====== Arbeitsgruppe Dubletten-Erkennung ====== **Zweck: Vorbereitung des Workshops im Februar 2020** (Zurück zur [[de:aai:eduid:ws_feb_2010|Workshop-Seite]]) **Thema:** Dublettenerkennung **Koordination:** Thorsten Michels **Teilnehmende: (bei Interesse bitte eintragen)** * Frank * Michael B. * Wolfgang ===== Materialien ===== * Doku SWITCHaai: https://www.switch.ch/edu-id/organisations/idm/duplicates/ * Infos aus der [[de:aai:eduid:switch|Fragestunde mit Ch. Graf (SWITCH)]] im Rahmen des [[de:aai:eduid:ws_nov_2019|Workshops in Bamberg]], November 2019: * Cookie im Browser zur Wiedererkennung, ob mit diesem Browswer bereits eine edu-ID gesetzt wurde * Nutzungsbedingungen schließen mehrere Konten aus. * Viele eineindeutige Attribute (E-Mail-Adresse, Handynummer) * Erkennung über Verlinkung mit einrichtungslokalem Konto * Hinweis an den Benutzer, dass wohl Konto schon besteht und Angebot, Konten zu verschmelzen; Vorschlag welches Konto behalten werden soll, Nutzer darf entscheiden, alle targetedIDs werden gemerged und Ressourcen der abgemeldeten ID werden über Wechsel informiert. * Automatisiertes Verfahren bei SWITCH, es leiden eher die SP-Betreiber * Dubletten zu bereinigen ist viel Aufwand, daher möglichst an der Quelle schon die Dublette verhindern * Letztlich wird Erstellung von Zweitaccounts nicht verhindert, aber zumindest in Großteil der Fälle so schnell erkannt, dass die neue ID keinen Schaden anrichtet * [[https://www.switch.ch/edu-id/services/sp-notification/|SP Notification API von SWITCH]] * eIDAS minimum dataset http://mapping.semic.eu/vdm/about/html/http%3A%2F%2Fmapping.semic.eu%2Fvdm%2Fid%2Fcv%2Feb004434a93bbeaa2ba5968d26af06be ===== Ergebnisse ===== Wir sehen grundsätzlich zwei Szenarien, in denen eine Dublettenerkennung wichtig ist: - zeitnahe Mehrfachanmeldung bei Bewerbung an verschiedenen Hochschulen - Wiederanmeldung nach einem längeren Zeitraum der Inaktivität Aufgrund persönlicher Erfahrung wird es nicht ausreichen, eine Person nur anhand von Name, Geburtsdatum und -ort zu identifizieren. Die Adresse des Wohnorts soll noch dazugenommen werden. Szenario 1 lässt sich damit abdecken. Die Prüfung wird noch erleichtert, wenn * ein eindeutiges Merkmal wie die Ausweisnummer (bzw. "A uniqueness identifier" von eIDAS) vorliegt * oder wenn die Qualität der Datenerhebung sehr gut ist, d.h. die Daten werden automatisch z.B. aus einer Ausweis-App übertragen, ohne daß sich Tippfehler oder Erhebungsfehler durch menschliche Eingriffe ergeben. Wenn diese Bedingungen nicht vorliegen, muss ein Identity Matching durchgeführt werden, das ab einem zu bestimmenden Ähnlichkeitswert eine*n Bearbeiter*in informiert, sich die Sache anzuschauen und zu klären, ob hier eine oder zwei Personen vorliegen. Bei Szenario 2 können sich mittlerweile die Adresse und die Ausweisnummer geändert haben. Deshalb ist es wichtig, dass die Benutzer regelmäßig (z.B. jährlich) aufgefordert werden, sich am System anzumelden und die Adress- und Kontaktdaten aktuell zu halten. Auch die Heimateinrichtung kann dazu beitragen, indem beim Verlassen der Hochschule auf die edu-Id hingewiesen wird. Deprovisionierung: Wenn trotz Erinnerung keine Anmeldung erfolgt, sollen die Daten nicht sofort gelöscht werden. Stattdessen soll der Zugang erstmal nur gesperrt werden, um den Account später wieder reaktivieren zu können. Wie lange dieser Zeitraum anzusetzen ist, muss anhand der Use Cases und ggf. rechtlicher Rahmenbedingungen bestimmt werden. (10 Jahre? Diskussion!)