Pilot: toegangsrechten van gastgebruikers regelen met de eduID invite tool

Toegang geven aan 'gasten' op systemen van je instelling is niet standaard ingeregeld. Het is echter wel een plek waar securityrisico's zich kunnen opbouwen. In dit blog vertel ik over de pilot met de eduID invite tool: een applicatie waarmee je als instelling eenvoudig en veilig toegangsrechten van gastgebruikers tot applicaties en systemen beheert.

Enkele maanden geleden lichtte collega Arnout al in zijn blog toe hoe eduID kan helpen bij het aanmaken van een account voor ‘gastgebruikers’: gastonderzoekers, -docenten, externen en mensen uit het bedrijfsleven. De tijd heeft echter niet stilgestaan. Instellingen willen deze groep ook graag goed administreren, het is namelijk ook belangrijk om de toegang tot achterliggende systemen goed in te regelen. Dat verloopt nu op veel verschillende manieren en er is bovendien weinig zicht op welke ‘gasten’ tot welke systemen toegang hebben. Laat staan dat het verwijderen van de toegang en de gegevens van deze personen goed is ingeregeld. Dit zorgt voor privacy- en securityrisico’s, en het kost tijd en dus geld. 

Welke use cases en wensen leven er bij de instellingen?

De situatie per instelling verschilt sterk als het gaat om het regelen van toegangsrechten. Waar minder verschil in zit zijn de situaties die benoemd worden waar het administreren van toegangsrechten voor gasten een rol speelt. Use cases die instellingen noemen zijn onder andere: joint degrees, proefstudenten, stagebegeleiders, studenten op afstand, alumni, gastsprekers, tijdelijke bezoekers, tijdelijke medewerkers, gebruikers van cursussen en facilitaire dienstverleners. 

De generieke wens is om personen gemakkelijk, online of aan een balie, te kunnen onboarden. Waarbij het belangrijk is dat de persoon gebruik kan maken van de juiste applicaties voor de periode waarin dit noodzakelijk is. 

De oplossing: de eduID invite tool

Met de invite tool kunnen administratieve medewerkers en docenten gemakkelijk per e-mail uitnodigingen versturen aan zowel groepen, als aan een personen voor specifieke rollen in applicaties. Om dit mogelijk te maken wordt in de tool vastgelegd welke groepen en personen toegang mogen hebben tot welke applicaties, inclusief verloopdatum.  

De gastgebruiker krijgt een e-mail met de uitnodiging voor de applicaties waar hij of zij toegang toe moet krijgen. Deze uitnodiging moet de gastgebruiker dan accepteren met eduID. Als hij of zij nog geen eduID heeft, kan die op dat moment worden aangemaakt.  Vervolgens gebruikt hij of zij eduID om in te loggen bij deze applicaties. Na de verloopdatum worden de toegangsrechten automatisch ingetrokken en heeft deze persoon geen toegang meer tot de applicaties. 

Hoe werkt de eduID invite tool technisch?

De technische basis van de invite tool is een applicatie met een API. Na het accepteren van een uitnodiging door de gast wordt een bericht gestuurd naar het Identitymanagementsysteem (IDM)-systeem van de instelling. Vanuit dit bericht kan de eduID-gebruiker worden aangemaakt in de applicatie en worden toegevoegd aan de juiste applicatierollen. Het inloggen met eduID op de applicatie gebeurt via SURFconext

Alle functies die nodig zijn voor het realiseren van de uitnodigingsflow zijn beschikbaar als web-endpoints die andere applicaties kunnen aanroepen. Hierdoor kunnen instellingen dit eenvoudig implementeren in eigen portalen, IDM-processen of selfservice-tools. Ook is een voorbeeld-implementatie beschikbaar om snel aan de slag te kunnen. 

Als je meer wilt weten over hoe de tool in elkaar zit of interesse hebt in het onderzoek onder instellingen dat vooraf is gegaan aan de ontwikkeling, bekijk dan onze GitHub-pagina.

Webinar met demo van de eduID invite tool

Bekijk de opname van het webinar waarin ik samen met Peter Havekes, technisch productmanager eduID, een demo geef van de eduID invite tool:

Waar staan we nu: pilots met instellingen 

De technische proof-of-concept van de invite tool is gereed: er is een koppeling met de digitale leeromgeving van de WUR. We gaan nu verder met het uitvoeren van pilots om de applicatie te testen en verbeteren. We zijn dus op zoek naar meerdere instellingen die met ons willen piloten.  

De komende maanden moeten ook uitwijzen of en waar deze applicatie een plaats zal krijgen binnen de SURF-dienstverlening. Om dit proces makkelijker te maken, is het belangrijk dat we feedback krijgen van instellingen en dat de instellingen met ons meedenken en meedoen in de pilots.  

Vragen en/of doe mee met een van de pilots

Heb jij een vraagstuk of probleem rondom gastgebruik? Wil je meedoen met de pilot? Neem dan contact op met marlies.rikken@surf.nl, productmanager eduID bij SURF.

Auteur

Reacties

Dit artikel heeft 0 reacties