Via deze nieuwsbrief houden we je op de hoogte van het laatste nieuws rondom SURFconext. Hierbij moet je denken aan nieuwe releases van het platform, best practices, recent aangesloten diensten, interessante bijeenkomsten en plannen voor de toekomst.
Je ontvangt deze nieuwsbrief omdat je SURFconext-verantwoordelijke of -beheerder bent, of lid bent van de SURFconext-alertlijst.
In dit nummer:
- Terugblik SURF Identity & Access Unconference
- Updates SURFconext Invite
- Opt-out voor InAcademia
- Vraag van de maand van het IAM-forum (vvdmIAMf)
- IAM-specialisten onder elkaar: drie vragen aan.... Fabian Stoker (Christelijke Onderwijsgroep Gelderland)
- Attribuut van de maand: eduPersonTargetedID
- Nieuwe diensten
Terugblik SURF Identity & Access Unconference
Op 28 oktober 2025 kwamen zo’n 100 IAM-specialisten bij elkaar op de SURF Identity & Access Unconference. Deelnemers mochten zelf ter plekke ideeën voor sessies aandragen – de basis van Unconference-bijeenkomsten – en dat hebben we geweten! 3 rondes van 5 sessies, 15 rondes in totaal.
Lees hier een korte samenvatting van de dag, en de 3 meest in het oog springende sessies.
Updates SURFconext Invite
De transitie van SURFconext Teams naar het beheren van rollen in SURFconext Invite is bijna klaar: begin komend jaar zetten we SURFconext Teams echt uit. We voorzien voor instellingen weinig impact: jullie zijn individueel benaderd waar nodig en alle actieve Teams zijn inmiddels overgezet naar rollen in SURFconext Invite.
Verder hebben we de afgelopen maanden diverse nieuwe features ontwikkeld. Zo zijn logging en audit trails verbeterd en hebben we het uitnodigen van nieuwe instellingsadmins binnen Invite makkelijker gemaakt. De volledige lijst met wijzigingen en de nog te ontwikkelen features zijn publiek beschikbaar. Wil je aan de slag met SURFconext Invite en eduID, maar weet je niet goed waar je moet beginnen?
Bekijk dan dit stappenplan. En we zijn zoals altijd bereikbaar via support@surfconext.nl.
Opt-out voor InAcademia
Op 1 december koppelen we alle IdP's aan InAcademia.
Via deze nieuwsbrief hebben we door de jaren heen diverse keren aandacht besteed aan InAcademia. Via deze dienst kunnen studenten bij online dienstverleners op een privacyvriendelijke manier bewijzen dat ze student zijn. Bij de transactie wordt alleen de betrekking (affiliation) doorgestuurd. Bedrijven die korting aanbieden aan studenten, ontvangen realtime en op een veilige manier gevalideerde gebruikers. Dat kan de pizzaboer op de campus zijn, maar ook bedrijven zoals Spotify, en een gratis abonnement op de dagbladen van DPG Media. InAcademia is ontsloten via eduGAIN en SURFconext.
Door alle IdP's te koppelen aan InAcademia verlagen we de drempel voor dienstleveranciers om voor het privacy vriendelijke alternatief te kiezen.
Vraag van de maand van het IAM-forum (vvdmIAMf)
Hoe gaan jullie om met MFA-resets voor studenten?
Bij Avans zijn ze druk met het handmatig verifiëren van de identiteit van studenten die van telefoon wisselen, en de MFA opnieuw willen gebruiken. Peter Schouten vraagt zich af hoe andere instellingen omgaan met het resetten van de MFA op telefoons van studenten.
Het is een hot topic, met 10 deelnemers en 113 weergaven. Heb je nog niet gereageerd, ga naar het topic en laat jouw ervaring of tip achter.
Heb je jezelf nog niet aangemeld, gewoon doen op iam.surf.nl!
