Avvikling av brukarar

Beskrivelse og dokumentasjon av automatiske og manuelle rutiner rundt sperring og avvikling av brukarar.

Sjå også Sikkerhetshandboka: Rutine for avvikling av IT-rettigheter for USIT.

Automatisk sperring og avvikling

Alle brukarkontoar vert automatisk varsla, sperra og avvikla straks personen ikkje lenger har noko aktiv tilknytting til UiO. Denne automatikken vart innførd 9. september 2014. Løpet for dette:

Prosessen for automatisk sperring og avvikling

Kva den automatiske sperringa gjer:

  1. Dag 0 - Mister tilknyttingar: Personen har ikkje lenger noko tilknytting til UiO.
    • Dette skjer når SAPUiO og/eller FS meiner at personen ikkje lenger reknast som aktiv.
    • Personen mister sin Feide-tilgang med ein gang.
  2. Dag 3 - Varsling: Automatikken venter nokre dagar, før den varsler personen om sperringa.
    • Varslinga går per i dag via e-post.
    • Personen får eit varsel for kvar aktive brukarkonto.
    • Personen har no ein månad på seg å kontakte si lokale personalavdeling eller studentkontor for å få rydda i sine registreringar, om det skulle vere ein feil i registreringane.
    • Alle brukarkontoane får samtidig satt ei karantene auto_no_aff, med startdato fram i tid. Dersom ein person vert registrert som aktiv att vil denne karantena forsvinne og brukaren står ikkje lenger i fare for å bli sperra og avvikla.
  3. Dag 33 - Sperring: Ein månad etter varsling vert brukarkontoen sperra for pålogging.
    • Lokal IT kan midlertidig opne opp brukarkontoen att, så brukaren kan hente ut sine data.
  4. Dag 63 - Avvikling: Når ein brukarkonto har vore sperra i over ein månad vert brukarkontoen avvikla.
    • Heimeområde arkiverast og sendast til backup.
    • Brukarkontoen fjernast frå mange IT-system.
    • Brukarkontoen mister alle sine gruppemedlemskap, med unntak av si personlege filgruppe.

Merk:

  • Den automatiske sperringa gjeld alle brukargrupper, inkludert studentar. Alle brukarar vil difor bli handtert på samme viset.
  • Studentar mister ikkje sine tilknyttingar frå FS før ei stund etter at dei er ferdige med å studere. Dei vil difor ikkje bli sperra med ein gang.
  • Den automatiske sperringa skjer dagleg, gjennom heile året. Det er slutt på halvårleg opprydding av studentbrukarar.
  • Lokal IT har tilgang til ei liste over kven som står i fare for å bli sperra.
  • Enn så lenge sperrer vi ikkje dei som har manuelle tilknyttingar. Desse vil bli tatt seinare. Dette vil bli varsla.
  • Den automatiske avviklingsrutina vil også avvikle brukarkontoar som har hatt andre karantener i ein periode, dersom personen ikkje har nokon tilknyttingar. Cerebrum vil fortløpande introdusere karantenene for avvikling etter 30 dagar:
    1. auto_no_aff
    2. autopassord
    3. auto_inaktiv
    4. generell
    5. slutta
    6. svakt_passord
  • Obs: Dersom nokon slutter etter ein oppsigelse, eller har andre årsaker som gjer at dei skal bli sperra med ein gang, må lokal IT sperre brukaren manuelt, slik som før. Ikkje vent på automatikken for dette.
  • Nokre manuelle person-tilknyttingar kan gjere at brukarkontoane til personen ikkje vert sperra. Slike tilknyttingar må fjernast manuelt for at brukarkontoen skal bli tatt av automatikken.

