Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:aai:eduid:uc [2020/08/16 13:20] Wolfgang Pempede:aai:eduid:uc [2020/08/16 14:47] (aktuell) Wolfgang Pempe
Zeile 12: Zeile 12:
 </callout> </callout>
  
-===== Konsolidierte Use Cases ===== +===== Zentrale Use Cases ===== 
-**(Bewertet als MUST)** +**Bewertet als MUST** (Use Cases niederer Priorität finden sich auf [[de:aai:eduid:uc_low_prio|einer separaten Seite]])  
 + 
 +\\
  
 ** Weitergehende Betrachtung der Use Cases hinsichtlich der folgenden Fragen: ** \\ ** Weitergehende Betrachtung der Use Cases hinsichtlich der folgenden Fragen: ** \\
Zeile 44: Zeile 46:
 ^ LoA      | wie UC 1.1 | ^ LoA      | wie UC 1.1 |
 ^ Attribute | Weitere Attribute zu UC 1.1: weitere Staatsangehörigkeit(en) | ^ Attribute | Weitere Attribute zu UC 1.1: weitere Staatsangehörigkeit(en) |
-^ Bemerkungen | Wie aktuell müssen die Daten sein? Muss nochmal über die edu-ID verifiziert werden |+^ Bemerkungen | • Aktualität der Daten ist notwendig, vor Immatrikulation sollten Daten verifiziert werden \\ - Wer hat die Datenhoheit? Einrichtung oder edu-ID System\\ - Notwendigkeit hauptsächlich auf Seiten der Hochschule \\ • Was triggert die Aktualisierung? \\ • Attribute Push von Einrichtung in edu-ID System in Einrichtungsdatenkontext, anschließend per Nutzerinteraktion mglw Übernahme der Daten in User-Kontext \\ • Falls noch keine edu-ID existiert, wird erst die Immatrikulation vorgenommen und anschließend mit der nachträglich erzeugten edu-ID verknüpft \\ - Zunächst nur Vorhandensein des lokalen Kontos, spätere „Aufwertung“ zu / Verknüpfung mit einem edu-ID Konto (nicht nur Immatrikulation, Onboarding allgemein) |
 \\ \\
  
Zeile 51: Zeile 53:
 ^ Beschreibung | Wie bei allen anderen Prüfungen während des Studiums ermöglicht eine einrichtungsunabhängige edu-ID ein dauerhaftes und eindeutiges Zuordnen von Prüfungsleistungen zu einer Person, welche auch nach dem Ende des Studiums erhalten bleibt. | ^ Beschreibung | Wie bei allen anderen Prüfungen während des Studiums ermöglicht eine einrichtungsunabhängige edu-ID ein dauerhaftes und eindeutiges Zuordnen von Prüfungsleistungen zu einer Person, welche auch nach dem Ende des Studiums erhalten bleibt. |
 ^ Interop. internat. | -- | ^ Interop. internat. | -- |
-^ LoA      | -+^ LoA      | Notwendigkeit aktueller Daten sowohl von Hochschulals auch von Studierendenseite 
-^ Attribute | -+^ Attribute | Name, Vorname, Geb-Datum, Geschlecht, ESI?? 
-^ Bemerkungen | -- |+^ Bemerkungen | Kontexte hier wahrscheinlich bereits größtenteils etabliert. Gibt es hier andere Anforderungen als an die Immatrikulation? (UC 1.2) |
 \\ \\
  
Zeile 59: Zeile 61:
  
 ^ Beschreibung | Das Referendariat erfolgt nach dem offiziellen Studienabschluss, womit die Referendar*Innen zu diesem Zeitpunkt nicht mehr Angehörige der Hochschule sind. Mit einer einrichtungsunabhängige edu-ID kann ihnen weiterhin Zugriff auf bestimmte Ressourcen der Hochschule auch nach der Exmatrikulation gewährt werden. Zu klären wären hier bei den [[#fragen_zum_betrieb|Fragen zum Betrieb]] die erste Frage zum Datenschutz. | ^ Beschreibung | Das Referendariat erfolgt nach dem offiziellen Studienabschluss, womit die Referendar*Innen zu diesem Zeitpunkt nicht mehr Angehörige der Hochschule sind. Mit einer einrichtungsunabhängige edu-ID kann ihnen weiterhin Zugriff auf bestimmte Ressourcen der Hochschule auch nach der Exmatrikulation gewährt werden. Zu klären wären hier bei den [[#fragen_zum_betrieb|Fragen zum Betrieb]] die erste Frage zum Datenschutz. |
-^ Interop. internat. | -- +^ Interop. internat. | Vermutlich nicht, weil nur innerhalb Deutschlands 
-^ LoA      | -- +^ LoA      | keine besonderen Anforderungen, Person ist schon an der HS bekannt 
-^ Attribute | -|+^ Attribute | falls edu-ID nicht im lokalen IdM gespeichert: (ehemalige) Matrikelnummer (o.ä.) als Identifier an der HS |
 ^ Bemerkungen | -- | ^ Bemerkungen | -- |
 \\ \\
  
