Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:aai:eduid:ag1 [2020/01/30 10:21] Wolfgang Pempede:aai:eduid:ag1 [2020/02/11 10:33] (aktuell) Wolfgang Pempe
Zeile 1: Zeile 1:
 +~~NOTOC~~
 ====== Arbeitsgruppe WAYF ====== ====== Arbeitsgruppe WAYF ======
 +{{INLINETOC 2}}
 **Zweck: Vorbereitung des Workshops im Februar 2020**  **Zweck: Vorbereitung des Workshops im Februar 2020** 
  
Zeile 76: Zeile 78:
  
 ==== Zusammenfassung ==== ==== Zusammenfassung ====
-ja+  * Grundlage ist die in Bamberg erarbeitete [[de:aai:eduid:architektur|Architektur]] 
 +  * Sollen sich SPs nur exklusiv mit dem edu-ID-System verbinden können? (edu-ID-IdP nur in der Rolle als Homeless IdP in der eigentlichen Föderation) 
 +    * Dies würde den Discovery Prozess vereinfachen... 
 +    * Es existieren Szenarien, in denen ein gemischtes Modell sinnvoll ist 
 +    * Favorisiert wird also ein zentral gepflegter DS, der neben dem edu-ID-IdP auch die IdPs/Einrichtungen listet, die **nicht** mit dem edu-ID-System verbunden sind 
 +    * Daher ist für den Weg über das edu-ID-System ein zweistufiges Discovery-Verfahren erforderlich  
 +  * Discovery am edu-ID-System 
 +    * Angedacht, dass die User am edu-ID-System eine ihrer hinterlegten E-Mailadressen eingeben und abhängig davon entschieden wird, wie die Authentifizierung erfolgt 
 +    * Wenn keine Affiliation hinterlegt ist, wird lokal am edu-ID-IdP authentifiziert 
 +    * Wenn Affiliations hinterlegt sind 
 +      * ... könnten die User voreinstellen, welcher IdP bevorzugt zur Authentisierung verwendet werden soll (das koennte auch der edu-ID-IdP selbst sein) 
 +      * Es könnte auch isPassive genutzt werden, um zu prüfen, ob der/die Nutzer*in bereits an einem der Heimat-IdPs eingeloggt ist.  
 +      * Falls ein Login erforderlich ist, könnte der/die Nutzer*in evtl. im Subject übergeben werden, damit der IdP die Benutzerkennung voreinstellen kann (bei Username + Passwort Login)  
 +      * (Auswahl der zu übertragenden Affiliation[s] bzw. Affiliation-Daten erfolgt dann im Rahmen der Attributfreigabe) 
 +    * <del>Als Alternative könnte eine traditionelle Einrichtungsauswahl angeboten werden  
 +      * Im UI nicht neben der Eingabe für die E-Mail-Adresse, sondern umschaltbar, um die User nicht zu verwirren</del> 
 +  * Offene Punkte 
 +    * Migrationsszenarien, insbesondere SP-seitig --> Umstellung der Identifier(-Attribute) 
 +      * Agenda-Punkt für [[de:aai:eduid:ws_feb_2010#agenda_im_aufbau|Workshop in Kaiserslautern]] 
 +    * Mechanismen zur regelmäßigen Kontrolle der edu-ID Credentials (Erinnerungsmail, Login mindestens einmal pro Jahr?) --> Verfahren bei SWITCH? Erfahrungen mit demselben?
  • Zuletzt geändert: vor 6 Jahren