Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:degrees_of_reliance [2017/07/06 14:08]
Wolfgang Pempe [2.3 Datenhaltung und Prozesse zur Pflege der Identitäten (D)]
de:degrees_of_reliance [2017/07/06 14:55] (aktuell)
Wolfgang Pempe [3.2 Konformitätserklärung der nutzenden Einrichtungen]
Zeile 27: Zeile 27:
 Die Nutzer müssen sich vor dem Zugriff auf eine Ressource mit einem vorgegebenen Verfahren gegenüber ihrem Identity Management System (IdM) ausweisen. Hierbei sind im Rahmen der DFN-AAI mehrere Verfahren möglich. Die Nutzer müssen sich vor dem Zugriff auf eine Ressource mit einem vorgegebenen Verfahren gegenüber ihrem Identity Management System (IdM) ausweisen. Hierbei sind im Rahmen der DFN-AAI mehrere Verfahren möglich.
 ^ Klasse ​ ^ Mindestanforderung ^ Bemerkung ^ ^ Klasse ​ ^ Mindestanforderung ^ Bemerkung ^
-^ Test | Verfahren freigestellt |   In dieser Klasse ist es der nutzenden Einrichtung freigestellt,​ welche Verfahren sie zum Ausweis der Identität ihrer Angehörigen bereitstellt. Diese Klasse ist ausschließlich für Testzwecke vorgesehen. |+^ Test | Verfahren freigestellt | In dieser Klasse ist es der nutzenden Einrichtung freigestellt,​ welche Verfahren sie zum Ausweis der Identität ihrer Angehörigen bereitstellt. Diese Klasse ist ausschließlich für Testzwecke vorgesehen. |
 ^ Basic | Ausweisen anhand einer eindeutig zuzuordnenden digitalen Adresse. | Dieses Verfahren erlaubt eine einfache Prüfung, die voraussichtlich für eine Menge von Ressourcen ausreichend ist. Bei dieser Prüfung bleibt lediglich offen, ob sich hinter einer ausgewiesenen Adresse tatsächlich die vermutete Identität verbirgt. | ^ Basic | Ausweisen anhand einer eindeutig zuzuordnenden digitalen Adresse. | Dieses Verfahren erlaubt eine einfache Prüfung, die voraussichtlich für eine Menge von Ressourcen ausreichend ist. Bei dieser Prüfung bleibt lediglich offen, ob sich hinter einer ausgewiesenen Adresse tatsächlich die vermutete Identität verbirgt. |
 ^ Advanced | Ausweis anhand eines personalisierten Accounts mit einer Nutzerkennung und einem Passwort oder digitalem Zertifikat, die im Rahmen einer ausreichend sicheren Vergaberichtlinie ausgestellt wurden. | Mit diesem Verfahren kann sich eine Identität zweifelsfrei ausweisen, sofern bei der Ausstellung der personalisierten Accounts ausreichend sichere Vergaberichtlinien eingehalten werden. Dies ist z.B. für digitale Zertifikate der DFN-PKI "​Global"​ gegeben. | ^ Advanced | Ausweis anhand eines personalisierten Accounts mit einer Nutzerkennung und einem Passwort oder digitalem Zertifikat, die im Rahmen einer ausreichend sicheren Vergaberichtlinie ausgestellt wurden. | Mit diesem Verfahren kann sich eine Identität zweifelsfrei ausweisen, sofern bei der Ausstellung der personalisierten Accounts ausreichend sichere Vergaberichtlinien eingehalten werden. Dies ist z.B. für digitale Zertifikate der DFN-PKI "​Global"​ gegeben. |
Zeile 35: Zeile 35:
 ^ Klasse ^ Mindestanforderung ^ Bemerkung ^ ^ Klasse ^ Mindestanforderung ^ Bemerkung ^
 ^ Test | Verfahren freigestellt | In dieser Klasse ist es der nutzenden Einrichtung freigestellt,​ welche Datenhaltung und Prozesse sie zur Pflege der Identitäten verwendet. Diese Klasse ist ausschließlich für Testzwecke vorgesehen. | ^ Test | Verfahren freigestellt | In dieser Klasse ist es der nutzenden Einrichtung freigestellt,​ welche Datenhaltung und Prozesse sie zur Pflege der Identitäten verwendet. Diese Klasse ist ausschließlich für Testzwecke vorgesehen. |
-^ Basic |  Mit Verpflichtung bzgl. Korrektheit und Aktualisierung innerhalb von 3 Monaten | In dieser Klasse muss die nutzende Einrichtung sicherstellen,​ dass die Daten der Identitäten korrekt sind und bei Änderungen diese innerhalb von drei Monaten eingepflegt werden. | +^ Basic | Mit Verpflichtung bzgl. Korrektheit und Aktualisierung innerhalb von 3 Monaten | In dieser Klasse muss die nutzende Einrichtung sicherstellen,​ dass die Daten der Identitäten korrekt sind und bei Änderungen diese innerhalb von drei Monaten eingepflegt werden. | 
-^ Advanced |  Mit Verpflichtung bzgl. Korrektheit und Aktualisierung innerhalb von 2 Wochen |  In dieser Klasse muss die nutzende Einrichtung sicherstellen,​ dass die Daten der Identitäten korrekt sind und bei Änderungen diese innerhalb von zwei Wochen eingepflegt werden. |+^ Advanced | Mit Verpflichtung bzgl. Korrektheit und Aktualisierung innerhalb von 2 Wochen | In dieser Klasse muss die nutzende Einrichtung sicherstellen,​ dass die Daten der Identitäten korrekt sind und bei Änderungen diese innerhalb von zwei Wochen eingepflegt werden. |
  