-=== UC 1.5 Bewerbung Promotion ===+=== UC 1.5 (BewerbungPromotion ===
  
-^ Beschreibung | Vergleichbar zur Bewerbung auf ein Studium kann bei der Bewerbung zur Promotion eine einrichtungsunabhängige edu-ID die Verwaltungsvorgänge vereinfachen, auch wenn die Promotion an einer anderen Hochschule erfolgen soll als das vorhergehende Studium.| +^ Beschreibung | Vergleichbar zur Bewerbung auf ein Studium kann bei der Bewerbung zur Promotion eine einrichtungsunabhängige edu-ID die Verwaltungsvorgänge vereinfachen, auch wenn die Promotion an einer anderen Hochschule erfolgen soll als das vorhergehende Studium. \\ Wie bei allen anderen Prüfungen während des Studiums ermöglicht eine einrichtungsunabhängige edu-ID ein dauerhaftes und eindeutiges Zuordnen von Prüfungsleistungen zu einer Person, welche auch nach dem Ende des Studiums erhalten bleibt. Publikationen während der Promotion können durch Verknüpfung der edu-ID mit anderen Identifiern wie ORCID besser zitierbar und leichter auffindbar gemacht werden. | 
-^ Interop. internat. | -- +^ Interop. internat. | Ja, bei Promotionen im Ausland oder bei Ausländern, die hier promovieren. 
-^ LoA      | -- +^ LoA      | wie UC 1.1 (Studienplatzbewerbung) 
-^ Attribute | -- |+^ Attribute | wie UC 1.1 (Studienplatzbewerbung) |
 ^ Bemerkungen | -- | ^ Bemerkungen | -- |
 \\ \\
  
-=== UC 1.6 Promotion === +=== UC 1.6 Hochschul-Externe ===
- +
-^ Beschreibung | Wie bei allen anderen Prüfungen während des Studiums ermöglicht eine einrichtungsunabhängige edu-ID ein dauerhaftes und eindeutiges Zuordnen von Prüfungsleistungen zu einer Person, welche auch nach dem Ende des Studiums erhalten bleibt. Publikationen während der Promotion können durch Verknüpfung der edu-ID mit anderen Identifiern wie ORCID besser zitierbar und leichter auffindbar gemacht werden. | +
-^ Interop. internat. | -- | +
-^ LoA      | -- | +
-^ Attribute | -- | +
-^ Bemerkungen | -- | +
-\\ +
- +
-=== UC 1.7 Hochschul-Externe ===+
 Gasthörende, Weiterbildung, Studieren im Alter etc. (siehe auch Lehre Use Case: Hochschulübergreifende Weiterbildungsveranstaltungen)  Gasthörende, Weiterbildung, Studieren im Alter etc. (siehe auch Lehre Use Case: Hochschulübergreifende Weiterbildungsveranstaltungen) 
  
 ^ Beschreibung | Im Rahmen des lebenslangen Lernens oder Studierens im Alter kann eine einrichtungsunabhängige edu-ID dazu genutzt werden, den Zugang zu entsprechenden Kursen für Gasthörer zu vereinfachen und auch diesen Personen Zugriff auf Lernmanagementsysteme und andere Ressourcen einer Hochschule zu gewähren. | ^ Beschreibung | Im Rahmen des lebenslangen Lernens oder Studierens im Alter kann eine einrichtungsunabhängige edu-ID dazu genutzt werden, den Zugang zu entsprechenden Kursen für Gasthörer zu vereinfachen und auch diesen Personen Zugriff auf Lernmanagementsysteme und andere Ressourcen einer Hochschule zu gewähren. |
 ^ Interop. internat. | -- | ^ Interop. internat. | -- |
-^ LoA      | -- +^ LoA      | wie UC 1.1 (Studienplatzbewerbung), im Einzelfall ggf. weniger 
-^ Attribute | -- |+^ Attribute | wie UC 1.1 (Studienplatzbewerbung), im Einzelfall ggf. weniger |
 ^ Bemerkungen | -- | ^ Bemerkungen | -- |
 \\ \\
Zeile 98: Zeile 91:
  
 ^ Beschreibung | Sollen befristete Universitätsangehörige wie Lehrbeauftragte für den Zugriff auf Campus- und Lernmanagementsysteme berechtigt werden, sind immer die Laufzeitbefristungen der entsprechenden Verträge zu beachten und technisch im System abzubilden. Müssen im Nachgang z.B. zu einem Lehrauftrag noch Benotungen in den Systemen eingetragen werden, ist teilweise sogar Zugriff über die eigentliche Vertragslaufzeit hinaus zu gewähren. Eine einrichtungsunabhängige edu-ID befreit die Universität von der Notwendigkeit, einen lokalen Account für eine Person vorzuhalten, obwohl kein Vertragsverhältnis mehr besteht. Ebenso hilft sie, wenn ein Lehrauftrag z.B. über längere Zeit pausiert und dann wieder aufgenommen wird. | ^ Beschreibung | Sollen befristete Universitätsangehörige wie Lehrbeauftragte für den Zugriff auf Campus- und Lernmanagementsysteme berechtigt werden, sind immer die Laufzeitbefristungen der entsprechenden Verträge zu beachten und technisch im System abzubilden. Müssen im Nachgang z.B. zu einem Lehrauftrag noch Benotungen in den Systemen eingetragen werden, ist teilweise sogar Zugriff über die eigentliche Vertragslaufzeit hinaus zu gewähren. Eine einrichtungsunabhängige edu-ID befreit die Universität von der Notwendigkeit, einen lokalen Account für eine Person vorzuhalten, obwohl kein Vertragsverhältnis mehr besteht. Ebenso hilft sie, wenn ein Lehrauftrag z.B. über längere Zeit pausiert und dann wieder aufgenommen wird. |
-^ Interop. internat. | -- +^ Interop. internat. | n/a 
-^ LoA      | -- +^ LoA      | Keine weiteren Anforderungen wg. Fortführung von bestehenden Accounts 
-^ Attribute | -- |+^ Attribute | Keine weiteren Anforderungen wg. Fortführung von bestehenden Accounts |
 ^ Bemerkungen | -- | ^ Bemerkungen | -- |
 \\ \\
Zeile 107: Zeile 100:
  
