Als je diensten wil activeren die beschikbaar zijn via SURFconext, heb je hiervoor enige achtergrondinformatie nodig. Lees onderstaande tekst goed door voordat je begint met het activeren van diensten via het SURFconext IdP Dashboard.
Onder het activeren van diensten verstaan we het leggen van een verbinding tussen jouw organisatie en een Service Provider (dienst), via SURFconext. Na het activeren van deze verbinding krijgen gebruikers van jouw organisatie toegang tot de dienst.
SURFconext houdt in een database bij welke Identity Providers toegang hebben geactiveerd tot welke Service Providers. Dit noemen we ook wel een ACL: Access Control List.
De Identity Provider kan zelf kiezen welke dienst hij activeert. Hiervoor maak je gebruik van het SURFconext dashboard. Deze applicatie biedt een overzicht van de beschikbare diensten voor jouw organisatie en je ziet ook welke diensten reeds geactiveerd zijn.
Koppelingen beheren tussen jouw organisatie en een dienst regel je via het SURFconext dashboard. Alleen gebruikers met de juiste bevoegdheid kunnen inloggen op het SURFconext dashboard. Binnen jouw organisatie is de SURFconext-verantwoordelijke hiervoor verantwoordelijk. Hij kan via het dashboard van SURFconext een verzoek sturen om een dienst te activeren. Dit verzoek komt vervolgens bij het SURFconext-team. Nadat het SURFconext-team een aantal controles heeft gedaan, wordt de koppeling tussen jouw organisatie en de desbetreffende dienst geactiveerd. De SURFconext-verantwoordelijke krijgt hierover een e-mail.
Binnen elke instelling is de Instellings Contactpersoon (ICP) verantwoordelijk voor het toekennen van deze bevoegdheden aan zijn of haar medewerkers. Wil je dus toegang tot het dashboard van SURFconext neem dan contact op met je eigen ICP. Het toekennen en wijzigen van de rollen 'SURFconextverantwoordelijke' en 'SURFconextbeheerder' gebeurt in de applicatie 'SURFdashboard'. Een Instellingscontactpersoon of Instellingsbevoegde kan hier deze rollen toekennen en/ of wijzigen. Op de homepage van het SURFdashboard is ook een handleiding beschikbaar.
Rol | Functie | Omschrijving |
---|---|---|
SURFconextverantwoordelijke | administratief contactpersoon | Deze persoon is het eerste aanspreekpunt voor SURFnet als het gaat om de contractuele afspraken en policy zaken met betrekking tot SURFconext. Met deze rol kun je, naast het bekijken van het overzicht van beschikbare clouddiensten, ook de technische koppeling met de clouddiensten beheren. Dwz: om een beschikbare clouddienst te activeren, zal de SURFconextverantwoordelijke via het SURFconext Dashboard toestemming moeten geven voor het vrijgeven van de attributen die door de dienst worden gebruikt. Ook wanneer de instelling zelf als Service Provider optreedt, zal de SURFconextverantwoordelijke namens de instelling optreden als eerste contact richting SURFnet. De SURFconextverantwoordelijke kan via het dashboard van SURFconext ook diensten uitschakelen. Let wel: alle data die gebruikers van je instelling op deze dienst hebben staan, zal niet meer beschikbaar zijn na het afsluiten van toegang. |
SURFconextbeheerder | technisch contactpersoon | Met deze rol kun je inloggen op het dashboard van SURFconext om een overzicht te zien van alle beschikbare clouddiensten voor jouw instelling. Deze persoon is bovendien verantwoordelijk voor het technisch beheer van de Identity Provider, en fungeert als eerste aanspreekpunt voor SURFnet als het gaat om storingen, updates en security issues die betrekking hebben op de Identity Provider. De SURFconext-verantwoordelijke kan in dashboard onder MijnInstelling/MyInstitute SURFconext-beheerders de mogelijkheid geven autorisatieregels te beheren. |
In het dashboard staat in het scherm waarmee je ene koppeling aanvraagt waar je op moet letten. Belangrijk zijn in ieder geval de attributen: in het SURFconext dashboard is bij elke dienst aangegeven welke attributen (zoals een email-adres, uniek id etc) de dienst wil ontvangen voor een goede werking van de dienst. De Algemene Verordening Gegevensbescherming (AVG) vereist dat je namens je organisatie toestemming geeft voor het vrijgeven van die attributen. Je moet inschatten of de door de dienst gevraagde attributen geleverd (kunnen) worden door jouw Identity Provider-systeem, en of je bereid bent om deze attributen te leveren, gezien de aard van de dienst. Het is belangrijk om te onthouden dat jouw organisatie altijd eindverantwoordelijk blijft voor (de persoonsgegevens van) je gebruikers.
Koppelingen beheren tussen jouw organisatie en een dienst regel je via het SURFconext dashboard. Alleen gebruikers met de juiste bevoegdheid kunnen inloggen op het SURFconext dashboard. Hieronder vind je meer informatie over het dashboard en het daadwerkelijk koppelen van een dienst.
Op dashboard.surfconext.nl is, zonder inloggen, een lijst van op SURFconext aangesloten diensten te zien, waarin met filters en een zoekfunctie selecties kunnen worden gemaakt. Van elke dienst is wat informatie op te vragen. Er is een HELP-knop en een INLOG-knop.
