Verlässlichkeit / Identity Assurance

Änderungen Föderationsmetadaten ab 20. Mai 2022!

Im Zuge der Einführung des REFEDS Assurance Frameworks werden ab dem 20.5.2022 in der DFN-AAI keine nach Verlässlichkeitsklassen getrennte Metadatensätze mehr verfügbar sein. Die Unterscheidung, welcher Verlässlichkeitsklasse ein Identity Provider zugeordnet ist, wird künftig nur noch über dieses Entity Attribut in den Metadaten verfügbar sein: http://aai.dfn.de/loa/degree-of-reliance.

Die wichtigsten Änderungen:

Die Metadatensätze dfn-aai-metadata.xml und dfn-aai-basic-metadata.xml werden ab dem 20.5.2022 nicht mehr ausgeliefert!

Identity Provider müssen künftig die Metadaten der Service Provider der DFN-AAI Produktivföderation über diesen Metadaten-URL importieren:

http://www.aai.dfn.de/metadata/dfn-aai-sp-metadata.xml bzw. https://www.aai.dfn.de/metadata/dfn-aai-sp-metadata.xml
(EntitiesDescriptor/@Name=„https://www.aai.dfn.de/DFN-AAI-sp“)

Siehe hierzu unter Metadaten und die Konfigurationsbeispiele für den Produktivbetrieb.

Service Provider müssen künftig die Metadaten der Identity Provider der DFN-AAI Produktivföderation über diesen Metadaten-URL importieren:

https://www.aai.dfn.de/metadata/dfn-aai-idp-metadata.xml
(EntitiesDescriptor/@Name=„https://www.aai.dfn.de/DFN-AAI-idp“)

Siehe hierzu unter Metadaten und die Konfigurationsbeispiele für den Produktivbetrieb.

Alle anderen Metadatensätze in der DFN-AAI (eduGAIN, Testföderation, lokale Metadaten) bleiben von dieser Maßnahme unberührt. Allerdings empfehlen wir, die URL-Varianten ohne '/fileadmin' zu verwenden, siehe die unter Metadaten gelisteten URLs.

Bei Fragen wenden Sie sich bitte an das DFN-AAI Team: hotline@aai.dfn.de

Die Verlässlichkeit digitaler Identitäten ist ein wesentlicher Faktor im Vertrauensgefüge einer Föderation wie der DFN-AAI.

Das Konzept der seit 2009 in der DFN-AAI verwendeten Verlässlichkeitsklassen modelliert die unterschiedlichen Vertrauensniveaus Test, Basic und Advanced über unterschiedliche Metadatensätze. Dienstanbieter nehmen eine Risikoabschätzung vor und konfigurieren den jeweiligen Service Provider je nach Schutzbedarf der betreffenden Ressourcen so, dass nur die Metadaten importiert werden, in denen die Identity Provider der gewählten Verlässlichkeitsklasse enthalten sind. Auf diese Weise wird auf technischer Ebene sichergestellt, dass ausschließlich eine Interaktion mit Identity Providern möglich ist, zu denen ein grundsätzliches Vertrauensverhältnis besteht.

Das unpräzise und international nicht kompatible Konzept der Verlässlichkeitsklassen wird im Laufe des Jahres 2022 durch das REFEDS Assurance Framework abgelöst, das mehr Kriterien als die bestehenden Verlässlichkeitsklassen abdeckt. Dadurch, dass Informationen zur Verlässlichkeit von Identitäten über Werte des Attributs eduPersonAssurance transportiert werden, versetzt das REFEDS Assurcance Framework Dienstanbieter bzw. Service Provider in die Lage, je nach individuellem Schutzbedarf besonders relevante Verlässlichkeits-Kriterien ggf. separat zu adressieren, ohne ein abstraktes, undurchsichtiges Kriterienbündel in Form einer Verlässlichkeitsklasse fordern zu müssen. Eine weitere Motivation für den Wechsel ist das Bestreben, über die Implementierung eines international anerkannten Standards die Anschlussfähigkeit der DFN-AAI im internationalen Kontext zu wahren. Dies betrifft in besonderem Maße die Unterstützung von Forschungscommunities, die auf föderationsübergreifende Zusammenarbeit im Rahmen von eduGAIN angewiesen sind.

Eine ausführlichere Darstellung des Sachverhalts findet sich in den DFN-Mitteilungen Nr. 100 ab Seite 42 und in dieser Präsentation.

  • Februar 2022: Workshop(s) zur Umsetzung des REFEDS Assurance Frameworks
  • Ende April 20. Mai 2022 werden die getrennten Metadatensätze für die Verlässlichkeitsklassen Advanced und Basic abgeschafft. Für die Produktivumgebung der DFN-AAI werden dann ausschließlich die beiden bereits jetzt schon verfügbaren Datensätze zur Verfügung stehen, die jeweils die Metadaten aller produktiven IdPs und SPs enthalten. Die Metadatenverwaltung der DFN-AAI wird die beiden Klassen Advanced und Basic weiterhin unterstützen. Allerdings wird die IdP-seitige Zugehörigkeit zu einer Verlässlichkeitsklasse und die diesbezüglichen Anforderungen eines Service Providers dann nur noch über entsprechende Entity Attribute in den IdP- und SP-Metadaten verfügbar sein. Diese Art der Kennzeichnung ist bereits seit längerem implementiert.
  • Zum Jahresende 2022 wird die Unterstützung der Verlässlichkeitsklassen seitens der Metadatenverwaltung eingestellt. Ab Januar 2023 werden Informationen zur Verlässlichkeit digitaler Identitäten in der DFN-AAI ausschließlich über die Mechanismen des REFEDS Assurance Frameworks abgebildet.
  • Zuletzt geändert: vor 4 Monaten