~~NOTOC~~ ====== Brainstorming der AG 3: Verknüpfung lokale ID <-> edu-ID ====== **Zurück zur [[de:aai:eduid:ag3|AG-Seite]]** {{INLINETOC 2}} ===== 1 Rückspielen der edu-ID in lokales System ===== ==== 1.1 Onboarding ==== * Person kommt mit bestehender edu-ID-Identität zu einer Einrichtung und wird dort ins IDM aufgenommen. * eduID-IdP liefert Referenz auf edu-ID in Assertion mit aus * Workflows? * Aufnahme ins IDM erst nach erfolgreicher Aufnahme in (irgendeine) Personenverwaltung (SOS, SVA, ...) * Mehrere Akteure im Onboarding-Prozess, nur Person selbst ist Besitzerin der eduID und kann über Verteilung bestimmen. * Ansätze: * Person gibt bei Aufnahme in Personalverwaltung edu-ID an, Onboarding-SP führt AttributeQuery aus * Ggf. werden Daten des Onboarding-SP in Personalverwaltung übernommen * Onboarding-SP erhält nur edu-ID vom edu-ID-IdP nach erfolgreicher Authentifizierung durch Person * siehe auch https://doku.tid.dfn.de/_detail/de:aai:eduid:registrierung_onboarding.png?id=de%3Aaai%3Aeduid%3Aarchitektur ==== 1.2 Verknüpfung bestehender digitaler Identitäten ==== Person hat bereits eine edu-ID und möchte diese einem Einrichtungsaccount hinzufügen. === 1.2.1 Verknüpfung von der Einrichtung aus === Person hat bereits edu-ID * Zuordnung von edu-ID zu lokalem Nutzerkonto, bspw. über SP an Einrichtung, der edu-ID vom edu-ID-IdP nach erfolgreicher Authentifizierung im AttributeStatement der SAML Response erhält. * Darüberhinaus Aktualisierung von Identitätsdaten * Wo liegen aktuellere Daten? Bei der Einrichtung, bei der eben ein Einstellungsprozess durchlaufen wurde, oder beim edu-ID-IdP (Tippfehler an der einen oder anderen Stelle, Namensänderungen, ...) Person hat _noch keine_ edu-ID * Anmeldung am edu-ID-SP (authentifiziert gegen Heimateinrichtung) * AttributeResponse von Heimateinrichtung enthält zur Erzeugung einer edu-ID erforderliche Daten * edu-ID wird über einen Backchannel wieder an Heimateinrichtung gespielt * Zum Vergleich * SWISS edu-ID https://www.switch.ch/de/edu-id/organisations/idm/linking-methods/#linking-aai * Rückspielen der ORCID in Heimateinrichtung (via OAuth2) === 1.2.2 Verknüpfung von edu-ID aus === * edu-ID System als IdP - Unsolicited SSO mit AttributePush zur Heimateinrichtung * edu-ID System als SP - Heimateinrichtung liefert Identitätsdaten an edu-ID System Im zweiten Fall kennt die Heimateinrichtung dann noch immer nicht die edu-ID der Person. ===== 2 Account Linking ===== Welche "anderen" IDs sollen verlinkt werden? * ORCID * Dienstinterne Proxy-IDs? * zB DARIAH-ID * zB Clarin-ID (sofern diese das Proxy-Modell wählen) * zB ELIXIR-ID * European Student Card ID * MyAcademicID * ... ===== 3. (Exkurs) Datenaktualität ===== * In vorigen Abschnitten zum Teil schon anAttributegeschnitten (-> Daten bei Einstellung ggf. aktueller als bei edu-ID hinterlegte Daten) * Bisher existiert noch keine eigene AG dazu (AG Attribut-Set? AG Verknüpfung lokale ID edu-ID? AG Dublettenerkennung?)