Best practice: Met SURFconext Autorisatieregels grip houden op wie er van online diensten gebruikmaakt
De Universiteit Maastricht gebruikt SURFconext Autorisatieregels om fijnmazig de toegang tot een aantal online diensten te organiseren. Autorisatieregels maken het onder meer mogelijk om alleen bepaalde groepen studenten toe te laten tot een service en zo bijvoorbeeld de voorwaarden van een licentie niet te overtreden.
Jules Silvertand - UM
Sinds 2018 gebruikt de Universiteit Maastricht (UM) SURFconext Autorisatieregels om de toegang tot een aantal online diensten te beperken. De UM zet autorisatieregels in voor edu.nl, Gartner en OCLC (online computer library centre). Dat doen ze in de eerste plaats uit veiligheidsoverwegingen. 'We willen grip hebben op wie er van de diensten gebruik kan maken,' zegt Jules Silvertand. Hij is werkzaam bij de afdeling systemen en verantwoordelijk voor SURFconext binnen de instelling.
Differentiatie mogelijk met SURFconext Autorisatieregels
Elke serviceprovider ontvangt normaal gesproken een set claims (ook wel attributen genoemd), informatie over de gebruiker die wil inloggen. Daarin staat bijvoorbeeld of het om een student gaat of een medewerker, en bij welke afdeling de medewerker werkt. Maar voor de UM is voor sommige diensten meer differentiatie nodig. 'Binnen een groep gebruikers willen we maar een kleine deel toegang kunnen geven en dat kan niet altijd op basis van standaard claims die worden meegestuurd,' zegt Silvertand. 'Je kunt niet aan de serviceproviders vragen om meer onderscheid te maken, want daarvoor moeten ze allerlei aanpassingen doen voor één instelling. Silvertand legde SURFconext-support de vraag voor hoe ze bij de UM voor meer differentiatie kunnen zorgen. Ze waren aangenaam verrast door het antwoord. 'Ik denk dat veel instellingen zich er niet van bewust zijn dat dit een goede oplossing is. Dat waren wij ook niet. Er ging een wereld voor ons open.'
'Ik denk dat veel instellingen zich er niet van bewust zijn dat SURFconext Autorisatieregels een goede oplossing is. Dat waren wij ook niet. Er ging een wereld voor ons open.'
Alles of niets
Voorheen was het alles of niets. De url-verkortingsdienst edu.nl werd bijvoorbeeld op zo'n manier aangeboden dat alle medewerkers en studenten van de UM ervan gebruik konden maken. Dat vond de instelling riskant met het oog op misbruik van de dienst. Met SURFconext Autorisatieregels is het mogelijk om alleen een bepaalde groep toegang te geven. Silvertand legt uit hoe: 'Binnen de centrale account-database van de UM bevinden verschillende typen medewerkers en studenten zich in verschillende security-groepen. We hebben een autorisatieregel aangemaakt en die gekoppeld aan een security-groep. Aan die groep voegen we handmatig mensen toe, zodat wij zelf kunnen controleren en bepalen wie gebruikmaakt van de dienst.' Het gaat om 15 tot 20 gebruikers.
'Het is voor ons heel makkelijk dat je toegang gewoon zelf bij SURF kunt regelen'
Met autorisatieregels voldoen aan bepaalde licentie-voorwaarden
Autorisatieregels helpen de UM ook om bijvoorbeeld te kunnen voldoen aan de voorwaarden van bepaalde soorten licenties. 'Gartner is heel strikt met autorisatie,' zegt Silvertand. 'Alumni mogen bijvoorbeeld geen toegang krijgen, net als mensen die alleen een training bij ons volgen. Met de claims die werden meegestuurd, konden we dat onderscheid niet goed genoeg maken, want daarin was iedereen 'student' of niet. Met behulp van autorisatieregels kunnen we wèl aan de voorwaarden van de licenties voldoen.'
Met één klik autorisatie voor hele groep regelen
De verschillende typen studenten bevinden zich in verschillende security-groepen in de centrale database. Op basis van dat groepslidmaatschap bepalen Silvertand en zijn collega's wie mag inloggen en wie niet. 'Bij één van de regels geven we dus de groepsinformatie in onze eigen systemen via een claim door aan SURFconext. In een autorisatieregel geven we vervolgens aan met welke waarde voor die claim iemand door mag of niet. Met één klik is de autorisatie voor een hele groep geregeld.' Het opstellen van een autorisatieregel vindt hij eenvoudig. 'Je hebt een beetje technische kennis nodig van ADFS en SURFconext. Verder is het een kwestie van goed de handleiding lezen. Het is voor ons heel makkelijk dat je het gewoon zelf bij SURF kunt regelen.'
Ook een autorisatieregel toepassen?
Kijk op de wiki voor meer (technische) informatie: