Versions Compared

Old Version 8

changes.mady.by.user Teun Fransen

Saved on

compared with

New Version Current

changes.mady.by.user Arnout Terpstra

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Productieaccounts

SURFnet stelt een aantal eisen aan het managen van identiteiten binnen een organisatieDankzij afspraken die SURFconext met alle deelnemers maakt, zowel Identity Providers als Service Providers, ontstaat het Trust framework wat als basis dient voor vertrouwen binnen SURFconext. Service Providers rekenen erop dat de gebruiker (de 'houder' van de identiteit) behoort tot de doelgroep; studenten, docenten, medewerkers en onderzoekers binnen het onderwijs & onderzoek in Nederland. Daarnaast gaan zij uit van een bepaalde betrouwbaarheid van de identiteiten die worden uitgegeven door Identity Providers. Daarom stelt SURFconext de volgende eisen aan de identiteiten:

  • De identiteit van een gebruiker moet uniek zijn binnen de organisatie die de identiteit beheert.
  • De identiteit van een gebruiker moet herleidbaar zijn naar een verantwoordelijk natuurlijk persoon.
  • Identiteiten van gebruikers moeten actueel zijn.
  • De gegevens over de identiteit moeten volledig zijn.
  • De organisatie moet ervoor zorgen dat identiteiten alleen worden toegekend aan de juiste gebruikers, zoals deze staan vermeld in de SURFnet Gebruikersovereenkomst.
  • De organisatie moet ervoor zorgen dat alleen identiteiten die gekoppeld zijn aan gebruikers die voldoen aan de eisen uit de SURFnet Gebruikersovereenkomst, toegang hebben tot SURFconext (personen die werkzaam of studerend zijn binnen jouw organisatie).
  • Op verzoek van Service Providers moet het registratieproces van identiteiten inzichtelijk worden gemaakt.

Testaccounts

Testaccounts binnen SURFconext zijn toegestaan wanneer ze voldoen aan de volgende eisen:

  • Een testaccount die 'hard' aan een specifiek persoon is gekoppeld en naar één persoon herleidbaar is, is toegestaan.
  • Uit het account moet blijken bij wie het testaccount hoort (testaccounts mogen niet gedeeld worden).
  • De rechten van het testaccount (bijvoorbeeld: affiliation) mogen niet anders zijn dan de rechten die die de gebruiker normaliter heeft. Voorbeeld: een student mag geen testaccount hebben die attributen bezit die normaliter enkel docenten hebben.
  • Bij accounts die in de loop van de tijd worden doorgegeven aan een ander, moet minimaal het wachtwoord bij overdracht worden gewijzigd.

 

ID's dienen zo toegekend te worden dat de kans nihil is dat een ander persoon ooit een zelfde ID toegewezen krijgt. Dit zegt de SAML-specificatie: "Any party that assigns an identifier MUST ensure that there is negligible probability that that party or any other party will accidentally assign the same identifier to a different data object."

Info

Definitie van 'Gebruiker' (uit: Bijlage IX SURFconext)

Een natuurlijk persoon die via een Instelling toegang heeft gekregen tot SURFconext. Om toegang te kunnen verkrijgen moet een persoon onder een van de onderstaande categorieën vallen:

1. een

als Gebruiker wordt aangemerkt:

een persoon met een

aanstelling dan wel een arbeidsovereenkomst bij de Instelling hebben;

een

2. bij de Instelling ingeschreven staan als student, extraneus

of

, cursist;

een persoon die

3. anderszins in het kader van de taakuitvoering van de Instelling geautoriseerd zijn;

4. behoren tot een groep die in overeenstemming tussen Instelling, Service Provider en SURFnet toegang is verleend tot SURFconext en gelieerd is

aan onderwijs en onderzoek in Nederland.

Onder categorie 4 worden op dit moment alleen voorinschrijvers toegelaten.  Zie voor meer informatie de pagina Toegang voor voorinschrijvers.