista ja uusien tunnuksien tarpeista.
Ylläpitäjä-oikeudet rajatulle joukolle. Ja pitää kirjaa kenellä on oikeudet omassa organisaatiossa.
Tekniset rajoitukset ja valvonta:
Ip-rajattu, salasana rajattu.
Valvonta: lokitus, käyttäjien lisääminen ja poistaminen lokitetaan.
Ylläpitäjät hallinoivat käyttäjiä vain kun on tarve.
Tiedonsalaaminen: HTTPS takana
TODO: käyttämättömät tunnukset poistetaan puolen vuoden käyttämättömyyden jälkeen. Henkilötiedoista huolehditaan koko elinkaaren
TODO: tarkistetaan jääkö käyttäjätiedot käyttäjän poistamisen jälkeen. Eli onko mahdollista selvittää kuka käyttäjä oli poiston jälkeen.
TODO: lokiin pitää jäädä tieto kuka on luonut tunnuksen
Kaksivaiheisen tunnistautumisen mahdollistaminen tulevaisuudessa(mobiilivarmenne, multiotp open source?)
Rajoitettiin organisaationkohtaisia oikeuksia suppeammiksi tiedostonhallinnassa, ylläpitäjät pääsevät nyt vain muutamaan kansioon (local/themes).
TODO: Hallintaliittymän käyttöehdot.
TODO: Ylläpitäjän mahdollisuus luoda uusia ylläpitäjiä mietintään, onko järkevää vai estetäänkö se ja pidetään mahdollisuus ylläpitäjien lisäykseen vain pääkäyttäjille(kk). Vai olisiko organisaatioille yksi mega-ylläpitäjä joka voi lisätä ylläpitäjiä.