Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Next revision
Previous revision
en:degrees_of_reliance [2017/07/06 13:52]
Wolfgang Pempe created
en:degrees_of_reliance [2019/12/20 12:56]
Wolfgang Pempe [2.1 Identification Procedure by the Home Organisation (I)]
Line 1: Line 1:
-FIXME **This page is not fully translated, yet. Please help completing the translation.**\\ //(remove this paragraph once the translation is finished)// 
- 
 ====== Degrees of Reliance within the DFN-AAI ====== ====== Degrees of Reliance within the DFN-AAI ======
 ===== 1 Introduction ===== ===== 1 Introduction =====
Line 10: Line 8:
 **Please note that the Degree of Reliance does not necessarily refer to the complete IdM of a Home Organisation.  It must be guaranteed that only those identities which conform to a certain Degree of Reliance are able to access a resource (service) requiring at least this Degree of Reliance. I.e. the Home Organisation has to make sure that only identities meeting the requirements of the Degree of Reliance "Advanced" are able to access a resource in DFN-AAI-Advanced.** **Please note that the Degree of Reliance does not necessarily refer to the complete IdM of a Home Organisation.  It must be guaranteed that only those identities which conform to a certain Degree of Reliance are able to access a resource (service) requiring at least this Degree of Reliance. I.e. the Home Organisation has to make sure that only identities meeting the requirements of the Degree of Reliance "Advanced" are able to access a resource in DFN-AAI-Advanced.**
  
-===== 2 Mindestanforderungen der verschiedenen Klassen ===== +===== 2 Minimum Requirements of the Different Degrees of Reliance ===== 
-Neben den Aspekten einer vertrauenswürdigen Kommunikation der beteiligten Serversystemedie durch die digitale Zertifizierung der beteiligten Server gewährt wird, bestimmen die Verlässlichkeit bei der Authentifizierung die folgenden drei Kriterien+Besides the aspects of trustworthy server-side communication ensured by digital certificatesthe degrees of reliance are determined by the following three criteria
-  * **I:** das Verfahren, mit dem die nutzende Einrichtung die Identität ihrer Nutzer feststellt+  * **I:** The procedure with which the Home Organisation confirms the identity of the individual user,  
-  * **A:** das Verfahrenmit dem sich ein Nutzer vor dem Zugriff auf eine Ressource ausweist und +  * **A:** The procedure with which a user identifies him/herself (authentication) before accessing a resourceand  
-  * **D:** die Datenhaltung und die Prozesse, mit denen die nutzende Einrichtung die digitalen Identitäten ihrer Angehörigen pflegt.+  * **D:** Data management and processes implemented by the Home Organisation to maintain its members' digital identities.
  
-Die nachfolgenden Tabellen legen jeweils die Mindestanforderungen pro Klasse festDas bedeutet, dass Verfahren, die für eine höhere Stufe als Mindestanforderung definiert sind, ebenso auch für die niedrigeren Stufen zulässig sind+The following tables determine the specific **minimum requirements** of each degreeThis implies that procedures which are defined as minimum requirement of a higher degree are also acceptable for lower degrees.
  
-==== 2.1 Verfahren zur Identifizierung durch die nutzende Einrichtung (I) ==== +==== 2.1 Identification Procedure by the Home Organisation (I) ==== 
-Die nutzende Einrichtung muss ihren Nutzern eindeutige digitale Identitäten zuordnenDabei muss sie feststellenum welchen Nutzer der Einrichtung es sich jeweils handeltHierzu sind im Rahmen der DFN-AAI mehrere Verfahren möglich+<callout type="primary" title="Important Notice"> 
-Klasse  Mindestanforderung Bemerkung +The requirements mentioned below only refer to the procedures for onboarding identities, like enrolment of students\\ 
-^ Test    | Verfahren freigestellt In dieser Klasse ist es der nutzenden Einrichtung freigestellt, wie sie die Identität ihrer Angehörigen feststellt. Diese Klasse ist ausschließlich für Testzwecke vorgesehen. +**Procedures for resetting passwords are not subject of the Degrees of Reliance!** 
-^ Basic   Identifizierung anhand der Rückantwort von einer eindeutigen Adresse (z.BeMail-AdresseTelefonanschlussPostanschrift) | Dieses Verfahren erlaubt eine einfache und schnelle Identifizierung, die ggf. für einige Ressourcen ausreichend ist. Bei dieser Identifizierung bleibt lediglich ungeprüft, ob sich hinter einer eindeutigen Adresse tatsächlich die vermutete Identität verbirgt. (Oder ob sich z.B. jemand anders eines Briefes an eine Postadresse bemächtigt hat.) +</callout> 
-^Advanced | Identifizierung durch das persönliche Vorsprechen gegenüber einer Vertrauensinstanz mit einem amtlichen Dokument zur Identitätsfeststellung. Die an den Hochschulen etablierten Einschreibungs- und Einstellungsprozesse werden als gleichwertig akzeptiert. | Mit diesem Verfahren kann eine Identität zweifelsfrei sichergestellt werden. (BeispieleImmatrikulation von Studierenden unter Vorlage der HochschulberechtigungPersonalausweis, etc., Abschluss des Arbeitsvertrages mit Angestellten einer Hochschule einschließlich einer adäquaten Identitätsprüfungpersönliches Vorsprechen mit Personalausweis bei einer RA der DFN-PKI, eID-Funktion des neuen Personalausweises oder Verfahren "Post-Ident".) |+The Home Organisation has to assign unique digital identities to their users.  In this contextit must ascertain the identity of each individual userThere are several acceptable procedures within the DFN-AAI for this purpose
 +Degree  Minimum Requirement Comments 
 +^ Test    | any procedure the Home Organisation may use any procedure to ascertain the identity of its users - this degree is intended for testing purposes only 
 +^ Basic   identification by means of a response from a unique address (e.gemailphone numberpostal address) | this procedure facilitates a quick and simple identification which may be sufficient for some resources - in this case a certain risk remains that the identity of the user could have been forged or stolen by an illegal third party 
 +^ Advanced | for identification, users must present themselves in person with an official ID. The enrolment and recruitment procedures established by the universities are considered as equivalent. | by means of this procedure the identity can unequivocally be ascertained (exampleenrolment of students presenting a certificate of qualification for university entranceidentity card, etc., entering into an employment contract including an adequate identity checkpersonal presentation with an identity card at a RA of the DFN-PKI, eID function of the nPa ["neuer Personalausweis"] or the so-called "Post-Ident" procedure) |
  
