Als je diensten wilt activeren die beschikbaar zijn Diensten activeren via SURFconext , heb je hiervoor vereist enige achtergrondinformatie nodig. Lees Bekijk onderstaande tekst goed door voordat je begint met voor het activeren van de diensten via het IdP Dashboard.
| Table of Contents |
|---|
En voor details hebben we subpagina's:
| Children Display |
|---|
Diensten activeren
Wat is het 'activeren van diensten'?
Onder het activeren van diensten verstaan we het leggen van een verbinding tussen jouw organisatie (identity provider) en een Service Provider (dienst), via SURFconext. Zodra je organisatie is gekoppeld met SURFconext, kun je diensten activeren, zodat deze beschikbaar worden voor je gebruikers.Na het activeren van deze verbinding krijgen gebruikers van jouw organisatie toegang tot de dienst.
SURFconext houdt in een database bij welke Identity Providers toegang hebben geactiveerd Nadat je een dienst hebt geactiveerd, moeten SURFconext en de Service Provider een aantal dingen over jouw Identity Provider systeem weten; bijvoorbeeld waar het inlogscherm van jouw organisatie te vinden is. Maar ook moet jouw organisatie bijvoorbeeld weten waar de gebruiker heen gestuurd moet worden als hij is ingelogd. Deze informatie wordt uitgewisseld door middel van metadata, welke op elk eindpunt te vinden is. SURFconext houdt op een lijst bij waar alle metadata van elk eindpunt te vinden is (op welke URL) zodat de verschillende eindpunten elkaar kunnen vertrouwen. Daarnaast houdt SURFconext een database bij waarin staat welke Identity Provider toegang heeft tot welke Service Providers. Dit noemen we ook wel een ACL: Access Control List.
...
De Identity Provider kan zelf kiezen welke dienst hij activeert. Het dashboard van SURFconext Hiervoor maak je gebruik van het SURFconext dashboard. Deze applicatie biedt een overzicht van de beschikbare diensten voor jouw organisatie en je ziet ook welke diensten reeds geactiveerd zijn.
In sommige gevallen moet je eerst een licentie afsluiten voor een dienst. Dit geldt ook voor bepaalde gratis diensten, omdat in een dergelijke licentieovereenkomst vaak extra afspraken worden gemaakt over bijvoorbeeld Service Levels, privacy en betaalde upgrades. Lees hierover meer over op de pagina Licenties, hoe zit dat?.
...
Wie kan diensten activeren?
Koppelingen beheren tussen jouw organisatie en een dienst regel je via het SURFconext dashboard. Alleen gebruikers met de juiste bevoegdheid kunnen inloggen op het SURFconext dashboard. Binnen jouw organisatie is de SURFconext-verantwoordelijke hiervoor verantwoordelijk. Hij kan via het dashboard van SURFconext een verzoek sturen om een dienst te activeren. Dit verzoek komt vervolgens bij het SURFconext-team. Nadat het SURFconext-team een aantal controles heeft gedaan, wordt de koppeling tussen jouw organisatie en de desbetreffende dienst geactiveerd. De SURFconext-verantwoordelijke krijgt hierover een e-mail.
Binnen elke instelling is de Instellings Contactpersoon (ICP) verantwoordelijk voor het toekennen van deze bevoegdheden aan zijn of haar medewerkers. Wil je dus toegang tot het dashboard van SURFconext neem dan contact op met je eigen ICP. Het toekennen en wijzigen van de rollen 'SURFconextverantwoordelijke' en 'SURFconextbeheerder' gebeurt in de applicatie 'SURFdashboard'. Een Instellingscontactpersoon of Instellingsbevoegde kan hier deze rollen toekennen en/ of wijzigen. Op de homepage van het SURFdashboard is ook een handleiding beschikbaar.
