SURFconext – nu nog fijn(mazig)er!

SURFconext heeft een nieuwe optie waarmee instellingen toegang tot diensten fijnmaziger kunnen regelen. In dit blog meer over de nieuwe optie.

bord portion control
bron: http://www.picserver.org/p/portion-control.html

Meer dan alles of niets

Via SURFconext kunnen instellingen zorgen dat hun gebruikers eenvoudig en veilig met hun instellingsaccount op diensten kunnen inloggen. Maar tot voor kort was dat “alles of niets”:

  • als de SURFconext verantwoordelijke de dienst niet had geactiveerd in het SURFconext Dashboard kon niemand van de instelling via SURFconext bij de dienst
  • als de SURFconext verantwoordelijke de dienst in het SURFconext Dashboard activeerde kon iedereen van de instelling de dienst via SURFconext benaderen. Of mensen dan daadwerkelijk toegang krijgen tot de dienst is afhankelijk van of en hoe autorisatie binnen de dienst geregeld is.

Diverse instellingen gaven aan dat ze binnen SURFconext de mogelijkheid wilden om een dienst voor een groot of klein aantal gebruikers beschikbaar te maken (of juist te blokkeren). Niet ‘alles of niets’, maar er tussenin.

Uitbreiding op SURFconext: nu beschikbaar!

Daarom is de functionaliteit van SURFconext uitgebreid. In 2015 is SURFnet een traject gestart om de toegang tot diensten fijnmaziger te kunnen regelen. In het voorjaar van 2016 zijn onder andere het Clusius College, De Hanze Hogeschool, de UvA en de RUG aan de slag gegaan met de bètaversie. De functionaliteit bleek goed te werken. SURFconext autorisatieregels is daarom nu voor alle gebruikers van SURFconext beschikbaar.

Zelf regelen

SURFconext-verantwoordelijken kunnen in het SURFconext Dashboard zelf autorisatieregels aanmaken. Met deze regels kan een dienst toegankelijk of juist afgesloten worden voor bepaalde gebruikers. Hiervoor kan gebruik worden gemaakt van attributen (toegang voor ‘medewerkers’ maar niet voor ‘studenten’) of groepslidmaatschap (gebruikers uit groep X krijgen toegang tot dienst Y). De instellingen zitten zelf aan het stuur.

UvA: toegang geven tot internationale onderzoeksdiensten via eduGAIN

Bas Toeter van de UvA: “wij gebruiken de autorisatieregel-functionaliteit al om een beperkt aantal mensen toegang te geven tot eduGAIN-dienst Cyclone. Normaal gesproken zetten we alleen diensten open als alles goed geregeld is qua HO Normenkader. Maar (nog) niet elke dienst voldoet daar aan. Omdat we nu zelf kunnen bepalen dat maar een beperkt aantal mensen bij die dienst kan, vinden we het verantwoord de dienst te ontsluiten via SURFconext; dat is beter dan dat mensen zelf accounts gaan aanmaken bij dat soort diensten”.

Bas vult aan: “In dit geval hebben we de autorisatie regel gekoppeld aan het lidmaatschap van een SURFconext Team: wie lid is van het Team heeft toegang. We willen het beheer zo dicht mogelijk bij het onderzoek en onderwijs leggen, dus we maken bijvoorbeeld een onderzoeker beheerder van het Team, en zo kan die persoon zelf bepalen wie er wel en niet bij moet kunnen. Het was redelijk eenvoudig om een autorisatieregel te maken en de gebruikers vonden het fijn de dienst nu via SURFconext te kunnen gebruiken”.

Nu bruikbare attributen

Attributen die op dit moment beschikbaar zijn voor gebruik in de autorisatieregels:

  • Groepslidmaatschap: of je groepsinformatie nu lokaal (zoals in de Active Directory) bijhoudt of in SURFconext Teams, groepslidmaatschap is te gebruiken in autorisatieregels. Om lokale groepsinformatie in SURFconext te gebruiken dient wel een group-provider-koppeling geconfigureerd te zijn.
  • Rol: je kunt een dienst alleen voor studenten, alleen voor docenten (of een andere toegestane waarde voor dat attribuut) toegankelijk maken (of juist blokkeren).
  • Bepaalde bijzondere rechten (entitlements): instellingen kunnen gebruikers waardes meegeven die voor sturing van toegang gebruikt kunnen worden.
  • De organisatie: toegang regelen of blokkeren voor bepaalde instellingen.

SURFnet zal de functionaliteit zoals altijd op basis van feedback van gebruikers doorontwikkelen, bijvoorbeeld als de wens is om andere attributen te gebruiken. Heb je dus wensen, dan horen we het graag!

Meer informatie

Use-cases zijn welkom – oproep

Heb je zelf ideeën waarvoor je binnen je instelling deze autorisatieregels wilt gaan gebruiken, of gebruik je ze al, dan zijn we zeer geïnteresseerd om dit te horen. Zo kunnen we andere instellingen inspireren. Je use cases of ideeën kun je mailen aan Raoul Teeuwen.

Open standaarden en open source

De oplossing is gebaseerd op open standaard XACML. De code is gebaseerd op open source software die door SURFnet is aangepast en via OpenConext beschikbaar wordt gemaakt.

Auteur

Reacties

Dit artikel heeft 0 reacties