[ProjectSCZ-FIAM] ?==?utf-8?q? keuze voor identifier in comanage

[Pieter Neerincx]

Hi,

> On 13 Nov 2017, at 22:54, Jouke Roorda <jouker at nikhef.nl> wrote:
> 
> Hi all,
> 
> Als ik dit soort dingen lees krijg ik behoorlijk de kriebels.
> Een BSN is extreem gevoelige informatie. Zo gevoelig zelfs, dat organisaties dit niet zomaar mogen gebruiken - zoals al werd genoemd.
> Zoals hieronder het scenario omschreven wordt, zou een afgeleide alsnog een untargeted, persistent id zijn. Dat zou deze afgeleide natuurlijk een wassen neus maken.

Helemaal mee eens!

> Persoonlijk vind ik de reden `dat is handig` niet afdoende.

Als collega's uit het buitenland een Nederlands eID krijgen, wat gegenereerd wordt op basis van attributen uit hun eigen land, dan zijn die eIDs niet eens handig. Het zou alleen handig zijn als een Duitser met z'n Duitse eID kan inloggen op onze infra. Als ik het onderstaande goed begrijp zou een Duitser op het cluster van de Franse Universiteit waar hij werkt met z'n Franse eID moeten inloggen en in het kader van een samenwerking met z'n Nederlandse eID op ons cluster in Groningen. Voor de alumni website van z'n alma mater heeft hij dan weer een Duits eID nodig. Dan gebruik ik nog liever IBAN als uniek user ID. Weet ik tenminste meteen waar de rekening voor de core uren en storage naar toe kan ;)

> Daarnaast zijn er genoeg minder gevoelige, maar toch persoonlijke opties alleen al binnen het eduPerson model (wiki.geant.org/display/eduGAIN/Identifier+Attributes).

Mooi overzicht. 

> Als iemand in dienst gaan van een andere instelling, dan is het altijd mogelijk om zijn identifier aan te passen in het SCZ, mocht deze persoon al aan _exact_ hetzelfde blijft werken.

Het is mooi dat SCZ soepel met een wijziging van ID overweg kan, maar bij nadere inspectie kunnen onze clusters niet goed overweg met een wijziging van een account naam :o...

> Hoe flauw het ook klinkt, is het bijzonder oninteressant wie iemand is. Veel interessanter is wát iemand is - en dat is nou precies wat de SCZ aan service providers gaat vertellen.

Hangt nogal van de "wat" af. Voor zoiets als de schaal waar SURFspot mee werkt wil je misschien weten wat iemand is: student dan studententarief, medewerker dan medewerkers tarief voor een licentie.
Maar voor de schaal van een gemiddelde CO is het totaal oninteressant om via SURFconext attributen mee te krijgen over het wat van iemands aanstelling, want die zijn allemaal te grofmazig om interessant te zijn. Een CO manager / groepsleider herkent een collega waarmee die samen wil werken op naam, omdat ze die van een congres, lezing, publicatie, o.i.d. herkennen. Dat kan een stage-student, PhD-student, postdoc, PI, Prof, analist of whatever zijn; Wat die persoon precies is bij een instelling doet er voor een autorisatie workflow in COManage totaal niet toe, maar om wie het gaat is nogal essentieel om herkend te worden. Als je eenmaal als lid in een CO zit, dan is dat lidmaatschap een "wat" dat er wel weer toe doet ;). Voor bestanden, mappen en jobs op bijvoorbeeld een cluster wil ik ook meteen herkennen van wie die zijn zonder een semi-random brei van nummers te moeten vertalen naar een naam. Kortom als de SCZ niet voorziet in het herkennen van om wie het gaat, dan wordt het niks.

Groeten,

Pi

> Ik hoop dat hier rekening mee wordt gehouden.
> 
> Jouke
> 
> 
> On Monday, November 13, 2017 21:46 CET, Raoul Teeuwen <raoul.teeuwen at surfnet.nl> wrote: 
> 
>> Ha Jeroen.
>> 
>> Dank voor je vraag. Ik heb het even bij een collega voorgelegd die zich heeft verdiept in eIDAS en die geeft aan:
>> 
>> “Voor diensten in NL is voorzien dat je een BSN krijgt, deze is “gegenereerd” voor een EU burger aan de hand van de attributen uit zijn eigen land. Maar, als de dienst geen BSN mag gebruiken wordt er een pseudoniem verstrekt. Dit laatste zou dan voor SCZ gelden. Je zou eIDAS dus wel kunnen gebruiken voor SCZ. Geldt dan natuurlijk alleen voor EU burgers en alleen voor EU landen die hun nationale eID aangemeld hebben bij eIDAS. Dit is niet verplicht. Op dit moment is alleen Duitsland (met middel op niveau hoog) aangemeld.
>> 
>> Dus ja, in theorie kun je het gebruiken, maar moet zich in de praktijk nog bewijzen. Ik zou op dat laatste wachten voor zoiets als de SCZ”.
>> 
>> Maar hij pleit wel voor een PoCje ;-).
>> 
>> Met vriendelijke groet,
>> 
>> Raoul Teeuwen
>> tel:+31641195989
>> 
>> Van: "Belien, JAM" <jam.belien at vumc.nl>
>> Datum: maandag 13 november 2017 om 16:54
>> Aan: "'projectscz-fiam at list.surfnet.nl'" <projectscz-fiam at list.surfnet.nl>
>> CC: Raoul Teeuwen <raoul.teeuwen at surfnet.nl>
>> Onderwerp: keuze voor identifier in comanage
>> 
>> Goedemiddag allen,
>> 
>> Ik heb de oorspronkelijke berichten van de lijst niet en antwoord daarom even direct op onderwerp in hoop dat het in juiste thread terecht komt.
>> 
>> Als we nu eens “modern”  denken en vooruitlopen op nieuwe wetgeving m.b.t. ingang eIDAS medio 2018. Dan zou ik wat mij betreft willen weten welke identifier er binnen eIDAS wordt gebruikt en of je daar dan niet van gebruik wilt maken. Dan heb je een unieke ID voor elke persoon binnen de EU en kan je attributen toevoegen als werkt bij LUMC voor project X en Y.
>> Wat vinden jullie van deze gedachtenkronkel?
>> 
>> m.vr.gr. Jeroen
> 
> 
> 
> 
> _______________________________________________
> ProjectSCZ-FIAM mailing list
> ProjectSCZ-FIAM at list.surfnet.nl
> https://list.surfnet.nl/mailman/listinfo/projectscz-fiam

-------------------------------------------------------------
phone: +31 6 143 66 783
e-mail: pieter.neerincx at gmail.com
skype:  pieter.online
-------------------------------------------------------------