Cykl życia tożsamości użytkownika systemów informatycznych UJ

Tworzenie tożsamości

Aby dana osoba mogła użytkować systemy informatyczne UJ musi być zarejestrowana w systemie zarządzania tożsamością UJ tj. musi posiadać swoją tożsamość w tym systemie. Rejestracja taka (utworzenie tożsamości) dokonuje się jako następstwo:

  • tworzenia kartoteki osobowej w systemie SAP, gdy tożsamość zakładana jest dla pracownika etatowego lub pracownika zatrudnionego na umowę cywilno-prawną;
  • tworzenia wpisu w systemie obsługi toku studiów USOS, gdy tożsamość zakładana jest dla studenta lub doktoranta;
  • po złożeniu wniosku o utworzenie konta gościa lub konta funkcyjnego.

Z reguły utworzenie tożsamości powiązane jest z tworzeniem odpowiednich wpisów/kont w systemach informatycznych współpracujących z systemem zarządzania tożsamością.

Do tych systemów należy przede wszystkim zaliczyć:

  • SAP (konto użytkownika – SU01)
  • Active Directory
  • LDAP
  • Azure (AD w chmurze)
  • System pracowniczej poczty elektronicznej
  • System studenckiej poczty elektronicznej

Ze względu na to, że część systemów, z których korzystają użytkownicy zlokalizowana jest w chmurze publicznej, również i tam przechowywana jest ich tożsamość.

W przypadku tożsamości posługujących się identyfikatorami/adresami mailowymi z domen @uj.edu.pl oraz @doctoral.uj.edu.pl, ustanowiona jest tzw. federacja między Active Directory UJ a usługą chmurową Azure. Oznacza to, że weryfikacja tych użytkowników (zatem i haseł) w pełni odbywa się po stronie systemów on-premise Uniwersytetu czyli w Active Directory UJ.

System zarządzania tożsamością UJ zapewnia spójność między tożsamością lokalną w UJ a tożsamością w chmurze (przy czym spójność nie oznacza w tym przypadku identyczności, co zostanie wyjaśnione w dalszej części).

System zarządzania tożsamością dba o to, aby jedna osoba miała jedną tożsamość, z którą mogą być skojarzone konta w różnych systemach.

Modyfikacja tożsamości

W większości przypadków modyfikacja danych składających się na tożsamość dokonywana jest w sposób zautomatyzowany jako następstwo modyfikacji danych w systemach źródłowych takich, jak SAP i USOS. Za automatyzację tego procesu odpowiedzialny jest system zarządzania tożsamością.

Logiczną konsekwencją tego jest niemożność dokonania przez administratora zmian np. takich atrybutów jak nazwisko, tytuł, status użytkownika z pominięciem systemów źródłowych. Zmiana wartości takich atrybutów musi nastąpić w systemie źródłowym (np. dla pracowników jest to system SAP HR).

Istotne jest, iż w ściśle określonych wypadkach następuje zmiana identyfikatora sieciowego – głównego elementu tożsamości, którym posługuje się użytkownik.

Zmiana taka ma miejsce w przypadku, gdy status osoby ulega zmianie. Takie sytuacje to np.:

  • zakończenie (obroną) studiów. Student powinien zmienić adres z @student.uj.edu.pl na domenę @alumni.uj.edu.pl.
  • przyjęcie alumna na kolejne studia. Osoba może wówczas zmienić adres z @alumni.uj.edu.pl na @student.uj.edu.pl lub @doctoral.uj.edu.pl.

Zmiana identyfikatorów realizowana jest tak, aby użytkownik nie utracił możliwości odbioru poczty elektronicznej kierowanej na wcześniej użytkowane adresy w innych domenach adresowych (dotyczy to studentów, doktorantów i alumnów).

Zamykanie tożsamości

W ściśle określonych sytuacjach tożsamość osoby jest zamykana tzn. dostęp do określonych usług IT przestaje być możliwy przy użyciu identyfikatora związanego z tożsamością.

Przykładem takich sytuacji są:

  • zakończenie pracy przez pracownika etatowego,
  • wygaśnięcie umowy cywilno-prawnej,
  • skreślenie z listy studentów,
  • zakończenie studiów i nie zgłoszenie chęci utrzymania konta alumna.

Usuwanie tożsamości

Generalnie obowiązuje zasada, iż tożsamość nie podlega usuwaniu, nawet jeśli osoba przestała być w jakiejkolwiek relacji z UJ. Wynika to z chęci zapewnienia bezpieczeństwa i rozliczalności systemów informatycznych UJ.

Niekiedy może zdarzyć się, iż zostanie utworzona błędnie druga tożsamość dla danej osoby. Wówczas w procesie scalania jedna z nich ulega usunięciu.