What’s next @ SURFconext

Een heerlijk zonnetje. Bijna 100 belangstellenden in een oud theater en een ontbijtje voor de nieuwkomers. De dag kan bijna niet beter beginnen tijdens de jaarlijkse conferentie voor iedereen die verantwoordelijk is voor SURFconext. Editie 2019 van Whats Next @ SURFconext kan beginnen.

Ontbijt

Thijs Kinkhorst trapt af met een ontbijtsessie. De ruim 20 gasten die nog niet heel bekend zijn met SURFconext, worden met koffie en een croissantje in 3 kwartier bijgepraat: wat is SURFconext, wat zijn IdP’s en SP’s, wat zijn attributen en hoe kun je internationale studenten toch laten inloggen. Voor de deelnemers nog even haasten om op tijd te komen in de plenaire zaal. Om 10 uur start hier het reguliere programma: Erwin Bleumink, bestuurder van SURF, trapt af met een verhaal over verbinden en samenwerken.

Samen aanjagen van vernieuwing

In zijn opening vertelt Erwin dat SURFconext steeds belangrijker wordt bij instellingen. De afgelopen jaren is het gebruik van SURFconext sterk gegroeid, naar nu wel 5 logins per seconde. Maar met deze groei komt ook een afhankelijkheid: we kunnen niet meer zonder. Gebruikers verwachten daarnaast dat diensten op elke plek, apparaat-onafhankelijk worden aangeboden.

Steeds meer diensten maken gebruik van SURFconext. Hoe ga je dan om met veiligheidsrisico’s, privacy en wet- en regelgeving? Deze en andere ontwikkelingen hebben ons geïnspireerd, om samen met de instellingen, nieuwe diensten zoals SURFsecureID te ontwikkelen. Ook ziet Erwin een verandering in het ‘identity-landschap’; vertrouwen begint bij uitgifte en controle. Een door jezelf aangemaakt Google of Microsoft-id heeft een andere vertrouwenswaarde dan mijn paspoort. Sms’jes worden minder betrouwbaar als 2e factor en op wachtwoordgebied zijn nieuwe ontwikkelingen. Moet het team van SURFsecureID ‘iets met vetting op afstand’ en moeten updates in systemen eigenlijk ongemerkt kunnen verlopen. Niets nieuws volgens Erwin, want met nieuwe ontwikkelingen houdt het SURFconext-team zich al jaren bezig.

Op het gebied van onderwijs en onderzoek werkt het team ook hard aan vernieuwing. Zo onderzoekt het SURFconext-team of het mogelijk is om een online identiteit te creëren die specifiek is voor onderwijs: het eduID. Het team onderzoekt samen met instellingen, de overheid en koepels, hoe dit eduID eruit moet zien en hoe het de mobiliteit van studenten en ‘een leven lang leren’ kan ondersteunen.

Onderzoekers hebben ook de aandacht van het team. Onder de noemer Science Collaboration Zone werken SURF en een aantal instellingen samen in een pilot. Ze onderzoeken of er een goede oplossing voor autorisatie en authenticatie kan komen, specifiek voor het onderzoek.

De ontwikkelingen van de afgelopen jaren waren niet mogelijk zonder de samenwerking die SURF heeft met de instellingen en hij nodigde instellingen uit om ook in de toekomst zo actief te blijven, want samen jagen we vernieuwing aan.

What happened @ SURFconext?

Femke Morsch, teamleider van het SURFconext-team, gaf daarna een kijkje achter de schermen, en stond ook stil bij het nu van SURFconext. In 2018 had SURFconext bijvoorbeeld bijna anderhalf miljoen unieke gebruikers, die bij elkaar meer dan 118 miljoen keer via SURFconext inlogden. Ook sluiten steeds meer diensten zich aan: eind vorig jaar stond de teller op 970 aangesloten diensten.

Maar er waren het afgelopen jaar ook uitdagingen. Eind oktober kwam de dienst twee keer onder een flinke DDoS-aanval te liggen. Hierdoor werd de dienst instabiel en was inloggen lastig. Door de hulp van SURFcert werden er snel maatregelen genomen en wordt de dienst in de toekomst beter beschermd. We hebben veel van deze aanvallen geleerd; kennis die we een volgende keer goed kunnen gebruiken.

Het afgelopen jaar hebben we ook een begin gemaakt met het anders uitvoeren van updates. Tot nu toe werden deze updates (meer dan 30 in 2018) steeds tijdens het reguliere onderhoudswindow gedaan, van 5 uur tot 7 uur ’s morgens. Niet handig, en ook niet nodig. Het team experimenteert nu met rolling updates, waarbij nieuwe software geleidelijk wordt geïmplementeerd, totdat iedereen de nieuwe versie probleemloos kan gebruiken. Een andere, minder zichtbare, vernieuwing is de aanpassingen van SURFconext Manage, ‘het administratieve hart’ van SURFconext. Femke vertelt dat de functionaliteit hiervan aangepast is en behoorlijk is uitgebreid.

