Was ist das Besondere bei der Authentifizierung?

Laura Rothfritz Allgemein, Blog 0 Comments

Dieser Blogpost ist eine Übersetzung des Blogposts „What’s so special about signing in?“ von Josh Brown im ORCID Blog.

Wir werden manchmal gefragt: „Warum werden Forschende dazu aufgefordert, sich in ihren ORCID Account einzuloggen wenn sie eine Verknüpfung herstellen?“ oder „Warum können Nutzer*innen nicht einfach ihre ORCID iD in ein System via copy&paste kopieren?“. Es gibt zwei Gründe, warum das Einloggen so wichtig ist. Erstens können Forschende durch das Einloggen („authentifizieren“) kontrollieren, was mit ihrem Account passiert und somit die volle Kontrolle über ihre Informationen behalten. Zweitens sind die Verknüpfungen, die sie mit ihrer ORCID iD erstellen nach dem Einloggen sehr viel nützlicher für sie und für alle, die diese Verbindungen ansehen wollen.

Schauen wir zunächst einmal welche Informationen eine Verknüpfung tatsächlich beinhaltet. Als Beispiel schauen wir uns eine normale Verknüpfung an: eine Verknüpfung zwischen einer/m Autor*in und einem Artikel in einer Zeitschrift. Der/die Autor*in wird durch seine/ihre ORCID iD und der Artikel durch eine DOI identifiziert. Eine grobe Skizze kann vielleicht verdeutlichen, was passiert…

iD_DOI_pic

Wenn Autor*innen sich in ORCID eingeloggt haben um die Verknüpfung herzustellen, können sie entscheiden, ihre iD zu dem Artikel hinzuzufügen. Sie können dem Journal erlauben (oder „authorisieren“), Informationen zu ihrem ORCID-Datensatz hinzuzufügen und sie können dem Journal erlauben, ihren Datensatz zu aktualisieren, falls sich Informationen über die Publikation ändern. Jeder, der diese Verbindung betrachtet kann erkennen, wie und von wem sie hergestellt wurde.

Diese Informationen sind es, die wir mit „provenance“ – Provenienz meinen.

Ohne das Einloggen gibt es keine Informationen zu Provenienz, wie die nächste Skizze zeigt:

iD_DOI2Ohne Provienenz gibt es keine Möglichkeit sicherzustellen, ob man der Verknüpfung zwischen den Forschenden (der iD) und ihren Werken (der DOI) Vertrauen schenken kann. Die Verknüpfung kann fehlerhaft sein oder nicht zu dem/der Autor*in gehören. Außerdem wäre eine solche Verbindung in sich geschlossen – sie kann weder verwendet werden um Informationen zu dem ORCID-Datensatz oder anderen verknüpften Systemen hinzuzufügen, noch kann der Verlag zukünftig Informationen über die Publikation im Datensatz aktualisieren, wenn diese sich ändern.

Das Einloggen stellt sicher, dass Forschende die Kontrolle darüber haben, welche Verbindungen zu ihrer iD hergestellt werden und was mit ihrem ORCID-Datensatz passiert. Wir haben hart dafür gearbeitet OAuth_screengarantieren zu können, dass Forschende diese Kontrolle haben; Kontrolle für die Forschenden ist eines unserer Grundprinzipien. Dies bedeutet, dass Organisationen um Erlaubnis bitten müssen, einzelne iDs zu verwenden oder Forschungsergebnisse zu einzelnen Datensätzen hinzuzufügen oder zu aktualisieren. Sie müssen außerdem um Zugangserlaubnis bitten um Daten, die für vertrauenswürdige Organisationen („trusted organizations“) zur Verfügung stehen, auslesen zu können.

