Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:aai:eduid:ws_feb_2010 [2020/02/06 09:16] – [Agenda (im Aufbau)] Wolfgang Pempede:aai:eduid:ws_feb_2010 [2020/06/09 15:19] – [Notizen] Wolfgang Pempe
Zeile 1: Zeile 1:
 ~~NOTOC~~ ~~NOTOC~~
-====== Vorbereitung Workshop edu-ID Februar 2020 ======+====== Workshop edu-ID Februar 2020 ======
 (zurück zur [[de:aai:eduid:start|Übersicht]]) (zurück zur [[de:aai:eduid:start|Übersicht]])
 +
 +{{INLINETOC 2}}
 +===== Vorbereitung =====
   * Arbeitsgruppen zur Vorbereitung des Workshops    * Arbeitsgruppen zur Vorbereitung des Workshops 
   * Zeitplan:    * Zeitplan: 
Zeile 29: Zeile 32:
  
 Anmeldung: über das [[https://events.zki.de/frontend/index.php?folder_id=470&page_id=|ZKI-System]] Anmeldung: über das [[https://events.zki.de/frontend/index.php?folder_id=470&page_id=|ZKI-System]]
-===== Agenda (im Aufbau) =====+ 
 +Notizen: https://pad.gwdg.de/zbuILNDdRNmfgBV-wTKg1A# 
 + 
 +===== Agenda =====
   * Konsolidierung [[de:aai:eduid:architektur|Architektur]]   * Konsolidierung [[de:aai:eduid:architektur|Architektur]]
   * Berichte aus den Arbeitsgruppen   * Berichte aus den Arbeitsgruppen
-    * [[de:aai:eduid:ag1|AG WAYF/Discovery#zusammenfassung]]+    * [[de:aai:eduid:ag1#zusammenfassung|AG WAYF/Discovery]]
     * [[de:aai:eduid:ag2|AG Attribute]]     * [[de:aai:eduid:ag2|AG Attribute]]
     * [[de:aai:eduid:ag3|AG ID-Linking/Verknüpfungsverfahren]]     * [[de:aai:eduid:ag3|AG ID-Linking/Verknüpfungsverfahren]]
Zeile 39: Zeile 45:
     * [[de:aai:eduid:ag6|AG Zweiter Faktor]]     * [[de:aai:eduid:ag6|AG Zweiter Faktor]]
     * [[de:aai:eduid:ag7|AG Kooperation SWITCHaai]]     * [[de:aai:eduid:ag7|AG Kooperation SWITCHaai]]
-  * Konsolidierung Anforderungen+  * Konsolidierung [[de:aai:eduid:usecases|Use Cases/Anforderungen]]
     * Neue Anforderungen?     * Neue Anforderungen?
     * Szenarien, in denen Interoperabilität mit anderen edu-ID-Systemen erforderlich ist?     * Szenarien, in denen Interoperabilität mit anderen edu-ID-Systemen erforderlich ist?
Zeile 47: Zeile 53:
     * Dienstanbieter --> SP, Umstellung lokaler Daten (NameIDs, ID-Attribute), Discovery.      * Dienstanbieter --> SP, Umstellung lokaler Daten (NameIDs, ID-Attribute), Discovery. 
       * Siehe hierzu die [[https://www.switch.ch/edu-id/services/sp-notification/|SP Notification API von SWITCH]]        * Siehe hierzu die [[https://www.switch.ch/edu-id/services/sp-notification/|SP Notification API von SWITCH]] 
 +  * Themenkomplex Identity Management
 +    * Prozesse
 +    * Synchronisation, Provisionierung, Deprovisionierung
 +    * Änderungen/Anpassungen seitens der Heimateinrichtungen und Dienstanbieter
   * edu-ID und Vertrauen (--> [[de:aai:plus:aaiplus|AAIplus]])   * edu-ID und Vertrauen (--> [[de:aai:plus:aaiplus|AAIplus]])
 +  * Fragen an SWITCH?
