Om aan te sluiten op SURFconext Invite zijn voor de instelling een paar stappen nodig.
Stap 1: informatie verzamelen
Voordat je aan de slag gaat is het nodig de volgende informatie te bespreken en bekend te maken binnen je organisatie:
- Om welke gebruikersgroep gaat het?
- Wie worden de gebruikers die je via SURFconext Invite toegang wil geven? Denk hierbij aan studenten van andere instellingen, tijdelijke gastdocenten of alumni.
- Kunnen de gebruikers via e-mail bereikt worden?
- Welke applicatie moet ontsloten worden? Kies een webapplicatie om als eerste via SURFconext Invite te ontsluiten. Let hierbij op het volgende:
- Voldoet de applicatie aan de eisen die in stap 2 genoemd zijn?
- Is er binnen de instelling technische support mogelijk voor het aansluiten van deze applicatie?
- Weet je wie de functionele beheerders en de technisch verantwoordelijken zijn?
- Is de testomgeving van de instelling aangesloten op de SURFconext testomgeving? Dit kan helpen bij het gemakkelijk testen van koppelingen.
Stap 2: applicatie voorbereiden
Om gasten in te laten loggen op de gekozen applicatie moet deze aan een paar eisen voldoen, of worden aangepast om hieraan te voldoen.
Aansluiten op SURFconext (SAML/OIDC)
De (gast)gebruikers gaan via SURFconext inloggen. Als ook gebruikers van de eigen instelling inloggen zal een keuzescherm (WAYF) worden getoond aan de gebruiker.
- Check of de applicatie het SAML- of OpenID Connect-protocol ondersteunt.
- Zorg dat de applicatie is aangesloten op SURFconext (zie How to connect your service)
Manier van provisioning bepalen
Provisioning is het doorgeven van de inloggegevens van de gebruikers aan de applicatie. Dit kan op verschillende manieren gebeuren. Wat de beste manier is, is sterk afhankelijk van de mogelijkheden van de applicatie.
- SCIM: Hiermee worden direct berichten naar de applicatie of het IdM-systeem van de instelling gestuurd, met daarin de informatie om gebruikers aan te maken of verwijderen. Ook de rol van de gebruiker wordt direct doorgegeven. Met deze informatie maakt de applicatie of het IdM systeem een gebruiker aan in de applicatie(s), en geeft hem de juiste rechten. Door deze berichten direct te verwerken, kan de gebruiker meteen na het accepteren van de uitnodiging zonder extra inloggen de applicatie gebruiken.
- Met SURFconext Autorisatieregels kan het inloggen op een applicatie worden beperkt tot gebruikers die lid zijn van een rol in SURFconext Invite. De informatie over de rol(len) van een gebruiker in de applicatie kan bij het inloggen worden doorgegeven in het inlogbericht, zodat de applicatie direct een profiel voor de gebruiker aan kan maken, en de juiste rechten toe kan kennen.
- Gebruiker als externe identiteit aan te maken in de AzureAD van de instelling. Hiervoor wordt een serviceaccount gebruikt met toegang tot de Graph API. Het is op dit moment alleen mogelijk om gebruikers aan te maken; nog niet om rollen of rechten toe te kennen. Single Sign On zal alleen werken als de gebruiker de uitnodiging accepteert met een account uit een andere Microsoft Tenant.
- Just-in-time provisioning door de applicatie. Hierbij maakt de applicatie zelf de gebruiker aan op het moment dat die voor het eerst 'binnenkomt', op basis van de attributen die over de gebruiker meekomen bij het inloggen, waaronder diens rol(len).
De informatie die nodig is om de provisioning mogelijk te maken moet in SURFconext worden toegevoegd (behalve bij punt 4, waarbij de applicatie alles zelf regelt). Deze informatie moet op een veilige manier worden doorgegeven aan support@surfconext.nl (mailvoorbeeld toevoegen)
Rollen voor het beheer van SURFconext Invite in je organisatie
Voor het beheer van SURFconext Invite worden de volgende rollen uitgedeeld aan functionarissen binnen de instelling:
- Hoofdbeheerder: de personen met de SURFconextverantwoordelijke hebben automatisch de rechten om nieuwe rollen in applicaties aan te maken. Ze zijn de hoofdbeheerder voor een instelling en kunnen andere gebruikers toevoegen.
- Instellingsbeheerder: als de SURFconextverantwoordelijke niet de persoon is die dagelijks met rollen en rechten bezig is, kan deze de rol instellingsbeheerder aan een andere gebruiker geven. Deze kan andere gebruikers toevoegen, maar ook rollen aanmaken voor applicaties.
- Applicatiebeheerder: de applicatiebeheerder maakt rollen aan voor de applicaties. Hierbij kan worden gekozen uit alle SURFconext-applicaties die zijn gekoppeld aan de instelling. Staat de applicatie er niet bij, neem dan contact op met support@surfconext.nl. De applicatie ontvangt de naam van de rol in SCIM berichten of inlog-attributen, en moet op basis van deze rol rechten toe kunnen kennen.
- Uitnodigers: een uitnodiger kan uitnodigingen sturen aan gebruikers die een of meer rollen moeten krijgen. Dit is bijvoorbeeld een teamleider die gastdocenten uitnodigt. Uitnodigers worden aangewezen door de instellingsbeheerder of applicatiebeheerder.
Testomgeving SURFconext Invite
Er is een testomgeving beschikbaar voor het testen van de applicatie en de provisioning: https://invite.test.surfconext.nl/
Om goed te kunnen testen moet ook een test identity provider en een testversie van de webapplicatie beschikbaar zijn.