Vier mensen aan een ronde tafel met laptops en presentatiescherm
Terugblik

SURF Identity & Access Unconference

Op 15 oktober 2024 kwamen zo’n 85 IAM-specialisten bij elkaar op de allereerste SURF Identity & Access Unconference. Deelnemers mochten zelf ter plekke ideeën voor sessies aandragen – de basis van Unconference-bijeenkomsten - en dat hebben we geweten! Omdat we maar één dag hadden en niet de hele week, werden de onderwerpen geclusterd tot drie rondes met in totaal dertien sessies.

Het programma zag er uiteindelijk zo uit:

Ronde Onderwerp
11.15 - 12.00 uur
  • SURFconext of Azure of eigen IdP koppelen met SC?
  • eduID, anticiperen op, Citizen science, wie levert support?
  • Rollenbeheer, RBAC
  • IAM-aanbesteding
13.00 - 13.45 uur
  • Derden, alumni, gastaccounts
  • SIEM, eduID en toegang tot onderzoeks-netwerken
  • Non-human identities
  • Betrouwbaarheid eduID
  • Passwordless inloggen
14.00 - 14.45 uur
  • eduID voor studenten
  • MBO & IAM
  • SSI, bijv. met SRAM
  • IAM governance

Drie onderwerpen uitgelicht 

In deze terugblik lichten we drie onderwerpen uit: ‘Hoe richt je IAM-governance in?’, ‘Hoe blijf je als instelling in control?’ en ‘eduID: wat is het precies en hoe betrouwbaar is deze onderwijsidentiteit?’ 

Hoe richt je IAM-governance in? 

Binnen dit onderwerp waren de belangrijkste vragen: wie is eigenaar van de accounts van een instelling en wie bepaalt welke rechten iemand krijgt? De afdeling IAM-beheer regelt het technisch in, maar dat betekent niet dat zij daarmee ook overal eigenaar van zijn. Veel instellingen deelden hun ervaringen: van het zoeken van stakeholders buiten de ict-afdeling en het afstemmen van processen op de business, tot het plotten van processen op de HOSA. Een belangrijke tip was het samenwerken met de FG en de security officer, maar een ‘holy grail’ werd door de aanwezigen nog niet gevonden. 

Hoe blijf je als instelling soeverein?

Binnen dit onderwerp stond het gebruik van SURF-diensten versus Microsoftdiensten centraal. De discussie draaide om de afwegingen tussen het gebruik van de federatieve oplossing SURFconext en big tech-oplossingen, in het bijzonder EntraID van Microsoft aangezien veel instellingen gebruikmaken van Office 365. Het ideale toekomstbeeld is om één primaire identiteit voor studenten te hebben. De langetermijnvisie omvat het afstappen van ADFS, het verbeteren van MFA-uitrol en het vereenvoudigen van toegangs- en identitymanagement, met als doel om de afhankelijkheid van grote techbedrijven te verminderen.  

Een ander onderwerp dat hiermee samenhangt zijn aanbestedingen binnen de IAM-dienstverlening. Het blijkt waardevol om een externe expert hiervoor in te huren om überhaupt reacties uit de markt te krijgen. Het antwoord op de vraag welke rol SURF in aanbestedingen kan spelen was dat het initiatief voor een aanbesteding vanuit de instellingen moet komen. SURF kan vervolgens het proces begeleiden.  

eduID: wat is het en is het betrouwbaar? 

In veel sessies was eduID onderwerp van gesprek. Van het regelen en beheren van rollen voor verschillende externe groepen (gastdocenten, alumni, pre-schoolstudenten) met eduID (SURFconext Invite) en eduID voor studenten, tot de vraag of eduID een betrouwbare identiteit is. De conclusie was dat het proces van verificatie en enrollment per instelling verschilt. 

Daarnaast kwam aan bod hoe instellingen tot diverse niveaus van betrouwbaarheid komen voor zowel de identiteit als de authenticatie. Level of Assurances (LoA) zijn immers niet waterdicht en 100 procent garantie is niet mogelijk; de drempel voor mogelijk misbruik of fouten in processen moet dus zo hoog mogelijk zijn. Om instellingen hierbij te ondersteunen gaat SURF meer inzicht geven in de mogelijkheden van eduID en de betrouwbaarheid ervan. Daarvoor is echter feedback vanuit instellingen noodzakelijk om te bepalen hoe huidige niveaus voldoen en waar eduID verbeterd kan worden. 

Wil je weten wat eduID voor jouw instelling kan betekenen, neem dan contact op met Sander Baas, sander.baas@surf.nl 

Hoe verder? Geef vervolg aan deze Unconference!

Het was duidelijk dat één dag te kort was om alle onderwerpen te bespreken of oplossingen te vinden voor gemeenschappelijke uitdagingen. Daarom roepen we jullie op om jullie gezamenlijke kennis verder te delen en - samen met collega’s van andere instellingen - vervolg te geven aan de onderwerpen van de Unconference! Wil je hieraan bijdragen, meld je dan bij Arnout Terpstra, arnout.terpstra@surf.nl. Hij zal alle geïnteresseerden met elkaar in contact brengen. 

Dit artikel is relevant tot