Zusätzlich zu der Möglichkeit, kontrollieren zu können, was mit ihrer iD verknüpft ist, entscheiden Forschende auch, welche Informationen geteilt werden. Informationen, die Forschende als „sichtbar für jeden“ einstellen, sind öffentlich zugänglich. Andere Informationen können nur für vertrauenswürdige Organisationen („trusted parties“) sichtbar gemacht werden, was bedeutet dass diese Organisationen um Erlaubnis fragen müssen, um auf sie zugreifen zu können. Nicht zuletzt haben Forschende die privacy_screenMöglichkeit, Informationen als „nur sichtbar für sie selber“ – privat – einzustellen. Sie können dieses für jeden einzelnen Eintrag in ihrem ORCID-Datensatz einstellen oder eine Standardeinstellung für alle Einträge vornehmen.

Das Einholen einer ausdrücklichen Zustimmung der Forschenden, um auf ihre Daten zugreifen zu können, ist ein Best-Practice-Vorgang für Datensicherheit. Mehr Informationen dazu erhalten Sie hier *. Forschende erfahren, wer nach einer Zugangserlaubnis fragt und was genau diese Anfragenden tun wollen. Das bedeutet, dass Forschende eine informierte Einwilligung („informed content“) geben müssen, bevor jegliche Form von Daten oder Informationen zwischen Systemen ausgetauscht werden. Forschende können sehen, welche Einwilligungen sie in der Vergangenheit gegeben haben indem sie ihre Einstellungen in ORCID ansehen und sie können diese Einwilligungen jederzeit zurückziehen. Mehr trsutedorgs_screenDetails zu diesen Vorgang werden hier beschrieben.

Wie bereits erwähnt, ist Vertrauen sehr wichtig für ORCID. Es uns sogar so wichtig, dass wir ein ganzes Programm drumherum aufgebaut haben. Forschende sollen uns darin vertrauen können, ihre Informationen zu bewahren und es einfach für sie zu machen, ihre Daten zu kontrollieren. Organisationen müssen sich darauf verlassen können, dass die iDs, die sie verwenden sowie die Informationen zu einer ORCID iD vertrauenswürdig sind. Letztendlich bedeutet dies, dass jeder diesen Informationen vertrauen kann.

Die Informationen zu Provenienz, die erstellt werden wenn sich Forschende in ihren Account einloggen („authentifizieren“), haben einen wichtigen Anteil an diesem Vertrauen. Sie zeigen, welche Verknüpfungen erstellt wurden. Dies bedeutet, dass die iD direkt von einem Rechner zum nächsten geschickt wurde (unter Verwendung unserer Schnittstelle – mehr über die technischen Details kann hier nachgelesen werden), also gibt es keine (Rechtschreib-)Fehler. Außerdem können iDs nur durch Forschende mit dem korrekten Nutzernamen und Passwort für die iD verifiziert werden, was bedeutet, dass sichergestellt ist, dass die Zustimmung auch von den Besitzern der iD stammen.

Durch die Nutzung von Authentifizierungsverfahren und die Verknüpfung von Systemen zu ORCID über die Schnittstelle, schützen unsere Mitglieder-Einrichtungen die Forschenden durch die Einhaltung von Datenschutzrichtlinien und die Offenlegung, wie und zu welchem Zweck die iDs verwendet werden. Darüber hinaus schützen sie sich selber, indem sie sichere und vertrauenswürdige Verbindungen verwenden. Es ist für alle hilfreich, wenn man erkennen kann, ob Informationen über einen Artikel von dem Journal, indem er publiziert wurde, stammt oder ob Informationen über Arbeitsverhältnisse von dem Arbeitgeber stammen. Wir alle haben die Verantwortung sicherzustellen, dass die Informationen, die wir teilen, richtig sind und auf eine für die Community nützliche Weise geteilt werden.

Wir bei ORCID denken viel darüber nach, wie wir unsere Mitglieder und die mehr als 3 Millionen Forschenden [Stand Februar 2017], die eine ORCID iD registriert haben, dabei unterstützen können, die Kontrolle über ihre Daten zu behalten. Authentifizierung ist eines der besten Mittel, das wir Ihnen – unserer Community – hierfür bieten können.

* Im Rahmen von ORCID DE wurde ein datenschutzrechtliches Gutachten veröffentlicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.