Vrijgeven van eduPersonAssurance

Het attribuut eduPersonAssurance wordt gebruikt om uit te drukken wat de 'kwaliteit' is van de waarde van het account op het gebied van identity management. Bijvoorbeeld wat de mate van identity vetting is en/of de identifiers (na verloop van tijd) hergebruikt kunnen worden.

De inhoud is altijd een of meerdere waarden (URLs), gebaseerd op de internationale standaard REFEDS Assurance Framework, waarin je bijvoorbeeld kunt uitdrukken:

• Of een eenmaal uitgegeven identifier (zoals eduPersonPrincipalName) ooit, of pas na hoeveel tijd, opnieuw toegekend wordt;
• Hoe sterk je gecontroleerd hebt dat de eigenaar van dit account overeenkomt met de attribuutwaarden zoals naam;
• Hoe snel een account na het stoppen van de rechten van de persoon ook werkelijk is ingetrokken.

De instelling dient haar eigen identity management-praktijken naast deze standaard te leggen om zo te concluderen welke waarden ze kan vrijgeven. De instelling (identity provider) staat er voor in dat accounts die zo'n waarde claimen daar ook werkelijk aan voldoen.

SURFconext zelf doet niets met de waarde van dit attribuut. Het krijgt betekenis omdat bepaalde service providers dit vereisen of er betekenis aan geven.

Service Providers die dit attribuut vragen

• National Institutes of Health (PubMed): De National Institutes of Health SP is een service provider voor diverse diensten. Voor sommige van deze diensten is een waarde van eduPersonAssurance vereist. Echter, voor Nederlandse instellingen lijkt de hoofddoelstelling het gebruik van de artikelendatabase PubMed te zijn. Voor (lees)toegang tot PubMed zijn geen waardes van eduPersonAssurance nodig. Je kunt de dienst dus koppelen zonder dit attribuut nu vrij te geven.
• MyAccessID (Europese supercomputer LUMI). Deze dienst regelt toegang tot de Europese supercomputer LUMI. Voor toegang is het vereist dat accounts minimaal de volgende waarden hebben uit het REFEDS Assurance Framework:

• • https://refeds.org/assurance/ID/unique; of
    https://refeds.org/assurance/ID/eppn-unique-no-reassign
  • https://refeds.org/assurance/IAP/medium; of
    https://refeds.org/assurance/IAP/high


Hieronder lees je wanneer je die waardes kunt toekennen.

Waardes bepalen voor eduPersonAssurance

Er zijn verschillende waarden mogelijk. We concentreren ons hier op waarden waarvan we weten dat er SP's zijn die die waarden nodig hebben. Uiteraard kun je op basis van de gelinkte specificatie ook andere waarden voeren. Dit advies is gebaseerd op de specificatie, aangevuld met de eisen die sowieso al gelden voor Identity Providers in SURFconext zoals vastgelegd in Bijlage IX.

Hertoekenning

Met hertoekenning bedoelen we dat als Jan Jansen identifier jjansen@univh.nl had, Jan vertrekt en na verloop van tijd komt er een nieuwe Jan Jansen in dienst/studeren, dat deze dan mogelijk ook jjansen@univh.nl als identifier krijgt. Dit in contrast met dat een eenmaal aan een persoon uitgegeven identifier nooit opnieuw wordt uitgegeven aan een ander persoon en voor altijd gereserveerd blijft. Het gaat er hierbij om dat als je waarden opnieuw uitgeeft, de nieuwe 'eigenaar' bestanden en toestemmingen van de vorige kan overerven. (Een identifier mag natuurlijk wel na terugkeer van dezelfde persoon opnieuw aan de oorspronkelijke eigenaar gegeven worden - maar dat hoeft niet.)

• https://refeds.org/assurance/ID/unique
  Deze kan je voeren als je attribuut uid nooit heruitgeeft aan een andere gebruiker (of: als je ook een subjectID uitgeeft)

• https://refeds.org/assurance/ID/eppn-unique-no-reassign

  Deze kan je voeren als je attribuut eduPersonPrincipalName nooit heruitgeeft aan een andere gebruiker

• https://refeds.org/assurance/ID/eppn-unique-reassign-1y
  Als je een eduPersonPrincipalName wel heruitgeeft maar pas na minimaal een jaar niet in gebruik te zijn geweest.

Identiteitscontrole

Deze waarde wordt gebruikt om uit te drukken hoe goed de identiteit van de eigenaar van het account gecontroleerd is.

Je mag https://refeds.org/assurance/IAP/medium voeren voor accounts waarvoor geldt dat:

1. Er voor het account een controle is geweest van een in Nederland erkend officieel legitimatiebewijs, waarbij:
   1. gecontroleerd is of dit geldig is en redelijkerwijs authentiek lijkt te zijn, en
   2. gecontroleerd is of dit van de persoon in kwestie is (lijkt op de foto), en
   3. waarmee de attribuutwaarden (naam) redelijkerwijs overeenkomen.
      
      1. Bijvoorbeeld indienst-procedure bij HR of identiteitscheck bij studentinschrijving.
      2. Voor accounts die alleen op afstand zijn aangemaakt is er in elk geval een videogesprek geweest, naast het opsturen van een kopie-ID.
2. De instelling zorgt dat bij het uitreiken van de account credentials deze met redelijke zekerheid in het bezit komen van de bedoelde en hierboven gecontroleerde gebruiker.
3. Wijzigingen kunnen alleen met eenzelfde zekerheid uitgevoerd worden. Zoals account recovery; en de gebruiker kan bijvoorbeeld naam niet zelf aanpassen zonder nadere check op identiteitsbewijs.

Je mag https://refeds.org/assurance/IAP/high voeren als je daarbovenop:

1. Bij een autoritatieve bron hebt gecontroleerd dat de gegeven identiteit echt bestaat, anders dan het gepresenteerde legitimatiebewijs. Bijvoorbeeld checks die bij het indienst-proces gedaan worden.