Gastbeitrag 16.11.2018, 10:00 Uhr

Chancen und Risiken der edu-ID

Mit der edu-ID soll ein einheitlicher Login-Prozess an Hochschulen etabliert werden. Die Lösung der Stiftung Switch verspricht Vorteile für Hochschulen und Studierende sowie für Teilnehmer von Weiterbildungen. Ein Beitrag über das komplexe Thema edu-ID, ihren Mehrwert und mögliche Stolperfallen.
Der Autor: Patrick Winkler ist IAM Consultant und Partner bei WiB Solutions. www.wib.ch
Die edu-ID ist die neue langlebige, digitale Identität der Stiftung Switch für jeden Benutzer im tertiären Bildungssystem der Schweiz. Also für Studierende, Hochschulmitarbeiter, Studienabgänger, Forschende, Lernende, Weiterbildungsteilnehmer etc. Mit edu-ID wird ein Paradigmenwechsel angestrebt. Im Gegensatz zum Ansatz der Vorgängerin, der Authentifizierungs- und Autorisierungs-Infrastruktur (AAI) von Switch (Switchaai), ist die edu-ID nutzerzentriert. Es steht die edu-ID-Identität im Zentrum. Sobald eine Person sich online für eine edu-ID registriert, ist sie im Besitz einer digitalen Identität. Diese kann für diverse Anwendungsfälle verwendet werden. Mit der gelösten edu-ID können Vorzüge von Beginn weg genutzt werden, wie zum Beispiel für den Download von Informationsmaterial einer Hochschule.
Was sich auf elektronischer Ebene an der edu-ID-Identität einer Person ändert, sind die Zustände: Zum Beispiel «Student Hochschule 1» oder «Mitarbeiter Hochschule 2». Durch das Hinzufügen von Eigenschaften, etwa eine Immatrikulation, verändern sich diese auf der Identität. Die IT der assoziierten Hochschule kann auf diese Änderung der Attribute reagieren und entsprechende Berechtigungen freischalten, entweder automatisch oder manuell.

Mehrwerte mit dem neuen Ansatz

Eine eindeutige und lebenslange Identität für Studierende ist für Hochschulen bei der Erreichung ihrer strategischen Ziele elementar. Hinter dem Übergang von der rollenorientierten AAI zur nutzerzentrierten edu-ID stehen massgeblich der Anspruch des lebenslangen Lernens und einhergehend damit die Herausforderung der immer kürzeren Halbwertszeit des Wissens. Die edu-ID unterstützt durch ihren technischen Aufbau neue Formen der Wissensvermittlung mit besserer Integrierbarkeit in den Alltag, bietet aber auch eine Chance der Kundenbindung mit der Sicht auf die Studierenden als wiederkehrende Kunden. Insgesamt wird ein durchgängiges Erlebnis für alle Benutzer und ein standardisierter Life Cycle der ID-Lösung bei möglichst allen Hochschulen angestrebt. Login-Prozesse und die Prüfung von Zugängen werden zentralisiert an Switch ausgelagert. Auch wenn die Hochschulen sich dem Life-Cycle-Prozess von Switch als Identity Provider anpassen müssen, die Prozesse der Hochschulen werden einheitlicher. Das dürfte zu Kostensenkungen führen. Besonders für kleine Hochschulen mit limitiertem IT-Budget entstehen hohe Mehrwerte, da einzelne IT-Services nicht mehr selber zur Verfügung gestellt werden müssen. Zudem bietet die edu-ID im Weiterbildungsbereich grosse Vorteile. So benötigen Kursteilnehmer oft nur für wenige Tage Zugriff auf IT-Services, beispielweise auf ein Learning Management System wie Moodle, Ilias oder Olat. Hier lässt sich der Betreuungsaufwand durch die neue ID-Lösung deutlich reduzieren.
“Besonders für kleine Hochschulen mit limitiertem IT-Budget lohnt sich die edu-ID„
Patrick Winkler
Der Benutzer wiederum profitiert dadurch, dass künftig eine Multi-Faktor-Authentifizierung (MFA) möglich wird. Durch zwei voneinander unabhängige Schlüssel erhält der Student im Login-Verfahren einen verbesserten Schutz, zum Beispiel gegen Passwort-Hacking. Für kritische Systeme oder Services, etwa Prüfungsunterlagen, könnte ein Einloggen mit MFA für den Benutzer zudem Pflicht werden (Enforcing von MFA). Durch Single Sign-on (SSO) ist der Benutzer auf alle Ressourcen berechtigt, ohne für jede Ressource ein neues Login erstellen oder sich neu anmelden zu müssen. Zudem könnte hochschul- und standortübergreifendes Drucken möglich werden. Dies sind Dienstleistungen, die heute nicht oder nur beschränkt möglich sind. Zudem gelten die bisherigen Vorteile von Switchaai auch im edu-ID-Konzept.

