SURFconext Nieuws 2015 #4
Dit is de vierde uitgave van SURFconext Nieuws. Via deze maandelijkse nieuwsbrief houden we je op de hoogte van de laatste ontwikkelingen rondom SURFconext. Denk hierbij aan nieuwe releases van het platform, recent aangesloten diensten, interessante bijeenkomsten en plannen voor de toekomst.
Je ontvangt deze nieuwsbrief omdat je SURFconextverantwoordelijke of technisch contactpersoon voor jouw instelling bent.
In dit nummer:
- Update sterke authenticatie in SURFconext: pilot UvA met digitale invoer tentamencijfers
- Attribuut van de maand: eduPersonAffiliation
- Documentatie SURFconext: IdP-geïnitieerde login (unsollicited login)
- SURFnet organiseert simpleSAMLphp-hackathon
- Nieuwe clouddiensten
- Vernieuwde loadbalancer
Sterke authenticatie in SURFconext: pilot UvA met digitale invoer tentamencijfers
Sinds eind maart draait een groep docenten van de Faculteit Natuurwetenschappen Wiskunde en Informatica van de UvA mee in een SURFconext sterke authenticatie pilot. Speciaal voor de pilot heeft de UvA haar applicatie DataNose gekoppeld aan de sterke authenticatie gateway van SURFconext, zodat docenten na het invoeren van tentamencijfers met een extra authenticatiestap (one-time password via SMS) de invoer van deze cijfers kunnen bevestigen. Tot voor kort moesten docenten nog een uitdraai maken van de ingevoerde cijfers, deze uitdraai ondertekenen en inleveren bij de Servicedesk van FNWI. De pilot draait nu ruim een maand en de eerste ervaringen bij de UvA zijn zeer positief. Docenten reageren enthousiast op de vereenvoudiging van het proces, en bij de Service Desk zijn ze blij dat dit door de toevoeging van sterke authenticatie toch veilig gebeurt. De pilot bij de UvA loopt tot 22 mei. Een groep docenten gaat ook nog de Tiqr app op hun smartphone gebruiken, om te ervaren hoe dit werkt.
Binnenkort starten ook andere instellingen zoals ROC Deltion (Sharepoint 2013) en Inholland (i.s.m. Xebic) met hun pilot en ook met de UMC's zal een pilot voorbereid worden. De feedback die voortkomt uit deze pilots zal nog verwerkt worden in de dienst, voordat de sterke authenticatie functionaliteit van SURFconext naar verwachting op 1 augustus 2015 in productie gaat.
Heb je vragen of interesse om sterke authenticatie te gebruiken? Neem contact met ons op via support@surfconext.nl.
Attribuut van de maand: eduPersonAffiliation
Een essentieel onderdeel bij het gebruik van SURFconext zijn attributen. Vandaar dat we er een rubriek aan wijden. Iedere maand lichten we een attribuut uit.
Vorige maand bespraken we schacPersonalUniqueCode, dat gebruikt kan worden om personeels- en studentnummers door te geven. Deze maand belichten we het attribuut eduPersonAffiliation.
urn:mace schema: urn:mace:dir:attribute-def:eduPersonAffiliation
urn:oid schema: urn:oid:1.3.6.1.4.1.5923.1.1.1.1
Het eduPersonAffiliation-attribuut kan worden gebruikt om door te geven welke rol de gebruiker binnen de instelling vervult. Dit is met name nuttig voor autorisatie-beslissingen binnen gekoppelde diensten: sommige applicaties geven medewerkers en studenten verschillende rechten, of geven bijvoorbeeld alleen toegang aan medewerkers. Een voorbeeld van zo’n dienst is SURFspot, die dit attribuut gebruikt om studenten een ander aanbod te presenteren dan medewerkers. Het eduPersonAffiliation-attribuut is niet verplicht in SURFconext, maar omdat het door veel diensten wordt gebruikt raden we wel sterk aan om dit attribuut door te geven.
Het attribuut eduPersonAffiliation kan meerdere waarden hebben. Die waarden kunnen niet vrij worden gekozen; binnen SURFconext worden enkel de volgende waarden ondersteund:
- student (studenten)
- employee (medewerkers, inclusief ondersteunende medewerkers)
- staff (academische staf, medewerkers direct betrokken bij het primaire proces van de instelling)
Volgens de internationale eduPerson-standaard moet voor de bovenstaande rollen bovendien ook altijd de affiliation “member” worden toegevoegd. De overige in de standaard beschreven waarden van dit attribuut (faculty, alum, affiliate, library-walk-in) zijn binnen SURFconext niet in gebruik.
Drie tips met betrekking tot het attribuut eduPersonAffiliation:
Omdat het attribuut meerdere waardes kan hebben, is het geen probleem om een student die ook medewerker is zowel als "student" als als "employee" aan te merken.
Intern kan een instelling prima ook andere waarden hanteren voor dit attribuut, bijvoorbeeld "library-walk-in" of "alum". Deze gebruikers mogen echter momenteel geen toegang krijgen tot SURFconext.
In internationale context is geen consensus over de precieze betekenis van de waarden “staff”, “faculty” en “employee”. In sommige gevallen zal de academische staf met “faculty” worden aangeduid, in andere gevallen juist met “staff”. Houd hier rekening mee als je diensten in eduGAIN wilt gaan gebruiken.
