| Table of Contents | ||
|---|---|---|
|
Introductie
Op dinsdag 24 maart 2015 vond voor de tweede keer in samenwerking met SURFacademy het seminar What's Next @ SURFconext plaats. Tijdens dit seminar gaven verschillende leden van het SURFconext-team een update over de nieuwste ontwikkelingen rondom SURFconext. Ook was er uitgebreid ruimte voor de instellingen om met het SURFconext-team in discussie te gaan over verschillende onderwerpen.
Het was zeer positief om te zien dat het seminar leeft onder de doelgroep. Het maximaal aantal inschrijvingen was dan ook snel bereikt. In totaal waren er meer dan 70 bezoekers aanwezig op het seminar.
Ochtendprogramma
| Info |
|---|
Alle presentaties (m.u.v. de discussierondes) zijn opgenomen op video. De video is te bekijken via deze link: http://surf.mediamission.nl/Mediasite/Play/e59a221a7a3842cd91e16f8f3d152d6c1d. Druk rechtsonder op de 'i' om naar een bepaalde presentatie te springen. N.b. door een technisch probleem zijn de slides niet mee opgenomen. Je kunt de slides van de presentaties hieronder downloaden. |
Update storingen, releasemanagement (Eefje van der Harst)
Eefje van der Harst gaf de eerste presentatie over de storingen van de laatste tijd, een overzicht van de platformarchitectuur en een korte vooruitblik op de roadmap voor komend jaar. Zij legde uit hoe de storingen van de afgelopen tijd zijn ontstaan en welke maatregelen zijn getroffen om deze in de toekomst te voorkomen. Vanuit de zaal was er sterke behoefte aan meer transparantie en meer informatie over releases (changes, release notes) en de roadmap van SURFconext. Hier zal in de toekomst aan worden gewerkt.
Update sterke authenticatie (Eefje van der Harst)
Hierna was Eefje van der Harst wederom aan het woord met een update rondom sterke authenticatie. Er kwamen wat vragen over de gebruikte 2e factor door SURFnet (Yubikey, Tiqr, SMS), bijvoorbeeld waarom niet is gekozen voor Google Authenticator. In de toekomst kunnen zeker extra middelen worden toegevoegd maar voorlopig is in de opstartfase voor deze 3 middelen gekozen. De presentatie eindigde met een demo van het uitgifteproces van een tweede factor, deels via een selfservice applicatie.
SURFconext en autorisatie? (Ton Verschuren, m7)
Hierna is het woord overgedragen aan Ton Verschuren van m7. Ton heeft op verzoek van SURFnet verschillende instellingen geïnterviewd over de vraagstukken rondom autorisatie en attributen. De resultaten van deze interviews zijn door Ton gepresenteerd.
SURFconext internationaal (Arnout Terpstra & Bas Zoetekouw)
Het ochtendprogramma sloot af met twee presentaties over internationale samenwerking via SURFconext. Als eerste presenteerde Arnout Terpstra het eduGAIN initiatief, en stipte daarbij enkele belangrijke overeenkomsten en verschillen met de nationale federatie SURFconext aan. De slides van deze presentatie zijn hier te vinden.
...
Middagprogramma
SURFconext en gastgebruik (Arnout van Velzen & Maarten Wegdam, Innovalor)
Na de lunch presenteerden Maarten Wegdam en Arnout van Velzen van Innovalor (voorheen: Novay) de resultaten van hun recente onderzoek naar gastgebruik. Welke gasten zijn er eigenlijk en hoe worden deze momenteel geadministreerd? Welke mogelijkheden biedt SURFconext om dit beter in te regelen? Tijdens de presentatie werden alle deelnemers gevraagd enkele vragen te beantwoorden om de voorlopige bevindingen van het onderzoek te toetsen. Innovalor zal de uitslag van deze vragen in het eindrapport worden verwerkt.
Discussierondes
De rest van de middag stond in teken van interactieve discussierondes, waarbij dieper in bepaalde onderwerpen kon worden gedoken. Hieronder volgt een overzicht van de onderwerpen die aan bod kwamen en een korte samenvatting van wat er tijdens die sessie is besproken.