-==== 2.2 Verfahren zum Ausweis einer Identität (A) ==== +==== 2.2 Authentication Procedure (A) ==== 
-Die Nutzer müssen sich vor dem Zugriff auf eine Ressource mit einem vorgegebenen Verfahren gegenüber ihrem Identity Management System (IdM) ausweisenHierbei sind im Rahmen der DFN-AAI mehrere Verfahren möglich+In order to gain access to a certain resource, users must identify themselves to their Identity Management System (IdM) according to a specific procedureThere are several acceptable procedures in the context of the DFN-AAI. 
-Klasse  Mindestanforderung Bemerkung +Degree  Minimum Requirement Comments 
-^ Test | Verfahren freigestellt   In dieser Klasse ist es der nutzenden Einrichtung freigestellt, welche Verfahren sie zum Ausweis der Identität ihrer Angehörigen bereitstellt. Diese Klasse ist ausschließlich für Testzwecke vorgesehen. +^ Test | any procedure the Home Organisation may implement any procedure for user authentication - this degree is intended for testing purposes only 
-^ Basic | Ausweisen anhand einer eindeutig zuzuordnenden digitalen Adresse. Dieses Verfahren erlaubt eine einfache Prüfung, die voraussichtlich für eine Menge von Ressourcen ausreichend ist. Bei dieser Prüfung bleibt lediglich offen, ob sich hinter einer ausgewiesenen Adresse tatsächlich die vermutete Identität verbirgt. +^ Basic | authentication with a unique digital address this procedure facilitates a simple check which may be sufficient for some resources - in this case a certain risk remains that the identity of the user could have been forged or stolen by an illegal third party 
-^ Advanced | Ausweis anhand eines personalisierten Accounts mit einer Nutzerkennung und einem Passwort oder digitalem Zertifikat, die im Rahmen einer ausreichend sicheren Vergaberichtlinie ausgestellt wurden. Mit diesem Verfahren kann sich eine Identität zweifelsfrei ausweisensofern bei der Ausstellung der personalisierten Accounts ausreichend sichere Vergaberichtlinien eingehalten werdenDies ist z.B. für digitale Zertifikate der DFN-PKI "Global" gegeben. |+^ Advanced |authentication by means of a personal account with user ID and password or with a digital certificate which has been issued under sufficiently secure and trustworthy directives by means of this procedure a person can unequivocally be authenticatedprovided that the account was created under sufficiently secure and trustworthy directives - as is e.gthe case with the digital certificates of the DFN-PKI "Global" |
  
