Veel te bespreken bij What’s Next @ SURFconext

Tijdens What’s Next @ SURFconext worden belangstellenden bijgepraat over de ontwikkelingen rondom SURFconext. De goedbezochte bijeenkomsten zijn vooral bedoeld om wensen, vragen en andere nuttige opmerkingen op te halen bij gebruikers en om de instellingen weer bij te praten over de laatste ontwikkelingen rondom SURFconext. Dat lukte tijdens de editie van woensdag 24 mei 2017 wonderwel.

Welkom & intro

What’s Next @ SURFconext wordt ingeleid door Femke Morsch, teamhoofd van het productteam. Ze start met mooie cijfers: in 2016 vonden er ruim 68 miljoen logins plaats met SURFconext. Met meer dan 1 miljoen unieke gebruikers bedient SURFconext de hele doelgroep van SURF, van de mbo’s en de universiteiten tot de umc’s. Een geruststellende gedachte is dat SURFconext inmiddels over verschillende locaties is verdeeld: is het onrustig in Amsterdam, waar het netwerk al dubbel was uitgevoerd, dan is het mogelijk om over te schakelen naar de databases bij het UMC Utrecht. Meer hierover op het SURFnet-blog.

zaal vol mensen

Voor 2017 wil het team achter SURFconext het monitoren preciezer maken. Hierdoor wordt het mogelijk om sneller in te grijpen en naar een andere locatie uit te wijken. Releases zullen meer gradueel worden uitgevoerd. Er zal dit jaar flink worden geïnnoveerd, onder andere met sterke authenticatie.

Tijdens deze editie van What’s Next @ SURFconext is er veel te bespreken. In 7 minute speeches komen zo veel mogelijk onderwerpen in korte tijd aan bod. Later dit jaar volgen naast meer bijeenkomsten mogelijk ook webinars over specifieke onderwerpen. Inschrijven kan via een nieuw inschrijfportal in ontwikkeling, dat uiteraard gekoppeld is aan SURFconext.

Nieuwe aansluitovereenkomst

Sinds kort handelt SURFnet nieuwe aansluitovereenkomsten voor SURFconext af. Deze nieuwe werkwijze maakt het voor instellingen én diensten gemakkelijker om aan te sluiten op SURFconext. Er zijn over dit onderwerp veel vragen vanuit de zaal, zoals “Moet elke instelling nu zelf bewerkersovereenkomsten afsluiten?” of “is een bewerkersovereenkomst altijd nodig?”. Indien nodig biedt SURFmarket assistentie bij het opstellen van de bewerkersovereenkomst. Zie ook de casus ‘Bewerkersovereenkomst verheldert verantwoordelijkheden qua privacy‘.

PIA

In mei 2018 vervangt de Algemene Verordening Gegevensbescherming (AVG) de Wet bescherming persoonsgegevens (Wbp). Voor de aankoop van nieuwe software kunnen instellingen als hulpmiddel een PIA (privacy impact assessment) uitvoeren. Fontys heeft hier al ervaring mee. Informatiemanager Coen de Jong van Fontys vertelt dat het PIA-document dat zij hebben gebruikt bestaat uit 100 vragen. Uit de antwoorden volgen aanbevelingen. Een PIA bepaalt niet of je mag doorgaan met de aankoop, maar inventariseert alleen de risico’s. Het is aan de instelling om een beslissing te maken. Omdat het om een groot karwei gaat, schakelde Fontys een organisatie in die de vragenlijst in naam van de hogeschool invulde.

Lynda.com, de partij waarmee Fontys met ondersteuning van SURFconext een pilot draaide, weigerde overigens een bewerkersovereenkomst te tekenen vanwege de schaal van de pilot. “Dat wordt nog wel een puntje,” aldus De Jong. Met het oog op de AVG moet iedere hogeronderwijsinstelling een functionaris voor de gegevensbescherming (FG) aanstellen, bij wie je dergelijke vraagstukken kunt neerleggen. Overigens lijkt het zo dat Amerikaanse serviceproviders volgend jaar geen diensten meer aanbieden in Europa als ze geen bewerkersovereenkomst tekenen. Ook dat is een gevolg van de AVG. Meer over de AVG leest u in het komende SURF magazine.

SURFconext Sterke Authenticatie – Second Factor Only

Op SURFconext Sterke Authenticatie zijn nu vijf instellingen aangesloten. Meer instellingen hebben plannen in die richting, maar sommige deinzen terug voor het inrichtings- en registratieproces. Afgelopen jaar is er een oplossing ontwikkeld voor het koppelen van interne applicaties voor eigen gebruikers. SURFnet zoekt nog een alternatief voor de naam. ‘Second Factor Only’ omschrijft de dienst weliswaar goed, maar voor de gebruiker is het een onduidelijke term. De authenticatie gaat eerst via de instelling (de eerste factor); alleen de tweede factor gaat naar SURFconext Sterke Authenticatie. Daar merkt de gebruiker dan weer niks van. Suggesties voor een betere naam zijn welkom.

Identificatie-, authenticatie- en autorisatievisie

Michiel Schok is teamhoofd Trust en Identity Innovatie. Hij demonstreert de ‘praatplaat’ die inzicht geeft in de innovaties van SURFnet, en daarbij de gesprekken met de onderwijsinstellingen over SURFconext en de visie op IAA vergemakkelijkt. Voor de rest van 2017 staat non-web federatieve authenticatie op het programma, vertelt Schok. Voor toepassingen zonder webbrowser, zoals e-mail clients, maar bijvoorbeeld ook voor mobiele applicaties. SURFnet ontwikkelde hiervoor een software development kit (SDK). Als derde doel bekijkt het team samen met SURFsara hoe onderzoekers via SSH toegang kunnen krijgen met een federatieve context. In de Science Collaboration Zone werken ze aan SURFconext in een internationale instelling. Gegadigden voor een pilot op dat gebied kunnen zich melden.

