In de afgelopen week zijn er twee storingen geweest in SURFconext: op vrijdag 28 november en dinsdag 2 december. In deze blog vertel ik wat er precies aan de hand was en hoe we het probleem hebben opgelost.
Op 28 oktober 2025 kwamen zo’n 100 IAM-specialisten bij elkaar op de SURF Identity & Access Unconference. Deelnemers konden ter plekke ideeën voor sessies aandragen – de basis van Unconference-bijeenkomsten – en dat hebben we geweten! Omdat we maar één dag hadden en niet de hele week, zijn de onderwerpen geclusterd tot drie rondes met in totaal vijftien sessies.
Inloggen op een applicatie doe je meestal in de webbrowser, op het apparaat waarop je aan het werk bent. Sommige apparaten hebben echter maar een beperkte interface om in te kunnen loggen, zoals een VR-bril, printer of televisie. Het OAuth2-protocol ondersteunt daarom de "device code flow", waarmee het apparaat een eenmalige code toont, die je vervolgens op een ander systeem (die wel een webbrowser heeft) kunt invoeren om daar de inlog te doen. Alhoewel handig, kleven er belangrijke risico's aan deze flow waar je je bewust van moet zijn. Zo was deze week in het nieuws dat de device code flow van Microsoft actief wordt gebruikt door phishers.
Met SURFconext Invite beheer je als instelling toegangsrechten van gebruikers tot applicaties en systemen. Deze functionaliteit van SURFconext maakt het administreren van toegangsrechten eenvoudiger en veiliger. Het ondersteunt allerlei use cases zoals tijdelijke bezoekers, proefstudenten, stagebegeleiders of gebruikers van cursussen.
SURFconext is gebouwd op het HTTP-protocol en het proces om in te loggen met SURFconext vindt plaats in de webbrowser van de gebruiker. De grote browserleveranciers hebben veel plannen op stapel staan om het gedrag van browsers aan te passen. Wat betekent dit voor SURFconext en de aangesloten partijen?
Wanneer we uitleggen wat eduID is, horen we vaak: hoe betrouwbaar is een eduID eigenlijk? Want hoe weet je zeker wie iemand is op het internet? Misschien zijn ze wel een hond! Iedereen kan met een emailadres een eduID aanmaken. Dan weet je niet zeker wie iemand is. Dit is ook niet altijd nodig, bijvoorbeeld voor tijdelijke wifi-toegang.
Voor andere processen wil je wel meer zekerheid over wie iemand is. Bijvoorbeeld als iemand toegang nodig heeft tot de persoonlijke gegevens van een student. Identiteitsverificatie is het middel om die zekerheid te krijgen. In dit artikel leggen we uit welke methoden van identiteitsverificatie we gebruiken en behandelen enkele veelgestelde vragen.
Het SURFconext-team heeft een paar weken geleden een zogenaamde purple team-oefening gedaan, waarbij is geprobeerd om in te breken in de systemen van SURFconext. Deze oefening deden we samen met Chapter8. Dit bedrijf reikt een munt uit aan klanten bij wie ze niet in staat zijn om de van tevoren vastgestelde kroonjuwelen te bemachtigen. Wil je weten of we deze munt hebben kunnen bemachtigen? Lees dan snel verder!
Met de nieuwe tool SURFconext Invite beheer je als instelling eenvoudig en veilig toegangsrechten van (groepen) (gast)gebruikers voor applicaties en systemen. Afgelopen maanden hebben we met verschillende instellingen een pilot voor Invite gedaan. Die pilot zit nu in de laatste fase; de security audit is afgerond en eind van dit jaar (2023) is Invite klaar voor gebruik. In dit blog vertellen we meer over Invite en wat deze nieuwe tool betekent voor instellingen.
Begin dit jaar lanceerde het Trust & Identity-team van SURF de nieuwe eduID-app. Deze app zorgt ervoor dat je nog veiliger en makkelijker kunt inloggen op en met je eduID-account. De ontwikkeling van de applicatie heeft in de tussentijd niet stilgestaan. De eduID-app krijgt een grote update: het design is aangepakt en er komen nieuwe functionaliteiten bij.