Feilregistreringar

Det kan vere fleire årsaker til at ein person vert sperra ved ein feil:

  • Ein person som skal ha tilgang har blitt varsla: Sperringa ser på kvar person sine tilknyttingar i Cerebrum (bofh), du kan sjå desse med person info i bofh.
    • Personen kan vere feilregistrert i kjeldesystemet, så Cerebrum har ikkje fått informasjon om personen. Personen må sjølv ta kontakt med sitt studentkontor, personalavdeling eller sin kontaktperson ved UiO som må rydde opp i registreringane. Gjester og andre som ikkje vert lønna registrerast som assosierte personar i SAPUiO.
    • Midlertidige feil eller forsinkingar i overføringar mellom SAPUiO/FS og Cerebrum kan føre til at personar vert registrerte for seint. Dette skjer sjeldan, og det vil komme driftsmeldingar i slike situasjonar. Opphev karantena midlertidig.
  • Systembrukarar vert sperra: Dette kjem i situasjonane der systembrukaren er feilregistrert med ein fiktiv person som eigar i Cerebrum (bofh). Bytt om så eigaren av systembrukaren er ei driftsgruppe og ikkje lenger ein person. Alle i driftsgruppa vil då ha tilgang til å bytte passord på systembrukaren, og det er ikkje lenger fare for at brukaren vert automatisk sperra. Om du ikkje har tilgang til å gjere dette sjølv kan du kontakte houston@usit.uio.no om å endre dette.
  • Ein person som ikkje har vore ved UiO på fleire år har plutseleg blitt varsla om sperring: Dette vil dessverre skje av og til, då det er ein del gamle registreringar som ikkje har blitt rydda opp i, men som den automatiske sperringa vil ta tak i. Ingen treng å gjere noko i slike tilfeller, så lenge det er riktig at personen ikkje skal ha IT-tilgang på UiO.

E-postvarselet

Døme på korleis e-postvarselet ser ut:

From: noreply@usit.uio.no
Subject: Varsel om sperring av din brukerkonto, ${USERNAME}, ved UiO

Please scroll down for text in English

  Din brukerkonto ved Universitetet i Oslo, BRUKERNAVN, vil bli sperret
  innen ANTALL dager. Dette er fordi du ikke lenger har noen
  gyldig tilknytning til UiO, verken som aktiv student, ansatt eller på
  noen annen måte.

  Hvis dette er feil, må du snarest ta kontakt med UiO. Se mer
  informasjon og liste over kontaktpunkter på:
  http://www.uio.no/tjenester/it/brukernavn-passord/ikke-tilknyttet.html

  Denne e-posten kan ikke besvares. Bruk kontaktpunktene på siden over.

English
-------

  Your user account at the University of Oslo, BRUKERNAVN, will be disabled
  in ANTALL days. This is because you no longer have a valid
  affiliation to the University of Oslo, neither as student, employee
  nor as affiliated in any other way.

  If this is wrong, please contact the University of Oslo immediately.
  See more information and list of contacts:
  http://www.uio.no/english/services/it/username-password/no-affiliation.html

  Do not reply to this e-mail. Use the list of contacts on the page referred to above.

Er ein person utan tilknyttingar?

Du kan sjå om ein person er utan tilknyttingar ved å bruke bofh.

Døme på ein person utan noko tilknytting, og som difor står i fare for å bli sperra, om han ikkje allereie er det:

jbofh> person info olano
Name:          Ola Nordmann [from Cached]
...
Affiliations:  <none> [from <nowhere>]

Vil ein person bli sperra?

Du kan sjå om personen står i lista over brukarar som står i fare for å bli sperra, men du kan også slå opp personen i bofh.

Døme på ein person som har ei tilknytting, og som ikkje står i fare for å bli sperra:

jbofh> person info pelle
Name:          Pelle Parafin [from Cached]
Entity-id:     13247
Birth:         1990-01-12
Spreads:       LDAP_person, UA@uio
Affiliations:  ANSATT/tekadm@150000 (MATNAT) [from SAP]

Og eit døme på ein person som ikkje har tilknyttingar og står difor i fare for å bli sperra:

jbofh> person info olano
Name:          Ola Nordmann [from Cached]
Entity-id:     13247
Birth:         1980-01-12
Spreads:       LDAP_person, UA@uio
Affiliations:  <none> [from <nowhere>]

Vil ein brukarkonto bli sperra?

Du kan sjå om brukarkontoen står i lista over brukarar som står i fare for å bli sperra, men du kan også slå opp brukarkontoen i bofh.

