Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:aai:eduid:vc_2020-08-18 [2020/08/19 14:36] – [Diskussion] Wolfgang Pempede:aai:eduid:vc_2020-08-18 [2020/08/21 14:00] Wolfgang Pempe
Zeile 41: Zeile 41:
 ===== Diskussion ===== ===== Diskussion =====
 (Rohdaten: [[https://pad.gwdg.de/mXLxVJrNQmSHyKdBliTxXg|Pad]]) (Rohdaten: [[https://pad.gwdg.de/mXLxVJrNQmSHyKdBliTxXg|Pad]])
 +
 +\\
  
 ===Offene Fragen (s.o.)=== ===Offene Fragen (s.o.)===
   * Weitere Staatsbürgerschaften in nPA?   * Weitere Staatsbürgerschaften in nPA?
   * -> Nein, siehe Informationen aus dem [[https://www.personalausweisportal.de/SharedDocs/FAQs/DE/Fragen-und-Antworten/Welche_Daten-sind-auf-dem-Ausweis-gespeichert-und.html#:~:text=Patientenverf%C3%BCgungen%20abgespeichert%20werden%3F-,Welche%20Daten%20sind%20auf%20dem%20Ausweis%20gespeichert%20und%20wie,werden%2C%20welche%20Daten%20%C3%BCbertragen%20werden%3F&text=Diese%20Daten%20sind%20standardm%C3%A4%C3%9Fig%20im,Familienname%20und%20Vornamen|Personalausweisportal]]. Auch per Ausweisapp nicht auslesbar.   * -> Nein, siehe Informationen aus dem [[https://www.personalausweisportal.de/SharedDocs/FAQs/DE/Fragen-und-Antworten/Welche_Daten-sind-auf-dem-Ausweis-gespeichert-und.html#:~:text=Patientenverf%C3%BCgungen%20abgespeichert%20werden%3F-,Welche%20Daten%20sind%20auf%20dem%20Ausweis%20gespeichert%20und%20wie,werden%2C%20welche%20Daten%20%C3%BCbertragen%20werden%3F&text=Diese%20Daten%20sind%20standardm%C3%A4%C3%9Fig%20im,Familienname%20und%20Vornamen|Personalausweisportal]]. Auch per Ausweisapp nicht auslesbar.
 +
 +===Kernattribute und Datenmodell===
 +(-> [[de:aai:eduid:attributes|Wiki-Seite]])
 +
 +Orientierung an Datenmodell der SWITCH edu-ID (Standard vs. Extended Data Model)?
 +
 +Definition Datenmodell:
 +  * Ganz grundsätzliche Datenstruktur?
 +  * Generell Architektur des Systems?
 +
 +Prinzipiell ist Unterteilung in verschiedene Kontexte, wie von der SWITCH vorgemacht, eine gute Grundlage für unsere Architektur.
 +
 +**Brainstorming Kerndatensatz:**
 +Zentrale Frage: Was ist mit "Kerndatensatz" gemeint? \\
 +-> Die Menge der Pflichtfelder
 +
 +Welches sind die Pflichtfelder? Im Grunde die Attribute aus [[de:aai:eduid:usecases#uc_1_student_lifecycle|UC 1]]:
 +  * Name
 +  * Geb-Name
 +  * Vorname
 +  * Geb-Datum
 +  * Geb-Ort
 +  * Geschlecht
 +  * Staatsangehörigkeit(en)
 +  * Postanschrift
 +  * Meldeanschrift
 +  * private E-Mail-Adresse
 +  * private Tel-Nummer
 +
 +Welche Daten sind über eIDAS-kompatible Systeme verfügbar?
 +
 +[[http://mapping.semic.eu/vdm/about/html/http%3A%2F%2Fmapping.semic.eu%2Fvdm%2Fid%2Fcv%2Feb004434a93bbeaa2ba5968d26af06be|eIDAS Mindestdatensatz]]:
 +  * A uniqueness identifier
 +  * Address
 +  * Current address
 +  * Current family name
 +  * Current first name(s)
 +  * Date of birth
 +  * Gender
 +  * Name and family name at Birth
 +  * Place of birth
 +Beschluss [[de:aai:eduid:ws_feb_2010#notizen|Workshop Kaiserslautern]]:
 +  * "edu-ID startet mit eIDAS-kompatiblen eIDs (nPA, elektronischer Aufenthaltstitel)"
 +Offene Punkte:
 +  * Ist der Kerndatensatz äquivalent zum eIDAS Mindestdatensatz? Nein, es ist der Konrad(r) (Kern- Oder Nennenswert Richtige, Andere Daten).
 +  * Wollen wir an frühestmöglicher Stelle einen Abgleich der Daten mit einem eID System herstellen? (Ja)
 +  * Woher kommen die Daten?
 +  * Verknüpfung mit anderen Identifiern
 +
 +=== Verlässlichkeit von Attributwerten ===
 +(-> [[de:aai:eduid:loa|Wiki-Seite]])
 +
 +Die Anwendung weiß selbst, welches Mindest-LoA sie hat und weist ggf. den Nutzer an, seine Daten zu verifizieren.
 +
 +Möglicher Workflow:
 +
 +Anwendung sagt "Gib mir die Attribute mit deren LoA"
 +  * IdP hat die Attribute nicht in der LoA, also wird nichts übermittelt.
