Dies ist eine alte Version des Dokuments!
Brainstorming der AG 3: Verknüpfung lokale ID ↔ eduID
1 Rückspielen der eduID in lokales System
1.1 Onboarding
- Person kommt mit bestehender eduID-Identität zu einer Einrichtung und wird dort ins IDM aufgenommen.
- eduID-IdP liefert Referenz auf eduID in Assertion mit aus
- Workflows?
- Aufnahme ins IDM erst nach erfolgreicher Aufnahme in (irgendeine) Personenverwaltung (SOS, SVA, …)
- Mehrere Akteure im Onboarding-Prozess, nur Person selbst ist Besitzerin der eduID und kann über Verteilung bestimmen.
- Ansätze:
- Person gibt bei Aufnahme in Personalverwaltung eduID an, Onboarding-SP führt AttributeQuery aus
- Ggf. werden Daten des Onboarding-SP in Personalverwaltung übernommen
- Onboarding-SP erhält nur eduID vom eduID-IdP nach erfolgreicher Authentifizierung durch Person
1.2 Verknüpfung bestehender digitaler Identitäten
Person hat bereits eine eduID und möchte diese einem Einrichtungsaccount hinzufügen.
1.2.1 Verknüpfung von der Einrichtung aus
Person hat bereits eduID
- Zuordnung von eduID zu lokalem Nutzerkonto, bspw. über SP an Einrichtung, der eduID vom eduID-IdP nach erfolgreicher Authentifizierung in AttributeResponse erhält.
- Darüberhinaus Aktualisierung von Identitätsdaten
- Wo liegen aktuellere Daten? Bei der Einrichtung, bei der eben ein Einstellungsprozess durchlaufen wurde, oder beim eduID-IdP (Tippfehler an der einen oder anderen Stelle, Namensänderungen, …)
Person hat _noch keine_ eduID
- Anmeldung am eduID-SP (authentifiziert gegen Heimateinrichtung)
- AttributeResponse von Heimateinrichtung enthält zur Erzeugung einer eduID erforderliche Daten
- eduID wird über einen Backchannel wieder an Heimateinrichtung gespielt
- Zum Vergleich
- Rückspielen der OrcID in Heimateinrichtung (via OAuth)
1.2.2 Verknüpfung von eduID aus
- eduID System als IdP - Unsolicited SSO mit AttributePush zur Heimateinrichtung
- eduID System als SP - Heimateinrichtung liefert Identitätsdaten an eduID System
Im zweiten Fall kennt die Heimateinrichtung dann noch immer nicht die eduID der Person.
2 Account Linking
Welche „anderen“ IDs sollen verlinkt werden?
- orcID
- Dienstinterne Proxy-IDs?
- zB DARIAH-ID
- zB Clarin-ID (sofern diese das Proxy-Modell wählen)
- zB ELIXIR-ID
- European Student Card ID
- MyAcademicID
- …
3. (Exkurs) Datenaktualität
- In vorigen Abschnitten zum Teil schon angeschnitten (→ Daten bei Einstellung ggf. aktueller als bei eduID hinterlegte Daten)
- Bisher existiert noch keine eigene AG dazu (AG Attribut-Set? AG Verknüpfung lokale ID eduID? AG Dublettenerkennung?)
4. Ergebnisse
Vorstellung der oben genannten Problemformulierungen?