This is an old revision of the document!


FIXME This page is not fully translated, yet. Please help completing the translation.
(remove this paragraph once the translation is finished)

Degrees of Reliance within the DFN-AAI

Service providers have different requirements concerning the protection and accessibility of their resources and therefore different requirements regarding the reliability and trustworthiness of authentication within the DFN-AAI. On the other hand, institutions interested in accessing those resources are using different procedures for identification, authentication and management of digital identities.

For these reasons, the DFN-AAI draws a distinction between different degrees of reliance: DFN-AAI Test (for testing purposes only), DFN-AAI Basic and DFN-AAI Advanced. The participating institutions / Home Organisations (i.e. Identity Providers) assign themselves to a certain degree as a declaration of conformity. The service providers chose the degree according to their individual needs in terms of protection of their resources. This ensures that users and resource providers get together at an adequate degree.

Please note that the Degree of Reliance does not necessarily refer to the complete IdM of a Home Organisation. It must be guaranteed that only those identities which conform to a certain Degree of Reliance are able to access a resource (service) requiring at least this Degree of Reliance. I.e. the Home Organisation has to make sure that only identities meeting the requirements of the Degree of Reliance “Advanced” are able to access a resource in DFN-AAI-Advanced.

Besides the aspects of trustworthy server-side communication ensured by digital certificates, the degrees of reliance are determined by the following three criteria:

  • I: The procedure with which the Home Organisation confirms the identity of the individual user,
  • A: The procedure with which a user identifies him/herself (authentication) before accessing a resource, and
  • D: Data management and processes implemented by the Home Organisation to maintain its members' digital identities.

The following tables determine the specific minimum requirements of each degree. This implies that procedures which are defined as minimum requirement of a higher degree are also acceptable for lower degrees.

The Home Organisation has to assign unique digital identities to their users. In this context, it must ascertain the identity of each individual user. There are several acceptable procedures within the DFN-AAI for this purpose.

Degree Minimum Requirement Comments
Test any procedure the Home Organisation may use any procedure to ascertain the identity of its users - this degree is intended for testing purposes only
Basic identification by means of a response from a unique address (e.g. email, phone number, postal address) this procedure facilitates a quick and simple identification which may be sufficient for some resources - in this case a certain risk remains that the identity of the user could have been forged or stolen by an illegal third party
Advanced for identification, users must present themselves in person with an official ID. The enrolment and recruitment procedures established by the universities are considered as equivalent. by means of this procedure the identity can unequivocally be ascertained (example: enrolment of students presenting a certificate of qualification for university entrance, identity card, etc., entering into an employment contract including an adequate identity check, personal presentation with an identity card at a RA of the DFN-PKI, eID function of the nPa [“neuer Personalausweis”] or the so-called “Post-Ident” procedure)

Die Nutzer müssen sich vor dem Zugriff auf eine Ressource mit einem vorgegebenen Verfahren gegenüber ihrem Identity Management System (IdM) ausweisen. Hierbei sind im Rahmen der DFN-AAI mehrere Verfahren möglich.

Klasse Mindestanforderung Bemerkung
Test Verfahren freigestellt In dieser Klasse ist es der nutzenden Einrichtung freigestellt, welche Verfahren sie zum Ausweis der Identität ihrer Angehörigen bereitstellt. Diese Klasse ist ausschließlich für Testzwecke vorgesehen.
Basic Ausweisen anhand einer eindeutig zuzuordnenden digitalen Adresse. Dieses Verfahren erlaubt eine einfache Prüfung, die voraussichtlich für eine Menge von Ressourcen ausreichend ist. Bei dieser Prüfung bleibt lediglich offen, ob sich hinter einer ausgewiesenen Adresse tatsächlich die vermutete Identität verbirgt.
Advanced Ausweis anhand eines personalisierten Accounts mit einer Nutzerkennung und einem Passwort oder digitalem Zertifikat, die im Rahmen einer ausreichend sicheren Vergaberichtlinie ausgestellt wurden. Mit diesem Verfahren kann sich eine Identität zweifelsfrei ausweisen, sofern bei der Ausstellung der personalisierten Accounts ausreichend sichere Vergaberichtlinien eingehalten werden. Dies ist z.B. für digitale Zertifikate der DFN-PKI “Global” gegeben.

Die nutzende Einrichtung muss die elektronische Identitäten ihrer Nutzer pflegen und insbesondere bei Änderungen diese aktualisieren.

Klasse Mindestanforderung Bemerkung
Test Verfahren freigestellt In dieser Klasse ist es der nutzenden Einrichtung freigestellt, welche Datenhaltung und Prozesse sie zur Pflege der Identitäten verwendet. Diese Klasse ist ausschließlich für Testzwecke vorgesehen.
Basic Mit Verpflichtung bzgl. Korrektheit und Aktualisierung innerhalb von 3 Monaten n dieser Klasse muss die nutzende Einrichtung sicherstellen, dass die Daten der Identitäten korrekt sind und bei Änderungen diese innerhalb von drei Monaten eingepflegt werden.
Advanced Mit Verpflichtung bzgl. Korrektheit und Aktualisierung innerhalb von 2 Wochen In dieser Klasse muss die nutzende Einrichtung sicherstellen, dass die Daten der Identitäten korrekt sind und bei Änderungen diese innerhalb von zwei Wochen eingepflegt werden.

Die Klassen “Test”, “Basic” und “Advanced” der DFN-AAI werden durch die Verwendung von mehreren Metadatensätzen innerhalb der DFN-AAI realisiert. Die Klasse “Test” ist ausschließlich für Testzwecke vorgesehen; die Benutzung der Klasse “Test” für den Regelbetrieb ist nicht zulässig.
Zu den technischen Details siehe unter Metadaten und Produktivbetrieb.

Der Anbieter ordnet seinen Service Provider je nach Schutzbedürfnis seiner Ressource in der Metadatenverwaltung selbst der passenden Föderation zu und legt so fest, welche Mindestanforderungen Einrichtungen für die Nutzung der Ressource erfüllen müssen.

Die nutzende Einrichtung ordnet sich in der Metadatenverwaltung unter Vertragsdaten im Sinne einer Konformitätserklärung selbst einer Klasse der DFN-AAI zu. Ihre Nutzer können dann auf alle Ressourcen zugreifen, deren Schutzbedürfnis von den Anbietern entsprechend eingeordnet wurde. Um sich einer bestimmten Klasse der DFN-AAI zuordnen zu dürfen, muss eine Einrichtung alle o.g. Mindestanforderungen dieser Klasse erfüllen. Die Zuordnung zu einer Klasse erfolgt über die Metadatenverwaltung.

Beispiel: Will sich eine Einrichtung der DFN-AAI “Basic” zuordnen, so müssen sowohl das Verfahren, mit dem die nutzende Einrichtung die Identität ihrer Angehörigen feststellt (I), als auch das Verfahren, mit dem sich eine Identität ausweist (A) als auch die Datenhaltung und die Prozesse, mit denen die nutzende Einrichtung die Identität ihrer Angehörigen pflegt (D) jeweils mindestens die Anforderungen der Klasse “Basic” erfüllen. Erfüllt mindestens eines dieser Kriterien nicht die Anforderungen der Klasse “Basic”, so ist die Zuordnung der Einrichtung zur DFN-AAI “Basic” unzulässig.

  • Last modified: 4 years ago