IAM-specialisten onder elkaar: drie vragen aan.... Fabian Stoker (Christelijke Onderwijsgroep Gelderland)
Dit jaar laten we elke maand een IAM-specialist uit de SURFconext-community aan het woord, zodat jullie elkaar ook via SURFconext Nieuws wat beter kunnen leren kennen. Deze maand: Fabian Stoker. Vind je het zelf leuk om deel te nemen aan deze rubriek, dan horen we graag van je. Stuur een mailtje naar support@surfconext.nl.
Welke functie heb je bij je instelling? Waar houd je je mee bezig?
Als Coördinator IT-infrastructuur hou ik mij samen met mijn team bezig met het onderhouden en ontwikkelen van de IT-infrastructuur. Cloud-gang op basis van een ontwikkelde cloudstrategie is hierbij een belangrijk onderwerp in combinatie met het streven naar een regievoerende IT-afdeling. Vernieuwingstrajecten is voor ons de voornamelijk aanleiding om innovatieve stappen te maken.
Welke grote uitdaging zie je voor je instelling, op het gebied van identity- en accessmanagement? Waarom?
De grootste uitdaging op het gebied van identity- en accessmanagement is om bij een migratie naar een eventuele tool, één samenhangend identiteitsbeeld te vormen, één “bron van waarheid” — terwijl de data uit verschillende systemen komen met eigen definities.
Als een instelling nog twijfelt over SURFconext, wat zeg je dan tegen die instelling? Waarom zouden ze wel of niet met SURFconext aan de slag moeten gaan?
SURFconext is een zeer eenvoudige manier om je onderwijsinstelling aan te sluiten op diverse diensten. Dit omdat je als instelling zelf identityprovider bent en blijft, waardoor medewerkers en studenten altijd één identiteit hebben. Daarnaast hoef je maar één keer een technische koppeling te maken tussen SURFconext en bijvoorbeeld je Azure of ADFS omgeving.
Attribuut van de maand: eduPersonTargetedID
Het attribuut eduPersonTargetedID is in SURFconext een vertrouwde manier om gebruikers blijvend en privacyvriendelijk te identificeren. Het is speciaal ontworpen voor situaties waarin een dienst een unieke identifier nodig heeft, zonder dat de echte identiteit van de gebruiker prijsgegeven wordt. Het is een gepseudonimiseerde identifier.
De kenmerken op een rij:
- Atribuutnaam: urn:mace:dir:attribute-def:eduPersonTargetedID of urn:oid:1.3.6.1.4.1.5923.1.1.1.10
- In OpenID Connect is dit het 'sub' of OpenID Subject.
- Gelijk aan het SAML NameID
- Voorbeeldwaarde: bd09168cf0c2e675b2def0ade6f50b7d4bb4aae
- Wordt op dit moment gebruikt door 367 applicaties
Dit attribuut bestaat omdat het NameID geen standaard SAML-attribuut is zoals gedefinieerd in de SAML v2.0 attributenlijst. SURFconext kopieert daarom het (persistente) NameID naar eduPersonTargetedID applicaties deze kunnen gebruiken.
Dit is een gelijkblijvend, en dus persistent, pseudoniem dat per gebruiker–dienst-combinatie uniek is. De waarde wordt door SURFconext gegenereerd op basis van informatie die jouw Identity Provider (IdP) aanlevert. Deze identifier komt nergens anders voor. Niet in SURFconext en ook niet daarbuiten. Dat betekent de gebruiker per dienst consistent wordt herkend, maar dat diensten deze waarde onderling niet aan elkaar of aan persoonsgegevens kunnen relateren. Dit maakt dat het een ideale balans is tussen functionaliteit en privacy.
Waarom is dit attribuut belangrijk?
