SURFconext voor onderzoek

Het aantal diensten dat beschikbaar is via SURFconext groeit gestaag. Met steeds meer beschikbare diensten kost het steeds meer tijd om te beoordelen of deze wel of niet opengezet moeten worden voor gebruikers van een instelling. Dit kan tot gevolg hebben dat bepaalde gebruikers, bijvoorbeeld onderzoekers, geen toegang hebben tot diensten die erg nuttig zijn voor hun onderzoekswerk. Om dit probleem zoveel mogelijk voor te zijn, kunnen instellingen het beste een beleid opstellen voor het beoordelen van toegang tot federatieve diensten. In dit blog beschrijf ik enkele stappen en oplossingen die SURF heeft of gaat uitwerken die hierbij kunnen helpen.

Onbenutte kansen voor onderzoek

In mijn vorige blog beschreef ik het verschil in gebruik van SURFconext tussen het samenwerkingsscenario en het enterprisescenario. Dit onderscheid is belangrijk, omdat er met name voor het samenwerkingsscenario nog veel onbenutte kansen liggen waar instellingen, diensten en eindgebruikers van kunnen profiteren. Om die kansen te kunnen benutten zal een instelling in het samenwerkingsscenario anders om moeten gaan met het koppelen van federatieve diensten dan in het enterprisescenario.

Samenwerkingsscenario en onderzoekers

Diensten in het enterprisescenario zijn typisch campusbrede diensten, ingekocht door en aangeboden vanuit de eigen instelling en gebruikt door vrijwel iedereen. Het samenwerkingsscenario kenmerkt zich door veel grotere aantallen diensten, die slechts door een klein deel van de voltallige gebruikerspopulatie van een instelling vaak op basis van vrije keuze wordt gebruikt (bijvoorbeeld enkele onderzoeksgroepen).

Een typische gebruiker in het samenwerkingsscenario is een onderzoeker. Hij gebruikt een breed scala aan diensten, vaak aangeboden door andere onderzoeksinstellingen of publieke organisaties zoals Europese onderzoeksconsortia. Hij gebruikt soms zeer specifieke, maar voor het uitvoeren van zijn onderzoek erg nuttige diensten die alleen interessant zijn voor gebruikers uit zijn onderzoeksveld. Hij wenst dan ook zelf zeggenschap te hebben over welke diensten hij gebruikt en wil dat toegang tot nieuwe diensten direct is geregeld.

In de praktijk is het echter de instelling die federatieve toegang tot een dienst actief moet openzetten (opt-in). Dit wordt vaak door de centrale IT-afdeling beheerd en voordat toegang wordt opengezet, moeten verschillende stakeholders binnen de instelling er een oordeel over vellen, terwijl niemand (behalve de onderzoeker zelf) weet waarvoor de dienst gebruikt zal worden. Hoe groter de instelling, hoe groter de afstand tussen deze personen en hoe langer dit proces dus kan duren. Er ontstaat dus al snel een schaalbaarheidsprobleem.

Onderscheid maken in groepen gebruikers met attributen

Om als instelling te kunnen differentiëren in het toegangsbeleid voor de op SURFconext aangesloten diensten is het belangrijk om eerst de verschillende soorten gebruikers te kunnen onderscheiden. Zo kan een ander toegangsbeleid worden gehanteerd voor verschillende soorten gebruikers (zie ook het blog ‘SURFconext-diensten beschikbaar maken voor een beperkte groep gebruikers’).

Een tweede, zeer belangrijke reden om verschillende gebruikers te onderscheiden middels attributen, is dat veel onderzoekdiensten met behulp van bijvoorbeeld (Europese) subsidies worden opgetuigd en dat de subsidieverstrekker steeds vaker eist dat de dienst toegankelijk moet zijn voor iedere wetenschapper. De dienst heeft dus een methode nodig om betrouwbaar vast te kunnen stellen dat een gebruiker een ‘wetenschapper’ is. Instellingen zijn verantwoordelijk voor het uitdelen van gebruikersaccounts en het instellen van de juiste attributen. Dergelijke diensten rekenen dus op instellingen voor het correct meesturen van de benodigde informatie.

