Diese Story ist aus der Kategorie Innovation und dem Dossier Identity Management

Ordnung in der Welt der Avatare

Was sind digitale Identitäten? Und weshalb braucht es eine Swiss edu-ID, da wir bereits über SWITCHaai verfügen?

Text: Christoph Graf, publiziert am 11.10.2015

In der virtuellen Welt sind Abbilder von uns unterwegs: Die digitalen Identitäten. Sie enthalten personenbezogene Informationen wie Name, Adresse, Rolleninformationen und Berechtigungen etc., also so genannte Attribute. Der Zugriff erfolgt meistens mit Benutzername und Passwort. Manche Identitäten legt der Benutzer selber an, manche werden von einer Institution eingerichtet. Letzteres ist vor allem der Fall, wenn sie zu überprüfende Informationen und Berechtigungen enthalten.

Gemeinsame Policies und Schnittstellen

Ein Beispiel für eine digitale Identität ist ein SWITCHaai-Login einer Hochschule in der Schweiz (siehe Box). Mit SWITCHaai hat die Hochschulwelt das Problem des Managements von vielen digitalen Identitäten für unterschiedlichste Ressourcen bereits vor einem Jahrzehnt gelöst. Sie hat sich auf gemeinsame Policies und Schnittstellen geeinigt, so genannte Identity-Föderationen, und greift auf dieselben Basis-Identitäten zu. Die Zugriffe funktionieren seit einigen Jahren sogar länderübergreifend, dank der eduGAIN-Interföderation. Diese befindet sich in stetigem Ausbau und ist extrem wichtig für international tätige Forscher. SWITCH übernimmt hier eine aktive Rolle (siehe Beiträge "Ingredienzien internationaler Spitzenforschung" und "Kein Land kann unabhängig handeln").

SWITCHaai hat sich seit einem Jahrzehnt bewährt, und eduGAIN ist auch auf dem Weg dazu. Wieso also sollte es für die Schweizer Hochschullandschaft neue digitale Identitäten brauchen? Die Antwort ist: Man hat SWITCHaai im Hinblick auf Institutionen angelegt und nicht im Hinblick auf Benutzer. Das hat zu einigen störenden Symptomen geführt, die man jetzt mit der Swiss edu-ID beheben will:

 

  • Fehlende Persistenz: Beim Austritt aus einer Organisation verliert der Nutzer sein SWITCHaai-Login – und damit den Zugriff auf alle bislang genutzten Dienste. Für solche, die an die Person, jedoch nicht an die Organisationszugehörigkeit gebunden sind, ist das äusserst lästig (siehe Beitrag "Weniger Ärger, weniger Aufwand").
  • Fehlende Nutzerzentrierung: Beim Wechsel der Organisation oder manchmal der Rolle innerhalb derselben wird das ursprüngliche Konto gelöscht und der Nutzer erhält ein neues. Er wird von den bislang genutzten Diensten nicht wiedererkannt. Er kann nicht mehr auf die angestammte Arbeitsumgebung zugreifen.
  • Probleme mit Nicht-Organisationszugehörigen: Nur wer einer Organisation angehört, die an SWITCHaai teilnimmt, kann auf die derart geschützten Ressourcen zugreifen. Bei Kooperationen mit externen Nutzern müssen die Dienstadministratoren Letztere getrennt erfassen oder dafür sorgen, dass weitere digitale Identitäten unterstützt werden.
  • Unflexible Qualität: Für gewisse Anwendungen reichen selbstdeklarierte Nutzerattribute aus, andere haben höhere Anforderungen. SWITCHaai kennt nur eine Qualität.
  • Mangelhafte Unterstützung mobiler Umgebungen und Anwendungen im Nicht-Web-Bereich: SWITCHaai unterstützt nur Schnittstellen fürs Web. Andere sind nicht vorgesehen.

Die Basisdaten legt der Nutzer selber an. Wer bereits über ein SWITCHaai-Login verfügt, kann dieses in eine Swiss edu-ID überführen.

Die Swiss edu-ID soll wie folgt funktionieren:

Die Basisdaten legt der Nutzer selber an. Wer bereits über ein SWITCHaai-Login verfügt, kann dieses in eine Swiss edu-ID überführen (siehe Beitrag "Die Sammelmappe fürs Leben"). Die Basis-Daten sind beim Identity Provider gespeichert, in diesem Fall bei SWITCH. Darin referenzierte Attribute, die zum Beispiel in Berechtigungen münden, liegen bei den einzelnen Instituten und müssen von diesen verifiziert und in der geforderten Qualität bereitgestellt werden.

Grosse Zeit- und Aufwandersparnis für IT-Administration

Auf die Basis-Daten können die Institute via kompatible Schnittstellen zugreifen. Das bedeutet nicht nur eine grosse Zeit- und Aufwandersparnis für die IT-Administration der Institute, es hilft ihnen auch, ungewollte Dubletten zu vermeiden (siehe Beitrag "Weniger Ärger, weniger Aufwand").

Die Konstitution der Swiss edu-ID führt zu einer komplexen Situation im Bereich des Datenschutzes. Sowohl das Bundesgesetz wie auch kantonale Regeln kommen zum Zug. SWITCH ist dabei, die Rechtslage zu klären und in die Arbeiten einfliessen zu lassen (siehe Beitrag "Recht auf Vergessen bei ewiger Datenaufbewahrung")

Die Swiss edu-ID wird künftig eine grosse Rolle spielen im Hochschulbereich. Jedenfalls wird sie auch stark befürwortet von swissuniversities, und zwar für deren Programm P-2 "Wissenschaftliche Information: Zugang, Verarbeitung und Speicherung" (siehe Beitrag "Schlagkraft für den Forschungsplatz Schweiz"). Die Grundidee von P-2 lautet, dass gewisse Dienste den Universitäten zentral angeboten werden, so dass Letztere keine Ressourcen für eigene Lösungen verpuffen müssen. Dafür ist eine gemeinsame digitale Identität schlicht eine Notwendigkeit.

Dieser Text ist im SWITCH Journal Oktober 2015 erschienen.
Über den Autor
Christoph   Graf

Christoph Graf

1986 schloss Christoph Graf an der ETH Zürich als diplomierter Elektroingenieur ab. 1991 begann er bei SWITCH. Nach einem Wechsel zu DANTE in Cambridge stiess er 1998 erneut zu SWITCH. Heute leitet er den Bereich Supporting Operations.

E-Mail

SWITCHaai und Swiss edu-ID

AAI steht für Authentication and Authorisation Infrastructure. Diese Infrastruktur vereinfacht den Zugang zu Webressourcen in der Schweizer Hochschulgemeinschaft. Hochschulangehörige benötigen nur eine digitale Identität. Das SWITCHaai-Login, das sie von ihrer Hochschule erhalten, ist ihr Passepartout zu fast allen Webressourcen, die Schweizer Hochschulen und hochschulnahe Organisationen ihrem Publikum zur Verfügung stellen. SWITCHaai ist seit 2005 im Einsatz. Die Swiss edu-ID baut auf diesen Grundsätzen auf.

Weitere Beiträge