Ergebnisse
Kurzumfrage zur Servicenutzung bei Nutzer*innen der Hochschulen
Das Konsortium von IDM.nrw hat bei den Nutzer*innen der Hochschulen in NRW, insbesondere denen des Konsortiums, eine Kurzumfrage zur Servicenutzung in NRW durchgeführt. Es sollte ein erster Eindruck gewonnen werden, ob Interesse an einer hoschulübergreifenden Nutzung entfernter Services besteht. Dafür wurden Forschende und Lehrende der Hochschulen gebeten, an einer Kurzumfrage teilzunehmen. Es wurden sowohl geschlossene als auch offene Fragen verwendet. Insgesamt nahmen 349 Hochschulangehörige an der Umfrage teil, 302 von ihnen sind forschend und/oder lehrend tätig.
Den Bericht zur Kurzumfrage finden Sie hier.
NRW-Subföderation
Die Authentifikations- und Autorisierungs-Infrastruktur des Deutschen Forschungsnetzes (DFN-AAI) bietet bereits die Möglichkeit, hochschulübergreifend auf webbasierte Services zuzugreifen. Darüber hinaus bietet sie eine Infrastruktur und schafft ein Vertrauensverhältnis zwischen den Organisationen. IDM.nrw möchte diese Infrastruktur ergänzen und NRW-Standards schaffen sowie den hochschulübergreifenden Zugriff auf nicht-webbasierte Services ermöglichen. Daher wurde eine NRW-Subföderation innerhalb der DFN-AAI eingerichtet.
Die Subföderation wird zukünftige Serviceanbindungen wesentlich vereinfachen, da nur einmalig der Zugriff auf die Subföderation gewehrt werden muss. Teilnehmende Hochschulen in Nordrhein-Westfalen (NRW) müssen so nicht mehr länger mit den teilnehmenden Services individuelle Vereinbarungen treffen. Dies gilt insbesondere mit Blick auf bundes-, europa-, oder weltweite Föderationen.
Die Entity Category „http://aai.dfn.de/category/idm.nrw-member“ wurde bereits bei der DFN-AAI eingerichtet. Die entsprechenden Metadaten sind hier abrufbar.
Für die Beteiligung an der NRW-Subföderation gibt es die folgenden Voraussetzungen:
- Hauptsitz der Geschäftsstelle in NRW
- SAML Attribute werden unter ihren Shibboleth-Namen herausgegeben bzw. entgegengenommen
Zusätzlich empfehlen wir, die von IDM.nrw erarbeiteten Standards zu nutzen. Für die Aufnahme in die NRW-Subföderation wenden Sie sich bitte an die Projektleitung. Mit der Anmeldung zur NRW-Subföderation stimmen Sie dem Code of Conduct zu.
Gemeinsame Attribute
Um Services für Nutzende zur Verfügung zu stellen, brauchen Serviceanbietende bestimmte Daten von einer Person. Beispielsweise haben Mitarbeitende von Hochschulen in der Regel andere Rechte als Studierende. Solche Eigenschaften werden mit Attributen übermittelt. Neben nicht-identifizierenden Merkmalen wie der Postleitzahl des Wohnortes können Attribute auch Werte beinhalten, die Rückschlüsse auf die Identität der Nutzenden zulassen. Beispiele hierfür sind eine eindeutige Identifikationsnummer, die E-Mail-Adresse, oder Name und Vorname. Welche Attribute Serviceanbietende benötigen, um Nutzenden den Service zur Verfügung zu stellen, variiert von Service zu Service.
Die Authentifikations- und Autorisierungs-Infrastruktur des Deutschen Forschungsnetzes (DFN-AAI) hat eine Liste mit den gängigsten Attributen veröffentlich inklusive einer zugehörigen Objekt-Identifikationsnummer (ObjectID). Die OID dient als eindeutiger, nicht veränderbarer Identifikator des Attributs. Die Stellen, welche Identitäten verwalten — wie beispielsweise Hochschulen (Identity Provider) — leiten die jeweils benötigten und geforderten Attribute nur nach Zustimmung des Nutzenden an die Services (Service Provider) weiter. Diese Zustimmung wird vor der erstmaligen Anmeldung abgefragt.
Bislang müssen Hochschulen und Services individuelle Vereinbarungen treffen, in welcher Form die Attribute übermittelt werden. Dies erfordert einen hohen Aufwand und verzögert die Anbindung der Services an die Hochschulen. Auch für Nutzende ist dieses Vorgehen sehr kompliziert, da sie nicht einfach ersehen können von welcher Hochschule welcher Service kommt und an wen sie sich für Hilfestellungen wenden sollen. Zudem ergeben sich auf für sie unnötige Wartezeiten um Zugriff auf einen Service zu erhalten.
Um das zu vermeiden, sollen die NRW Hochschulen sich auf das Set von Attributen verständigen, die generell in der NRW Föderation untereinander freigegeben werden sollen. Um einen Informationsaustausch zwischen Identity Provider und Service Provider zu gewährleisten ist es wünschenswert, dass alle Attribute einem einheitlichen Aufbau unterliegen. Dies betrifft insbesondere Attribute die zur korrekten Zuordnung von Rechten dienen (z.B. Student). Bislang gibt es in NRW keine Einheitlichkeit in dem Bereich.
