Via deze nieuwsbrief houden we je op de hoogte van het laatste nieuws rondom SURFconext. Hierbij moet je denken aan nieuwe releases van het platform, best practices, recent aangesloten diensten, interessante bijeenkomsten en plannen voor de toekomst.

Je ontvangt deze nieuwsbrief omdat je SURFconext-verantwoordelijke of -beheerder bent, of lid bent van de SURFconext-alertlijst.

In dit nummer:

1. T&I Unconference werkmiddag over IAM in het mbo
2. IAM community platform (beta) is live!
3. EduID-loginmethode vernieuwd: van magic link naar eenmalige code
4. IAM-specialisten onder elkaar: drie vragen aan....
5. Attribuut van de maand: eduPersonEntitlement
6. Nieuwe diensten

T&I Unconference werkmiddag over IAM in het mbo

Nog anderhalve week, en dan vindt de Unconference werkmiddag over IAM in het mbo plaats. Op 30 juni ontvangen we jullie graag bij SURF in Utrecht.

De tweede unconference werkmiddag over IAM van dit jaar is speciaal bedoeld voor mbo-instellingen. Johan Engels van MBO Utrecht is de middagvoorzitter. Onderwerpen die op deze middag aan bod zullen komen, zijn onder andere architectuur (MOSA), hoe regel je nu rollen en rechten, eduID en de relatie met de SURF IAM-diensten. Plus natuurlijk veel onderlinge discussie en kennisuitwisseling!
Geïnteresseerden vanuit andere sectoren dan het mbo zijn uiteraard ook welkom. Het gaat tenslotte over IAM.
Via deze link kun je je nog inschrijven voor deze middag, die start om 12:30 met lunch en tot 17 uur duurt met een borrel na afloop.

Als je ingeschreven bent ontvang je voor 30 juni nog een agenda en exacte locatiegegevens.

IAM community platform (beta) is live!

Regelmatig krijgen we vragen of verzoeken van jullie - de IAM community - om met andere instellingen in contact te komen rond IAM-gerelateerde onderwerpen. Sinds de succesvolle IAM Unconference en de eerste Unconference werkmiddag is dat er zeker niet minder op geworden! Al lange tijd speelden we met het idee om een communityplatform op te richten, een plek waar iedereen vanuit de doelgroep die zich interesseert in IAM samen kan komen, berichten kan plaatsen, reageren op elkaars berichten, enzovoorts. Nu is dat idee eindelijk werkelijkheid geworden, en nodigen we jullie allemaal uit om lid te worden van ons prachtige nieuwe IAM communityplatform: https://iam.surf.nl! Inloggen gaat uiteraard via SURFconext - alle instellingen zijn reeds gekoppeld.

Korte disclaimer: het gaat hier om een 'eerste' versie van het communityplatform, dus dat betekent enerzijds dat de look & feel nog niet definitief is en anderzijds dat er mogelijk nog bepaalde settings niet helemaal goed staan. Zie je iets geks? Laat het ons weten via support@surfconext.nl. We zijn uiteraard van plan om dit platform verder door te ontwikkelen, maar uiteindelijk valt of staat het met de betrokkenheid van de community - jullie dus! De basisfunctionaliteit is staat nu, dus we kunnen als community in ieder geval van start.

Het platform draait op open source software (Discourse), wordt aangeboden door Communiteq, gehost in de EU en er is vanzelfsprekend een verwerkersovereenkomst afgesloten tussen SURF (als verwerkingsverantwoordelijke) en de leverancier (als verwerker).

EduID-loginmethode vernieuwd: van magic link naar eenmalige code

Sinds het begin van de eduID-dienst werd een "magic link" inlog methode ondersteund. Hierbij kregen eduID-gebruikers een link naar hun emailadres gestuurd waarmee ze vervolgens in konden loggen. We merkten steeds vaker dat dit problemen opleverde.

