Neues zu den Verlässlichkeitsklassen in der DFN-AAI

Transkript

1 Neues zu den Verlässlichkeitsklassen in der DFN-AAI Wolfgang Pempe, DFN-Verein 61. DFN-Betriebstagung, AAI-Forum 14. Oktober 2014, Berlin

2 Verlässlichkeitsklassen Was bisher geschah DFN-Betriebstagung, AAI-Forum, 14. Oktober 2014 Berlin, Wolfgang Pempe 2

3 Historie DFN-AAI produktiv seit Herbst 2007 Anfänglich keine Verlässlichkeitsklassen Anforderungen an Verlässlichkeit der Identitäten (zumindest teilweise) im Teilnehmervertrag geregelt Diese Anforderungen entsprachen im wesentlichen der heutigen Verlässlichkeitsklasse Advanced Seit 2009 zwei Verlässlichkeitsklassen, Advanced und Basic DFN-Betriebstagung, AAI-Forum, 14. Oktober 2014 Berlin, Wolfgang Pempe 3

4 Metadaten Klassen der Verlässlichkeit werden durch entsprechende Metadatensätze reflektiert IdPs der Klasse Advanced : DFN-AAI-metadata.xml IdPs der Klassen Advanced und Basic : DFN-AAI-Basic-metadata.xml SPs wählen entsprechend zwischen beiden Metadatensätzen aus IdPs müssen beide Metadatensätze einbinden DFN-Betriebstagung, AAI-Forum, 14. Oktober 2014 Berlin, Wolfgang Pempe 4

5 Klassen der Verlässlichkeit Problembereiche Klasse Identifizierung AuthN Datenhaltung und Prozesse zur Pflege der Identitäten Undefined bzw. Test Verfahren freigestellt Verfahren freigestellt Verfahren freigestellt Basic Rückantwort von eindeutiger Adresse ( , Tel. Nr., Postanschrift, etc.) Eindeutige digitale Adresse Verpflichtung bzgl. Aktualität innerhalb von 3 Monaten Advanced pers. Vorsprechen gegenüber Vertrauensinstanz unter Vorlage amtlicher Dokumente (alternativ: Post-Ident, eid/npa) pers. Account bzw. digitales Zertifikat (sichere Vergaberichtlinie) Verpflichtung bzgl. Aktualität innerhalb von 2 Wochen 61. DFN-Betriebstagung, AAI-Forum, 14. Oktober 2014 Berlin, Wolfgang Pempe 5

6 Problembereich Identifizierung Verfahren zur Identifizierung durch die nutzende Einrichtung Derzeit vielerorts problematisch durch Einführung der Online-Immatrikulation Schwerpunktthema beim AAI-Forum auf der 59. BT (Oktober 2013) (siehe hierzu auch die Diskussion auf der aai-users Mailingliste) Beitrag und Diskussion auf Frühjahrstagung in Leipzig Studierende werden vielfach erst anlässlich der ersten Prüfung anhand eines amtl. Dokuments identifiziert (wie) findet diese Information Eingang ins IdM? Was tun? - Raus aus Advanced? - Was passiert mit den Zugängen zu Content Providern? 61. DFN-Betriebstagung, AAI-Forum, 14. Oktober 2014 Berlin, Wolfgang Pempe 6

7 Bisherige Lösungsansätze Verlagerung der Verlässlichkeitsklassen auf Attribut- Ebene edupersonassurance (wird international nicht genutzt, keine standardisierten Kategorien) SAML2 Authentication Context (nicht vollständig in Shibboleth-Software implementiert) Information bzgl. Identifizierung des/der jew. NutzerIn im IdM hinterlegen, dann: Angepasster Login Handler mit entsprechendem Filter (kein Login für nicht gesicherte Identitäten) Angepasste Attribute Filter Policies für Advanced SPs und andere IdP-seitige Tricksereien 61. DFN-Betriebstagung, AAI-Forum, 14. Oktober 2014 Berlin, Wolfgang Pempe 7

