Dit is alweer de laatste SURFconext Nieuws van het jaar. Het SURFconext team wenst jullie allemaal een fijne kerst en een frisse start van 2026!
Via deze nieuwsbrief houden we je op de hoogte van het laatste nieuws rondom SURFconext. Hierbij moet je denken aan nieuwe releases van het platform, best practices, recent aangesloten diensten, interessante bijeenkomsten en plannen voor de toekomst.

Je ontvangt deze nieuwsbrief omdat je SURFconext-verantwoordelijke of -beheerder bent, of lid bent van de SURFconext-alertlijst.

In dit nummer:

• Toelichting storing SURFconext
• Vraag van de maand van het IAM-forum (vvdmIAMf)
• AM-specialisten onder elkaar: drie vragen aan… Johan van der Molen (Windesheim)
• Attribuut van de maand: schacPersonalUniqueCode
• Nieuwe diensten

Toelichting storing SURFconext

In de eerste week van december waren er twee storingen in SURFconext: op vrijdag 28 november en dinsdag 2 december. Op het IAM-forum vind je een korte samenvatting: https://iam.surf.nl/t/storing-surfconext-28-november-en-2-december/484. Voor een uitgebreide toelichting van het ontstaan en de oplossing zie de blog op SURF Communities: https://communities.surf.nl/trust-en-identity/artikel/surfconext-storing-28-november-wat-ging-er-mis.

Vraag van de maand van het IAM-forum (vvdmIAMf)

Gaat het uiteindelijk niet om Identiteit Soevereiniteit?
In het kader van digitale soevereiniteit stipt Maarten van der Hoeven, enterprise architect bij NHL Stenden, aan dat er veel aandacht is voor soevereine data, maar dat het benaderen van deze soevereine data vaak nog met niet-soevereine identiteiten verloopt (lees: via een entraID). Maarten vraagt zich af hoe jullie dit zien.

AM-specialisten onder elkaar: drie vragen aan… Johan van der Molen (Windesheim)

Dit jaar laten we elke maand een IAM-specialist uit de SURFconext-community aan het woord, zodat jullie elkaar ook via SURFconext Nieuws wat beter kunnen leren kennen. Deze maand: Johan van der Molen.

Welke functie heb je bij je instelling? Waar houd je je mee bezig?
Mijn functie binnen Windesheim is ontwikkelaar IAM. Als ontwikkelaar IAM binnen de hogeschool Windesheim ben ik verantwoordelijk voor zaken als accountprovisioning en authenticatie. Daarnaast houd ik me op dit moment bezig met het realiseren van de koppeling tussen ons IDM-systeem en SURFconext Invite. Een ander onderwerp waar we als team aan werken is het ondersteunen van de organisatie om het toekennen van rollen te stroomlijnen.

Welke grote uitdaging zie je voor je instelling, op het gebied van identity- en accessmanagement? Waarom?
Binnenkort moeten we ons IDM-systeem (MIM2016) gaan vervangen. De huidige workflows, policy’s en functionaliteiten moeten in een nieuw systeem een plek krijgen of op een andere manier gerealiseerd worden. Op dit moment zijn we bezig de gewenste functionaliteiten te beschrijven. Op de achtergrond speelt hierin mee dat we geen onbeperkt budget hebben en dus keuzes moeten maken.

Als een instelling nog twijfelt over SURFconext, wat zeg je dan tegen die instelling? Waarom zouden ze wel of niet met SURFconext aan de slag moeten gaan?
SURFconext biedt waardevolle diensten als SURFsecureID en Autorisatieregels. Door het gebruik van SURFconext wordt veel administratie en beheerlast je uit handen genomen. Het maakt, door diensten als bijvoorbeeld Invite, de samenwerking tussen verschillende onderwijsinstellingen een stuk eenvoudiger.

Attribuut van de maand: schacPersonalUniqueCode

Het attribuut schacPersonalUniqueCode wordt gebruikt om een persoon instellings- en soms zelfs sectoroverstijgend uniek te identificeren. In tegenstelling tot veel andere attributen is dit geen context- of rolattribuut, maar een unieke code die een persoon door de tijd heen kan blijven volgen. Binnen het onderwijs wordt dit attribuut vooral ingezet in scenario’s waar betrouwbare en duurzame identificatie essentieel is, zoals bij internationale uitwisseling.