Meer informatie over het eduPersonAffiliation-attribuut (en andere attributen) is te vinden op https://wiki.surfnet.nl/x/lACtAQ#AttributesinSURFconext-Affiliation
Documentatie SURFconext: IdP-geïnitieerde login (unsollicited login)
Gewoonlijk wordt een login vanuit de dienst (SP) geïnitieerd: de eindgebruiker probeert bij een SP in te loggen en deze begint het proces door een SAML AuthenticationRequest te versturen via het bekende WAYF-scherm van SURFconext (als er meer dan één IdP is aangesloten op de betreffende dienst). IdP-geïnitieerde login (of ongevraagde login) maakt het mogelijk om in te loggen op een SP zonder dat de SP een SAML AuthenticationRequest stuurt. De IdP stuurt zelf een SAML Assertion naar de SP waardoor er geen WAYF-scherm verschijnt. Dit is met name handig wanneer de applicatie wordt benaderd via bijvoorbeeld een instellingsportal of een bookmark. Voor een dergelijke login is een 'deeplink' noodzakelijk waarbij de IdP en de SP al van te voren zijn bepaald.
Lees hoe je zo’n ‘deeplink’ kunt maken: https://wiki.surfnet.nl/x/GQDzAg
SURFnet organiseert simpleSAMLphp-hackathon
simpleSAMLphp is een opensource-product dat veel gebruikt wordt om het SAML-protocol te implementeren, zowel door een aantal van de aangesloten IdPs als veel van onze SPs. Om de verdere ontwikkeling van het product te stimuleren, is SURFnet gastheer van een tweedaagse hackathon op 26 en 27 mei. Hier komen ontwikkelaars uit diverse landen bijeen om gezamenlijk te werken aan de volgende release van simpleSAMLphp.
Iedereen uit de community die wil bijdragen aan de ontwikkeling van simpleSAMLphp is van harte welkom om deel te nemen. Inschrijven kan op de volgende pagina: https://eventr.terena.org/events/2167
Neem voor meer informatie contact op met thijs.kinkhorst@surfnet.nl.
Nieuwe clouddiensten:
De afgelopen tijd zijn er weer diverse nieuwe clouddiensten aangesloten op SURFconext. Hieronder een selectie:
Nederlab: via Nederlab kunnen onderzoekers en studenten alle gedigitaliseerde Nederlandstalige teksten van ca. 800 tot heden gezamenlijk doorzoeken en analyseren met binnen Nederlab ontwikkelde, gebruiksvriendelijke tekstanalysesoftware. Zo biedt Nederlab een laboratorium voor onderzoek naar de veranderingspatronen in de Nederlandse taal en cultuur.
Converis: Converis is een onderzoeksinformatiesysteem ter ondersteuning van universiteiten en onderzoeksinstituten in het beheren van data tijdens het complete levenscyclus van wetenschappelijk onderzoek.
HumanCapitalCare: HumanCapitalCare is een volledig online verzuimmanagementinformatiesysteem. Door het verstrekken van relevante, kwantificeerbare managementinformatie over verzuimnormen, verzuimgegevens, statistieken en analyses, kan het management doelgerichte acties ondernemen.
Mapiq: de gids van je universiteit. Mapiq biedt roosterinformatie, zelfservice zaalreserveringen en informatie over evenementen en faciliteiten in het gebouw.
CompLing: deze dienst wordt aangeboden door Rijksuniversiteit Groningen. CompLing bestaat op dit moment uit een drietal toepassingen ten behoeve van de taalwetenschap. Met deze applicaties kunnen Nederlandstalige corpora doorzocht worden.
Voor sommige van deze diensten is een licentie vereist. Ga naar https://dashboard.surfconext.nl voor meer informatie.
Vernieuwde loadbalancer
In februari heeft SURFconext een vernieuwde loadbalancer in gebruik genomen. Deze is gebaseerd op de veelgebruikte opensource-software nginx ("Engine X"). Het belangrijkste doel van de nieuwe loadbalancer is om het aantal verloren sessies te verminderen.
Om de belasting te verdelen, draait SURFconext op een aantal verschillende applicatieservers. In de oude opzet werd het IP-adres van de gebruiker aangewend om te bepalen naar welke van de applicatieservers een gebruiker gestuurd werd en waar zijn sessiegegevens te vinden waren.
Dit werd steeds meer onhoudbaar door twee ontwikkelingen: IPv6 en mobiele datanetwerken. Voor beide geldt namelijk dat gebruikers zo snel van IP-adres wisselen dat het zelfs tijdens één inlogsessie kan voorkomen en bijgevolg hun sessie niet meer teruggevonden kon worden, met een foutmelding tot gevolg. De nieuwe loadbalancer lost dit op door de gebruikte applicatieserver in een cookie mee te geven.
De nieuwe loadbalancer heeft echter nog meer voordelen. Zo wordt het efficiëntere SPDY-protocol ondersteund, ook wel HTTP/2 genoemd. Ook voorziet hij nu in OCSP-stapling, waarbij informatie over de geldigheid van het SSL-certificaat direct meegestuurd wordt met het antwoord van de server, in plaats van dat dit apart opgehaald moet worden bij certificaatleverancier Comodo. De nieuwe loadbalancer biedt ons de handvatten om het platform ook in de toekomst mee te laten schalen met de toename van het aantal logins.
Wil je deze mail in het vervolg niet meer ontvangen, laat dit dan weten via support@surfconext.nl