 ^ Beschreibung | Sollen Gastwissenschaftler*Innen oder andere Angehörige fremder wissenschaftlicher Einrichtungen Zugriff auf die Services der Hochschule erhalten, ist u.U. ein zeitlich befristetes lokales Konto notwendig. Eine einrichtungsunabhängige edu-ID ermöglicht die Nutzung eines Self-Service-Portals für diesen Vorgang und befreit die gastgebende Hochschule von dem Aufwand, ein solches temporäres Konto manuell anzulegen. \\ Damit können Lehrende Ressourcen in Lernmanagementsystemen und anderen Systemen meist eigenständig verwalten. Diese System erlauben i.d.R. auch, dass die Lehrenden ihre Materialien anderen Nutzer*Innen im jeweiligen System freigeben können. Eine einrichtungsunabhängige edu-ID schafft die Voraussetzung, diese Systemgrenze zu überwinden und gibt Lehrenden die Möglichkeit, Ressourcen auch für Gäste der Hochschule selbständig freizugeben. | ^ Beschreibung | Sollen Gastwissenschaftler*Innen oder andere Angehörige fremder wissenschaftlicher Einrichtungen Zugriff auf die Services der Hochschule erhalten, ist u.U. ein zeitlich befristetes lokales Konto notwendig. Eine einrichtungsunabhängige edu-ID ermöglicht die Nutzung eines Self-Service-Portals für diesen Vorgang und befreit die gastgebende Hochschule von dem Aufwand, ein solches temporäres Konto manuell anzulegen. \\ Damit können Lehrende Ressourcen in Lernmanagementsystemen und anderen Systemen meist eigenständig verwalten. Diese System erlauben i.d.R. auch, dass die Lehrenden ihre Materialien anderen Nutzer*Innen im jeweiligen System freigeben können. Eine einrichtungsunabhängige edu-ID schafft die Voraussetzung, diese Systemgrenze zu überwinden und gibt Lehrenden die Möglichkeit, Ressourcen auch für Gäste der Hochschule selbständig freizugeben. |
-^ Interop. internat. | -- +^ Interop. internat. | Ja 
-^ LoA      | -- +^ LoA      | können so hoch sein wie bei UC 1.1 
-^ Attribute | -- |+^ Attribute | wie UC 1.1 |
 ^ Bemerkungen | -- | ^ Bemerkungen | -- |
 \\ \\
Zeile 126: Zeile 119:
  
 ^ Beschreibung | Im Rahmen von Weiterbildungsveranstaltungen sowohl lokal als auch hochschulübergreifend werden Teilnahmebestätigungen und didaktische Zertifikate etc. ausgestellt. Dies erfordert eine gesonderte Verwaltung der jeweiligen Teilnehmer*Innen. Eine einrichtungsunabhängige edu-ID erleichtert hier die Verwaltung und Ausstellung der Bescheinigung sowie deren Übermittlung in andere Systeme. | ^ Beschreibung | Im Rahmen von Weiterbildungsveranstaltungen sowohl lokal als auch hochschulübergreifend werden Teilnahmebestätigungen und didaktische Zertifikate etc. ausgestellt. Dies erfordert eine gesonderte Verwaltung der jeweiligen Teilnehmer*Innen. Eine einrichtungsunabhängige edu-ID erleichtert hier die Verwaltung und Ausstellung der Bescheinigung sowie deren Übermittlung in andere Systeme. |
-^ Interop. internat. | -- +^ Interop. internat. | Ja 
-^ LoA      | -- +^ LoA      | können so hoch sein wie bei UC 1.1 
-^ Attribute | -- |+^ Attribute | wie UC 1.1 |
 ^ Bemerkungen | -- | ^ Bemerkungen | -- |
 \\ \\
Zeile 135: Zeile 128:
  
 ^Beschreibung | • Curriculum - Praktikum - Referendariat (i.d.R. kein Mitglied der Hochschule) \\ • Seiteneinsteiger*innen \\ • Fach-/Ausbildungs-spezifische Dienste \\ • Identitäten wandern(?) von Uni zum Ministerium → Nutzung eduroam? \\ • edu-ID erleichtert Belegung von Kursen, Leistungsnachweise, Zugang zu universitären Ressourcen (OLAT u.a.m.) | ^Beschreibung | • Curriculum - Praktikum - Referendariat (i.d.R. kein Mitglied der Hochschule) \\ • Seiteneinsteiger*innen \\ • Fach-/Ausbildungs-spezifische Dienste \\ • Identitäten wandern(?) von Uni zum Ministerium → Nutzung eduroam? \\ • edu-ID erleichtert Belegung von Kursen, Leistungsnachweise, Zugang zu universitären Ressourcen (OLAT u.a.m.) |
-^ Interop. internat. | -- +^ Interop. internat. | Nein 
-^ LoA      | -- +^ LoA      | können so hoch sein wie bei UC 1.1 
-^ Attribute | -- |+^ Attribute | wie UC 1.1 |
 ^ Bemerkungen | -- | ^ Bemerkungen | -- |
 \\ \\
Zeile 182: Zeile 175:
  