Gastgebruik (olv. Maarten Wegdam en Arnout van Velzen, Innovalor)
Innovalor heeft in opdracht van SURFnet een uitgebreid onderzoek gedaan naar de status van en uitdagingen bij gastgebruik binnen de instellingen en SURFconext. De verschillende groepen gastgebruikers die Innovalor heeft geïdentificeerd zijn voorinschrijvers, stagebegeleiders, bezoekers van (academische) bibliotheken en alumni. Tijdens de discussierondes kwam al snel naar voren dat het belangrijk is hierbij onderscheid te maken naar het type instelling. Mbo's verschillen van hbo's die weer verschillen van Universiteiten.
...
Samengevat de achterban bevestigt de hier gepresenteerde conclusies, maar geeft iets meer nuance aan de usecases en voorziet de inrichting van attributen en autorisatie als belangrijke uitdaging.
Releasemanagement en platformarchitectuur (olv. Thijs Kinkhorst, SURFnet)
SURFconext streeft naar kleinere maar frequentere releases zodat de impact per keer ook kleiner is. Er is behoefte aan veel explicietere melding wat elke release nu precies wijzigt/oplevert, ook al is het niet per se enduser visible. Wijzigingen die wel end user visible zijn (veranderende interfaces) moeten juist langer dan een week van tevoren aangekondigd worden.
Eén instelling vraagt zijn functioneel beheerders die vinden dat SURFconext essentieel is, om zelf 's ochtends vroeg na onderhoud direct te testen zodat eventuele problemen direct helder zijn. Sommige instellingen die kritieke diensten aansluiten, vragen naar meer informatie over het creëren van een tweede inlogroute. Een instelling/dienstverantwoordelijke moet hierin zelf de afweging maken tussen extra flexibiliteit (bij storing SURFconext maar bijvoorbeeld ook als de uplink down is) en het extra werk en extra complexiteit die het met zich meebrengt. Het SURFconext-team staat overigens altijd open voor specifiek advies op maat over hoe een en ander in te richten, dus neem vooral contact met ons op voor vragen.
SURFconext Dashboard (olv. Frans Ward, SURFnet)
Tijdens de beide discussie rondes is vooral navraag gedaan welke verbeteringen er aan SURFconext Dashboard gedaan kunnen worden. Dit heeft input opgeleverd die we mee kunnen nemen in de roadmap voor doorontwikkeling.
...
Verder werd vooral aangegeven dat de statistieken duidelijker kunnen. Vooral wat betreft de informatie bij de assen van de grafieken. Men mist de oude staafdiagrammen overzicht die zo handig waren om uitgeprint te worden voor de management rapportages.
HO-normenkader & Q+A sessie SURFmarket (olv. Olga Scholcz en Raoul Teeuwen, SURFmarket)
Tijdens deze discussieronde is gesproken over de achtergrond van het HO-normenkader (Hoger Onderwijs Juridisch Normenkader Cloudservices), het belang ervan, hoe het tot stand gekomen is en hoe SURF het HO-normenkader (en onderdelen daaruit) verder aan het uitwerken is. De deelnemers aan de workshop hebben ons nuttige feedback gegeven.
...
Groepen en autorisatie (olv. Maarten Kremers, SURFnet)
Naast het federatief authenticeren (welke gebruiker logt in) leeft er bij instellingen de behoefte voor ondersteuning bij autorisatie en groepen in deze context (wat mag de gebruiker binnen een dienst en hoe kan ik gebruikers groeperen voor samenwerkingsomgevingen en autorisatievraagstukken). SURFnet werkt aan verdere voorlichting rondom autorisatie en groepenvraagstukken en is tevens aan het onderzoeken welke behoeften instellingen hebben met betrekking tot het faciliteren van autorisatie en groepen.
...