Zo zagen we dat gebruikers op het ene device (bijvoorbeeld een laptop) een applicatie openden waarop ingelogd moest worden met eduID, terwijl vervolgens de email met de magic link op een ander device (bijvoorbeeld de mobiele telefoon) werd geopend. Dit was omslachtig en foutgevoelig. Ook zien we dat steeds meer emailproviders en clients aan "pre-fetching" van links doen. Hierbij worden URL's in emails door de provider geopend voordat de gebruiker de email leest, vaak om security- of performance redenen. De magic link is dan al gebruikt en niet meer geldig, waardoor de gebruiker een foutmelding krijgt.

Daarom hebben we besloten om geen links meer in emails te sturen, maar in plaats daarvan een zescijferige code die overgetypt moet worden op de loginpagina. Op dit moment is dit actief bij een eduID-login op het web en bij het valideren van een email adres of het veranderen van een wachtwoord. De eduID-apps gebruiken nog wel de magic-link login methode, die passen we zo snel mogelijk aan.

IAM-specialisten onder elkaar: drie vragen aan.... Hylke Hoekstra (Universiteit Leiden)

Dit jaar laten we elke maand een IAM-specialist uit de SURFconext-community aan het woord, zodat jullie elkaar ook via SURFconext Nieuws wat beter kunnen leren kennen. Deze maand: Hylke Hoekstra. Vind je het zelf leuk om deel te nemen aan deze rubriek, dan horen we graag van je. Stuur een mailtje naar support@surfconext.nl.

Welke functie heb je bij je instelling? Waar houd je je mee bezig?
Ik ben senior Functioneel Beheerder bij het IAM-team. Ik focus me met name op de meer tactische onderwerpen zoals specifieke architectuurvraagstukken (bijv. aansluitpatronen), procesverbeteringen en governance. Daarnaast zorg ik ervoor dat projecten waar wij bij betrokken zijn zoveel mogelijk binnen de juiste kaders, standaarden en richtlijnen blijven zodat operationele processen en strategische doelen goed op elkaar aansluiten.
 
Welke grote uitdaging zie je voor je instelling, op het gebied van identity- en accessmanagement? Waarom?
Met de groeiende afhankelijkheid van federatieve toegang en cloudapplicaties wordt grip op provisioning, deprovisioning en autorisatiebeheer steeds crucialer. Tegelijkertijd brengt de opkomst van de self-sovereign identity interessante maar fundamentele veranderingen met zich mee. Het zal helpen om de grenzen tussen onderwijsinstellingen verder te vervagen, maar vraagt ook om een herziening van het huidige IAM-landschap.
 
Als een instelling nog twijfelt over SURFconext, wat zeg je dan tegen die instelling?  Waarom zouden ze wel of niet met SURFconext aan de slag moeten gaan?
Niet twijfelen, gewoon doen! SURFconext biedt een veilige, schaalbare en gestandaardiseerde oplossing voor federatieve toegang. Het maakt het eenvoudig om toegang te bieden tot diverse diensten, zowel binnen als buiten de instelling. Als instelling profiteer je van de expertise, lagere kosten en eenvoudig beheer van koppelingen. Het is dé toekomstbestendige keuze voor het faciliteren van samenwerking en het ondersteunen van digitalisering in het onderwijs- en onderzoekslandschap.

Attribuut van de maand: eduPersonEntitlement

Het attribuut 'eduPersonEntitlement' geeft aan op welke middelen of functionaliteiten een gebruiker recht heeft. Het beschrijft een autorisatie en zegt niets over de identiteit. Dit attribuut bij uitstek geschikt om toegang tot specifieke onderdelen van diensten te regelen. Denk hierbij aan vragen als: mag iemand DNS-beheer uitvoeren, hoeveel opslagruimte wijs ik toe, of heeft iemand recht op een bepaalde licentie? Dit attribuut maakt het mogelijk dergelijke rechten automatisch aan diensten door te geven. De waarden zijn gestandaardiseerde URI's (URN’s of URL’s) die rechten en rollen kunnen doorgeven. Bijvoorbeeld: urn:x-surfnet:surf.nl:surfdrive:quota:100 geeft 100 GB opslag in SURFdrive, en urn:mace:surf.nl:surfdomeinen.nl:role:dnsadmin wijst de rol van DNS-beheerder toe in SURFdomeinen.

