Documentation has moved

De documentatie van SURFconext - Get Conexted is verhuisd naar de  https://servicedesk.surf.nl/wiki/display/IAM 

The SURFconext - Get Conexted documentation has been moved to the. https://servicedesk.surf.nl/wiki/display/IAM   

The copy on this location will be removed on 1 December 2024

Diensten activeren via SURFconext vereist enige achtergrondinformatie. Bekijk onderstaande goed voor het activeren van diensten via het IdP Dashboard.

En voor details hebben we subpagina's:

Diensten activeren

Wat is het 'activeren van diensten'?

Onder het activeren van diensten verstaan we het leggen van een verbinding tussen jouw organisatie (identity provider) en een Service Provider (dienst), via SURFconext. Na het activeren van deze verbinding krijgen gebruikers van jouw organisatie toegang tot de dienst.

SURFconext houdt in een database bij welke Identity Providers toegang hebben geactiveerd tot welke Service Providers. Dit noemen we ook wel een ACL: Access Control List.

De Identity Provider kan zelf kiezen welke dienst hij activeert. Hiervoor maak je gebruik van het SURFconext dashboard. Deze applicatie biedt een overzicht van de beschikbare diensten voor jouw organisatie en je ziet ook welke diensten reeds geactiveerd zijn.

Wie kan diensten activeren?

Koppelingen beheren tussen jouw organisatie en een dienst regel je via het SURFconext dashboard. Alleen gebruikers met de juiste bevoegdheid kunnen inloggen op het SURFconext dashboard. Binnen jouw organisatie is de SURFconext-verantwoordelijke hiervoor verantwoordelijk. Hij kan via het dashboard van SURFconext een verzoek sturen om een dienst te activeren. Dit verzoek komt vervolgens bij het SURFconext-team. Nadat het SURFconext-team een aantal controles heeft gedaan, wordt de koppeling tussen jouw organisatie en de desbetreffende dienst geactiveerd. De SURFconext-verantwoordelijke krijgt hierover een e-mail.

Binnen elke instelling is de Instellings Contactpersoon (ICP) verantwoordelijk voor het toekennen van deze bevoegdheden aan zijn of haar medewerkers. Wil je dus toegang tot het dashboard van SURFconext neem dan contact op met je eigen ICP. Het toekennen en wijzigen van de rollen 'SURFconextverantwoordelijke' en 'SURFconextbeheerder' gebeurt in de applicatie 'SURFdashboard'. Een Instellingscontactpersoon of Instellingsbevoegde kan hier deze rollen toekennen en/ of wijzigen. Op de homepage van het SURFdashboard is ook een handleiding beschikbaar.

RolFunctieOmschrijving
SURFconextverantwoordelijkeadministratief contactpersoon

Deze persoon is het eerste aanspreekpunt voor SURFnet als het gaat om de contractuele afspraken en policy zaken met betrekking tot SURFconext. Met deze rol kun je, naast het bekijken van het overzicht van beschikbare clouddiensten, ook de technische koppeling met de clouddiensten beheren. Dwz: om een beschikbare clouddienst te activeren, zal de SURFconextverantwoordelijke via het SURFconext Dashboard toestemming moeten geven voor het vrijgeven van de attributen die door de dienst worden gebruikt. Ook wanneer de instelling zelf als Service Provider optreedt, zal de SURFconextverantwoordelijke namens de instelling optreden als eerste contact richting SURFnet.

De SURFconextverantwoordelijke kan via het dashboard van SURFconext ook diensten uitschakelen. Let wel: alle data die gebruikers van je instelling op deze dienst hebben staan, zal niet meer beschikbaar zijn na het afsluiten van toegang.

SURFconextbeheerdertechnisch contactpersoon

Met deze rol kun je inloggen op het dashboard van SURFconext om een overzicht te zien van alle beschikbare clouddiensten voor jouw instelling. Deze persoon is bovendien verantwoordelijk voor het technisch beheer van de Identity Provider, en fungeert als eerste aanspreekpunt voor SURFnet als het gaat om storingen, updates en security issues die betrekking hebben op de Identity Provider.

De SURFconext-verantwoordelijke kan in dashboard onder MijnInstelling/MyInstitute SURFconext-beheerders de mogelijkheid geven autorisatieregels te beheren.

Waar moet je op letten als je een dienst activeert?

