What’s next @ SURFconext in vogelvlucht

Het seminar What’s next @ SURFconext op 20 maart 2018, waarop we onze instellingen bijpraatten over ontwikkelingen en toekomstplannen rondom SURFconext, was dit jaar een feestelijke aangelegenheid. De dienst bestaat namelijk 10 jaar, de nieuwe dienst SURFsecureID werd gepresenteerd en we hebben meer gebruikers dan ooit. Hieronder een samenvatting van de verschillende presentaties.

Volle zaal

Meer weten over SURFconext zelf? Bekijk de slides van de ontbijtsessie of lees de dienstinformatie op onze website.

Introductie

In 2017 hebben we verschillende records gebroken, zoals het aantal unieke logins (90 miljoen), het aantal aangesloten serviceproviders (730) en bij de start van het nieuwe studiejaar in september, traditiegetrouw het drukste moment van het jaar, werd zelfs de grens van 1000 logins per minuut doorbroken.

Met het oog op de komende Algemene verordening gegevensbescherming neemt SURF verschillende maatregelen. Zo vragen we nieuw aansluitende serviceproviders om privacy- en beveiligingsinformatie aan te leveren over hun diensten, heeft SURFmarket de dienst Privacydienstverlening die instellingen helpt privacyafspraken te maken met leveranciers, hebben we de bewaartermijn voor gebruikersgegevens verder beperkt en passen we de SURFconext-teksten die eindgebruikers zien aan om hen bewuster te maken van de gegevens die naar dienstaanbieders gaan.

Productmanager Peter Clijsters onthult de nieuwe naam: SURFsecureID
Productmanager Peter Clijsters onthult de nieuwe naam: SURFsecureID

Update SURFconext Sterke Authenticatie

Met SURFconext Sterke Authenticatie maak je inlogprocessen extra veilig doordat gebruikers naast hun wachtwoord ook een tweede factor moeten invoeren, zoals een code die ze op hun telefoon ontvangen. Deze dienst werd in 2016 geïntroduceerd en heeft het afgelopen jaar een substantiële hoeveelheid gebruikers gekregen. De dienst is sinds 2017 ook te gebruiken voor applicaties die niet via SURFconext worden ontsloten. Daarnaast moet de dienst apart aangevraagd en afgenomen worden en is het vooral een beveiligingsdienst. Daarom hebben we besloten SURFconext Sterke Authenticatie voortaan als aparte dienst aan te bieden en te presenteren onder een nieuwe naam: SURFsecureID.

Beveiliging van een IdP

Een aanvaller hoeft maar via 1 account in te kunnen loggen om in potentie de hele federatie binnen te dringen. Zorg daarom dat je loginscherm voor eindgebruikers veilig is, dat wil zeggen: verzorgd en mobiel-vriendelijk, beveiligd met DNSSEC, versleuteld via een (goed geconfigureerde!) HTTPS-verbinding en controleerbaar via een Extended Validation certificaat. Maak alleen accounts aan voor natuurlijke gebruikers die vallen binnen de SURFconext-doelgroep en identificeerbaar/traceerbaar zijn en ken deze accounts de juiste attributen toe. Binnenkort laat SURFconext enkel nog accounts toe met domeinadressen die door de desbetreffende IdP uitgereikt mogen worden. Zorg dat je bij incidenten snel en indien nodig internationaal kunt handelen, wees in contact met je lokale CERT/CSIRT en oefen eens met een incident.

Gastgebruik: hoe ga je daar als instelling mee om?

SURFnet probeert de groeiende en uiteenlopende behoeftes rond gastgebruik beter te faciliteren. Zo is het inmiddels mogelijk om voorinschrijvers (aankomende studenten die zich al wel hebben aangemeld, maar nog niet zijn gestart met het volgen van onderwijs) toegang te geven tot bepaalde diensten via SURFconext door middel van een eigen attribuutwaarde. Daarnaast kent het faciliteren van gastgebruik verschillende uitdagingen, zoals het toekennen van de juiste toegangsrechten, het garanderen van betrouwbaarheid van accounts, het overzichtelijk houden van het beheer en uiteraard het voldoen aan regelgeving, zoals de aankomende AVG. Momenteel geven instellingen vaak een instellingsidentiteit aan een groot deel van de gastgebruikers of zetten ze een extra lokale directory op. Het is vermoedelijk efficiënter om een centrale gastidentiteit te hebben of misschien zelfs wel voor iedereen een centrale onderwijsidentiteit (eduID). In de loop van het jaar willen we de mogelijkheden verder verkennen en uitwerken. We hopen hiervoor input van jullie te ontvangen, bijvoorbeeld in de vorm van use cases of mogelijke oplossingen!

