Op deze pagina vind je technische informatie over hoe je een extra 'Group' koppeling maakt tussen jouw Identity Provider-systeem (bijvoorbeeld Active Directory) en SURFconext. Je zult deze extra koppeling moeten implementeren naast de bestaande koppeling voor individuele gebruikers.

Inleiding

...

Een group provider is een bron van groepsinformatie. Dit kan bijvoorbeeld jouw Identity Provider-systeem zijn, waarin staat wie in welke groep zit. Een client is een dienst (Service Provider) die gebruik maakt van deze groepsinformatie. Dit kan bijvoorbeeld een Wiki zijn, die bepaalde pagina's afschermt op basis van groepslidmaatschap (bijvoorbeeld alleen leden van de groep 'docenten' mogen een bepaalde pagina zien).

...

In 2015 is een nieuwe versie van het VOOT-protocol uitgekomen, versie 2. Het SURFconext Team heeft een nieuwe omgeving opgezet waarop deze nieuwe versie draait: https://voot.surfconext.nl. De nieuwe versie is per direct beschikbaar. De oude versie blijft nog tot 1 december 2015 in de lucht op https://api.surfconext.nl.

Beschrijving van het protocol

Als jouw organisatie in SURFconext groepen wil hergebruiken die je zelf definieert en beheert, dan word je gezien als een externe Group Provider. Je moet dan naast een koppeling voor individuele gebruikers ook een koppeling voor groepen maken met SURFconext. Dit doe je met behulp van het VOOT-protocol. VOOT staat voor Virtual Organization Orthogonal Technology.

...

Je kunt het protocol zelf implementeren op jouw Identity Management-systeem of gebruik maken van een reeds bestaande implementatie. Bijvoorbeeld https://github.com/frkosurf/php-voot-provider.

VOOT1: api.surfconext.nl

De oude groepsomgeving, https://api.surfconext.nl ondersteunt op dit moment alleen VOOT versie 1.0. Meer informatie over het protocol vind je op http://openvoot.org/v1/

Service Providers kunnen 2 verschillende typen verzoeken sturen naar jouw group provider via SURFconext:

Het VOOT-protocol ondersteunt 2 methoden om informatie op te vragen:

• toon alle groepen waar een bepaalde gebruiker lid van is
• toon alle leden van een bepaalde groep waar een bepaalde gebruiker lid van is

VOOT2: voot.surfconext.nl

Op de nieuwe groepsomgeving, https://voot.surfconext.nl, wordt VOOT versie 2 ondersteund. Meer informatie over het protocol vind je op http://openvoot.org/protocol/

Service Providers kunnen 2 verschillende typen verzoeken sturen naar jouw group provider via SURFconext:

...

* = Met UID wordt het attribuut urn:mace:dir:attribute-def:uid bedoeld. Deze wordt gebruikt om gebruikers binnen jouw Identity Provider uniek te herkennen. Zie de pagina over attributen voor meer informatie over dit attribuut.

...

...

Op de oude groepsomgeving is het mogelijk voor Service Providers om een verzoek te sturen waarmee alle leden van een bepaalde groep van een bepaalde gebruiker worden getoond. Dit verzoek wordt vanwege privacyoverwegingen niet meer ondersteund op de nieuwe omgeving. Het bleek dat veel gebruikers liever niet wilden dat persoonlijke informatie zomaar met diensten kon worden gedeeld waar groepsgenoten gebruik van maakten. Door dit type verzoek weg te nemen hoopt SURFconext het gebruik van groepen meer laagdrempelig te maken.

Handleidingen

Om je op weg te helpen met het koppelen van jouw 'Group Provider' heeft SURFconext enkele handleidingen opgesteld:

...

Aanpassen firewall

De VOOT-verzoeken die SURFconext stuurt zullen automatisch van de nieuwe VOOT-omgeving komen. Je hoeft dus alleen aanpassingen te maken indien Indien je op jouw systemen een ACL hebt ingesteld. De nieuwe omgeving heeft namelijk een ander IP-adres (maar wel binnen dezelfde IP-range als de oude), is het nodig om verzoeken van de VOOT-omgeving toe te staan. Zorg ervoor dat jouw systeem verzoeken van de hele range accepteert, en niet van een specifiek adres (145.100.191.192/26 & 2001:610:188:426::/64).