Je kunt SURFconext gebruiken om in te loggen op de console van je AWS-omgeving die je bij SURFcumulus afneemt via de OCRE-aanbesteding. Hiervoor is wel wat configuratiewerk nodig aan de zijde van je AWS-omgeving en bij SURFconext.

Voor AWS maken we gebruik van de AWS SSO service. Met deze service kunnen gebruikers via SURFconext inloggen op de aangewezen AWS-accounts en/of AWS applicaties.

Belangrijk om te weten

• De AWS SSO service werkt met eigen gebruikers, groepen en rechten. Deze staan los van de normale IAM-rollen binnen AWS. Beide systemen kunnen naast elkaar gebruikt worden.

• Identificatie gebeurt op basis van het e-mailadres dat SURFconext doorgeeft. De username in AWS SSO moet daarom gelijk zijn aan dit e-mailadres.

• De metadata file van SURFconext is aangepast voor AWS, deze kun je hieronder terugvinden.

• Het SURFconext team moet enige maatwerk verrichten. Als je het SP dashboard gebruikt is het dus belangrijk om een mail te sturen naar support@surfconext.nl.

Configuratie bij AWS

Stappen

Log in op je AWS management account en zoek naar AWS SSO:

In het welkomstscherm kies je voor ‘enable AWS SSO’. Je komt dan in het volgende scherm terecht.

Pas de user portal URL aan indien gewenst, dit kan alleen nu nog:

Ga vervolgens naar Settings -> change Identity Source:

Kies hier voor external identity provider:

Download de metadata file voor gebruik in sp.surfconext.nl. Het is ook mogelijk deze direct naar support@surfconext.nl te sturen als je geen toegang hebt tot het SP Dashboard.

De IdP metadata file van SURFconext is aangepast voor AWS (AWS ondersteunt alleen de "HTTP-POST" binding, die bij SURFconext default niet in de metadata staat omdat dat nonstandaard is - maar wel ondersteund wordt). Gebruik daarom dit bestand:

• SURFconext productie: idp-metadata-post.xml
• SURFconext TEST: test-idp-metadata-post.xml

Klik hierna op next en dan na het invoeren van ACCEPT op finish.

Nu kun je groepen en gebruikers aanmaken en rechten toewijzen.

Let erop dat je bij de Username het e-mailadres opneemt:

SURFconext

Supportteam SURFconext maakt de dienst aan op SURFconext op basis van de hierboven gegenereerde metadata.

Zij voeren daarna nog de volgende instellingen door:

• Zet NameID op unspecified en ARP op mail.
• Voeg AM toe die custom nameID zet (zie andere aws instances).
• Zet dienst op idp-visible-only.
• Contractuele basis is SURFcumulus/OCRE ovk's, geen aanvullende ovk nodig.

SURFconext key rollover 2023

AWS geeft al de melding dat het certificaat gaat verlopen. 
Klik op ‘Manage certificate’
 

 
Edit IDP metadata:
Wijzig IdP sign-in URL van:

 
Naar: https://engine.test.surfconext.nl/authentication/idp/single-sign-on/key:20230403 
Save changes
Importeer het nieuwe X509 signing certificaat, in PEM formaat. Dit certificaat kun je uit de metadata halen.
Voor SURFconext productie: https://wiki.surfnet.nl/download/attachments/55357610/idp-metadata-post.xml?version=2&modificationDate=1698119528346&api=v2 
Voor SURFconext test: https://wiki.surfnet.nl/download/attachments/55357610/test-idp-metadata-post.xml?version=2&modificationDate=1698120229141&api=v2 
 

Kies het juiste bestand en klik op Import certificate.

 
Verwijder het oude certificaat:
 
 
Hiermee is de procedure afgerond. Er hoeft niets herstart te worden.