| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| de:aai:eduid:vc_2020-10-13 [2020/11/25 16:49] – [Hausaufgaben und offene Aktionen] Wolfgang Pempe | de:aai:eduid:vc_2020-10-13 [2020/11/25 17:05] (aktuell) – Wolfgang Pempe |
|---|
| * {{:de:aai:eduid:kreuzmatrix_anforderungen_-_use_cases.pdf|Kreuzmatrix}} zu den Anforderungen (Ramon) | * {{:de:aai:eduid:kreuzmatrix_anforderungen_-_use_cases.pdf|Kreuzmatrix}} zu den Anforderungen (Ramon) |
| * {{:de:aai:eduid:kreuzmatrix_attribute_-_use_cases.pdf|Kreuzmatrix}} genutzte Attribute vs. Use Case (Ramon) | * {{:de:aai:eduid:kreuzmatrix_attribute_-_use_cases.pdf|Kreuzmatrix}} genutzte Attribute vs. Use Case (Ramon) |
| | * Abgleich [[http://mapping.semic.eu/vdm/about/html/http%3A%2F%2Fmapping.semic.eu%2Fvdm%2Fid%2Fcv%2Feb004434a93bbeaa2ba5968d26af06be|Mindestdatensatz eIDAS]] vs Attribut-Kreuzmatrix (n.n.) |
| | * Haben sich durch die Nachbetrachtung der Use Cases und die weiteren Diskussionen weitere [[:de:aai:eduid:usecases#anforderungen|Anforderungen]] ergeben? (alle) |
| | * Bei Gelegenheit™ [[https://doku.tid.dfn.de/de:aai:eduid:uc_low_prio|Use Cases niedrigerer Priorität (UCLP)]] mit den MUST-UCs konsolidieren, d.h. prüfen, ob die Anforderungen, die sich aus dem jeweiligen UCLP ergeben, bereits über einen der [[:de:aai:eduid:usecases|MUST-UC]] abgedeckt sind (alle) |
| | * Abgleich [[http://mapping.semic.eu/vdm/about/html/http%3A%2F%2Fmapping.semic.eu%2Fvdm%2Fid%2Fcv%2Feb004434a93bbeaa2ba5968d26af06be|Mindestdatensatz eIDAS]] vs. {{:de:aai:eduid:kreuzmatrix_attribute_-_use_cases.pdf|Attribute-Kreuzmatrix}} |
| | * Beschreibung, wie aus technischer Sicht SP-/dienstseitig eine LoA-Evaluierung erfolgen kann (Wolfgang) \\ Verfahren kann sich an [[https://wiki.geant.org/display/eduGAIN/How+to+configure+Shibboleth+SP+attribute+checker|diesem Beispiel aus dem eduGAIN-Wiki]] orientieren |
| | |
| | ===== Diskussion ===== |
| | * Zu den Kreuzmatrizen: |
| * T1, T6-T8 technische Anforderungen, die sich nicht direkt aus den Use Cases ergeben, sondern den Betrieb betreffen | * T1, T6-T8 technische Anforderungen, die sich nicht direkt aus den Use Cases ergeben, sondern den Betrieb betreffen |
| * In vielen Use Cases Rückverweis auf UC1.1, eventuell in übrigen UCs prüfen, ob tatsächlich das gesamte Set aus UC1.1 benötigt wird oder ob weitere Attribute benötigt werden. | * In vielen Use Cases Rückverweis auf UC1.1, eventuell in übrigen UCs prüfen, ob tatsächlich das gesamte Set aus UC1.1 benötigt wird oder ob weitere Attribute benötigt werden. |
| * Nur Vor- und Nachname (evtl wie in eIDAS definiert) und genau so an die Zielsysteme ausgeben; diese müssen sich dann damit auseinander setzen, wie sie die Daten auseinander nehmen | * Nur Vor- und Nachname (evtl wie in eIDAS definiert) und genau so an die Zielsysteme ausgeben; diese müssen sich dann damit auseinander setzen, wie sie die Daten auseinander nehmen |
| * Exkurs: Was ist bspw. mit einem französischen Studierenden, der nach Deutschland kommt und Nationallizenzen nutzen will. Der deutsche Wohnsitz ist im eIDAS-Kontext nicht verfügbar. In dem Fall muss der Nutzer die Adresse in seinem User-Context (-> niedrige LoA) angeben und der Dienst muss entsprechend seine Verifizierungsprozesse anschieben. | * Exkurs: Was ist bspw. mit einem französischen Studierenden, der nach Deutschland kommt und Nationallizenzen nutzen will. Der deutsche Wohnsitz ist im eIDAS-Kontext nicht verfügbar. In dem Fall muss der Nutzer die Adresse in seinem User-Context (-> niedrige LoA) angeben und der Dienst muss entsprechend seine Verifizierungsprozesse anschieben. |
| * Genauso, wenn _gar keine_ Adresse übermittelt wird (weil im eIDAS Kontext nicht verfügbar) | * Genauso, wenn //gar keine// Adresse übermittelt wird (weil im eIDAS Kontext nicht verfügbar) |
| * "Im Rahmen des Notifizierungsverfahrens legt ein Land den Umfang des 'eigenen' Mindestdatensatzes fest" ([[https://www.personalausweisportal.de/SharedDocs/Downloads/DE/Leitfaden_eIDAS_Verordnung.pdf|Quelle]]) | * "Im Rahmen des Notifizierungsverfahrens legt ein Land den Umfang des 'eigenen' Mindestdatensatzes fest" ([[https://www.personalausweisportal.de/SharedDocs/Downloads/DE/Leitfaden_eIDAS_Verordnung.pdf|Quelle]]) |
