Versions Compared

Old Version 22

changes.mady.by.user Arnout Terpstra

Saved on

compared with

New Version Current

changes.mady.by.user Thijs Kinkhorst

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

De entity categories Research & Scholarship (R&S) en Code of Conduct brengen uitkomst. Valt een dienst in beide categorieën dan krijgt hij het stempel "Betrouwbaar" van SURFconext. En kun jij hem als instelling ook vertrouwen, en automatisch beschikbaar stellen aan je gebruikers. Wat houden deze entity categories in en wat zeggen ze over de betrouwbaarheid van een dienst?

Table of Contents

Wat zijn entity categories?

Via SURFconext en andere onderwijs- en onderzoeksfederaties van landen waar SURFnet SURF mee samenwerkt (via eduGAIN), zijn in totaal meer dan 2200 diensten beschikbaar om te koppelen. Om het overzicht te behouden zijn diensten daarom geklassificeerd geclassificeerd in zogeheten entity categories op basis van gedeelde eigenschappen. Er zijn in totaal veel verschillende entity categories, waarvan de meest relevante op deze pagina verder worden toegelicht. 2 Twee daarvan zijn voor het aspect betrouwbaarheid van belang en die behandelen we daarom hier: Research & Scholarship (R&S), een categorie diensten voor het ondersteunen van wetenschap en onderzoek, en Code of Conduct, een categorie diensten die expliciet verklaart te voldoen aan de AVG.

Research & Scholarship

Gedeelde kenmerken

...

  1. Het doel van de dienst is het ondersteunen van wetenschap en onderzoek
  2. De dienst gebruikt een vaste, gelimiteerde set attributen voor authenticatie en autorisatie
     
  3. Een Service Provider krijgt zo'n label niet zo maar: Het label R&S is afgegeven door de federatie waar de dienst oorspronkelijk vandaan komt controleert of de Service Provider in aanmerking komt  

Diensten sneller en makkelijker beschikbaar maken

...

Door als instelling deze categorie te ondersteunen worden alle diensten binnen R&S automatisch beschikbaar gesteld aan (evt alleen een deel van) de gebruikers van jouw instelling.

Vaste, beperkte set attributen

R&S is ontworpen met dataminimalisatie in het achterhoofd: welke attributen zijn noodzakelijk voor wetenschappelijke samenwerking? Gebleken is dat dat niet meer dan de volgende attributen zijn:bevat alleen attributen waarmee wetenschappelijke samenwerking mogelijk wordt gemaakt. Een dienst kan alleen in aanmerking komen voor R&S als er gebruik wordt gemaakt van een (combinatie van) deze attributen. Minder mag natuurlijk altijd, maar indien een dienst meer attributen vereist, dan zal de dienst dat afzonderlijk met alle instellingen moeten afspreken. Automatisch koppelen werkt in dat geval niet.

De volgende attributen mogen door een R&S-dienst worden gebruikt:

  1. Een (technische) Een identifier van de gebruiker (eduPersonPrincipalName en eventueel  - voldoende als deze gegarandeerd niet opnieuw wordt toegewezen aan andere gebruikers; anders óók eduPersonTargetedID)
  2. Een herkenbare naam van de gebruiker (displayName en/of givenName + sn)
  3. Een e-mail adres van de gebruiker (mail)
  4. (Optioneel) De rol van de gebruiker binnen de instelling (eduPersonScopedAffiliation)

Voor meer informatie achtergrondinformatie over deze attributen, zie Attributen in SURFconext .Een dienst kan alleen in aanmerking komen voor R&S als er gebruik wordt gemaakt van een (combinatie van) deze attributen. Minder mag natuurlijk altijd, maar meer zeker niet: als een dienst alleen kan functioneren met meer attributen dan deze, dan kan de dienst geen onderdeel worden van R&S.(NL).

Code of Conduct

Om er zeker van de zijn dat de persoonsgegevens die worden uitgewisseld ten behoeve van federatieve authenticatie en autorisatie goed beschermd zijn, is een tweede entity category in het leven geroepen. Deze heet de GÉANT REFEDS Data Protection Code of Conduct (CoCo), en bevat alleen Service Providers die expliciet hebben aangegeven verklaard te voldoen aan de (strenge) eisen uit de Europese wet- en regelgeving rond gegevensbescherming. Hiermee garanderen Service Providers dat zij de ontvangen persoonsgegevens (attributen) alleen gebruiken voor het mogelijk maken van federatieve authenticatie en autorisatie en het leveren van de dienst. Bijvoorbeeld: een (wetenschappelijke) wiki heeft een naam en e-mailadres nodig om onderlinge samenwerking mogelijk te maken.