 ^ Beschreibung | Gastwissenschaftler*Innen möchten die Dienste ihrer Gasteinrichtung ebenso nutzen können wie die Dienste ihrer Heimateinrichtung, im optimalen Falle mit der selben Kennung. Eine einrichtungsunabhängige edu-ID hilft hier der Gasteinrichtung, einen entsprechenden Zugang einzurichten bzw. Berechtigungen zu setzen. Der / dem Wissenschaftler*In hilft es, indem nicht mit verschiedenen Logins gearbeitet werden muss. Der Einsatz einer edu-ID ersetzt nicht die Konfiguration der Autorisierung der jeweiligen Systeme, dies muss weiterhin in den Einrichtungen lokal geschehen. | ^ Beschreibung | Gastwissenschaftler*Innen möchten die Dienste ihrer Gasteinrichtung ebenso nutzen können wie die Dienste ihrer Heimateinrichtung, im optimalen Falle mit der selben Kennung. Eine einrichtungsunabhängige edu-ID hilft hier der Gasteinrichtung, einen entsprechenden Zugang einzurichten bzw. Berechtigungen zu setzen. Der / dem Wissenschaftler*In hilft es, indem nicht mit verschiedenen Logins gearbeitet werden muss. Der Einsatz einer edu-ID ersetzt nicht die Konfiguration der Autorisierung der jeweiligen Systeme, dies muss weiterhin in den Einrichtungen lokal geschehen. |
-^ Interop. internat. | -- +^ Interop. internat. | Grundsätzlich wichtig, um hohe Mobilität zwischen Einrichungen / Systemen zu erreichen. Möglichkeiten der Implementierung grundsätzlich abhängig von den verwendeten Systemen. Nutzung von SAML vorsehen. 
-^ LoA      | -+^ LoA      | Hoch, wenn hier einem Gastwissenschaftler über die edu-ID Zugriff auf Dienste einer Einrichtung gewährt werden soll. Die gastgebende Einrichtung hat Interesse an aktuellen Daten. Daher ist das Alter der Attribute wichtig. 
-^ Attribute | -|+^ Attribute | Mandatory / Optionale Attribute: abhängig vom Umfang des Zugriffs auf die Systeme der gastgebenden Einrichtung. Sicher Name, Kontaktdaten (inkl. Anschrift), Title, ggf. Geb-Datum, Affiliation |
 ^ Bemerkungen | -- | ^ Bemerkungen | -- |
 \\ \\
Zeile 191: Zeile 184:
  
 ^ Beschreibung | Für den Zugriff auf Nationallizenzen in Deutschland sind alle wissenschaftlich tätigen Personen mit Wohnsitz in Deutschland berechtigt. Angehörige berechtigter wissenschaftlicher Einrichtungen sind automatisch durch ihre Institutionszugehörigkeit berechtigt. Eine einrichtungsunabhängige edu-ID mit entsprechend verifizierten bzw. verifizierbaren Attributen erleichtert hier die Erteilung von Zugriffsrechten. U.U. muss eine Aggregation von entitlements aus verschiedenen Attribut-Quellen auf Basis der edu-ID erfolgen. | ^ Beschreibung | Für den Zugriff auf Nationallizenzen in Deutschland sind alle wissenschaftlich tätigen Personen mit Wohnsitz in Deutschland berechtigt. Angehörige berechtigter wissenschaftlicher Einrichtungen sind automatisch durch ihre Institutionszugehörigkeit berechtigt. Eine einrichtungsunabhängige edu-ID mit entsprechend verifizierten bzw. verifizierbaren Attributen erleichtert hier die Erteilung von Zugriffsrechten. U.U. muss eine Aggregation von entitlements aus verschiedenen Attribut-Quellen auf Basis der edu-ID erfolgen. |
-^ Interop. internat. | -- +^ Interop. internat. | nur national, kaum international 
-^ LoA      | -- +^ LoA      | Wichtig alleine der Wohnsitz in Deutschland, dieser jedoch mit hoher LoA, wiederholte Verifikation des Wohnsitz notwendig (jährlich) 
-^ Attribute | -- |+^ Attribute | Wohnsitz bzw. Information darüber, dass ein Wohnsitz in Deutschland vorhanden ist. |
 ^ Bemerkungen | -- | ^ Bemerkungen | -- |
 \\ \\
Zeile 200: Zeile 193:
  
 ^ Beschreibung | National agierende Bibliotheken und Informationseinrichtungen wie die Deutsche Nationalbibliothek, Staatsbibliothek zu Berlin, TIB Hannover, ZBW Kiel, Bayrische Staatsbibliothek u.v.m. bieten verschiedenste digitale Services an, für die auch eine Authentifizierung und Autorisierung erforderlich ist. Viele dieser Einrichtungen sind jedoch nicht oder nur lose mit einer Universität oder einer anderen übergeordneten wissenschaftlichen Institution verbunden und bieten die Services daher offen für Wissenschaftler*Innen an. Eine einrichtungsunabhängige edu-ID ermöglicht hier erst ein SSO und erleichtert die nahtlose Integration dieser Services in die Arbeitsumgebung der Wissenschaftler*Innen. | ^ Beschreibung | National agierende Bibliotheken und Informationseinrichtungen wie die Deutsche Nationalbibliothek, Staatsbibliothek zu Berlin, TIB Hannover, ZBW Kiel, Bayrische Staatsbibliothek u.v.m. bieten verschiedenste digitale Services an, für die auch eine Authentifizierung und Autorisierung erforderlich ist. Viele dieser Einrichtungen sind jedoch nicht oder nur lose mit einer Universität oder einer anderen übergeordneten wissenschaftlichen Institution verbunden und bieten die Services daher offen für Wissenschaftler*Innen an. Eine einrichtungsunabhängige edu-ID ermöglicht hier erst ein SSO und erleichtert die nahtlose Integration dieser Services in die Arbeitsumgebung der Wissenschaftler*Innen. |
-^ Interop. internat. | -- +^ Interop. internat. | Wünschenswert. Erreichbar durch Implementierung von SAML in den jeweiligen AAIs 
-^ LoA      | -+^ LoA      | Hoch bzgl. der Zugehörigkeit zu einer Einrichtung. Ist die Zugehörigkeit zu einer Einrichtung Autorisierungsattribut -> jährliche Wiederholung der Verifikation notwendig 
-^ Attribute | -- |+^ Attribute | Mandatory: Affiliation, edu-ID, Optional: Name, Kontaktdaten (E-Mail) |
 ^ Bemerkungen | -- | ^ Bemerkungen | -- |
 \\ \\
Zeile 209: Zeile 202:
  