Attributempfehlungen
In der Machbarkeitsstudie wurde bereits basierend auf den Best-Practice-Empfehlungen der DFN-AAI eine Attributliste erstellt. Diese wurde im Umsetzungsprojekt überprüft und in Kooperation mit den Hochschulen in NRW erweitert. Ziel des Arbeitspakets ist es, ein möglichst einheitliches Attribut-Format und ein gemeinsames Set an Basis-Attributen für NRW zu entwickeln.
IDM.nrw empfiehlt Identity Providern in NRW, eine Reihe von Attributen innerhalb der NRW-Subföderation immer freizugeben, wenn der Service Provider sie als required (notwendig) angibt. Umgekehrt sollen auch Service Provider sich auf diese Attribute beschränken. So kann sichergestellt werden, dass die geringstmögliche Anzahl an Attributen übermittelt wird und keine individuellen Vereinbarungen notwendig sind.
Die DFN-AAI hat bereits eine Reihe von Attributstandards entwickelt, mit welcher der technische Austausch von Attributen zwischen Service Provider und Identity Providern leicht möglich ist. Zum Teil sind haben sich diese Attribute zu einem weltweiten Standard entwickelt. Wo erforderlich, hat IDM.nrw diese Standards um bestimmte Attribute erweitert. Alle vom Konsortium neu erstellten Attributen haben den Vorsatz idmNrw um sie kenntlich zu machen. Eine Voranstellung des NRW Scopes macht zum Zeitpunkt des Umsetzungsprojekts Sinn, da zunächst eine einheitliche Form für Nordrhein-Westfalen gefunden werden soll. Für eine Interoperabilität mit anderen Bundesländern müssen zu einem gegebenen Zeitpunkt Nacharbeiten durchgeführt werden. Die Attribute sind auf der DFN-AAI Seite gelistet.
Die vollständigen (Zwischen-) Ergebnisse finden Sie im Wiki.
Evaluierung von Technologien
Die Evaluierung von (neuen) Technologien ist die Grundlage um den technischen Teil des Projektziels zu erreichen. Aus diesem Grund sammelte das Konsortium zunächst eine Reihe von Technologien mit denen potenziell ein föderiertes Identity Management in NRW realisiert werden kann. Hierzu gehören Technologien aus den Bereichen Authentifizierung, Multi-Faktor-Authentifizierung oder Gruppenverwaltung. Hinzu kommen Methoden zum gesicherten und datensparsamen Austausch von Informationen.
Anhand von festgelegten Kriterien werden die Technologien evaluiert und auf ihre Tauglichkeit hin bewertet. Bei bestimmten Technologien erfolgt die Evaluierung in Kooperation mit bwIDM2 um von gegenseitigem Wissen und Erfahrungen zu profitieren.
Auch mit den Hochschulen in NRW wird insbesondere in diesem Arbeitspaket eng kooperiert. Zusätzlich zu den halbjährigen landesweiten IDM.nrw Forum finden spezielle Technologieworkshops statt. Auf diesen Workshops werden Ergebnisse von IDM.nrw vorgestellt und auch Input von den Hochschulen eingeholt. Hier geht es Anmeldung.
Den aktuellen Stand finden Sie im Wiki von IDM.nrw.
Zentrale Personengruppen
Mitglieder von Hochschulen haben an ihren Einrichtungen eine Reihe von Rechten, welche speziell auf ihre Position bzw. den Status angepasst ist. So haben beispielsweise Professoren Zugriff auf Lernsysteme, Mitarbeitende der Finanzabteilung jedoch nicht. Mitglieder von Hochschulen gehören innerhalb der Hochschule bestimmten Personenkreisen an (z.B. Studentische Hilfskräfte oder hauptberufliche Professor/innen. Diese Informationen werden einem Status innerhalb der Hochschule zugewiesen (Mitglied, Angehörige und Nicht-Angehörige). Welcher Personenkreis welchen Status hat ist gesetzlich im Landeshochschulgesetz, dem Kunsthochschulgesetz, Hochschulsatzungen und weiteren Grundlagen geregelt.
Basierend hierauf ordnen Hochschulen die Personenkreise den eduPersonAffiliations zu. Sie werden von der Authentifizierungs- und Autorisierungsinfrastruktur des Deutschen Forschungsnetzes (DFN-AAI) zur allgemeinen Verwendung empfohlen. Hierzu gehören:
- Other
- Staff
- Faculty
- Student
- Affiliate
- alum
- library walk-in
Basierend auf diesen eduPersonAffuliations vergeben Serviceanbietende Nutzenden spezielle Rechte. So wird eine individuelle Rechtevergabe überflüssig und beschleunigt Prozesse.
Zurzeit haben die Hochschulen in NRW diverse zentrale Personenkreise. Diese unterscheiden sich sowohl in der Benennung als auch in der Definition. Für die erfolgreiche Umsetzung eines Föderierten Identity Managements ist es wünschenswert, eine Harmonisierung in NRW zu erreichen.
Ziel dieses Arbeitspakets ist daher Ein gemeinsames Verständnis, welche Personenkreise es gibt und auf welche Affiliations / Status diese abzubilden sind. Die Ergebnisse stellen eine Interpretationsempfehlung dar, an der sich die Hochschulen orientieren können.
Detaillierte Ergebnisse sind im Wiki veröffentlicht.