 ===== 3 Einordnen in eine Klasse der Verlässlichkeit ===== ===== 3 Einordnen in eine Klasse der Verlässlichkeit =====
Zeile 48: Zeile 48:
 Die nutzende Einrichtung ordnet sich in der Metadatenverwaltung unter Vertragsdaten im Sinne einer Konformitätserklärung selbst einer Klasse der DFN-AAI zu. Ihre Nutzer können dann auf alle Ressourcen zugreifen, deren Schutzbedürfnis von den Anbietern entsprechend eingeordnet wurde. Um sich einer bestimmten Klasse der DFN-AAI zuordnen zu dürfen, muss eine Einrichtung alle o.g. Mindestanforderungen dieser Klasse erfüllen. Die Zuordnung zu einer Klasse erfolgt über die Metadatenverwaltung. Die nutzende Einrichtung ordnet sich in der Metadatenverwaltung unter Vertragsdaten im Sinne einer Konformitätserklärung selbst einer Klasse der DFN-AAI zu. Ihre Nutzer können dann auf alle Ressourcen zugreifen, deren Schutzbedürfnis von den Anbietern entsprechend eingeordnet wurde. Um sich einer bestimmten Klasse der DFN-AAI zuordnen zu dürfen, muss eine Einrichtung alle o.g. Mindestanforderungen dieser Klasse erfüllen. Die Zuordnung zu einer Klasse erfolgt über die Metadatenverwaltung.
  
-**Beispiel:​** Will sich eine Einrichtung der DFN-AAI "​Basic"​ zuordnen, so müssen sowohl das Verfahren, mit dem die nutzende Einrichtung die Identität ihrer Angehörigen feststellt (I), als auch das Verfahren, mit dem sich eine Identität ausweist (A) als auch die Datenhaltung und die Prozesse, mit denen die nutzende Einrichtung die Identität ihrer Angehörigen pflegt (D) jeweils mindestens die Anforderungen der Klasse "​Basic"​ erfüllen. Erfüllt mindestens eines dieser Kriterien nicht die Anforderungen der Klasse "​Basic",​ so ist die Zuordnung der Einrichtung zur DFN-AAI "​Basic"​ unzulässig.+**Beispiel:​** Will sich eine Einrichtung der Klasse ​DFN-AAI "​Basic"​ zuordnen, so müssen sowohl das Verfahren, mit dem die nutzende Einrichtung die Identität ihrer Angehörigen feststellt (I), als auch das Verfahren, mit dem sich eine Identität ausweist (A) als auch die Datenhaltung und die Prozesse, mit denen die nutzende Einrichtung die Identität ihrer Angehörigen pflegt (D) jeweils mindestens die Anforderungen der Klasse "​Basic"​ erfüllen. Erfüllt mindestens eines dieser Kriterien nicht die Anforderungen der Klasse "​Basic",​ so ist die Zuordnung der Einrichtung zur DFN-AAI "​Basic"​ unzulässig.
  
  • Zuletzt geändert: vor 2 Jahren