Update eIDAS / Wet Digitale overheid

De Europese verordening eIDAS maakt het mogelijk om een elektronische identiteit (eID) van het ene land ook in het andere land te gebruiken. Daardoor kunnen instellingen makkelijker met bijvoorbeeld buitenlands studenten of internationale onderzoekers werken. Heb jij als instelling publieke diensten (diensten die voor iedereen van buitenaf openstaan) met betrouwbaarheidsniveau substantieel of hoog, dan ben je verplicht deze dienst geschikt te maken voor eIDAS voor 29 september 2018. SURFnet gaat een centrale koppeling op eIDAS verzorgen om de mogelijkheden die eIDAS biedt te kunnen verkennen. Neem contact met ons op als je hier ideeën voor hebt.

Scheidsrechter Arnout Terpstra zorgde ervoor dat de battle eerlijk verliep
Scheidsrechter Arnout Terpstra zorgde ervoor dat de battle eerlijk verliep

Battle: serviceproviders versus identityproviders

Enkele instellingen (en dus identityproviders) gingen met een paar dienstaanbieders in discussie over de voor- en nadelen van een federatie zoals SURFconext aan de hand van pittige stellingen, onder leiding van onze eigen huisscheidsrechter.

Een social login (bijvoorbeeld via Google of Facebook) als alternatief voor federatief inloggen vond niemand echt een goed idee, hoewel het op het oog misschien minder gedoe is voor zowel instellingen als dienstaanbieders. Het scheiden van de identificatiestap (via een betrouwbare aanbieder!) en de autorisatiestap (door de instelling) is wel bespreekbaar, omdat daarbij de instelling nog wel voldoende controle in handen houdt.

SURFconext ondersteunt naast enterprise-diensten (grote centrale diensten als een ELO of cijfersysteem die voor iedereen binnen je instelling toegankelijk moeten zijn) ook samenwerkingsdiensten, die meestal slechts relevant zijn voor een relatief kleine groep gebruikers per instelling. Veel instellingen zijn terughoudend om samenwerkingsdiensten te koppelen, omdat het lastig is om elke kleine dienst te controleren. Gebruikers zijn vaak in de veronderstelling dat als een instelling een dienst via SURFconext ontsluit, daarmee dan het signaal wordt afgegeven dat je het gebruik van de dienst meteen goedkeurt en ondersteunt. Ook is niet altijd duidelijk wie juridisch verantwoordelijk is voor de omgang met (persoons)gegevens en hoe de rollen tussen de instelling en de dienstaanbieder verdeeld moeten worden. Daarbij moet ook nog onderscheid gemaakt worden tussen de attributen die nodig zijn voor het inlogproces en de (onderzoeks)data die in de dienst worden gebruikt en opgeslagen. Kortom, voldoende voer voor een levendige discussie!

Presentaties van instellingen

Drie instellingen legden uit hoe zij een bepaald groot ICT-project aanpakken:

  • Hogeschool Inholland wil al haar digitale diensten ontsluiten via een webinterface die voor alle devices toegankelijk is, goed is beveiligd en waarbij toegang tot gegevens goed is geregeld.
  • Het Clusius College heeft een nieuw identitymanagementsysteem geselecteerd en geïmplementeerd, hetgeen veel meer tijd en energie kostte dan gepland.
  • Het ROC Friese Poort heeft zijn active directory (AD) ondergebracht bij Azure AD Connect. Dit leverde voor- en nadelen op. (Info vanuit SURFconext over dit onderwerp.)

