Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
de:aai:eduid:ag1 [2020/01/29 09:43]
Martin Haase [Arbeitsgruppe WAYF]
de:aai:eduid:ag1 [2020/01/29 09:50] (aktuell)
Martin Haase [Ergebnisse]
Zeile 18: Zeile 18:
  
 ===== Ergebnisse ===== ===== Ergebnisse =====
-ja+Thorsten: Weiß der User nach 5 Jahren Studium noch sein eudID PW?* 
 + 
 +Gerrit: keine redundante Discovery 
 + 
 +Wolfgang: nur eduID als IdP / DS, keine lokalen DSe 
 + 
 +Frank: lokale DS zusätzlich eduID IDP aufnehmen lassen 
 + 
 +Bernd: wohin für AuthN? Zum Uni-IdP? eduIDP nur als homeless IdP? --> am eduIDP als DS noch Heimat-IdP zulassen 
 + 
 +Siehe https://​www.switch.ch/​edu-id/​services/​attributes/​extended-model/​ für Scopes 
 + 
 +Bernd: Discovery mit Mail-Adresse,​ im 2. Schritt PW abfragen oder zum Campus IdP schicken 
 + 
 +Bernd: oder erst mal eine passive-Anfrage schicken? 
 + 
 +Bernd: Sie hatten am IdP früher eine Vorauswahl UB/​Klinik/​Uni,​ - Benutzer haben es nicht gecheckt 
 + 
 +? wie kann die PersistentID garantiert werden, wenn User eduIDP vs. lokaler IdP wählen können? 
 + 
 +Frank: eduID-IDP soll PersistentIDs einsammeln und alle releasen. 
 + 
 +NameID Management??​ Der SP hat Hooks dafür, aber das wird wohl keiner implementiert haben. 
 + 
 +O365 nutzt persistentIDs für AttributeQueries?​ 
 + 
 +DataConnector für HeimatIdPs, der eduID-Rest-API anspricht. 
 + 
 +Jemand verliert seine Affiliation,​ wie kann er dann noch auf eduID umstellen? --> muss vorher passieren. 
 + 
 +Proxy: Authn am lokalen Idp? 
 + 
 +Sobald ein IdP eduID macht, muss er bei allen SPs aus deren EDS raus.  
 + 
 +Affiliation Chooser nach Login. 
 + 
 +Martin: E-Mail-Adresse kann man im im Nicht-Standard-Parameter "​username"​ (s. O365; neben AuthReqest und Relaystate) an IdP übergeben und mit ServletFilter vor-ausfüllen lassen. Dann muss der IdP natürlich Login mit E-Mail erlauben. 
 + 
 +Bernd: Auch direkt am eduID IdP anmelden - user-centric,​ auch innerhalb der Organisation jedem User überlassen,​ ob direkt oder lokal oder beides 
 + 
 +Gerrit: User kann edu-ID erzeugen, der noch an keiner Uni ist? --> ​ja. User an der SBB haben keine bestimmte Mail-Domain... 
 + 
 +Wolfgang: MFA?? geschieht lokal, und dann muss auch der erste Faktor lokal sein! Oder ganz SSO und MFA am eduID IdP abhandeln. 
 + 
 +Bernd: wenn alle lokalen Dienste einer Uni eduID unterstützen,​ kann man den lokalen IDP wegoptimieren... -> Wolfgang: wie in Feide 
 + 
 +Thorsten: Autorisierung am SP ist dann aber schwierig. 
 + 
 +Charme für kleine Unis: Nur LDAP/SCIM zu eduID, müssten keinen eigenen IdP mehr haben 
 + 
 +Grundlegendes Modell von Bamberg steht, nur die DS-Implementierung unklar 
 + 
 +Es gibt Modelle, die sowohl Mailadresse als auch Organisations-Auswahl bieten. Kann aber auch verwirrend sein, wenn es direkt nebeneinander steht. 
 + 
 +Thorsten: was hilft im Use Case * (s.o.)? Regelmäßiges Anmelden? 1x pro Jahr Login überprüfen?​ Mail rausschicken,​ auch um die Mail zu überprüfen?​ --> Bernd: s. Nationallizenzen. Vorsicht aber - ähnliche Mails kommen dann auch von Spammern...?​ 
 + 
  
  • Zuletzt geändert: vor 3 Stunden