Verlässlichkeit / Identity Assurance

Die Verlässlichkeit digitaler Identitäten ist ein wesentlicher Faktor im Vertrauensgefüge einer Föderation wie der DFN-AAI.

Das Konzept der seit 2009 in der DFN-AAI verwendeten Verlässlichkeitsklassen modelliert die unterschiedlichen Vertrauensniveaus Test, Basic und Advanced über unterschiedliche Metadatensätze. Dienstanbieter nehmen eine Risikoabschätzung vor und konfigurieren den jeweiligen Service Provider je nach Schutzbedarf der betreffenden Ressourcen so, dass nur die Metadaten importiert werden, in denen die Identity Provider der gewählten Verlässlichkeitsklasse enthalten sind. Auf diese Weise wird auf technischer Ebene sichergestellt, dass ausschließlich eine Interaktion mit Identity Providern möglich ist, zu denen ein grundsätzliches Vertrauensverhältnis besteht.

Das unpräzise und international nicht kompatible Konzept der Verlässlichkeitsklassen wird im Laufe des Jahres 2022 durch das REFEDS Assurance Framework abgelöst, das mehr Kriterien als die bestehenden Verlässlichkeitsklassen abdeckt. Dadurch, dass Informationen zur Verlässlichkeit von Identitäten über Werte des Attributs eduPersonAssurance transportiert werden, versetzt das REFEDS Assurcance Framework Dienstanbieter bzw. Service Provider in die Lage, je nach individuellem Schutzbedarf besonders relevante Verlässlichkeits-Kriterien ggf. separat zu adressieren, ohne ein abstraktes, undurchsichtiges Kriterienbündel in Form einer Verlässlichkeitsklasse fordern zu müssen. Eine weitere Motivation für den Wechsel ist das Bestreben, über die Implementierung eines international anerkannten Standards die Anschlussfähigkeit der DFN-AAI im internationalen Kontext zu wahren. Dies betrifft in besonderem Maße die Unterstützung von Forschungscommunities, die auf föderationsübergreifende Zusammenarbeit im Rahmen von eduGAIN angewiesen sind.

Eine ausführlichere Darstellung des Sachverhalts findet sich in den DFN-Mitteilungen Nr. 100 ab Seite 42 und in dieser Präsentation.

Hinweise und Konfigurationsbeispiele zur Implementierung des REFEDS Assurance Frameworks für IdPs.

Hinweise und Konfigurationsbeispiele zur Implementierung des REFEDS Assurance Frameworks für SPs.

• Februar 2022: Workshop(s) zur Umsetzung des REFEDS Assurance Frameworks
• Ende April 20. Mai 2022 werden die getrennten Metadatensätze für die Verlässlichkeitsklassen Advanced und Basic abgeschafft. Für die Produktivumgebung der DFN-AAI werden dann ausschließlich die beiden bereits jetzt schon verfügbaren Datensätze zur Verfügung stehen, die jeweils die Metadaten aller produktiven IdPs und SPs enthalten. Die Metadatenverwaltung der DFN-AAI wird die beiden Klassen Advanced und Basic weiterhin unterstützen. Allerdings wird die IdP-seitige Zugehörigkeit zu einer Verlässlichkeitsklasse und die diesbezüglichen Anforderungen eines Service Providers dann nur noch über entsprechende Entity Attribute in den IdP- und SP-Metadaten verfügbar sein. Diese Art der Kennzeichnung ist bereits seit längerem implementiert.
• Zum Jahresende 2022 12. Januar 2023 wird die Unterstützung der Verlässlichkeitsklassen seitens der Metadatenverwaltung eingestellt. Ab Januar 2023 werden Informationen zur Verlässlichkeit digitaler Identitäten in der DFN-AAI ausschließlich über die Mechanismen des REFEDS Assurance Frameworks abgebildet.

• Hinweise für Service Provider
• Hinweise für Identity Provider