 ^ Beschreibung | Verschiedene einrichtungsunabhängige und zentrale Ressourcen in der Wissenschaftslandschaft wie Clouddienste, Rechenkapazitäten oder Fachinformationsdienste erfordern nicht nur eine Authentifizierung, sondern auch eine Autorisierung anhand bestimmter Kriterien, z.B. Zugehörigkeit zu einer Fachcommunity. Die Betreiber dieser zentralen Dienste prüfen diese Kriterien und entscheiden über die Zugriffsrechte. Eine einrichtungsunabhängige edu-ID hilft hier, die Entscheidungskriterien und den zugehörigen Prozess zu dokumentieren und erleichtert den Betreiber weitestgehend automatisierte Workflows. Der Zugriff für Wissenschaftler*Innen bleibt mit einer edu-ID erhalten, auch wenn sie die Einrichtung wechseln. Somit müssen die genannten Prozesse nicht immer wieder erneut durchlaufen werden. | ^ Beschreibung | Verschiedene einrichtungsunabhängige und zentrale Ressourcen in der Wissenschaftslandschaft wie Clouddienste, Rechenkapazitäten oder Fachinformationsdienste erfordern nicht nur eine Authentifizierung, sondern auch eine Autorisierung anhand bestimmter Kriterien, z.B. Zugehörigkeit zu einer Fachcommunity. Die Betreiber dieser zentralen Dienste prüfen diese Kriterien und entscheiden über die Zugriffsrechte. Eine einrichtungsunabhängige edu-ID hilft hier, die Entscheidungskriterien und den zugehörigen Prozess zu dokumentieren und erleichtert den Betreiber weitestgehend automatisierte Workflows. Der Zugriff für Wissenschaftler*Innen bleibt mit einer edu-ID erhalten, auch wenn sie die Einrichtung wechseln. Somit müssen die genannten Prozesse nicht immer wieder erneut durchlaufen werden. |
-^ Interop. internat. | -- +^ Interop. internat. | International (v.a. europäisch) sehr wünschenswert. Erreichbar durch Implementierung von SAML 
-^ LoA      | -- +^ LoA      | Bbhängig von der zentralen Ressource. Hoch, wenn z.B. Dienste abgerechnet werden müssen. Aktuelle Attribute erforderliche, keine wiederholte Verifikation. 
-^ Attribute | -- |+^ Attribute | Mandatory / Optionale Attribute abhängig von der zentralen Ressource. Notwendig sicher Affiliation/Einrichtung, ggf. Name, Kontaktdaten |
 ^ Bemerkungen | -- | ^ Bemerkungen | -- |
 \\ \\
Zeile 218: Zeile 211:
  
 ^ Beschreibung | Im Rahmen von Forschungskooperationen arbeiten Gruppen von Wissenschaftler*Innen in projektabhängigen und einrichtungsübergreifende Gruppen zusammen. Dabei sollen auch bestimmte Ressourcen (Dokumente, Services u.a.) gemeinsam genutzt werden. Unter Umständen sind dabei nicht alle beteiligten gleichberechtigt, sondern sollen mit unterschiedlichen Zugriffsrechten auf Ressourcen ausgestattet werden. Eine einrichtungsübergreifende edu-ID hilft hier bei der Erstellung solcher virtuellen Organisationen (VO) über Einrichtungsgrenzen hinweg und vereinfacht das zugehörige Berechtigungsmanagement auch in Hinblick auf die Einbindung VO-externe Dienste z.B. aus dem Bereich Forschungsdatenmanagement oder Fachinformationsdienste. | ^ Beschreibung | Im Rahmen von Forschungskooperationen arbeiten Gruppen von Wissenschaftler*Innen in projektabhängigen und einrichtungsübergreifende Gruppen zusammen. Dabei sollen auch bestimmte Ressourcen (Dokumente, Services u.a.) gemeinsam genutzt werden. Unter Umständen sind dabei nicht alle beteiligten gleichberechtigt, sondern sollen mit unterschiedlichen Zugriffsrechten auf Ressourcen ausgestattet werden. Eine einrichtungsübergreifende edu-ID hilft hier bei der Erstellung solcher virtuellen Organisationen (VO) über Einrichtungsgrenzen hinweg und vereinfacht das zugehörige Berechtigungsmanagement auch in Hinblick auf die Einbindung VO-externe Dienste z.B. aus dem Bereich Forschungsdatenmanagement oder Fachinformationsdienste. |
-^ Interop. internat. | -- +^ Interop. internat. | Wichtig, um bestmögliche Kooperationen zu ermöglichen. 
-^ LoA      | -- +^ LoA      | Hoch, um nur berechtigten Personen Zutritt zur VO zu gewähren. Wiederholte Verifikation wahrscheinlich nicht notwendig. 
-^ Attribute | -- |+^ Attribute | FIXME |
 ^ Bemerkungen | -- | ^ Bemerkungen | -- |
 \\ \\
Zeile 227: Zeile 220:
  
