Instellingen willen dat hun medewerkers en studenten veilig en makkelijk kunnen inloggen op allerlei (cloud)diensten, idealiter met hun instellingsaccount. Dat kan, met gebruik van SURFconext, een dienst van SURF. Deze slides gebruikten we in nov 2020 om uit te leggen wat SURFconext is en hoe het werkt.
Responsible AI: the epistemology of using machine learning as a research meth...
SURFconext introductie
1. Hallo allemaal, leuk dat jullie er zijn!
We beginnen om 10 uur.
(als het goed is hoor je een muziekje)
WEBINAR
INTRODUCTIE SURFCONEXT
10 NOVEMBER 2020
Dit webinar wordt opgenomen.
2. Welkom
Thijs Kinkhorst, technisch productmanager
SURFconext
Algemene introductie: wat is SURFconext en hoe
werkt het?
Veel ruimte voor jullie vragen. Stel ze in de chat!
2
4. SURFconext = inloggen
SURFconext regelt de authenticatie voor meer dan
1200 clouddiensten
Voor 1 miljoen gebruikers van 200 aangesloten
instellingen
4
6. Service Providers
Aangesloten clouddiensten noemen we Service
Providers of SP’s.
Zijn meestal webapplicaties, maar kunnen ook
mobiele apps zijn.
Van elektronische leeromgeving tot uitgevers en van
grote platforms tot kleine specialistische
onderzoeksapplicaties.
6
7. Identity Providers
Op SURF aangesloten instelling beheert de gegevens
van zijn eigen gebruikers: de Identity Provider.
Technisch koppelvlak met SURFconext. Meest
gebruikt: MS ADFS, Azure AD, NetIQ,
SimpleSAMLphp.
De plek waar gebruikers inloggen
Geeft over gebruiker attributen vrij, afkomstig uit
interne directory
7
8. Waarom?
Veilig: wachtwoord alleen bekend bij de instelling,
centrale controle over geautoriseerde gebruikers.
Gemak: herkenbare ervaring voor gebruiker, single
sign on.
Efficiënt: één koppeling om 1200 diensten te
ontsluiten.
Open: open standaarden, geen vendor lock in.
8
14. De inlogflow
Gebruiker klikt op “login” bij de SP.
Wordt doorverwezen naar SURFconext, die vraagt
aan welke instelling ze werkt of studeert (“Where
are you from?”).
Ze komt op IdP van eigen instelling, geeft haar
wachtwoord in, attributen worden vrijgegeven aan
SURFconext.
SURFconext filtert attributen en geeft die door aan
de SP. Ze is ingelogd.
14
15. Techniek
We gebruiken het SAML 2.0-protocol.
XML-berichten worden uitgewisseld via HTTP,
uitsluitend in de browser van de gebruiker.
De berichten zijn ondertekend zodat de gebruiker ze
niet kan beïnvloeden.
Service Providers kunnen ook kiezen voor het
OpenID Connect-protocol.
15
17. Attributen
Een attribuut zegt iets over de gebruiker:
Naam, gebruikersnaam, e-mailadres, rollen en
rechten…
Identity Provider is de autoriteit voor de waarden en
staat in voor de validiteit.
SURFconext filtert en pseudonymiseert, en Service
Provider ontvangt uitsluitend minimaal benodigde
informatie.
17
19. Attributen
Attributenschema bepaalt welke attributen bestaan en hun
semantiek
Voor- en achternaam
E-mailadres
Identifiers: uid, eduPersonPrincipalName, NameID
Affiliation (betrekking): employee, student, affiliate
Entitlement (recht): surfdrive-gebruiker, common-lib-
terms
Home Organization: domeinnaam van de instelling
19
20. Afspraken
Federatie bestaat uit techniek én (contractuele) afspraken
Welke identiteiten zijn er, en hoe betrouwbaar zijn die? Hoe ga je om met de
ontvangen gegevens?
Identity provider (vastgelegd in bijlage IX SURFnet-overeenkomst):
Eisen identiteiten: natuurlijke persoon, medewerker of student
Juiste vulling attributen
Afdoende beveiliging en procedures
Serviceprovider:
Verantwoorde omgang met ontvangen gegevens
Vastgelegd in aansluitovereenkomst (of bijlage IX voor SURFnet-instellingen)
20
21. SURFconext-verantwoordelijke en Dashboard
SURFconext-verantwoordelijke: rol bij de instelling
die kan beslissen over de SURFconext-koppeling.
Service Provider wordt pas gekoppeld aan Identity
Provider na expliciet akkoord van de SURFconext-
verantwoordelijke.
Dit kan gegeven worden via het SURFconext IdP
Dashboard.
21
23. Extra functionaliteit
Sterke, multi-factorauthenticatie
SURFconext Teams
Autorisatieregels
Internationaal samenwerken in eduGAIN
23
24. Sterke authenticatie
In basis is de inlog bij de Identity Provider vaak
alleen met gebruikersnaam en wachtwoord.
SURFconext biedt mogelijkheden voor multi-factor
authenticatie.
Sterke authenticatie as a service: SURFsecureID.
Geen wijzigingen aan IdP nodig. Ondersteuning
diverse soorten tokens.
Aanroepen van eigen MFA van de instelling voor
specifieke diensten.
24
25. SURFconext Teams
SURFconext Teams: ad-hoc groepen aanmaken en
beheren
Tijdens het inloggen kan Service Provider bij
SURFconext de groepen van een gebruiker
opvragen.
Koppelen instellings-groepsprovider.
25
27. Autorisatieregels
Koppelen van een dienst betekent dat je gebruikers
kunnen inloggen.
Autoriseren gebeurt in de regel op de Service
Provider, maar dit is niet altijd flexibel genoeg.
Met SURFconext autorisatieregels kan de instelling
zelf policies toepassen voor bepaalde diensten,
bijvoorbeeld alleen voor medewerkers.
27
28. eduGAIN
Veel meer landen hebben hun eigen “SURFconext”
EduGAIN interfederatie: koppeling van federaties
2000 diensten beschikbaar
Voor IdP geen verschil met andere Service Providers
Verschillen in techniek en aansluitvoorwaarden
Dienst kan via SURFconext mondiaal ter beschikking
worden gesteld.
28