| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:aai:assurance [2022/02/08 08:45] – Wolfgang Pempe | de:aai:assurance [2023/01/12 19:21] (aktuell) – [Roadmap zur Umstellung] Wolfgang Pempe |
|---|
| ====== Verlässlichkeit / Identity Assurance ====== | ====== Verlässlichkeit / Identity Assurance ====== |
| |
| ===== Verlässlichkeitsklassen und REFEDS Assurance Framework ===== | ===== Das REFEDS Assurance Framework ===== |
| |
| **Die Verlässlichkeit digitaler Identitäten ist ein wesentlicher Faktor im Vertrauensgefüge einer Föderation wie der DFN-AAI.** | **Die Verlässlichkeit digitaler Identitäten ist ein wesentlicher Faktor im Vertrauensgefüge einer Föderation wie der DFN-AAI.** |
| |
| Das Konzept der seit 2009 in der DFN-AAI verwendeten [[de:degrees_of_reliance|Verlässlichkeitsklassen]] modelliert die unterschiedlichen Vertrauensniveaus //Test//, //Basic// und //Advanced// über unterschiedliche [[de:metadata|Metadatensätze]]. Dienstanbieter nehmen eine Risikoabschätzung vor und konfigurieren den jeweiligen Service Provider je nach Schutzbedarf der betreffenden Ressourcen so, dass nur die Metadaten importiert werden, in denen die Identity Provider der gewählten Verlässlichkeitsklasse enthalten sind. Auf diese Weise wird auf technischer Ebene sichergestellt, dass ausschließlich eine Interaktion mit Identity Providern möglich ist, zu denen ein grundsätzliches Vertrauensverhältnis besteht. | Das [[https://refeds.org/assurance|REFEDS Assurance Framework]] definiert, wie Informationen zur Verlässlichkeit von Identitäten über Werte des Attributs [[de:common_attributes#a14|eduPersonAssurance]] transportiert werden. Somit versetzt es Dienstanbieter bzw. Service Provider in die Lage, je nach individuellem Schutzbedarf besonders relevante Verlässlichkeits-Kriterien ggf. separat zu adressieren. Beim REFEDS Assurance Framework handelt es sich um eine international anerkannten Standard, der die Anschlussfähigkeit der DFN-AAI im internationalen Kontext sicherstellt. Dies betrifft in besonderem Maße die Unterstützung von Forschungscommunities, die auf föderationsübergreifende Zusammenarbeit im Rahmen von [[de:edugain|eduGAIN]] angewiesen sind. |
| |
| Das unpräzise und international nicht kompatible Konzept der Verlässlichkeitsklassen wird im Laufe des Jahres 2022 durch das [[https://refeds.org/assurance|REFEDS Assurance Framework]] abgelöst, das mehr Kriterien als die bestehenden Verlässlichkeitsklassen abdeckt. Dadurch, dass Informationen zur Verlässlichkeit von Identitäten über Werte des Attributs [[de:common_attributes#a14|eduPersonAssurance]] transportiert werden, versetzt das REFEDS Assurcance Framework Dienstanbieter bzw. Service Provider in die Lage, je nach individuellem Schutzbedarf besonders relevante Verlässlichkeits-Kriterien ggf. separat zu adressieren, ohne ein abstraktes, undurchsichtiges Kriterienbündel in Form einer Verlässlichkeitsklasse fordern zu müssen. Eine weitere Motivation für den Wechsel ist das Bestreben, über die Implementierung eines international anerkannten Standards die Anschlussfähigkeit der DFN-AAI im internationalen Kontext zu wahren. Dies betrifft in besonderem Maße die Unterstützung von Forschungscommunities, die auf föderationsübergreifende Zusammenarbeit im Rahmen von [[de:edugain|eduGAIN]] angewiesen sind. | Eine ausführlichere Darstellung des Sachverhalts findet sich in den [[https://www2.dfn.de/fileadmin/5Presse/DFNMitteilungen/DFN_Mitteilungen_100.pdf|DFN-Mitteilungen Nr. 100]] ab Seite 42 und in dieser [[https://download.aai.dfn.de/ws/2022/refeds_assurance_suite.pdf|Präsentation]]. |
| | |
| Eine ausführlichere Darstellung des Sachverhalts findet sich in den [[https://www.dfn.de/fileadmin/5Presse/DFNMitteilungen/DFN_Mitteilungen_100.pdf|DFN-Mitteilungen Nr. 100]] ab Seite 42 und in dieser [[https://download.aai.dfn.de/ws/2022/refeds_assurance_suite.pdf|Präsentation]]. | |
