[HREF-tech] AAI hozzájárulás (consent modul)

[Adam Lantos]

2010/4/13 Kova'cs Csaba Istva'n <cs.kovacs at mail.duf.hu>:
> Szisztok!
>
> Én is úgy gondolnám, hogy az SP-nek kellene „szerződést” kötni a
> föderációval és rögzíteni a kezelendő adatok körét megfelelő indoklással.
> Valamit az ehhez tartozó adatkezelési szabályozást is egyrészt mellékelni a
> szerződéséhez, másrészt egy url-en nyilvánossá tenni. Az lenne a jó, ha ezt
> az url-t be lehetne linkelni a jóváhagyást kérő oldalra, mindig a megfelelő
> SP-jét. Ez megoldható lenne? Így a user fenntartásai esetén tájékozódhatna a
> részletekről is, nem csak a jóváhagyását adná – egy idő után mechanikusan.
>

Pontosan erre gondoltunk mi is, a jogász kollégákkal egyeztetve. Sőt,
a Svájciak is hasonlóra gondoltak, lásd:
http://www.terena.org/activities/tf-emc2/meetings/15/LH-TF-EMC2-Vienna.pdf.

A kérdés viszont az, hogy mi legyen az intézmények által üzemeltetett
"belső" SP-kkel, amelyek csak az adott intézmény tagjai számára
szeretnének szolgáltatást nyújtani? Sok esetben adminisztratív
szempontból egyszerűbb lenne ezeket az SP-ket felvenni a központi
metaadatba, a Resource Registry erre lehetőséget is nyújt (a "belső"
minősítés itt azt jelenti, hogy más intézménytől nem kap semmilyen
attribútumot az adott SP). Viszont ha az adatvédelmi kérdésekkel
kapcsolatban túl magasra tesszük a lécet ezen SP-k számára, akkor az
intézmények nem fogják végigjárni ezt az utat, és a szolgáltatásaikat
külön metadata-cserével fogják üzemeltetni, ami biztonsági szempontból
problémás lehet.

Szerintem jó kompromisszum lehet, hogy azon SP-k számára, melyek más
intézmények IdP-ivel is szóba állnak, megköveteljük a megfelelő
adatkezelési eljárásokat, a belső SP-k számára pedig csupán erősen
ajánljuk mindezt. Természetesen a föderáció felnövésével és az
intézményi adatkezelés tisztulásával ez az engedmény 1-2 éven belül
megszüntethető lenne.


üdv,
 Ádám