Via deze nieuwsbrief houden we je maandelijks op de hoogte van het laatste nieuws rondom SURFconext. Hierbij moet je denken aan nieuwe releases van het platform, best practices, recent aangesloten diensten, interessante bijeenkomsten en plannen voor de toekomst.
Je ontvangt deze nieuwsbrief omdat je SURFconext-verantwoordelijke of -beheerder bent, of lid bent van de SURFconext-alertlijst.
In dit nummer:
- Special edition van What's next @ SURFconext over HOSA-IAM, self-sovereign identity (SSI) en eduID
- Multi-factor authenticatie in SURFconext IdP Dashboard vanaf 1 november
- Nu beschikbaar: SURFsecureID tokens zonder identificatie
- API onderwijs meet-up 5 oktober
- Key rollover gaat voort
- Nieuwe diensten
Special edition van What's next @ SURFconext over HOSA-IAM, self-sovereign identity (SSI) en eduID
Op 29 september vindt het jaarlijkse event What's next @SURFconext plaats. Tijdens dit event praten we je bij over de laatste ontwikkelingen rond Identity & Access Management (IAM). Deze editie is van een iets andere opzet dan een aantal van jullie gewend is. Centraal staan HOSA-IAM, self-sovereign identity (SSI) en eduID. Wat houden deze ontwikkelingen in, wat betekenen ze voor je instelling en voor de IAM-dienstverlening van SURF, zoals SURFconext? Je bent vanaf 9.30 uur van harte welkom en we sluiten af met een lunch. Optioneel kun je - tijdens de lunch - over de hiervoor genoemde onderwerpen je vragen stellen in een break-out sessie.
Bekijk het volledige programma en meld je aan
Multi-factor authenticatie voor SURFconext IdP Dashboard vanaf 1 november
Vanaf 1 november is voor het uitvoeren van bepaalde handelingen in het SURFconext IdP Dashboard een tweede factor vereist. Hiermee wordt de weg vrijgemaakt om op termijn meer acties geautomatiseerd uit te voeren, waardoor wijzigingen sneller of zelfs meteen doorgevoerd zijn.
Level of Assurance (LOA) 1, 2 of 3?
Voor het uitvoeren van bepaalde handelingen zal worden gevraagd om een tweede factor. Het type factor hangt af van de handeling die je uitvoert. Wil je bijvoorbeeld informatie van jouw IdP aanpassen, een dienst koppelen/ontkoppelen, of een autorisatieregel aanmaken, dan is naast gebruikersnaam en wachtwoord bij je instelling, ook een tiqr-authenticatie of Azure MFA vereist (LOA2). Wil je de SURFsecureID Level of Assurance voor een dienst aanpassen, dan is LOA3 vereist. Dus gebruikersnaam en wachtwoord bij instelling, plus Yubikey of Fido2 token. Voor het inzien van specifieke informatie voor de instelling is LOA1 voldoende (alleen gebruikersnaam en wachtwoord). En uiteraard blijft het bekijken van het aanbod van diensten mogelijk zonder in te loggen.
Nog geen token? Registreer!
Als je nog geen token geregistreerd hebt, dan kun je dit alvast doen. Hoe dit in zijn werk gaat, lees je hier: https://wiki.surfnet.nl/display/SsID/SURFsecureID+voor+toegang+tot+SURF+diensten. Gebruik je al een token voor andere SURF-diensten, zoals SURFopzichter of SURF netwerkdashboard, dan kun je deze gebruiken en hoef je verder niets te doen.
Nu beschikbaar: SURFsecureID tokens zonder identificatie
SURFsecureID is uitgebreid met de mogelijkheid dat een gebruiker, zonder tussenkomst van een servicedesk, zijn tweede factor (token) kan registreren. Volledig self-service dus! Veel instellingen vroegen namelijk om een alternatief voor het SURFsecureID registratieproces waarbij een gebruiker zich bij een servicedesk persoonlijk moet identificeren om zijn tweede factor te activeren. Deze identificatiestap zou niet altijd nodig zijn en voor sommige gebruikersgroepen, zoals studenten, soms zelfs ongewenst. Ook zorgt dit proces voor een te grote belasting bij sommige servicedesks.
