TA6 WP2

Europe/Berlin
zoom

zoom

Invite Link https://desy.zoom.us/j/61827971859 Meeting-ID 618 2797 1859 Kenncode 416221

Teilnehmer
- Kilian
- Markus
- Michael Wigard
- Sander
- Daniel
- Christopher
 

a) Use Case Muenster
Jupyter Hub zugaenglich machen
Authentifizierung via DFN AAI gebaut, auch fuer eigene Nutzer
unschoen fuer 2. Button
und dann muss sich Nutzer entscheiden zwischen DFN und PUNCH
oder ev. noch weiteren AAIs
DFN AAI login behalten und Gruppenzugehoerigkeit der Nutzer via PUNCH AAI
und dann Rechte anhand Gruppenzugehoerigkeit entscheiden

 

Use Case bekannt, abgehakt
groesste Problem wie Info rauskriegen
am einfachsten ueber OAUTH gehen
vermutlich selbst entwickeln Jupyter Hub erweitern, so dass Nutzern
ermoeglicht, weitere Info von zusaetzlicher AAI zu holen
2. Authentifizierungsflow implementieren
via Einstellung verlinken
Problem, dass das ganze regelmaessig aktualisiert werden muss
mit refresh token
einmal im Jahr erneuern
Einstellungen: Account verlinken
Einloggen via DFN AAI
2. Login Flow gegen PUNCH AAI
ueber OIDC mit refresh Token langlebiger
Jupyter Hub: Authenticator gegen Unity existiert
Moeglichkeit zum Verlinken des Accoounts unklar
 

Muenster:
besser, wenn implizit zur Verfuegung steht, die Info
so nicht so angenehm fuer Nutzer
Ein Weg wie man Atribute anreichern kann
PUNCH AAI = Attribute Authority
ist nicht Protokoll spezifisch
Problem: Verbindung muss hergestellt werden
Problem2: Nutzer muss Datenfreigabe zustimmen
einmal bei DFN AAI freigeben und einmal bei PUNCH AAI
mapping der Nutzer hinkriegen ist schwierig, weil ev. anderer Identifier
ev. kein Persistent Identifier
Jupyter Hub und PUNCH AAI sind unterschiedliche Services
Gibt es keinen anderen Weg ?
Anmeldeoption aus 2 Bereichen
Bei reiner Attribute Authority moeglich
kann im JupyterHub gespeichert
muss Nutzer nur einmal einrichten
ueber Refresh Token aktualisierbar
Muenster weiss, wo das in JupyterHub implementieren
Token Endpoint Token generieren und ueber User Endpoint abfragen
ueber Refresh Token neues Access Token generieren
 

wenn spaeter globale Verlinkung moeglich, dann Bescheid sagen
dann wuerde Muenster gerne mitarbeiten
DFN arbeitet an eduid bleibt Lebenslang erhalten
Problem dabei ist
GEANT will das nicht international betreiben,
das heisst ueber Landesgrenzen hinweg neue EDUID
in Base4NFDI beruecksichtig, wir muessen warten bis DFN
mit Edu ID produktiv geht
Dann schauen, wie schwer Umstellung
Zeitskala unklar
 

PUNCH AAI mehr Identity Provider als in DFN AAI
Problem ?
wenn in PUNCH mehr Benutzer drin sind als in DFN AAI
PUNCH: gefoerdertes Projekt
Kooperation geht ueber Landesgrenzen hinaus
Nutzer kommen ev. nicht von deutscher Einrichtung
deutsche Hochschule nimmt nicht an DFN AAI teil, aber in PUNCH
dann via PUNCH und Orcid ok, aber nicht bei Jupyter Hub
==> drauf ankommen lassen
==> Spezialfall, abwarten, ob das jemand betrifft
Lokal ueberschneidet sich nicht mit PUNCH
 

TOP2:
externe Accounts via Orcid ?
unklar wie rauskriegbar
Ueber Auswertung der Daten rauskriegbar ==> Sander
Aber ev. mehrere Leute in PUNCH
und haette auch kaum Aussagekraft
 

TOP3:
Nachlese
Sander unklar warum Keycloak
Sander kennt Keycloak nicht in der Tiefe
kein grosser Funktionsunterschied zwischen Unity und Keycloak
DESY betreibt das als Siteproxy, um lokale Berechtigungen einzupflegen
Sander stimmt zu, dass es eher Sinn macht, ev. AAI oder Service-seitig
Weiterentwicklung zu betreiben
Tools muessen foederationsfaehig sein
wegen multipler Abfrage
Attribute wichtig in Tokens, zusaetzliche Claims werden dran gearbeitet
Mechanismus zu finden, um bestimmte Infos zu finden, wo man tokens braucht
limitiert in Token-Groesse
benoetigt Implementationsaufwand
ev. bietet Keycloak das schon ?
dann ev. als Siteproxy einsetzen, wenn nicht in Keycloak imlementieren
Test kleinste Problem
muss erst implentiert werden
ist von Unity Entwicklern selbst implenentiert worden
Beitrag ueber PUNCH koennte versucht werden, Expertise in Unity einzubauen
250 k€ fuer Jahr und alle Beteiligten
DFN, KIT, RWTH Aachen, GWDG, Hochschule RP
Ziel fuer jeden Partner einen FTE
in Summe 2,5 Stellen
Aufsetzen und Betrieb eher nicht Entwicklung
Entwicklung ueber Firma guenstiger
weil Unity in Polen
3 FTE
dauert ne Weile, um in Code einzuarbeiten,
ev. nicht nachhaltig, weil Anpassungen
==> Zwischenloesungen koennen gebaut werden
Aber muessen Dienste dringend jetzt eingebaut werden bzw. warten
Services AAI - aware zu machen nachhaltiger als Kruecken loesungen

 

Huhn:
keine konkreten Punkte

IAM Abstimmungsmeeting:
Sander und Daniel auf Empfaengermeeting
23.1. 15:07
Zoom Link folgt
==> Zoom Link rumschicken

Confirmation Letter PUNCH am Freitag


 

There are minutes attached to this event. Show them.
    • 16:00 16:30
      Use case: solution for multi AAI authentication (WWU) 30m
    • 16:30 16:40
      AOB 10m