Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:aai:eduid:ag3 [2020/02/05 12:05] – Wolfgang Pempe | de:aai:eduid:ag3 [2020/02/06 09:20] – [1 edu-ID -> lokales IdM] Wolfgang Pempe | ||
---|---|---|---|
Zeile 18: | Zeile 18: | ||
===== Empfehlungen ===== | ===== Empfehlungen ===== | ||
- | **Nebenläufiges Thema:** Synchronisation und Abgleich von Nutzerdaten zwischen edu-ID-System und IdM der Heimateinrichtungen. Idealerweise können die bei SWITCH implementierten Mechanismen, | + | **Nebenläufiges Thema:** Synchronisation und Abgleich von Nutzerdaten zwischen edu-ID-System und IdM der Heimateinrichtungen. Idealerweise können die bei SWITCH implementierten Mechanismen, |
==== 1 edu-ID -> lokales IdM ==== | ==== 1 edu-ID -> lokales IdM ==== | ||
Zeile 24: | Zeile 24: | ||
=== 1.1 Onboarding === | === 1.1 Onboarding === | ||
**Noch keine lokale digitale Identität an der (zukünftigen) Heimateinrichtung vorhanden** \\ | **Noch keine lokale digitale Identität an der (zukünftigen) Heimateinrichtung vorhanden** \\ | ||
- | siehe auch https:// | + | Siehe auch unter [[de: |
- Person hat noch keine edu-ID? --> Erstellen edu-ID und (ggf.) Validierung der Kernattribute (s. [[de: | - Person hat noch keine edu-ID? --> Erstellen edu-ID und (ggf.) Validierung der Kernattribute (s. [[de: | ||
- Person meldet sich mit edu-ID IdP am Onboarding-SP der betreffenden Einrichtung an --> die edu-ID und die [[de: | - Person meldet sich mit edu-ID IdP am Onboarding-SP der betreffenden Einrichtung an --> die edu-ID und die [[de: | ||
Zeile 33: | Zeile 33: | ||
=== 1.2 Verknüpfung edu-ID mit lokalem Einrichtungs-Account === | === 1.2 Verknüpfung edu-ID mit lokalem Einrichtungs-Account === | ||
- | **Voraussetzung: | + | **Voraussetzung: |
- Authentisierung am Heimat-IdP | - Authentisierung am Heimat-IdP | ||
- Authentisierung am edu-ID-IdP | - Authentisierung am edu-ID-IdP | ||
Zeile 43: | Zeile 43: | ||
* Sollten neben der edu-ID an sich auch die Kernattribute an den Heimat-SP übertragen werden (können)? | * Sollten neben der edu-ID an sich auch die Kernattribute an den Heimat-SP übertragen werden (können)? | ||
* Workflow bei Divergenzen (z.B. bei Namensbestandteilen)? | * Workflow bei Divergenzen (z.B. bei Namensbestandteilen)? | ||
- | * Sollte | + | * Sollte |
* edu-ID-System bräuchte dann einen entsprechenden Registrierungs-SP | * edu-ID-System bräuchte dann einen entsprechenden Registrierungs-SP | ||
* Kann der Heimat-IdP die benötigten [[de: | * Kann der Heimat-IdP die benötigten [[de: | ||
- | * Wie erfolgt dann die Übertragung der edu-ID an das IdM der Heimateinrichtung? | + | * Wie erfolgt dann die Übertragung der edu-ID an das IdM der Heimateinrichtung? |
- | * Besser (wie oben beschrieben) zuerst die obligatorische Registrierung am edu-ID-System, anschließend Verknüpfung mit lokalem IdM? | + | --> Nach Abschluss der Registrierung müsste dann also das o.g. Verfahren durchlaufen werden. |
==== 2 Account Linking ==== | ==== 2 Account Linking ==== | ||
- | Das edu-ID-System soll IDs (hier: Identifier) aus anderen Kontexten als den Heimateinrichtungen aggregieren können | + | Das edu-ID-System soll IDs (hier: Identifier) aus anderen Kontexten als den Heimateinrichtungen aggregieren können, siehe auch unter [[de: |
* Grundsätzlich sollten nicht beliebige, sondern nur vom Betreiber des edu-ID-Systems zugelassene Identifier ins System eingespielt werden können (--> Attribut-Schema, | * Grundsätzlich sollten nicht beliebige, sondern nur vom Betreiber des edu-ID-Systems zugelassene Identifier ins System eingespielt werden können (--> Attribut-Schema, | ||
* Besonders relevant: [[https:// | * Besonders relevant: [[https:// | ||
Zeile 59: | Zeile 59: | ||
* ESI (European Student ID --> MyAcademicID) | * ESI (European Student ID --> MyAcademicID) | ||
* Für SAML-basierte Kontexte kann ein mehr oder weniger generischer Registrierungs-SP am edu-ID-System eingerichtet werden, der nach dem o.g. Verfahren (1.2) sowohl einen Login am edu-ID-System als auch am IdP, aus dem der betreffende Identifier kommt, erfordert. Dann kann der Eintrag des betreffenden Identifiers im edu-ID-System erfolgen | * Für SAML-basierte Kontexte kann ein mehr oder weniger generischer Registrierungs-SP am edu-ID-System eingerichtet werden, der nach dem o.g. Verfahren (1.2) sowohl einen Login am edu-ID-System als auch am IdP, aus dem der betreffende Identifier kommt, erfordert. Dann kann der Eintrag des betreffenden Identifiers im edu-ID-System erfolgen | ||
- | | + | |