Veel diensten willen gebruikers blijven herkennen, zonder persoonsgegevens te verwerken. Denk aan content en onderzoeksdiensten of tools die genoeg hebben aan een stabiele identifier. Daarvoor is dit attribuut ideaal:
- persistent:blijft hetzelfde voor dezelfde gebruiker bij dezelfde service provider over meerdere sessies,
- privacyvriendelijk: niet terug te leiden naar de echte identiteit,
- veilig voor koppelen van gegevens: een dienst kan lokale accounts of instellingen in de applicatie koppelen aan dezelfde gebruiker zonder persoonsgegevens op te slaan.
Binnen SURFconext is eduPersonTargetedID een kopie van het NameID. Beide identifiers zijn op dezelfde manier opgebouwd en kun je daarom op dezelfde manier gebruiken. Sommige applicaties kunnen geen gebruik maken van het NameID, en maken daarom gebruik van eduPersonTargetedID.
In de SAML-assertion worden het NameID en eduPersonTargetedID door SURFconext berekend op basis van:
- de uid van de gebruiker
- de schacHomeOrganization
- het entityID of clientID van de Service Provider of Relying Party.
- een bij SURFconext bekend geheim, gecombineerd met een SHA-algoritme
- De instelling (IdP) levert dit attribuut dus niet!
Persistent, maar niet per se onveranderlijk
Hoewel eduPersonTargetedID bedoeld is als een stabiele identifier, kan de waarde toch wijzigen wanneer één van de onderliggende attributen wordt aangepast:
- een instelling de uid's verandert,
- een nieuwe schacHomeOrganization (bijv. wijziging van domeinnaam),
- een dienst die zijn entityID of clientID aanpast.
Als dat gebeurt, genereert SURFconext automatisch een nieuwe NameID én dus ook een nieuwe eduPersonTargetedID. Dit kan tot problemen leiden, omdat gebruikers dan niet meer herkend worden door de applicatie. Voor veel diensten is dit attribuut een unieke identifier waarmee gebruikersprofielen worden gekoppeld. Een nieuwe waarde betekent voor die dienst dus: dit is een nieuwe gebruiker.
Dat kan vervolgens leiden tot verlies van opgeslagen instellingen of voortgang, het kwijtraken van data in applicaties, of tot dubbele of 'lege' accounts. Daarom raden wij altijd af om attributen te wijzigen die gebruikers identificeren. Dit geldt in het bijzonder voor uid en schacHomeOrganization, omdat dit tot een cascade van onverwachte effecten kan leiden.
Vinger aan de pols
Wij monitoren niet actief op wijzigingen va de attributen van gekoppelde instellingen en we zullen altijd afraden attributen te wijzigen. Dit is vaak veel werk en kan verstoringen opleveren. Geef altijd bij ons aan als je een wijziging overweegt zodat we jullie kunnen begeleiden. Voor eduPersonTargetedID geldt dus dat een wijziging aan een ander attribuut, zoals uid of schacHomeOrganization, indirecte gevolgen kan hebben.
Wanneer een dienst het EntityID of ClientID wijzigt, controleren wij of de dienst gebruikmaakt van eduPersonTargetedID. In dat geval overleggen we met de leverancier over de juiste aanpak.
Meer informatie
Kijk op onze attributenpagina voor meer informatie over dit attribuut en andere. Zoals aangegeven staat eduPersonTargetedID niet op zichzelf en is deze afhankelijk van andere attributen. In het IdP Dashboard kun je zien welke diensten gebruik maken van dit attribuut. Een opsomming met aanbevelingen met betekking tot wijzigingen van attributen vind je terug op deze pagina.
Nieuwe diensten
Een greep uit de diensten die afgelopen maand zijn aangesloten op SURFconext. Zie voor meer informatie het SURFconext Dashboard of de website van de leverancier. Let op, voor de meeste diensten is een licentie vereist. Neem dus eerst contact op met de leverancier of support@surfconext.nl.
Ebook Central: Ebook platform
HeinOnline: Online content platform
Shuttel : Mobiliteitsoplossingen voor organisaties
NOA Talent Portal: Portal voor het inrichten van het gehele proces rondom intake, selectie, recruitment of begeleiding
Overview
Content Tools