Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:aai:eduid:vc_2020-10-13 [2020/10/09 16:11] – Wolfgang Pempe | de:aai:eduid:vc_2020-10-13 [2020/11/25 16:57] – Wolfgang Pempe |
---|
===== Agenda ===== | ===== Agenda ===== |
| |
* Offene Aktionen (siehe unten) | * Hausaufgaben und offene Aktionen (siehe unten) |
| * Weiteres Vorgehen |
| * Nächster Termin |
| * Sonstiges |
| |
Pad für Notizen: [[https://pad.gwdg.de/mXLxVJrNQmSHyKdBliTxXg?both|https://pad.gwdg.de/mXLxVJrNQmSHyKdBliTxXg?both]] | Pad für Notizen: [[https://pad.gwdg.de/mXLxVJrNQmSHyKdBliTxXg?both|https://pad.gwdg.de/mXLxVJrNQmSHyKdBliTxXg?both]] |
* Haben sich durch die Nachbetrachtung der Use Cases und die weiteren Diskussionen weitere [[:de:aai:eduid:usecases#anforderungen|Anforderungen]] ergeben? (alle) | * Haben sich durch die Nachbetrachtung der Use Cases und die weiteren Diskussionen weitere [[:de:aai:eduid:usecases#anforderungen|Anforderungen]] ergeben? (alle) |
* Bei Gelegenheit™ [[https://doku.tid.dfn.de/de:aai:eduid:uc_low_prio|Use Cases niedrigerer Priorität (UCLP)]] mit den MUST-UCs konsolidieren, d.h. prüfen, ob die Anforderungen, die sich aus dem jeweiligen UCLP ergeben, bereits über einen der [[:de:aai:eduid:usecases|MUST-UC]] abgedeckt sind (alle) | * Bei Gelegenheit™ [[https://doku.tid.dfn.de/de:aai:eduid:uc_low_prio|Use Cases niedrigerer Priorität (UCLP)]] mit den MUST-UCs konsolidieren, d.h. prüfen, ob die Anforderungen, die sich aus dem jeweiligen UCLP ergeben, bereits über einen der [[:de:aai:eduid:usecases|MUST-UC]] abgedeckt sind (alle) |
| * Abgleich [[http://mapping.semic.eu/vdm/about/html/http%3A%2F%2Fmapping.semic.eu%2Fvdm%2Fid%2Fcv%2Feb004434a93bbeaa2ba5968d26af06be|Mindestdatensatz eIDAS]] vs. {{:de:aai:eduid:kreuzmatrix_attribute_-_use_cases.pdf|Attribute-Kreuzmatrix}} |
| |
===== Offene Aktionen ===== | ===== Hausaufgaben und offene Aktionen ===== |
| |
**[[:de:aai:eduid:vc_2020-06-23|VC am 23.6.2020]]** | **[[:de:aai:eduid:vc_2020-06-23|VC am 23.6.2020]]** |
* Dokumentenablage, Projektmanagement, Richtung GitLab oder Vergleichbar → Wolfgang | * Dokumentenablage, Projektmanagement, Richtung GitLab oder Vergleichbar → Wolfgang |
| * Eigene Nextcloud-Instanz: betreffender Kollege aktuell im Urlaub, leider noch nicht ganz klar, wann die Installation kommt |
| * Ansonsten gerne den Wiki-Upload benutzen |
| * Notfalls per Mail an AAI-Kolleg*innen, die kümmern sich um den Upload |
* Erstellen von Wiki-Seiten unter [[:de:aai:eduid:stuff#identifier-systeme|Materialien]] zu den jeweiligen anderen Identifiern in Kleingruppen, zudem kleine Einschätzung abgibt (Relevanz, Möglichkeiten und UseCases für Account Linking) | * Erstellen von Wiki-Seiten unter [[:de:aai:eduid:stuff#identifier-systeme|Materialien]] zu den jeweiligen anderen Identifiern in Kleingruppen, zudem kleine Einschätzung abgibt (Relevanz, Möglichkeiten und UseCases für Account Linking) |
* [[:de:aai:eduid:myacademicid|MyAcademicID / StudentCard ID]] | * [[:de:aai:eduid:myacademicid|MyAcademicID / StudentCard ID]] |
* Detlef | * Detlef |
* Jürgen nach dem 21.7. | * Jürgen nach dem 21.7. |
| * Seiten für OZG und eID/eIDAS können zusammengelegt werden |
| |
**[[:de:aai:eduid:vc_2020-08-18|VC am 18.8.2020]]** | **[[:de:aai:eduid:vc_2020-08-18|VC am 18.8.2020]]** |
* [[:de:aai:eduid:usecases#uc_23_nutzung_von_eduroam_fuer_weitere_dienste|UC 2.3 Nutzung von eduroam für weitere Dienste]] → Nachfrage außerhalb der VC-Treffen (Wolfgang) | * [[:de:aai:eduid:usecases#uc_23_nutzung_von_eduroam_fuer_weitere_dienste|UC 2.3 Nutzung von eduroam für weitere Dienste]] → Nachfrage außerhalb der VC-Treffen (Wolfgang) |
