Dies ist eine alte Version des Dokuments!
Arbeitsgruppe ID-Linking
Zweck: Vorbereitung des Workshops im Februar 2020
(Zurück zur Workshop-Seite)
Thema: Verknüpfungsverfahren edu-ID ↔ lokale ID
Koordination: Ramon Pfeiffer
Teilnehmende: (bei Interesse bitte eintragen)
- Bernd
- Wolfgang
- Petra
- …
Diskussion
Siehe unter Brainstorming
Empfehlungen
Nebenläufiges Thema: Synchronisation und Abgleich von Nutzerdaten zwischen edu-ID-System und IdM der Heimateinrichtungen. Idealerweise können die bei SWITCH implementierten Mechanismen, insbesondere via SCIM übernommen werden.
1 edu-ID -> lokales IdM
1.1 Onboarding
Noch keine lokale digitale Identität an der (zukünftigen) Heimateinrichtung vorhanden
siehe auch https://doku.tid.dfn.de/_detail/de:aai:eduid:registrierung_onboarding.png?id=de%3Aaai%3Aeduid%3Aarchitektur
- Person hat noch keine edu-ID? –> Erstellen edu-ID und (ggf.) Validierung der Kernattribute (s. AG Attribute)
- Person meldet sich mit edu-ID IdP am Onboarding-SP der betreffenden Einrichtung an –> die edu-ID und die Kernattribute werden im AttributeStatement übertragen
- Person kann nun anhand dieser Angaben im lokalen IdM registriert werden
Auf keinen Fall sollte die Übergabe der edu-ID auf nicht-elektronischem Wege (persönlich, in Papierform o.ä.) geschehen. Idealerweise bekommen die Nutzer*innen ihre edu-ID nicht zu Gesicht.
1.2 Verknüpfung edu-ID mit lokalem Einrichtungs-Account
Voraussetzung: Nutzer*in muss sich sowohl am edu-ID IdP als auch am Heimat-IdP anmelden. Erst dann kann eine sichere Verknüpfung erfolgen (technisch würde es sich um eine Step-Up Authentication handeln). Hierfür muss den teilnehmenden Einrichtungen eine Anleitung zur SP-Konfiguration zur Verfügung gestellt werden.
- Authentisierung am Heimat-IdP
- Authentisierung am edu-ID-IdP
- Einwilligung der/des Nutzer*in zur Übertragung mindestens der edu-ID an den Einrichtungs-SP
- Übertragung der edu-ID (und ggf. anderer Attribute?) im AttributeStatement an den Einrichtungs-SP
Für das Schweizer System existiert bereits ein entsprechendes Tool.
Offene Punkte:
- Sollten neben der edu-ID an sich auch die Kernattribute an den Heimat-SP übertragen werden (können)?
- Workflow bei Divergenzen (z.B. bei Namensbestandteilen)?
- Sollte der Weg auch in die andere Richtung möglich sein, also Registrierung am edu-ID-System anhand der Identität der Heimateinrichtung (Funktionalität bei SWITCH)?
- edu-ID-System bräuchte dann einen entsprechenden Registrierungs-SP
- Kann der Heimat-IdP die benötigten Kernattribute liefern?
- Wie erfolgt dann die Übertragung der edu-ID an das IdM der Heimateinrichtung?
- Besser (wie oben beschrieben) zuerst die obligatorische Registrierung am edu-ID-System, anschließend Verknüpfung mit lokalem IdM?