SURFconext Nieuws 2015 #1
Dit is de eerste uitgave van SURFconext Nieuws. Via een maandelijkse nieuwsbrief houden we je op de hoogte van de laatste ontwikkelingen rondom SURFconext. Denk hierbij aan nieuwe releases van het platform, recent aangesloten diensten, interessante bijeenkomsten en plannen voor de toekomst.
Je ontvangt deze nieuwsbrief omdat je SURFconextverantwoordelijke of technisch contactpersoon voor jouw instelling bent.
In dit nummer:
Upgrade SURFconext dashboard
Sterke authenticatie in SURFconext
Internationaal samenwerken via eduGAIN
Autorisatie
Nieuwe clouddiensten
Documentatie SURFconext: hoe sluit ik als instelling een eigen dienst aan op SURFconext
Attribuut van de maand: UID
1. Upgrade SURFconext dashboard
Begin deze maand (7 januari) is de nieuwe versie van het SURFconext dashboard gelanceerd (https://dashboard.surfconext.nl). De belangrijkste functionele verbeteringen zijn:
Nieuwe interface: interface is op veel punten verbeterd. Het meest opvallende is de homepage, waarbij diensten nu in lijstweergave worden weergegeven in plaats van grid.
Diensten detail pagina: de detailpagina van SPs is overzichtelijker geworden met aan de rechterzijde informatie over de dienst, en aan de linkerzijde de benodigde stappen om aan te sluiten en te downloaden statistieken.
Workflow: het aanvragen van een dienst is eenvoudiger geworden door de flow in een aantal duidelijke stappen weer te geven.
Statistieken: een nieuwe statistieken module is geïntegreerd zodat duidelijke gebruiksgrafieken weergegeven kunnen worden.
Platform: SURFconext dashboard wordt nu gehost op een aparte VM, zodat onderhoud en monitoring eenvoudiger zijn geworden.
2. Sterke authenticatie in SURFconext
Al eerder vertelden we jullie dat SURFconext in 2015 uitgebreid zal worden met functionaliteit voor sterke authenticatie. Een logische stap als je bedenkt dat steeds meer 'gevoelige' cloudapplicaties op SURFconext worden aangesloten, zoals eHRM, Student Informatie Systemen, applicaties met patentgevoelige onderzoeksdata of privacygevoelige (patiënt-)informatie. Voor dit type applicaties is een sterkere vorm van authenticatie dan gebruikersnaam/wachtwoord zeer wenselijk.
Gebruikers doorlopen straks lokaal binnen hun eigen instelling een registratieproces, waarna zij de beschikking krijgen over een extra authenticatiemiddel: SMS, tiqr (smartphone app) of Yubikey (hardware token). Dit middel kan daarna gebruikt worden voor op SURFconext aangesloten diensten waarbij sterke authenticatie vereist is.
De ontwikkeling van deze sterke authenticatie functionaliteit is inmiddels in volle gang. De ervaringen en verbetersuggesties van instellingen en gebruikers die we hebben opgedaan in eerdere pilots worden daarin verwerkt. In de maand maart zullen wij weer een aantal kleinschalige pilots met instellingen starten, voordat we de dienst breed beschikbaar maken voor alle instellingen. Naar verwachting zal dit nog voor de zomer van 2015 gebeuren. De komende tijd starten wij ook weer gesprekken met diverse Service Providers waarbij het gezien de aard van hun applicatie verstandig lijkt om ook sterke authenticatie te faciliteren.
Instellingen die met ons willen meedenken, in een vroegtijdig stadium al willen testen of graag op de hoogte willen blijven over dit onderwerp kunnen contact opnemen met ons via support@surfconext.nl
Lees voor meer informatie de volgende berichten: https://www.surf.nl/nieuws/2014/09/sterke-authenticatie-voor-betere-toegangsbeveiliging-tot-clouddiensten.html
https://blog.surfnet.nl/sterke-authenticatie-voor-betere-toegangsbeveiliging-tot-clouddiensten/
3. Internationaal samenwerken via eduGAIN
Internationaal en online samenwerken wordt dankzij eduGAIN een stuk eenvoudiger. Via eduGAIN krijgen studenten en onderzoekers gemakkelijker toegang tot content en diensten uit de wereldwijde onderwijs- en onderzoeksgemeenschap.
eduGAIN verbindt federaties wereldwijd met elkaar en zorgt voor een veilige uitwisseling van authenticatie- en autorisatiegegevens. Deelnemende federaties (waaronder SURFconext) verstrekken informatie (metadata) over partijen uit hun eigen federatie aan eduGAIN. eduGAIN bundelt deze metadata zodat er één centrale plek is waar Identity Providers en Service Providers elkaar kunnen vinden buiten de grenzen van de eigen federatie. Dit noemen we interfederatie. Zo kunnen bijvoorbeeld gebruikers van Nederlandse instellingen met hun instellingsaccount inloggen bij diensten uit andere federaties.
Uw instelling kan, via SURFconext, ook deelnemen aan eduGAIN. Op onze nieuwe wikipagina over eduGAIN lees je meer over de achtergrond van eduGAIN en hoe eduGAIN beschikbaar gemaakt kan worden voor uw instelling.
Lees hier meer over eduGain: https://support.surfconext.nl/eduGAIN.
4. Autorisatie
Authenticatie via SURFconext wordt verzorgd met behulp van het SAML-protocol en beantwoordt de vraag ‘wie is de ingelogde gebruiker’. Dit is stap één: inloggen. Inloggen vindt plaats bij de Identity Provider. Dit is meestal de instelling maar kan ook een gast IdP betreffen zoals Onegini. Maar wat mag een gebruiker als hij eenmaal is ingelogd? Dat is stap twee: autorisatie. Via autorisatie bepaalt de dienstaanbieder, op basis van gegevens aangeleverd door de instelling wat die ingelogde gebruiker vervolgens mag doen.
Op dit moment zijn er twee manieren om dit als instelling door te geven. Door (extra) attributen van een gebruiker door te geven en door gebruikers onder te verdelen in groepen waarbij het lidmaatschap van een groep de rechten bepaalt. Een blogpost van SURFnet legt dit nader uit en helpt bij het maken van een keuze voor een van beide methoden.
SURFnet gaat in 2015 onderzoeken of er meer mogelijkheden zijn voor autorisatie via SURFconext. Wil je hier als instelling over mee denken? Input is zeer welkom! Neem contact op met Maarten Kremers (maarten.kremers@surfnet.nl).
Lees hier het blogpost over autorisatie: https://blog.surfnet.nl/?p=3675
5. Nieuwe clouddiensten
De afgelopen tijd zijn er weer diverse nieuwe clouddiensten aangesloten op SURFconext. Hieronder een kleine selectie:
Coursera: Coursera is een onderwijsplatform dat wereldwijd samenwerkt met top universiteiten en organisaties om, voor iedereen, gratis cursussen aan te bieden.
Blue Billywig online Videoplatform: Het Blue Billywig Online Video Platform is voor het beheren, publiceren, converteren en analyseren van audiovisuele content. Een modulair platform om het meeste uit online video te halen, inclusief de optie om video's volledig interactief te maken. Het opslaan en uitserveren van de content maken onderdeel uit van de dienst.
Xedule: een moderne planning- en roosterapplicatie. Roosteren wordt hiermee een samenspel van het optimaliseren van de planning, het vroegtijdig oplossen van knelpunten en het produceren van één (of meerdere) roosters.
CompetentieCV: CompetentieCV is een systeem waarmee docenten en studenten het volledige proces van peer reviewing kunnen doorlopen. Studenten kunnen beoordelingen over elkaar invullen en versturen, beoordelingen over zichzelf inzien en hun voortgang bekijken. Docenten kunnen alle verstuurde formulieren en ieders voortgang inzien en studenten met elkaar vergelijken.
Voor sommige van deze diensten is een licentie vereist. Ga naar https://dashboard.surfconext.nl voor meer informatie.
6. Documentatie SURFconext: hoe sluit ik als instelling een eigen dienst aan op SURFconext?
Er komen steeds meer (commerciële) diensten beschikbaar via SURFconext. Naast de grote hoeveelheid commerciële diensten maken ook steeds meer instellingen hun eigen applicaties beschikbaar via SURFconext. Op die manier heeft de gehele SURFnet community profijt van mooie slimme online onderwijs toepassingen.
Aangezien in de meeste gevallen de contractuele zaken al in orde zijn is het ontsluiten van een eigen applicatie via SURFconext enkel een technische aangelegenheid. Op de SURFconext Wiki vind je de informatie die nodig is om een dienst aan te bieden via SURFconext. Neem contact op met support@surfconext.nl voor meer informatie.
7. Attribuut van de maand: UID
Een essentieel onderdeel bij het gebruik van SURFconext zijn attributen. Vandaar dat we er een rubriek aan wijden. Iedere maand lichten we een attribuut uit.
We beginnen met een van de vereiste attributen voor het gebruik van SURFconext: het UID.
urn:mace schema: urn:mace:dir:attribute-def:uid
urn:oid schema: urn:oid:0.9.2342.19200300.100.1.1
Het UID attribuut is een unieke identificatie voor een persoon, die als inlognaam kan worden gebruikt binnen een organisatie, zoals s9603145, of flap@example.edu. Het UID is verplicht omdat het een van de inputs is die SURFconext gebruikt om voor een gebruiker een uniek, maar anoniem NameID te genereren.
Drie tips met betrekking tot het UID:
Het UID is lokaal uniek binnen de IdP. Binnen SURFconext is het UID daardoor geen unieke identifier. Verschillende aangesloten instellingen zouden immers een UID ‘teun’ kunnen uitgeven.
Hergebruik van UIDs wordt sterk afgeraden.
Vanwege het gebrek aan uniciteit is het normaliter niet nuttig om het UID als identifier aan te bieden aan service providers. Daarvoor wordt daarom meestal het NameID gebruikt, een globaal unieke identifier voor een user, of de eduPersonPrincipalName, die wel een domeinnaam in de waarde heeft zodat die ook wereldwijd uniek is. Het UID wordt nog wel eens gebruikt als identifier in instellings-eigen SPs, die alleen door die instelling zelf gebruikt worden. Dan is er uiteraard wel een garantie dat het attribuut uniek is.
Lees hier meer over attributen: https://wiki.surfnet.nl/display/surfconextdev/Attributen+in+SURFconext
Wil je deze mail in het vervolg niet meer ontvangen, laat dit dan weten via support@surfconext.nl