You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 16 Next »

Binnen de federatie verwachten de deelnemers (instellingen en leveranciers) alleen gebruikers die actief zijn binnen het onderwijs; dus b.v. studenten en docenten. Ook verwachten de deelnemers te kunnen vertrouwen op de identiteit (een account is herleidbaar naar een natuurlijk persoon) en dat de identiteit de juiste attributen heeft (en een student bijvoorbeeld geen identiteit kan gebruiken met daarin het attribuut 'docent'). Vanwege deze spelregels vindt u op deze pagina informatie over eisen aan identiteiten. 

Definitie

Definitie van 'Gebruiker' (uit: Bijlage IX SURFconext)

als Gebruiker wordt aangemerkt:

  1. een persoon met een aanstelling dan wel een arbeidsovereenkomst bij de Instelling;
  2. een bij de Instelling ingeschreven student, extraneus of cursist;
  3. een persoon die anderszins in het kader van de taakuitvoering van de Instelling geautoriseerd is.

 

Productieaccounts

SURFnet stelt een aantal eisen aan het managen van identiteiten binnen een organisatie:

  • De identiteit van een gebruiker moet uniek zijn binnen de organisatie die de identiteit beheert.
  • De identiteit van een gebruiker moet herleidbaar zijn naar een verantwoordelijk natuurlijk persoon.
  • Identiteiten van gebruikers moeten actueel zijn.
  • De gegevens over de identiteit moeten volledig zijn.
  • De organisatie moet ervoor zorgen dat identiteiten alleen worden toegekend aan de juiste gebruikers, zoals deze staan vermeld in de SURFnet Gebruikersovereenkomst.
  • De organisatie moet ervoor zorgen dat alleen identiteiten die gekoppeld zijn aan gebruikers die voldoen aan de eisen uit de SURFnet Gebruikersovereenkomst, toegang hebben tot SURFconext (personen die werkzaam of studerend zijn binnen jouw organisatie).
  • Waardes voor attributen moeten juist zijn, bijvoorbeeld de relatie die een gebruiker met zijn instelling heeft (zie "eduPersonAffiliation").
  • Op verzoek van Service Providers moet het registratieproces van identiteiten inzichtelijk worden gemaakt.

Testaccounts

Testaccounts binnen SURFconext zijn toegestaan wanneer ze voldoen aan de volgende eisen:

  • Voldoen aan de definitie van 'Gebruiker'
  • Voldoen aan de eisen voor 'Productieaccounts'
  • Dus:
    • Een testaccount dat 'hard' aan een specifiek persoon is gekoppeld en naar één persoon herleidbaar is, is toegestaan.
    • Uit het account moet blijken bij wie het testaccount hoort (testaccounts mogen niet gedeeld worden).
    • De rechten van het testaccount (bijvoorbeeld: affiliation) mogen niet anders zijn dan de rechten die die de gebruiker normaliter heeft. Voorbeeld: een student mag geen testaccount hebben die attributen bezit die normaliter enkel docenten hebben.
    • Bij accounts die in de loop van de tijd worden doorgegeven aan een ander, moet bij overdracht minimaal het wachtwoord worden gewijzigd, zodat de 'vorige gebruiker' het account niet kan gebruiken.

 

  • No labels