Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:degrees_of_reliance [2017/07/06 13:44] – Wolfgang Pempe | de:degrees_of_reliance [2021/12/15 16:17] – Wolfgang Pempe | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== | + | ====== |
- | ===== 1 Einleitung ===== | + | |
- | Anbieter haben unterschiedliche Schutzbedürfnisse für ihre Ressourcen und damit unterschiedliche Anforderungen an die Verlässlichkeit der Authentifizierung innerhalb der DFN-AAI. Dazu kommt dass auf Seite der nutzenden Einrichtungen unterschiedliche Verfahren zur Identifizierung, | + | |
- | Aus diesen Gründen | + | <callout type=" |
+ | Im Laufe des Jahres 2022 werden die unten beschriebenen Verlässlichkeitsklassen in der DFN-AAI | ||
+ | </ | ||
- | So wird unter anderem die Grundlage geschaffen, dass die Anbieter | + | Anbieter |
- | **Beachten Sie bitte, dass Zuordnung zu einer Verlässlichkeitsklasse nicht notwendigerweise das gesamte Identity Management einer Einrichtung betrifft. Es muss lediglich sichergestellt werden, dass sich nur die Identitäten bei einer Ressource anmelden können, die mindestens die Anforderungen der von der Ressource geforderten Verlässlichkeitsklasse erfüllen** (bei einer Ressource in DFN-AAI-Advanced | + | Aus diesen Gründen wurden mehrere Klassen der DFN-AAI definiert: DFN-AAI Test (nur für Testzwecke), DFN-AAI |
- | ===== 2 Mindestanforderungen der verschiedenen Klassen ===== | + | So wird die Grundlage dafür geschaffen, dass die Anbieter von Ressourcen |
- | Neben den Aspekten einer vertrauenswürdigen Kommunikation der beteiligten Serversysteme, | + | |
- | * **I:** das Verfahren, mit dem die nutzende Einrichtung die Identität ihrer Nutzer feststellt, | + | |
- | * **A:** das Verfahren, mit dem sich ein Nutzer vor dem Zugriff auf eine Ressource ausweist | + | |
- | * **D: | + | |
- | Die nachfolgenden Tabellen legen jeweils die Mindestanforderungen pro Klasse fest. Das bedeutet, dass Verfahren, die für eine höhere Stufe als Mindestanforderung definiert sind, ebenso auch für die niedrigeren Stufen zulässig sind. | + | <callout color="# |
+ | Beachten Sie bitte, dass die Zuordnung zu einer Verlässlichkeitsklasse nicht notwendigerweise das gesamte Identity Management einer Einrichtung betrifft. Es muss lediglich sichergestellt werden, dass sich nur die Identitäten bei einer Ressource anmelden können, die mindestens die Anforderungen der von der Ressource geforderten Verlässlichkeitsklasse erfüllen. Bei einer Ressource in DFN-AAI-Advanced dürfen sich also nur Identitäten anmelden, die die Anforderungen der Verlässlichkeitsklasse Advanced erfüllen. | ||
+ | </ | ||
+ | |||
+ | ===== Mindestanforderungen der verschiedenen Klassen ===== | ||
+ | Die Verlässlichkeit bei der Authentifizierung wird anhand folgender Kriterien bestimmt: | ||
+ | |||
+ | - **I:** das Verfahren, mit dem die Heimateinrichtung die Identität ihrer Nutzer*innen feststellt, | ||
+ | - **A:** das Verfahren, mit dem sich Nutzer*innen vor dem Zugriff auf eine Ressource ausweisen und | ||
+ | - **D:** die Datenhaltung und die Prozesse, mit denen die Heimateinrichtung die digitalen Identitäten ihrer Angehörigen pflegt. | ||
+ | |||
+ | Zusätzlich wird die vertrauenswürdige Kommunikation der beteiligten Serversysteme durch die digitale Zertifizierung der beteiligten Server gewährleistet. | ||
+ | |||
+ | Die nachfolgenden Tabellen legen jeweils die **Mindestanforderungen** pro Klasse fest. Das bedeutet, dass Verfahren, die für eine höhere Stufe als Mindestanforderung definiert sind, ebenso auch für die niedrigeren Stufen zulässig sind. | ||
+ | |||
