Best practice: SURFconext Autorisatieregels bij Aventus

In 2016 introduceerde SURFnet een nieuwe functionaliteit in SURFconext: SURFconext  Autorisatieregels. Hiermee kunnen instellingen zelf bepalen of iedereen, of alleen een bepaalde groep toegang krijgt tot een aangesloten dienst. 

Hendri Boer, beheerder Infrastructuur bij Aventus

Inloggen in oude omgeving kost geld

Boer: “Aventus heeft in schooljaar 2015/2016 een nieuwe ELO geïntroduceerd. Daarnaast gebruiken we nog de oude ELO, zodat we per opleiding kunnen overstappen van de oude naar de nieuwe ELO. Uiteindelijk moet iedereen in de nieuwe  om geving werken. Nu zagen we dat veel gebruikers bij  opleidingen die al overgestapt waren, (ook) nog op de oude omgeving inlogden. Ze waren dat gewend of ze hadden daar nog gegevens staan. Op zich niet zo’n probleem, zou je zeggen, maar het leidde wel tot extra kosten. Dat zagen we pas achteraf op de factuur, omdat accounts in de oude omgeving automatisch worden aangemaakt zodra een gebruiker zich aanmeldt.

Alleen bevoegde gebruikers toelaten met SURFconext Autorisatieregels

De leverancier van de oude ELO gaf aan dat hij geen autorisatie kon regelen binnen de applicatie, om ervoor te zorgen dat gebruikers die niet meer mogen inloggen, dat ook niet kunnen. Gelukkig bleek dat wel te kunnen met SURFconext Autorisatieregels.” Hoe werkt dit technisch? Zodra een student in ons SIS wordt aangemaakt wordt er via het identitymanagementsysteem van Aventus automatisch een account aangemaakt in de Active Directory (AD). De student wordt dan automatisch toegevoegd aan de juiste AD­groepen, zodat hij toegang heeft tot de zaken die nodig zijn voor zijn opleiding. In ADFS is ingesteld dat als iemand lid is van een groep, het attribuut eduPersonEntitlement moet worden gevuld met een bepaalde waarde. De autorisatieregel die Aventus voor de oude ELO in SURFconext heeft aangemaakt, leest die waarde uit en toont een zelf in te vullen boodschap aan studenten die geen toegang meer mogen krijgen. In deze boodschap worden ze naar de nieuwe ELO verwezen.

“Wat ons erg aanspreekt in SURFnet
Autorisatieregels is dat wij de controle hebben.”
Hendri Boer - beheerder Infrastructuur bij Aventus

Instelling heeft de controle

Boer: “Wat ons erg aanspreekt in SURFnet Autorisatieregels is dat wij de controle hebben: we zijn niet afhankelijk van leveranciers voor toegangverlening tot applicaties. Een  ander voordeel is dat we de autorisatie met onze inrichting heel  dynamisch kunnen sturen: zodra iemand start bij een  opleiding, wordt hij toegevoegd in de juiste groep en de ingestelde autorisatieregels regelen dan dat hij wel of niet bij een bepaalde clouddienst kan. We verwachten in de komende tijd meer applicaties via
 SURFconext te gaan ontsluiten, en daar zitten vast ook nog kandidaten bij waar we SURFconext Autorisatieregels goed voor kunnen gebruiken. Zo bekijken we nu of we een autorisatieregel willen toevoegen die toegang tot de HRM­applicatie extra afschermt”.

Wens: meldingen nog meer op maat

Boer is tevreden met de nieuwe functionaliteit van SURFconext, maar hij heeft nog wel een wens: “Sommige gebruikers bellen onze helpdesk omdat de melding die ze te zien krijgen als ze niet kunnen inloggen, geen logo van onze instelling bevat. Ik zou het fijn vinden als we dat zelf kunnen toevoegen. En het zou ook mooi zijn als je aanklikbare URL’s in de melding kunt opnemen of mensen na een in te stellen tijd automatisch naar een andere pagina kunt doorverwijzen”.

Meer informatie

Heb je vragen over hoe  Aventus SURFnet Autorisatieregels  toepast, dan kun je  contact opnemen met Hendri Boer via +31 ­88 283 60 63 en h.boer@aventus.nl. Voor algemene vragen over de functionaliteit neem je contact op met  Raoul Teeuwen van SURFnet, via  raoul.teeuwen@surfnet.nl.