Du får ein oversikt over eventuelle karanter ein brukarkonto har med:

jbofh> quarantine show account olano
Type           Start            End              Disable until  Who      Why
auto_no_aff    2015-01-01 00:00 <not set>        <not set>      bootstrap_account Mangler aktive tilknyttingar

Startdatoen for karantena er vesentleg for å vite når brukaren vil bli sperra.

Døme på ein brukarkonto som står i fare for å bli sperra:

jbofh> user info olano
Username:      olano
...
Quarantined:   pending

Døme på ein brukarkonto allereie er blitt sperra:

jbofh> user info olano
Username:      olano
...
Quarantined:   active

Manuelle rutiner

USIT anbefaler alle enheter å følge Sikkerhetshandboka: Rutine for avvikling av IT-rettigheter for USIT i sine rutiner for avvikling av brukarar. Ein del av rutinene vert handter automatisk, sjå beskrivelsen lenger oppe.

For å hindre at personar som har slutta eller gått ut i permisjon har urettmessig tilgang til UiO sine IT-system skal brukarkontoar avviklast når personen ikkje lenger har ei aktiv tilknytting til UiO.

Personar i permisjon utan interessekonflikt med arbeidet ved UiO

Dette gjeld for personar som går ut i kortvarig opphold frå arbeid ved UiO og som i perioden ikkje skal utføre lønna eller ulønna arbeid som er eller kan vere i interessekonflikt med arbeidet ved UiO.

Personen skal i utgangspunktet beholde sin generelle IT-tilgang. Det bør imidlertid vurderast om spesielle rettigheter skal inndras i permisjonstida, som til dømes administratortilgang til sentrale system.

Personar som sluttar eller går ut i permisjon for å starte i anna jobb utanfor UiO

Dersom personar treng tilgang til UiO sine system etter at dei er slutta må dei registrerast som tilknytta brukarar.

Anbefalt rutine for avvikling av brukarar som sluttar eller går ut i permisjon for å jobbe utanfor UiO

  1. Før personen sluttar:
  2. Ved fråtreding:
    • Fjern eventuelle manuelle tilknyttingar frå personen, med kommandoen person affiliation_remove.
    • Sjå til at den automatiske sperringa og avviklinga tek seg av brukarkontoane til personen.

Pensjonistar

Dersom pensjonistar treng tilgang til UiO sine system etter at dei er slutta må dei registrerast som tilknytta brukarar. Utan dette vil dei bli automatisk sperra.

Anbefalt rutine for avvikling av brukarar som går av med pensjon

  1. Før personen går av med pensjon:
  2. Innan ei veke etter fråtreding:
    • Om personen har fleire brukarkontoar skal andre brukarar enn primærbrukaren avviklast.
      jbofh> person accounts brukarnavn
      jbofh> person list_user_priorities brukarnavn
      jbofh> user delete (brukarnavna)
    • Om primærbrukaren ikkje har ei personleg filgruppe skal denne opprettast.
      jbofh> group personal brukarnavn
    • Sett den personlege filgruppa som default filgruppe for primærbrukaren.
      jbofh> group def brukarnavn brukarnavn
    • Meld brukaren ut av alle grupper bortsett frå personleg filgruppe. Dette fjerner alle IT-tilgangar bortsett frå e-post og innlogging på fellesmaskiner.
      jbofh> group memberships account brukarnavn 
      jbofh> group remove brukarnavn (grupper)
    • Sett karantena slutta på brukaren slik at den vert aktivert to veker etter fråtreding. Dette gjeld ikkje om personen er blitt registrert som tilknytta brukar.
      jbofh> quarantine set account brukarnavn slutta YYYY-MM-DD 
  3. Ein månad etter fråtreding:
    • Brukaren avviklast, med mindre personen er blitt registrert som tilknytta brukar.
      jbofh> user delete brukarnavn

Avskjedigelse

For personar som vert oppsagd ved Universitetet i Oslo skal ein følge Reglementshandboka for UiO, kap 7.16.4.

