Steeds meer onderwijsinstellingen vragen zich af of ze wel afhankelijk willen blijven van commerciële cloudgebaseerde Identity Providers (IdP’s). Geopolitieke spanningen en de roep om digitale soevereiniteit maken het belangrijk om kritisch naar de huidige authenticatie-infrastructuur te kijken.

Dit document is bedoeld als een denkoefening en dient ter inspiratie. Het helpt je nadenken over de migratie naar een toekomstbestendige, open-source, Identity Provider die naadloos samenwerkt met SURFconext en voldoet aan de eisen van moderne federatieve authenticatie. 

Doelstelling

  • Verminderen van afhankelijkheid van buitenlandse cloudleveranciers.

  • Versterken van digitale soevereiniteit van de instelling.

  • Inrichten van een toekomstbestendige Identity Provider.

  • Voldoen aan de standaarden van SURFconext, interne applicaties en wet- en regelgeving.

Stappenplan Identity Provider migratie

Stap 1 – Analyse huidige situatie

  • Identificatie van diensten, applicaties en federaties binnen jouw IdP.

  • Inventarisatie van authenticatieprotocollen, attribuutuitwisseling en gebruikersgroepen.

  • In kaart brengen van bestaande koppelingen met SURFconext, interne en externe systemen.

Stap 2 – Opstellen van randvoorwaarden

  • Voorkeur voor open source en self-hosted oplossingen.

  • Ondersteuning voor SAML 2.0 (SURFconext) en bij voorkeur ook OIDC om toekomstbestendig te zijn. 

  • Integratie met interne user directories (LDAP, AD).

  • Beveiliging (MFA, logging, auditing, attribuutcontrole).

  • Data-opslag en hosting binnen de EU of On-Premise.


Stap 3 – Verkenning van alternatieve Identity Providers

Open Source oplossingen:

PlatformProtocolsKenmerken
SimpleSAMLphpSAML 2.0, OIDC (plugins)Wordt al ingezet binnen SURFconext, PHP-based, eenvoudig en modulair.
Shibboleth IdPSAML 2.0, OIDC via extensiesRobuust, Java-based, bewezen in grote federaties. Standaardkeuze in veel Europese instellingen.
KeycloakOIDC, SAMLModerne IdP, Java-based, sterke OIDC ondersteuning, SAML via extensies, actieve community.
SATOSAProxy: SAML, OIDCIdentity Proxy, handig voor complexe of hybride federatiescenario’s.
AuthentikOIDC, SAMLNieuwe speler, focus op eenvoud en moderne UI, goede OIDC-implementatie, groeiende community. Ook thuis makkelijk in te zetten. 
AutheliaOIDCBiedt multi-factor authenticatie, single sign-on en reverse proxy-functionaliteiten, en zorgt voor veilige authenticatie en autorisatie voor webapplicaties en services.

Commerciële oplossingen:

PlatformOpmerkingen
Microsoft Entra IDKan veel, cloud-based, met vendor-lock-in risico's.
Okta, Ping Identity, ForgeRockEnterprise-oplossingen, vaak SaaS, met vendor-lock-in risico's.

Stap 4 – Impactanalyse

  • Technische impact:

    • Integratie van de nieuwe IdP met interne systemen.

    • Aanpassingen aan federatie-metagegevens.

    • Attribuutmapping afstemmen met SURFconext. 

    • Eventuele aanpassingen in applicaties (client configuraties).

  • Organisatorische impact:

    • Scholing van beheer- en supportteams.

    • Communicatie naar eindgebruikers.

    • Afspraken met SURF (metadata registratie, aansluiting op SURFconext testomgeving).

  • Security & Compliance:

    • Voldoet de nieuwe IdP aan GDPR- en AVG-richtlijnen?

    • Compliance, privacy en juridische aspecten (datalocatie, governance).

    • Is er controle over de volledige keten?

Stap 5 – Selectie en Proof of Concept

  • Kies op basis van de randvoorwaarden één of meerdere IdP’s om te testen.

  • Zet een PoC op:

    • Aansluiting op de SURFconext-test. Je kunt vandaag nog aan de slag! 

    • Authenticatie flows valideren.

    • Attribuutuitwisseling testen.

    • Interne applicaties migreren naar de nieuwe IdP.

    • Logging en auditing evalueren.

Stap 6 – Migratieplan

  • Maak de definitieve keuze voor de nieuwe IdP.

  • Maak een uitgebreid migratieplan:

    • Gefaseerde livegang (parallellisatie is mogelijk).

    • Metadata aanpassen en registreren bij SURFconext.

    • Interne en externe applicaties omzetten.

    • Beheer en monitoring inrichten.

Stap 7 – Nazorg en borging

  • Eindcontrole:

    • Volledige functionele controle.

    • Gebruikersondersteuning inrichten.

    • Logging en monitoring operationeel.

  • Documenteer:

    • Lessons learned.

    • Beheerprocedures.

    • Updatestrategie.

Strategische overwegingen

  • Digitale soevereiniteit: Volledige controle over authenticatieprocessen en gebruikersdata.

  • Juridische zekerheid: Databeheer binnen Europese grenzen.

  • Duurzaamheid: Verminderen van vendor lock-in en kostenbeheersing.

  • Beheer: Je kunt het beheer helemaal zelf doen, maar er zijn ook veel marktpartijen die een (open source) oplossing voor je kunnen beheren.

  • Gemeenschapskracht: Open source oplossingen hebben vaak brede adoptie binnen de Europese onderzoeks- en onderwijswereld.

Aan de slag

Onze testomgeving is beschikbaar om welke implementatie dan ook aan de tand te voelen. Stuur een mail support@surfconext.nl met de metadata van de nieuwe omgeving(en). Meestal hebben we dit binnen een werkdag verwerkt en kun je aan de slag met een POC of onderzoek naar alternatieven. 

Conclusie

Begin vandaag nog met hierover na te denken en het gesprek aan te gaan met collega’s. Door deze uitdaging bewust aan te gaan, zetten jullie als onderwijsinstelling, onderzoeksinstelling of UMC – samen met ons als federatie – een stap richting een toekomst waarin we niet afhankelijk zijn van derden, maar zelf de regie voeren over onze digitale identiteit en vrijheid. Welke keuze je ook maakt, wij ondersteunen je met het koppelvlak op SURFconext. Hoe je de implementatie binnen jouw organisatie vormgeeft, is aan jullie.



  • No labels