Versions Compared

Old Version 9

changes.mady.by.user Unknown User ([email protected])

Saved on

compared with

New Version Current

changes.mady.by.user Unknown User ([email protected])

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Work in progress

toistaiseksi näkyvissä vain KVP:läisille

Tieturvaosiot

...

 

...

Käyttäjän, ylläpitäjän, organisaation pääylläpitäjän ja organisaation vastuut

Käyttäjätunnukset ovat henkilökohtaisia, eikä niitä saa luovuttaa muiden käyttöön. Vain nimetyillä luonnollisilla henkilöillä saa olla Finna-palvelun ylläpitotunnuksiakäyttäjätunnuksia

Organisaatioiden ylläpitäjät ja käyttäjät ovat myös velvoitettuja ilmoittamaan Finna palvelupisteelle henkilövaihdoksista ja tarpeista uusille tunnuksille, joiden lisäyksetlisäykset hoidetaan sitten sitä kautta keskitetysti. 


Ylläpitäjä-oikeudet annetaan vain rajatulle joukolle ja organisaatioissa pyritään pitämään ylläpitäjä-statuksen omaavia henkilöitä vain muutamia. Ylläpitäjät ovat myös Organisaation pääylläpitäjät (Organisation Admin) ovat myös velvollisia pitämään kirjaa, siitä kenellä organisaation sisällä henkilökunnasta on tällaiset ylläpitäjä-tunnukset käytössä ja kenellä ei. . Pääylläpitäjiä on jokaisessa organisaatiossa yksi. Lisätietoa käyttäjähallinnasta: Käyttäjätoiminnot.


Organisaatio vastaa hallinnoimiensa tunnusten tekemistä muutoksista (erityisesti ohjelmakoodi) ja näiden mahdollisista seurauksista Finnan palvelinympäristöön.


Tekniset rajoitukset ja valvonta

Hallintaliittymän käyttö sekä ja pääsy on rajattu sekä IP-osoitteella sekä salasanallaettä käyttäjätunnus + salasana -yhdistelmällä.

Pääsyn omaavia IP-osoitteita hallinoidaan pääasiassa Finna-palvelupisteen kautta. Pyritään myös Käyttöä pyritään seuraamaan aktiivisesti seuraamaan käyttöä ja poistamaan tarpeettomiksi jääneitä osoitteita listaltatarpeettomiksi jääneet IP-osoitteet poistetaan pääsylistalta.


Käyttäjien lisääminen ja poistaminen lisätään tallennetaan käyttäjälokiin, jonne on pääsy vain pääkäyttäjä-tunnuksilla, joita on hallussa vain Finnan palvelupisteen sekä ja kehityksen työntekijöillä. Yli vuoden käyttämättömänä olleet käyttäjätunnukset tullaan jatkossa poistamaan automaattisesti. 

Organisaation pääylläpitäjä Ylläpitäjä -käyttäjät hallinoivat omia organisaation käyttäjiä ainoastaan niissä tilanteissa kun on tarve, eli käyttäjän poistamisen tai salasanan vaihdon oman organisaationsa käyttäjiä lisäämisen, poistamisen tai muokkaustarpeen yhteydessä.


Tiedon salaaminen

...

Tiedostoihin/hakemistoihin pääsy on rajattu ylläpitäjille ainoastaan muutamaan hakemistoon ja niiden alihakemistoihin, tarkoittaen päätasolla vain kansioita 'local' sekä 'themes' Ja ja näiden alihakemistoja. Käyttäjillä ei ole pääsyä tiedostonhallintaan.

TODO:

...

Lisäksi sivupohjien ja ohjelmakoodi-tiedostojen näkyminen edellyttää organisaation pääylläpitäjän myöntämiä lisäoikeuksia. Käyttäjä-roolilla ei ole pääsyä tiedostonhallinta-osioon.

Katso myös: Hallintaliittymän tietosuojaseloste

Epäselvissä tapauksissa kannattaa ottaa yhteyttä Finna palveluosoitteeseen finna-posti [at]  helsinki.fi

...

Selvitys tulevaisuuteen

 

Kaksivaiheisen tunnistautumisen mahdollistaminen (mobiilivarmenne, multiotp open source?)

 

3.5 muistiinpanot

Organisaatiot huolehtivat IP-avauksista ja käyttäjätunnuksien poistamisista organisaatiolta, ja ilmoittavat meille henkilövaihdoksista ja uusien tunnuksien tarpeista.

Ylläpitäjä-oikeudet rajatulle joukolle. Ja pitää kirjaa kenellä on oikeudet omassa organisaatiossa. 

Tekniset rajoitukset ja valvonta:

Ip-rajattu, salasana rajattu. 

Valvonta: lokitus, käyttäjien lisääminen ja poistaminen lokitetaan. 

Ylläpitäjät hallinoivat käyttäjiä vain kun on tarve.

Tiedonsalaaminen: HTTPS takana

TODO: käyttämättömät tunnukset poistetaan puolen vuoden käyttämättömyyden jälkeen. Henkilötiedoista huolehditaan koko elinkaaren

TODO: tarkistetaan jääkö käyttäjätiedot käyttäjän poistamisen jälkeen. Eli onko mahdollista selvittää kuka käyttäjä oli poiston jälkeen.

TODO: lokiin pitää jäädä tieto kuka on luonut tunnuksen

Kaksivaiheisen tunnistautumisen mahdollistaminen tulevaisuudessa(mobiilivarmenne, multiotp open source?)

Rajoitettiin organisaationkohtaisia oikeuksia suppeammiksi tiedostonhallinnassa, ylläpitäjät pääsevät nyt vain muutamaan kansioon (local/themes).

TODO: Hallintaliittymän käyttöehdot.

TODO: Ylläpitäjän mahdollisuus luoda uusia ylläpitäjiä mietintään, onko järkevää vai estetäänkö se ja pidetään mahdollisuus ylläpitäjien lisäykseen vain pääkäyttäjille(kk). Vai olisiko organisaatioille yksi mega-ylläpitäjä joka voi lisätä ylläpitäjiä.