Read the English version of this article here


Het attribuut eduPersonAssurance wordt gebruikt om uit te drukken wat de 'kwaliteit' is van de waarde van het account op het gebied van identity management. Bijvoorbeeld wat de mate van identity vetting is en/of de identifiers (na verloop van tijd) hergebruikt kunnen worden.

De inhoud is altijd een of meerdere waarden (URLs), gebaseerd op de internationale standaard REFEDS Assurance Framework, waarin je bijvoorbeeld kunt uitdrukken:

  • Of een eenmaal uitgegeven identifier (zoals eduPersonPrincipalName) ooit, of pas na hoeveel tijd, opnieuw toegekend wordt;
  • Hoe sterk je gecontroleerd hebt dat de eigenaar van dit account overeenkomt met de attribuutwaarden zoals naam;
  • Hoe snel een account na het stoppen van de rechten van de persoon ook werkelijk is ingetrokken.

De instelling dient haar eigen identity management-praktijken naast deze standaard te leggen om zo te concluderen welke waarden ze kan vrijgeven. De instelling (identity provider) staat er voor in dat accounts die zo'n waarde claimen daar ook werkelijk aan voldoen.

SURFconext zelf doet niets met de waarde van dit attribuut. Het krijgt betekenis omdat bepaalde service providers dit vereisen of er betekenis aan geven.

Service Providers die dit attribuut vragen

  • National Institutes of Health (PubMed): De National Institutes of Health SP is een service provider voor diverse diensten. Voor sommige van deze diensten is een waarde van eduPersonAssurance vereist. Echter, voor Nederlandse instellingen lijkt de hoofddoelstelling het gebruik van de artikelendatabase PubMed te zijn. Voor (lees)toegang tot PubMed zijn geen waardes van eduPersonAssurance nodig. Je kunt de dienst dus koppelen zonder dit attribuut nu vrij te geven.
  • SURF Research Access Management (SRAM): SRAM is een dienst die het makkelijk maakt om velige toegang tot online diensten te regelen voor wetenschappelijk samenwerkingen. Voor toegang is de volgende waarde aan het REFEDS Assurance Framework aanbevolen:
    • https://refeds.org/assurance/ID/eppn-unique-no-reassign
  • MyAccessID (Europese supercomputer LUMI). Deze dienst regelt toegang tot de Europese supercomputer LUMI. Deze wil op een nog nader te bepalen moment in de toekomst gaan vereisen dat accounts minimaal de volgende waarden hebben uit het REFEDS Assurance Framework (maar dat is nu nog niet actueel):
    • https://refeds.org/assurance/ID/unique; of
      https://refeds.org/assurance/ID/eppn-unique-no-reassign
    • https://refeds.org/assurance/IAP/medium; of
      https://refeds.org/assurance/IAP/high

Hieronder lees je wanneer je die waardes kunt toekennen.

Waardes bepalen voor eduPersonAssurance

Er zijn verschillende waarden mogelijk. We concentreren ons hier op waarden waarvan we weten dat er SP's zijn die die waarden nodig hebben. Uiteraard kun je op basis van de gelinkte specificatie ook andere waarden voeren. Dit advies is gebaseerd op de specificatie, aangevuld met de eisen die sowieso al gelden voor Identity Providers in SURFconext zoals vastgelegd in Bijlage IX.

Hertoekenning

Met hertoekenning bedoelen we dat als Jan Jansen identifier jjansen@univh.nl had, Jan vertrekt en na verloop van tijd komt er een nieuwe Jan Jansen in dienst/studeren, dat deze dan mogelijk ook jjansen@univh.nl als identifier krijgt. Dit in contrast met dat een eenmaal aan een persoon uitgegeven identifier nooit opnieuw wordt uitgegeven aan een ander persoon en voor altijd gereserveerd blijft. Het gaat er hierbij om dat als je waarden opnieuw uitgeeft, de nieuwe 'eigenaar' bestanden en toestemmingen van de vorige kan overerven. (Een identifier mag natuurlijk wel na terugkeer van dezelfde persoon opnieuw aan de oorspronkelijke eigenaar gegeven worden - maar dat hoeft niet.)



WaardeBetekenis
https://refeds.org/assurance/ID/uniqueHet attribuut uid wordt nooit heruitgegeven aan een andere gebruiker (of een subjectID wordt ook uitgegeven).
https://refeds.org/assurance/ID/eppn-unique-no-reassign
Het attribuut eduPersonPrincipalName wordt nooit heruitgegeven aan een andere gebruiker.
https://refeds.org/assurance/ID/eppn-unique-reassign-1yeduPersonPrincipalName wordt alleen heruitgegeven na minstens één jaar inactiviteit.


Identiteitscontrole

Deze waarden drukken uit hoe goed de identiteit van de gebruiker is gecontroleerd.


WaardeVoorwaarden
https://refeds.org/assurance/IAP/medium
  • Er is een controle geweest op een officiee legitimatiebewijs. Bijvoorbeeld, de persoon heeft een kopie van zijn door de overheid uitgegeven identiteitsbewijs gestuurd naar de instelling. 
  • Er is gecontroleerd of dit geldig en authentiek is.
  • De naam op het document komt overeen met de accountgegevens.
  • Voor remote accounts: een videogesprek en een kopie-ID zijn vereist.
  • De instelling zorgt dat de accountcredentials veilig bij de gebruiker terechtkomen.
  • Accountherstel en wijzigingen vereisen dezelfde controle (bijv. naamswijziging kan niet zonder extra verificatie).
https://refeds.org/assurance/IAP/high

Bovenop IAP/medium:

  • Identiteit is bevestigd via een autoritatieve bron (bijv. HR-controle bij indiensttreding).


Jouw account heeft deze attributen niet. Wat nu? 

Als jouw instelling een vereist eduPersonAssurance-attribuut niet vrijgeeft, neem dan contact op met de IT-afdeling of het identity management-team van jouw instelling. Leg uit welke dienst je wilt gebruiken en waarom dit attribuut voor jou essentieel is voor toegang. Verwijs naar de vereisten van de dienst en geef aan hoe dit jouw werk of onderzoek beïnvloedt. Je kunt naar deze pagina verwijzen voor meer details voor het IAM-team.

  • No labels