~~NOTOC~~

====== edu-ID Meeting 26.3.2021 ======

(zurück zur [[:de:aai:eduid:start|Übersicht]])\\
Videokonferenz, 10:00-12:00

===== Thema: Levels of Assurance, Verlässlichkeit (Fortsetzung 2) =====
  * [[de:aai:eduid:loa|Levels of Assurance]]
  * Pad: https://pad.gwdg.de/E-vFveXGQW6veUcQiA1I8Q?both

**Materialien und Stand der Diskussion:** [[de:aai:eduid:vc_2020-12-18|vorletztes]] und [[de:aai:eduid:vc_2021-01-29|letztes Meeting]]

==== Hausaufgaben aus dem letzten Meeting ====
  * Kann sich eine ausländische "AusweisApp" an einem deutschen Dienst authentifizieren?
  * Kann die deutsche AusweisApp nicht-deutsche Ausweispapiere auslesen?
    * Unterstützt werden [[https://www.ausweisapp.bund.de/online-ausweisen/das-brauchen-sie/|nPA, eAT]] sowie die (deutsche) [[https://www.personalausweisportal.de/Webs/PA/DE/buergerinnen-und-buerger/eID-karte-der-EU-und-des-EWR/eid-karte-der-eu-und-des-ewr-node.html|eID-Karte für EU-/EWR-Bürger*innen]]
  * Versuch eines Mappings von eIDAS Levels auf "edu-ID Levels"?
    * Siehe [[de:aai:eduid:loa#sandkasten|Entwurf im Sandkasten]]

==== Diskussion ====
  * Vorschlag von Wolfgang:
    * Abstraktionsschicht, die nur wenige LOA-Klassen abbildet und von einzelnen Verfahren abstrahiert (eIDAS Level auf edu-ID Level).
    * demnächst [[de:aai:eduid:loa|hier]]
  * Reicht DFN-AAI-Advanced überhaupt für eIDAS "low"?
    * Welches IdM ist/welche Daten sind autoritativ, wenn von mehreren Einrichtungen widersprüchliche Daten zu einer Person (zeitgleich) geliefert werden?
    * Wie kann man bei der Dublettenerkennung den kreativen Abwandlungen bei den Datenangaben begegnen?
      * Steuerung über Authentifizierung: Erster Faktor über Heimateinrichtung, zweiter über edu-ID
  * Infos:
    * https://netzpolitik.org/2021/tkg-novelle-seehofer-will-personalausweis-pflicht-fuer-e-mail-und-messenger-einfuehren/#2021-02-23_BMI_TKG-Novelle_Beratungsunterlage
  * Hausaufgabe:
    * Anforderungen an ein IdM, wie sind die Prozesse zu definieren etc.
    * Code-of-Conduct
    * Wolfgang: Level durchdeklinieren
    
=== Eckpunkte Code of Conduct ===
  * Substantiell
    * (allgemein: Föderationsrichtlinien)
    * AUPs / Nutzungsbedingungen
    * User Consent (Account nur mit Zustimmung eingerichtet) 
    * Möglichkeit der (zeitnahen) Sperrung und Deprovisionierung (gemäß vorhandener Community Richtlinien und Best Practices)
    * zweiter Faktor in einem dynamischen Verfahren
  * Hoch
    * Substantiell und
    * Credential darf nicht kopiert werden können
'Scope' definieren! CH: Kontext der BFI-Community (Bildung, Forschung, Innovation). Nur Dienste, die in diesem Kontext einen Mehrwert für die Community bringen.