The below SRAM service description is in Dutch, since only Dutch institutions can order SRAM.

Inleiding

Deze dienstbeschrijving beschrijft de dienst SURF Research Access Management (SRAM). Dit document is bedoeld voor de Coördinerend SURF Contactpersoon (CSC), Instellingscontactpersoon (ICP), de Instellingscoördinator (ICO) en eventueel andere personen binnen de instelling die betrokken zijn bij het leveren van ICT-dienstverlening.

In dit document komen achtereenvolgens aan de orde:

1. De opzet van de dienst;
2. De functionaliteit;
3. Service levels;
4. Informatie over aanvraag, wijziging, storingsprocedures en tarieven.

Afkortingen en terminologie

In onderstaande tabel zijn afkortingen met hun betekenis opgenomen die in dit document worden gebruikt

Tabel 2.1 Afkortingen met betekenis

Beschrijving dienst SURF Research Access Management

3.1 Achtergrond

Onderzoekers werken steeds meer samen over faculteiten en instellingen heen, in toenemende mate op infrastructuur (data, storage, compute) van instellingen of cloudproviders die geografisch verspreid is. Het regelen van toegang voor onderzoeksgroepen tot deze systemen kost nu vaak veel tijd, is ingewikkeld en gebeurt ook niet altijd veilig. De problemen die onderzoekers (internationaal) ervaren zijn ondermeer gedocumenteerd door het FIM4R initiatief (Federated Identity Management for Research).

Nadelen van de huidige situatie:

• Onnodig veel (project) tijd en geld gaat op aan regelen van toegang in plaats van het doen van onderzoek, onderzoeksprojecten leveren daardoor minder resultaat op dan mogelijk
  
• Veilig toegang regelen voor gasten blijkt complex. Er worden 'oplossingen' gezocht met de nodige nadelen en kosten (0-uren-contracten, inloggen met social accounts, 'yet another account' etc)
• Toegang tot data en resources staat vaak langer open dan nodig door beperkingen in mogelijkheden om te controleren of iemand nog toegang moet hebben
• Betrokken partijen hebben vaak beperkte zekerheid over de identiteit van onderzoekers
• Het kost moeite om te voldoen aan de AVG/GDPR (toegangsbeperking, voldoende zekerheid over identiteiten, logging etc)
  
• Nu wordt vaak per project of situatie een oplossing bedacht en gerealiseerd, die vaak na het project verloren gaat (investering gaat verloren).

SURF Research Access Management biedt hier een oplossing voor.

3.2 Functionele beschrijving van de dienst

Samenvatting

SURF Research Access Management levert access-as-a-service voor onderzoekers. Deze dienst is een op internationale standaarden gebaseerde bouwsteen waarmee toegang tot onderzoeksdiensten sneller en veiliger geregeld kan worden. SURF Research Access Management is een dienst voor door Nederlandse Instellingen geleide onderzoekssamenwerkingen.
 
Een onderzoekssamenwerking kan in SRAM met enkele klikken een team opzetten, leden uitnodigen en onderzoeksdiensten koppelen. SRAM zorgt dan automatisch dat accounts worden aangemaakt in de gekoppelde onderzoeksdiensten. Onderzoekers van deze onderzoekssamenwerking kunnen vervolgens met hun instellingsaccount eenvoudig en veilig inloggen bij de gekoppelde onderzoeksdiensten. Hieronder per doelgroep een toelichting.

Voor (managers van) onderzoekssamenwerkingen

Onderzoekssamenwerkingen kunnen met SRAM:

• eenvoudig het onderzoeksteam beheren
  
• onderzoekers betrekken van binnen en buiten Nederland, en van zowel instellingen als van bedrijven, overheid etc
• beheren welke onderzoeksdiensten gebruikt kunnen worden door hun teamleden
• teamleden aan groepen binnen de CO toevoegen (b.v. voor autorisatie in gekoppelde onderzoeksdiensten)
  
• zien wie welke toegang wanneer heeft toegekend

Voor onderzoekers

Onderzoekers die aan een onderzoekssamenwerking deelnemen en toegang moeten krijgen tot systemen, ontvangen een uitnodiging om lid te worden van de onderzoekssamenwerking. Zodra ze de uitnodiging hebben aanvaard en ingelogd zijn, worden automatisch accounts aangemaakt in de systemen waar de CO toegang toe heeft en kan de onderzoeker met de systemen werken. Onderzoekers kunnen:

• inloggen met hun instellingsaccount
• gebruik maken van één van de gast-account-opties om in te loggen op de SRAM-omgeving
• hun profiel beheren, zoals zien tot welke diensten ze toegang hebben en SSH-keys uploaden om die eenvoudig en automatisch te synchroniseren op alle betreffende systemen
  
• snel toegang krijgen tot diensten die ze nodig hebben voor hun onderzoek(en)

Voor onderzoeksdiensten

Onderzoeksdiensten (ook die van instellingen zelf) die snel en veilig toegang willen regelen, kunnen hun systeem eenmalig technisch koppelen met de SRAM-omgeving. Op basis van afspraken tussen SURF, de onderzoeksdienst en de onderzoekssamenwerking krijgen gebruikers wel of niet (automatisch) toegang tot de onderzoeksdienst. De onderzoeksdienst blijft de controle houden en bespaart veel tijd na de eenmalige koppeling.