 ^ Beschreibung | In einigen Anwendungsfällen sollen auch Zugriffsrechte für Personen gewährt werden, welche als Privatperson agieren und keiner Heimateinrichtung angehören. Beispiel sind auch hier die Nationallizenzen, bei welchen ausdrücklich auch Zugriff für private Einzelnutzer*Innen (welche sich gesondert registrieren müssen) besteht oder auch Stadtnutzer*Innen bei Universitätsbibliothek, welche gleichzeitig Aufgabem als Stadt- und / oder Staatsbibliothek erfüllen (Beispiel aus der Schweiz wäre hier die swissbib mit [[http://www.swissbib.org/wiki/index.php?title=Private_User_Remote_Access_(Pura)|PURA]]). Eine einrichtungsunabhängige edu-ID hilft hier, Mehrfachregistrierungen zu vermeiden, schafft für Einzelnutzer ein echtes Single-Sign-On und kann für Anbieter die Registrierungsprozesse stark vereinfachen. Da dieser Use-Case allerdings ein wenig aus dem wissenschaftlichen Kontext der anderen Use-Cases herausfällt, sollte dieser ggf. noch gesondert juristisch betrachtet werden. | ^ Beschreibung | In einigen Anwendungsfällen sollen auch Zugriffsrechte für Personen gewährt werden, welche als Privatperson agieren und keiner Heimateinrichtung angehören. Beispiel sind auch hier die Nationallizenzen, bei welchen ausdrücklich auch Zugriff für private Einzelnutzer*Innen (welche sich gesondert registrieren müssen) besteht oder auch Stadtnutzer*Innen bei Universitätsbibliothek, welche gleichzeitig Aufgabem als Stadt- und / oder Staatsbibliothek erfüllen (Beispiel aus der Schweiz wäre hier die swissbib mit [[http://www.swissbib.org/wiki/index.php?title=Private_User_Remote_Access_(Pura)|PURA]]). Eine einrichtungsunabhängige edu-ID hilft hier, Mehrfachregistrierungen zu vermeiden, schafft für Einzelnutzer ein echtes Single-Sign-On und kann für Anbieter die Registrierungsprozesse stark vereinfachen. Da dieser Use-Case allerdings ein wenig aus dem wissenschaftlichen Kontext der anderen Use-Cases herausfällt, sollte dieser ggf. noch gesondert juristisch betrachtet werden. |
-^ Interop. internat. | -- +^ Interop. internat. | Nicht notwendig 
-^ LoA      | -- +^ LoA      | Niedrig. Wiederholte Verifikation notwendig, um Aktualität der Daten zu erhalten und Karteileichen zu verhindern. 
-^ Attribute | -- |+^ Attribute | Wahrscheinlich nur Entitlements (?) |
 ^ Bemerkungen | -- | ^ Bemerkungen | -- |
 \\ \\
Zeile 238: Zeile 231:
  
 ^ Beschreibung | Gremien wie Universitätsrat / Hochschulkuratorium, Akkreditierungsgremien etc. haben externe Mitglieder, welche nicht Angehörige der jeweiligen Universität sind. Dennoch müssen diese externen Mitglieder verwaltungstechnisch von der Universität behandelt werden. Ebenso verhält es sich bei Promotionsgutachter*Innen und externen Lehrbeauftragten. Auch hochschulübergreifende Gremien bestehend nur aus externen Mitgliedern sind denkbar (für die wiederum gemeinsame Services im Sinne einer [[de:aai:eduid:eduid_intern:zusammenfassung_ws_juli2019#use_casemanagement_virtueller_organisationen|virtuellen Organisation]] betrieben werden können). Eine einrichtungsunabhängige edu-ID vereinfacht die Verwaltungsvorgänge, indem die Grunddaten zu den Personen nicht immer neu erfasst werden müssen. Im optimalen Fall funktioniert dies perspektivisch sogar auf europäischer Ebene. | ^ Beschreibung | Gremien wie Universitätsrat / Hochschulkuratorium, Akkreditierungsgremien etc. haben externe Mitglieder, welche nicht Angehörige der jeweiligen Universität sind. Dennoch müssen diese externen Mitglieder verwaltungstechnisch von der Universität behandelt werden. Ebenso verhält es sich bei Promotionsgutachter*Innen und externen Lehrbeauftragten. Auch hochschulübergreifende Gremien bestehend nur aus externen Mitgliedern sind denkbar (für die wiederum gemeinsame Services im Sinne einer [[de:aai:eduid:eduid_intern:zusammenfassung_ws_juli2019#use_casemanagement_virtueller_organisationen|virtuellen Organisation]] betrieben werden können). Eine einrichtungsunabhängige edu-ID vereinfacht die Verwaltungsvorgänge, indem die Grunddaten zu den Personen nicht immer neu erfasst werden müssen. Im optimalen Fall funktioniert dies perspektivisch sogar auf europäischer Ebene. |
-^ Interop. internat. | -- +^ Interop. internat. | Eher unwichtig 
-^ LoA      | -+^ LoA      | • Person aus eigener Einrichtung: LoA sicher gestellt durch die Einrichtung selbst \\ • Personen einer Fremdeinrichtung / Föderation: LoA sicher gestellt durch die Heimateinrichtung \\ • Personen ohne Heimateinrichtung (z.B. Abgeordnete): LoA muss hoch sein und sicher gestellt werden im edu-ID System (nPA, eID, eIDAS, …)
-^ Attribute | -- |+^ Attribute | Mandatory / Optional Attributes: Namenund Kontakt-Attribute (E-Mail, Post, Telefon, …); Personen haben Eigeninteresse an Aktualität der Daten ⇒ nicht kritisch |
 ^ Bemerkungen | -- | ^ Bemerkungen | -- |
 \\ \\
Zeile 247: Zeile 240:
  