De aanduiding is:
    • urn:schac:attribute-def:schacPersonalUniqueCode of
    • urn:oid:1.3.6.1.4.1.25178.1.2.14
De waarde is bijvoorbeeld 'urn:schac:personalUniqueCode:int:esi:uniharderwijk.nl:123321'. 

Wat is schacPersonalUniqueCode
schacPersonalUniqueCode is een unieke code die een persoon identificeert binnen een afgesproken context, zoals het student-, medewerkers- en/of lidmaatschapsnummer dat wordt gebruikt in de interne systemen van jouw instelling (zoals een SIS). De betekenis en structuur van de waarde zijn vastgelegd in afspraken tussen Identity Provider (IdP), Service Provider (SP) en SURF. De waarde zelf is niet direct leesbaar voor eindgebruikers en zegt op zichzelf niets over de identiteit van de gebruiker. 

De kenmerken op een rij:
    • Het attribuut bevat een unieke persoonscode.
    • De waarde is persistent: verandert niet zolang de onderliggende identiteit gelijk blijft.
    • De semantiek van de waarde is afgesproken en geregistreerd bij ons.
    • De waarde is niet afleidbaar naar naam, e-mailadres of gebruikersnaam.
    • Het attribuut is geschikt voor koppeling van gegevens over instellingen en landen heen.
    • De waarde kan multivalued zijn. 

schacPersonalUniqueCode wordt gebruikt wanneer betrouwbare identificatie vereist is en andere attributen (zoals mail of eduPersonPrincipalName) onvoldoende geschikt zijn. Een voorbeeld is de Erasmus Student Identifier (ESI), die studenten eenduidig identificeert over instellingen en landsgrenzen heen voor uitwisseling, studievoortgang, inschrijving en mobiliteitsprocessen. In deze context draagt schacPersonalUniqueCode de ESI-waarde.

Registratie en governance
De waarden van schacPersonalUniqueCode zijn geregistreerd bij SURFconext in het SURF URI Registry. Hierdoor is duidelijk:
    • welke waarden zijn toegestaan,
    • wat de betekenis is,
    • en binnen welke context deze gebruikt kan worden.

Dit maakt het attribuut geschikt voor grootschalige en ketenoverstijgende samenwerking binnen het onderwijs. Geef bij ons aan welke waarde jullie voeren door een mail te sturen naar support@surfconext.nl. 

Wanneer wel / wanneer niet gebruiken
Je kunt dit attribuut gebruiken voor sector- of ketenoverstijgende identificatie en bijvoorbeeld voor internationale uitwisseling (zoals Erasmus / ESI). Je gebruikt dit attribuut niet voor een dienst die een lokale identifier nodig heeft of wanneer je een unieke identifier nodig hebt waarbij eduPersonTargetedID of NameID ook volstaat. 
Aandachtspunten
    • Zoals bij alle attributen gebruik je dit attribuut alleen als daar een noodzaak voor is.
    • Zorg dat de betekenis van de waarde expliciet is vastgelegd, ook bij ons. 
    • Gebruik het attribuut niet als vervanging van rollen of rechten.
    • Wees terughoudend, omdat dit attribuut persistent is en het gebruik zorgvuldig beheer vereist.

Tot slot
schacPersonalUniqueCode is een attribuut dat zijn waarde vooral bewijst voor langdurige en betrouwbare identificatie, ook over grenzen heen. Lees meer over dit attribuut op onze wiki. Gebruik het als je écht zeker wilt weten wie wie is, ook over grenzen heen!

Nieuwe diensten

Een greep uit de diensten die afgelopen maand zijn aangesloten op SURFconext. Zie voor meer informatie het SURFconext Dashboard of de website van de leverancier. Let op, voor de meeste diensten is een licentie vereist. Neem dus eerst contact op met de leverancier of support@surfconext.nl. 

Den Hollander Publishing: uitgeverij voor wetenschappelijke juridische uitgaven

Chepp: digitale oplossing voor risicomanagement

Potential.ly: leerplatform voor onderwijsinstellingen

Kwizl: online toets- en leeromgeving