+ | ==== Verfahren zur Identifizierung durch die nutzende Einrichtung (I) ==== | ||
+ | <callout color="# | ||
+ | Die Kriterien beziehen sich stets auf die Verfahren zur Erstellung digitaler Identitäten beim Onboarding (Immatrikulation, | ||
+ | </ | ||
+ | |||
+ | Die nutzende Einrichtung muss ihren Nutzer*innen eindeutige digitale Identitäten zuordnen. Dabei muss sie feststellen, | ||
- | ==== 2.1 Verfahren zur Identifizierung durch die nutzende Einrichtung (I) ==== | ||
- | Die nutzende Einrichtung muss ihren Nutzern eindeutige digitale Identitäten zuordnen. Dabei muss sie feststellen, | ||
^ Klasse | ^ Klasse | ||
- | ^ Test | Verfahren freigestellt | In dieser Klasse ist es der nutzenden Einrichtung | + | ^ Test | Verfahren freigestellt | In dieser Klasse ist es der Heimateinrichtung |
- | ^ Basic | Identifizierung anhand der Rückantwort von einer eindeutigen Adresse (z.B. eMail-Adresse, | + | ^ Basic | Identifizierung anhand der Rückantwort von einer eindeutigen Adresse (z.B. eMail-Adresse, |
- | ^Advanced | Identifizierung durch das persönliche Vorsprechen gegenüber einer Vertrauensinstanz mit einem amtlichen Dokument zur Identitätsfeststellung. Die an den Hochschulen etablierten Einschreibungs- und Einstellungsprozesse werden als gleichwertig akzeptiert. | Mit diesem Verfahren kann eine Identität zweifelsfrei sichergestellt werden. (Beispiele: Immatrikulation von Studierenden unter Vorlage der Hochschulberechtigung, Personalausweis, | + | ^Advanced | Identifizierung durch das persönliche Vorsprechen gegenüber einer Vertrauensinstanz mit einem amtlichen Dokument zur Identitätsfeststellung. Die an den Hochschulen etablierten Einschreibungs- und Einstellungsprozesse werden als gleichwertig akzeptiert. | Mit diesem Verfahren kann eine Identität zweifelsfrei sichergestellt werden. (Beispiele: Immatrikulation von Studierenden unter Vorlage der Hochschulzugangsberechtigung, Personalausweis, |
- | ==== 2.2 Verfahren zum Ausweis einer Identität (A) ==== | + | ==== Verfahren zum Ausweis einer Identität (A) ==== |
- | Die Nutzer müssen sich vor dem Zugriff auf eine Ressource mit einem vorgegebenen Verfahren gegenüber ihrem Identity Management System (IdM) ausweisen. Hierbei sind im Rahmen der DFN-AAI mehrere Verfahren möglich. | + | Die Nutzer*innen |
^ Klasse | ^ Klasse | ||
- | ^ Test | Verfahren freigestellt | In dieser Klasse ist es der nutzenden Einrichtung | + | ^ Test | Verfahren freigestellt | In dieser Klasse ist es der Heimateinrichtung |
- | ^ Basic | Ausweisen anhand einer eindeutig zuzuordnenden digitalen Adresse. | Dieses Verfahren erlaubt eine einfache Prüfung, die voraussichtlich für eine Menge von Ressourcen ausreichend ist. Bei dieser Prüfung bleibt | + | ^ Basic | Ausweisen anhand einer eindeutig zuzuordnenden digitalen Adresse. | Dieses Verfahren erlaubt eine einfache Prüfung, die voraussichtlich für eine Menge von Ressourcen ausreichend ist. Bei dieser Prüfung bleibt offen, ob sich hinter einer ausgewiesenen Adresse tatsächlich die vermutete Identität verbirgt. | |
^ Advanced | Ausweis anhand eines personalisierten Accounts mit einer Nutzerkennung und einem Passwort oder digitalem Zertifikat, die im Rahmen einer ausreichend sicheren Vergaberichtlinie ausgestellt wurden. | Mit diesem Verfahren kann sich eine Identität zweifelsfrei ausweisen, sofern bei der Ausstellung der personalisierten Accounts ausreichend sichere Vergaberichtlinien eingehalten werden. Dies ist z.B. für digitale Zertifikate der DFN-PKI " | ^ Advanced | Ausweis anhand eines personalisierten Accounts mit einer Nutzerkennung und einem Passwort oder digitalem Zertifikat, die im Rahmen einer ausreichend sicheren Vergaberichtlinie ausgestellt wurden. | Mit diesem Verfahren kann sich eine Identität zweifelsfrei ausweisen, sofern bei der Ausstellung der personalisierten Accounts ausreichend sichere Vergaberichtlinien eingehalten werden. Dies ist z.B. für digitale Zertifikate der DFN-PKI " | ||