 ^ Beschreibung | Im gesamten Workflow der Personalgewinnung von der Bewerbung über ein Bewerberportal bis hin zum Onboarding neuer Mitarbeiter*Innen kann eine einrichtungsunabhängige edu-ID Prozesse an verschiedenen Stellen unterstützen; im Bewerbungsportal können Bewerbungen über die Authentifizierung via edu-ID durch die Bewerber*Innen autorisiert werden, was die Angriffsvektoren auf das Portal verringert. Besitzt ein*E neue*R Mitarbeiter*In bereits eine edu-ID, kann diese beim Onboarding verwendet werden. (Ist diese jedoch nicht vorhanden und muss erstmal durch die Einrichtung vergeben werden, führt dies auf der anderen Seite zu Mehraufwänden, ebenso wie die Migration der bestehenden Prozesse aufwändig sein kann. Dabei muss immer die Möglichkeit berücksichtigt werden, dass eine Person sich einer persönlichen edu-ID verweigert und deswegen nicht benachteiligt werden darf.) Ist der/die neue Mitarbeiter*In der Universität z.B. schon als Studierende*R bekannt, vereinfacht die edu-ID die Accountmigration bzw. das Accountmatching zwischen Studierenden- und Mitarbeiterdaten. | ^ Beschreibung | Im gesamten Workflow der Personalgewinnung von der Bewerbung über ein Bewerberportal bis hin zum Onboarding neuer Mitarbeiter*Innen kann eine einrichtungsunabhängige edu-ID Prozesse an verschiedenen Stellen unterstützen; im Bewerbungsportal können Bewerbungen über die Authentifizierung via edu-ID durch die Bewerber*Innen autorisiert werden, was die Angriffsvektoren auf das Portal verringert. Besitzt ein*E neue*R Mitarbeiter*In bereits eine edu-ID, kann diese beim Onboarding verwendet werden. (Ist diese jedoch nicht vorhanden und muss erstmal durch die Einrichtung vergeben werden, führt dies auf der anderen Seite zu Mehraufwänden, ebenso wie die Migration der bestehenden Prozesse aufwändig sein kann. Dabei muss immer die Möglichkeit berücksichtigt werden, dass eine Person sich einer persönlichen edu-ID verweigert und deswegen nicht benachteiligt werden darf.) Ist der/die neue Mitarbeiter*In der Universität z.B. schon als Studierende*R bekannt, vereinfacht die edu-ID die Accountmigration bzw. das Accountmatching zwischen Studierenden- und Mitarbeiterdaten. |
-^ Interop. internat. | -- | +^ Interop. internat. | • Denkbar bei Personen, die aus dem Ausland kommen. Dann wäre Zugriff auf die ausländischen Edu-IDs und dort gespeicherten Attribute nötig. Gilt umgekehrt auch für Personen mit deutscher edu-ID, die ins Ausland gehen \\ • Sinnvoll / hilfreich wäre dann auch, Änderungen an den Stammdaten, die hier durchgeführt werden, an das ausländische System weitergeben zu können.
-^ LoA      | -- +^ LoA      | Da es um Onboarding an der Einrichtung geht, muß das LoA hoch sein. ⇒ Keine Notwendigkeit für ein niedriges LoA. 
-^ Attribute | -- |+^ Attribute | andere IDs wie ORCID u.ä. (FIXME keine Adressdaten?|
 ^ Bemerkungen | -- | ^ Bemerkungen | -- |
 \\ \\
Zeile 256: Zeile 249:
  
 ^ Beschreibung | Existiert eine einrichtungsunabhängige edu-ID bereits vor dem Eintritt in das Studium, kann diese sowohl bei der Bewerbung für Bachelor- und später auch Masterstudiengänge sowie bei ggf. anschließender Immatrikulation genutzt werden und vereinfacht somit die Arbeitsvorgänge. | ^ Beschreibung | Existiert eine einrichtungsunabhängige edu-ID bereits vor dem Eintritt in das Studium, kann diese sowohl bei der Bewerbung für Bachelor- und später auch Masterstudiengänge sowie bei ggf. anschließender Immatrikulation genutzt werden und vereinfacht somit die Arbeitsvorgänge. |
-^ Interop. internat. | -- +^ Interop. internat. | wie UC 4.2 
-^ LoA      | -- +^ LoA      | wie UC 4.2 
-^ Attribute | -|+^ Attribute | Weitere IDs könnten z.B. die europäische Studierenden-ID sein. |
 ^ Bemerkungen | -- | ^ Bemerkungen | -- |
 \\ \\
Zeile 264: Zeile 257:
 === UC 4.4 Unterstützung der Dublettenerkennung === === UC 4.4 Unterstützung der Dublettenerkennung ===
 ^ Beschreibung | Jeder natürlichen Person soll nur eine edu-Id zugeordnet sein. Damit kann die edu-ID einen entscheidenden Beitrag leisten, Rechte sachgerecht zu vergeben, z.B. bei der Erstellung von Wahlverzeichnissen. | ^ Beschreibung | Jeder natürlichen Person soll nur eine edu-Id zugeordnet sein. Damit kann die edu-ID einen entscheidenden Beitrag leisten, Rechte sachgerecht zu vergeben, z.B. bei der Erstellung von Wahlverzeichnissen. |
-^ Interop. internat. | -+^ Interop. internat. | Ist in diesem Use-Case nicht anwendbar. 
-^ LoA      | -- +^ LoA      | n/a 
-^ Attribute | -- |+^ Attribute | n/a |
 ^ Bemerkungen | -- | ^ Bemerkungen | -- |
 +\\
 +
 +===== Verbesserungen durch eine edu-ID =====
 +
 +Allgemein werden folgende Verbesserungen durch die Einführung einer einrichtungsunabhängigen edu-ID erwartet:
 +
 +  * Der Datenaustausch zwischen verschiedenen Einrichtungen wird vereinheitlicht und somit erleichtert. So wird es z.B. leichter, den aktiven Status von Lernenden abzufragen.
 +  * Die Datenqualität wird durch sichere Dubletten-Erkennung verbessert ([[de:aai:eduid:eduid_intern:req_tec#t02|T02]])
 +  * Es entsteht eine Trustchain für Identität, welche auf vielen Quellen und nicht nur den Angaben aus einer Einrichtung basiert
 \\ \\
  