 +    * SP weiß nicht, ob IdP im Fehlerzustand ist oder ob die Daten nicht vorhanden sind oder ob LoA nicht passt
 +  * IdP liefert die Attribute aus, zusammen mit der jeweiligen LoA-Auszeichnung
 +    * SP muss selbst entscheiden, ob das mitgelieferte LoA ausreicht und ggf. den Benutzer auffordern, nachzubessern (-> Validierung)
 +
 +=== Mechanismus zur Datenhaltung und zur -synchronisation===
 +Zu Grunde liegende Frage (siehe auch unter [[de:aai:eduid:open_questions#vc_23_juni_2020|Offene Fragen]]):
 +  * Liegen die Daten allein bei der Heimateinrichtung und werden live on demand vom edu-ID System abgefragt oder
 +  * Werden die Daten bei Änderung an der Heimateinrichtung Richtung edu-ID gepusht, sodass sie dort offline liegen
 +  * Werden die Daten regelmäßig von Heimateinrichtung gepulled, sodass sie bei edu-ID offline liegen
 +
 +=== Datendeprovisionierung ===
 +Regelmäßige Mail an hinterlegte E-Mail-Adresse zur Sicherstellung, ob die Adresse noch funktioniert. Falls sie nicht funktioniert, ggf Fallback-Mechanismen zur weiteren Prüfung und anschließend möglicherweise Anstoßen der Deprovisionierung.
 +
 +=== Weitere Themen ===
 +Wie kommt der Nutzer zu einer edu-ID?
 +  * NICHT ohne Zutun des Nutzers
 +  * Nutzer muss selbst einen edu-ID Account anlegen
 +  * Verknüpfung mit Hochschul-ID und -Daten über zwei Wege:
 +    * Ausgehend von der eduID -> Anmeldung am lokalen IdP, eduID-System erhält Identität der Einrichtung
 +      * Übertragen der edu-ID an lokales System
 +      * Abfragen von edu-ID IdP
 +    * Ausgehend von Einrichtung -> edu-ID landet im lokalen IDM
 +      * Anschließende Synchronisation der Daten mit edu-ID System (SCIM, Attribute Query [AQ])
 +  * Workflow muss den Nutzer ganz eindeutig darauf lotsen, dass er sich keine weitere ID anlegt ("Haben Sie bereits eine ID? Klicken Sie hier...")
 +
 +Durch bestehenden edu-ID Account ist es egal, ob der Nutzer an verschiedenen Stellen mit verschiedenen Datensätzen gemeldet wird; die unterschiedlichen Daten werden in den jeweiligen Affiliation Contexts abgelegt.
 +
 +Identity Matching muss möglich sein, falls ein Nutzer sich über welche Wege auch immer mehrere edu-IDs besorgt hat. In solch einem Fall muss auch Identitätserkennung über unterschiedliche Identifikatoren (unterschiedliche Namenseinsetzung bspw.) möglich sein.
  
  
-==== Themen für die weitere Arbeit ====+===== Themen für die weitere Arbeit =====
   * [[de:aai:eduid:loa|Levels of Assurance]] spezifizieren (kontrolliertes Vokabular, Profile?)   * [[de:aai:eduid:loa|Levels of Assurance]] spezifizieren (kontrolliertes Vokabular, Profile?)
   * Übersicht über mögliche [[de:aai:eduid:stuff#identifier-systeme|zu verknüpfende Identifier-Systeme]]   * Übersicht über mögliche [[de:aai:eduid:stuff#identifier-systeme|zu verknüpfende Identifier-Systeme]]
Zeile 64: Zeile 152:
   * Haben sich durch die Nachbetrachtung der Use Cases und die weiteren Diskussionen weitere [[de:aai:eduid:usecases#anforderungen|Anforderungen]] ergeben? (alle)   * Haben sich durch die Nachbetrachtung der Use Cases und die weiteren Diskussionen weitere [[de:aai:eduid:usecases#anforderungen|Anforderungen]] ergeben? (alle)
   * Bei Gelegenheit(tm) [[https://doku.tid.dfn.de/de:aai:eduid:uc_low_prio|Use Cases niedrigerer Priorität (UCLP)]] mit den MUST-UCs konsolidieren, d.h. prüfen, ob die Anforderungen, die sich aus dem jeweiligen UCLP ergeben, bereits über einen der [[de:aai:eduid:usecases|MUST-UC]] abgedeckt sind (alle)   * Bei Gelegenheit(tm) [[https://doku.tid.dfn.de/de:aai:eduid:uc_low_prio|Use Cases niedrigerer Priorität (UCLP)]] mit den MUST-UCs konsolidieren, d.h. prüfen, ob die Anforderungen, die sich aus dem jeweiligen UCLP ergeben, bereits über einen der [[de:aai:eduid:usecases|MUST-UC]] abgedeckt sind (alle)
 +  * UC 2.3 Nutzung von eduroam für weitere Dienste -> Nachfrage außerhalb der VC-Treffen (Wolfgang)
   * Kreuzmatrix zu den Anforderungen (Ramon)   * Kreuzmatrix zu den Anforderungen (Ramon)
   * Kreuzmatrix genutzte Attribute vs. Use Case (Ramon)   * Kreuzmatrix genutzte Attribute vs. Use Case (Ramon)
   * Abgleich Mindestdatensatz eIDAS vs Attribut-Kreuzmatrix (n.n.)   * Abgleich Mindestdatensatz eIDAS vs Attribut-Kreuzmatrix (n.n.)
   * Beschreibung, wie aus technischer Sicht SP-/dienstseitig eine LoA-Evaluierung erfolgen kann (Wolfgang)   * Beschreibung, wie aus technischer Sicht SP-/dienstseitig eine LoA-Evaluierung erfolgen kann (Wolfgang)
  • Zuletzt geändert: vor 4 Jahren