Als je diensten wilt activeren die beschikbaar zijn via SURFconext, heb je hiervoor enige achtergrondinformatie nodig. Lees onderstaande tekst goed door voordat je begint met het activeren van diensten via het SURFconext Dashboard.
Onder het activeren van diensten verstaan we het leggen van een verbinding tussen jouw organisatie en een Service Provider (dienst), via SURFconext. Na het activeren van deze verbinding krijgen gebruikers van jouw organisatie toegang tot de dienst.
SURFconext houdt in een database bij welke Identity Providers toegang hebben geactiveerd tot welke Service Providers. Dit noemen we ook wel een ACL: Access Control List.
De Identity Provider kan zelf kiezen welke dienst hij activeert. Hiervoor maak je gebruik van het SURFconext dashboard. Deze applicatie biedt een overzicht van de beschikbare diensten voor jouw organisatie en je ziet ook welke diensten reeds geactiveerd zijn.
In het SURFconext dashboard is bij elke dienst aangegeven welke attributen (zoals een email-adres, uniek id etc) de dienst wil ontvangen voor een goede werking van de dienst. De Algemene Verordening Gegevensbescherming (AVG) vereist dat je namens je organisatie toestemming geeft voor het vrijgeven van die attributen. Je moet inschatten of de door de dienst gevraagde attributen geleverd (kunnen) worden door jouw Identity Provider-systeem, en of je bereid bent om deze attributen te leveren, gezien de aard van de dienst. Het is belangrijk om te onthouden dat jouw organisatie altijd eindverantwoordelijk blijft voor (de persoonsgegevens van) je gebruikers. Binnen jouw organisatie is de SURFconext-verantwoordelijke hiervoor verantwoordelijk. Hij kan via het dashboard van SURFconext een verzoek sturen om een dienst te activeren. Daarmee geeft hij ook toestemming voor het vrijgeven van de benodigde attributen. Dit verzoek komt vervolgens bij het SURFconext-team. Nadat het SURFconext-team een aantal controles heeft gedaan, wordt de koppeling tussen jouw organisatie en de desbetreffende dienst geactiveerd. De SURFconext-verantwoordelijke krijgt hierover een e-mail.
Koppelingen beheren tussen jouw organisatie en een dienst regel je via het SURFconext dashboard. Alleen gebruikers met de juiste bevoegdheid kunnen inloggen op het SURFconext dashboard.
Binnen elke instelling is de Instellings Contactpersoon (ICP) verantwoordelijk voor het toekennen van deze bevoegdheden aan zijn of haar medewerkers. Wil je dus toegang tot het dashboard van SURFconext neem dan contact op met je eigen ICP. Het toekennen en wijzigen van de rollen 'SURFconextverantwoordelijke' en 'SURFconextbeheerder' gebeurt in de applicatie 'SURFnet Authorisatie Beheer' (SAB). Een Instellingscontactpersoon of Instellingsbevoegde kan hier deze rollen toekennen en/ of wijzigen. Op de homepage van 'SURFnet Autorisatie Beheer' is ook een handleiding beschikbaar.
Rol | Functie | Omschrijving |
---|---|---|
SURFconextverantwoordelijke | administratief contactpersoon | Deze persoon is het eerste aanspreekpunt voor SURFnet als het gaat om de contractuele afspraken en policy zaken met betrekking tot SURFconext. Met deze rol kun je, naast het bekijken van het overzicht van beschikbare clouddiensten, ook de technische koppeling met de clouddiensten beheren. Dwz: om een beschikbare clouddienst te activeren, zal de SURFconextverantwoordelijke via het SURFconext Dashboard toestemming moeten geven voor het vrijgeven van de attributen die door de dienst worden gebruikt. Ook wanneer de instelling zelf als Service Provider optreedt, zal de SURFconextverantwoordelijke namens de instelling optreden als eerste contact richting SURFnet. De SURFconextverantwoordelijke kan via het dashboard van SURFconext ook diensten uitschakelen. Let wel: alle data die gebruikers van je instelling op deze dienst hebben staan, zal niet meer beschikbaar zijn na het afsluiten van toegang. |
SURFconextbeheerder | technisch contactpersoon | Met deze rol kun je inloggen op het dashboard van SURFconext om een overzicht te zien van alle beschikbare clouddiensten voor jouw instelling. Deze persoon is bovendien verantwoordelijk voor het technisch beheer van de Identity Provider, en fungeert als eerste aanspreekpunt voor SURFnet als het gaat om storingen, updates en security issues die betrekking hebben op de Identity Provider. |
In het SURFconext dashboard kun je alles beheren wat te maken heeft met SURFconext. Als je meerdere IdP's beheert, kun je wisselen tussen die IdP's door rechtsboven op je naam te klikken en de gewenste IdP te kiezen:
Op het tabblad 'Diensten/Services' tabblad in het dashboard zie je welke diensten via SURFconext bruikbaar zijn voor mensen van jouw instelling. Je kunt op de lijst met diensten op verschillende manieren filteren, b.v. op:
|
Als je een dienst aanklikt, kom je op de detailpagina ervan terecht. Hier zie je:
|
Als je toegang wilt hebben tot een dienst moet je de volgende stappen doorlopen:
Omdat er persoonsgegevens uitgewisseld worden tussen jouw organisatie en de Service Provider moet je, in het kader van de AVG, deze keuze expliciet voor iedere Service Provider maken.