Elke persoon met een instellingsaccount van een op SURFconext aangesloten instelling kan via de INLOG-knop inloggen. Na inloggen wordt meer informatie getoond. De persoon die bij een instelling 'SURFconext verantwoordelijke' is, kan deels bepalen wat mensen met een account bij zijn/haar instelling kunnen zien. Afhankelijk van wat de SURFconext-verantwoordelijke heeft geconfigureerd ziet iemand met een instellingsaccount:
Mensen die van en binnen hun instelling de rol van SURFconext verantwoordelijke of -beheerder hebben gekregen kunnen, na inloggen op dashboard.surfconext.nl door hun extra rechten nog meer zien en doen. Hieronder staat daarover meer informatie. |
In het SURFconext dashboard kun je alles beheren wat te maken heeft met SURFconext. Als je meerdere IdP's beheert, kun je wisselen tussen die IdP's door rechtsboven op je naam te klikken en de gewenste IdP te kiezen:
Op het tabblad 'Diensten/Services' tabblad in het dashboard zie je welke diensten via SURFconext bruikbaar zijn voor mensen van jouw instelling. Je kunt op de lijst met diensten op verschillende manieren filteren, b.v. op:
|
Als je een dienst aanklikt, kom je op de detailpagina ervan terecht. Hier zie je:
|
Dit is één van de functies die je pas ziet als je ingelogd bent EN over de juiste rechten beschikt. Als je mensen van je instelling met hun instellingsaccount toegang wilt geven tot een dienst moet je de volgende stappen doorlopen:
Zodra je ‘Connect’ hebt aangeklikt, gebeurt er het volgende, afhankelijk van wat er voor die dienst is ingesteld:
Omdat er persoonsgegevens uitgewisseld worden tussen jouw organisatie en de Service Provider moet je, in het kader van de AVG, deze keuze expliciet voor iedere Service Provider maken.
De door de dienst gevraagde informatie van een gebruiker, de attributen, is de set die de dienst zegt nodig te hebben om te kunnen functioneren. Het is van belang dat je, voordat je toegang aanvraagt tot een dienst, er zeker van bent dat de attributen ook daadwerkelijk beschikbaar zijn vanuit jouw eigen configuratie! Door https://engine.surfconext.nl/authentication/sp/debug te bezoeken krijg je een idee van door jouw IdP vrijgegeven attributen. Let op: je ziet hier alleen informatie over je eigen account. Andere gebruikers kunnen andere attributen of attribuutwaardes geconfigureerd hebben. |
|
Soms zijn er situaties waarbij bekend is dat jouw instelling een dienst wil gebruiken zodra die dienst technische aangesloten is op SURFconext. In die gevallen stuurt het SURFnet team je een koppelverzoek. In veel gevallen gebruiken we daarvoor een vast template en de mail die je dan ontvangt ziet er ongeveer als volgt uit:
De mail bevat links waardoor je snel op de pagina bent om aan te geven of je die dienst wel of niet wil koppelen. Je kunt, als je dat b.v. veiliger vindt, uiteraard ook de URL voor het dashboard handmatig in je browser invoeren en de genoemde dienst opzoeken.
Om een dienst te deactiveren ga je naar de detailpagina van de betreffende dienst
Ontkoppel een dienst door de volgende stappen te doorlopen:
Het SURFconext-team krijgt via het ticketingsysteem de melding dat je de dienst wilt ontkoppelen. Je ontvangt een e-mail zodra de ontkoppeling is doorgevoerd.
Denk goed na voordat je een dienst ontkoppelt. Jouw eindgebruikers kunnen namelijk na het ontkoppelen van de dienst niet meer bij hun gegevens komen! Bekijk voordat je een dienst gaat ontkoppelen de statistieken, zodat je kunt inschatten of de dienst veel wordt gebruikt door gebruikers van jouw instelling. Informeer de gebruikers (bijvoorbeeld met een nieuwsbericht) voordat de koppeling van de dienst daadwerkelijk gedeactiveerd wordt. |
|
Via autorisatieregels ('policies') kun je, op basis van attributen, zorgen dat (alleen) bepaalde gebruikers wel, of juist geen, toegang krijgen tot een dienst. Dit in plaats van dat iedereen van je instelling toegang heeft. Uitgebreide toelichting vind je op de aparte pagina over Autorisatieregels.
Onder de menu-optie 'Tickets' zie je alle acties die zijn uitgevoerd of nog in behandeling zijn. Als er acties, b.v. een koppelverzoek, voor je open staan, wordt dat met een 'tellertje' bij de menu-optie getoond.
|
Onder het kopje 'Statistieken' kun je de statistieken opvragen over het gebruik van de aangesloten diensten.
Verschillende weergaven zijn mogelijk, zoals de statistieken voor alle aangesloten diensten of een weergave specifiek voor een dienst. Daarnaast kan worden gekozen voor diverse tijdsperioden.
Sommige instellingen willen de SURFconext login-data gebruiken om licentie-facturen te controleren: een leverancier meldt dan b.v. dat van in de periode X t/m Y er vanuit de instelling door Z unieke accounts is ingelogd. Om te zien of dat klopt met de SURFconext-login-gegevens ga je als volgt te werk:
|
Op het tabblad 'Mijn Instelling/My institute' zie je een aantal gegevens over je instelling/IdP. Een aantal daarvan kun je in het dashboard ook wijzigen; als je dat wil, klik je op Wijzigingsverzoek aanmaken/Create Change Request. Een aantal mogelijkheden:
Voor vragen over het gebruik van het SURFconext dashboard kun je een e-mail sturen naar support@surfconext.nl.
Het kan gebeuren dat je wel bevoegd bent binnen jouw organisatie, maar dat je geen toegang hebt tot het dashboard. Controleer dan eerst bij jouw Instellingscontactpersoon of je de juiste rol hebt (SURFconext-verantwoordelijke of SURFconext-beheerder). Je ICP kan deze rollen uitdelen via SURFnet Authorisatie Beheer. Als je daarna nog steeds niet kunt inloggen, stuur dan een e-mail naar support@surfconext.nl.