Dies ist eine alte Version des Dokuments!
Klassen der Verlässlichkeit in der DFN-AAI
1 Einleitung
Anbieter haben unterschiedliche Schutzbedürfnisse für ihre Ressourcen und damit unterschiedliche Anforderungen an die Verlässlichkeit der Authentifizierung innerhalb der DFN-AAI. Dazu kommt dass auf Seite der nutzenden Einrichtungen unterschiedliche Verfahren zur Identifizierung, zum Ausweisen und zur Pflege ihrer elektronischen Identitäten zum Einsatz kommen.
Aus diesen Gründen werden mehrere Klassen der DFN-AAI definiert: DFN-AAI Test (nur für Testzwecke), DFN-AAI Basic und DFN-AAI Advanced. Die nutzenden Einrichtungen ordnen sich den Klassen im Sinne einer Konformitätserklärung zu. Die Anbieter von Ressourcen wählen die Klassen, die dem Schutzbedürfnis ihrer Ressourcen entsprechen.
So wird unter anderem die Grundlage geschaffen, dass die Anbieter von Ressourcen und die nutzenden Einrichtungen in einer für sie jeweils adäquaten Klasse der Verlässlichkeit zusammenfinden.
Beachten Sie bitte, dass Zuordnung zu einer Verlässlichkeitsklasse nicht notwendigerweise das gesamte Identity Management einer Einrichtung betrifft. Es muss lediglich sichergestellt werden, dass sich nur die Identitäten bei einer Ressource anmelden können, die mindestens die Anforderungen der von der Ressource geforderten Verlässlichkeitsklasse erfüllen (bei einer Ressource in DFN-AAI-Advanced also nur Identitäten, die die Anforderungen der Verlässlichkeitsklasse Advanced erfüllen).
2 Mindestanforderungen der verschiedenen Klassen
Neben den Aspekten einer vertrauenswürdigen Kommunikation der beteiligten Serversysteme, die durch die digitale Zertifizierung der beteiligten Server gewährt wird, bestimmen die Verlässlichkeit bei der Authentifizierung die folgenden drei Kriterien:
- I: das Verfahren, mit dem die nutzende Einrichtung die Identität ihrer Nutzer feststellt,
- A: das Verfahren, mit dem sich ein Nutzer vor dem Zugriff auf eine Ressource ausweist und
- D: die Datenhaltung und die Prozesse, mit denen die nutzende Einrichtung die digitalen Identitäten ihrer Angehörigen pflegt.
Die nachfolgenden Tabellen legen jeweils die Mindestanforderungen pro Klasse fest. Das bedeutet, dass Verfahren, die für eine höhere Stufe als Mindestanforderung definiert sind, ebenso auch für die niedrigeren Stufen zulässig sind.
2.1 Verfahren zur Identifizierung durch die nutzende Einrichtung (I)
Die nutzende Einrichtung muss ihren Nutzern eindeutige digitale Identitäten zuordnen. Dabei muss sie feststellen, um welchen Nutzer der Einrichtung es sich jeweils handelt. Hierzu sind im Rahmen der DFN-AAI mehrere Verfahren möglich.
| Klasse | Mindestanforderung | Bemerkung |
|---|---|---|
| Test | Verfahren freigestellt | In dieser Klasse ist es der nutzenden Einrichtung freigestellt, wie sie die Identität ihrer Angehörigen feststellt. Diese Klasse ist ausschließlich für Testzwecke vorgesehen. |
| Basic | Identifizierung anhand der Rückantwort von einer eindeutigen Adresse (z.B. eMail-Adresse, Telefonanschluss, Postanschrift) | Dieses Verfahren erlaubt eine einfache und schnelle Identifizierung, die ggf. für einige Ressourcen ausreichend ist. Bei dieser Identifizierung bleibt lediglich ungeprüft, ob sich hinter einer eindeutigen Adresse tatsächlich die vermutete Identität verbirgt. (Oder ob sich z.B. jemand anders eines Briefes an eine Postadresse bemächtigt hat.) |
| Advanced | Identifizierung durch das persönliche Vorsprechen gegenüber einer Vertrauensinstanz mit einem amtlichen Dokument zur Identitätsfeststellung. Die an den Hochschulen etablierten Einschreibungs- und Einstellungsprozesse werden als gleichwertig akzeptiert. | Mit diesem Verfahren kann eine Identität zweifelsfrei sichergestellt werden. (Beispiele: Immatrikulation von Studierenden unter Vorlage der Hochschulberechtigung, Personalausweis, etc., Abschluss des Arbeitsvertrages mit Angestellten einer Hochschule einschließlich einer adäquaten Identitätsprüfung, persönliches Vorsprechen mit Personalausweis bei einer RA der DFN-PKI, eID-Funktion des neuen Personalausweises oder Verfahren „Post-Ident“.) |