Via deze nieuwsbrief houden we je op de hoogte van het laatste nieuws rondom SURFconext. Hierbij moet je denken aan nieuwe releases van het platform, best practices, recent aangesloten diensten, interessante bijeenkomsten en plannen voor de toekomst.

Je ontvangt deze nieuwsbrief omdat je SURFconext-verantwoordelijke of -beheerder bent, of lid bent van de SURFconext-alertlijst.

Let op: de mailinglijsten zijn gemigreerd naar een nieuwe versie van de software. Daarmee verandert ook het domein van de lijsten. Vanaf nu wordt de nieuwsbrief verstuurd via de *@list.surf.nl maillijst.

In dit nummer:

  1. Save the date Unconference-werkmiddag 2: 30 juni
  2. Attribuut van de maand
  3. IAM-specialisten onder elkaar: drie vragen aan.... Fetze Alvanouds
  4. Terugblik: Unconference werkmiddag over aanbestedingen
  5. Lees de nieuwe IdP-migratiegids en maak kennis met onze engineer voor ondersteuning op de weg naar soevereiniteit.
  6. InAcademia: steeds meer diensten beschikbaar
  7. Nieuwe diensten

Save the date Unconference-werkmiddag 2: 30 juni

Op dinsdagmiddag 18 maart vond bij SURF in Utrecht de allereerste Unconference-werkmiddag plaats! Verderop lees je daarvan het verslag.

Na het daverende succes van de Unconference-dag eind vorig jaar willen we graag vanuit SURF interactie onder elkaar over IAM blijven faciliteren. Daarom organiseren we dit jaar drie werkmiddagen rond een onderwerp dat jullie als community zelf aandragen. De volgende Unconference-werkmiddag is op maandag 30 juni, vanaf 13 uur bij SURF in Utrecht. Net als de vorige keer zoeken we een onderwerp om dieper op in te gaan en hopen we dat iemand vanuit de community (jij dus?) een onderwerp aandraagt. Ben je benieuwd hoe je collega's van andere instellingen omgaan met bepaalde (IAM-)zaken, wil je van ze leren, heb je een leuke ervaring om te delen, ben je benieuwd naar de toekomst op korte of lange termijn, enzovoorts? 

Neem contact op met Arnout Terpstra (arnout.terpstra@surf.nl) om te bekijken hoe we dit kunnen organiseren.

Attribuut van de maand: eduPersonPrincipalName

Het attribuut eduPersonPrincipalName (ePPN) wordt gebruikt als een scoped identifier voor een persoon. Hiermee kun je een gebruiker identificeren binnen jouw administratieve domein (de scope) en direct bepalen of het om een student of een medewerker gaat. Diensten maken hier ook gebruik van en kunnen zo bijvoorbeeld instellingen 'scopen' in hun applicatie. Dit attribuut heeft de vorm 'user@scope', zoals bijvoorbeeld piet@student.hartingcollege.nl of piet@hartingcollege.nl.
De kenmerken op een rij:

  • De scope bepaalt de administratieve context. Een instelling kan meerdere scopes hebben, waardoor piet@student.hartingcollege.nl en piet@hartingcollege.nl als verschillende personen kunnen worden gezien en dus gescoped zijn. De scopes kunnen totaal verschillend zijn, als ze administratief maar onder jouw beheer vallen. Een voorbeeld uit onze eigen federatie is het KNAW. Daar hebben we voor dezelfde IdP 'knaw.nl',  'cbs.knaw.nl', 'westerdijkinstitute.nl', 'wi.knaw.nl' en 'hubrecht.eu'. De normaalste zaak van de wereld dus!
  • De scopes van alle op SURFconext aangesloten IdP's zijn te vinden in de metadata van de aangesloten IdP's: https://metadata.surfconext.nl/idps-metadata.xml.
  • Je kunt schacHomeOrganization gebruiken als scope, als er geen andere scopes worden gebruikt.
  • Je kunt ePPN in jouw IdP opbouwen door een transformatie toe te passen. Bijvoorbeeld:  eduPersonPrincipalName = uid @ schacHomeOrganization.
  • Hoewel ePPN op een e-mailadres lijkt, mag het niet als e-mailadres worden gebruikt. In veel gevallen kan er geen e-mail naar worden verzonden. Dit is in het bijzonder voor diensten van belang om rekening mee te houden. Het gebeurt niet zo vaak, maar de vergissing om het als mail te gebruiken is snel gemaakt.
  • Hoewel deze waarde een gebruiker uniek identificeert, is niet gegarandeerd dat deze persistent blijft over sessies (ook al is dat meestal wel het geval binnen onze federatie).
  • Wij whitelisten toegestane domeinnamen van jouw instelling, zodat er geen ongeldige waarden (scopes) worden gedeeld met diensten.  Dus als je zonder aankondiging een scope toevoegt, kan een gebruiker daarmee niet inloggen op diensten. 
  • Wijzig dit attribuut nooit. Als je dat toch doet, moet je contact opnemen met alle diensten die dit attribuut gebruiken om de wijziging door te geven. Dit is een tijdrovende klus. Ook bij een migratie van jouw IdP naar een nieuw identity management systeem is het cruciaal om de waarde mee te nemen naar de nieuwe omgeving.