Wat houdt dit nu precies in? Een gebruiker kan straks zonder tussenkomst van een servicedesk zijn token registreren. Na het kiezen van een tokentype moet hij een herstelmethode instellen, voor het geval hij het token verliest. Mocht het token kwijt zijn en een herstelmethode niet werken, dan is er altijd nog de servicedesk van de instelling die de gebruiker kan helpen. Om deze registratie mogelijk te maken, moet de instelling dit laten aanzetten door SURFconext support.
Na het toestaan van de token self-service registratie moet je deze toegang nog aanzetten voor een dienst. Instellingen of diensten bepalen zelf welk betrouwbaarheidsniveau ("Level-of-Assurance", LoA) minimaal nodig is voor toegang. Dit concept bestond al binnen SURFsecureID en is uitgebreid met een niveau voor dit nieuwe registratieproces. Tokens die een gebruiker zelf registreert, krijgen LoA1.5. Zo kan de dienst iedereen met een SURFsecureID-token toestaan, of enkel extra geïdentificeerde gebruikers met bijvoorbeeld LoA2. Ook kan de instelling bepalen dat studenten een self-service token mogen gebruiken, terwijl medewerkers een token met een hoger betrouwbaarheidsniveau nodig hebben.
Van instellingen horen we vooral dat deze nieuwe functionaliteit nuttig is voor grote groepen gebruikers, of voor diensten waarbij een tweede factor belangrijk is, maar een hoog betrouwbaarheidsniveau minder belangrijk. Meer informatie over het registratieproces is te vinden op de SURFsecureID wiki.
API onderwijs meet-up 5 oktober
Zet jouw instelling steeds vaker API's in om onderwijsgegevens zowel intern als extern te ontsluiten, bijvoorbeeld om studenteninformatie in een app te tonen? Maar hoe richt je een IT-landschap gebaseerd op API’s in? SURF krijgt hier steeds vaker vragen over, en SURFconext in het bijzonder waar het SURFconext API Security betreft. Daarom organiseren we op 5 oktober de API onderwijs meet-up. In dit seminar hoor je alles over API-ontwikkeling en het gebruik en beheer ervan binnen het onderwijs. Naast de keynotes van NS en Geonovum over hoe zij API's inzetten en hoe je tot een goede API-strategie komt, vertelt Avans over de uitdagingen van de API-transformatie. Verder gaan we vanuit SURF wat dieper in op de samenhang tussen de verschillende projecten van SURF. Het doel van deze dag is kennis ophalen en ervaringen delen.
Bekijk het volledige programma en meld je aan
Key rollover gaat voort
Sinds enkele maanden heeft SURFconext een nieuwe 'SAML-signing key' in gebruik. Dit doen we om veiligheidsredenen, en we vervangen deze sleutel elke vijf jaar. Zo voorkomen we dat kwaadwillenden SAML-berichten kunnen vervalsen en toegang krijgen tot aangesloten diensten (SP's). De SP kan hierdoor zeker zijn dat het SAML-bericht afkomstig is van een betrouwbare bron, namelijk SURFconext.
In september zijn we begonnen met het informeren van SP's om hun configuratie te controleren op 'metadata signing' en indien nodig bij te werken. De komende maanden zorgen we ervoor dat alle diensten gebruik gaan maken van de nieuwe sleutels. Als je meer wilt weten over dit onderwerp of als je een dienst hebt die je nog moet bijwerken, kun je verder lezen op: https://edu.nl/keyrollover-sp.
Nieuwe diensten
Een greep uit de diensten die afgelopen maand zijn aangesloten op SURFconext. Zie voor meer informatie het SURFconext Dashboard of de website van de leverancier. Let op, voor de meeste diensten is een licentie vereist. Neem dus eerst contact op met de leverancier of support@surfconext.nl.
123ZING: 123ZING biedt een doorlopende leerlijn muziek, dans en drama voor het basisonderwijs.
Zie voor meer informatie het SURFconext IdP Dashboard
eduFrame: SIS & eCommerce Platform voor Volwassen Onderwijs
Zie voor meer informatie het SURFconext IdP Dashboard
Movielearning: MovieLearning heeft tot doel menselijke ontwikkeling te ondersteunen door positieve rolmodellen en interacties te tonen en bespreken, aan de hand van een video leeromgeving en het Double Healix model.
Zie voor meer informatie het SURFconext IdP Dashboard
Vers Beton: Vers Beton is het tijdschrift voor de harddenkende Rotterdammer. Journalistiek voor een eigenzinnig en eerlijk Rotterdam.
Zie voor meer informatie het SURFconext IdP Dashboard