Implementatiekosten en baten van SURFconext Versie: 0.5 Datum: 06/06/2013 Door: Peter Clijsters Dit document geeft een antwoord op de vraag hoeveel een aansluiting op SURFconext kost. Introductie............................................................................................................. 1 Overzicht soorten diensten .................................................................................... 1 Kosten schatting .................................................................................................... 2 Benodigde expertise .............................................................................................. 3 Baten van SURFconext ........................................................................................... 4
Introductie Allereerst is hierbij van belang een “aansluiting op SURFconext” goed af te bakenen. Aansluiten op SURFconext kan als Identity Provider (IDP) of als Service Provider (SP). De IDP’s zijn instellingen die de identiteiten van hun studenten en medewerkers aan SURFconext aanbieden. Het aantal instellingen is beperkt en de meeste hebben zo’n aansluiting al gerealiseerd waardoor een kostenschatting van een IDP aansluiting minder relevant is. Als we het hier dus hebben over de implementatiekosten van een SURFconext aansluiting dan bedoelen we een SP aansluiting. Dus; hoeveel kost het om een dienst of applicatie via SURFconext beschikbaar te maken?
Overzicht soorten diensten De kosten van aansluiten zijn erg afhankelijk van het soort dienst of applicatie die aangesloten wordt. Hier wordt onderscheid gemaakt tussen drie typen: 1) Cloud dienst zoals Google Apps, Box.net, WebEx, SAP Streamworks, Yammer. Het aansluiten voor SSO betreft hier vaak niet meer dan het juist configureren van de dienst via een administratie interface. Daarnaast is meestal ook provisioning van gebruikers noodzakelijk wat een grotere inspanning vereist. 2) Third party software zoals Confluence, Jira, Liferay, Alfresco, Sharepoint. Dit is software die door de SP zelf wordt gehost. Een aantal van deze software pakketten is al eerder aan SURFconext gekoppeld en daarbij is documentatie en (indien nodig) een plugin gemaakt. Mocht dit niet het geval zijn dan zal de SP zelf zorg moeten dragen voor de benodigde aanpassingen. Of dit überhaupt mogelijk is en hoe is afhankelijk van de aanwezige handvatten in de software. Denk hierbij aan de
beschikbaarheid van de broncode (OpenSource), de mogelijkheid van plug-‐ins of de aanwezigheid van een API. 3) Zelfbouw applicatie. Denk hierbij aan PHP, Java of .Net applicaties. SURFconext heeft een aantal voorbeelden gedocumenteerd over hoe een dergelijke SP aan SURFconext gekoppeld kan worden.
Verder zijn de kosten nog afhankelijk van de SURFconext functionaliteit die gebruikt wordt. Federatieve authenticatie is voor SURFconext noodzakelijk waarbij in de regel ook gebruikersaccounts aangemaakt moeten worden (user provisioning). Hiernaast kunnen SURFconext groepen binnen een dienst of applicatie geïntegreerd worden. Voor een SURFconext aansluiting is deze functionaliteit optioneel.
Kosten schatting Bovenstaande heeft geresulteerd in de volgende tabel. Voor iedere combinatie van type SP en SURFconext functionaliteit is aangegeven hoeveel mandagen een implementatie kost. Federatieve User SURFconext Totaal Authenticatie Provisioning Groepen Cloud 1 3 5 9 Third - bestaande 1 1 1 3 Party SURFconext koppeling - zelf plugin 3 5 8 16 bouwen Zelfbouw 2 3 5 10 Tabel 1: Kosten (in mandagen) van SURFconext functionaliteiten voor diverse type diensten
Bij het schatten van de kosten zijn diverse uitgangspunten en randvoorwaarden gehanteerd. Deze zijn: • De kosten zijn in mandagen uitgedrukt en zijn bedoeld als indicatie. Specifieke voorbeelden van SURFconext SP aansluitingen kunnen goedkoper of duurder uitvallen. • Het betreft hier de kosten die gemaakt worden voor het technisch aansluiten van de betreffende dienst of applicatie aan SURFconext. • Beheer kosten zijn niet meegenomen. • De personele resources zijn goed ingewerkt in de materie. Opleiding of instructie is niet meegenomen in de kosten. • Eventueel benodigde technische infrastructuur en bijbehorende inrichtingskosten zijn niet meegenomen • De kosten zijn geschat voor een enkelvoudige aansluiting. Er is geen rekening gehouden met fail-‐over, redundantie, high availability, enz. • De kosten zijn inclusief testen • De inspanning om de aansluitprocedure bij SURFconext te doorlopen wordt geschat op 0,5 dag. Denk hierbij aan het invullen en tekenen van de
•
SURFfederatie aansluitovereenkomst, het uitwisselen van metadata, het bepalen van de Attribute Release Policy. Hou hierbij rekening met een doorlooptijd van ongeveer 2 weken. Als een partij een dienst of applicatie aan instellingen wil aanbieden zal een bemiddelingsovereenkomst met SURFmarket gesloten moeten worden. Aangezien een dergelijke overeenkomst maatwerk is met bijbehorende onderhandelingen moet rekening gehouden worden met een substantiële doorlooptijd. De hiervoor benodigde inspanning is niet meegenomen.
