“Wat ons erg aanspreekt in SURFconext
Autorisatieregels is dat wij de controle hebben.”
Best practice: SURFconext Autorisatieregels bij Aventus
In 2016 introduceerde SURF een nieuwe functionaliteit in SURFconext: SURFconext Autorisatieregels. Hiermee kunnen instellingen zelf bepalen of iedereen, of alleen een bepaalde groep toegang krijgt tot een aangesloten dienst.
Inloggen in oude omgeving kost geld
Boer: “Aventus heeft in schooljaar 2015/2016 een nieuwe ELO geïntroduceerd. Daarnaast gebruiken we nog de oude ELO, zodat we per opleiding kunnen overstappen van de oude naar de nieuwe ELO. Uiteindelijk moet iedereen in de nieuwe omgeving werken. Nu zagen we dat veel gebruikers bij opleidingen die al overgestapt waren, (ook) nog op de oude omgeving inlogden. Ze waren dat gewend of ze hadden daar nog gegevens staan. Op zich niet zo’n probleem, zou je zeggen, maar het leidde wel tot extra kosten. Dat zagen we pas achteraf op de factuur, omdat accounts in de oude omgeving automatisch worden aangemaakt zodra een gebruiker zich aanmeldt.
Alleen bevoegde gebruikers toelaten met SURFconext Autorisatieregels
De leverancier van de oude ELO gaf aan dat hij geen autorisatie kon regelen binnen de applicatie, om ervoor te zorgen dat gebruikers die niet meer mogen inloggen, dat ook niet kunnen. Gelukkig bleek dat wel te kunnen met SURFconext Autorisatieregels.” Hoe werkt dit technisch? Zodra een student in ons SIS wordt aangemaakt wordt er via het identitymanagementsysteem van Aventus automatisch een account aangemaakt in de Active Directory (AD). De student wordt dan automatisch toegevoegd aan de juiste ADgroepen, zodat hij toegang heeft tot de zaken die nodig zijn voor zijn opleiding. In ADFS is ingesteld dat als iemand lid is van een groep, het attribuut eduPersonEntitlement moet worden gevuld met een bepaalde waarde. De autorisatieregel die Aventus voor de oude ELO in SURFconext heeft aangemaakt, leest die waarde uit en toont een zelf in te vullen boodschap aan studenten die geen toegang meer mogen krijgen. In deze boodschap worden ze naar de nieuwe ELO verwezen.
Instelling heeft de controle
Boer: “Wat ons erg aanspreekt in SURFconext Autorisatieregels is dat wij de controle hebben: we zijn niet afhankelijk van leveranciers voor toegangverlening tot applicaties. Een ander voordeel is dat we de autorisatie met onze inrichting heel dynamisch kunnen sturen: zodra iemand start bij een opleiding, wordt hij toegevoegd in de juiste groep en de ingestelde autorisatieregels regelen dan dat hij wel of niet bij een bepaalde clouddienst kan. We verwachten in de komende tijd meer applicaties via
SURFconext te gaan ontsluiten, en daar zitten vast ook nog kandidaten bij waar we SURFconext Autorisatieregels goed voor kunnen gebruiken. Zo bekijken we nu of we een autorisatieregel willen toevoegen die toegang tot de HRMapplicatie extra afschermt”.
Wens: meldingen nog meer op maat
Boer is tevreden met de nieuwe functionaliteit van SURFconext, maar hij heeft nog wel een wens: “Sommige gebruikers bellen onze helpdesk omdat de melding die ze te zien krijgen als ze niet kunnen inloggen, geen logo van onze instelling bevat. Ik zou het fijn vinden als we dat zelf kunnen toevoegen. En het zou ook mooi zijn als je aanklikbare URL’s in de melding kunt opnemen of mensen na een in te stellen tijd automatisch naar een andere pagina kunt doorverwijzen”.
Meer informatie
Heb je vragen over hoe Aventus SURFconext Autorisatieregels toepast, dan kun je contact opnemen met Hendri Boer via +31 88 283 60 63 en h.boer@aventus.nl Voor algemene vragen over de functionaliteit neem je contact op met Raoul Teeuwen van SURF, via raoul.teeuwen@surf.nl