Arbeitsgruppe ID-Linking

Zweck: Vorbereitung des Workshops im Februar 2020

(Zurück zur Workshop-Seite)

Thema: Verknüpfungsverfahren edu-ID ↔ lokale ID

Koordination: Ramon Pfeiffer

Teilnehmende: (bei Interesse bitte eintragen)

• Bernd
• Wolfgang
• Petra
• …

Siehe unter Brainstorming

Nebenläufiges Thema: Synchronisation und Abgleich von Nutzerdaten zwischen edu-ID-System und IdM der Heimateinrichtungen. Idealerweise können die bei SWITCH implementierten Mechanismen, insbesondere via SCIM, übernommen werden.

Noch keine lokale digitale Identität an der (zukünftigen) Heimateinrichtung vorhanden
Siehe auch unter Architektur

1. Person hat noch keine edu-ID? –> Erstellen edu-ID und (ggf.) Validierung der Kernattribute (s. AG Attribute)
2. Person meldet sich mit edu-ID IdP am Onboarding-SP der betreffenden Einrichtung an –> die edu-ID und die Kernattribute werden im AttributeStatement übertragen
3. Person kann nun anhand dieser Angaben im lokalen IdM registriert werden

Auf keinen Fall sollte die Übergabe der edu-ID auf nicht-elektronischem Wege (persönlich, in Papierform o.ä.) geschehen. Idealerweise bekommen die Nutzer*innen ihre edu-ID nicht zu Gesicht.

Voraussetzung: Nutzer*in muss sich sowohl am edu-ID IdP als auch am Heimat-IdP anmelden. Siehe auch unter Architektur. Erst dann kann eine sichere Verknüpfung erfolgen (technisch würde es sich um eine Step-Up Authentication handeln). Hierfür muss den teilnehmenden Einrichtungen eine Anleitung zur SP-Konfiguration zur Verfügung gestellt werden.

1. Authentisierung am Heimat-IdP
2. Authentisierung am edu-ID-IdP
3. Einwilligung der/des Nutzer*in zur Übertragung mindestens der edu-ID an den Einrichtungs-SP
4. Übertragung der edu-ID (und ggf. anderer Attribute?) im AttributeStatement an den Einrichtungs-SP

Für das Schweizer System existiert bereits ein entsprechendes Tool.

Offene Punkte:

• Sollten neben der edu-ID an sich auch die Kernattribute an den Heimat-SP übertragen werden (können)?
  • Workflow bei Divergenzen (z.B. bei Namensbestandteilen)?
• Sollte grundsätzlich die Registrierung am edu-ID-System (also die Account-Erstellung) anhand der Identität der Heimateinrichtung möglich sein (Funktionalität bei SWITCH)?
  • edu-ID-System bräuchte dann einen entsprechenden Registrierungs-SP
  • Kann der Heimat-IdP die benötigten Kernattribute liefern?
  • Wie erfolgt dann die Übertragung der edu-ID an das IdM der Heimateinrichtung?
    –> Nach Abschluss der Registrierung müsste dann also das o.g. Verfahren durchlaufen werden.

Das edu-ID-System soll IDs (hier: Identifier) aus anderen Kontexten als den Heimateinrichtungen aggregieren können, siehe auch unter Architektur.

• Grundsätzlich sollten nicht beliebige, sondern nur vom Betreiber des edu-ID-Systems zugelassene Identifier ins System eingespielt werden können –> Attribut-Schema(ta), SP-Implementierung
• Besonders relevant: ORCID
  • Für die Verknüpfung der ORCID ID mit dem edu-ID-Account müsste am edu-ID-System ein entsprechender OAuth-Client implementiert werden, vgl. https://members.orcid.org/api/integrate/orcid-sign-in
  • In einigen (wie vielen?) Fällen ist die ORCID bereits im IdM der Heimateinrichtung hinterlegt und kann (bzw. muss dann) als Teil der Affiliation ins edu-ID-System eingespielt werden
• Weitere potentielle Kandidaten:
  • Community-spezifische IDs, z.B. DARIAH, CLARIN, ELIXIR, Umbrella - muss nicht bidirektional sein, bei Proxy-Szenarien (z.B. AARC BPA) reicht es aus, wenn edu-ID zum Erstellen der Community-ID eingesetzt wird. Community-ID muss daher nicht im edu-ID-System hinterlegt werden.
  • ESI (European Student ID –> MyAcademicID)
• Für SAML-basierte Kontexte kann ein mehr oder weniger generischer Registrierungs-SP am edu-ID-System eingerichtet werden, der nach dem o.g. Verfahren (1.2) sowohl einen Login am edu-ID-System als auch am IdP, aus dem der betreffende Identifier kommt, erfordert. Dann kann der Eintrag des betreffenden Identifiers im edu-ID-System erfolgen
• Offene Punkte: Wie langlebig sind die betreffenden IDs? Müssen Verknüpfungen regelmäßig aktualisiert werden? ORCID gilt im Idealfall lebenslang, ESI z.B. max. für die Studiendauer an einer bestimmten Hochschule. Sollen wir nur lebenslang gültige IDs zulassen?