   * Identifizierung und Dokumentation offener Punkte   * Identifizierung und Dokumentation offener Punkte
   * Nächste Schritte   * Nächste Schritte
  
 +===== Notizen =====
 +  * Konsolidierung Architektur
 +  * Berichte aus den Arbeitsgruppen
 +    * Identitätsprüfung
 +      * Pro Semester mit 500.000 Immatrikulationen zu rechnen
 +      * Online-Validierung (nPA, z.B. Ausweis-App) vs. Video-/Post-Ident?
 +      * Gültigkeitsdauer von Validierungen? An Gültigkeit des nPA koppeln (ggf.)
 +      * Datum der letzen Identitätsprüfung (hierfür existiert bereits ein Attribut)
 +      * Levels of Assurance
 +        * Onboarding-Szenarien: Qualität der Identitätsprüfung
 +        * Nutzung von Diensten: Assurance Level auf Attributebene
 +      * edu-ID startet mit eIDAS-kompatiblen eIDs (nPA, elektronischer Aufenthaltstitel)
 +      * Informationen sammeln bei UniAssist, Bundesdruckerei und anderen Dienstleistern einholen
 +      * Identitätsprüfung bei Anlegen eine edu-ID Accounts verpflichtend machen? (Use Cases checken)
 +      * Kosten, Finanzierung?
 +    * Zweiter Faktor
 +      * zentraler zweiter Faktor auch als politisches Argument
 +  * Konsolidierung Use Cases/Anforderungen
 +    * Neue Anforderungen?
 +    * Szenarien, in denen Interoperabilität mit anderen edu-ID-Systemen erforderlich ist?
 +  * Kern-Attribute?
 +  * Welche Use Cases erfordern welche LoAs?
 +  * Migrationsstrategien und technische Umsetzung derselben
 +    * Heimateinrichtungen –> IdP, IdM
 +    * User –> Verknüpfung Einrichtungsaccount mit edu-ID
 +    * Dienstanbieter –> SP, Umstellung lokaler Daten (NameIDs, ID-Attribute), Discovery. (Siehe hierzu die SP Notification API von SWITCH)
 +  * edu-ID und Vertrauen (–> AAIplus)
 +    * Klassifizierung von SWITCH übernehmen?
 +
 +**Fragen an SWITCH**
 +  * Schaubild Architektur Swiss edu-ID
 +  * ID-Migration: von (lokalem) IdP nach edu-ID-IdP
 +  * Gibt es Verlage, welche edu-ID unterstützen?
 +  * Erfahrung mit mehrerer E-Mail-Adressen zum Login
 +  * Downgrade der Assurance-Level nach einer gewissen Zeit je nach Anwendungsfall
 +  * ...
 +
 +**Antworten**
 +  * Schaubild
 +  * IdM Provisioning Service: Was macht der? Ist das die SCIM-Schnittstelle?
 +    * Benutzer-Kontext vs HE-Kontext, strikte Trennung der Kontexte und der Daten, die verarbeitet werden
 +    * Über den IdM Provisioning Service können HEs ihre Daten an edu-ID liefern
 +  * Gibt es Überschneidungen zw. Daten von Benutzer und Daten der HEs?
 +    * Ja, Name, Vorname bspw. Eventuell durch verschiedene Schreibweisen etc. voneinander abweichend
 +    * HE behält immer komplette Kontrolle über Affiliation-Daten, Benutzer immer Kontrolle über seine eigenen Daten
 +    * Benutzer kann die Daten der HE übernehmen, damit wird auch LoA übernommen
 +    * Benutzer kann Daten der HE auch wieder mit eigenen Daten überschreiben, dann geht LoA wieder runter
 +    * über den Affiliation-Chooser wird das Attribut-Set genommen, welches von der Einrichtung geliefert wurde
 +    * Gibt es mehrere Affiliations, dann wird ein aggregiertes MultiValusSet geliefert (Extended Model): Affiliations, Unique-IDs, E-Mail-Adressen - aber derzeit noch Probleme bei der Backchannel-Übertragung (Consent), eventuell Zusicherung des SP, nur bestimmte Daten abzufragen
 +    * Unterschiedliche Transkriptionsmöglichkeiten des Namens: Interessant im Hinblick auf Dubletten-Erkennung. Insgesamt kommt das häufig vor, im frz. Bereich bspw. NAME, Vorname. Nicht allerdings im deutschen Teil, dort Name, Vorname. Dann auch russische Namen, chinesische Namen. Hochschulen vergeben zum Teil Pseudonyme. Wird derzeit noch akzeptiert. Problemfall portugiesische und spanische PN-Schemata/-Konventionen...