8 Verlässlichkeitsklassen Wie geht es weiter? 61. DFN-Betriebstagung, AAI-Forum, 14. Oktober 2014 Berlin, Wolfgang Pempe 8

9 Fortsetzung der Diskussion (1) auf Initiative der Uni Münster (R. Mersch) Treffen in Münster am mit Vertreter(inne)n von Einrichtungen aus NRW und des DFN Das größte Problem ist die Identifizierung von Studierenden im Rahmen der Online-Immatrikulation, Mitarbeiter(innen) müssen üblicherweise polizeiliches Führungszeugnis vorweisen ( persönl. Identifizierung) Angehörige von Hochschulen müssen heutzutage zahlreiche Nachweise bringen (SV-, KV-, Zeugnisse, etc): Diese zusätzlichen Kriterien werden nur unzureichend durch die aktuellen Anforderungen der Verlässlichkeitsklassen abgedeckt Der Aufwand, eine Identität zu fälschen, steht in keinem Verhältnis zum (theoretischen) Nutzen, z.b. auf das Angebot von Springerlink zugreifen zu können 61. DFN-Betriebstagung, AAI-Forum, 14. Oktober 2014 Berlin, Wolfgang Pempe 9

10 Fortsetzung der Diskussion (2) Der Schaden, der durch gefälschte Identitäten entsteht, trifft in erster Linie die Einrichtungen starkes Eigeninteresse an gesicherten Identitäten Als die Kriterien (für Advanced ) seinerzeit eingeführt wurden, orientierten sich diese an der damals gängigen Praxis an den Hochschulen Ergänzung der Mindestanforderung für Advanced durch einen Passus, der die aktuell gültigen Verfahren zur Identifizierung von Studierenden und Mitarbeiter(inne)n an den Hochschulen als gleichwertig definiert 61. DFN-Betriebstagung, AAI-Forum, 14. Oktober 2014 Berlin, Wolfgang Pempe 10

11 Klassen der Verlässlichkeit Ergänzungsvorschlag Klasse Identifizierung AuthN Datenhaltung und Prozesse zur Pflege der Identitäten Test Basic Advanced Rückantwort von eindeutiger Adresse ( , Tel. Nr., Postanschrift, etc.) pers. Vorsprechen gegenüber Vertrauensinstanz unter Vorlage amtlicher Dokumente (alternativ: Post-Ident, eid/npa). Die an den Hochschulen etablierten Einschreibungs- und Einstellungsprozesse werden als gleichwertig akzeptiert Eindeutige digitale Adresse pers. Account bzw. digitales Zertifikat (sichere Vergaberichtlinie) Verpflichtung bzgl. Aktualität innerhalb von 3 Monaten Verpflichtung bzgl. Aktualität innerhalb von 2 Wochen 61. DFN-Betriebstagung, AAI-Forum, 14. Oktober 2014 Berlin, Wolfgang Pempe 11

12 Nächste Schritte Diskussion DFN-intern und mit/in der Community (ZKI AK VD, Betriebstagung) Zusätzliche Verlässlichkeitsmerkmale sollen zukünftig durch Attribute (edupersonassurance) transportiert werden internationale Abstimmung bzgl. der Attributwerte Mittelfristig Verzicht auf zwei statische Verlässlichkeitsklassen ( Metadaten) Dokumentation der Änderungen und Information der teilnehmenden Einrichtungen und Anbieter 61. DFN-Betriebstagung, AAI-Forum, 14. Oktober 2014 Berlin, Wolfgang Pempe 12

13 edugain / Interfederation Opt-in oder Opt-out? Wolfgang Pempe, DFN-Verein pempe@dfn.de 61. DFN-Betriebstagung, AAI-Forum 14. Oktober 2014, Berlin

