Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:aai:eduid:ag3 [2020/02/05 12:08] – Wolfgang Pempe
+++ de:aai:eduid:ag3 [2020/02/05 13:22] – [1 edu-ID -> lokales IdM] Wolfgang Pempe
@@ Zeile 18: / Zeile 18: @@
 ===== Empfehlungen =====
-**Nebenläufiges Thema:** Synchronisation und Abgleich von Nutzerdaten zwischen edu-ID-System und IdM der Heimateinrichtungen. Idealerweise können die bei SWITCH implementierten Mechanismen, insbesondere via SCIM übernommen werden.
+**Nebenläufiges Thema:** Synchronisation und Abgleich von Nutzerdaten zwischen edu-ID-System und IdM der Heimateinrichtungen. Idealerweise können die bei SWITCH implementierten Mechanismen, insbesondere via SCIM, übernommen werden.
 ==== 1 edu-ID -> lokales IdM ====
@@ Zeile 24: / Zeile 24: @@
 === 1.1 Onboarding ===
 **Noch keine lokale digitale Identität an der (zukünftigen) Heimateinrichtung vorhanden** \\
-siehe auch unter [[de:aai:eduid:architektur#registrierung_und_erstes_onboarding|Architektur]]
+Siehe auch unter [[de:aai:eduid:architektur#registrierung_und_erstes_onboarding|Architektur]]
   - Person hat noch keine edu-ID? --> Erstellen edu-ID und (ggf.) Validierung der Kernattribute (s. [[de:aai:eduid:ag2|AG Attribute]])
   - Person meldet sich mit edu-ID IdP am Onboarding-SP der betreffenden Einrichtung an --> die edu-ID und die [[de:aai:eduid:ag2|Kernattribute]] werden im AttributeStatement übertragen
@@ Zeile 33: / Zeile 33: @@
 === 1.2 Verknüpfung edu-ID mit lokalem Einrichtungs-Account ===
-**Voraussetzung:** Nutzer*in muss sich sowohl am edu-ID IdP als auch am Heimat-IdP anmelden. Erst dann kann eine sichere Verknüpfung erfolgen (technisch würde es sich um eine Step-Up Authentication handeln). Hierfür muss den teilnehmenden Einrichtungen eine Anleitung zur SP-Konfiguration zur Verfügung gestellt werden.
+**Voraussetzung:** Nutzer*in muss sich sowohl am edu-ID IdP als auch am Heimat-IdP anmelden. Siehe auch unter [[de:aai:eduid:architektur#account_linking_und_attribut_id-aggregation|Architektur]]. Erst dann kann eine sichere Verknüpfung erfolgen (technisch würde es sich um eine Step-Up Authentication handeln). Hierfür muss den teilnehmenden Einrichtungen eine Anleitung zur SP-Konfiguration zur Verfügung gestellt werden.
   - Authentisierung am Heimat-IdP
   - Authentisierung am edu-ID-IdP
@@ Zeile 46: / Zeile 46: @@
     * edu-ID-System bräuchte dann einen entsprechenden Registrierungs-SP
     * Kann der Heimat-IdP die benötigten [[de:aai:eduid:ag2|Kernattribute]] liefern?
-    * Wie erfolgt dann die Übertragung der edu-ID an das IdM der Heimateinrichtung?
+    * Wie erfolgt dann die Übertragung der edu-ID an das IdM der Heimateinrichtung? Nach Abschluss der Registrierung müsste dann also das o.g. Verfahren durchlaufen werden.
-    * Besser (wie oben beschrieben) zuerst die obligatorische Registrierung am edu-ID-System, anschließend Verknüpfung mit lokalem IdM?
 ==== 2 Account Linking ====
@@ Zeile 59: / Zeile 58: @@
     * ESI (European Student ID --> MyAcademicID)
   * Für SAML-basierte Kontexte kann ein mehr oder weniger generischer Registrierungs-SP am edu-ID-System eingerichtet werden, der nach dem o.g. Verfahren (1.2) sowohl einen Login am edu-ID-System als auch am IdP, aus dem der betreffende Identifier kommt, erfordert. Dann kann der Eintrag des betreffenden Identifiers im edu-ID-System erfolgen
-    * Offene Punkte: Wie langlebig sind die betreffenden IDs? ORCID im Idealfall lebenslang, ESI z.B. im Zweifelsfall nur für den Zeitraum des Austauschprogramms. Sollen wir nur lebenslang gültige IDs zulassen?
+  * Offene Punkte: Wie langlebig sind die betreffenden IDs? Müssen Verknüpfungen regelmäßig aktualisiert werden? ORCID gilt im Idealfall lebenslang, ESI z.B. im Zweifelsfall nur für den Zeitraum des Austauschprogramms. Sollen wir nur lebenslang gültige IDs zulassen?