 +    * Dubletten-Erkennung: Versuch nur einer edu-ID pro Person. Daten vom Benutzer und Daten der Einrichtung. Im Idealfall edu-ID für Person im Anbahnungprozess, hat schon präferierte Schreibweise mitgeteilt, dann Meldung der HE, ggf. mit anderer Schreibweise. Wird akzeptiert, entsprechende Informationen bleiben hinterlegt und können abgefragt werden.
 +    * In Kontexten, in denen Affiliation-Daten benötigt werden, werden auch nur diese übertragen. Der User-Kontext bleibt außen vor. 
 +    * Identitäten ohne Affiliations sind zulässig, SPs entscheiden während des Registrierungsprozesses bei Swiss edu-ID, ob diese ungesicherten Daten akzeptiert werden 
 +  * Migration:
 +    * Welches Protokoll nutzt die SP Notification?
 +      * Vermutlich kann es nicht SAML-Kontext sein, sondern was eigenes, aber CG fragt nochmal nach.
 +    * Migration von Identifiern: Schön wäre ein Mechanismus, der bestehende pairwise-Identifiers vom lokalen IdP auf edu-ID-pairwise-Identifier mappen oder anderweitig nutzerfreundlich durchgeführt werden kann
 +      * Anwendungsfall war Namensänderung von Einrichtungen, wodurch sich die erzeugten targeted IDs geändert haben. Alle SPs sind kontaktiert wurden, dass sich zu einem Stichtag die IDs ändern würden, SPs haben diese Änderung nachgezogen (Mapping-Listen)
 +      * IdPs machen Export der Daten, edu-ID macht Import der Daten. edu-ID erzeugt eigene IDs und schickt das Mapping an die SPs 
 +  * edu-ID-Linking
 +      * Kann nutzergesteuert durchgeführt werden:
 +      * Login bei edu-ID
 +      * Login bei HE
 +      * "Und Bingo!"
 +  * Verlage
 +    * Gibt es Bestrebungen ggüber Verlagen auf edu-ID umzusteigen?
 +        * entityID dient zur Autorisierung ==> kein Bedarf
 +        * edu-ID übernimmt entityID von HE-IdP -> transparent für Verlage
 +    * Benutzer hat mehrere Affiliations, wie bekommt er Zugriff auf alle Inhalte, die zu allen Affiliations gehören?
 +        * SPs können das derzeit nicht auswerten... 
 +        * Benutzer bekommt Affiliation-Chooser angeboten, wählt eine Affiliation aus, diese wird an den SP übermittelt. Damit wählt der Benutzer selbst das Lizenzmodell. Benutzer muss selbst entscheiden, in welchem Kontext er unterwegs sein will.
 +    * Es gibt SPs, die Affiliations akkumulieren können -> derzeit mehrere Logins bei den entsprechenden HE-IdPs erforderlich (leider noch Ausnahmen) z.B. Springer-Link
 +        * Eventuell will man die Kontexte gar nicht an den SP weiter geben.
 +        * Antwort von Swiss edu-ID: Dann nehmt doch das extended Model! Dann könnt Ihr von den mehreren Affiliations profitieren.
 +    * Einzelauswahl von Attributen zum Consent nicht umgesetzt, um die Nutzenden nicht mit Einzelentscheidungen zu überfordern
 +  * Mehrere Mail-Adressen
 +    * Bei der Registrierung werden mehrere Mail-Adressen zugelassen, wobei eine private Adresse präferiert wird. Eine Anmeldung mit jeder Adresse und edu-ID-Passwort ist möglich?
