Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:aai:eduid:ag1 [2019/12/05 16:05] – angelegt Wolfgang Pempe | de:aai:eduid:ag1 [2020/01/30 10:35] – Wolfgang Pempe | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== | + | ~~NOTOC~~ |
+ | ====== Arbeitsgruppe WAYF ====== | ||
+ | {{INLINETOC 2}} | ||
+ | **Zweck: Vorbereitung des Workshops im Februar 2020** | ||
(Zurück zur [[de: | (Zurück zur [[de: | ||
+ | **Thema:** WAYF (" | ||
+ | |||
+ | **Koordination: | ||
+ | |||
+ | **Teilnehmende: | ||
+ | *< | ||
+ | * Gerrit | ||
+ | * Thorsten | ||
+ | * Frank | ||
+ | * Martin H. | ||
+ | * Wolfgang | ||
+ | * Bernd | ||
+ | |||
+ | ===== Ergebnisse ===== | ||
+ | ==== Notizen ==== | ||
+ | Thorsten: Weiß der User nach 5 Jahren Studium noch sein eudID PW?* | ||
+ | |||
+ | Gerrit: keine redundante Discovery | ||
+ | |||
+ | Wolfgang: nur eduID als IdP / DS, keine lokalen DSe | ||
+ | |||
+ | Frank: lokale DS zusätzlich eduID IDP aufnehmen lassen | ||
+ | |||
+ | Bernd: wohin für AuthN? Zum Uni-IdP? eduIDP nur als homeless IdP? --> am eduIDP als DS noch Heimat-IdP zulassen | ||
+ | |||
+ | Siehe https:// | ||
+ | |||
+ | Bernd: Discovery mit Mail-Adresse, | ||
+ | |||
+ | Bernd: oder erst mal eine passive-Anfrage schicken? | ||
+ | |||
+ | Bernd: Sie hatten am IdP früher eine Vorauswahl UB/ | ||
+ | |||
+ | ? wie kann die PersistentID garantiert werden, wenn User eduIDP vs. lokaler IdP wählen können? | ||
+ | |||
+ | Frank: eduID-IDP soll PersistentIDs einsammeln und alle releasen. | ||
+ | |||
+ | NameID Management?? | ||
+ | |||
+ | O365 nutzt persistentIDs für AttributeQueries? | ||
+ | |||
+ | DataConnector für HeimatIdPs, der eduID-Rest-API anspricht. | ||
+ | |||
+ | Jemand verliert seine Affiliation, | ||
+ | |||
+ | Proxy: Authn am lokalen Idp? | ||
+ | |||
+ | Sobald ein IdP eduID macht, muss er bei allen SPs aus deren EDS raus. | ||
+ | |||
+ | Affiliation Chooser nach Login. | ||
+ | |||
+ | Martin: E-Mail-Adresse kann man im im Nicht-Standard-Parameter " | ||
+ | |||
+ | Bernd: Auch direkt am eduID IdP anmelden - user-centric, | ||
+ | |||
+ | Gerrit: User kann edu-ID erzeugen, der noch an keiner Uni ist? --> ja. User an der SBB haben keine bestimmte Mail-Domain... | ||
+ | |||
+ | Wolfgang: MFA?? geschieht lokal, und dann muss auch der erste Faktor lokal sein! Oder ganz SSO und MFA am eduID IdP abhandeln. | ||
+ | |||
+ | Bernd: wenn alle lokalen Dienste einer Uni eduID unterstützen, | ||
+ | |||
+ | Thorsten: Autorisierung am SP ist dann aber schwierig. | ||
+ | |||
+ | Charme für kleine Unis: Nur LDAP/SCIM zu eduID, müssten keinen eigenen IdP mehr haben | ||
+ | |||
+ | Grundlegendes Modell von Bamberg steht, nur die DS-Implementierung unklar | ||
+ | |||
+ | Es gibt Modelle, die sowohl Mailadresse als auch Organisations-Auswahl bieten. Kann aber auch verwirrend sein, wenn es direkt nebeneinander steht. | ||
+ | |||
+ | Thorsten: was hilft im Use Case * (s.o.)? Regelmäßiges Anmelden? 1x pro Jahr Login überprüfen? | ||
+ | |||
+ | ==== Zusammenfassung ==== | ||
+ | * Grundlage ist die in Bamberg erarbeitete [[de: | ||
+ | * Sollen sich SPs nur exklusiv mit dem edu-ID-System verbinden können? (edu-ID-IdP nur in der Rolle als Homeless IdP in der eigentlichen Föderation) | ||
+ | * Dies würde den Discovery Prozess vereinfachen... | ||
+ | * Es existieren Szenarien, in denen ein gemischtes Modell sinnvoll ist | ||
+ | * Favorisiert wird also ein zentral gepflegter DS, der neben dem edu-ID-IdP auch die IdPs/ | ||
+ | * Also ist für den Weg über das edu-ID-System ein zweistufiges Verfahren erforderlich | ||
+ | * Discovery am edu-ID-System |