| * Im Wiki ausgearbeitet |
| * Etwas unsicher, was genau mit diesem UC gemeint ist - wie spielt eduroam hinein? Als Delegation eduID - eduroam - Heimateinrichtung? |
| * Wenn man als Externer Nutzer von Einrichtung A an Einrichtung B kommt, kann man sich zwar per eduRoam anmelden, aber kommt dann in einen Netzbereicht der Einrichtung A, kann damit also die Dienste im Netzbereich von Einrichtung B nicht nutzen (zB Druckdienste). Über eine Anmeldung per eduID könnte man eine IP-Adresse aus dem Netzbereich von Einrichtung B erhalten und damit die dort verfügbaren Dienste nutzen |
| * Notwendig dafür natürlich ein entsprechendes Attribut aus Einrichtung A, das mich zur Nutzung von Diensten der Einrichtung B berechtigt |
| * Nachfrage bei Kollegen von SWITCH, wie der UC dort abgebildet ist / wird. Ggf. anschließend UC 2.3 neu bewerten (Wichtig / Später / Fallen lassen). |
* {{:de:aai:eduid:kreuzmatrix_anforderungen_-_use_cases.pdf|Kreuzmatrix}} zu den Anforderungen (Ramon) | * {{:de:aai:eduid:kreuzmatrix_anforderungen_-_use_cases.pdf|Kreuzmatrix}} zu den Anforderungen (Ramon) |
* {{:de:aai:eduid:kreuzmatrix_attribute_-_use_cases.pdf|Kreuzmatrix}} genutzte Attribute vs. Use Case (Ramon) | * {{:de:aai:eduid:kreuzmatrix_attribute_-_use_cases.pdf|Kreuzmatrix}} genutzte Attribute vs. Use Case (Ramon) |
* Abgleich Mindestdatensatz eIDAS vs Attribut-Kreuzmatrix (n.n.) | * Abgleich [[http://mapping.semic.eu/vdm/about/html/http%3A%2F%2Fmapping.semic.eu%2Fvdm%2Fid%2Fcv%2Feb004434a93bbeaa2ba5968d26af06be|Mindestdatensatz eIDAS]] vs Attribut-Kreuzmatrix (n.n.) |
| * Haben sich durch die Nachbetrachtung der Use Cases und die weiteren Diskussionen weitere [[:de:aai:eduid:usecases#anforderungen|Anforderungen]] ergeben? (alle) |
| * Bei Gelegenheit™ [[https://doku.tid.dfn.de/de:aai:eduid:uc_low_prio|Use Cases niedrigerer Priorität (UCLP)]] mit den MUST-UCs konsolidieren, d.h. prüfen, ob die Anforderungen, die sich aus dem jeweiligen UCLP ergeben, bereits über einen der [[:de:aai:eduid:usecases|MUST-UC]] abgedeckt sind (alle) |
| * Abgleich [[http://mapping.semic.eu/vdm/about/html/http%3A%2F%2Fmapping.semic.eu%2Fvdm%2Fid%2Fcv%2Feb004434a93bbeaa2ba5968d26af06be|Mindestdatensatz eIDAS]] vs. {{:de:aai:eduid:kreuzmatrix_attribute_-_use_cases.pdf|Attribute-Kreuzmatrix}} |
* Beschreibung, wie aus technischer Sicht SP-/dienstseitig eine LoA-Evaluierung erfolgen kann (Wolfgang) \\ Verfahren kann sich an [[https://wiki.geant.org/display/eduGAIN/How+to+configure+Shibboleth+SP+attribute+checker|diesem Beispiel aus dem eduGAIN-Wiki]] orientieren | * Beschreibung, wie aus technischer Sicht SP-/dienstseitig eine LoA-Evaluierung erfolgen kann (Wolfgang) \\ Verfahren kann sich an [[https://wiki.geant.org/display/eduGAIN/How+to+configure+Shibboleth+SP+attribute+checker|diesem Beispiel aus dem eduGAIN-Wiki]] orientieren |
| |
===== Themen für die weitere Arbeit ===== | ===== Diskussion ===== |
| * Zu den Kreuzmatrizen: |
| * T1, T6-T8 technische Anforderungen, die sich nicht direkt aus den Use Cases ergeben, sondern den Betrieb betreffen |
| * In vielen Use Cases Rückverweis auf UC1.1, eventuell in übrigen UCs prüfen, ob tatsächlich das gesamte Set aus UC1.1 benötigt wird oder ob weitere Attribute benötigt werden. |