Een aantal zaken is belangrijk bij het aanvragen van een koppeling:

  • Attributen: in het SURFconext dashboard is bij elke dienst aangegeven welke attributen (zoals een email-adres, uniek id etc) de dienst wil ontvangen voor een goede werking van de dienst. De Algemene Verordening Gegevensbescherming (AVG) vereist dat je namens je organisatie toestemming geeft voor het vrijgeven van die attributen. Je moet inschatten of de door de dienst gevraagde attributen geleverd (kunnen) worden door jouw identity provider-systeem, en of je bereid bent om deze attributen te leveren, gezien de aard van de dienst. Het is belangrijk om te onthouden dat jouw organisatie altijd eindverantwoordelijk blijft voor (de persoonsgegevens van) je gebruikers.
  • Contractuele basis: iedere leverancier die een dienst aansluit op SURFconext dient de SURFconext aansluitovereenkomst te tekenen. In het SURFconext IdP Dashboard zie je of deze is ondertekend door de leverancier

Hoe kun je op SURFconext aangesloten diensten activeren?

Koppelingen beheren tussen jouw organisatie en een dienst regel je via het SURFconext IdP dashboard. Alleen gebruikers met de juiste bevoegdheid kunnen inloggen op het SURFconext IdP dashboard. Zie hieronder voor de handleiding.

Er zijn meer dan duizend diensten aangesloten. Je bepaalt zelf welke je daarvan koppelt. We raden echter iedereen aan een klein aantal Aangeraden diensten te koppelen voor een soepele samenwerking binnen SURF.


Handleiding SURFconext Dashboard

Het SURFconext dashboard wordt getest met de browsers waarvan we in onze statistieken zien dat ze veel worden gebruikt om het dashboard te bezoeken. Heb je problemen met de weergave van het SURFconext dashboard? Probeer dan een andere browser. Uiteraard horen we het graag als je vindt dat iets wat niet werkt, toch moet werken met jouw browser.

Publieke informatie

Op dashboard.surfconext.nl geeft, zonder inloggen, een overzicht van alle op SURFconext aangesloten diensten.

Informatie na inloggen

Gebruikers met een instellingsaccount van een op SURFconext aangesloten instelling kunnen via de INLOG-knop inloggen. Na inloggen wordt meer informatie getoond. De gebruiker met de rol SURFconext-verantwoordelijke, kan deels bepalen wat gebruikers zonder extra rol zien. Afhankelijk van wat de SURFconext-verantwoordelijke heeft geconfigureerd ziet de gebruiker met een instellingsaccount:

  • statistieken over het aantal logins op diensten. Een SURFconext verantwoordelijke van de instelling kan dit aan- en uit zetten, standaard staat het uit.
  • welke diensten voor zijn/haar instelling 'gekoppeld zijn', dus waar hij/zij met het instellingsaccount op in kan loggen
  • iets meer informatie per dienst
  • informatie over zijn/haar instelling. Een SURFconext verantwoordelijke van de instelling kan instellen of wel of geen contactgegevens worden getoond. Standaard staat deze instelling op 'niet tonen'.  

Wie mag nog meer?

Gebruikers die van en binnen hun instelling de rol van SURFconext-verantwoordelijke of -beheerder hebben gekregen kunnen, na inloggen op dashboard.surfconext.nl door hun extra rechten nog meer zien en doen. Hieronder staat daarover meer informatie.

Admin Switcher

In het SURFconext IdP dashboard beheer je alles wat te maken heeft met SURFconext. Als je meerdere IdP's beheert, kun je wisselen tussen die IdP's door rechtsboven op je naam te klikken en de gewenste IdP te kiezen:

Services

Onder services zie twee tabbladen.

  1. De eerste toont de diensten die aan jouw instelling zijn gekoppeld.
  2. Het tweede toont een lijst van alle diensten beschikbaar op SURFconext.

De lijsten zijn op diverse manieren te filteren, onder andere:

  • Aangeboden door mijn instelling: de diensten die jouw instelling aanbiedt op SURFconext kunnen hier worden gefilterd.
  • Via de zoekregel: je kunt zoeken naar specifieke diensten.
  • Licentie: je kunt bekijken welke licentie eisen horen bij welke dienst. Kan de dienst via SURFmarket worden aangeschaft, of moet je bij de leverancier aankloppen.
  • Type service: de diensten kunnen worden gefilterd op type, zoals 'bedrijfsvoering', 'onderwijs', 'content', etc.

Overzicht

Filters

Service detail pagina

 Het aanklikken van een dienst brengt je naar de Service detail pagina. Hier vind je in het bovenste gedeelte (header) van de pagina algemene informatie over de dienst:

  • Naam van dienst.
  • Aanbieder.
  • Of een licentie vereist is.
  • Wel of niet geactiveerd.
  • Of er een extra Level of Assurance (LoA) bestaat.

De tabbladen daaronder tonen

  • Over: een beschrijving van de dienst, de contractuele basis, en andere instellingen die deze dienst hebben geactiveerd. Daarnaast nog een aantal nuttige links, zoals de login pagina.
  • Attributen & Privacy: de attributen moeten worden vrijgegeven voor de dienst, en privacy informatie (mits opgegeven door de leverancier).
  • Statistieken: loginstatistieken voor de betreffende dienst.
  • Instellingen: extra instellingen die kunnen worden geconfigureerd voor de dienst, zoals consent, autorisatieregels en het Level of Assurance voor SURFsecureID.



Dienst koppelen

Ben je SURFconext-verantwoordelijke, dan volg je de volgende stappen om een dienst te koppelen:

  1. Ga naar de detailpagina van de betreffende dienst en klik op 'koppel met dienst'.
  2. Log in met tweede factor (minimaal LOA2)
  3. Kijk de pagina goed door en vink vakjes aan die aangeven dat je de nodige informatie hebt doorgenomen en om te bevestigen wat je gaat doen.
  4. Selecteer met welk 'nivo' mensen op de dienst moeten inloggen (alleen met userid/wachtwoord (default waarde) of b.v. ook met een token)
  5. Plaats eventueel extra opmerkingen voor het SURFconext-supportteam.
  6. Klik op 'Activeer connectie'.
    1. Hiermee geef je automatisch toestemming voor het vrijgeven van de benodigde attributen.

Zodra je ‘Connect’ hebt aangeklikt, gebeurt er het volgende, afhankelijk van wat er voor die dienst is ingesteld:

  1. als voor de dienst is ingesteld dat de leverancier het o.k. vindt dat een IdP koppelt, dan wordt de koppeling technisch direct gemaakt: je kunt de dienst dan meteen gebruiken. Je ziet dat ook als melding in je scherm.
  2. het kan ook zijn dat voor de dienst is ingesteld dat er nog andere handelingen of controles nodig zijn. In dat geval wordt het SURFconext-aansluitteam via een ticketingsysteem op de hoogte gebracht van je verzoek. Zij beoordelen (controleren onder andere de licentie) en verwerken het verzoek. Je ontvangt een e-mail zodra de aansluiting met de betreffende Service Provider werkt.

Omdat er persoonsgegevens uitgewisseld worden tussen jouw organisatie en de Service Provider moet je, in het kader van de AVG, deze keuze expliciet voor iedere Service Provider maken.

De door de dienst gevraagde informatie van een gebruiker, de attributen, is de set die de dienst zegt nodig te hebben om te kunnen functioneren. Het is van belang dat je, voordat je toegang aanvraagt tot een dienst, er zeker van bent dat de attributen ook daadwerkelijk beschikbaar zijn vanuit jouw eigen configuratie! Door https://engine.surfconext.nl/authentication/sp/debug te bezoeken krijg je een idee van door jouw IdP vrijgegeven attributen. Let op: je ziet hier alleen informatie over je eigen account. Andere gebruikers kunnen andere attributen of attribuutwaardes geconfigureerd hebben.


Activeer dienst door akkoord te gaan met de voorwaarden

Dienst koppelen op uitnodiging

Soms zijn er situaties waarbij bekend is dat jouw instelling een dienst wil gebruiken zodra die dienst technische aangesloten is op SURFconext. In die gevallen stuurt het SURFconext-team je een koppelverzoek. In veel gevallen gebruiken we daarvoor een vast template en de mail die je dan ontvangt ziet er ongeveer als volgt uit:

De mail bevat links waardoor je snel op de pagina bent om aan te geven of je die dienst wel of niet wil koppelen. Je kunt, als je dat b.v. veiliger vindt, uiteraard ook de URL voor het dashboard handmatig in je browser invoeren en de genoemde dienst opzoeken. 

Dienst ontkoppelen

Om een dienst te deactiveren ga je naar de detailpagina van de betreffende dienst

Ontkoppel een dienst door de volgende stappen te doorlopen:

  1. Ga naar de detailpagina van de dienst.
  2. Klik op de groene knop 'gekoppeld'.
  3. Zet een vinkje om aan te geven dat je akkoord gaat met het ontkoppelen van de dienst.

Het SURFconext-team krijgt via het ticketingsysteem de melding dat je de dienst wilt ontkoppelen. Je ontvangt een e-mail zodra de ontkoppeling is doorgevoerd.

Denk goed na voordat je een dienst ontkoppelt. Jouw eindgebruikers kunnen namelijk na het ontkoppelen van de dienst niet meer bij hun gegevens komen!

Bekijk voordat je een dienst gaat ontkoppelen de statistieken, zodat je kunt inschatten of de dienst veel wordt gebruikt door gebruikers van jouw instelling.

Informeer de gebruikers (bijvoorbeeld met een nieuwsbericht) voordat de koppeling van de dienst daadwerkelijk gedeactiveerd wordt.


Autorisatieregels / Policies

Via autorisatieregels ('policies') kun je, op basis van attributen, zorgen dat (alleen) bepaalde gebruikers wel, of juist geen, toegang krijgen tot een dienst. Dit in plaats van dat iedereen van je instelling toegang heeft. Uitgebreide toelichting vind je op de aparte pagina over Autorisatieregels.

SURFsecureID Level of Assurance wijzigen

Om de LOA te verhogen of te verlagen voor een dienst ga je naar SURFsecureID. Daar kies je de LOA die een gebruiker nodig heeft om in te loggen bij de dienst. Om dit te wijzigen is een LoA3 vereist.

MFA


Met 
MFA kan een multi-factor authenticatie worden afgedwongen door je eigen IdP voor deze dienst, als je IdP dat ondersteunt. Om dit te wijzigen is een LoA3 vereist (dit wordt LoA2).

Tickets

Onder Tickets zie je alle acties die zijn uitgevoerd of nog in behandeling zijn. Als er acties, b.v. een koppelverzoek, voor je open staan, wordt dat met een 'tellertje' bij de menu-optie getoond.

Statistieken

Onder het kopje 'Statistieken' kun je de statistieken opvragen over het gebruik van de aangesloten diensten.

Verschillende weergaven zijn mogelijk, zoals de statistieken voor alle aangesloten diensten of een weergave specifiek voor een dienst. Daarnaast kan worden gekozen voor diverse tijdsperioden.

Sommige instellingen willen de SURFconext login-data gebruiken om licentie-facturen te controleren: een leverancier meldt dan b.v. dat van in de periode X t/m Y er vanuit de instelling door Z unieke accounts is ingelogd. Om te zien of dat klopt met de SURFconext-login-gegevens ga je als volgt te werk:

  • vul de naam van de dienst in, 
  • zorg dat 'Toon details per dienst' uitgevinkt is,
  • kies onder Periode voor 'Totale periode: van > tot' 
  • vul de periode in waarover je wil zien hoeveel logins en unieke gebruikers wij hebben gelogd.

Weergave voor alle aangesloten diensten

Weergave voor een specifieke dienst


Informatie over je instelling (wijzigen)

Op het tabblad 'Mijn Instelling/My institute' zie je een aantal gegevens over je instelling/IdP. Een aantal daarvan kun je in het dashboard ook wijzigen; als je dat wil, klik je op Wijzigingsverzoek aanmaken/Create Change Request. Een aantal mogelijkheden:

  • instellen met welke steekwoorden je gebruikers je instelling kunnen zoeken/vinden in de WAYF. Vaak is het handig niet alleen je officiële instellingsnaam daar te hebben staan, maar ook de afkorting (denk aan 'UvA'), eventueel ook de plaatsnaam als die al niet in je instellingsnaam zit ('Amsterdam') etc.
  • wat gebruikers zonder rol na inlog kunnen zien.

Tabel vereiste LoA bij handeling

HandelingLoA
Inzien IdP specifieke informatieLOA1: Wachtwoordverificatie via SURFconext bij de IdP van de gebruiker

Koppel dienst
Ontkoppel dienst
Afwijzen uitnodiging koppelverzoek
Autorisatieregel aanmaken/wijzigen
Consent aanpassen
IdP instellingen aanpassen

LOA2: LoA 1 + Tiqr or Azure MFA authentication

Aanpassen SSID LOA tussen IdP/SP
MFA op de IdP aanpassen

LOA3: LoA 1 + YubiKey or FIDO2 token authentication

Ondersteuning

Voor vragen over het gebruik van het SURFconext dashboard kun je een e-mail sturen naar support@surfconext.nl.

Het kan gebeuren dat je wel bevoegd bent binnen jouw organisatie, maar dat je geen toegang hebt tot het dashboard. Controleer dan eerst bij jouw Instellingscontactpersoon of je de juiste rol hebt (SURFconext-verantwoordelijke of SURFconext-beheerder). Degene met de rol Instellingscontactpersoon (ICP) binnen jouw instelling kan deze rollen uitdelen via SURFdashboard. Als je daarna nog steeds niet kunt inloggen, stuur dan een e-mail naar support@surfconext.nl.




  • No labels