Dit is de laatste SURFconext Nieuws voor de zomerstop. Het SURFconext-team wenst iedereen een fijne vakantie toe. Tot september!
Via deze nieuwsbrief houden we je maandelijks op de hoogte van het laatste nieuws rondom SURFconext. Hierbij moet je denken aan nieuwe releases van het platform, best practices, recent aangesloten diensten, interessante bijeenkomsten en plannen voor de toekomst.
Je ontvangt deze nieuwsbrief omdat je SURFconext-verantwoordelijke of -beheerder bent, of lid bent van de SURFconext-alertlijst.
In dit nummer:
- MFA voor diensten achter SURFconext
- Universiteit Maastricht blij verrast met mogelijkheden van SURFconext Autorisatieregels
- Nieuwe diensten
MFA voor diensten achter SURFconext
Instellingen willen voor steeds meer diensten MFA (Multi-Factor Authenticatie) aanzetten, ook voor diensten achter SURFconext. Als de instelling klant is van SURFsecureID kan dat nu eenvoudig geconfigureerd worden in SURFconext. Echter, als de instelling geen SURFsecureID klant is maar MFA op een andere manier implementeert, is het lastig om MFA aan te zetten. Dat komt doordat de meest gebruikte IDP software (ADFS en Azure AD) SURFconext als 1 dienst zien. Als daar dan MFA voor aangezet wordt geldt dat meteen voor alle diensten achter SURFconext. Dat is over het algemeen onwenselijk. Ondanks dat andere IDP software wel MFA kan aanzetten voor specifieke diensten achter SURFconext, heeft Microsoft aangegeven dit nu niet te gaan ondersteunen in ADFS of Azure AD.
Om er toch voor te zorgen dat instellingen deze functionaliteit kunnen gebruiken, is het SURFconext-team nu een oplossing aan het ontwikkelen. Straks kan de instelling ervoor kiezen om voor een specifieke dienst achter SURFconext de MFA van de IDP (ADFS, Azure AD maar ook andere IDP software) aan te roepen. We doen dit door in het SAML authenticatie request dat SURFconext voor deze dienst naar de IDP stuurt een element (RequestedAuthnContext) op te nemen die vraagt om MFA te doen. Dit triggert ADFS en Azure AD dan om de gebruiker met MFA te laten inloggen. Na de login controleert SURFconext of er daadwerkelijk MFA gedaan is, en dan kan de gebruiker toegang krijgen tot de dienst.
Naast deze mogelijkheid dat SURFconext vraagt om MFA voor een dienst, is het straks ook mogelijk dat een dienst zelf vraagt om MFA. Hierbij werkt SURFconext dan als doorgeefluik; SURFconext stuurt dit MFA-verzoek van de dienst door naar de IDP en zal het antwoord van de IDP ook weer terugsturen naar de dienst. De dienst is in dat geval zelf verantwoordelijk om op de juiste manier MFA af te dwingen en het antwoord daarop van de IDP te interpreteren.
Er wordt aan gewerkt om deze nieuwe features aan het einde van de zomer in gebruik te kunnen nemen. Als het zover is besteden we er weer aandacht aan in de SURFconext nieuwsbrief
Universiteit Maastricht blij verrast met mogelijkheden van SURFconext Autorisatieregels
Universiteit Maastricht gebruikt SURFconext Autorisatieregels om fijnmazig de toegang tot een aantal online diensten te organiseren. Autorisatieregels maken het onder meer mogelijk om alleen bepaalde groepen studenten toe te laten tot een service en zo bijvoorbeeld de voorwaarden van een licentie niet te overtreden.
Lees de best practice op de surf.nl website
Nieuwe diensten
Een greep uit de diensten die afgelopen maand zijn aangesloten op SURFconext. Zie voor meer informatie het SURFconext Dashboard of de website van de leverancier. Let op, voor de meeste diensten is een licentie vereist. Neem dus eerst contact op met de leverancier of support@surfconext.nl.
Bibliu: platform voor digitale tekstboeken.
Zie voor meer informatie het SURFconext IdP Dashboard
Spend Cloud: oplossing voor het beheer van zakelijke uitgaven.
Neem contact op met support@surfconext.nl voor meer informatie
Het Buddy Platform voor Universiteiten: platform om een virtuele community te vormen.
Zie voor meer informatie het IdP Dashboard
Tactile: applicatie voor digitaal betalen en toegang bij evenementen.
Zie voor meer informatie het IdP Dashboard