| * Name, Vorname: Statt aufzuteilen in einzelne Felder ist die Hauptsache, dass man den gesamten Namen erhält |
| * Da die Werte jederzeit(?) aus eIDAS kommen, können wir die Werte 1:1 von dort übernehmen; auf welche eduID-internen Attribute wird das anschließend gemapped |
| * Nur Vor- und Nachname (evtl wie in eIDAS definiert) und genau so an die Zielsysteme ausgeben; diese müssen sich dann damit auseinander setzen, wie sie die Daten auseinander nehmen |
| * Exkurs: Was ist bspw. mit einem französischen Studierenden, der nach Deutschland kommt und Nationallizenzen nutzen will. Der deutsche Wohnsitz ist im eIDAS-Kontext nicht verfügbar. In dem Fall muss der Nutzer die Adresse in seinem User-Context (-> niedrige LoA) angeben und der Dienst muss entsprechend seine Verifizierungsprozesse anschieben. |
| * Genauso, wenn //gar keine// Adresse übermittelt wird (weil im eIDAS Kontext nicht verfügbar) |
| * "Im Rahmen des Notifizierungsverfahrens legt ein Land den Umfang des 'eigenen' Mindestdatensatzes fest" ([[https://www.personalausweisportal.de/SharedDocs/Downloads/DE/Leitfaden_eIDAS_Verordnung.pdf|Quelle]]) |
| * [[https://ec.europa.eu/cefdigital/wiki/download/attachments/82773108/eIDAS%20SAML%20Attribute%20Profile%20v1.2%20Final.pdf?version=2&modificationDate=1571068651772&api=v2|eidas SAML Attribute Profil]] |
| * Kurzer Ausflug zum Datenschutz: Einwilligung des Nutzers für die self-sovereign (?) Datennutzung |
| * Übersicht zur eID: https://ec.europa.eu/cefdigital/wiki/display/EIDCOMMUNITY/Cooperation+Network+Resources |
| * Bei Nachbetrachtung der Use Cases: Keine weiteren Anforderungen gefunden. |
| * UseCases mit niedriger Priorität: |
| * Proxy-Szenarien (Stichwort: Lizenzmanagement): Als technische Brücke oder Hilfe für Firmen, die nicht in eine AAI-Föderation können oder wollen. Zentrales Lizenzmanagement wird sich i.a. eher schwierig darstellen, da das Sache der einzelnen Hochschulen ist. Dazu muss edu-ID in der Lage sein, Entitlements flexibel zu speichern (siehe Skizze von Switch mit Affiliations): technisch einfachst in eduPersonEntitlement, anspruchsvoller in eigenen Attributen ("local attributes"). |
| * [[de:aai:eduid:loa|LoA-Info als Attribut]]: SWITCH-Lösung: https://www.switch.ch/edu-id/services/attributes/quality-levels/ |
| |
| ===== Themen für die weitere Arbeit ===== |
| Liste aus der [[:de:aai:eduid:vc_2020-08-18#themen_fuer_die_weitere_arbeit|vorherigen VC]]: |
* [[:de:aai:eduid:loa|Levels of Assurance]] spezifizieren (kontrolliertes Vokabular, Profile?) | * [[:de:aai:eduid:loa|Levels of Assurance]] spezifizieren (kontrolliertes Vokabular, Profile?) |
* Übersicht über mögliche [[:de:aai:eduid:stuff#identifier-systeme|zu verknüpfende Identifier-Systeme]] | * Übersicht über mögliche [[:de:aai:eduid:stuff#identifier-systeme|zu verknüpfende Identifier-Systeme]] |
* Sicheres Verknüpfen eines zweiten Faktors mit einen Account | * Sicheres Verknüpfen eines zweiten Faktors mit einen Account |
* Sicherheit des Ausrollen des zweiten Faktors. Bei Selbstregistrierung besteht die Gefahr, dass der Account bereits kompromittiert ist… | * Sicherheit des Ausrollen des zweiten Faktors. Bei Selbstregistrierung besteht die Gefahr, dass der Account bereits kompromittiert ist… |
* Identity-Management-System notwendig | Betriebskonzept? Arbeitsgruppe(n)? |
* System von SWITCH nachnutzen und erweitern? | |
* Evaluierung sonstiger verfügbarer Systeme | |
| |