Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:degrees_of_reliance [2020/04/23 10:30] Silke Meyerde:degrees_of_reliance [2020/04/23 12:48] Silke Meyer
Zeile 1: Zeile 1:
-====== Klassen der Verlässlichkeit in der DFN-AAI ====== +====== Verlässlichkeitsklassen in der DFN-AAI ======
-===== 1 Einleitung ===== +
-Anbieter haben unterschiedliche Schutzbedürfnisse für ihre Ressourcen und damit unterschiedliche Anforderungen an die Verlässlichkeit der Authentifizierung innerhalb der DFN-AAI. Dazu kommt dass auf Seite der nutzenden Einrichtungen unterschiedliche Verfahren zur Identifizierung, zum Ausweisen und zur Pflege ihrer elektronischen Identitäten zum Einsatz kommen.+
  
-Aus diesen Gründen werden mehrere Klassen der DFN-AAI definiert: DFN-AAI Test (nur für Testzwecke), DFN-AAI Basic und DFN-AAI Advanced. Die nutzenden Einrichtungen ordnen sich den Klassen im Sinne einer Konformitätserklärung zu. Die Anbieter von Ressourcen wählen die Klassen, die dem Schutzbedürfnis ihrer Ressourcen entsprechen.+Anbieter haben unterschiedliche Schutzbedürfnisse für ihre Ressourcen und damit unterschiedliche Anforderungen an die Verlässlichkeit der Authentifizierung innerhalb der DFN-AAI. Dazu kommt, dass auf Seite der Heimateinrichtungen unterschiedliche Verfahren zur Identifizierung, zum Ausweisen und zur Pflege elektronischer Identitäten zum Einsatz kommen. 
 + 
 +Aus diesen Gründen wurden mehrere Klassen der DFN-AAI definiert: DFN-AAI Test (nur für Testzwecke), DFN-AAI Basic und DFN-AAI Advanced. Die Heimateinrichtungen ordnen sich den Klassen im Sinne einer Konformitätserklärung zu. Die Anbieter von Ressourcen wählen die Klassen, die dem Schutzbedürfnis ihrer Ressourcen entsprechen.
  
 So wird unter anderem die Grundlage geschaffen, dass die Anbieter von Ressourcen und die nutzenden Einrichtungen in einer für sie jeweils adäquaten Klasse der Verlässlichkeit zusammenfinden.  So wird unter anderem die Grundlage geschaffen, dass die Anbieter von Ressourcen und die nutzenden Einrichtungen in einer für sie jeweils adäquaten Klasse der Verlässlichkeit zusammenfinden. 
Zeile 9: Zeile 9:
 **Beachten Sie bitte, dass Zuordnung zu einer Verlässlichkeitsklasse nicht notwendigerweise das gesamte Identity Management einer Einrichtung betrifft. Es muss lediglich sichergestellt werden, dass sich nur die Identitäten bei einer Ressource anmelden können, die mindestens die Anforderungen der von der Ressource geforderten Verlässlichkeitsklasse erfüllen** (bei einer Ressource in DFN-AAI-Advanced also nur Identitäten, die die Anforderungen der Verlässlichkeitsklasse Advanced erfüllen). **Beachten Sie bitte, dass Zuordnung zu einer Verlässlichkeitsklasse nicht notwendigerweise das gesamte Identity Management einer Einrichtung betrifft. Es muss lediglich sichergestellt werden, dass sich nur die Identitäten bei einer Ressource anmelden können, die mindestens die Anforderungen der von der Ressource geforderten Verlässlichkeitsklasse erfüllen** (bei einer Ressource in DFN-AAI-Advanced also nur Identitäten, die die Anforderungen der Verlässlichkeitsklasse Advanced erfüllen).
  
-===== Mindestanforderungen der verschiedenen Klassen =====+===== Mindestanforderungen der verschiedenen Klassen =====
 Neben den Aspekten einer vertrauenswürdigen Kommunikation der beteiligten Serversysteme, die durch die digitale Zertifizierung der beteiligten Server gewährt wird, bestimmen die Verlässlichkeit bei der Authentifizierung die folgenden drei Kriterien: Neben den Aspekten einer vertrauenswürdigen Kommunikation der beteiligten Serversysteme, die durch die digitale Zertifizierung der beteiligten Server gewährt wird, bestimmen die Verlässlichkeit bei der Authentifizierung die folgenden drei Kriterien:
   * **I:** das Verfahren, mit dem die nutzende Einrichtung die Identität ihrer Nutzer feststellt,   * **I:** das Verfahren, mit dem die nutzende Einrichtung die Identität ihrer Nutzer feststellt,
Zeile 17: Zeile 17:
 Die nachfolgenden Tabellen legen jeweils die **Mindestanforderungen** pro Klasse fest. Das bedeutet, dass Verfahren, die für eine höhere Stufe als Mindestanforderung definiert sind, ebenso auch für die niedrigeren Stufen zulässig sind.  Die nachfolgenden Tabellen legen jeweils die **Mindestanforderungen** pro Klasse fest. Das bedeutet, dass Verfahren, die für eine höhere Stufe als Mindestanforderung definiert sind, ebenso auch für die niedrigeren Stufen zulässig sind. 
  