Voor instellingen

Instellingen willen onderzoekers zo goed mogelijk faciliteren. De SRAM-omgeving helpt instellingen om de toegang tot onderzoeksdiensten goed te regelen. Zodra de instelling hun identity management systeem koppelt met de SRAM-omgeving (dat is kosteloos), kunnen onderzoekers die tot een SRAM CO worden uitgenodigd, daar met hun instellingsaccount inloggen. Onderzoekssamenwerking en dienstaanbieders hebben hierdoor ook meer zekerheid over de identiteit van de onderzoeker. De instelling die hun onderzoekers in staat stelt met hun instellingsaccount te werken, krijgt beter inzicht in welke samenwerkingen en op welke systemen hun onderzoekers werken. En zodra het account van de medewerker bij de instelling vervalt, kan daarmee ook geen toegang meer worden verkregen tot systemen en data.

Nederlandse instellingen kunnen SRAM op twee manieren gebruiken:

1. Een instelling koppelt hun identity management systeem via SURFconext aan SRAM, maar neemt de dienst niet zelf af. Onderzoekers kunnen na een uitnodiging van een onderzoekssamenwerking, inloggen met hun instellingsaccount op onderzoeksdiensten die door deze onderzoekssamenwerking gebruikt wordt. Ze kunnen niet zelf CO's aanmaken.
   
2. Een instelling neemt daarnaast de dienst SRAM af. De instelling kan onderzoekssamenwerkingen waar de instelling voor verantwoordelijk is, ondersteunen door CO's aan te maken in SRAM. De instelling kan configureren welke medewerkers een CO mogen aanmaken in SRAM. Hierdoor worden de onderzoekssamenwerkingen waarvoor de instelling verantwoordelijk is, optimaal gefaciliteerd op gebied van toegang tot onderzoeksdiensten.

Internationale samenwerking en samenwerking met bedrijven

SRAM zorgt via eduGAIN dat buitenlandse onderzoekers met hun eigen instellingsaccount kunnen deelnemen.

Daarnaast biedt SRAM een 'gast identity provider', zodat ook onderzoekers van buiten Nederland, en onderzoekers die geen instellingsaccount kunnen gebruiken, kunnen deelnemen aan onderzoeksprojecten in SRAM

3.3 Technische beschrijving van de dienst

SRAM is gebaseerd op internationale inzichten voor dit soort diensten, zoals de Blueprint Architecture van het GEANT AARC project. De belangrijkste onderdelen daarvan zijn:

• Membership Management Service (MMS)  
  Het MMS is het component waar de gebruikers het meest van zien: daarin worden CO's aangemaakt, teamleden uitgenodigd, onderzoeksdiensten aan de CO gekoppeld, teamleden toegewezen aan groepen etc.
• Proxy & Identity Hub
  De IdP-SP Proxy werkt op basis van de OIDC en SAML protocollen. Het zorgt voor technische verbinding van SAML IdP's, OIDC Providers, SAML onderzoeksdiensten en OIDC Resource Providers, zodat onderzoeks een keuze hebben via welke IdP's ze willen authenticeren (inloggen) voor onderzoeksdiensten. De Proxy zorgt er voor dat attributen van gebruikers worden opgehaald bij de bron(nen), en dat toegangsregels worden toegepast op basis van instellingen van het onderzoeksteam, de instelling, de onderzoeksdienst en SRAM. Ook zorgt de proxy per gebruiker voor een unieke persistente user identifier.
• LDAP
  Dit onderdeel zorgt voor koppeling van diensten die op basis van het LDAP protocol (in plaats van op basis van SAML of OIDC) gekoppeld worden.

GÉANT biedt een dienst, eduTEAMS, waar een aantal onderdelen in zitten die ook nodig zijn voor de SRAM-dienst. SURF neemt die onderdelen van GÉANT af en vult daaraan de onderdelen toe die mede op basis van de pilot in 2019/2020 door de Nederlandse instellingen gevraagd werden: een LDAP koppeling en een eigen gebruikersinterface.

SRAM maakt zoveel mogelijk gebruik van open standaarden en open source, en is gebaseerd op een proxy-architectuur: in plaats van dat elke instelling (als IdP van een onderzoeker) met elke onderzoeksdienst moet koppelen, hoeven IdP's en onderzoeksdiensten technisch slechts éénmalig aan SRAM te koppelen. Onderzoekssamenwerkingen kunnen vervolgens, op basis van afspraken met dienstaanbieders, bepalen welke onderzoekers toegang krijgen tot welke onderzoeksdiensten.

3.4 Handleidingen en documentatie

Handleidingen en documentatie zijn te vinden via de onderstaande links.

1. Algemene informatie: https://edu.nl/sram
2. Informatie voor verschillende doelgroepen (instellingen, onderzoeksdiensten, onderzoekssamenwerkingen en onderzoekers): https://edu.nl/sram-for

Support is bereikbaar via sram-support@surf.nl .

3.5 SLS en karakteristieken

De prestatie-indicator voor de verschillende componenten van deze dienst is ‘beschikbaarheid’, zoals geformuleerd in de SURF Service Level Specificatie . 

Rapportages over de beschikbaarheid van deze dienst worden gepubliceerd op SURFdashboard Rapportage.

3.6 Aanvraag, wijziging, storing en tarieven

• SRAM is beschikbaar voor bij SURF aangesloten instellingen. Actuele tariefinformatie is te vinden via surf.nl/sram, in de jaarlijkse tarievenbrief en via https://dashboard.surfnet.nl .
  
• Voor een aanvraag of wijziging kan de instellingscontactpersoon (ICP) terecht bij SURFdashboard op https://dashboard.surfnet.nl of bij SURF Klantsupport via klantsupport@surf.nl .
• Storing: In geval van een storing kan de daarvoor bevoegde persoon zich melden bij de SURF Helpdesk: 088 – 7873 638 .