• Person kommt mit bestehender edu-ID-Identität zu einer Einrichtung und wird dort ins IDM aufgenommen.
• eduID-IdP liefert Referenz auf edu-ID in Assertion mit aus
• Workflows?
  • Aufnahme ins IDM erst nach erfolgreicher Aufnahme in (irgendeine) Personenverwaltung (SOS, SVA, …)
  • Mehrere Akteure im Onboarding-Prozess, nur Person selbst ist Besitzerin der eduID und kann über Verteilung bestimmen.
• Ansätze:
  • Person gibt bei Aufnahme in Personalverwaltung edu-ID an, Onboarding-SP führt AttributeQuery aus
    • Ggf. werden Daten des Onboarding-SP in Personalverwaltung übernommen
  • Onboarding-SP erhält nur edu-ID vom edu-ID-IdP nach erfolgreicher Authentifizierung durch Person
    • siehe auch https://doku.tid.dfn.de/_detail/de:aai:eduid:registrierung_onboarding.png?id=de%3Aaai%3Aeduid%3Aarchitektur

Person hat bereits eine edu-ID und möchte diese einem Einrichtungsaccount hinzufügen.

Person hat bereits edu-ID

• Zuordnung von edu-ID zu lokalem Nutzerkonto, bspw. über SP an Einrichtung, der edu-ID vom edu-ID-IdP nach erfolgreicher Authentifizierung im AttributeStatement der SAML Response erhält.
• Darüberhinaus Aktualisierung von Identitätsdaten
  • Wo liegen aktuellere Daten? Bei der Einrichtung, bei der eben ein Einstellungsprozess durchlaufen wurde, oder beim edu-ID-IdP (Tippfehler an der einen oder anderen Stelle, Namensänderungen, …)

Person hat _noch keine_ edu-ID

• Anmeldung am edu-ID-SP (authentifiziert gegen Heimateinrichtung)
• AttributeResponse von Heimateinrichtung enthält zur Erzeugung einer edu-ID erforderliche Daten
• edu-ID wird über einen Backchannel wieder an Heimateinrichtung gespielt
• Zum Vergleich
  • SWISS edu-ID https://www.switch.ch/de/edu-id/organisations/idm/linking-methods/#linking-aai
  • Rückspielen der ORCID in Heimateinrichtung (via OAuth2)

• edu-ID System als IdP - Unsolicited SSO mit AttributePush zur Heimateinrichtung
• edu-ID System als SP - Heimateinrichtung liefert Identitätsdaten an edu-ID System

Im zweiten Fall kennt die Heimateinrichtung dann noch immer nicht die edu-ID der Person.

Welche „anderen“ IDs sollen verlinkt werden?

• ORCID
• Dienstinterne Proxy-IDs?
  • zB DARIAH-ID
  • zB Clarin-ID (sofern diese das Proxy-Modell wählen)
  • zB ELIXIR-ID
• European Student Card ID
• MyAcademicID
• …

• In vorigen Abschnitten zum Teil schon anAttributegeschnitten (→ Daten bei Einstellung ggf. aktueller als bei edu-ID hinterlegte Daten)
• Bisher existiert noch keine eigene AG dazu (AG Attribut-Set? AG Verknüpfung lokale ID edu-ID? AG Dublettenerkennung?)

siehe auch https://doku.tid.dfn.de/_detail/de:aai:eduid:registrierung_onboarding.png?id=de%3Aaai%3Aeduid%3Aarchitektur

1. Person hat noch keine edu-ID? –> Erstellen edu-ID und (ggf.) Validierung der Kernattribute (s. AG Attribute
2. Person meldet sich mit edu-ID IdP am Onboarding-SP der betreffenden Einrichtung an –> die edu-ID und die Kernattribute werden im AttributeStatement übertragen
3. Person kann nun anhand dieser Angaben im lokalen IdM registriert werden

Auf keinen Fall sollte die Übergabe der edu-ID auf nicht-elektronischem Wege (persönlich, in Papierform o.ä.) geschehen. Idealerweise bekommen die Nutzer*innen ihre edu-ID nicht zu Gesicht.