 +        * Richtig.
 +        * Bei der Bewerbung auf einen Studienplatz hat man ja noch keine HE-Mail-Adresse, also nimmt man eine private.
 +    * Bleibt die private Mail-Adresse vorhanden und kann sie ggf. aktualisiert werden? Oder kann die private Adresse weggeworfen werden?
 +        * Private Adresse könnte weggeworfen werden. Private Adresse im Benutzer-Kontext. Angenommen, HE-Kontext fällt weg, hat der edu-ID Eintrag dann keine Mail-Adresse hinterlegt -> Support-Fall.
 +            * Eventuell sollten wir über die Metadaten der IDPs die Maildomains einsammeln und diese in der privaten Mail verbieten
 +                * Da stehen nicht alle möglichen Domains der HEs drin..., ja aber besser als nichts.
 +        * "Ja, aber das war mal meine Adresse!!" - "Kannst Du uns das nachweisen?" - Falls ja, wird Adresse wieder eingetragen.
 +        * Solange man sich am edu-ID Portal noch anmelden kann, kann eine beliebige Adresse (neu) hinterlegt werden.
 +        * Vorteil: Man kann sich mit jeder Adresse anmelden. Nachteil: Das Gefühl für eine "Identität" geht verloren. Fraglich, ob SWITCH diese Entscheidung so noch einmal treffen würde.
 +        * Aktuelle Überlegung, einen edu-ID Benutzernamen zusätzlich, ggf. optional einzuführen. Es gibt Anwendungsfälle für einen _Name_@edu-id.ch Identifier.
 +  * Assurance-Level
 +    * Werden Daten nach Ausscheiden aus HE aufgehoben?
 +        * Aktuell nicht, die Überlegung, das LoA nach einer gewissen Zeit herabzusetzen ist da.
 +        * "Uns gibt es noch nicht so lange, wir haben noch etwas Zeit."
 +        * Aber es muss früher oder später angegangen werden.
 +        * Wird eine Affiliation gelöscht, wird sie in eine "former Affiliation" überführt, werden diverse Daten (ID, diverses Anderes) aufgehoben
 +            * Idendifikatoren, keine Namen!
 +        * "Von Zeitpunkt A bis Zeitpunkt B gab es diese Affiliation" wird hinterlegt - kann das an SPs übermittelt werden?
 +            * Ist so angedacht, aber bisher noch kein Anwendungsfall. Sobald Anwendungsfälle aufkommen, können die Daten übermittelt werden. Wie und was genau, 
 +        * Affiliation-ID wird aufgehoben, um ggf. zu einem späteren Zeitpunkt die Verknüpfung wieder herzustellen.
 +  * Kooperationsszenarien zwischen Swiss edu-ID und d-edu-ID
 +    * Wäre es eine Überlegung, Swiss edu-ID und edu-ID miteinander zu verknüpfen, um sich gegenseitig Zugriff auf Ressourcen zu ermöglichen?
 +        * Swiss edu-ID ist komplett kompatibel zu alter AAI und zu eduGAIN, damit funktionieren alle bisherigen Systeme weiter.
 +        * Eventuell Onboarding-Prozesse unterstützen..?
 +        * Keine fertige Antwort in der Schweiz.
 +        * Als Fallback eine Swiss edu-ID, aber viel lieber eine nationale ID aus dem jeweiligen (Schweizer) Ausland.
 +        * Aber sehr gerne!
 +**Mitnehmen:**
 +  * In welchem Kontext taucht ein SP auf? (Welcher SP spricht mit welchen IdP?)
 +    * Vorbelegung des Affiliations-Choosers?