Om aan te geven om wat voor gebruiker het gaat, kan de instelling het attribuut ‘eduPersonAffiliation’ een waarde geven. SURFnet adviseert alle gebruikersaccounts te kenmerken met een of meer van de volgende waardes:

  • ‘student’ voor studenten
  • ‘employee’ voor medewerkers
  • ‘affiliate’ voor externen (bijvoorbeeld inhuurkrachten, stagiairs)
  • ‘faculty’ voor wetenschappelijk personeel

(Zie voor meer informatie de attributenpagina van SURFconext.)

Op deze manier kunnen diensten makkelijk en betrouwbaar vaststellen met welk type gebruiker ze te maken hebben. Als voorbeeld: SURFspot gebruikt dit attribuut om studenten en medewerkers een verschillend prijsaanbod te kunnen doen.

Autorisatieregels instellen om toegang te beperken

Zodra verschillende gebruikers van elkaar te onderscheiden zijn kan een instelling differentiëren in het toegangsbeleid per verschillende groep gebruikers. Zo zou een instelling voor ‘wetenschappers’ (de groep ‘faculty’) meer en sneller diensten toegankelijk kunnen maken. Of wellicht andersom: juist toegang tot bepaalde diensten blokkeren voor een andere groep, bijvoorbeeld ‘studenten’.

Met het onlangs gelanceerde SURFconext Autorisatieregels kan een instelling zelf bepalen welke gebruikers wel en niet daadwerkelijk kunnen inloggen bij een dienst. Op deze manier blijft het risico van het openzetten van nieuwe diensten zeer beperkt (omdat alleen de beoogde doelgroep toegang heeft en kan worden verondersteld dat deze groep zich aan een aantal best practices houdt bij het gebruik van externe diensten).

Automatisch diensten beschikbaar maken met opt-out?

Iedere instelling kan in de toekomst nog een extra stap nemen om het koppelen van diensten beheersbaar te houden. De meeste onderwijs- en onderzoekfederaties, waaronder SURFconext, zijn aangesloten op eduGAIN, een internationaal samenwerkingsverband tussen federaties. Dankzij eduGAIN kunnen instellingen en diensten met elkaar koppelen zonder dat zij direct lid zijn van dezelfde nationale federatie.

Binnen eduGAIN wordt gebruik gemaakt van zogeheten ‘entity categories’, waarin diensten die een bepaald kenmerk delen worden gegroepeerd. Dit maakt het makkelijk om vooraf beleid te bepalen over een bepaalde set diensten, in tegenstelling tot het individueel beoordelen van de meer dan 1400 SP’s die eduGAIN momenteel kent.

Een handige entity categorie is ‘Research & Scholarship’. Hierin staan diensten die van toegevoegde waarde zijn voor onderwijs en onderzoek en veelal vrijelijk te gebruiken zijn (typisch bruikbaar voor een ‘wetenschapper’). Dit wordt gecontroleerd door de federatie waar de dienst lid van is. Als instelling kun je dus veilig en betrouwbaar vooraf aangeven alle diensten in deze categorie toegankelijk te maken voor (een deel van) jouw gebruikers (opt-out in plaats van opt-in).

SURFnet is voornemens om later dit jaar ondersteuning voor deze categorie in SURFconext te implementeren; op dit moment is het nog niet mogelijk hier volledig automatisch gebruik van te maken. Ben je toch geïnteresseerd? Neem dan contact op met support@surfconext.nl; we denken graag mee over een voorlopig alternatieve oplossing.

Hoe nu verder?

In deze blog staan een aantal stappen beschreven waarmee SURFnet samen met instellingen tot een schaalbaar toegangsmodel hoopt te komen. Heb je opmerkingen, ideeën, vragen of tips? Neem gerust contact op met arnout.terpstra@surfnet.nl

Auteur

Reacties

Dit artikel heeft 0 reacties