Via deze nieuwsbrief houden we je op de hoogte van het laatste nieuws rondom SURFconext. Hierbij moet je denken aan nieuwe releases van het platform, best practices, recent aangesloten diensten, interessante bijeenkomsten en plannen voor de toekomst.

Je ontvangt deze nieuwsbrief omdat je SURFconext-verantwoordelijke of -beheerder bent, of lid bent van de SURFconext-alertlijst.

In dit nummer:

  1. De SAML key rollover is (bijna) gereed
  2. SURFconext IdP Dashboard: LoA2 voldoende bij wijzigen MFA
  3. Aanpassing in autorisatiebeleid voor diensten in SRAM
  4. Nieuw: alle Identity Providers bekend in eduGAIN
  5. Nieuwe diensten

De SAML key rollover is (bijna) gereed

In eerdere nieuwsbrieven las je er al over: we hebben een nieuwe SAML signing key in gebruik genomen. Alle SP’s moeten de URL naar deze nieuwe key opnemen in hun systemen, omdat gebruikers anders niet meer in kunnen loggen op de dienst. Deze key rollover is bijna gereed!

Zo rolden we
We zijn hierbij natuurlijk niet over één nacht ijs gegaan. Een korte tijdlijn:

-Op 12 juni 2023 kwam de nieuwe key beschikbaar, naast de oude key. Vanaf toen konden SP’s de nieuwe key implementeren in hun diensten. Bijna de helft van de SP’s deed dat ook. Hulde!

-Vanaf november zijn we SP’s gaan benaderen die nog niet over waren. De tijd begon te dringen, want in maart 2024 zouden we de oude key gaan verwijderen.
-In januari bleek dat er nog een paar SP’s waren die nog over moesten. Die hebben we nogmaals benaderd, want:
-Op 5 maart is de oude key definitief uitgeschakeld. Gebruikers kunnen nu alleen nog inloggen op diensten die de nieuwe key geïmplementeerd hebben. Een hausse aan e-mails aan SURFconext support bleef gelukkig uit: het overgrote deel van de SP’s was op tijd over naar de nieuwe key.

Bijna klaar
We zijn er bijna. Er is nog een plek waar we met de oude key antwoorden, namelijk de 'default' locatie. Diensten die hier nog gebruik van maken, dit zijn er een handjevol, krijgen binnenkort een bericht dat wij ook deze omzetten. Wij zullen ondersteuning bieden als er desondanks problemen ontstaan.
Een hele klus
Al met al is het in gebruik nemen van een nieuwe SAML signing key best een klus, zowel voor SURF als voor de SP’s. Maar het is wel nodig om onze dienst veilig te houden. In 2028 staat alweer de volgende key rollover op het programma. Kan dat niet eenvoudiger?

Jazeker, dat kan eenvoudiger!
Steeds meer SP’s sluiten op SURFconext aan met Open ID Connect, een protocol waarbij de key rollover tot het verleden behoort. En dat nog meer voordelen heeft boven SAML, onder andere dat het eenvoudiger te implementeren is. Daarom moedigen we SP’s aan om nieuwe diensten via OIDC aan te sluiten op SURFconext. Meer informatie? Kijk op <hier een zinvolle link toevoegen uit onze wiki voor SP’s> of neem contact op met support@surfconext.nl

Tot slot: wat is het ook weer, de SAML signing key?
Tijdens het inlogproces van een gebruiker bij een dienst stuurt SURFconext SAML-assertions naar de SP: berichten met informatie over de gebruiker. SURFconext ondertekent deze berichten met een private key die uitsluitend door SURFconext zelf wordt gebruikt. SP's gebruiken de public SAML signing key van SURFconext om te verifiëren dat deze assertions daadwerkelijk van SURFconext afkomstig zijn, en van niemand anders. Dit is een belangrijke veiligheidsmaatregel die deel uitmaakt van het trust framework van SURFconext!

SURFconext IdP Dashboard: LoA2 voldoende bij wijzigen MFA

Vandaag wordt een nieuwe versie van het SURFconext IdP Dashboard uitgerold. Naast aanpassingen onder de motorkap, is de meest zichtbare wijziging dat het vanaf nu mogelijk is om een MFA wijziging door te voeren met een LoA2 token. Tot vandaag was hiervoor een LoA3 vereist.

