Zeige QuelltextÄltere VersionenLinks hierherNach oben Letzte ÄnderungenPer E-Mail sendenDruckenPermalink × Inhaltsverzeichnis Arbeitsgruppe ID-Linking Diskussion Empfehlungen 1 edu-ID -> lokales IdM 1.1 Onboarding 1.2 Verknüpfung edu-ID mit lokalem Einrichtungs-Account 2 Account Linking Dies ist eine alte Version des Dokuments! Arbeitsgruppe ID-Linking Zweck: Vorbereitung des Workshops im Februar 2020 (Zurück zur Workshop-Seite) Thema: Verknüpfungsverfahren edu-ID ↔ lokale ID Koordination: Ramon Pfeiffer Teilnehmende: (bei Interesse bitte eintragen) Bernd Wolfgang Petra … Diskussion Siehe unter Brainstorming Empfehlungen Nebenläufiges Thema: Synchronisation und Abgleich von Nutzerdaten zwischen edu-ID-System und IdM der Heimateinrichtungen. Idealerweise können die bei SWITCH implementierten Mechanismen, insbesondere via SCIM übernommen werden. 1 edu-ID -> lokales IdM 1.1 Onboarding Noch keine lokale digitale Identität an der (zukünftigen) Heimateinrichtung vorhanden siehe auch unter Architektur Person hat noch keine edu-ID? –> Erstellen edu-ID und (ggf.) Validierung der Kernattribute (s. AG Attribute) Person meldet sich mit edu-ID IdP am Onboarding-SP der betreffenden Einrichtung an –> die edu-ID und die Kernattribute werden im AttributeStatement übertragen Person kann nun anhand dieser Angaben im lokalen IdM registriert werden Auf keinen Fall sollte die Übergabe der edu-ID auf nicht-elektronischem Wege (persönlich, in Papierform o.ä.) geschehen. Idealerweise bekommen die Nutzer*innen ihre edu-ID nicht zu Gesicht. 1.2 Verknüpfung edu-ID mit lokalem Einrichtungs-Account Voraussetzung: Nutzer*in muss sich sowohl am edu-ID IdP als auch am Heimat-IdP anmelden. Siehe auch unter Architektur. Erst dann kann eine sichere Verknüpfung erfolgen (technisch würde es sich um eine Step-Up Authentication handeln). Hierfür muss den teilnehmenden Einrichtungen eine Anleitung zur SP-Konfiguration zur Verfügung gestellt werden. Authentisierung am Heimat-IdP Authentisierung am edu-ID-IdP Einwilligung der/des Nutzer*in zur Übertragung mindestens der edu-ID an den Einrichtungs-SP Übertragung der edu-ID (und ggf. anderer Attribute?) im AttributeStatement an den Einrichtungs-SP Für das Schweizer System existiert bereits ein entsprechendes Tool. Offene Punkte: Sollten neben der edu-ID an sich auch die Kernattribute an den Heimat-SP übertragen werden (können)? Workflow bei Divergenzen (z.B. bei Namensbestandteilen)? Sollte der Weg auch in die andere Richtung möglich sein, also Registrierung am edu-ID-System anhand der Identität der Heimateinrichtung (Funktionalität bei SWITCH)? edu-ID-System bräuchte dann einen entsprechenden Registrierungs-SP Kann der Heimat-IdP die benötigten Kernattribute liefern? Wie erfolgt dann die Übertragung der edu-ID an das IdM der Heimateinrichtung? Besser (wie oben beschrieben) zuerst die obligatorische Registrierung am edu-ID-System, anschließend Verknüpfung mit lokalem IdM? 2 Account Linking Das edu-ID-System soll IDs (hier: Identifier) aus anderen Kontexten als den Heimateinrichtungen aggregieren können, siehe auch unter Architektur. Grundsätzlich sollten nicht beliebige, sondern nur vom Betreiber des edu-ID-Systems zugelassene Identifier ins System eingespielt werden können (–> Attribut-Schema, SP-Implementierung) Besonders relevant: ORCID Für die Verknüpfung der ORCID ID mit dem edu-ID-Account müsste am edu-ID-System ein entsprechender OAuth-Client implementiert werden, vgl. https://members.orcid.org/api/integrate/orcid-sign-in In einigen (wie vielen?) Fällen ist die ORCID bereits im IdM der Heimateinrichtung hinterlegt und kann (bzw. muss dann) als Teil der Affiliation ins edu-ID-System eingespielt werden Weitere potentielle Kandidaten: Community-spezifische IDs, z.B. DARIAH, CLARIN, ELIXIR, Umbrella ESI (European Student ID –> MyAcademicID) Für SAML-basierte Kontexte kann ein mehr oder weniger generischer Registrierungs-SP am edu-ID-System eingerichtet werden, der nach dem o.g. Verfahren (1.2) sowohl einen Login am edu-ID-System als auch am IdP, aus dem der betreffende Identifier kommt, erfordert. Dann kann der Eintrag des betreffenden Identifiers im edu-ID-System erfolgen Offene Punkte: Wie langlebig sind die betreffenden IDs? ORCID im Idealfall lebenslang, ESI z.B. im Zweifelsfall nur für den Zeitraum des Austauschprogramms. Sollen wir nur lebenslang gültige IDs zulassen? Zuletzt geändert: vor 4 Jahren Anmelden