Zeile 332: Zeile 334:
   * Die Nutzung der edu-ID muss für Service-Anbieter auch außerhalb der Uni-Welt niederschwellig sein, so dass die edu-ID eine einfache Möglichkeit ist, ein personalisiertes Login zur Verfügung zu stellen. ([[de:aai:eduid:eduid_intern:req_tec#t14|T14]])   * Die Nutzung der edu-ID muss für Service-Anbieter auch außerhalb der Uni-Welt niederschwellig sein, so dass die edu-ID eine einfache Möglichkeit ist, ein personalisiertes Login zur Verfügung zu stellen. ([[de:aai:eduid:eduid_intern:req_tec#t14|T14]])
   * Attribute wie z.B. die eduPersonAffiliation (oder andere zur Berechtigungsvergabe verwendete Attribute) müssen auf mehr mögliche Werte erweitert werden, die für die Berechtigungen von diversen (sonstigen) Dienstleistungen genutzt werden können ([[de:aai:eduid:eduid_intern:req_org#o01|O01]])   * Attribute wie z.B. die eduPersonAffiliation (oder andere zur Berechtigungsvergabe verwendete Attribute) müssen auf mehr mögliche Werte erweitert werden, die für die Berechtigungen von diversen (sonstigen) Dienstleistungen genutzt werden können ([[de:aai:eduid:eduid_intern:req_org#o01|O01]])
-===== Verbesserungen durch eine edu-ID ===== 
- 
-Allgemein werden folgende Verbesserungen durch die Einführung einer einrichtungsunabhängigen edu-ID erwartet: 
- 
-  * Der Datenaustausch zwischen verschiedenen Einrichtungen wird vereinheitlicht und somit erleichtert. So wird es z.B. leichter, den aktiven Status von Lernenden abzufragen. 
-  * Die Datenqualität wird durch sichere Dubletten-Erkennung verbessert ([[de:aai:eduid:eduid_intern:req_tec#t02|T02]]) 
-  * Es entsteht eine Trustchain für Identität, welche auf vielen Quellen und nicht nur den Angaben aus einer Einrichtung basiert 
-===== Fragen zum Betrieb ===== 
- 
-Folgende Fragen wurden im Workshop aufgeworfen, konnten aber (noch) nicht beantwortet werden. Diese sollte jedoch in einem Lastenheft zur edu-ID berücksichtigt werden. 
- 
-=== Verhindern von Mehrfachbewerbungen === 
- 
-   * Kann sichergestellt werden, dass es nur eine edu-ID für eine Person gibt, z.B. wenn die Registrierung einmal mit Personalausweis und einmal mit Reisepass erfolgt?  
-   * Reichen die Kopfdaten (Vornamen, Nachnamen, Geburtsdatum, Geburtsort mit Geburtsland) oder wird zusätzlich der Wohnort / die Adresse zum Matching benötigt? Dann müssen Daten in Reisepässen außereuropäischer Regionen ggf. ebenfalls geprüft werden (Wohnort). 
- 
-=== Datenschutz === 
  
-    * Ist es überhaupt erlaubt, personenbezogene Daten zu speichern, wenn die Person keinen Hochschulbezug mehr hat? +===== Aus den bisherigen Ergebnissen gewonnene Einzelanforderungen an ein edu-ID System ===== 
-    Welche [[de:aai:eduid:eduid_intern:req_jur|rechtlichen Fragen]] ergeben sich beim  Speichern von personenbezogengen Daten auf zentralen edu-ID Servern? +  * [[de:aai:eduid:eduid_intern:req_tec|Technische Anforderungen]] 
-    Wie läuft die Freigabe von verschlüsselten Studienleistungen auf Hochschulservern durch Studierende ab? +  [[de:aai:eduid:eduid_intern:req_org|Organisatorische Anforderungen]] (Prozesse, Rollen, ...
-    * Welche Daten/Attribute müssen beim edu-ID-IdP gespeichert werden? Zu Berücksichtigenwenn z.BStudent*Innen auch nach der Exmatrikulation und dem Löschen des Uni-Accounts Zugriff auf die Prüfungsverwaltung haben sollen, muss entweder der edu-ID-IdP die lokale Matrikelnummer gespeichert haben oder das Prüfungssystem eine Identifizierung anhand der edu-ID zulassen. (Analog bei Lehrendenderen Lehrauftrag/Arbeitsvertrag schon ausgelaufen ist.+  * [[de:aai:eduid:eduid_intern:req_jur|Juristische Anforderungen]] (PoliciesDatenschutz, Verträge
-    * Versuchen wir hierein Prozessproblem (zu frühes Löschen der Identität im lokalen Systemdurch ein technisches Mittel zu lösen? Müssten hier nicht eher die Prozesse zur Exmatrikulation/Löschung angepasst werden?+Übergreifend: Betriebs-/InformationssicherheitBetriebs- und Kostenmodell (-> separate Dokumente, spätere Iteration)
  
  • Zuletzt geändert: vor 4 Jahren