 +
 +**AAIplus**
 +  * LoA in SWITCH edu-ID: https://www.switch.ch/edu-id/services/attributes/quality-levels/
 +
 +\\
 +
 +===Vorbereitung des nächsten Workshops===
 +**Erneute Betrachtung der Use-Cases Hinsichtlich der Fragen:**
 +(DQ = Datenqualität)
 +  * Interoperabilität der (edu-)IDs / Länderübergreifende Mobilität
 +    * Betrachten hinsichtlich Notwendig? Denkbar? Falls ja, wie?
 +  * Notwendigkeit von verschiedenen Levels of Assurance (nicht nur DQ sondern auch Alter / Aktualität des Datums)
 +    * _Unter der Annahme_ eines Benutzer- und eines Affiliationskontexts: Gibt es eine Notwendigkeit, einen Anwendungsfall, ... für eine niedrigere Verlässlichkeit?
 +    * Mögliche Alternative: Kerndatensatzkontext (sauber verifiziert über eIDAS / nPA / eID), Affiliationkontext, Benutzerkontext
 +  * Mandatory / Optional Attributes
 +    * Ergeben sich aus den Attributanforderungen der jeweiligen Use-Cases
 +    * Für UseCases evaluieren, ob DQ (LoA _und_ Alter) eine erneute Überprüfung / Validierung obsolet machen
 +
 +[[de:aai:eduid:useCases|Zur Übersicht der gesammelten Use Cases]].
 +
 +**UC1 Student-Life-Cycle (Kümmerer: Michael B., Thomas)** \\
 +UC1.1 Studienplatzbewerbung
 +  * Denkbar, zB bei länderübergreifenden Studiengängen (bei Bewerbung? oder erst bei Immatrikulation?)
 +  * Verpflichtend verlässliche Datenqualität (DQ) - falls keine hohe DQ erreichbar, muss Onboarding über nicht-edu-ID Verfahren durchgeführt werden - Mindestanforderung an Validierung ist Klasse Substantiell aus [EU-VO 910/2014](https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX:32014R0910)
 +  * Titel?, Namensvor- und -zusätze, Name, Vorname, Geb-Datum, Geb-Ort, Geb-Land?, Geb-Name?, Geschlecht?, Nationalitäten, Postanschrift, Meldeanschrift, private E-Mail-Adresse, private Tel-Nummer, bevorzugte Sprache? (de/en)
 +--> Nachfragen bei Bundesdruckerei: Weitere Staatsangehörigkeiten; Geb-Land
 +
 +UC1.2 Immatrikulation
 +  * Weitere Attribute im Vergleich zu Bewerbung: weitere Staatsangehörigkeit
 +--> Wie aktuell müssen die Daten sein? Muss nochmal über den edu-ID verifiziert werden?
 +
 +UC1.3 Abschlussarbeit / Staatsexamen \\
 +UC1.4 Referendariat \\
 +UC1.5 (Bewerbung) Promotion \\
 +UC1.6 Hochschul-Externe \\
 +
 +**UC2 Lehre (Kümmerer: DT Steffen + Wolfgang)** \\
 +UC2.1 Lernmanagementsystemen \\
 +UC2.2 Temporäre Konten \\
 +UC2.3 Nutzung von eduroam für weitere Dienste \\
 +UC2.4 Weiterbildungsveranstaltungen \\
 +UC2.5 Lehrerbildung \\
 +
 +**UC3 Forschung (Kümmerer: Gerrit, Ramon)** \\
 +UC3.1 Zugang zu Publikationsservern \\
 +UC3.2 Forschungsdatenmanagement - Verknüpfung von Identitäten und Publikationen \\
 +UC3.3 Verbindung zu anderen Identifikatoren / IDs \\
 +UC3.4 Kollaborative Dokumenterstellung \\
 +UC3.5 Researcher Mobility \\
 +UC3.6 Zugriff auf Nationallizenzen \\
 +UC3.7 Services von nationalen Bibliotheken / Informationseinrichtungen \\
 +UC3.8 Zugriff auf zentrale Ressourcen \\
 +UC3.9 Management virtueller Organisationen \\
 +UC3.10 Homeless Nutzer*innen \\
 +
 +**UC4 Verwaltung (Kümmerer: Thorsten, Petra)** \\
 +UC4.1 Mitgliedschaften in universitären Gremien \\
 +UC4.2 Personalgewinnung \\ 
 +UC4.3 Bewerbungen auf Studiengänge \\ 
 +UC4.4 Unterstützung der Dublettenerkennung \\
 +
 +**Offene Fragen zur Diskussion**
 +  * Welche Daten werden im edu-Id-IdM gespeichert?
