This is an old revision of the document!
This page is not fully translated, yet. Please help completing the translation.
(remove this paragraph once the translation is finished)
Degrees of Reliance within the DFN-AAI
1 Introduction
Service providers have different requirements concerning the protection and accessibility of their resources and therefore different requirements regarding the reliability and trustworthiness of authentication within the DFN-AAI. On the other hand, institutions interested in accessing those resources are using different procedures for identification, authentication and management of digital identities.
For these reasons, the DFN-AAI draws a distinction between different degrees of reliance: DFN-AAI Test (for testing purposes only), DFN-AAI Basic and DFN-AAI Advanced. The participating institutions / Home Organisations (i.e. Identity Providers) assign themselves to a certain degree as a declaration of conformity. The service providers chose the degree according to their individual needs in terms of protection of their resources. This ensures that users and resource providers get together at an adequate degree.
Please note that the Degree of Reliance does not necessarily refer to the complete IdM of a Home Organisation. It must be guaranteed that only those identities which conform to a certain Degree of Reliance are able to access a resource (service) requiring at least this Degree of Reliance. I.e. the Home Organisation has to make sure that only identities meeting the requirements of the Degree of Reliance “Advanced” are able to access a resource in DFN-AAI-Advanced.
2 Mindestanforderungen der verschiedenen Klassen
Neben den Aspekten einer vertrauenswürdigen Kommunikation der beteiligten Serversysteme, die durch die digitale Zertifizierung der beteiligten Server gewährt wird, bestimmen die Verlässlichkeit bei der Authentifizierung die folgenden drei Kriterien:
- I: das Verfahren, mit dem die nutzende Einrichtung die Identität ihrer Nutzer feststellt,
- A: das Verfahren, mit dem sich ein Nutzer vor dem Zugriff auf eine Ressource ausweist und
- D: die Datenhaltung und die Prozesse, mit denen die nutzende Einrichtung die digitalen Identitäten ihrer Angehörigen pflegt.
Die nachfolgenden Tabellen legen jeweils die Mindestanforderungen pro Klasse fest. Das bedeutet, dass Verfahren, die für eine höhere Stufe als Mindestanforderung definiert sind, ebenso auch für die niedrigeren Stufen zulässig sind.
2.1 Verfahren zur Identifizierung durch die nutzende Einrichtung (I)
Die nutzende Einrichtung muss ihren Nutzern eindeutige digitale Identitäten zuordnen. Dabei muss sie feststellen, um welchen Nutzer der Einrichtung es sich jeweils handelt. Hierzu sind im Rahmen der DFN-AAI mehrere Verfahren möglich.
| Klasse | Mindestanforderung | Bemerkung |
|---|---|---|
| Test | Verfahren freigestellt | In dieser Klasse ist es der nutzenden Einrichtung freigestellt, wie sie die Identität ihrer Angehörigen feststellt. Diese Klasse ist ausschließlich für Testzwecke vorgesehen. |
| Basic | Identifizierung anhand der Rückantwort von einer eindeutigen Adresse (z.B. eMail-Adresse, Telefonanschluss, Postanschrift) | Dieses Verfahren erlaubt eine einfache und schnelle Identifizierung, die ggf. für einige Ressourcen ausreichend ist. Bei dieser Identifizierung bleibt lediglich ungeprüft, ob sich hinter einer eindeutigen Adresse tatsächlich die vermutete Identität verbirgt. (Oder ob sich z.B. jemand anders eines Briefes an eine Postadresse bemächtigt hat.) |
| Advanced | Identifizierung durch das persönliche Vorsprechen gegenüber einer Vertrauensinstanz mit einem amtlichen Dokument zur Identitätsfeststellung. Die an den Hochschulen etablierten Einschreibungs- und Einstellungsprozesse werden als gleichwertig akzeptiert. | Mit diesem Verfahren kann eine Identität zweifelsfrei sichergestellt werden. (Beispiele: Immatrikulation von Studierenden unter Vorlage der Hochschulberechtigung, Personalausweis, etc., Abschluss des Arbeitsvertrages mit Angestellten einer Hochschule einschließlich einer adäquaten Identitätsprüfung, persönliches Vorsprechen mit Personalausweis bei einer RA der DFN-PKI, eID-Funktion des neuen Personalausweises oder Verfahren “Post-Ident”.) |
2.2 Verfahren zum Ausweis einer Identität (A)
Die Nutzer müssen sich vor dem Zugriff auf eine Ressource mit einem vorgegebenen Verfahren gegenüber ihrem Identity Management System (IdM) ausweisen. Hierbei sind im Rahmen der DFN-AAI mehrere Verfahren möglich.