| Rol | Functie | Omschrijving |
|---|---|---|
| SURFconextverantwoordelijke | administratief contactpersoon | Deze persoon is het eerste aanspreekpunt voor SURFnet als het gaat om de contractuele afspraken en policy zaken met betrekking tot SURFconext. Met deze rol kun je, naast het bekijken van het overzicht van beschikbare clouddiensten, ook de technische koppeling met de clouddiensten beheren. Dwz: om een beschikbare clouddienst te activeren, zal de SURFconextverantwoordelijke via het SURFconext Dashboard toestemming moeten geven voor het vrijgeven van de attributen die door de dienst worden gebruikt. Ook wanneer de instelling zelf als Service Provider optreedt, zal de SURFconextverantwoordelijke namens de instelling optreden als eerste contact richting SURFnet. De SURFconextverantwoordelijke kan via het dashboard van SURFconext ook diensten uitschakelen. Let wel: alle data die gebruikers van je instelling op deze dienst hebben staan, zal niet meer beschikbaar zijn na het afsluiten van toegang. |
| SURFconextbeheerder | technisch contactpersoon | Met deze rol kun je inloggen op het dashboard van SURFconext om een overzicht te zien van alle beschikbare clouddiensten voor jouw instelling. Deze persoon is bovendien verantwoordelijk voor het technisch beheer van de Identity Provider, en fungeert als eerste aanspreekpunt voor SURFnet als het gaat om storingen, updates en security issues die betrekking hebben op de Identity Provider. De SURFconext-verantwoordelijke kan in dashboard onder MijnInstelling/MyInstitute SURFconext-beheerders de mogelijkheid geven autorisatieregels te beheren. |
Waar moet je op letten als je een dienst activeert?
Een aantal zaken is belangrijk bij het aanvragen van een koppeling:
- Attributen: in het SURFconext dashboard is bij elke dienst aangegeven welke attributen (zoals een email-adres, uniek id etc) de dienst wil ontvangen voor een goede werking van de dienst. De Algemene Verordening Gegevensbescherming (AVG) vereist dat je namens je organisatie toestemming geeft voor het vrijgeven van
...
- die attributen. Je moet
...
- inschatten of de door de
...
- dienst gevraagde attributen geleverd (kunnen) worden door jouw
...
- identity provider-systeem, en of je bereid bent om deze attributen te leveren, gezien de aard van de dienst. Het is belangrijk om te onthouden dat jouw organisatie altijd eindverantwoordelijk blijft voor (de
...
- persoonsgegevens van) je gebruikers.
...
- Contractuele basis: iedere leverancier die een dienst aansluit op SURFconext dient de SURFconext aansluitovereenkomst te tekenen. In het SURFconext IdP Dashboard zie je of deze is ondertekend door de leverancier
Hoe kun je op SURFconext aangesloten
Ben je vergeten wie binnen jouw organisatie de SURFconext-verantwoordelijke is? Neem dan contact op met jouw instellingscontactpersoon (ICP). Deze kan in SURFnet Autorisatie Beheer (SAB) zien wie binnen jouw organisatie welke rol heeft. Wil je weten wie jouw ICP is? Op deze pagina staat een overzicht van alle organisaties en hun ICP's (alleen toegankelijk vanaf een computer binnen het SURFnet netwerk): http://www2.surfnet.nl/organisatie/instelling/overzicht.php.
...
diensten activeren?
Koppelingen beheren tussen jouw organisatie en een dienst regel je via het dashboard van SURFconext. De SURFconext-verantwoordelijke binnen jouw organisatie is bevoegd om nieuwe diensten te activeren. Een bewerking van de handleiding van het dashboard van SURFconext vind je in de tekst hierna.
| Note |
|---|
Overzicht en filteren
Via het SURFconext dashboard kun je zien of jouw organisatie toegang heeft tot bepaalde diensten. Je kunt op verschillende manieren filteren en een overzicht krijgen:
SURFconext IdP dashboard. Alleen gebruikers met de juiste bevoegdheid kunnen inloggen op het SURFconext IdP dashboard. Zie hieronder voor de handleiding.
| Info |
|---|
Er zijn meer dan duizend diensten aangesloten. Je bepaalt zelf welke je daarvan koppelt. We raden echter iedereen aan een klein aantal Aangeraden diensten te koppelen voor een soepele samenwerking binnen SURF. |
Handleiding SURFconext Dashboard
| Note |
|---|
Publieke informatie
Op dashboard.surfconext.nl geeft, zonder inloggen, een overzicht van alle op SURFconext aangesloten diensten.
Informatie na inloggen
Gebruikers met een instellingsaccount van een op SURFconext aangesloten instelling kunnen via de INLOG-knop inloggen. Na inloggen wordt meer informatie getoond. De gebruiker met de rol SURFconext-verantwoordelijke, kan deels bepalen wat gebruikers zonder extra rol zien. Afhankelijk van wat de SURFconext-verantwoordelijke heeft geconfigureerd ziet de gebruiker met een instellingsaccount:
- statistieken over het aantal logins op diensten. Een SURFconext verantwoordelijke van de instelling kan dit aan- en uit zetten, standaard staat het uit.