Break-outsessies

In kleinere groepjes gingen we in gesprek met de aanwezigen over specifieke onderwerpen waarover we graag jullie mening horen:

Opt-in regeling Science Collaboration Zone
Onderzoekers die uit nood maar op onderzoeksdiensten inloggen met een Facebookaccount. In 50 procent van de gevallen kunnen onderzoekers niet met hun instellingsaccount veilig en makkelijk inloggen op diensten die ze nodig hebben voor het werk waarvoor ze aangesteld zijn, omdat hun instelling de dienst niet koppelt. In deze sessie discussieerden we over de redenen en mogelijke (deel)oplossingen. Zo gaf de UvA aan diensten met autorisatieregels alleen open te zetten voor onderzoekers. En werd geopperd een scherm te tonen dat een instelling geen ondersteuning levert voor zulke diensten.

Attribuutaggregatie: wat merk ik ervan?
Via attribuutaggregatie geeft SURFconext een dienst informatie over een gebruiker die de dienst en/of instelling overstijgt, bijvoorbeeld groepslidmaatschap of een ORCID. Instellingen zien hiervan de voordelen en komen met meer suggesties, zoals een centrale identiteit, aangekochte licenties en een koppeling tussen ouders en minderjarigen.

I reveal my attributes (IRMA)
IRMA biedt de mogelijkheid om je attributen (zoals naam, geboortedatum, lidmaatschap van een dienst, behorend tot een groep) te ontvangen van een vertrouwde uitgever/IdP en op je lokale device op te slaan. Als een dienst vervolgens je attributen wil inzien, kun je dat zelf doen (je hebt de uitgevende IdP op dat moment niet nodig) en hoef je niet méér attributen vrij te geven dan noodzakelijk. Dubbel privacyvriendelijk dus! Instellingen kunnen met de IRMA-attribuutuitgiftedienst koppelen. Via autorisatieregels kun je eventueel zorgen dat slechts een beperkt aantal mensen erbij kunnen, bijvoorbeeld om een test met IRMA te doen.

Science Collaboration Demo
Onderzoekers werken vaak samen over de grenzen van instellingen en landen heen en hebben daarbij behoefte aan een vorm van identity- en accessmanagement die SURFconext op dit moment onvoldoende biedt, met name voor non-webdiensten, groepsbeheer en specifieke attributen. Met het project Science Collaboration Zone wil SURFnet zo’n vorm ontwikkelen. Online kan iedereen dit al testen.

Identifiers
Als een gebruiker via SURFconext inlogt op een dienst, stuurt SURFconext altijd een ‘identifier’ mee. Er zijn verschillende van deze identifiers met elk een eigen functie. SURFnet kan een heel privacyvriendelijke identifier leveren, als de dienst daar ook mee om kan gaan. In deze sessie werden de diverse mogelijke identifiers met hun eigenschappen besproken.

Open sessie: welke functionaliteit mist er?
Als je als SURFnet dagelijks intensief aan een product als SURFconext werkt, zie je dingen over het hoofd. Ideeën voor dingen die anders moeten of kunnen, zijn dus van harte welkom, en deze sessie was daarop gericht. De aanwezigen hadden verschillende suggesties, zoals het gebruik van een social id met de instelling als attribuutprovider, het sneller koppelen van nieuwe dienstaanbieders, een meer centrale functie van het dashboard en het fuseren van de Kennisnet-federatie en die van SURFnet. Aan sommige ideeën wordt reeds gewerkt.

pubquiz

10 jaar SURFfederatie

Tot slot keken we terug op het 10-jarig bestaan van SURFconext. De dienst begon als SURFfederatie met drie aangesloten instellingen, dagelijkse aanpassingen aan de functionaliteiten, de slogan ‘A-Select: de A van authenticatie’ en taart bij hoogtepunten als 838 logins op een dag. De dienst is inmiddels flink geprofessionaliseerd, maar in de kern is er in die 10 jaar wezenlijk weinig veranderd. De dag werd afgesloten met een korte pubquiz met vragen over triviale feiten rond SURFconext en een borrel met speciaalbier en lekkere hapjes.

Meer weten? Bekijk de presentaties via de linkjes hierboven of neem contact op met de respectievelijke sprekers. Ideeën voor de ontwikkeling van SURFconext? Jullie input is van harte welkom.

Auteur

Reacties

Dit artikel heeft 0 reacties