-==== 2.1 Verfahren zur Identifizierung durch die nutzende Einrichtung (I) ====+==== Verfahren zur Identifizierung durch die nutzende Einrichtung (I) ====
 <callout type="primary" title="Bitte beachten!"> <callout type="primary" title="Bitte beachten!">
 Aus aktuellem Anlass weisen wir darauf hin, dass sich die u.g. Kriterien auf die Verfahren zur Erstellung digitaler Identitäten beziehen. Es geht also um das Onboarding (Immatrikulation, Einstellung). \\ Aus aktuellem Anlass weisen wir darauf hin, dass sich die u.g. Kriterien auf die Verfahren zur Erstellung digitaler Identitäten beziehen. Es geht also um das Onboarding (Immatrikulation, Einstellung). \\
Zeile 28: Zeile 28:
 ^Advanced | Identifizierung durch das persönliche Vorsprechen gegenüber einer Vertrauensinstanz mit einem amtlichen Dokument zur Identitätsfeststellung. Die an den Hochschulen etablierten Einschreibungs- und Einstellungsprozesse werden als gleichwertig akzeptiert. | Mit diesem Verfahren kann eine Identität zweifelsfrei sichergestellt werden. (Beispiele: Immatrikulation von Studierenden unter Vorlage der Hochschulberechtigung, Personalausweis, etc., Abschluss des Arbeitsvertrages mit Angestellten einer Hochschule einschließlich einer adäquaten Identitätsprüfung, persönliches Vorsprechen mit Personalausweis bei einer RA der DFN-PKI, eID-Funktion des neuen Personalausweises oder Verfahren "Post-Ident".) | ^Advanced | Identifizierung durch das persönliche Vorsprechen gegenüber einer Vertrauensinstanz mit einem amtlichen Dokument zur Identitätsfeststellung. Die an den Hochschulen etablierten Einschreibungs- und Einstellungsprozesse werden als gleichwertig akzeptiert. | Mit diesem Verfahren kann eine Identität zweifelsfrei sichergestellt werden. (Beispiele: Immatrikulation von Studierenden unter Vorlage der Hochschulberechtigung, Personalausweis, etc., Abschluss des Arbeitsvertrages mit Angestellten einer Hochschule einschließlich einer adäquaten Identitätsprüfung, persönliches Vorsprechen mit Personalausweis bei einer RA der DFN-PKI, eID-Funktion des neuen Personalausweises oder Verfahren "Post-Ident".) |
  
-==== 2.2 Verfahren zum Ausweis einer Identität (A) ====+==== Verfahren zum Ausweis einer Identität (A) ====
 Die Nutzer müssen sich vor dem Zugriff auf eine Ressource mit einem vorgegebenen Verfahren gegenüber ihrem Identity Management System (IdM) ausweisen. Hierbei sind im Rahmen der DFN-AAI mehrere Verfahren möglich. Die Nutzer müssen sich vor dem Zugriff auf eine Ressource mit einem vorgegebenen Verfahren gegenüber ihrem Identity Management System (IdM) ausweisen. Hierbei sind im Rahmen der DFN-AAI mehrere Verfahren möglich.
 ^ Klasse  ^ Mindestanforderung ^ Bemerkung ^ ^ Klasse  ^ Mindestanforderung ^ Bemerkung ^
Zeile 35: Zeile 35:
 ^ Advanced | Ausweis anhand eines personalisierten Accounts mit einer Nutzerkennung und einem Passwort oder digitalem Zertifikat, die im Rahmen einer ausreichend sicheren Vergaberichtlinie ausgestellt wurden. | Mit diesem Verfahren kann sich eine Identität zweifelsfrei ausweisen, sofern bei der Ausstellung der personalisierten Accounts ausreichend sichere Vergaberichtlinien eingehalten werden. Dies ist z.B. für digitale Zertifikate der DFN-PKI "Global" gegeben. | ^ Advanced | Ausweis anhand eines personalisierten Accounts mit einer Nutzerkennung und einem Passwort oder digitalem Zertifikat, die im Rahmen einer ausreichend sicheren Vergaberichtlinie ausgestellt wurden. | Mit diesem Verfahren kann sich eine Identität zweifelsfrei ausweisen, sofern bei der Ausstellung der personalisierten Accounts ausreichend sichere Vergaberichtlinien eingehalten werden. Dies ist z.B. für digitale Zertifikate der DFN-PKI "Global" gegeben. |
  