| * [[https://ec.europa.eu/cefdigital/wiki/download/attachments/82773108/eIDAS%20SAML%20Attribute%20Profile%20v1.2%20Final.pdf?version=2&modificationDate=1571068651772&api=v2|eidas SAML Attribute Profil]] | * [[https://ec.europa.eu/cefdigital/wiki/download/attachments/82773108/eIDAS%20SAML%20Attribute%20Profile%20v1.2%20Final.pdf?version=2&modificationDate=1571068651772&api=v2|eidas SAML Attribute Profil]] |
| * Abgleich [[http://mapping.semic.eu/vdm/about/html/http%3A%2F%2Fmapping.semic.eu%2Fvdm%2Fid%2Fcv%2Feb004434a93bbeaa2ba5968d26af06be|Mindestdatensatz eIDAS]] vs Attribut-Kreuzmatrix (n.n.) | * Kurzer Ausflug zum Datenschutz: Einwilligung des Nutzers für die self-sovereign (?) Datennutzung |
| * Haben sich durch die Nachbetrachtung der Use Cases und die weiteren Diskussionen weitere [[:de:aai:eduid:usecases#anforderungen|Anforderungen]] ergeben? (alle) | * Übersicht zur eID: https://ec.europa.eu/cefdigital/wiki/display/EIDCOMMUNITY/Cooperation+Network+Resources |
| * Bei Gelegenheit™ [[https://doku.tid.dfn.de/de:aai:eduid:uc_low_prio|Use Cases niedrigerer Priorität (UCLP)]] mit den MUST-UCs konsolidieren, d.h. prüfen, ob die Anforderungen, die sich aus dem jeweiligen UCLP ergeben, bereits über einen der [[:de:aai:eduid:usecases|MUST-UC]] abgedeckt sind (alle) | * Bei Nachbetrachtung der Use Cases: Keine weiteren Anforderungen gefunden. |
| * Abgleich [[http://mapping.semic.eu/vdm/about/html/http%3A%2F%2Fmapping.semic.eu%2Fvdm%2Fid%2Fcv%2Feb004434a93bbeaa2ba5968d26af06be|Mindestdatensatz eIDAS]] vs. {{:de:aai:eduid:kreuzmatrix_attribute_-_use_cases.pdf|Attribute-Kreuzmatrix}} | * UseCases mit niedriger Priorität: |
| * Beschreibung, wie aus technischer Sicht SP-/dienstseitig eine LoA-Evaluierung erfolgen kann (Wolfgang) \\ Verfahren kann sich an [[https://wiki.geant.org/display/eduGAIN/How+to+configure+Shibboleth+SP+attribute+checker|diesem Beispiel aus dem eduGAIN-Wiki]] orientieren | * Proxy-Szenarien (Stichwort: Lizenzmanagement): Als technische Brücke oder Hilfe für Firmen, die nicht in eine AAI-Föderation können oder wollen. Zentrales Lizenzmanagement wird sich i.a. eher schwierig darstellen, da das Sache der einzelnen Hochschulen ist. Dazu muss edu-ID in der Lage sein, Entitlements flexibel zu speichern (siehe Skizze von Switch mit Affiliations): technisch einfachst in eduPersonEntitlement, anspruchsvoller in eigenen Attributen ("local attributes"). |
| | * [[de:aai:eduid:loa|LoA-Info als Attribut]]: SWITCH-Lösung: https://www.switch.ch/edu-id/services/attributes/quality-levels/ |
| |
| ===== Diskussion ===== | ===== Weiteres Vorgehen ===== |
| | * Immer wieder kleinere Diskussionen, die das große Ganze (the greater Good(TM)) aus den Augen verlieren |
| | * Deshalb Einsetzen von kleineren Arbeitsgruppen? |
| | * Vorher Treffen in einem "Plenum", um den Rest des Treffens zu planen, anschließend breakout sessions, anschließend wieder zusammensetzen und Ergebnisse besprechen |
| | |
| | ===== Nächster Termin ===== |
| | * [[de:aai:eduid:vc_2020-11-27|27.11. 9:00 bis 13:00 Uhr]] |
| | * Vorläufige Agenda: |
| | * Konsolidierung [[de:aai:eduid:attributes|Attributsatz]] |
| | * [[de:aai:eduid:loa|Levels of Assurance]] |
| | * Arbeit in zwei Gruppen |
| |
| | ===== Fragen an SWITCH ===== |
| | * Wie ist (unser) UC 2.3 umgesetzt? |
| | * Wie ist der Stand von SLSP (Swiss Library Service Platform) und Anbindung an eduID? |
| | * Umgang mit "local attributes" / Entitlements für spezielle Dienste, z.B. im Proxy-Szenario. Wie technisch / organisatorisch gelöst? |
| |
| ===== Themen für die weitere Arbeit ===== | ===== Themen für die weitere Arbeit ===== |
| * Sicheres Verknüpfen eines zweiten Faktors mit einen Account | * Sicheres Verknüpfen eines zweiten Faktors mit einen Account |
| * Sicherheit des Ausrollen des zweiten Faktors. Bei Selbstregistrierung besteht die Gefahr, dass der Account bereits kompromittiert ist… | * Sicherheit des Ausrollen des zweiten Faktors. Bei Selbstregistrierung besteht die Gefahr, dass der Account bereits kompromittiert ist… |
| Betriebskonzept? Arbeitsgruppe(n)? | * Betriebskonzept? Arbeitsgruppe(n)? |