Meer ondersteuning gastgebruik in SURFconext

Het volgende artikel is oorspronkelijk gepubliceerd op SURFnet.nl, zie hier, met medewerking van InnoValor. 

Instellingen willen ook gasten, bijvoorbeeld alumni en voorinschrijvers, toegang geven tot diensten die via SURFconext zijn ontsloten. SURFnet onderzoekt zowel de technische als de beleidsvraagstukken voor instellingen om gastgebruik te faciliteren. Recentelijk presenteerde InnoValor de resultaten van een verkenning naar of, en zo ja hoe, gastgebruik verder te ondersteunen in SURFconext. Hier volgt een korte samenvatting van de bevindingen, oplossingsrichting en vervolgstappen.

Onderzoek

SURFconext wordt gebruikt door mensen die zijn verbonden aan een instelling: studenten, docenten en medewerkers. Echter, in een verscheidenheid aan gevallen is het gewenst dat gebruikers buiten de SURF-doelgroep via SURFconext toegang krijgen tot bepaalde aangesloten diensten. Dit brengt verschillende uitdagingen met zich mee. Gastgebruikers moeten als zodanig herkend kunnen worden door aangesloten diensten, een instelling wil enige zekerheid hebben over de identiteit van de gastgebruiker en binnen de huidige SURFconext federatiepolicy is gastgebruik niet expliciet opgenomen. Onderzoeksbureau InnoValor heeft daarom in opdracht van SURFnet onderzocht of, en zo ja hoe, SURFconext gastgebruik beter zou kunnen ondersteunen. Met name de use cases van voorinschrijvers, alumni, stagebegeleiders en bezoekers van de academische bibliotheken zijn hierin onderzocht.

Aangesloten dienstenaanbieders kunnen er overigens al wel voor kiezen om gastgebruikers via een social login (of apart account) toegang te geven (meestal aangeduid met de naam van de leverancier van deze applicatie; OneGini). Een nadeel is dat er met OneGini vrijwel geen identiteitsverificatie plaatsvindt en willekeurige gebruikers zo toegang kunnen krijgen tot diensten.

Tijdens de SURFacademy-bijeenkomst What’s Next @ SURFconext op 24 maart 2015 heeft InnoValor een tweetal oplossingsrichtingen gepresenteerd voor gastgebruik binnen SURFconext. De aanbevolen oplossingsrichting is om het mogelijk te maken dat instellingen accounts van niet-studenten/medewerkers mogen koppelen met SURFconext. Met andere woorden, het toelaten van gastgebruikers uit de instellingssystemen tot SURFconext, om zo toegang tot diensten te faciliteren. Een aanvullende oplossingsrichting die in een later stadium overwogen kan worden is het uitbreiden van de functionaliteit van de centrale gast-IdP van SURFconext (momenteel OneGini), zodat daar de identiteit van de gastgebruikers betrouwbaar is geverifieerd (dat is nu in de OneGini-IdP niet mogelijk).

Wat zijn de reacties van de instellingen op het onderzoek?

De aanwezige instellingen op What’s Next @ SURFconext bevestigden de gepresenteerde conclusies, maar zij gaven meer nuance aan de use cases en zien de inrichting van attributen van en autorisatie voor gastgebruikers vanuit hun IdM-systemen als belangrijke uitdaging: hoe zijn gastgebruikers binnen SURFconext te herkennen, en hoe kunnen bepaalde diensten voor gasten worden afgeschermd? Er moet bovendien nog meer duidelijkheid komen over de definitie van de typen gastgebruikers. Wanneer is iemand bijvoorbeeld precies een voorinschrijver? Een vraag die rijst is ook: in hoeverre zijn de definities in het afsprakenstelsel te standaardiseren? Dit is in verband met internationale toegang (via eduGAIN) wel belangrijk.

Hoewel het federatief ontsluiten van instellings-gastaccounts de digitale sleutelbos niet verkleint, is duidelijk dat het opnemen van alle gasten in een centrale gast-IdP ook zijn uitdagingen kent. Een vraag vanuit instellingen is of de instellingen elkaars gastgebruikers ook zouden willen toestaan voor eigen lokale applicaties. De (technische) impact voor de instellingen van het toestaan van bestaande accounts lijkt mee te vallen, mede omdat dit niet verschilt van de huidige architectuur voor studenten en medewerkers.

Conclusie

Ondersteuning van gastgebruik in SURFconext—met name voor voorinschrijvers—heeft een hoge prioriteit voor de instellingen, zo hoog dat niet kan worden gewacht op de invoering van het eID-stelsel of een andere herbruikbare identiteit van buiten de sector. Vandaar dat SURFnet verdergaat met het ontsluiten van SURFconext voor gastaccounts uit de IdM-systemen van de instellingen, conform het advies van InnoValor. In het vierde kwartaal 2015 zal in dit kader een pilot starten met een beperkt aantal instellingen waarbij instellingsaccounts van voorinschrijvers in SURFconext zullen worden toegelaten. Instellingen die zouden willen participeren in de pilot kunnen contact opnemen met Bas Zoetekouw (bas.zoetekouw@surfnet.nl).

Na de pilots zal SURFnet bepalen hoe in de loop van 2016 toegang voor voorinschrijvers voor alle instellingen mogelijk gemaakt kan worden. Tevens wordt dan nader bekeken of ook toegang voor andere groepen (met name alumni) via SURFconext wenselijk en haalbaar is.

Blog geschreven door Bas Zoetekouw en Arnout van Velzen

Leave a Reply