Instellingen willen dat hun medewerkers en studenten veilig en makkelijk kunnen inloggen op allerlei (cloud)diensten, idealiter met hun instellingsaccount. Dat kan, met gebruik van SURFconext, een dienst van SURF. Deze slides gebruikten we in nov 2020 om uit te leggen wat SURFconext is en hoe het werkt.

1. Hallo allemaal, leuk dat jullie er zijn!
We beginnen om 10 uur.
(als het goed is hoor je een muziekje)
WEBINAR
INTRODUCTIE SURFCONEXT
10 NOVEMBER 2020
Dit webinar wordt opgenomen.

2. Welkom
 Thijs Kinkhorst, technisch productmanager
SURFconext
 Algemene introductie: wat is SURFconext en hoe
werkt het?
 Veel ruimte voor jullie vragen. Stel ze in de chat!
2

3. 3

4. SURFconext = inloggen
 SURFconext regelt de authenticatie voor meer dan
1200 clouddiensten
 Voor 1 miljoen gebruikers van 200 aangesloten
instellingen
4

5. 5

6. Service Providers
 Aangesloten clouddiensten noemen we Service
Providers of SP’s.
 Zijn meestal webapplicaties, maar kunnen ook
mobiele apps zijn.
 Van elektronische leeromgeving tot uitgevers en van
grote platforms tot kleine specialistische
onderzoeksapplicaties.
6

7. Identity Providers
 Op SURF aangesloten instelling beheert de gegevens
van zijn eigen gebruikers: de Identity Provider.
 Technisch koppelvlak met SURFconext. Meest
gebruikt: MS ADFS, Azure AD, NetIQ,
SimpleSAMLphp.
 De plek waar gebruikers inloggen
 Geeft over gebruiker attributen vrij, afkomstig uit
interne directory
7

8. Waarom?
 Veilig: wachtwoord alleen bekend bij de instelling,
centrale controle over geautoriseerde gebruikers.
 Gemak: herkenbare ervaring voor gebruiker, single
sign on.
 Efficiënt: één koppeling om 1200 diensten te
ontsluiten.
 Open: open standaarden, geen vendor lock in.
8

9. 9

10. 10

11. 11

12. 12

13. 13

14. De inlogflow
 Gebruiker klikt op “login” bij de SP.
 Wordt doorverwezen naar SURFconext, die vraagt
aan welke instelling ze werkt of studeert (“Where
are you from?”).
 Ze komt op IdP van eigen instelling, geeft haar
wachtwoord in, attributen worden vrijgegeven aan
SURFconext.
 SURFconext filtert attributen en geeft die door aan
de SP. Ze is ingelogd.
14

15. Techniek
 We gebruiken het SAML 2.0-protocol.
 XML-berichten worden uitgewisseld via HTTP,
uitsluitend in de browser van de gebruiker.
 De berichten zijn ondertekend zodat de gebruiker ze
niet kan beïnvloeden.
 Service Providers kunnen ook kiezen voor het
OpenID Connect-protocol.
15

16. 16

17. Attributen
 Een attribuut zegt iets over de gebruiker:
Naam, gebruikersnaam, e-mailadres, rollen en
rechten…
 Identity Provider is de autoriteit voor de waarden en
staat in voor de validiteit.
 SURFconext filtert en pseudonymiseert, en Service
Provider ontvangt uitsluitend minimaal benodigde
informatie.
17

18. 18

19. Attributen
 Attributenschema bepaalt welke attributen bestaan en hun
semantiek
Voor- en achternaam
E-mailadres
Identifiers: uid, eduPersonPrincipalName, NameID
Affiliation (betrekking): employee, student, affiliate
Entitlement (recht): surfdrive-gebruiker, common-lib-
terms
Home Organization: domeinnaam van de instelling
19

20. Afspraken
 Federatie bestaat uit techniek én (contractuele) afspraken
 Welke identiteiten zijn er, en hoe betrouwbaar zijn die? Hoe ga je om met de
ontvangen gegevens?
 Identity provider (vastgelegd in bijlage IX SURFnet-overeenkomst):
Eisen identiteiten: natuurlijke persoon, medewerker of student
Juiste vulling attributen
Afdoende beveiliging en procedures
 Serviceprovider:
Verantwoorde omgang met ontvangen gegevens
Vastgelegd in aansluitovereenkomst (of bijlage IX voor SURFnet-instellingen)
20

21. SURFconext-verantwoordelijke en Dashboard
 SURFconext-verantwoordelijke: rol bij de instelling
die kan beslissen over de SURFconext-koppeling.
 Service Provider wordt pas gekoppeld aan Identity
Provider na expliciet akkoord van de SURFconext-
verantwoordelijke.
 Dit kan gegeven worden via het SURFconext IdP
Dashboard.
21

22. 22

23. Extra functionaliteit
 Sterke, multi-factorauthenticatie
 SURFconext Teams
 Autorisatieregels
 Internationaal samenwerken in eduGAIN
23

24. Sterke authenticatie
 In basis is de inlog bij de Identity Provider vaak
alleen met gebruikersnaam en wachtwoord.
 SURFconext biedt mogelijkheden voor multi-factor
authenticatie.
 Sterke authenticatie as a service: SURFsecureID.
Geen wijzigingen aan IdP nodig. Ondersteuning
diverse soorten tokens.
 Aanroepen van eigen MFA van de instelling voor
specifieke diensten.
24

25. SURFconext Teams
 SURFconext Teams: ad-hoc groepen aanmaken en
beheren
 Tijdens het inloggen kan Service Provider bij
SURFconext de groepen van een gebruiker
opvragen.
 Koppelen instellings-groepsprovider.
25

26. 26

27. Autorisatieregels
 Koppelen van een dienst betekent dat je gebruikers
kunnen inloggen.
 Autoriseren gebeurt in de regel op de Service
Provider, maar dit is niet altijd flexibel genoeg.
 Met SURFconext autorisatieregels kan de instelling
zelf policies toepassen voor bepaalde diensten,
bijvoorbeeld alleen voor medewerkers.
27

28. eduGAIN
 Veel meer landen hebben hun eigen “SURFconext”
 EduGAIN interfederatie: koppeling van federaties
 2000 diensten beschikbaar
 Voor IdP geen verschil met andere Service Providers
 Verschillen in techniek en aansluitvoorwaarden
 Dienst kan via SURFconext mondiaal ter beschikking
worden gesteld.
28

29. SURFconext Supportteam
E-mail: support@surfconext.nl
088-787.3000
https://support.surfconext.nl/idp
Meer vragen?
29