Steeds meer onderwijsinstellingen vragen zich af of ze wel afhankelijk willen blijven van commerciële cloudgebaseerde Identity Providers (IdP’s). Geopolitieke spanningen en de roep om digitale soevereiniteit maken het belangrijk om kritisch naar de huidige authenticatie-infrastructuur te kijken.
Dit document is bedoeld als een denkoefening en dient ter inspiratie. Het helpt je nadenken over de migratie naar een toekomstbestendige, open-source, Identity Provider die naadloos samenwerkt met SURFconext en voldoet aan de eisen van moderne federatieve authenticatie.
Verminderen van afhankelijkheid van buitenlandse cloudleveranciers.
Versterken van digitale soevereiniteit van de instelling.
Inrichten van een toekomstbestendige Identity Provider.
Voldoen aan de standaarden van SURFconext, interne applicaties en wet- en regelgeving.
Identificatie van diensten, applicaties en federaties binnen jouw IdP.
Inventarisatie van authenticatieprotocollen, attribuutuitwisseling en gebruikersgroepen.
In kaart brengen van bestaande koppelingen met SURFconext, interne en externe systemen.
Voorkeur voor open source en self-hosted oplossingen.
Ondersteuning voor SAML 2.0 (SURFconext) en bij voorkeur ook OIDC om toekomstbestendig te zijn.
Integratie met interne user directories (LDAP, AD).
Beveiliging (MFA, logging, auditing, attribuutcontrole).
Data-opslag en hosting binnen de EU of On-Premise.
| Platform | Protocols | Kenmerken |
|---|---|---|
| SimpleSAMLphp | SAML 2.0, OIDC (plugins) | Wordt al ingezet binnen SURFconext, PHP-based, eenvoudig en modulair. |
| Shibboleth IdP | SAML 2.0, OIDC via extensies | Robuust, Java-based, bewezen in grote federaties. Standaardkeuze in veel Europese instellingen. |
| Keycloak | OIDC, SAML | Moderne IdP, Java-based, sterke OIDC ondersteuning, SAML via extensies, actieve community. |
| SATOSA | Proxy: SAML, OIDC | Identity Proxy, handig voor complexe of hybride federatiescenario’s. |
| Authentik | OIDC, SAML | Nieuwe speler, focus op eenvoud en moderne UI, goede OIDC-implementatie, groeiende community. Ook thuis makkelijk in te zetten. |
| Authelia | OIDC | Biedt multi-factor authenticatie, single sign-on en reverse proxy-functionaliteiten, en zorgt voor veilige authenticatie en autorisatie voor webapplicaties en services. |
| Platform | Opmerkingen |
|---|---|
| Microsoft Entra ID | Kan veel, cloud-based, met vendor-lock-in risico's. |
| Okta, Ping Identity, ForgeRock | Enterprise-oplossingen, vaak SaaS, met vendor-lock-in risico's. |
Technische impact:
Integratie van de nieuwe IdP met interne systemen.
Aanpassingen aan federatie-metagegevens.
Attribuutmapping afstemmen met SURFconext.
Eventuele aanpassingen in applicaties (client configuraties).
Organisatorische impact:
Scholing van beheer- en supportteams.
Communicatie naar eindgebruikers.
Afspraken met SURF (metadata registratie, aansluiting op SURFconext testomgeving).
Security & Compliance:
Voldoet de nieuwe IdP aan GDPR- en AVG-richtlijnen?
Is er controle over de volledige keten?
Kies op basis van de randvoorwaarden één of meerdere IdP’s om te testen.
Zet een PoC op:
Aansluiting op de SURFconext-test. Je kunt vandaag nog aan de slag!
Authenticatie flows valideren.
Attribuutuitwisseling testen.
Interne applicaties migreren naar de nieuwe IdP.
Logging en auditing evalueren.
Maak de definitieve keuze voor de nieuwe IdP.
Maak een uitgebreid migratieplan:
Gefaseerde livegang (parallellisatie is mogelijk).
Metadata aanpassen en registreren bij SURFconext.
Interne en externe applicaties omzetten.
Beheer en monitoring inrichten.
Eindcontrole:
Volledige functionele controle.
Gebruikersondersteuning inrichten.
Logging en monitoring operationeel.
Documenteer:
Lessons learned.
Beheerprocedures.
Updatestrategie.
Digitale soevereiniteit: Volledige controle over authenticatieprocessen en gebruikersdata.
Juridische zekerheid: Databeheer binnen Europese grenzen.
Duurzaamheid: Verminderen van vendor lock-in en kostenbeheersing.
Gemeenschapskracht: Open source oplossingen hebben vaak brede adoptie binnen de Europese onderzoeks- en onderwijswereld.
Onze testomgeving is beschikbaar om welke implementatie dan ook aan de tand te voelen. Stuur een mail support@surfconext.nl met de metadata van de nieuwe omgeving(en). Meestal hebben we dit binnen een werkdag verwerkt en kun je aan de slag met een POC of onderzoek naar alternatieven.
Begin vandaag nog met hierover na te denken en het gesprek aan te gaan met collega’s. Door deze uitdaging bewust aan te gaan, zetten jullie als onderwijsinstelling, onderzoeksinstelling of UMC – samen met ons als federatie – een stap richting een toekomst waarin we niet afhankelijk zijn van derden, maar zelf de regie voeren over onze digitale identiteit en vrijheid. Welke keuze je ook maakt, wij ondersteunen je met het koppelvlak op SURFconext. Hoe je de implementatie binnen jouw organisatie vormgeeft, is aan jullie.