De kenmerken op een rij:

• De waarde is een URI (URL of URN) en representeert een recht of toestemming, bijvoorbeeld voor een bepaalde rol of dienst.
• Het attribuut kan multi-valued zijn: een gebruiker kan meerdere rechten tegelijk hebben.
• De waarden worden door de Identity Provider toegekend en zijn vaak gescoped: ze zijn alleen geldig binnen de context van die IdP.
• Entitlements worden centraal beheerd, bijvoorbeeld via het identity management systeem en dus niet lokaal per applicatie.
• Binnen SURFconext is afgesproken dat de waarden bij voorkeur URN's zijn maar dit kunnen ook URL's zijn. Wij filteren de URN's binnen onze Attribute Release Policy (ARP). Alleen het voor de dienst relevante entitlement wordt doorgegeven.
• Wij houden een specifieke namespaces voor entitlements bij. Voor diensten binnen SURFconext is dit: 'urn:mace:surfnet.nl:surfconext.nl'. Zo voorkomen we botsingen van rollen en rechten tussen SP’s die bijvoorbeeld allemaal een 'admin'-entitlement willen gebruiken. Door te scopen wordt duidelijk wie verantwoordelijk is voor welke waarde bij welke dienst.
• De afspraken over naamgeving en structuur zijn essentieel voor uitwisseling van entitlements. Zie hiervoor ook het SURFconext Entitlement Name-spacing beleid: https://servicedesk.surf.nl/wiki/x/7wKvBw

   
Configuratie aan de kant van de IdP

Je configureert 'eduPersonEntitlement' doorgaans door deze waarden dynamisch toe te wijzen aan gebruikers op basis van groepslidmaatschap of attributen uit jouw IdP. Dit kan met:

• Attribute-resolvers in Shibboleth of SimpleSAMLphp;
• Mappen op LDAP- of AD-groepen;
• logica in provisioning flows of identity management platforms.

Zorg dat je altijd de juiste URN-namespace gebruikt en controleer de uitgaande waarden met de SURFconext profiel of debug pagina.

Afstemming met diensten
Voor entitlements moet er altijd afstemming zijn tussen IdP, SP én met ons. Een SP heeft alleen iets aan een entitlement als de IdP deze daadwerkelijk kan leveren. Maak hierover dus expliciete afspraken. Het heeft geen zin om een 'admin'-entitlement door te geven als de dienst niet weet dat dit wordt gestuurd, en andersom. Neem ook contact met ons op, zodat wij de waarden op de juiste manier kunnen vastleggen in het ‘SURFnet URI Registry’. Wij laten jullie weten wat in ons register is opgenomen. ]

Kortom: 'eduPersonEntitlement' is een krachtig attribuut voor autorisatie binnen federatieve samenwerkingen. Mits goed afgesproken, consistent toegepast en correct geconfigureerd, biedt het schaalbare en veilige toegangscontrole. Meer weten? Bekijk de details op onze wiki: https://servicedesk.surf.nl/wiki/x/tgKvBw

Nieuwe diensten

Een greep uit de diensten die afgelopen maand zijn aangesloten op SURFconext. Zie voor meer informatie het SURFconext Dashboard of de website van de leverancier. Let op, voor de meeste diensten is een licentie vereist. Neem dus eerst contact op met de leverancier of support@surfconext.nl.

ScienceGuide: ScienceGuide is het podium dat iedereen in het hoger onderwijs, de wetenschap en de kennissector verbindt.

Tenpu: softwareoplossing voor het managen van aanbestedingen.

iTelAlert: informeer de juiste mensen met één druk op de knop.

MIEC Data & AI: zorgt voor een verbinding tussen het mbo, bedrijven en experts bij innovaties die vragen om effectief upskillen van professionals en studenten.