7-minute speeches

In sneltreinvaart passeren verschillende onderwerpen de revue. Wie aan zeven minuten niet genoeg heeft, kan zich daarna aansluiten bij een verdiepende break-outsessie over het desbetreffende onderwerp.

Provisioning is het initieel aanmaken van gebruikers en groepen bij een (cloud)dienst. Het is een belangrijk onderdeel van Identity en Access Management, dat dat op heden niet structureel door SURFconext wordt ondersteund. Provisioning is gewenst, maar vormt geen businesscase voor een SURFnet-dienst, bleek in 2013. Met de komst van het SCIM-protocol als standaard voor provisioning wil SURFnet de opties opnieuw onderzoeken. Vandaar dat SURFnet de instelingen vraagt tegen welke concrete vraagstukken ze aanlopen met betrekking tot provisioning. Hoe kan SURFnet u daarbij helpen?

GroupHub is een lichtgewicht groepsmanagement-applicatie voor het maken van groepen binnen het domein van de instelling. De doorontwikkeling moet worden veiliggesteld worden door de instellingen zelf. SURFnet hoort graag ideeën over de voortzetting van GroupHub. Wellicht dat het projectmodel SURF-cloud uitkomst biedt, zo wordt geopperd tijdens de break-outsessie. Hiervoor moeten voldoende instellingen hun commitment uitspreken voor deelname aan de eerste fase, die bestaat uit het bepalen van technische en business eisen. SURFnet zal de dienst vervolgens bouwen of inkopen. Meer over hergebruik van groepsinformatie op het innovatieblog.

InAcademia is een nieuwe dienst van Géant, de samenwerking tussen alle NREN’s van Europa, waar ook SURFnet onder valt. Met InAcademia kunnen instellingen aan bedrijven bevestigen dat iemand een student of medewerker is. Dit is een slimme manier om bijvoorbeeld studentenkortingen mogelijk te maken zonder dat de privacy van de student in het geding komt. Er wordt geen persoonlijke data uitgewisseld door de instelling, behalve de vaststelling of ontkenning dat het om een student gaat.

Is het acceptabel dat gebruikers hun gebruikersnaam en password van de instelling invoeren bij Microsoft of andere clients als ze gebruik willen maken van Office 365? Onderwijsinstellingen die menen van niet kunnen beter gebruikmaken van een federatieve koppeling. Of dat direct met Microsoft gebeurt, of via SURFconext, is minder van belang. SURFnet bouwt momenteel een referentie-omgeving, waarin drie scenario’s met Office 365 worden getest.

SURFnet laat de gebruikersvriendelijkheid van gastgebruik met SURFconext onderzoeken. Die kent nogal wat ‘afhaakmomenten’ en is dus voor verbetering vatbaar. In de break-outsessie blijkt onder andere dat er veel soorten ‘gasten’ zijn en dat het bijvoorbeeld kan gaan om het koppelen van gastgebruik aan het bieden van fysieke toegang, dus bijvoorbeeld de uitgifte van toegangspasjes. Er klinkt een breed gedeelde wens naar “meer regie voor de instelling, maar een versimpeling van het aantal smaken.”

Hendri Boer van Aventus vertelt over de ervaring met SURFconext Autorisatieregels. Omdat de mbo-instelling bij zijn digitale leeromgeving betaalt naar gebruik, is het van belang om alleen bevoegde gebruikers toe te laten. Sowieso is het prettig om meer controle te hebben op de toegang tot diensten, is de ervaring van Aventus. Er is een best practice beschikbaar.

OpenID Connect is een nieuw protocol in SURFconext, dat het serviceproviders makkelijker maakt om op SURFconext aan te sluiten. Voor gebruikers en instellingen verandert er niets. Het testen met dit alternatief voor het SAML-protocol gaat goed. SURFnet is op zoek naar meer testers die OpenID Connect willen proberen.

In de laatste 7 minute speech vertelt Joyce Nijkamp van de Universiteit van Amsterdam over de pilot om toegang tot de ICT-diensten van UvA-HvA aan onderzoekers van derde partijen te geven. Met de Science Collaboration Zone wordt samen gewerkt aan een set van tools die in combinatie met SURFconext onderzoekers en instellingen de mogelijkheid geeft om internationaal samen te werken.

Tot nog toe zijn er vier soorten use cases: web-based applicaties die niet op SURFconext zijn aangesloten; niet web-based applicaties; onderzoekers buiten Nederland voor internationale samenwerkingen en grote groepen gebruikers zonder instellingsaccount. Voor al deze gevallen is een oplossing voorhanden.

presentatie

Afsluiting

What’s Next @ SURFconext heeft een naam hoog te houden als het gaat om een ludiek element. Ditmaal is het een quiz, volgens het principe petje op, petje af. De finalisten moeten een aantal technische termen achtereenvolgens omschrijven, tekenen en uitbeelden. Hoe teken je ‘sterke authenticatie’? Simpel, een mannetje met een spierbal en een computer. Winnaar Ton Verschuren wordt beloond met eeuwige roem en een waterijsje. Alle presentaties van de dag zijn terug te vinden op de website van SURF.

Author

Comments

Dit artikel heeft 0 reacties