Arbeitsgruppe WAYF

Inhaltsverzeichnis

Zweck: Vorbereitung des Workshops im Februar 2020

(Zurück zur Workshop-Seite)

Thema: WAYF („Affiliation Chooser“) am edu-ID-IDP (Vorschlag: über E-Mail-Adresse)

Koordination: Bernd Oberknapp

Teilnehmende: (bei Interesse bitte eintragen)

Ergebnisse

Notizen

Thorsten: Weiß der User nach 5 Jahren Studium noch sein eudID PW?*

Gerrit: keine redundante Discovery

Wolfgang: nur eduID als IdP / DS, keine lokalen DSe

Frank: lokale DS zusätzlich eduID IDP aufnehmen lassen

Bernd: wohin für AuthN? Zum Uni-IdP? eduIDP nur als homeless IdP? –> am eduIDP als DS noch Heimat-IdP zulassen

Siehe https://www.switch.ch/edu-id/services/attributes/extended-model/ für Scopes

Bernd: Discovery mit Mail-Adresse, im 2. Schritt PW abfragen oder zum Campus IdP schicken

Bernd: oder erst mal eine passive-Anfrage schicken?

Bernd: Sie hatten am IdP früher eine Vorauswahl UB/Klinik/Uni, - Benutzer haben es nicht gecheckt

? wie kann die PersistentID garantiert werden, wenn User eduIDP vs. lokaler IdP wählen können?

Frank: eduID-IDP soll PersistentIDs einsammeln und alle releasen.

NameID Management?? Der SP hat Hooks dafür, aber das wird wohl keiner implementiert haben.

O365 nutzt persistentIDs für AttributeQueries?

DataConnector für HeimatIdPs, der eduID-Rest-API anspricht.

Jemand verliert seine Affiliation, wie kann er dann noch auf eduID umstellen? –> muss vorher passieren.

Proxy: Authn am lokalen Idp?

Sobald ein IdP eduID macht, muss er bei allen SPs aus deren EDS raus.

Affiliation Chooser nach Login.

Martin: E-Mail-Adresse kann man im im Nicht-Standard-Parameter „username“ (s. O365; neben AuthReqest und Relaystate) an IdP übergeben und mit ServletFilter vor-ausfüllen lassen. Dann muss der IdP natürlich Login mit E-Mail erlauben.

Bernd: Auch direkt am eduID IdP anmelden - user-centric, auch innerhalb der Organisation jedem User überlassen, ob direkt oder lokal oder beides

Gerrit: User kann edu-ID erzeugen, der noch an keiner Uni ist? –> ja. User an der SBB haben keine bestimmte Mail-Domain…

Wolfgang: MFA?? geschieht lokal, und dann muss auch der erste Faktor lokal sein! Oder ganz SSO und MFA am eduID IdP abhandeln.

Bernd: wenn alle lokalen Dienste einer Uni eduID unterstützen, kann man den lokalen IDP wegoptimieren… → Wolfgang: wie in Feide

Thorsten: Autorisierung am SP ist dann aber schwierig.

Charme für kleine Unis: Nur LDAP/SCIM zu eduID, müssten keinen eigenen IdP mehr haben

Grundlegendes Modell von Bamberg steht, nur die DS-Implementierung unklar

Es gibt Modelle, die sowohl Mailadresse als auch Organisations-Auswahl bieten. Kann aber auch verwirrend sein, wenn es direkt nebeneinander steht.

Thorsten: was hilft im Use Case * (s.o.)? Regelmäßiges Anmelden? 1x pro Jahr Login überprüfen? Mail rausschicken, auch um die Mail zu überprüfen? –> Bernd: s. Nationallizenzen. Vorsicht aber - ähnliche Mails kommen dann auch von Spammern…?

Zusammenfassung