Tot slot vertelt Femke dat in 2018 SURFconext, en de open source variant OpenConext, zijn geaudit. Uit deze audit kwam naar voren dat de software goed in elkaar zit: er kwamen geen aandachtspunten naar voren.

Femke sluit af met een oproep om vooral het team aan te blijven spreken. De feedback die het SURFconext team krijgt is heel belangrijk om te blijven bouwen aan een sterke dienst!

 

eduID en eduBadges

Peter Clijsters vertelt over eduID, een project dat nog in de vroege innovatiefase bij SURF zit. Door toename in flexibilisering, studentenmobiliteit en samenwerkende onderwijsinstellingen moeten steeds meer gegevens over studenten tussen instellingen worden gedeeld. Dit is nu vaak nog handwerk en veroorzaakt een flinke administratieve last. Met eduID wil SURF een voorziening optuigen waarin de student centraal staat en regie heeft over de uitwisseling van zijn gegevens. EduID kan zo de basis identiteit leveren voor allerlei processen tussen instellingen, en op termijn binnen de instelling zelf.

Foto van een presentatie met publiek
Peter Clijsters over eduID

Peter denkt dat in 2019 de architectuur van eduID vormgegeven moet worden, waarbij er natuurlijk extra aandacht is voor privacy. Daarnaast wordt eduID al in de praktijk beproefd in een gezamelijke pilot met eduBadges waaraan ongeveer 15 instellingen meedoen. Gezien de fase waarin het eduID-project zit, is er nog veel ruimte om mee te denken over de uiteindelijke vorm van eduID. Ook is het eduID-team op zoek naar pilots waarbij met één of enkele instellingen de eerste praktijkervaringen met eduID kunnen worden opgedaan. Als je hieraan mee wilt werken of als je een goed pilot idee hebt, neem dan contact op met Peter Clijsters via emailadres peter.clijsters@surfnet.nl.

 

SURFsecureID Update

Peter Clijsters, product manager van SURFsecureID, geeft een overzicht van de dienst. De cijfers over 2018 laten een flinke groei zien, en de dienst wordt ook steeds door meer instellingen afgenomen. Hierna kijkt Peter vooral vooruit. Voor het aankomende jaar is remote vetting, het beoordelen van iemands identiteit op afstand, belangrijk. Hiervoor kunnen bestaande authenticatie-methoden iDIN en IRMA worden gebruikt, of je kunt gebruik maken van een paspoort scan via NFC. InnoValor zal in mei een rapport opleveren over welke van deze middelen het meest geschikt zijn. Deze worden hierna verder ontwikkeld in een Proof of concept. Peter roept hierbij ook instellingen op die aan een eventuele pilot willen deelnemen. Hiervoor kun je direct contact met hem opnemen via emailadres peter.clijsters@surfnet.nl. Verder staan ook de aanroep van SURFsecureID vanuit SURFconext op de vernieuwingsagenda, wordt Microsofts Azure MFA als token aan de dienst gekoppeld en staat FIDO2 & Webauthn op de agenda.

 

Gasttoegang

Na de lunch presenteert Arnout Terpstra de resultaten van een onderzoek naar gastgebruik onder instellingen. Het onderzoek is gehouden na een eerdere discussie op de SCIPR-maillijst. Het doel van dit onderzoek: horen hoe SURF het nog beter zou kunnen doen, en inzicht krijgen welk soort gastgebruik er binnen instellingen is. De resultaten van het onderzoek worden binnenkort bekend, maar What’s next @ SURFconext was het moment om de voorlopige conclusies te toetsen. In de presentatie staan de belangrijkste soorten gastgebruik. Je kunt uit de eerste resultaten concluderen dat gastgebruik zeer divers wordt ingezet. Er is vaak geen eenduidig bronsysteem en dat zorgt bij veel instellingen voor veel handwerk. Mogelijke oplossingsrichtingen kunnen zijn:

 

  1. Probeer niet alles in 1 keer op te lossen.
  2. Meer selfservice.
  3. Eén bronsysteem voor gasten.
  4. Federeer waar mogelijk.

Zodra het rapport definitief is, schrijven we over dit onderwerp een blog.

Heb je zelf trouwens nog een betere naam voor ‘gastgebruik’? Arnout Terpstra hoort het graag van je via emailadres arnout.terpstra@surfnet.nl!

 

IdP- en SP-dashboards

Om inzicht te hebben en te houden heeft SURF twee verschillende dashboards voor SURFconext: het SP-dashboard voor dienstaanbieders, en het IdP-dashboard voor identity-providers. Het laatste dashboard, het IdP-dashboard, wordt door instellingen primair gebruikt om diensten te koppelen voor hun instelling. In 2019 is dit dashboard vernieuwd. Zo zijn de statistieken vernieuwd, heb je nu meer keuze in wel/niet of soort consent-vraag, kun je zien welke aanvragen er open staan, kun je nog meer gegevens over je eigen instelling direct zelf aanpassen, worden binnenkort alle eduGAIN-diensten zichtbaar en is er AVG-gerelateerde informatie opgenomen over de diensten.