Rutine for avvikling av brukarar som vert avskjediga

  1. Ta kontakt med brukeradministrasjon[at]usit.uio.no med informasjon om:
    • Kva person er avskjediga
    • Frå kva dato er personen avskjediga
    • Brukarnavnet til personen

USIT tek seg deretter av avviklinga av brukaren. Data på heimeområdet til brukaren, samt e-post, vert kopiert over på eit flyttbart medium og gitt til OPA, der den avskjediga kan få dette utlevert.

Unntak frå avviklingsrutina

For personar som ikkje har ei aktiv tilknytting til UiO, men som likevel treng tilgang til UiO sine system må linjeleiar søke om å få personen registrert som ein tilknytta brukar ved UiO. Dette registrerast i  søknadsskjema for SAPUiO, og er einaste måten personar framleis kan få tilgang til UiO sine IT-system når dei har slutta.

Rutine for å gjere tidlegare ansatte om til tilknytta brukarar

  1. Personen må først bli godkjend og registrert som tilknytta person i SAPUiO. Dette ser du med
    jbofh> person info brukarnavn
    Name:          Pelle Parafin [from Cached]
    Entity-id:     12345
    Birth:         1970-01-01
    Affiliations:  TILKNYTTET/emeritus@150000 (Mat.nat. fakultet) [from SAP]
    Names:         Pelle Parafin [from SAP]
    
  2. Om personen har fleire brukarkontoar skal andre brukarar enn primærbrukaren avviklast.
    jbofh> person accounts brukarnavn
    jbofh> person list_user_priorities brukarnavn
    jbofh> user delete (brukarnavna)
  3. Om primærbrukaren ikkje har ei personleg filgruppe skal denne opprettast.
    jbofh> group personal brukarnavn
  4. Sett den personlege filgruppa som default filgruppe for primærbrukaren.
    jbofh> group def brukarnavn brukarnavn
  5. Meld brukaren ut av alle grupper bortsett frå personleg filgruppe. Dette fjerner alle IT-tilgangar bortsett frå e-post og innlogging på fellesmaskiner. Andre tilgangar må godkjennast av linjeleiar.
    jbofh> group memberships account brukarnavn 
    jbofh> group remove brukarnavn (grupper)
  6. Oppdater affiliation på brukaren.
    jbofh> user affiliation_add brukarnavn OU affiliation status 

Sjekkliste for brukarar som skal avviklast

Personen må informerast om at alle tilgangar til IT-system ved UiO vil forsvinne, og personen må hente ut, eller få bistand til å hente ut, e-post og filer frå heimeområdet sitt.

  • Tips personen om at ein kan vidaresende all e-post til ei adresse utanfor UiO. Dette vil fungere i 180 dagar etter avvikling, og personen kan sjølv velge adresse i brukerinfo.

Ved fråtreding skal personen ha utført eller fått hjelp til å utføre følgande punkt:

  • Fjern eventuelle krypteringsnøklar og andre tilgangar før fråtreding.
  • Fjern alle tilgangar som ikkje er styrd av Cerebrum, som systempassord, applikasjonspassord, kryptonøkler, databasetilgangar osv.
  • Fjern tilgang til tenesterelaterte e-postlister, og tilgang til e-post arkiv som inneheld beskytta informasjon.
  • Fjern ssh nøklar frå authorized_keys.
  • Fjern personen si maskin frå eventuelle hosts.allow filer og acl'er - med mindre maskina skal gjenbrukast av ny person i samme rolle og med samme tilgangar.
  • Sjå til at personen har sjekka at han ikkje har tilgang til informasjon som han ikkje skal ha adgang til etter fråtreding, som kontrakter, dokumentasjon, prislister, møtereferat, utredingar eller andre viktige dokument.
  • Sjå til at personen har sjekka om han ikkje har kildekode, skript, lisensnøklar eller anna som er nødvendig for vidare drift. Dette skal overleverast til linjeleder.

Hente ut filer og e-post til avvikla brukarar

Sjå Backup ved UiO.

Om avvikla brukarar kjem tilbake til UiO får dei tilbake sitt gamle brukarnavn. Sjå gjenoppretting av brukarar.

Publisert 5. mai 2010 12:59 - Sist endret 2. feb. 2017 09:23