Risiken des neuen Konzepts

Die edu-ID ist nicht die einzige digitale Identität, die momentan in Planung ist. Da Personen künftig elektronisch identifiziert werden sollen, hat der Bundesrat seine Vorschläge für eine elektronische nicht studentenbezogene ID (Schlagwort «E-ID») vorgelegt. Vor einem Jahr liess der Bundesrat verlauten, dass er die Entwicklung der digitalen Identität vorantreibe. Verschiedene Unternehmen arbeiten nun an dieser E-ID innerhalb der SwissSign Group zusammen. Somit scheint aktuell ein paralleler Wettlauf um digitale IDs im Gange zu sein. Switch muss daher sicherstellen, dass sie zukünftig mit anderen elektronischen IDs umgehen kann. Hierzu hat ein Dialog mit verschiedenen Interessengruppen stattgefunden, der fortgeführt werden soll. Auf technischer Seite ist die Integration des Standardkonzepts der edu-ID durch jede Hochschule mit ihren individuellen IT-Landschaften nicht zu unterschätzen. Jede Hochschule muss darüber hinaus die neue komplexe Lösung verstehen, einbinden und unterhalten können. Prozessanpassungen stehen hierbei ebenfalls an. Doppelspurigkeiten während der Transformationsphase, sprich eine Instandhaltung einer doppelten IT-Infrastruktur, sind zudem nicht zu vernachlässigen. Für den Know-how-Aufbau, die Integration und Fallback-Szenarien müssen bei den Hochschulen Zeit und Expertise verfügbar sein. Zusätzlich sind künftig Änderungen am Modell der edu-ID möglich. Entsprechend müssen Hochschulen auch ein begleitendes Changemanagement einplanen.

Stand heute

Switch plant, die edu-ID bis Ende 2020 vollständig umzusetzen. Ebenfalls ist es ein Ziel, alle Organisationen möglichst schnell auf edu-ID zu migrieren. Denjenigen Hochschulen, die ihre Migration auf Switch edu-ID auf einen Zeitpunkt vor Ende des Jahres 2020 planen, werden vom Bund Fördermittel zur Verfügung gestellt. Angedacht ist es ferner, den jetzigen Switchaai-Service langfristig abzuschalten. Erste Hochschulen haben mit der Migration bereits begonnen, wie beispielsweise die Fachhochschule Nordwestschweiz (FHNW). Sie schreibt auf ihrer Webseite, dass bis 2020 alle Benutzer der FHNW-Systeme über die edu-ID identifiziert werden sollen.
Die elektronische ID «edu-ID» der Stiftung Switch soll das Login an den Hochschulen harmonisieren und zentralisieren
Quelle: Switch

Fazit

Eine erfolgreiche Umsetzung wird viele Abstimmungen zwischen Switch als Organisation und den Hochschulen einfordern. Obwohl eine Prognose schwierig ist und noch Fragen unbeantwortet sind, erscheint ein Wechsel zur edu-ID für eine Hochschule langfristig sinnvoll. Gut möglich, dass Switch in Zukunft noch weitere Produkte anbieten wird, um eine höhere Eigenfinanzierung zu sichern.
Hochschulen hierzulande sollten sich grundlegend mit der Thematik auseinandersetzen, um die vielfältigen Vorteile der neuen Lösung nutzen und die beschriebenen Risiken minimieren zu können. Die Einbindung der edu-ID ist nicht einfach, sie ist ein anspruchsvolles Projekt. Es könnte helfen, dieses mit Integrationspartnern anzugehen, die bei Planung und Umsetzung Unterstützung bieten.
Die edu-ID im Überblick
Die digitale Studenten-Identität «edu-ID» ist ein eindeutig zu bestimmendes Objekt, also eine Entität, über die Informationen gespeichert werden. Jede edu-ID erfüllt eine Grunddatenstruktur. Auf der edu-ID werden
benötigte Datenstrukturen gemäss Attribute-Form festgelegt und gespeichert. Das können zum Beispiel Benutzerinformationen und Hochschulzugänge sein.
Anwender können Studierende, Hochschulmitarbeiter, Studienabgänger, Lernende oder Weiterbildungsteilnehmer sein. Alle können über eduid.ch mit einer beliebigen E-Mail-Adresse ihre edu-ID selbst erstellen. Die Website der Hochschule, auf die der Benutzer zugreifen möchte, bei edu-ID Destination genannt, steht zu Beginn jedes Login-Prozesses. Gleiches gilt für den Zugriff auf Dienste wie die elektronische Ablage für Unterrichtsmaterialien, etwa Moodle. Der Benutzer wird stets auf die Login-Maske der edu-ID weitergeleitet. Nach dem Login wird der User an die zuvor gewählte «Destination» umgeleitet. Nachdem die Hochschule ein «Mapping» zwischen edu-ID und den Daten der Organisation hergestellt hat, kann der Benutzer gewünschte Services im Umfang seiner definierten Berechtigungen benutzen. Beim Login-Verfahren agiert Switch als Identity Provider, eine Hochschule hat die Rolle eines Service Providers. Die Authentifizierung wird über den Single-Sign-on-Dienst gesteuert und erlaubt indirekt das Login auf die Hochschulen.

Das könnte Sie auch interessieren