Benodigde expertise De kostenschatting uit het vorige hoofdstuk heeft onder andere als uitgangspunt dat de gebruikte personele resources goed zijn ingewerkt in de materie. Dit betekent dat de technieken die door SURFconext gebruikt worden bekend zijn. Verder is het evenzeer van belang dat medewerkers de te koppelen software inclusief de configuratie opties en aanpasbaarheid kennen. De ervaring leert dat beperkte kennis van vooral dit laatste kan zorgen voor vertraging in de koppeling met SURFconext. Onderstaande tabel geeft de benodigde expertise aan voor een koppeling met SURFconext. De expertises zijn gegroepeerd op basis van de SURFconext functionaliteit. Sommige expertises hebben betrekking op de te koppelen applicatie. Tevens wordt van iedere expertise aangegeven of er beperkte, gemiddelde of goede kennis van nodig is. In het algemeen gelden onderstaande expertises vooral voor Third party en Zelfbouw software en wat minder voor standaard cloud diensten zoals Google Apps en MS Office365. Beperkt Gemiddeld Goed Federatieve SAML2 protocol X authenticatie SAML2 integratie X product X509 Certificaten X Applicatie login X flow User Bronsysteem voor provisioning users (bv X AD/LDAP of SQL) Applicatie user X administratie SURFconext RESTful X groepen webservices
OAuth Ontwikkelen in applicatie programmeertaal Applicatie autorisatie component(en)
X
X
X
Tabel 2: Benodigde expertise voor implementeren van verschillende SURFconext functionaliteiten
Betekenis van expertise niveau’s: Beperkt Persoon weet wat het is en begrijpt wat het doet en hoe het op hoofdlijnen werkt Gemiddeld Kan in de praktijk met het product of techniek werken als gebruiker Goed Begrijpt het product of techniek goed en kan het installeren en configureren
Baten van SURFconext De baten van SURFconext voor een SP worden al op veel manieren door SURFnet uitgedragen. Hier zullen de hoofdpunten kort behandeld worden en zal het onderscheid in baten voor verschillende soorten SP’s worden aangegeven. Het kwantificeren van de baten van SURFconext wordt buiten beschouwing gelaten. Baten van SURFconext voor een SP: • Eén connectie met SURFconext maakt de SP technisch toegankelijk voor alle Nederlandse hoger onderwijs en onderzoek instellingen. Vergelijk dit met het op moeten zetten en beheren van een technische verbinding met tientalle instellingen. • De SP hoeft geen password management meer te doen. De federatieve login zorgt ervoor • Gebruiker ervaart Single Sign-On met andere SP’s • Gebruiker’s identiteiten en attributen die beschikbaar zijn voor de SP zijn gevalideerd door instellingen • Eenvoudige ondersteuning van gasten en private partijen via sociale IDP’s zoals Google, Facebook, LinkedIn en Twitter. Dit wordt vanaf 2013Q4 door SURFconext ondersteund. • Via het verkoopkanaal SURFmarket komt de dienst direct onder de aandacht van een grote groep gebruikers. Dit is vooral relevant voor commercieel georienteerde SP’s. De bovengenoemde baten gelden voor bijna alle SP’s. Echter, verschillende soorten SP’s zullen deze baten verschillend wegen:
•
•
•
•
Een commerciele SP zal het belangrijk vinden dat SURFconext eenvoudig toegang biedt tot veel potentiele gebruikers met daarbij het SURFmarket verkoopkanaal om deze gebruikers te kunnen bereiken. Een instelling die aan verschillende instellingen een dienst aanbiedt zal vooral belang hechten aan de enkelvoudige aansluiting op SURFconext i.p.v. het onderhouden van een koppeling met meerdere IDPs. Ook het niet hoeven beheren van wachtwoorden zal een groot voordeel zijn. Een samenwerkings organisatie die een dienst aanbied aan een relatief kleine groep gebruikers die erg verspreid zitten over de wereld zal vooral profijt hebben van het niet zelf hoeven beheren van identiteiten en wachtwoorden. Een instelling die diensten voor hun eigen medewerkers en studenten aanbiedt zal vooral baat hebben bij de SSO ervaring van gebruikers.