Meer plannen voor dit jaar:
-Vorig jaar hebben we tweedefactor toegevoegd aan het Dashboard voor bepaalde handelingen. Hiermee is de weg vrijgemaakt om meer acties geautomatiseerd uit te voeren. Dit jaar gaan we hierin stappen zetten zodat wijzigingen gemakkelijker en sneller uitgevoerd kunnen worden.
-Daarnaast gaan we het aanpassen van SURFsecureID LoA's op een dienst fijnmaziger maken. Op dit moment is voor alle handelingen een LoA3 nodig. Straks heb je het LoA nodig waar je naartoe wilt of waar je vandaan komt. Ga je bijvoorbeeld bij een SP van LoA1 naar LoA2, dan zul je LoA2 token moeten overleggen om de handeling te kunnen uitvoeren.

Aanpassing in autorisatiebeleid voor diensten in SRAM

Op dit moment geeft SURF Research Access Management (SRAM) een gebruiker slechts in één situatie toegang tot een dienst: als de gebruiker lid is van een samenwerking waaraan die dienst is gekoppeld. Als de gebruiker probeert in te loggen op een dienst die niet is gekoppeld aan een samenwerking waar de gebruiker lid van is, weigert SRAM de gebruiker toegang.

Wat verandert er?
Per 3 mei kunnen diensten aangesloten op SRAM op verzoek gebruikers ook toegang geven als zij niet lid zijn van een samenwerking waaraan die dienst is gekoppeld. We gaan dit in eerste instantie invoeren voor SURFsharekit. SURFsharekit is de online opslagplaats van onderzoekspublicaties, afstudeerrapporten en open leermaterialen voor het hoger onderwijs. SURFsharekit kent op 2 manieren rechten toe aan gebruikers: (1) omdat zij bij een instelling horen die een SURFsharekit licentie afnemen en (2) omdat zij zijn uitgenodigd voor een samenwerking waar SURFsharekit aan is gekoppeld (Alleen instellingen met een licentie kunnen samenwerkingen aanmaken). Eenmaal ingelogd kunnen gebruikers dus niks - tenzij zij voldoen aan een van deze twee opties.

Inloggen zonder lidmaatschap alleen voor specifieke diensten
Alleen voor specifieke diensten zullen we op verzoek, en na uitgebreid overleg en afweging, inloggen toestaan voor gebruikers zonder lidmaatschap van een aan die dienst gekoppelde samenwerking. Huidige diensten aangesloten op SRAM kunnen dit niet zelf aanzetten. Het SRAM-team bepaalt in nauw overleg met de diensteigenaar en juristen van SURF of de betreffende dienst kwalificeert voor deze optie.

Neem voor vragen contact op met sram-support@surf.nl.

Nieuw: alle Identity Providers bekend in eduGAIN

Via eduGAIN kunnen instellingen en diensten uit verschillende nationale onderwijs en onderzoeksfederaties elkaar eenvoudig vinden en vertrouwen. Ook SURFconext is al sinds jaar en dag 1 van de 79 (!) federaties die meedoet. Enkele SURF diensten (zoals SURFcertificaten en geteduroam) zijn alleen via eduGAIN te gebruiken.

Voorheen moest elke Identity Provider in SURFconext expliciet aangeven dat zij onderdeel wilden worden van eduGAIN. Hiermee werd het mogelijk dat ook diensten uit andere federaties via het SURFconext IdP Dashboard gekoppeld konden worden. Per 26 april veranderen we dit beleid: we zullen standaard elke Identity Provider geschikt maken voor eduGAIN.

Neem voor vragen contact op met support@surfconext.nl.

Nieuwe diensten

Een greep uit de diensten die afgelopen maand zijn aangesloten op SURFconext. Zie voor meer informatie het SURFconext Dashboard of de website van de leverancier. Let op, voor de meeste diensten is een licentie vereist. Neem dus eerst contact op met de leverancier of support@surfconext.nl.

Diversity Travel: Online tool voor het boeken van reizen.
Zie voor meer informatie het SURFconext IdP Dashboard

Janes: Agentschap voor Open-Source Inlichtingen over Defensie.
Zie voor meer informatie het SURFconext IdP Dashboard

ProctorExam: ProctorExam is een webgebaseerde oplossing voor proctoring, die het mogelijk maakt om online examens af te nemen.
Zie voor meer informatie het SURFconext IdP Dashboard

Qeeper: Qeeper is een webgebaseerd platform waarmee gebruikers toegang krijgen tot hun lockers en deze kunnen beheren.
Zie voor meer informatie het SURFconext Idp Dashboard

  • No labels