Af Mikkel Hald, 14/12/23
REFEDS Assurance Framwork (“RAF”) – den internationale standard for digitale identiteters sikringsniveauer i forsknings- og uddannelsessektoren – har været notorisk vanskelig at implementere for brugerorganisationerne (universiteterne etc.). Det skyldes at standarden ikke har kunnet læses som et selvstændigt dokument, men har defineret mange af sine elementer ved at henvise til andre standarder – som man så har måttet sætte sig ind i ved siden af for at komme i mål med implementeringen af RAF.
REFEDS har taget kritikken til sig – og længe arbejdet på at redigere standarden til et selvstændigt og derfor langt lettere anvendeligt dokument. Denne nye udgave af RAF er nu klar og kan ses her.
Som sagt er den væsentligste forskel fra første udgave af framework'et at dokumentet nu hviler i sig selv – og man ikke behøver andre dokumenter i hånden for at implementere standarden i dens nye formulering. Men derudover er der faktisk enkelte ændringer i selve definitionerne – specielt definitionen af de værdier som udtrykker i hvilken grad brugerorganisationen har sikret sig at den har udleveret den digitale identitet til den rigtige person. For at vise tjenesteudbyderne om de værdier (IAP-værdierne) skal fortolkes efter første eller anden udgave af RAF, skal brugerorganisationen (i attributten eduPersonAssurance) medsende værdien https://refeds.org/assurance/version/2 i de tilfælde hvor brugerens RAF-værdier skal fortolkes efter standardens anden udgave.
Brugerorganisationer som allerede har implementeret RAF ifølge standardens første udgave, behøver ikke ændre noget; de kan blot overveje om de vil tage de nye definitioner af IAP-værdierne til sig på et tidspunkt. Men for brugerorganisationer som endnu ikke har implementeret RAF, bør processen blive nemmere hvis man følger anden udgave.