- welke diensten voor zijn/haar instelling 'gekoppeld zijn', dus waar hij/zij met het instellingsaccount op in kan loggen
- iets meer informatie per dienst
- informatie over zijn/haar instelling. Een SURFconext verantwoordelijke van de instelling kan instellen of wel of geen contactgegevens worden getoond. Standaard staat deze instelling op 'niet tonen'.
| Info | ||
|---|---|---|
| ||
| Gebruikers die van en binnen hun instelling de rol van SURFconext-verantwoordelijke of -beheerder hebben gekregen kunnen, na inloggen op dashboard.surfconext.nl door hun extra rechten nog meer zien en doen. Hieronder staat daarover meer informatie. |
Admin Switcher
In het SURFconext IdP dashboard beheer je alles wat te maken heeft met SURFconext. Als je meerdere IdP's beheert, kun je wisselen tussen die IdP's door rechtsboven op je naam te klikken en de gewenste IdP te kiezen:
Services
Onder services zie twee tabbladen.
- De eerste toont de diensten die aan jouw instelling zijn gekoppeld.
- Het tweede toont een lijst van alle diensten beschikbaar op SURFconext.
De lijsten zijn op diverse manieren te filteren, onder andere:
- Aangeboden door mijn instelling: de diensten die jouw instelling aanbiedt op SURFconext kunnen hier worden gefilterd
- Met de knop 'Connected': je ziet met welke diensten jouw organisatie een koppeling heeft.
- Met de knop 'Disconnected': je ziet met welke diensten jouw organisatie geen koppeling heeft.
- Via de zoekregel: je kunt zoeken naar specifieke diensten.Via het oranje 'Exit'-icoon
- Licentie: je kunt direct naar de pagina van de desbetreffende dienst gaan.
| Section | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Als je een dienst aanklikt, kom je op de detailpagina ervan terecht. Hier zie je:
- welke attributen je moet vrijgeven als je wilt aansluiten
- wat het 'entityID' van de dienst is
- waar de (support)-website te vinden is,
en eventueel - een e-mailadres om contact op te nemen
Als je op de knop 'Recommend' klikt, kun je relaties een e-mail sturen om de desbetreffende dienst aan te bevelen.
| Align | ||
|---|---|---|
| ||
|
Dienst koppelen
Als je toegang wilt hebben tot een dienst moet je de volgende stappen doorlopen:
- bekijken welke licentie eisen horen bij welke dienst. Kan de dienst via SURFmarket worden aangeschaft, of moet je bij de leverancier aankloppen.
- Type service: de diensten kunnen worden gefilterd op type, zoals 'bedrijfsvoering', 'onderwijs', 'content', etc.
Overzicht |
Filters |
Service detail pagina
Het aanklikken van een dienst brengt je naar de Service detail pagina. Hier vind je in het bovenste gedeelte (header) van de pagina algemene informatie over de dienst:
- Naam van dienst.
- Aanbieder.
- Of een licentie vereist is.
- Wel of niet geactiveerd.
- Of er een extra Level of Assurance (LoA) bestaat.
De tabbladen daaronder tonen
- Over: een beschrijving van de dienst, de contractuele basis, en andere instellingen die deze dienst hebben geactiveerd. Daarnaast nog een aantal nuttige links, zoals de login pagina.
- Attributen & Privacy: de attributen moeten worden vrijgegeven voor de dienst, en privacy informatie (mits opgegeven door de leverancier).
- Statistieken: loginstatistieken voor de betreffende dienst.
- Instellingen: extra instellingen die kunnen worden geconfigureerd voor de dienst, zoals consent, autorisatieregels en het Level of Assurance voor SURFsecureID.
|
|
|
|
Dienst koppelen
Ben je SURFconext-verantwoordelijke, dan volg je de volgende stappen om een dienst te koppelen:
- Ga naar de detailpagina van de betreffende dienst en klik op 'koppel met dienst'.
- Log in met tweede factor (minimaal LOA2)
- Kijk de pagina goed door en vink vakjes aan die aangeven dat je de nodige informatie hebt doorgenomen en om te bevestigen wat je gaat doen.
- Selecteer met welk 'nivo' mensen op de dienst moeten inloggen (alleen met userid/wachtwoord (default waarde) of b.v. ook met een token)
- Klik op 'Connect' op de overzichts- of detailpagina van de dienst.
- Accepteer de voorwaarden.
- Plaats eventueel extra opmerkingen voor het SURFconext-teamsupportteam.
- Klik op 'ConnectActiveer connectie'.
- Hiermee geef je automatisch toestemming voor het vrijgeven van de benodigde attributen.
Zodra je ‘Connect’ hebt aangeklikt, gebeurt er het volgende, afhankelijk van wat er voor die dienst is ingesteld:
- als voor de dienst is ingesteld dat de leverancier het o.k. vindt dat een IdP koppelt, dan wordt de koppeling technisch direct gemaakt: je kunt de dienst dan meteen gebruiken. Je ziet dat ook als melding in je scherm.
