Seit 2023 können Service Provider bei einem Login eine bestimmte Verlässlichkeitsklasse (Assurance Level) einer Identität verlangen.
Der IDP der Uni-Stuttgart überträgt folgende Verlässlichkeitsklassen bei einem Login:
(IAP = Identity Assurance Profile)
- IAP/low, bei allen Mitgliedern der Universität Stuttgart (Mitarbeitende und Studierende)
- IAP/medium, wenn zusätzlich eine Identitätsprüfung durchgeführt und im SIAM der Universität Stuttgart dokumentiert wurde (siehe unten)
- IAP/high: (wird aktuell nicht vergeben, elektronische ID erforderlich, siehe unten)
Generell bekommen Accounts von Mitarbeitern und Mitarbeiterinnen folgende Attribute aus dem Assurance Framework zugeordnet:
- https://refeds.org/assurance/ID/unique
eppn (eduPersonPrincipalName) ist innerhalb unserer Einrichtung eindeutig. - https://refeds.org/assurance/ID/no-eppn-reassign
bereits genutzte eppn's werden nicht neu an andere Accounts vergeben - https://refeds.org/assurance/IAP/local-enterprise
die Verlässlichkeit ist ausreichend für den Login auf Verwaltungssystemen der Universität - https://refeds.org/assurance/ATP/ePA-1m und
https://refeds.org/assurance/ATP/ePA-1d
Änderungen an Person und Accounts werden innerhalb eines Tages an alle Systeme übertragen
Studierendenaccounts bekommen immer folgende Attribute aus dem Assurance Framework zugeordnet:
- https://refeds.org/assurance/ID/unique
- https://refeds.org/assurance/ID/no-eppn-reassign
- https://refeds.org/assurance/ATP/ePA-1m und
https://refeds.org/assurance/ATP/ePA-1d
Wurde bisher keine Identitätsprüfung der Person beim IZUS/TIK hinterlegt, erhält jeder Account dieser Person zusätzlich die Verlässlichkeitsklasse
https://refeds.org/assurance/IAP/low
Wurde eine Identitätsprüfung im IZUS/TIK dokumentiert, dann ändert sich die Verlässlichkeitsklasse in
https://refeds.org/assurance/IAP/medium
Die Klasse https://refeds.org/assurance/IAP/high wird in Zukunft angeboten, wenn eine Validierung mit einer elektronischen ID (eID) implementiert wurde.
Falls Sie die Verlässlichkeitsklasse medium für einen erfolgreichen Login in einen Service benötigen, müssen Sie eine Identitätsprüfung wie unten beschrieben durchführen lassen.
Hintergrund dieser Änderung
Bis 2023 wurden Identity Provider (IDP) innerhalb der DFN-AAI (und auch innerhalb von EduGAIN) selbst in eine Verlässlichkeitsklasse eingeordnet und damit erhielt jede Person automatisch die Verlässlichkeitsklasse des IDPs, über den der Login erfolgte. Dies war für den IDP der Uni-Stuttgart die Verlässlichkeitsklasse „advanced“.
2023 wurde dieses Vorgehen in das REFEDS Assurance Framework geändert, das nun Verlässlichkeiten pro Person oder deren Nutzeraccounts definiert. Die Verlässlichkeitsklassen einer Identität sind nun:
- IAP/low
- IAP/medium
- IAP/high
Identitätsprüfung an der Universität Stuttgart
An der Universität Stuttgart erfolgt bei der Einstellung von Personen in der Regel keine Prüfung der Identität anhand eines Ausweisdokumentes (Personalausweis, Reisepass). Diese ist jedoch Voraussetzung für die Auslieferung der Verlässlichkeitsklasse "medium". Darum kann der IDP generell bei Logins nur die Verlässlichkeitsklasse „low“ ausliefern.
Personen, deren Identität z.B. im Rahmen der Beantragung von Zertifikaten bereits geprüft wurde, erhalten die Verlässlichkeitsklasse "medium".
Sie können aktuell (Stand 09/2023) die Verlässlichkeitsklasse „medium“ erhalten, wenn Sie eine Identitätsprüfung an einer der folgenden Stellen durchführen lassen:
- IZUS/TIK, Allmandring 30a
- IZUS/TIK Breitscheidstr. 2b
- BERA, Pfaffenwaldring 57, Raum 0.704 (geplant)
Bitte vereinbaren Sie einen Termin, indem Sie eine E-Mail an unsere Supportadresse senden.
pki-support@tik.uni-stuttgart.de
Es ist geplant das Level der Identitätsprüfung einer Person in Zukunft im Self-Service (SIAM) anzuzeigen.
Referenzen und Quellen:
- DFN Verlässlichkeit: https://doku.tid.dfn.de/de:aai:assurance
- REFEDS Assurance Framework: https://wiki.refeds.org/display/ASS/REFEDS+Assurance+Framework+ver+1.0
- eIDAS assurance level: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32015R1502&from=EN