De lijst met attributen bestaat uit een minimale set die de dienst zegt nodig te hebben om te kunnen functioneren. Het is dus van belang dat je, voordat je toegang aanvraagt tot een dienst, er zeker van bent dat de attributen ook daadwerkelijk beschikbaar zijn vanuit jouw eigen configuratie! Je kunt een indicatie hiervan vinden op de volgende testpagina: https://engine.surfconext.nl/authentication/sp/debug. Let op: je ziet hier alleen informatie over je eigen account. Andere gebruikers kunnen andere attributen of attribuutwaardes geconfigureerd hebben. |
|
Soms zijn er situaties waarbij bekend is dat jouw instelling een dienst wil gebruiken zodra die dienst technische aangesloten is op SURFconext. In die gevallen stuurt het SURFnet team je een koppelverzoek. In veel gevallen gebruiken we daarvoor een vast template en de mail die je dan ontvangt ziet er ongeveer als volgt uit:
De mail bevat links waardoor je snel op de pagina bent om aan te geven of je die dienst wel of niet wil koppelen. Je kunt, als je dat b.v. veiliger vindt, uiteraard ook de URL voor het dashboard handmatig in je browser invoeren en de genoemde dienst opzoeken.
Om een dienst te deactiveren ga je naar de detailpagina van de betreffende dienst
Ontkoppel een dienst door de volgende stappen te doorlopen:
Het SURFconext-team krijgt via het ticketingsysteem de melding dat je de dienst wilt ontkoppelen. Je ontvangt een e-mail zodra de ontkoppeling is doorgevoerd.
Denk goed na voordat je een dienst ontkoppelt. Jouw eindgebruikers kunnen namelijk na het ontkoppelen van de dienst niet meer bij hun gegevens komen! Bekijk voordat je een dienst gaat ontkoppelen de statistieken, zodat je kunt inschatten of de dienst veel wordt gebruikt door gebruikers van jouw instelling. Informeer de gebruikers (bijvoorbeeld met een nieuwsbericht) voordat de koppeling van de dienst daadwerkelijk gedeactiveerd wordt. |
|
Via autorisatieregels ('policies') kun je, op basis van attributen, zorgen dat (alleen) bepaalde gebruikers wel, of juist geen, toegang krijgen tot een dienst. Dit in plaats van dat iedereen van je instelling toegang heeft. Uitgebreide toelichting vind je op de aparte pagina over Autorisatieregels.
Onder de menu-optie 'Tickets' zie je alle acties die zijn uitgevoerd of nog in behandeling zijn. Als er acties, b.v. een koppelverzoek, voor je open staan, wordt dat met een 'tellertje' bij de menu-optie getoond.
|
Onder het kopje 'Statistieken' kun je de statistieken opvragen over het gebruik van de aangesloten diensten.
Verschillende weergaven zijn mogelijk, zoals de statistieken voor alle aangesloten diensten of een weergave specifiek voor een dienst. Daarnaast kan worden gekozen voor diverse tijdsperioden.
Sommige instellingen willen de SURFconext login-data gebruiken om licentie-facturen te controleren: een leverancier meldt dan b.v. dat van in de periode X t/m Y er vanuit de instelling door Z unieke accounts is ingelogd. Om te zien of dat klopt met de SURFconext-login-gegevens ga je als volgt te werk:
|
Op het tabblad 'Mijn Instelling/My institute' zie je een aantal gegevens over je instelling/IdP. Een aantal daarvan kun je in het dashboard ook wijzigen; als je dat wil, klik je op Wijzigingsverzoek aanmaken/Create Change Request.
Voor vragen over het gebruik van het SURFconext dashboard kun je een e-mail sturen naar support@surfconext.nl.
Het kan gebeuren dat je wel bevoegd bent binnen jouw organisatie, maar dat je geen toegang hebt tot het dashboard. Controleer dan eerst bij jouw Instellingscontactpersoon of je de juiste rol hebt (SURFconext-verantwoordelijke of SURFconext-beheerder). Je ICP kan deze rollen uitdelen via SURFnet Authorisatie Beheer. Als je daarna nog steeds niet kunt inloggen, stuur dan een e-mail naar support@surfconext.nl.