- het kan ook zijn dat voor de dienst is ingesteld dat er nog andere handelingen of controles nodig zijn. In dat geval wordt het SURFconext-aansluitteam via een ticketingsysteem op de hoogte gebracht van je verzoek. Zij beoordelen (controleren onder andere de licentie) en verwerken het verzoek. Je ontvangt een e-mail zodra de aansluiting met de betreffende Service Provider werkt.
Omdat er persoonsgegevens uitgewisseld worden tussen jouw organisatie en de Service Provider moet je, in het kader van de Wet bescherming persoonsgegevensAVG, deze keuze expliciet voor iedere Service Provider maken.
| Info |
|---|
De lijst met attributen bestaat uit een minimale door de dienst gevraagde informatie van een gebruiker, de attributen, is de set die de dienst zegt nodig heeft te hebben om te kunnen functioneren. Het is dus van belang dat je, voordat je toegang aanvraagt tot een dienst, er zeker van bent dat de attributen ook daadwerkelijk beschikbaar zijn vanuit jouw eigen configuratie! Je kunt een indicatie hiervan vinden op de volgende testpagina: Door https://engine.surfconext.nl/authentication/sp/debug. te bezoeken krijg je een idee van door jouw IdP vrijgegeven attributen. Let op: je ziet hier alleen informatie over je eigen account. Andere gebruikers kunnen andere attributen of attribuutwaardes geconfigureerd hebben. |
| Section | |||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Dienst ontkoppelen
Activeer dienst door akkoord te gaan met de voorwaarden
Dienst koppelen op uitnodiging
Soms zijn er situaties waarbij bekend is dat jouw instelling een dienst wil gebruiken zodra die dienst technische aangesloten is op SURFconext. In die gevallen stuurt het SURFconext-team je een koppelverzoek. In veel gevallen gebruiken we daarvoor een vast template en de mail die je dan ontvangt ziet er ongeveer als volgt uit:
De mail bevat links waardoor je snel op de pagina bent om aan te geven of je die dienst wel of niet wil koppelen. Je kunt, als je dat b.v. veiliger vindt, uiteraard ook de URL voor het dashboard handmatig in je browser invoeren en de genoemde dienst opzoeken.
Dienst ontkoppelen
Om een dienst te deactiveren ga je naar de detailpagina van de betreffende dienstAls je een dienst wilt opzeggen, kun je deze ontkoppelen. Dit doe je op een vergelijkbare manier als het aanvragen van een dienst. Je kunt dit alleen doen vanaf de detailpagina van een dienst.
Ontkoppel een dienst door de volgende stappen te doorlopen:
- Ga naar de detailpagina van de dienst.
- Klik op ‘Disconnect’de groene knop 'gekoppeld'.
- Zet een vinkje om aan te geven dat je akkoord gaat met het ontkoppelen van de dienst.
...
| Warning |
|---|
Denk goed na voordat je een dienst ontkoppelt. Jouw eindgebruikers kunnen namelijk na het ontkoppelen van de dienst niet meer bij hun gegevens komen! Bekijk voordat je een dienst gaat ontkoppelen de statistieken, zodat je kunt inschatten of de dienst veel wordt gebruikt door gebruikers van jouw instelling. Informeer de gebruikers (bijvoorbeeld met een nieuwsbericht) voordat de koppeling van de dienst daadwerkelijk gedeactiveerd wordt. |
...
| Column | |||||
|---|---|---|---|---|---|
|
| Column | |||||
|---|---|---|---|---|---|
|
Autorisatieregels / Policies
Via autorisatieregels ('policies') kun je, op basis van attributen, zorgen dat (alleen) bepaalde gebruikers wel, of juist geen, toegang krijgen tot een dienst. Dit in plaats van dat iedereen van je instelling toegang heeft. Uitgebreide toelichting vind je op de aparte pagina over Autorisatieregels.
SURFsecureID Level of Assurance wijzigen
Om de LOA te verhogen of te verlagen voor een dienst ga je naar SURFsecureID. Daar kies je de LOA die een gebruiker nodig heeft om in te loggen bij de dienst. Om dit te wijzigen is een LoA3 vereist.
MFA
Met MFA kan een multi-factor authenticatie worden afgedwongen door je eigen IdP voor deze dienst, als je IdP dat ondersteunt. Om dit te wijzigen is een LoA3 vereist (dit wordt LoA2).
