De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

SURFconext & autorisatie Inventarisatie van problemen en wensen Seminar What's SURFconext 24 maart 2015

Verwante presentaties


Presentatie over: "SURFconext & autorisatie Inventarisatie van problemen en wensen Seminar What's SURFconext 24 maart 2015"— Transcript van de presentatie:

1 SURFconext & autorisatie Inventarisatie van problemen en wensen Seminar What's SURFconext 24 maart 2015

2 Interviews UMC Utrecht KNAW Saxion Hogeschool Hogeschool Leiden Avans Hogeschool Universiteit van Amsterdam Universiteit Maastricht Open Universiteit Rijksuniversiteit Groningen

3 S S IdM AD/LDAP AD FS / AM SC SP Attributen in de keten Bron Attributen zetten obv bedrijfsregels Attributen zetten obv bedrijfsregels en schema Mapping lokale op federatieve attributen Filtering van attributen Autorisatie obv attributen

4 Organisatorische aspecten Bij aansluiten nieuwe SP zijn 4 partijen betrokken: instelling (IdP), SURFnet, SURFmarket, dienstverlener (SP) Wens dat SURFnet en SURFmarket 1 loket leveren Wens dat SURFnet meer helpt met communicatie naar SP Zou bewerkersovereenkomst tussen IdP en SP overgenomen kunnen worden door SURFmarket? Aangepast normenkader voor diensten met lage privacygevoeligheid aangeboden door instellingen zelf?

5 Instellingskant Schemawijzigingen (eduPerson) in AD soms niet gewenst Soms geen test/acceptatieomgeving, dus testen nieuwe attributen gebeurt in productie Mapping van lokale naar federatieve attributen gebeurt vaak in koppelvlak naar SC (AM, ADFS, SiSaPhp), maar dat is vaak voor vrij generieke attribu(u)t(waard)en Attributen zetten voor individuen (beheerrol) vaak lastig Best practise: voor beheerrol-achtige attributen security groep in AD maken en mappen in ADFS-config Scenario’s van UB worden slecht ondersteund (WAYF, walk-by users, privacy, deep-linking) Vaak wel een proces (via servicedesk) om vragen om (vulling) attribuut af te handelen Betere tooling (inclusief delegatie) voor zetten attributen gewenst

6 SURFconext kant Beschikbaarheid moet net zo goed als internetaansluiting Autorisatie op doorgifte attributen naar SP (bv 1 faculteit doorlaten naar SP) als SP geen entitlement ondersteunt Betere integratie SC Dashboard en Teams: 1 plek om alles te beheren Dashboard: kunnen zoeken op naam attribuut en door welke diensten dat gebruikt wordt Betere tooling gericht op het voeren van regie op de autorisaties Instellingsspecifieke foutmeldingen bij SC (zoals vroeger…) Graag centraal OAuth-koppelvlak (autorisatieserver) Koppeling DigiD via SC zou handig zijn ivm de zware audit van Logius Veel interesse in step-up authenticatie (sterkere authenticatie ook als autorisatie)

7 Aanbiederskant Meer ondersteuning voor entitlements Betere ondersteuning groepen Federatieve (de)provisioning blijft een uitdaging Aparte ingang bij SP per IdP ipv WAYF Wijzigingen in benodigde attributen bij bestaande koppeling met SP zijn lastig en eigenlijk ongewenst

8 Groepen Groot verschil tussen instellingen in gebruik groepen Vrijwel altijd in ieder geval voor KA-toepassingen (AD security groepen) Onduidelijk welke SP’s groepen ondersteunen Onderscheid rol en groep niet altijd helder (bv alle medewerkers) Teveel groepen per gebruiker levert problemen op (lengte waarde attribuut) Meer transparantie gewenst bij naamgeving groep en bijbehorende autorisatie SC uitbreiden met Grouper instantie per instelling?

9 Hoe verder? Inventarisatie leidt tot rapport Kennisoverdracht verbeteren (te beginnen vandaag !) Aparte sessies met instellingen over dit onderwerp SURFnet neemt dit mee in de roadmap voor SURFconext Disclaimer voor verwachtingsmanagement…


Download ppt "SURFconext & autorisatie Inventarisatie van problemen en wensen Seminar What's SURFconext 24 maart 2015"

Verwante presentaties


Ads door Google