Een betere definiëring van het eduPersonAffiliation-attribuut. Dit attribuut geeft de relatie weer tussen de gebruiker en de instelling van de gebruiker, zoals "student" of "employee". Een SP kan/wil dit attribuut gebruiken voor een autorisatiebeslissing. Er is echter geen precieze definitie van wat elke waarde is. Dit is momenteel ter discretie van de individuele IdP, waardoor verschillen optreden (is een contractstudent bijv "student"?). Vanuit de discussiesessie kwam het verzoek aan SURF om, in ieder geval voor Nederland, hier een meer sluitende definitie voor op te stellen i.s.m. de instellingen.
SURFspot (olv. Hans-Peter Ligthart, SURFmarket)
Veel deals bij SURFspot komen tot stand door centrale onderhandelingen met commerciële aanbieders ten behoeve van de hele onderwijsmarkt. Hierdoor ontstaat een aanbod dat scherper is dan wat de markt aanbiedt. Je kunt educatielicenties ook bij Adobe kopen, maar bij ons zijn ze voordeliger. Dat komt enerzijds door de volumecontracten en anderszijds door afspraken voor thuisgebruik binnen de campusovereenkomst van de onderwijsinstelling. Geen onderwijsinstelling = geen aanbod.
Waarom zie je na inloggen bij SURFspot niet je naam of e-mailadres? ARP staat voor Attribute Release Policy. Met andere woorden welke gegevens ontvangt SURFspot van je instelling na het inloggen. SURFconext zorgt voor federatieve authenticatie, zodat gebruikers met hun instellingsaccount veilig toegang hebben tot SURFspot. SURFconext heeft voor elke dienst (Service Provider; SP) en instelling (Identity Provider; IdP) een contract. In dat contract worden afspraken gemaakt over de informatie die een dienst ontvangt en wat deze dienst met die informatie mag doen. SURFspot is een dienst aangesloten op SURFconext. Om SURFspot te laten functioneren hoeven we alleen te weten of degene die inlogt, werkt of studeert bij een aangesloten instelling. Bovendien hanteert SURFconext het principe van "minimal disclosure". Een dienst krijgt alleen die informatie die strikt noodzakelijk is om de dienst aan de klant te kunnen verlenen. Hieruit wordt een Attribute Release Policy (ARP) vastgesteld. De ARP voor SURFspot is dusdanig ingesteld dat wij geen gegevens meekrijgen van de instellingsdatabase. Eindgebruikers moeten zelf aangeven wie ze zijn en op welk e-mailadres ze de producten willen ontvangen. Hiervoor kunnen en mogen wij dus geen gegevens van de instelling gebruiken. SURFspot gebruikt de attributen affiliation en organization om het specifieke aanbod te kunnen tonen. Alleen gebruikers met affiliation employee of student krijgen toegang tot SURFspot.
SURFconext internationaal (olv. Niels van Dijk, SURFnet)
N.a.v. de presentatie over eduGAIN kwam al gauw een praktijkvoorbeeld naar voren, van een Service Provider die momenteel contractonderhandelingen met SURFmarket voert, maar ook reeds beschikbaar is via eduGAIN (lynda.com). Wat betekent dit precies? Stel dat de onderhandelingen met SURFmarket niet worden afgerond, kan een Identity Provider dan alsnog gebruik maken van de dienst, via eduGAIN? Dat is uiteraard mogelijk, maar dan moet de Identity Provider wel beseffen dat de strenge eisen van de SURFconext-federatie niet automatisch gelden. Het is ook denkbaar dat SURFmarket of de Identity Provider zelf onderhandelt met de Service Provider over licenties en voorwaarden, terwijl de technische koppeling via eduGAIN loopt. Dit staat dus los van elkaar (technische koppeling vs. administratieve afspraken).
...
Als laatste kwam voorbij dat eduGAIN het beste vergeleken kan worden met een telefoonboek (wie kan ik waar vinden), en niet met een centraal technisch koppelvlak (zoals SURFconext).
Tot slot
Afsluitend gaf Eefje van der Harst een overzicht van de roadmap van SURFconext in 2015. Deze slide is te vinden in deze presentatie.
...