-==== 2.3 Datenhaltung und Prozesse zur Pflege der Identitäten (D) ====+==== Datenhaltung und Prozesse zur Pflege der Identitäten (D) ====
 Die nutzende Einrichtung muss die elektronische Identitäten ihrer Nutzer pflegen und insbesondere bei Änderungen diese aktualisieren. Die nutzende Einrichtung muss die elektronische Identitäten ihrer Nutzer pflegen und insbesondere bei Änderungen diese aktualisieren.
 ^ Klasse ^ Mindestanforderung ^ Bemerkung ^ ^ Klasse ^ Mindestanforderung ^ Bemerkung ^
Zeile 42: Zeile 42:
 ^ Advanced | Mit Verpflichtung bzgl. Korrektheit und Aktualisierung innerhalb von 2 Wochen | In dieser Klasse muss die nutzende Einrichtung sicherstellen, dass die Daten der Identitäten korrekt sind und bei Änderungen diese innerhalb von zwei Wochen eingepflegt werden. | ^ Advanced | Mit Verpflichtung bzgl. Korrektheit und Aktualisierung innerhalb von 2 Wochen | In dieser Klasse muss die nutzende Einrichtung sicherstellen, dass die Daten der Identitäten korrekt sind und bei Änderungen diese innerhalb von zwei Wochen eingepflegt werden. |
  
-===== Einordnen in eine Klasse der Verlässlichkeit =====+===== Einordnen in eine Klasse der Verlässlichkeit =====
 Die Klassen "Test", "Basic" und "Advanced" der DFN-AAI werden durch die Verwendung von mehreren Metadatensätzen innerhalb der DFN-AAI realisiert. Die Klasse "Test" ist ausschließlich für Testzwecke vorgesehen; die Benutzung der Klasse "Test" für den Regelbetrieb ist nicht zulässig. \\ Die Klassen "Test", "Basic" und "Advanced" der DFN-AAI werden durch die Verwendung von mehreren Metadatensätzen innerhalb der DFN-AAI realisiert. Die Klasse "Test" ist ausschließlich für Testzwecke vorgesehen; die Benutzung der Klasse "Test" für den Regelbetrieb ist nicht zulässig. \\
 Zu den technischen Details siehe unter [[de:metadata|Metadaten]] und [[de:production|Produktivbetrieb]]. Zu den technischen Details siehe unter [[de:metadata|Metadaten]] und [[de:production|Produktivbetrieb]].
  
-==== 3.1 Einordnung der Ressourcen durch die Anbieter ====+==== Einordnung der Ressourcen durch die Anbieter ====
 Der Anbieter ordnet seinen Service Provider je nach Schutzbedürfnis seiner Ressource in der Metadatenverwaltung selbst der passenden Föderation zu und legt so fest, welche Mindestanforderungen Einrichtungen für die Nutzung der Ressource erfüllen müssen.  Der Anbieter ordnet seinen Service Provider je nach Schutzbedürfnis seiner Ressource in der Metadatenverwaltung selbst der passenden Föderation zu und legt so fest, welche Mindestanforderungen Einrichtungen für die Nutzung der Ressource erfüllen müssen. 
  
-==== 3.2 Konformitätserklärung der nutzenden Einrichtungen ====+==== Konformitätserklärung der nutzenden Einrichtungen ====
 Die nutzende Einrichtung ordnet sich in der Metadatenverwaltung unter Vertragsdaten im Sinne einer Konformitätserklärung selbst einer Klasse der DFN-AAI zu. Ihre Nutzer können dann auf alle Ressourcen zugreifen, deren Schutzbedürfnis von den Anbietern entsprechend eingeordnet wurde. Um sich einer bestimmten Klasse der DFN-AAI zuordnen zu dürfen, muss eine Einrichtung alle o.g. Mindestanforderungen dieser Klasse erfüllen. Die Zuordnung zu einer Klasse erfolgt über die Metadatenverwaltung. Die nutzende Einrichtung ordnet sich in der Metadatenverwaltung unter Vertragsdaten im Sinne einer Konformitätserklärung selbst einer Klasse der DFN-AAI zu. Ihre Nutzer können dann auf alle Ressourcen zugreifen, deren Schutzbedürfnis von den Anbietern entsprechend eingeordnet wurde. Um sich einer bestimmten Klasse der DFN-AAI zuordnen zu dürfen, muss eine Einrichtung alle o.g. Mindestanforderungen dieser Klasse erfüllen. Die Zuordnung zu einer Klasse erfolgt über die Metadatenverwaltung.