SURFconext is dé service voor federatief identiteitsmanagement voor hoger onderwijs en onderzoek in Nederland. SURFconext biedt een generieke manier voor het verwerken van authenticatie en autorisatie tussen jouw organisatie (identity provider) en aanbieders van clouddiensten (service providers) SURFconext vergemakkelijkt bovendien centraal groepmanagement en het koppelen van meerdere clouddiensten met je organisatie. In de afbeelding zie je de hub- en spoke-setup van SURFconext.
Je ziet hierin dat je de studenten, docenten en onderzoekers van jouw organisatie met hun eigen instellingsaccount een single sign on-toegang kunt geven tot de verschillende diensten van SURFconext. Ook kun je zien dat je organisatie slechts 1 (technische) koppeling hoeft te maken met SURFconext, zodat je niet voor elke dienst apart een maatwerkkoppeling hoeft te implementeren. Hierna kun je kiezen uit alle service providers die ook op SURFconext zijn aangesloten.
Ook kan jouw organisatie zelf diensten aanbieden via SURFconext, door ook als service provider op te treden. Heb je bijvoorbeeld een handige roosterapplicatie ontwikkeld, of een tool om onderzoeksdata mee te delen, en wil je die beschikbaar maken voor andere organisaties binnen SURFconext? Kijk dan voor meer informatie hierover op de pagina Eigen diensten aanbieden via SURFconext.
Het gebruik van SURFconext is niet gelimiteerd tot de landsgrenzen. Door aan te sluiten op SURFconext zet je de deur open voor wereldwijde diensten en internationale samenwerking!
| SURFconext is een dienst van SURF. Als je klant bent van SURF kun je met SURFconext toegang krijgen tot online diensten van tal van aanbieders (service providers). Je kunt dus met SURFconext online diensten op een snelle en slimme manier beschikbaar maken voor je gebruikers en ze integreren met diensten die jouw organisatie zelf biedt (denk hierbij aan roosters, cijferapplicaties, portals, etc.). |
| SURFconext zorgt ervoor dat jouw gebruikers (bijv. jouw studenten of medewerkers) veilig kunnen inloggen met hun eigen organisatie-account. SURF en SURFconext zorgen er samen voor dat de gebruikers met dit organisatie-account in 1 keer toegang krijgen tot meerdere diensten (single sign-on). |
| Zoals in het schema is te zien, is SURFconext de centrale schakel in het proces, waarbij op 1 plek de koppeling wordt gemaakt tussen aanbieders van diensten en gebruikers van organisaties. SURFconext regelt de onderlinge authenticatie en autorisatie tussen deze partijen. |
| Als jouw organisatie gebruik wil maken van SURFconext dan moet je daarvoor allereerst een contract afsluiten. In dit contract worden onder andere afspraken gemaakt over de privacy van de gebruikers en de beveiliging van gegevens die je moet uitwisselen om diensten te kunnen gebruiken. |
| SURFconext hanteert een aantal servicelevels (SLS) over de beschikbaarheid en bereikbaarheid van de diensten. Hierin staat beschreven welk service niveau je van SURFconext kan verwachten. |
| Organisaties die gegevens verstrekken over de identiteit van de gebruiker worden daarmee een identity provider. Gebruikers authenticeren altijd via de loginpagina van hun eigen organisatie. Hierna worden zij via SURFconext doorgestuurd naar de dienst die wordt aangeboden door een service provider. In het schema zijn als voorbeeld Avans Hogeschool en de TU Delft opgenomen. Zij leveren de identiteiten van hun studenten en medewerkers. |
| Een service provider is een organisatie die via SURFconext diensten of content aanbiedt die via het internet toegankelijk zijn. Denk aan webshops, videodiensten, uitgevers, maar bijvoorbeeld ook onderwijsinstellingen die lesmodules aan studenten van andere onderwijsinstellingen aanbieden. Voorbeelden van deze diensten zijn SURFspot.nl, Google Apps for Education en 10voordeleraar. |
| Binnen SURFconext spreken we vaak over eindpunten. Dat is de technische benaming voor het systeem waarmee een koppeling wordt gemaakt binnen SURFconext. Identity providers en service providers beschikken ieder over 1 eindpunt, dat is gekoppeld aan SURFconext. SURFconext heeft een apart eindpunt voor identity providers en service providers. |
| Medewerkers van organisaties die zijn aangesloten bij SURF werken vaak samen, ook over organisaties heen. Als groepen gebruikers van meerdere organisaties samenwerken, vormen zij daarmee een eigen nieuwe organisatie. Binnen SURFconext bestaat de mogelijkheid om voor dergelijke samenwerkingsorganisaties een eigen omgeving te creëren om identiteiten te beheren. Die nieuwe samenwerkingsorganisatie functioneert dan zelf als identity provider. |
| Als je externe gebruikers (tijdelijk) toegang wilt verlenen tot SURFconext-diensten, dan kan dat als gastgebruiker. Zo’n gebruiker is zelf geen lid van een van de bij SURF aangesloten organisaties, maar kan toch (binnen regels) gebruikmaken van SURFconext. Denk bijvoorbeeld aan een tijdelijk ingehuurde specialist of adviseur. |
| Let er op dat gastgebruikers geen contract hebben met SURFconext en dat ze voor de authenticatie gebruik kunnen maken van hun Facebook-, Twitter- of LinkedIn-account. Hierdoor ben je onzekerder over de identiteit van de gastgebruiker. Sommige service providers geven deze gebruikers daarom minder rechten in hun applicatie of staan gastgebruik überhaupt niet toe. |