...

Het uitgangspunt van R&S en CoCo is dat de Service Provider die de persoonsgegevens ontvangt geen verwerker is die de persoonsgegevens verwerkt in expliciete opdracht van de instelling, maar verantwoordelijke. Een verwerkersovereenkomst is dus niet nodig voor diensten die vallen onder de entity categories category's R&S en CoCo. Uitzonderingen zijn in specifieke gevallen natuurlijk mogelijk: in dat geval gaan de afspraken die de instelling met de dienst maakt altijd voor.

Voor alle diensten die onder R&S vallen geldt gerechtvaardigd belang als grondslag voor het verwerken van persoonsgegevens voor de authenticatie en autorisatie van de gebruiker. Met andere woorden, door R&S te gebruiken is het uitwisselen van persoonsgegevens een minimale set attributen die nodig zijn is voor het mogelijk maken van federatieve authenticatie en autorisatie ten behoeve van diensten voor wetenschap en onderzoek gegrond. REFEDS heeft als eigenaar van deze entity category uitgebreid de juridische aspecten van R&S getoetst. Een volledige beschrijving hiervan is te vinden op de Wiki van REFEDS (Engels).

Panel
titleExtra bronnen met juridische achtergrondinformatie
Panel
titleEnkele voorbeelden
Expand
titleVoorbeelden van diensten die binnen R&S en CoCo vallen
  • CERN Service Provider
A

Service Provider A

Service Provider A

Service Provider A

Service Provider A

Service Provider A

Service Provider A

Service Provider A

Service Provider A

Service Provider A

Service Provider A

 

  • Proxy (https://cern.ch/login)
    • CERN, bekend van onder andere de Large Hadron Collider en de ontdekking van het higgsboson, werkt met wetenschappers van over de hele wereld, verspreid over honderden verschillende instellingen.
  • BBMRI-ERIC (http://www.bbmri-eric.eu/)
    • BBMRI is een Europese infrastructuur voor onder andere biologische data. Via BBMRI wordt iedereen die te maken heeft met biomedisch onderzoek samengebracht onder 1 infrastructuur.
  • ELIXIR research infrastructure AAI (https://www.elixir-czech.cz/)
    • De Tsjechische node van het Elixir-project verzorgt een duurzame oplossing voor de opslag van onderzoeksdata uit de Life Sciences. Via deze infrastructuur wordt de opgeslagen data beschikbaar gesteld aan anderen en worden daarvoor verschillende tools, maar ook trainingen, aangeboden.
  • DARIAH AAI (https://www.dariah.eu/)
    • DARIAH is een Europese infrastructuur voor de geesteswetenschappen. Via deze infrastructuur worden verschillende diensten die verspreid door Europa te vinden zijn, gecombineerd onder 1 paraplu.

Diensten die voldoen aan CoCo en/of R&S

Op het SURFconext IdP dashboard is te zien welke diensten aangesloten zijn op SURFconext. Daar is, via een filtermogelijkheid links op de pagina, te filteren op diensten die verklaren te voldoen aan de CoCo, of aan R&S. (Beide vinkjes aanzetten geeft de vereniging van beide verzamelingen, niet de doorsnede.)

Meedoen?

Diensten die in beide categorieën vallen worden als "Betrouwbaar" beschouwd. Deze diensten kun je via SURFconext automatisch koppelen aan je Identity Provider, zodat de beheerlast een stuk lager wordt en daarmee ook het leven van bepaalde gebruikers. Gebruikers hoeven dan namelijk niet meer een losse aanvraag te doen voor een dienst; zij kunnen gewoon direct inloggen (uiteraard na het geven van consent!).

Heeft jouw instelling gebruikers die hier mogelijk van kunnen profiteren? Vraag het automatisch koppelen voor jouw Identity Provider aan via support@surfconext.nlvia SURFconext Dashboard of support@surfconext.nl. In het SURFconext IdP dashboard ga je naar Mijn Instelling en klik je op Wijzigingsverzoek:

Image Added
Vervolgens vink je "Koppel met SP's die aan CoCo en R&S voldoen" aan:

Image Added


Nadat de wijziging actief is in SURFconext, zullen alle diensten die voldoen aan R&S en CoCo automatisch gekoppeld worden en kunnen de medewerkers van je instelling er met hun instellingsaccount op inloggen!

Indien gewenst kan het administrative contact dat wij van je Identity Provider geregistreerd hebben een e-mail ontvangen elke keer dat er nieuwe R&S/CoCo-diensten automatisch gekoppeld worden.