SURFconext Nieuws 2015 #5
Dit is de vijfde uitgave van SURFconext Nieuws. Via een maandelijkse nieuwsbrief houden we je op de hoogte van de laatste ontwikkelingen rondom SURFconext. Denk hierbij aan nieuwe releases van het platform, recent aangesloten diensten, interessante bijeenkomsten en plannen voor de toekomst.
Je ontvangt deze nieuwsbrief omdat je SURFconext-verantwoordelijke of technisch contactpersoon voor jouw instelling bent.
In dit nummer:
- Innovatieblog: Autorisatie-infrastructuur voor SURFconext
- Nieuw design en verbeterde usability SURFconext-onderdelen
- Innovatieblog: Meer ondersteuning gastgebruik in SURFconext
- SURFfilesender: nu ook met encryptie
- Attribuut van de maand: eduPersonPrincipalName (ePPN)
- Nieuwe clouddiensten
Innovatieblog: Autorisatie-infrastructuur voor SURFconext
Instellingen gebruiken SURFconext steeds intensiever. Daardoor hebben zij de wens meer controle te hebben over de toegang tot aangesloten diensten. Nu krijgt óf iedereen óf niemand binnen de instelling toegang tot een dienst. Dat moet fijnmaziger. Daarom werkt SURFnet aan een autorisatie-infrastructuur binnen SURFconext, waarmee instellingen hun gebruikers op een fijnmazigere manier toegang kunnen geven tot diensten die aan SURFconext zijn gekoppeld.
Lees in het blogpost wat we de afgelopen maanden hebben gedaan om de wensen van instellingen in kaart te brengen en hoe we die gaan realiseren: https://blog.surfnet.nl/naar-een-autorisatie-infrastructuur-voor-surfconext/.
Mocht je opmerkingen hebben over een van de onderwerpen, of te zijner tijd willen meedraaien in een pilot, dan horen we het graag.
Nieuw design en verbeterde usability SURFconext-onderdelen
De afgelopen tijd hebben we hard gewerkt aan een nieuw ontwerp en verbeterde performance van diverse SURFconext onderdelen, waaronder de WAYF-pagina. Dit om een goede gebruikerservaring te kunnen blijven garanderen na de explosieve groei van het SURFconext-gebruik in 2014. Dit nieuwe ontwerp zorgt niet alleen voor een nieuw, modern jasje, maar ook voor een enorme verbetering in prestaties. De totale bestandsgrootte van de WAYF-pagina is met 75% verminderd en er zijn enkele technieken toegepast om de laadtijd verder te reduceren (bijvoorbeeld 'lazy loading'; de logo's van de instellingen die buiten het standaard aanzicht vallen worden pas ingeladen als de gebruiker naar beneden scrolt). Naast de prestaties is ook de usability verbeterd. De gebruiker kan straks bijvoorbeeld volledig met het toetsenbord door de WAYF navigeren.
Naast de WAYF-pagina krijgen ook de volgende onderdelen een nieuw uiterlijk:
- profielpagina (https://profile.surfconext.nl);
- consentscherm (het scherm waar de gebruiker toestemming geeft voor het vrijgeven van zijn/haar attributen);
- foutmeldingen;
- laadscherm.
Momenteel wordt de laatste hand gelegd aan de nieuwe ontwerpen. Voordat de nieuwe ontwerpen daadwerkelijk op de productieomgeving worden uitgerold, informeren we alle SURFconext-contactpersonen. Ook de gebruikers worden tijdig op de hoogte gesteld van de aankomende veranderingen. Heb je voor die tijd vragen? Neem gerust contact op met support@surfconext.nl.
Innovatieblog: Meer ondersteuning gastgebruik in SURFconext
SURFconext wordt gebruikt door mensen die zijn verbonden aan een instelling: studenten, docenten en medewerkers. Instellingen willen ook gebruikers buiten de SURF-doelgroep, bijvoorbeeld alumni en voorinschrijvers, toegang geven tot diensten die via SURFconext zijn ontsloten. SURFnet onderzoekt zowel de technische als de beleidsvraagstukken voor instellingen om gastgebruik te faciliteren. Recentelijk presenteerde InnoValor de resultaten van een verkenning naar of, en zo ja hoe, gastgebruik verder te ondersteunen in SURFconext.
Lees het blog voor meer informatie over de bevindingen, oplossingsrichting en vervolgstappen:
https://blog.surfnet.nl/meer-ondersteuning-gastgebruik-surfconext/
SURFfilesender: nu ook met encryptie
De op SURFconext aangesloten dienst SURFfilesender is dé dienst om grote en kleine bestanden veilig te versturen binnen het Nederlandse hoger onderwijs en onderzoek. Sinds afgelopen maand is bestandsversleuteling beschikbaar voor de dienst. Dit betekent dat het nog veiliger is geworden om je bestanden via deze dienst te versturen. Voordat je het bestand uploadt, geef je een wachtwoord op en dit deel je alleen met degene die het bestand mag downloaden. De versleuteling wordt door de browser uitgevoerd dus extra software is niet nodig.
