Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:aai:eduid:ag3 [2020/02/05 11:32] – Wolfgang Pempe | de:aai:eduid:ag3 [2020/02/11 11:24] (aktuell) – [2 Account Linking] Wolfgang Pempe | ||
---|---|---|---|
Zeile 18: | Zeile 18: | ||
===== Empfehlungen ===== | ===== Empfehlungen ===== | ||
- | **Nebenläufiges Thema:** Synchronisation und Abgleich von Nutzerdaten zwischen edu-ID-System und IdM der Heimateinrichtungen. Idealerweise können die bei SWITCH implementierten Mechanismen, | + | **Nebenläufiges Thema:** Synchronisation und Abgleich von Nutzerdaten zwischen edu-ID-System und IdM der Heimateinrichtungen. Idealerweise können die bei SWITCH implementierten Mechanismen, |
==== 1 edu-ID -> lokales IdM ==== | ==== 1 edu-ID -> lokales IdM ==== | ||
Zeile 24: | Zeile 24: | ||
=== 1.1 Onboarding === | === 1.1 Onboarding === | ||
**Noch keine lokale digitale Identität an der (zukünftigen) Heimateinrichtung vorhanden** \\ | **Noch keine lokale digitale Identität an der (zukünftigen) Heimateinrichtung vorhanden** \\ | ||
- | siehe auch https:// | + | Siehe auch unter [[de: |
- Person hat noch keine edu-ID? --> Erstellen edu-ID und (ggf.) Validierung der Kernattribute (s. [[de: | - Person hat noch keine edu-ID? --> Erstellen edu-ID und (ggf.) Validierung der Kernattribute (s. [[de: | ||
- Person meldet sich mit edu-ID IdP am Onboarding-SP der betreffenden Einrichtung an --> die edu-ID und die [[de: | - Person meldet sich mit edu-ID IdP am Onboarding-SP der betreffenden Einrichtung an --> die edu-ID und die [[de: | ||
- Person kann nun anhand dieser Angaben im lokalen IdM registriert werden | - Person kann nun anhand dieser Angaben im lokalen IdM registriert werden | ||
Auf keinen Fall sollte die Übergabe der edu-ID auf nicht-elektronischem Wege (persönlich, | Auf keinen Fall sollte die Übergabe der edu-ID auf nicht-elektronischem Wege (persönlich, | ||
+ | |||
\\ | \\ | ||
+ | |||
=== 1.2 Verknüpfung edu-ID mit lokalem Einrichtungs-Account === | === 1.2 Verknüpfung edu-ID mit lokalem Einrichtungs-Account === | ||
- | **Voraussetzung: | + | **Voraussetzung: |
- Authentisierung am Heimat-IdP | - Authentisierung am Heimat-IdP | ||
- Authentisierung am edu-ID-IdP | - Authentisierung am edu-ID-IdP | ||
Zeile 41: | Zeile 43: | ||
* Sollten neben der edu-ID an sich auch die Kernattribute an den Heimat-SP übertragen werden (können)? | * Sollten neben der edu-ID an sich auch die Kernattribute an den Heimat-SP übertragen werden (können)? | ||
* Workflow bei Divergenzen (z.B. bei Namensbestandteilen)? | * Workflow bei Divergenzen (z.B. bei Namensbestandteilen)? | ||
- | * Sollte | + | * Sollte |
* edu-ID-System bräuchte dann einen entsprechenden Registrierungs-SP | * edu-ID-System bräuchte dann einen entsprechenden Registrierungs-SP | ||
* Kann der Heimat-IdP die benötigten [[de: | * Kann der Heimat-IdP die benötigten [[de: | ||
- | * Wie erfolgt dann die Übertragung der edu-ID an das IdM der Heimateinrichtung? | + | * Wie erfolgt dann die Übertragung der edu-ID an das IdM der Heimateinrichtung? |
- | * Besser | + | |
+ | ==== 2 Account Linking ==== | ||
+ | Das edu-ID-System soll IDs (hier: Identifier) aus anderen Kontexten als den Heimateinrichtungen aggregieren können, siehe auch unter [[de: | ||
+ | * Grundsätzlich sollten nicht beliebige, sondern nur vom Betreiber des edu-ID-Systems zugelassene Identifier ins System eingespielt werden können --> Attribut-Schema(ta), | ||
+ | * Besonders relevant: [[https:// | ||
+ | * Für die Verknüpfung der ORCID ID mit dem edu-ID-Account müsste am edu-ID-System ein entsprechender OAuth-Client implementiert werden, vgl. https:// | ||
+ | * In einigen | ||
+ | * Weitere potentielle Kandidaten: | ||
+ | * < | ||
+ | * ESI (European Student ID --> MyAcademicID) | ||
+ | * Für SAML-basierte Kontexte kann ein mehr oder weniger generischer Registrierungs-SP | ||
+ | * Offene Punkte: Wie langlebig sind die betreffenden IDs? Müssen Verknüpfungen regelmäßig aktualisiert werden? ORCID gilt im Idealfall lebenslang, ESI z.B. max. für die Studiendauer an einer bestimmten Hochschule. Sollen wir nur lebenslang gültige IDs zulassen? |