Visie: authenticatie en autorisatie infrastructuur

SURFconext - 1 account. Overal toegang. Veilig en vertrouwd.

Onderzoekers werken steeds meer nationaal en internationaal samen. Faciliteiten en data worden gedeeld. Denk bijvoorbeeld aan een Nederlandse onderzoeker die wil inloggen bij de faciliteiten van CERN of aan een onderzoeker die toegang wil tot een medische database.

Om te bepalen of deze onderzoeker toegang heeft tot de betreffende faciliteit of data is het belangrijk om de identiteit en rechten van een onderzoeker vast te stellen. De identiteit moet betrouwbaar zijn en tegelijkertijd de privacy waarborgen, zeker als het gaat om toegang tot interne of externe online diensten. De rechten worden veelal bepaald door de specifieke onderzoekscontext en worden bepaald op basis van attributen. 

Hiertoe is een infrastructuur ontwikkeld, SURFconext, die ook voor docenten en studenten beschikbaar is. Onderzoekers loggen in met één account en hebben via single sign-on toegang tot diensten die door nationale en internationale partners en (commerciële) aanbieders beschikbaar worden gesteld. Op basis van identiteit en rechten zorgt SURFconext voor veilige toegang tot diensten. Inmiddels zijn meer dan 170 clouddiensten aan SURFconext gekoppeld.

Dit zijn diensten op het gebied van online samenwerking, storage, video en onderzoek. Voor diensten waarin gevoelige data wordt verwerkt, zoals eHRM, applicaties met patentgevoelige onderzoeksdata of privacygevoelige patiëntinformatie, kunnen sterkere vormen van authenticatie (token, SMS, mobile app) worden gebruikt door de inzet van SURFconext Sterke Authenticatie .

Op dit moment krijgt een onderzoeker een account van de instelling waar hij of zij werkt. Dit legt vaak beperkingen op als het gaat om toegang tot diensten, omdat de instelling bepaalt bij welke diensten ingelogd mag worden met dit account. Als een onderzoeker van instelling wisselt, dan krijgt hij ook een nieuw account en dit account is vervolgens lastig te koppelen aan bijvoorbeeld eerdere publicaties.

Met een betrouwbaar persoonlijk account kan een onderzoeker tijdens zijn hele loopbaan aantonen wie hij is en is hij ook zelf meer in de lead als het gaat om de keuze van diensten die hij wil gebruiken. De instelling waar een onderzoeker werkzaam is en andere attributen (zoals onderzoeksgroep), kunnen wel gekoppeld worden aan dit persoonlijke account, maar is niet meer bepalend als het gaat om de identiteit. In de komende jaren wordt een nieuwe infrastructuur ontwikkeld, waarin persoonlijke betrouwbare accounts, verrijkt met extra attributen, gebruikt kunnen worden. Er wordt onder andere gewerkt aan de inzet van een overheidsidentiteit, koppelingen met internationale identifiers voor onderzoekers (zoals ORCID) en afspraken met nationale en internationale partijen.

Meer informatie