-==== 2.3 Datenhaltung und Prozesse zur Pflege der Identitäten (D) ==== +==== 2.3 Data Management and Processes for Maintaining Digital Identities (D) ==== 
-Die nutzende Einrichtung muss die elektronische Identitäten ihrer Nutzer pflegen und insbesondere bei Änderungen diese aktualisieren+The Home Organisation has to maintain the digital identities of its users and is obliged to bring the user data up-to-date
-Klasse Mindestanforderung Bemerkung +Degree  Minimum Requirement Comments 
-^ Test | Verfahren freigestellt In dieser Klasse ist es der nutzenden Einrichtung freigestellt, welche Datenhaltung und Prozesse sie zur Pflege der Identitäten verwendet. Diese Klasse ist ausschließlich für Testzwecke vorgesehen. +^ Test | any procedure the Home Organisation may implement any data management system and processes for maintaining its users' identities - this degree is intended for testing purposes only 
-^ Basic |  Mit Verpflichtung bzgl. Korrektheit und Aktualisierung innerhalb von Monaten n dieser Klasse muss die nutzende Einrichtung sicherstellen, dass die Daten der Identitäten korrekt sind und bei Änderungen diese innerhalb von drei Monaten eingepflegt werden. +^ Basic | obliged to keep user data correct and bring it up-to-date within months the participating institution has to guarantee the correctness of data and identities and ensure that any changes are committed within 3 months 
-^ Advanced |  Mit Verpflichtung bzgl. Korrektheit und Aktualisierung innerhalb von Wochen  In dieser Klasse muss die nutzende Einrichtung sicherstellen, dass die Daten der Identitäten korrekt sind und bei Änderungen diese innerhalb von zwei Wochen eingepflegt werden. |+^ Advanced | obliged to keep user data correct and bring it up-to-date within weeks the participating institution has to guarantee the correctness of data and identities and ensure that any changes are committed within 2 weeks |
  
-===== 3 Einordnen in eine Klasse der Verlässlichkeit ===== +===== 3 Assignment to a Degree of Reliance ===== 
-Die Klassen "Test", "Basic" und "Advanced" der DFN-AAI werden durch die Verwendung von mehreren Metadatensätzen innerhalb der DFN-AAI realisiertDie Klasse "Test" ist ausschließlich für Testzwecke vorgesehendie Benutzung der Klasse "Test" für den Regelbetrieb ist nicht zulässig. \\ +The degrees "Test", "Basic" and "Advanced" are implemented as different sets of metadata within the DFN-AAI. The degree "Test" is intended for testing purposes onlythe usage of this degree for production purposes is not permitted. \\ 
-Zu den technischen Details siehe unter [[de:metadata|Metadaten]] und [[de:production|Produktivbetrieb]].+For technical details please refer to [[en:metadata|Metadata]] and [[en:production|Production Environment]].
  
-==== 3.1 Einordnung der Ressourcen durch die Anbieter ==== +==== 3.1 Classification of Resources ==== 
-Der Anbieter ordnet seinen Service Provider je nach Schutzbedürfnis seiner Ressource in der Metadatenverwaltung selbst der passenden Föderation zu und legt so festwelche Mindestanforderungen Einrichtungen für die Nutzung der Ressource erfüllen müssen+In the metadata administration tool the resource / service provider has to choose which degree of reliance he needs for his resource. Choosing the "Basic" degree means that IdPs with degrees "Basic" and "Advanced" can gain accesschoosing "Advanced" means only  IdPs with degree "Advanced" can gain access.
  
-==== 3.2 Konformitätserklärung der nutzenden Einrichtungen ==== +==== 3.2 Declaration of conformity of the participating institutions ==== 
-Die nutzende Einrichtung ordnet sich in der Metadatenverwaltung unter Vertragsdaten im Sinne einer Konformitätserklärung selbst einer Klasse der DFN-AAI zuIhre Nutzer können dann auf alle Ressourcen zugreifen, deren Schutzbedürfnis von den Anbietern entsprechend eingeordnet wurdeUm sich einer bestimmten Klasse der DFN-AAI zuordnen zu dürfenmuss eine Einrichtung alle o.g. Mindestanforderungen dieser Klasse erfüllen. Die Zuordnung zu einer Klasse erfolgt über die Metadatenverwaltung.+The Home Organisations use the metadata administration tool to declare to which degree their IdP conformsThe users of these institutions can then gain access to resources that were assigned to that degree by the resource providers (SPs)IdPs that conform to the "Advanced" degree have access to resources in "Advanced" and "Basic"IdPs that only conform to "Basic" can only gain access to resources in "Basic"
  
-**Beispiel:** Will sich eine Einrichtung der DFN-AAI "Basic" zuordnenso müssen sowohl das Verfahren, mit dem die nutzende Einrichtung die Identität ihrer Angehörigen feststellt (I), als auch das Verfahren, mit dem sich eine Identität ausweist (A) als auch die Datenhaltung und die Prozesse, mit denen die nutzende Einrichtung die Identität ihrer Angehörigen pflegt (D) jeweils mindestens die Anforderungen der Klasse "Basic" erfüllenErfüllt mindestens eines dieser Kriterien nicht die Anforderungen der Klasse "Basic"so ist die Zuordnung der Einrichtung zur DFN-AAI "Basic" unzulässig.+**Example:** If an institution wants to assign its IdP to DFN-AAI "Basic", all three criteria (I), (A) and (D) must at least meet the requirements of degree "Basic"If at least one criterion is not metthe assignment to DFN-AAI "Basic" is not permissible.
  
  • Last modified: 24 months ago