 +    * müssen User-Daten im Gegensatz zum SWITCH-Modell in Echtzeit beim Heimat-IdP/IdM abgerufen werden? Falls ja, via Atribute Query oder über andere, zuverlässigere Mechanismen?
 +  * Wie läuft die Datendeprovisionierung ab?
 +  * Generieren wir einen eigenen Benutzernamen für die edu-Id? (Vgl. Christoph Grafs Bermerkung, wie schön es wäre, wenn es für die edu-Id einen eigenen Identifier @eduid.ch gäbe.)
 +
 +**Namensvorschläge für die edu-Id**
 +  * German edu-ID
 +  * Not-Swiss edu-ID
 +  * DE edu-ID oder DE-edu-ID oder DE.edu-ID
 +  * Allgemeine akademische ID - AAI
 +  * Akademische ID für Alle - AIDA
 +  * (Highly Obscure and Likely Yunique) German Research and Academic Invariant Longliving ID - (HOLY) GRAIL ID
 +  * Identifier für Wissenschaft und Forschung - IWF
 +  * Generische ID im akademischen Umfeld - GIdAU
 +  * Identifier for Education - Id-Edu / IfE
 +  * Deutsche Edu-ID - DEI
 +  * Universeller Nationaler Identifier - UNI
 +  * Akademischer Identifier - AKID
 +  * Mobilitäts-Fördernde ID - MoFö ID
 +  * Jedem eine Deutschland Id - JEDI
 +  * Alternativ: Yeah! Eine Deutschland-ID - YEDI
 +  * Wissenschaftlich-Akademische Neue-Dienste Austausch ID - WANDA ID
 +  * Neue Einheitliche Wissenschafts ID - NEW ID
 +  * Bildungs-ID - BILD ID
 +  * Bildungs- und Forschungs-ID - BuFID
 +  * Bildung und Forschung fördernde ID - Buffi
 +  * Permanenter einfacher mobiler persönlicher Eintrag
 +  * Super Einfache Neue Föderation - SENF  
 +  * Verdienter Identifier des Volkes - VIVo
 +  * Verdienter Identifier des Volkes in akademischen Netzwerken - VIVIAN
 +  * Personal Identifier in Reasearch and Academic Networks across Home Affiliations - PIRANHA
 +  * Singular Personal Identifier for Collaboration in Academia - SPICA (dt Kornähre, jede Nähe zu Shibboleth ist rein zufällig)
 +  * Cross-Affiliation Life-Long Identifier OPerating in Education - CALLIOPE (Die "oberste" Muse und Muse der Wissenschaft)
 +
 +Die verwaltende Organisation nennt sich dann
 +  * Cross-Home-Organizational Personal Identifier Network - CHOPIN
 +
 +**TODOs**
 +  * Postionierung des Projekts über DFN-Vorstand abklären (Wolfgang)
 +  * Mit Onboarding-Anbietern reden: Kontakt herstellen zu: Uni-Assist (Steffen)
 +  * Bundesdruckerei/D-Trust (Steffen)  
 +  * AK Campus-Management Mitstreiter (Thorsten, Frank)
 +
 +**[[de:aai:eduid:ws_apr_2020|Nächstes Treffen]]** \\
 +<del>Ende April, zwei Tage, Mittag bis Mittag, Montag 27. bis Mittwoch 29. April 2020, Ort: Bamberg (Danke Frank!)</del>
 +
 +**Fragen Bundesdruckerei**
 +  * Ausweis
 +    * Geburtsland?
 +    * zweite Nationialität? 
  • Zuletzt geändert: vor 4 Jahren