- | ==== 2.3 Datenhaltung und Prozesse zur Pflege der Identitäten (D) ==== | + | ==== Datenhaltung und Prozesse zur Pflege der Identitäten (D) ==== |
- | Die nutzende Einrichtung | + | Die Heimateinrichtung |
^ Klasse ^ Mindestanforderung ^ Bemerkung ^ | ^ Klasse ^ Mindestanforderung ^ Bemerkung ^ | ||
^ Test | Verfahren freigestellt | In dieser Klasse ist es der nutzenden Einrichtung freigestellt, | ^ Test | Verfahren freigestellt | In dieser Klasse ist es der nutzenden Einrichtung freigestellt, | ||
- | ^ Basic | Mit Verpflichtung bzgl. Korrektheit und Aktualisierung innerhalb von 3 Monaten | n dieser Klasse muss die nutzende | + | ^ Basic | Mit Verpflichtung bzgl. Korrektheit und Aktualisierung innerhalb von 3 Monaten | In dieser Klasse muss die Einrichtung sicherstellen, |
- | ^ Advanced | Mit Verpflichtung bzgl. Korrektheit und Aktualisierung innerhalb von 2 Wochen | In dieser Klasse muss die nutzende | + | ^ Advanced | Mit Verpflichtung bzgl. Korrektheit und Aktualisierung innerhalb von 2 Wochen | In dieser Klasse muss die Einrichtung sicherstellen, |
+ | |||
+ | ===== Einordnen in eine Verlässlichkeitsklasse ===== | ||
+ | Die Klassen " | ||
- | ===== 3 Einordnen in eine Klasse der Verlässlichkeit ===== | ||
- | Die Klassen " | ||
Zu den technischen Details siehe unter [[de: | Zu den technischen Details siehe unter [[de: | ||
- | ==== 3.1 Einordnung der Ressourcen durch die Anbieter ==== | + | ==== Einordnung der Ressourcen durch die Anbieter ==== |
Der Anbieter ordnet seinen Service Provider je nach Schutzbedürfnis seiner Ressource in der Metadatenverwaltung selbst der passenden Föderation zu und legt so fest, welche Mindestanforderungen Einrichtungen für die Nutzung der Ressource erfüllen müssen. | Der Anbieter ordnet seinen Service Provider je nach Schutzbedürfnis seiner Ressource in der Metadatenverwaltung selbst der passenden Föderation zu und legt so fest, welche Mindestanforderungen Einrichtungen für die Nutzung der Ressource erfüllen müssen. | ||
- | ==== 3.2 Konformitätserklärung der nutzenden Einrichtungen ==== | + | ==== Konformitätserklärung der nutzenden Einrichtungen ==== |
Die nutzende Einrichtung ordnet sich in der Metadatenverwaltung unter Vertragsdaten im Sinne einer Konformitätserklärung selbst einer Klasse der DFN-AAI zu. Ihre Nutzer können dann auf alle Ressourcen zugreifen, deren Schutzbedürfnis von den Anbietern entsprechend eingeordnet wurde. Um sich einer bestimmten Klasse der DFN-AAI zuordnen zu dürfen, muss eine Einrichtung alle o.g. Mindestanforderungen dieser Klasse erfüllen. Die Zuordnung zu einer Klasse erfolgt über die Metadatenverwaltung. | Die nutzende Einrichtung ordnet sich in der Metadatenverwaltung unter Vertragsdaten im Sinne einer Konformitätserklärung selbst einer Klasse der DFN-AAI zu. Ihre Nutzer können dann auf alle Ressourcen zugreifen, deren Schutzbedürfnis von den Anbietern entsprechend eingeordnet wurde. Um sich einer bestimmten Klasse der DFN-AAI zuordnen zu dürfen, muss eine Einrichtung alle o.g. Mindestanforderungen dieser Klasse erfüllen. Die Zuordnung zu einer Klasse erfolgt über die Metadatenverwaltung. | ||
- | **Beispiel:** Will sich eine Einrichtung der DFN-AAI " | + | ==== Beispiel |
+ | |||
+ | Will sich eine Einrichtung der Klasse | ||
+ | {{tag> |