14 Wie funktioniert edugain? Gemeinsamer Metadaten-Pool (MDS), der von den teilnehmenden Föderationen befüllt wird (Upstream Metadata) Daraus bedienen sich die Teilnehmer (Downstream Metadata) und stellen diese Metadaten ihren eigenen Teilnehmern, d.h. IdPs und SPs zur Verfügung Downstream MD entweder als separater Datensatz/Feed (SWITCHaai, DFN-AAI) oder als Bestandteil der eigenen Föderationsmetadaten (UK Federation) 61. DFN-Betriebstagung, AAI-Forum, 14. Oktober 2014 Berlin, Wolfgang Pempe 14

15 Interföderation 61. DFN-Betriebstagung, AAI-Forum, 14. Oktober 2014 Berlin, Wolfgang Pempe 15

16 Interföderation Metadaten-Management 61. DFN-Betriebstagung, AAI-Forum, 14. Oktober 2014 Berlin, Wolfgang Pempe 16

17 Technische Umsetzung in DFN-AAI Opt-in, gemäß der ursprünglichen edugain-policy: Bewusste Entscheidung der IdP/SP-Verantwortlichen, die betr. Entity in die Upstream Metadaten der DFN-AAI aufzunehmen (Checkbox in Metadatenverwaltung) Damit die Kommunikation mit Entities aus anderen teilnehmenden Föderationen funkioniert, müssen die Downstream Metadaten als zusätzlicher MetadataProvider konfiguriert werden, vgl. Für SPs wird ein Discovery Service (WAYF) angeboten, der alle IdPs der DFN-AAI und aus edugain enthält: DFN-Betriebstagung, AAI-Forum, 14. Oktober 2014 Berlin, Wolfgang Pempe 17

18 Umstellung auf Opt-out? Motivation: Anzahl der in edugain registrierten Entities wächst stetig aber langsam Henne-Ei Problem: SPs wünschen größere Zielgruppe (IdPs) ansonsten keine echte Alternative zur Anmeldung in mehreren Föderationen, IdPs wünschen mehr Dienste Darum stellen einige Föderationen (z.b. Frankreich, Italien) für IdPs auf Opt-out um: Metadaten aller IdPs werden automatisch zu den Upstream- Metadaten hinzugefügt, wer das nicht möchte, muss von sich aus aktiv werden Opt-out, bei RENATER (Frankreich) derzeit 4 von 229 Seither (1. Juli) 27 neue edugain-sps hinzugekommen, Vergleichszeitraum (Mitte April bis Juni) nur 14 Sicher noch zu früh, um eindeutigen Trend zu erkennen DFN-Betriebstagung, AAI-Forum, 14. Oktober 2014 Berlin, Wolfgang Pempe 18

19 edugain Beteiligung Stand: Aktuell (9. Okt.): 541 IdP SP Ende Juni 2014: 274 IdP SP 61. DFN-Betriebstagung, AAI-Forum, 14. Oktober 2014 Berlin, Wolfgang Pempe 19

20 Opt-out auch für DFN-AAI? Technische Konsequenzen: Lokale Konfiguration IdP-seitig unverändert Alle IdPs würden standardmäßig in Upstream Metadaten geschrieben (Opt-out: Checkbox) Downstream MD als Bestandteil der DFN-AAI-Basic Metadaten Opt-out neuer Metadatensatz ohne edugain SPs Datenschutz: Vorsicht bei globalen Attribut-Freigaben! Filtern nach Föderationszugehörigkeit ist bereits jetzt möglich (Registration Authority als Entity Attribut) Policy: Ergänzung der Dienstvereinbarung DFN-AAI 61. DFN-Betriebstagung, AAI-Forum, 14. Oktober 2014 Berlin, Wolfgang Pempe 20

21 Opt-out auch für DFN-AAI? Meinungen?? Kommentare? 61. DFN-Betriebstagung, AAI-Forum, 14. Oktober 2014 Berlin, Wolfgang Pempe 21

22 Vielen Dank für Ihre Aufmerksamkeit! Fragen? Anmerkungen? Kontakt Portal: Tel.: