subject: SURFconext Nieuws: met o.a. Bijeenkomst Mobiele toegankelijkheid instellingsdiensten | Terugblik Whats Next @ SURFconext | Migratie SHA-1 naar SHA-265 | Office 365 op SURFconext | Attribuut van de maand | Nieuwe clouddiensten

SURFconext Nieuws 2015 #10

Dit is de bomvolle tiende en laatste uitgave van SURFconext Nieuws van dit jaar. Via deze maandelijkse nieuwsbrief houden we je op de hoogte van de laatste ontwikkelingen rondom SURFconext. Denk hierbij aan nieuwe releases van het platform, recent aangesloten diensten, interessante bijeenkomsten en plannen voor de toekomst.

Je ontvangt deze nieuwsbrief omdat je SURFconextverantwoordelijke of technisch contactpersoon voor jouw instelling bent.

In dit nummer:

  1. Bijeenkomst 9 dec a.s.: Mobiele toegankelijkheid van instellingsdiensten
  2. Migratie SHA-1 naar SHA-256 vóór 1 juli 2016
  3. Windows Azure AD (Office 365) beschikbaar op SURFconext
  4. Nieuwe release SURFconext Dashboard
  5. Hoge beschikbaarheid in de SURFconext authenticatie infrastructuur
  6. Aanbesteding? Informeer dienstleveranciers over SURFconext
  7. Attribuut van de maand: eduPersonScopedAffiliation
  8. Nieuwe clouddiensten
  9. Nieuwe instellingen aangesloten op SURFconext
  10. Terugblik geslaagd seminar What's Next @ SURFconext

Bijeenkomst 9 dec a.s.: Mobiele toegankelijkheid van instellingsdiensten
Het wordt steeds belangrijker om instellingsdiensten goed toegankelijk te maken voor mobiele apparaten. Laat je hierover op woensdag 9 december bijpraten op deze SURFnet-bijeenkomst. Met onder andere: ontwerpprincipes voor gebruikersinteractie, authenticatie en autorisatie-oplossingen voor apps en veilige integratie van instellingsdata in apps.

Bekijk hier het volledige programma en schrijf je in!

Migratie SHA-1 naar SHA-256 vóór 1 juli 2016

SHA-1 mogelijk gekraakt in nabije toekomst
SURFconext zal begin 2016 starten met het uitfaseren van ondersteuning voor het SHA-1-hashing-algoritme. Er zijn inmiddels aanwijzingen dat het algoritme in de toekomst gekraakt zal worden. Om daadwerkelijke aanvallen voor te zijn, adviseren beveiligingsexperts nu de transitie te maken naar veiliger alternatieven. Vanaf 1 juli 2016 zal SURFconext alleen nog maar het SHA-256 algoritme ondersteunen. We moedigen IdP's en SP's dan ook aan om tijdig te starten met de migratie van SHA-1 naar SHA-256.

Wat is SHA-1?
SHA-1 is een hashing-algoritme uit 1995 dat wordt gebruikt om de integriteit van een boodschap te kunnen verifiëren. SHA-1 wordt onder meer toegepast in SSL/TLS, maar ook bij de ondertekening van SAML-berichten binnen SURFconext. Het verouderde algoritme is in de loop van de tijd kwetsbaar geworden voor steeds eenvoudigere aanvallen.

SURFconext stapt helemaal over naar SHA-256
Veel softwareleveranciers en browsermakers stappen nu al actief over naar SHA-256 en het valt te verwachten dat de meeste internetbrowsers binnenkort waarschuwingen of zelfs foutmeldingen zullen geven als een SSL/TLS-verbinding SHA-1 gebruikt. Microsoft, Google en Firefox kondigden eerder al aan het hashing-algoritme SHA-1 vanaf juni 2016 te gaan blokkeren. SURFconext gebruikt voor SSL/TLS-verbindingen al SHA-256. We gaan SHA-256 nu ook gebruiken voor de SAML-berichten.

Impact voor IdP's
SURFconext biedt reeds SHA-256-ondersteuning voor IdP's, maar een IdP moet zelf de omschakeling maken. Op onze wiki (simpleSAMLphp SHA-256, ADFS SHA-256) vind je voor de meest gebruikte IdP-software ADFS en SimpleSAMLphp een handleiding voor het inschakelen van SHA-256. Deze omzetting kun je op elk gewenst moment en op eigen initiatief doen; hiervoor hoeft aan SURFconext-kant niets omgezet te worden.

Gebruikt jouw instelling een ander product voor je IdP-software en heb je vragen over het overstappen op SHA-256? Neem dan contact met ons op via support@surfconext.nl

Impact voor SP's
SURFconext zal begin 2016 een extra feature implementeren om per SP te kunnen bepalen of er van SHA-1 of SHA-256 gebruik gemaakt wordt, zodat de overstap gradueel gemaakt kan worden. Wij zullen SP's gericht benaderen met het verzoek om SHA-256-ondersteuning nog vóór 1 juli 2016 te implementeren.

Deadline uitfasering SHA-1: 1 juli 2016
Op 1 juli 2016 zal ondersteuning voor het SHA-1-algoritme uitgeschakeld worden in SURFconext. IdP's of SP's die op dat moment nog geen SHA-256 gebruiken zullen niet meer functioneren.

Lees op het blog van Mozilla en Windows hoe zij omgaan met de uitfasering van SHA-1.

Windows Azure AD (Office 365) beschikbaar op SURFconext
Vanaf deze week is Windows Azure AD beschikbaar op SURFconext. De dienst is zichtbaar in het SURFconext Dashboard en kan door de SURFconextverantwoordelijke van jouw instelling worden geactiveerd. Een licentie via SURFmarket is vereist.

Omdat Azure AD een groot en complex product is en op verschillende manieren kan worden gebruikt, dient iedere instelling het voor de eigen situatie goed te testen. De ene use-case werkt goed voor de ene, maar niet voor de andere instelling. Op https://wiki.surfnet.nl/display/services/Microsoft+Office+365 vind je meer informatie over de koppeling. Wij horen graag van jullie wat de ervaringen zijn, en passen op basis daarvan de wiki aan.

Begin 2016 organiseert SURFnet een bijeenkomst om ervaringen uit te wisselen. Houd deze nieuwsbrief in de gaten voor meer informatie.

Nieuwe release SURFconext Dashboard
De nieuwe release van SURFconext dashboard is dinsdag 1 december live gegaan. Onder andere de volgende onderdelen zijn onder handen genomen:

Statistiekmodule: de vernieuwde module is een stuk overzichtelijker en uitgebreider. Zo wordt in een duidelijke staafdiagram per dienst het totaal aantal logins, maar ook de unieke logins weergegeven.

Filtering: er komen meer mogelijkheden om het overzicht van diensten te filteren. Zo kun je straks op inhoudelijke categorie filteren (bijvoorbeeld beveiliging, content, of educatieve diensten), maar ook kun je eenvoudiger de diensten van je eigen instelling of eduGAIN diensten weergeven.

Licentie-informatie: informatie over licenties is op dit moment nog niet optimaal. We werken eraan om duidelijk weer te geven of een dienst kan worden aangesloten, of dat er een licentie vereist is.

Zie het blog voor een uitgebreide beschrijving van de verbeteringen.
Ga (indien je hiervoor gerechtigd bent) naar https://dashboard.surfconext.nl om de nieuwe versie te zien.

 

Hoge beschikbaarheid in de SURFconext authenticatie infrastructuur
Het gebruik van SURFconext betekent een extra 'schakel' in de communicatie tussen een instelling en een (cloud)dienst. En dus een extra afhankelijkheid bij het gebruik van diensten. Immers, als de authenticatie via SURFconext niet werkt, kunnen gebruikers niet op diensten inloggen.

SURFconext werkt aan een zo hoog mogelijke beschikbaarheid van het platform om de kans op uitval de minimaliseren. Het SURFconext-platform is echter onderdeel van een grotere keten die in zijn geheel moet werken om de gebruiker in te kunnen laten loggen.

Op deze wikipagina lees je welke schakels in de keten een rol spelen bij het gebruik van SURFconext. Daarnaast krijg je tips over wat je als instelling kunt doen om de beschikbaarheid van SURFconext te verhogen.

Aanbesteding? Informeer dienstleveranciers over SURFconext
Iedere dienstleverancier die zijn dienst beschikbaar maakt op SURFconext, moet een technisch én contractueel traject doorlopen. Pas als beide trajecten succesvol zijn afgerond, kan de dienst naar productie en is deze beschikbaar in SURFconext Dashboard.

Als je als instelling een nieuwe dienst aanbesteedt en het is bekend dat de dienst via SURFconext beschikbaar moet zijn, is het nuttig om de leveranciers alvast te informeren over bovenstaande trajecten. Met name het contractuele gedeelte is een vrij intensief traject en de ervaring leert dat het leveranciers kan afschrikken. Het is dus goed als zij er tijdens de tender van op de hoogte zijn, zodat zij niet voor verrassingen komen te staan.

Op deze wikipagina vind je een document over het traject voor aansluiting op SURFconext. Handig om de deelnemende partijen aan de aanbesteding toe te sturen.

Attribuut van de maand: eduPersonScopedAffiliation
Een essentieel onderdeel bij het gebruik van SURFconext zijn attributen. Vandaar dat we er een rubriek aan wijden. Iedere maand lichten we een attribuut uit. Deze maand: eduPersonScopedAffiliation.

urn:mace:dir:attribute-def:eduPersonScopedAffiliation
urn:oid:1.3.6.1.4.1.1466.115.121.1.15

eduPersonScopedAffiliation beschrijft de relatie tussen de gebruiker en een specifiek (beveiligings)domein van het thuisnetwerk. De waarden bestaan uit een relatie en beveiligingsdomein, verbonden met een @-teken, bijvoorbeeld <affiliation@sub.domain.nl>. Op deze manier kan de relatie tussen een gebruiker en het beveiligingsdomein nauwkeurig vastgelegd worden. Zo kan bijvoorbeeld vastgelegd worden dat een gebruiker student is bij de faculteit natuurkunde of dat een secretaresse werkt voor een bepaalde afdeling van een faculteit.

Het affiliation-gedeelte moet één van de toegestane waarden van het eduPersonAffiliation-attribuut zijn. Op dit moment zijn dat:
student=student
employee=alle werknemers
staff=academische staf
member=alle studenten en medewerkers (dus employee + student)

Het domeingedeelte moet een subdomein zijn van de schacHomeOrganization van de gebruiker. Dit subdomein hoeft niet in DNS te bestaan. Als bijvoorbeeld de schacHomeOrganization van de gebruiker uniharderwijk.nl is, kan het domeingedeelte van eduPeronScopedAffiliation bijvoorbeeld math.uniharderwijk.nl, physics.science.uniharderwijk.nl, enzovoorts zijn.

Vier tips met betrekking tot dit attribuut:

  • Het is een UTF-8 string, dat wil zeggen dat ze alle mogelijk denkbare tekens mogen bevatten, zoals "Mërgim Lukáš ".
  • Het attribuut kan meerdere waarden bevatten, waardoor bijvoorbeeld nauwkeurig vastgelegd kan worden dat een student natuurkunde een onderwijsbetrekking heeft bij de faculteit wiskunde.
  • Naast de faculteit kan het attribuut ook gebruikt worden om een veld, studie of afdeling te beschrijven waar de gebruiker mee verbonden is.
  • Er is geen gemeenschappelijk register voor geldige subdomeinnamen. staff@cs.uniharderwijk.nl zou kunnen aangeven dat een gebruiker lid is van de academische staff van de informatica faculteit van de Universiteit van Harderwijk, terwijl staff@cs.surfnet.nl een medewerker van de "Community Support" afdeling bij SURFnet zou kunnen zijn. Daarom moet voor de interpretatie van dit attribuut altijd overleg plaatsvinden tussen de SPs (consumerende partijen) en de uitgevende IdP's (uitgevende partijen).

Zie de wiki voor alle beschikbare attributen binnen SURFconext.

Nieuwe clouddiensten
De afgelopen tijd zijn er weer diverse nieuwe clouddiensten aangesloten op SURFconext. Hieronder een selectie:

The Lab Servant: The Lab Servant is een verzameling van modules die het dagelijks werk in het lab ondersteunt, de veiligheid in het lab bevordert en de verantwoording m.b.t. de naleving van interne/externe regelgeving vereenvoudigt. Deze dienst is een zogenaamde 'Single Tenant' dienst, wordt daardoor niet weergegeven in het SURFconext dashboard. Voor meer informatie neem contact op met support@surfconext.nl.

WebEx: WebEx is een videoconferencing tool van Cisco. WebEx biedt simpel beeldbellen via web en mobiele telefoon maar ook high-end Telepresence-systemen. Dit betreft een zogenaamde 'Single Tenant' dienst en wordt daardoor niet weergegeven in het SURFconext dashboard. Voor meer informatie neem contact op met support@surfconext.nl.

Declaree: Declaree maakt onkostenvergoeding declareren makkelijk. Bonnen, kilometers en andere vergoedingen kunnen online of via de mobiele app(s) vast worden gelegd. Managers kunnen deze controleren, accorderen en doorzetten naar de administratie. Automatische koppeling met de back-office bespaart tijd en dus geld.
https://dashboard.surfconext.nl/apps/1459

GHX e-procurement (Webshop): Eén aansluitingspunt voor het bekijken, uitwisselen en beheren van al je activiteiten in de toeleveringsketen.
https://dashboard.surfconext.nl/apps/1471

Voor sommige van deze diensten is een licentie vereist. Ga naar https://dashboard.surfconext.nl voor meer informatie of neem contact op met de leverancier van de dienst.

Nieuwe instellingen aangesloten op SURFconext
De afgelopen periode is er een nieuwe instelling aangesloten op SURFconext. Van harte welkom:

Van Hall Larenstein, http://www.hogeschoolvhl.nl/

Kijk hier voor de totale lijst van aangesloten instellingen.

Terugblik geslaagd seminar What's Next @ SURFconext
Op dinsdag 24 november 2015 werd voor de derde keer het seminar What's Next @ SURFconext georganiseerd. Het programma zat vol met updates rondom SURFconext en nieuwe ontwikkelingen voor de toekomst.

Meer dan 100 deelnemers
Anders dan voorgaande keren werd het seminar nu grotendeels gehouden bij Seats2Meet, omdat vorige keer bleek dat de ruimte bij het kantoor van SURF niet groot genoeg was voor alle geïnteresseerden. Bij het seminar waren ruim 100 deelnemers aanwezig.

Informatieve sessies
Het ochtendprogramma bestond uit updates rondom Sterke Authenticatie, beschikbaarheid in SURFconext en een statusupdate en roadmap van SURFconext. Ook werd er gediscussieerd over SURFconext in de 'internationale onderzoeksarena'.

Parallelsessies
Om het groeiende aantal bezoekers nog beter te kunnen voorzien werd het programma deze editie voor de eerste keer uitgebreid met parallelsessies. Aanwezigen konden onder andere kiezen voor presentaties over Idensys en BankID, een autorisatie-infrastructuur voor SURFconext en het HO juridisch normenkader.

Wrap up
We sloten de dag af door kort stil te staan bij de belangrijkste onderwerpen van die dag. Aan de deelnemers werd gevraagd te gaan staan bij onderwerpen die in 2016 waarschijnlijk zullen spelen bij hun instelling. Bij het onderwerp Sterke Authenticatie gingen de meeste deelnemers staan - veilige toegang tot diensten via SURFconext is en blijft dus het belangrijkst!

Bekijk de presentaties
U kunt alle slides van zowel het ochtendprogramma als de parallelsessies terugvinden op de website van SURF. Tot de volgende keer!


Het SURFconext Team vindt het belangrijk dat je als SURFconext contactpersoon op de hoogte bent van de laatste stand van zaken rondom SURFconext. Wil je deze nieuwsbrief echt niet meer ontvangen, laat dit dan weten via support@surfconext.nl

  • No labels