Tickets
Onder Tickets zie je alle acties die zijn uitgevoerd of nog in behandeling zijn. Als er acties, b.v. een koppelverzoek, voor je open staan, wordt dat met een 'tellertje' bij de menu-optie getoond.
Statistieken
Onder het kopje 'Statistieken
Vraag stellen
Via 'Ask a question' op de detailpagina van een dienst kun je vragen stellen over de dienst. Hiervoor is het niet noodzakelijk dat de dienst al is aangesloten. Het SURFconext-team wordt automatisch op de hoogte gesteld van jouw vraag en zal deze beantwoorden.
History
Onder het kopje 'History' kun je zien welke aanvragen voor aan- en afsluitingen in het verleden zijn gedaan. Je ziet wat de status is van de aanvraag, wie de aanvraag heeft gedaan en op welke datum. Vragen die in het verleden gesteld zijn aan het SURFconext-team, komen niet terug in dit overzicht.
| Align | ||
|---|---|---|
| ||
|
Statistics
Onder het kopje 'Statistics' kun je de statistieken opvragen over het gebruik van de aangesloten diensten. Je kunt kijken naar het totaal aantal logins van alle diensten, maar ook naar het aantal logins per dag. (Klik hiervoor bij een bepaalde dienst in het staafdiagram).
Daarnaast kun je een bepaalde tijdsperiode selecteren. Hiervoor kies je rechtsboven in het scherm voor gegevens per jaar, maand of week. Hieronder zie je bijvoorbeeld een deel van het totaaloverzicht van de maand februari 2013 (linkerplaatje). Daarnaast (rechterplaatje) zie je ook de gegevens van 1 bepaalde dienst in diezelfde periode (als je op de naam van de dienst klikt).
...
| Column | |||||
|---|---|---|---|---|---|
|
Verschillende weergaven zijn mogelijk, zoals de statistieken voor alle aangesloten diensten of een weergave specifiek voor een dienst. Daarnaast kan worden gekozen voor diverse tijdsperioden.
Sommige instellingen willen de SURFconext login-data gebruiken om licentie-facturen te controleren: een leverancier meldt dan b.v. dat van in de periode X t/m Y er vanuit de instelling door Z unieke accounts is ingelogd. Om te zien of dat klopt met de SURFconext-login-gegevens ga je als volgt te werk:
- vul de naam van de dienst in,
- zorg dat 'Toon details per dienst' uitgevinkt is,
- kies onder Periode voor 'Totale periode: van > tot'
- vul de periode in waarover je wil zien hoeveel logins en unieke gebruikers wij hebben gelogd.
Weergave voor alle aangesloten diensten |
Weergave voor een specifieke dienst |
Informatie over je instelling (wijzigen)
Op het tabblad 'Mijn Instelling/My institute' zie je een aantal gegevens over je instelling/IdP. Een aantal daarvan kun je in het dashboard ook wijzigen; als je dat wil, klik je op Wijzigingsverzoek aanmaken/Create Change Request. Een aantal mogelijkheden:
- instellen met welke steekwoorden je gebruikers je instelling kunnen zoeken/vinden in de WAYF. Vaak is het handig niet alleen je officiële instellingsnaam daar te hebben staan, maar ook de afkorting (denk aan 'UvA'), eventueel ook de plaatsnaam als die al niet in je instellingsnaam zit ('Amsterdam') etc.
- wat gebruikers zonder rol na inlog kunnen zien.
Tabel vereiste LoA bij handeling
| Handeling | LoA |
|---|---|
| Inzien IdP specifieke informatie | LOA1: Wachtwoordverificatie via SURFconext bij de IdP van de gebruiker |
Koppel dienst | LOA2: LoA 1 + Tiqr or Azure MFA authentication |
Aanpassen SSID LOA tussen IdP/SP | LOA3: LoA 1 + YubiKey or FIDO2 token authentication |
...
| align | center |
|---|
...
Ondersteuning
Voor vragen over het gebruik van het SURFconext dashboard van SURFconext kun je een e-mail sturen naar help@surfconextsupport@surfconext.nl.
Het kan gebeuren dat je wel bevoegd bent binnen jouw organisatie, maar dat je geen toegang hebt tot het dashboard. Controleer dan eerst bij jouw Instellingscontactpersoon of je de juiste rol hebt (SURFconext-verantwoordelijke of SURFconext-beheerder). Je ICP Degene met de rol Instellingscontactpersoon (ICP) binnen jouw instelling kan deze rollen uitdelen via SURFnet Authorisatie Beheer SURFdashboard. Als je daarna nog steeds niet kunt inloggen, stuur dan een e-mail naar support@surfconext.nl.
...