Heb je vragen over eduPersonPrincipalName of andere attributen? Laat het vooral weten!

IAM-specialisten onder elkaar: drie vragen aan.... Fetze Alvanouds (Universiteit van Harderwijk)

Dit jaar laten we elke maand een IAM-specialist uit de SURFconext-community aan het woord, zodat jullie elkaar ook via SURFconext Nieuws wat beter kunnen leren kennen. Deze maand: Fetze Alsvanouds. Vind je het zelf leuk om deel te nemen aan deze rubriek, dan horen we graag van je. Stuur een mailtje naar support@surfconext.nl.

Welke functie heb je bij je instelling? Waar houd je je mee bezig?
Mijn hoofdfunctie is professor aan onze mooie Universiteit van Harderwijk. Maar omdat we een vrij kleine instelling zijn (maar wel één met een rijke historie!) vervul ik ook een aantal neventaken. Eén ervan is functioneel beheerder van ons identity- en accessmanagementsystteem. Samen met een aantal collega's zorg ik ervoor dat studenten en medewerkers veilig toegang krijgen tot allerhande applicaties, zoals het Statenbijbel Portael, het Houten Rekenliniael en het Perkamenten CollegeRooster.

Welke grote uitdaging zie je voor je instelling, op het gebied van identity- en accessmanagement? Waarom?
De grote vraag is voor ons: hoe bereiden we ons voor op de toekomst? Momenteel is gezichtsherkenning onze belangrijkste authenticatiemethode. De student verschijnt bij de professor. Die herkent de student (of niet!) en vervolgens krijgt de student (al dan niet!) toegang tot bijvoorbeeld het Physiologisch Laboratorium. Maar hoe lang is deze methode nog schaalbaar, met de toenemende studentenaantallen? Dus we kijken naar de toepassing van Zelf Onderteekende Certificaeten. Studenten kunnen deze thuis invullen en als ze 's ochtends binnenkomen, controleert de portier dit certificaat. Wordt het certificaat geldig bevonden, dan krijgt de student de rest van de dag automatisch toegang tot alle beschikbare applicaties. Eenmaelige Intekeening, heet dat systeem. We verwachten er veel van.

Als een instelling nog twijfelt over SURFconext, wat zeg je dan tegen die instelling?  Waarom zouden ze wel of niet met SURFconext aan de slag moeten gaan?
SURFconext? Ja daar heb ik wel van gehoord. Ik geloof dat we daar nog niet bij aangesloten zijn, maar mijn voorgangers in deze aardige rubriek zijn er positief over. Dus ik ga me er zeker in verdiepen, en zal mij tot SURF wenden als we er klaar voor zijn. Sowieso zijn we altijd zeer tevreden over de producten en diensten van de Samenwerkende Universitaire Rekenfaciliteiten.

Terugblik: Unconference werkmiddag over aanbestedingen

Alle instellingen krijgen er vroeg of laat mee te maken: de vervanging van je IAM-voorziening. En dat zal in het geval van publiek gefinancierde instellingen vaak betekenen dat je gaat aanbesteden. Op de Unconference-bijeenkomst van oktober vorig jaar was dit een van de populairste onderwerpen, vandaar dat jullie dit onderwerp als eerste in de reeks IAM-werkmiddagen in 2025 hebben gekozen. Trekker en middagvoorzitter op 18 maart was Guus Koudijs van Wageningen University & Research. Er waren zo'n 30 personen aanwezig, die luisterden naarde volgende sprekers als aftrap voor discussie:

  • Gert Faber (architect bijde WUR) over de architectuur van je IAM-voorziening en wat het betekent als je ook met "vreemde" identiteiten, zoals eduID, rekening moet houden in je landschap.
  • Wim Penninx (architect bij TU Delft) over hun ervaring met een recente aanbesteding en de daaropvolgende migratie van de oude naar de nieuwe IAM-voorziening.
  • Johan van Cuijk (Product Owner IAM van de TU/e) over hun aanpak voor de aanstaande productkeuze van de vervanging van hun huidige IAM-voorziening.
  • Andres Steijaert (teamlead Inkoop bij SURF) die IAM positioneerde als kroonsteen én kroonjuweel van een instelling en wees op de SURF Cloud Sourcing strategie en de aankomende publicatie van niet-functionele eisen, die je bij een aanbesteding kunt overnemen.

Discussies gingen onder andere over de business case voor Identity & Access Governance (IGA) en over de vraag of je per natuurlijk persoon één digitale identiteit wilt hebben en wat dat betekent als bijvoorbeeld een student ook medewerker is (of omgekeerd) en je dus de gegevens uit verschillende bronsystemen moet matchen. Bij de meeste instellingen gaat dit via zelfontwikkeld maatwerk, omdat de standaard IAM-software dit niet (goed) kan.

Als vervolg willen we vanuit SURF een online platform opzetten voor kennisdeling en discussies. Hou deze nieuwsbrief daarvoor dus in de gaten. De volgende IAM-werkmiddag is op 30 juni, om 13 uur bij SURF, Utrecht.

Lees de nieuwe IdP-migratiegids en maak kennis met onze engineer voor ondersteuning op de weg naar soevereiniteit.

Het SURFconext-team merkt dat de huidige geopolitieke ontwikkelingen steeds vaker leiden tot vragen van instellingen over het in eigen beheer nemen van identiteitssystemen. Instellingen benaderen ons supportkanaal met verzoeken voor ondersteuning bij migraties naar open source oplossingen.

Daarom zal vanaf maandag het support-team tijdelijk versterkt worden met een extra engineer, Benny Hekker, die zich 24/7 gaat richten op het ondersteunen van instellingen bij het uitvoeren van dergelijke migraties.

Daarnaast hebben we een migratiegids opgesteld met praktische handvatten om onze leden optimaal te ondersteunen en instellingen op weg te helpen bij deze stap.

InAcademia: steeds meer diensten beschikbaar

Studenten zijn dol op kortingen, en veel dienstverleners bieden deze graag. Vaak wordt deze korting betaald met persoonlijke gegevens. InAcademia is een initiatief van Géant dat studenten toegang geeft tot kortingen bij dienstverleners zonder persoonlijke gegevens vrij te geven. Dienstverleners ontvangen alleen de affiliation: medewerker of student. Heel privacyvriendelijk dus.

Korting en gemak met behoud van privacy
InAcademia is inmiddels 5 jaar aangesloten via SURFconext. Sindsdien zijn er veel interessante diensten beschikbaar gekomen. Niet alleen biedt het korting voor een abonnement op de Koninklijke Bibliotheek, Prodigy Finance, Slide Magic en diensten achter SheerID en myUNiDAYS, zoals Spotify, Code Academy, Autodesk en Microsoft, maar sinds kort ook Student Mobility. Student Mobility richt zich op het betaalbaar maken van duurzaam reizen in heel Europa.

InAcademia biedt niet alleen kortingen, maar ook gemak met behoud van privacy. Zo werkt InAcademia samen met Sportcentrum Olympos Utrecht zodat studenten zich eenvoudig kunnen registeren zonder dat ze hun studentenkaart hoeven tonen.

Sluit InAcademia nu aan
Van alle op SURFconext aangesloten instellingen (+-180), zijn 86 instellingen al aangesloten op InAcademia. Twijfel niet langer en sluit je instelling ook aan via het SURFconext IdP Dashboard.

Nieuwe diensten

Een greep uit de diensten die afgelopen maand zijn aangesloten op SURFconext. Zie voor meer informatie het SURFconext Dashboard of de website van de leverancier. Let op, voor de meeste diensten is een licentie vereist. Neem dus eerst contact op met de leverancier of support@surfconext.nl.

Whistleblower Software: online software ten behoeve van de klokkenluidersregeling.

Learnbeat: digitale oplossing voor het lesgeven, oefenen en toetsen.

Wiekiesjij voting software: Wiekiesjij is een digitale verkiezingsapplicatie voor bedrijven.

  • No labels