Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:degrees_of_reliance [2017/07/06 12:17] – angelegt Wolfgang Pempe | de:degrees_of_reliance [2017/07/06 13:38] – Wolfgang Pempe | ||
---|---|---|---|
Zeile 7: | Zeile 7: | ||
So wird unter anderem die Grundlage geschaffen, dass die Anbieter von Ressourcen und die nutzenden Einrichtungen in einer für sie jeweils adäquaten Klasse der Verlässlichkeit zusammenfinden. | So wird unter anderem die Grundlage geschaffen, dass die Anbieter von Ressourcen und die nutzenden Einrichtungen in einer für sie jeweils adäquaten Klasse der Verlässlichkeit zusammenfinden. | ||
- | **Beachten Sie bitte, dass Zuordnung zu einer Verlässlichkeitsklasse nicht notwendigerweise das gesamte Identity Management einer Einrichtung betrifft. Es muss lediglich sichergestellt werden, dass sich nur die Identitäten bei einer Ressource anmelden können, die mindestens die Anforderungen der von der Ressource geforderten Verlässlichkeitsklasse erfüllen** (bei einer Ressource in DFN-AAI-Advanced also nur Identitäten, | + | **Beachten Sie bitte, dass Zuordnung zu einer Verlässlichkeitsklasse nicht notwendigerweise das gesamte Identity Management einer Einrichtung betrifft. Es muss lediglich sichergestellt werden, dass sich nur die Identitäten bei einer Ressource anmelden können, die mindestens die Anforderungen der von der Ressource geforderten Verlässlichkeitsklasse erfüllen** (bei einer Ressource in DFN-AAI-Advanced also nur Identitäten, |
+ | |||
+ | ===== 2 Mindestanforderungen der verschiedenen Klassen ===== | ||
+ | Neben den Aspekten einer vertrauenswürdigen Kommunikation der beteiligten Serversysteme, | ||
+ | * **I:** das Verfahren, mit dem die nutzende Einrichtung die Identität ihrer Nutzer feststellt, | ||
+ | * **A:** das Verfahren, mit dem sich ein Nutzer vor dem Zugriff auf eine Ressource ausweist und | ||
+ | * **D:** die Datenhaltung und die Prozesse, mit denen die nutzende Einrichtung die digitalen Identitäten ihrer Angehörigen pflegt. | ||
+ | |||
+ | Die nachfolgenden Tabellen legen jeweils die Mindestanforderungen pro Klasse fest. Das bedeutet, dass Verfahren, die für eine höhere Stufe als Mindestanforderung definiert sind, ebenso auch für die niedrigeren Stufen zulässig sind. | ||
+ | |||
+ | ==== 2.1 Verfahren zur Identifizierung durch die nutzende Einrichtung (I) ==== | ||
+ | Die nutzende Einrichtung muss ihren Nutzern eindeutige digitale Identitäten zuordnen. Dabei muss sie feststellen, | ||
+ | ^ Klasse | ||
+ | ^ Test | Verfahren freigestellt | In dieser Klasse ist es der nutzenden Einrichtung freigestellt, | ||
+ | ^ Basic | Identifizierung anhand | ||
+ | ^Advanced | Identifizierung durch das persönliche Vorsprechen gegenüber einer Vertrauensinstanz mit einem amtlichen Dokument zur Identitätsfeststellung. Die an den Hochschulen etablierten Einschreibungs- und Einstellungsprozesse werden als gleichwertig akzeptiert. | Mit diesem Verfahren kann eine Identität zweifelsfrei sichergestellt werden. (Beispiele: Immatrikulation von Studierenden unter Vorlage der Hochschulberechtigung, | ||
+ | |||
+ | ==== 2.2 Verfahren zum Ausweis einer Identität (A) ==== | ||
+ | Die Nutzer müssen sich vor dem Zugriff auf eine Ressource mit einem vorgegebenen Verfahren gegenüber ihrem Identity Management System (IdM) ausweisen. Hierbei sind im Rahmen der DFN-AAI mehrere Verfahren möglich. | ||
+ | ^ Klasse | ||
+ | ^ Test | Verfahren freigestellt | In dieser Klasse ist es der nutzenden Einrichtung freigestellt, welche Verfahren sie zum Ausweis der Identität ihrer Angehörigen bereitstellt. Diese Klasse ist ausschließlich für Testzwecke vorgesehen. | | ||
+ | ^ Basic | Ausweisen anhand einer eindeutig zuzuordnenden digitalen Adresse. | Dieses Verfahren erlaubt eine einfache Prüfung, | ||
+ | ^ Advanced | Ausweis anhand eines personalisierten Accounts mit einer Nutzerkennung und einem Passwort oder digitalem Zertifikat, die im Rahmen einer ausreichend sicheren Vergaberichtlinie ausgestellt wurden. | Mit diesem Verfahren kann sich eine Identität zweifelsfrei ausweisen, sofern bei der Ausstellung der personalisierten Accounts ausreichend sichere Vergaberichtlinien eingehalten werden. Dies ist z.B. für digitale Zertifikate der DFN-PKI " |