Ga voor meer informatie naar: https://www.surffilesender.nl/
Attribuut van de maand: eduPersonPrincipalName
Een essentieel onderdeel bij het gebruik van SURFconext zijn attributen. Vandaar dat we er een rubriek aan wijden. Deze maand belichten we het attribuut eduPersonPrincipalName (ePPN).
urn:mace schema: urn:mace:dir:attribute-def:eduPersonPrincipalName
urn:oid schema: urn:oid:1.3.6.1.4.1.5923.1.1.1.6
eduPersonPrincipalName wordt gebruikt als unieke identifier voor een gebruiker. Het attribuut heeft de vorm gebruiker@scope, waarbij ‘scope’ een lokaal domein van de instelling bevat en ‘gebruiker’ uniek wordt geacht binnen dat domein. Zowel topleveldomeinen (bijvoorbeeld @vu.nl) als subdomeinen (bijvoorbeeld @student.vu.nl) mogen hiervoor worden gebruikt. We gaan ervan uit dat de scope van ePPN gelijk is aan het SchacHomeOrganization-attribuut en zijn van plan om dit daadwerkelijk te gaan valideren op SURFconext. Hiervan afwijken is in overleg met SURFnet natuurlijk wel mogelijk. Er zijn SPs die expliciet testen of de scope van ePPN matcht met het domein van de IdP en wijzen de authenticatie op voorhand af als dit niet het geval is.
3 tips met betrekking tot het attribuut ePPN:
- ePPN vs e-mail: ePPN lijkt veel op het e-mailadres. Hoewel deze waardes in sommige gevallen gelijk zijn, is er geen garantie dat hetgeen in een ePPN gepresenteerd wordt ook daadwerkelijk een functioneel e-mailadres is. Het correcte attribuut voor e-mailadres(sen) is urn:mace:dir:attribute-def:mail (urn:oid:0.9.2342.19200300.100.1.3)
- ePPN vs UID: ook het UID-attribuut impliceert een unieke identifier voor een gebruiker te zijn. Het grote verschil is dat UID binnen de instelling uniek is (lokaal), terwijl ePPN uniek is over instellingen en diensten heen (globaal) (en daarmee ook erg geschikt binnen de context van eduGAIN).
- ePPN vs privacy: vaak bevat het gebruikersdeel van ePPN een directe referentie naar de gebruiker (bijvoorbeeld voornaam@instelling.nl) en daarmee 'lekt' ePPN mogelijk persoonlijke informatie. Soms is het gebruikersdeel van ePPN zelfs gelijk aan de loginnaam van de gebruiker op de Identity Provider (studentnummer@instelling.nl). In dat geval lekt ePPN niet alleen persoonlijke informatie, maar ook reeds de helft van de gebruikerscredentials. Dit is vanuit beveiligingsperspectief dan ook bijzonder onwenselijk. Het is daarom verstandig om bij gebruik van ePPN het gebruikersdeel van de ePPN te vullen met een unieke, maar gepseudonimiseerde waarde voor de gebruiker.
Als het niet mogelijk is ePPN voldoende te pseudonimiseren, dan is er ook een alternatieve identifier mogelijk, in de vorm van de SAML Persistente NameID. Meer over dit attribuut in de volgende nieuwsbrief.
Meer informatie over het eduPersonPrincipalName-attribuut (en andere attributen) is te vinden ophttps://wiki.surfnetlabs.nl/display/surfconextdev/Attributes+in+SURFconext#AttributesinSURFconext-Principlename
Nieuwe clouddiensten
De afgelopen tijd zijn er weer diverse nieuwe clouddiensten aangesloten op SURFconext. Hieronder een selectie:
iBabs: papierloos vergaderen. Met iBabs worden de stapels documenten teruggebracht tot de dikte van uw tablet. Samen met iBabs draagt jouw organisatie daarom bij aan een groene toekomst.
TelcoView: TelcoView is een online dienst voor je telecomadministratie. De elektronische facturen van jouw telecomoperator(s) worden automatisch in TelcoView geladen. Op jouw dashboard ziet je welke acties open staan en waar zich opvallende situaties voordoen. Zodat je kunt ingrijpen waar nodig.
RemindoToets: met RemindoToets kan je het gehele proces rondom het ontwikkelen, analyseren, verbeteren en beheren van toetsvragen en toetsen organiseren in een innovatieve online beheeromgeving, met verschillende vraagtypen als meerkeuzevragen, meervoudig juist, hotspotvragen, sleep- en sorteervragen, open vragen en casusvragen die voorzien kunnen worden van afbeeldingen, video's en andere elementen.
PROACTIS: met PROACTIS-oplossingen beheers je het gehele purchase-to-pay proces, vanaf de initiële aanvraag tot aan de betaling van de ontvangen goederen/diensten.
Voor sommige van deze diensten is een licentie vereist. Ga naarhttps://dashboard.surfconext.nl voor meer informatie.
Wil je deze nieuwsbrief in het vervolg niet meer ontvangen, laat dit dan weten via support@surfconext.nl