Femke Morsch
Productmanager SURFconext & team lead trust en identity @SURF Meer over Femke Morsch
Als een gebruiker bij een dienst inlogt via SURFconext dan gaan er meestal ook attributen over deze gebruiker, zoals bijvoorbeeld naam, e-mailadres en rechten, naar deze dienst. Deze attributen werden tot nu toe altijd alleen aangeleverd door de instelling waar de gebruiker studeert of werkt. Er zijn ook andere bronnen beschikbaar die nuttige informatie over de gebruiker hebben. Om deze informatie op een eenvoudige en veilige manier aan een dienst door te kunnen geven, is SURFconext uitgebreid met attribuutaggregatie. Met attribuutaggregatie kan de identiteit van een gebruiker verrijkt worden met informatie uit bronnen anders dan van de eigen instelling. Zo kan bijvoorbeeld groepsinformatie of een researcher-ID aan een dienst ter beschikking worden gesteld tijdens het inloggen.
Waarom doen we dit?
Sommige diensten hebben behoefte aan meer of andere informatie over een gebruiker. Bijvoorbeeld van welke samenwerkingsgroepen een gebruiker lid is of wat het internationale researcher-ID van deze gebruiker is. Vaak kan de instelling zelf deze gegevens niet aanleveren via SURFconext, maar zijn er wel bronnen beschikbaar die deze informatie over de gebruiker aanbieden via een interface. De dienstaanbieder moet dan naast een koppeling met SURFconext ook nog interfaces bouwen om deze informatie op te halen. Door koppelingen met veelgebruikte interfaces centraal aan te bieden en de verkregen attributen onderdeel te laten zijn van de inlogflow hoeven dienstaanbieders deze koppelingen niet meer zelf te bouwen en te onderhouden. Ze kunnen nu gewoon gebruik maken van de bestaande SURFconextkoppeling. Zeker voor externe attributen die door meerdere leveranciers gebruikt worden, levert dit schaalvoordeel op. Daarnaast kan SURFconext ook zorgen dat het ophalen, delen en inzichtelijk maken van deze attributen op een privacyvriendelijke manier gebeurt. Dit is vaak lastiger als de dienstleverancier deze attributen zelf op moet vragen.
Naast de directe praktische voordelen is het ook een eerste stap in de visie dat de instelling niet de enige leverancier van identiteitsinformatie blijft. In de toekomst kan een gebruiker bijvoorbeeld inloggen met een overheids-ID, waarna via attribuutaggregatie aan deze identiteit de informatie wordt toegevoegd dat een student aan een specifieke universiteit studeert.
Welke oplossing bieden we?
We voegen nieuwe functionaliteit toe aan SURFconext, het systeem dat het inloggen op clouddiensten faciliteert. Naast de attributen van de thuisinstelling kan een dienst nu ook de volgende attributen ontvangen:
Groepsinformatie
Groepsinformatie uit SURFconext Teams of van instellingen die hun groepsinformatiesysteem hebben gekoppeld aan SURFconext kunnen via attribuutaggregatie worden toegevoegd aan de inlogflow. Deze informatie wordt zo eenvoudig beschikbaar voor de dienst. Er is geen extra VOOT-koppeling met SURFconext nodig om groepsinformatie te ontvangen. Het ontvangen van groepsinformatie als onderdeel van het SAML-bericht is vooral bedoeld voor diensten die groepen willen gebruiken voor autorisatie. Dienstaanbieders moeten vooraf aangeven welke groepen ze nodig hebben, zodat de grootte van de SAML-berichten onder controle blijft. Als een dienst alle groepen van een gebruiker wil ontvangen of van tevoren niet weet welke groepen nodig zijn, dan zal de dienst alsnog een VOOT-koppeling moeten maken.
ORCID-ID voor onderzoekers
Een ORCID-ID kan door een onderzoeker zelf worden aangevraagd bij https://orcid.org/. Met zo’n ID is een onderzoeker uniek en wereldwijd te identificeren, bijvoorbeeld om publicaties of data te koppelen aan een onderzoeker. Het is ook goed denkbaar dat dit ID gebruikt gaat worden om beurzen of faciliteiten aan te vragen. Omdat de onderzoeker het ORCID-ID persoonlijk moet aanvragen is dit ID vaak niet bekend in het identitymanagementsysteem van een instelling. Door ORCID toe te voegen aan attribuutaggregatie wordt het mogelijk dat SURFconext dit ID doorgeeft aan de dienst. Doordat dit centraal via attribuutaggregatie van SURFconext aangeboden wordt, hoeft niet elke dienst zelf een koppeling met het ORCID-register te maken. Een gebruiker moet wel eenmalig zijn ORCID-ID koppelen aan het instellings-ID. Het maken van deze koppeling en eventueel direct aanvragen van het ORCID-ID wordt door SURFconext gefaciliteerd. Als een onderzoeker van instelling wisselt, kan hij zijn ORCID-ID gewoon koppelen aan zijn nieuwe instellingsaccount.
Autorisatierollen
Een derde mogelijkheid is het doorgeven van autorisatierollen die door SURFnet of de instellingscontactpersoon zijn toegekend. Deze attributen worden door de applicatie van SURFnet Autorisatie Beheer (SAB) doorgegeven en zijn alleen te gebruiken door diensten van SURF.
Hoe ver zijn we?
Attribuutaggregatieservice bevindt zich in het stadium van dienstontwikkeling. Op dit moment is het al mogelijk om groepsinformatie en autorisatierollen van SURFnet toe te voegen aan de attributenset van een gebruiker. Dienstaanbieders die hier gebruik van willen maken, kunnen hier meer over lezen op de SURFconext-wiki.
In de tweede helft van 2017 wordt het mogelijk om het ORCID-ID te koppelen en vrij te geven. In 2018 willen we meer attribuutproviders gaan toevoegen. We werken hierbij graag samen met instellingen, onderzoekers en dienstaanbieders, dus meld je vooral als je ideeën hebt!
0 Praat mee