| |
| ===== Informationen für Identity Provider ===== | ===== Informationen für Identity Provider ===== |
| ===== Roadmap zur Umstellung ===== | ===== Roadmap zur Umstellung ===== |
| * **Februar 2022:** [[de:aai:events:ws2022|Workshop(s)]] zur Umsetzung des [[https://refeds.org/assurance|REFEDS Assurance Frameworks]] | * **Februar 2022:** [[de:aai:events:ws2022|Workshop(s)]] zur Umsetzung des [[https://refeds.org/assurance|REFEDS Assurance Frameworks]] |
| * **Ende März 2022** werden die getrennten Metadatensätze für die Verlässlichkeitsklassen Advanced und Basic abgeschafft. Für die Produktivumgebung der DFN-AAI werden dann ausschließlich die beiden bereits jetzt schon verfügbaren Datensätze zur Verfügung stehen, die jeweils die [[de:metadata|Metadaten]] aller produktiven [[https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-idp-metadata.xml|IdPs]] und [[https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-sp-metadata.xml|SPs]] enthalten. Die Metadatenverwaltung der DFN-AAI wird die beiden Klassen //Advanced// und //Basic// weiterhin unterstützen. Allerdings wird die IdP-seitige Zugehörigkeit zu einer Verlässlichkeitsklasse und die diesbezüglichen Anforderungen eines Service Providers dann nur noch über entsprechende [[de:entity_attributes|Entity Attribute in den IdP- und SP-Metadaten]] verfügbar sein. Diese Art der Kennzeichnung ist bereits seit längerem implementiert. | * **<del>Ende April</del> 20. Mai 2022** werden die getrennten Metadatensätze für die Verlässlichkeitsklassen Advanced und Basic abgeschafft. Für die Produktivumgebung der DFN-AAI werden dann ausschließlich die beiden bereits jetzt schon verfügbaren Datensätze zur Verfügung stehen, die jeweils die [[de:metadata|Metadaten]] aller produktiven [[https://www.aai.dfn.de/metadata/dfn-aai-idp-metadata.xml|IdPs]] und [[https://www.aai.dfn.de/metadata/dfn-aai-sp-metadata.xml|SPs]] enthalten. Die Metadatenverwaltung der DFN-AAI wird die beiden Klassen //Advanced// und //Basic// weiterhin unterstützen. Allerdings wird die IdP-seitige Zugehörigkeit zu einer Verlässlichkeitsklasse und die diesbezüglichen Anforderungen eines Service Providers dann nur noch über entsprechende Entity Attribute in den IdP- und SP-Metadaten verfügbar sein. Diese Art der Kennzeichnung ist bereits seit längerem implementiert. |
| * Zum **Jahresende 2022** wird die Unterstützung der Verlässlichkeitsklassen seitens der Metadatenverwaltung eingestellt. Ab Januar 2023 werden Informationen zur Verlässlichkeit digitaler Identitäten in der DFN-AAI ausschließlich über die Mechanismen des REFEDS Assurance Frameworks abgebildet. | * Zum **<del>Jahresende 2022</del> 12. Januar 2023** wird die Unterstützung der Verlässlichkeitsklassen seitens der Metadatenverwaltung eingestellt. Ab Januar 2023 werden Informationen zur Verlässlichkeit digitaler Identitäten in der DFN-AAI ausschließlich über die Mechanismen des REFEDS Assurance Frameworks abgebildet. |
| |
| ===== REFEDS Authentication Profiles ===== | ===== REFEDS Authentication Profiles ===== |
| * [[https://refeds.org/profile/sfa|Single Factor Authentication Profile]] | * [[de:aai:refeds_authn_profiles_sp|Hinweise für Service Provider]] |
| * [[https://refeds.org/profile/mfa|Multi-Factor Authentication Profile]] | * [[de:aai:refeds_authn_profiles_idp|Hinweise für Identity Provider]] |
| * Ausführliche FAQ mit Beispielen für SP- und IdP-Betreiber: https://wiki.refeds.org/display/PRO/MFA+Profile+FAQ | |
| * Shibboleth Wiki: [[https://shibboleth.atlassian.net/wiki/spaces/SP3/pages/2114781453/Requiring+Multi-Factor+Authentication|Requiring Multi-Factor Authentication]] | |
| FIXME: Weitere Dokumentation folgt | |
| |
| {{tag>assurance}} | {{tag>assurance}} |