| Klasse | Mindestanforderung | Bemerkung |
|---|---|---|
| Test | Verfahren freigestellt | In dieser Klasse ist es der nutzenden Einrichtung freigestellt, welche Verfahren sie zum Ausweis der Identität ihrer Angehörigen bereitstellt. Diese Klasse ist ausschließlich für Testzwecke vorgesehen. |
| Basic | Ausweisen anhand einer eindeutig zuzuordnenden digitalen Adresse. | Dieses Verfahren erlaubt eine einfache Prüfung, die voraussichtlich für eine Menge von Ressourcen ausreichend ist. Bei dieser Prüfung bleibt lediglich offen, ob sich hinter einer ausgewiesenen Adresse tatsächlich die vermutete Identität verbirgt. |
| Advanced | Ausweis anhand eines personalisierten Accounts mit einer Nutzerkennung und einem Passwort oder digitalem Zertifikat, die im Rahmen einer ausreichend sicheren Vergaberichtlinie ausgestellt wurden. | Mit diesem Verfahren kann sich eine Identität zweifelsfrei ausweisen, sofern bei der Ausstellung der personalisierten Accounts ausreichend sichere Vergaberichtlinien eingehalten werden. Dies ist z.B. für digitale Zertifikate der DFN-PKI “Global” gegeben. |
2.3 Datenhaltung und Prozesse zur Pflege der Identitäten (D)
Die nutzende Einrichtung muss die elektronische Identitäten ihrer Nutzer pflegen und insbesondere bei Änderungen diese aktualisieren.
| Klasse | Mindestanforderung | Bemerkung |
|---|---|---|
| Test | Verfahren freigestellt | In dieser Klasse ist es der nutzenden Einrichtung freigestellt, welche Datenhaltung und Prozesse sie zur Pflege der Identitäten verwendet. Diese Klasse ist ausschließlich für Testzwecke vorgesehen. |
| Basic | Mit Verpflichtung bzgl. Korrektheit und Aktualisierung innerhalb von 3 Monaten | n dieser Klasse muss die nutzende Einrichtung sicherstellen, dass die Daten der Identitäten korrekt sind und bei Änderungen diese innerhalb von drei Monaten eingepflegt werden. |
| Advanced | Mit Verpflichtung bzgl. Korrektheit und Aktualisierung innerhalb von 2 Wochen | In dieser Klasse muss die nutzende Einrichtung sicherstellen, dass die Daten der Identitäten korrekt sind und bei Änderungen diese innerhalb von zwei Wochen eingepflegt werden. |
3 Einordnen in eine Klasse der Verlässlichkeit
Die Klassen “Test”, “Basic” und “Advanced” der DFN-AAI werden durch die Verwendung von mehreren Metadatensätzen innerhalb der DFN-AAI realisiert. Die Klasse “Test” ist ausschließlich für Testzwecke vorgesehen; die Benutzung der Klasse “Test” für den Regelbetrieb ist nicht zulässig.
Zu den technischen Details siehe unter Metadaten und Produktivbetrieb.
3.1 Einordnung der Ressourcen durch die Anbieter
Der Anbieter ordnet seinen Service Provider je nach Schutzbedürfnis seiner Ressource in der Metadatenverwaltung selbst der passenden Föderation zu und legt so fest, welche Mindestanforderungen Einrichtungen für die Nutzung der Ressource erfüllen müssen.
3.2 Konformitätserklärung der nutzenden Einrichtungen
Die nutzende Einrichtung ordnet sich in der Metadatenverwaltung unter Vertragsdaten im Sinne einer Konformitätserklärung selbst einer Klasse der DFN-AAI zu. Ihre Nutzer können dann auf alle Ressourcen zugreifen, deren Schutzbedürfnis von den Anbietern entsprechend eingeordnet wurde. Um sich einer bestimmten Klasse der DFN-AAI zuordnen zu dürfen, muss eine Einrichtung alle o.g. Mindestanforderungen dieser Klasse erfüllen. Die Zuordnung zu einer Klasse erfolgt über die Metadatenverwaltung.
Beispiel: Will sich eine Einrichtung der DFN-AAI “Basic” zuordnen, so müssen sowohl das Verfahren, mit dem die nutzende Einrichtung die Identität ihrer Angehörigen feststellt (I), als auch das Verfahren, mit dem sich eine Identität ausweist (A) als auch die Datenhaltung und die Prozesse, mit denen die nutzende Einrichtung die Identität ihrer Angehörigen pflegt (D) jeweils mindestens die Anforderungen der Klasse “Basic” erfüllen. Erfüllt mindestens eines dieser Kriterien nicht die Anforderungen der Klasse “Basic”, so ist die Zuordnung der Einrichtung zur DFN-AAI “Basic” unzulässig.