~~NOTOC~~ ====== edu-ID Meeting 26.3.2021 ====== (zurück zur [[:de:aai:eduid:start|Übersicht]])\\ Videokonferenz, 10:00-12:00 ===== Thema: Levels of Assurance, Verlässlichkeit (Fortsetzung 2) ===== * [[de:aai:eduid:loa|Levels of Assurance]] * Pad: https://pad.gwdg.de/E-vFveXGQW6veUcQiA1I8Q?both **Materialien und Stand der Diskussion:** [[de:aai:eduid:vc_2020-12-18|vorletztes]] und [[de:aai:eduid:vc_2021-01-29|letztes Meeting]] ==== Hausaufgaben aus dem letzten Meeting ==== * Kann sich eine ausländische "AusweisApp" an einem deutschen Dienst authentifizieren? * Kann die deutsche AusweisApp nicht-deutsche Ausweispapiere auslesen? * Unterstützt werden [[https://www.ausweisapp.bund.de/online-ausweisen/das-brauchen-sie/|nPA, eAT]] sowie die (deutsche) [[https://www.personalausweisportal.de/Webs/PA/DE/buergerinnen-und-buerger/eID-karte-der-EU-und-des-EWR/eid-karte-der-eu-und-des-ewr-node.html|eID-Karte für EU-/EWR-Bürger*innen]] * Versuch eines Mappings von eIDAS Levels auf "edu-ID Levels"? * Siehe [[de:aai:eduid:loa#sandkasten|Entwurf im Sandkasten]] ==== Diskussion ==== * Vorschlag von Wolfgang: * Abstraktionsschicht, die nur wenige LOA-Klassen abbildet und von einzelnen Verfahren abstrahiert (eIDAS Level auf edu-ID Level). * demnächst [[de:aai:eduid:loa|hier]] * Reicht DFN-AAI-Advanced überhaupt für eIDAS "low"? * Welches IdM ist/welche Daten sind autoritativ, wenn von mehreren Einrichtungen widersprüchliche Daten zu einer Person (zeitgleich) geliefert werden? * Wie kann man bei der Dublettenerkennung den kreativen Abwandlungen bei den Datenangaben begegnen? * Steuerung über Authentifizierung: Erster Faktor über Heimateinrichtung, zweiter über edu-ID * Infos: * https://netzpolitik.org/2021/tkg-novelle-seehofer-will-personalausweis-pflicht-fuer-e-mail-und-messenger-einfuehren/#2021-02-23_BMI_TKG-Novelle_Beratungsunterlage * Hausaufgabe: * Anforderungen an ein IdM, wie sind die Prozesse zu definieren etc. * Code-of-Conduct * Wolfgang: Level durchdeklinieren === Eckpunkte Code of Conduct === * Substantiell * (allgemein: Föderationsrichtlinien) * AUPs / Nutzungsbedingungen * User Consent (Account nur mit Zustimmung eingerichtet) * Möglichkeit der (zeitnahen) Sperrung und Deprovisionierung (gemäß vorhandener Community Richtlinien und Best Practices) * zweiter Faktor in einem dynamischen Verfahren * Hoch * Substantiell und * Credential darf nicht kopiert werden können 'Scope' definieren! CH: Kontext der BFI-Community (Bildung, Forschung, Innovation). Nur Dienste, die in diesem Kontext einen Mehrwert für die Community bringen.