 

Naast het IdP-dashboard voor instellingen, is ook het SP-dashboard verder ontwikkeld. Dit dashboard wordt voor dienstenleveranciers gebruikt. Het zorgt dat een dienstaanbieder heel veel zelf kan doen in/van het aansluitproces, waardoor dat sneller verloopt. Teun Fransen vertelt dat zowel SAML- als OIDC-entiteiten in het dashboard kunnen worden geregistreerd. De informatie die in het IdP-dashboard te zien is over AVG-gerelateerde zaken, kan een SP hier invullen. Door een donutvorm te gebruiken, kunnen dienstenaanbieders snel zien of ze alle informatie voor de dienst al hebben ingevuld.

Van allebei de dashboards worden de functionaliteiten ook de komende tijd verder ontwikkeld.

 

Web authentication

Joost van Dijk vertelt over FIDO2-tokens. Dit zijn hulpmiddelen om veilig inloggen mogelijk te maken, bijvoorbeeld als een 2e factor authenticatie. Sommige FIDO2-tokens gebruik je in een usb-poort en zien er hetzelfde uit als een yubikey, maar dat zijn ze zeker niet. Ze kunnen ook gebruik maken van NFC of Bluetooth in plaats van usb, bijvoorbeeld in daarvoor geschikte mobiele telefoons. FIDO2 is de nieuwe standaard voor veilig inloggen, en wordt inmiddels door bijna alle browsers ondersteund, dankzij het World Wide Web Consortium (W3C), dé organisatie die de webstandaarden van het wereldwijde web ontwerpt.

Joost zegt dat deze nieuwe tokens veel kunnen betekenen. Hij stelt dat het een privacy-vriendelijke manier is om jezelf, of je organisatie te beschermen tegen phishing.

Bekijk de presentatie van Joost.

‘Toegang as a Service’ voor samenwerkende onderzoekers

Raoul Teeuwen verzorgde een hands-on workshop Science collaboration zone (SCZ). Omdat er ook enkele mensen in de zaal zaten die nog niet wisten wat SCZ was, deed Raoul dat in vogelvlu(G)cht uit de doeken, om genoeg tijd over te houden voor de workshop. Voor nieuwelingen in de zaal vast wel even slikken.

Er werd uitgelegd dat een onderdeel van de SCZ een Membership Management Service (MMS) was: een onderzoeker kan daarmee andere onderzoekers uitnodigen en toegang geven tot datasets etc. SCZ heeft momenteel twee ‘smaken’: CO-manage en SBS. In de workshop werd SBS gebruikt als MMS. In koppels, 1 co-admin, 1 member, gingen toegang tot nextcloud regelen. Ik moet zeggen, een ruimte vol toegang-en-rechten-verdelen-pogende deelnemers en 1 instructeur, dat had erger kunnen uitpakken. Uiteindelijk lukte het iedereen binnen de tijd, en dat zegt wat over de gebruiksvriendelijkheid van het systeem.

Mensen met interesse kunnen op het workshop-script op een eigen werkplek doorlopen.

Praktijkvoorbeeld: in een kwartier is alles geregeld

Merijn van de Schoot was de afsluiter van What’s next @ SURFconext. Hij kwam vertellen over zijn praktijkvoorbeeld binnen de Onderwijsgroep Tilburg. Binnen een kwartier na aanmelding kunnen nieuwe medewerkers fysiek en op IT-gebied overal bij waarvoor ze toestemming hebben. Door verschillende systemen slim aan elkaar te koppelen, heeft de onderwijsgroep ervoor gezorgd dat processen veel soepeler verlopen, en er steeds minder handmatige controle nodig is. Merijn vertelde eerst over hun pogingen om zelf een systeem te bouwen, want ze waren toch heel bijzonder? Uiteindelijk zijn ze toch overstapt op een bestaand systeem, want zo uitzonderlijk was de onderwijsgroep toch niet.

Ze stelden zichzelf vragen als: “Wat willen onze gasten?” “Waarom registreren we eigenlijk?”. De antwoorden op deze vragen gaven een goede strekking van welke service ze wilden leveren en hoe alles slim gekoppeld kon worden. Een systeem dat met recht gebruikt kan worden als (leer)voorbeeld. Dus ben je benieuwd naar hoe ze bij deze instelling dit zo goed hebben geregeld, neem dan gerust even contact op met Merijn via emailadres mvdschoot@onderwijsgroeptilburg.nl!

 

Het was een interessante, coöperatieve en interactieve dag, prachtige locatie en heerlijk weer. Allemaal ingrediënten voor een event dat voor herhaling vatbaar is!

Auteur

Reacties

Dit artikel heeft 0 reacties