Analyse groepsmanagement Bob Hulsebosch & Arnout van Velzen 28-9-2015 @ SURFnet Utrecht
Research based advice
Value through innovation digitalization in networks of organizations
Identity, privacy & trust
Strategy realization
Business models
Identity software
Agenda Doel van de analyse Aanpak Bevindingen Oplossingsrichtingen Analyse
Socrative m.socrative.com of www.socrative.com Login als “Student” Typ het lokaal "InnoValor"
Doelen Een inventarisatie van de behoefte en oplossingen bij instellingen om groepscontexten te kunnen managen (voor autorisatie doeleinden) Wat de mogelijke architecturen zijn om de instellingen hierin al dan niet via SURFconext te faciliteren
Aanpak Desk research Interviews Hogeschool Leiden / InHolland Aventus ROC UvA & HA Fontys Erasmus UT LUMC UMC Utrecht
UITKOMSTEN INTERVIEWS Bevindingen
Observaties [1] Wisselende behoefte bij instellingen Formeel is alles geregeld via IT service desk Informeel dingen wel of niet willen regelen “Docenten komen nog niet klagen”
“Groepsmanagement heeft hoogste prioriteit”
Behoefte hergebruik groepen vooral voor lokale applicaties Minder voor SURFconext diensten
Observaties [2] Verschil hogescholen en universiteiten Opleidingsgericht vs Facultatief
Gebruik groepen voor ‘toegang aan de poort’ Opleiding bepaalt toegang tot diensten/applicaties Minder geschikt voor fijnmazig autorisaties Zit in apps zelf of via rollen binnen groepen Voor de toekomst
Nog weinig diensten die gebruik maken externe groepsinformatie
Use cases – waar gaat het fout Studenten hebben toegang tot applicaties op basis van opleiding – handmatig toevoegen van leraren Leerstoel staat toe dat studenten mogen printen – moet handmatig worden ingevoerd Een kleine groep psychologiestudenten heeft toegang tot een clouddienst (Rationale) Minors worden ook gevolgd door studenten van andere scholen
Diverse ‘soorten’ groepen Formeel op IdP/HRM systemen (LDAP/AD) Door IT-admin / HR manager Groot en statisch
Semi-formeel voor procesondersteunende systemen (ELO) Door procesbeheerders op basis van input formele systemen Minder groot en minder statisch Externe leden
Ad-hoc of vrije groepen (op ELO en in SP GMS) Door docenten en studenten Klein en dynamisch Externe leden
Ook groepen die niet voor autorisatiedoeleinden gebruikt worden
Groepen
Formele Groepen
Semi-formele Groepen
Natuurkundestudenten
Medewerkers Natuurkundestudenten
Rechtenstudenten
Rechtenstudenten
Economiestudenten
Economiestudenten
Gasten / externen
Gasten
Vereniging
Medewerkers
PhD
Instelling
Faculteit
Instelling
Groepen Instelling
Instelling
Vrije Groepen
Vrije Groepen
Medewerkers
Medewerkers
Afdeling Natuurkundestudenten
Natuurkundestudenten
Cursus
Rechtenstudenten
Economiestudenten
Rechtenstudenten
Economiestudenten
Project Gasten
Gasten
Wat is er nu? Groep laten aanmaken door IT-beheerder Vaak door extra waarde aan bestaand attribuut toe te kennen Processen hiervoor ingericht Schaalt slecht bij veel groepen en diensten die hier gebruik van maken
Groepen aangemaakt in applicaties synchroniseren met directory zodat hergebruik mogelijk wordt Instellingsspecifieke groependienst Naast IT-beheerder kunnen ook anderen groepen aanmaken Vereist goede beschrijving van processen voor beheer groepen Weerstand bij IT-beheerder (verliest controle op AD/LDAP) Ook voor niet-autorisatie doeleinden
Wat zou mooi zijn? Eén plaats waar alle groepsinformatie bijeen komt Een groepsmanagement tool dat kan worden gevuld vanuit en gesynchroniseerd met bronsystemen De groepsmanagement tool staat toe dat verschillende beheerders groepen kunnen beheren Zowel lokale, niet gefedereerde applicaties als gefedereerde applicaties moeten gebruik kunnen maken van de groepsinformatie uit de tool Het moet relatief eenvoudig zijn om groepsleden van buiten de instelling toe te voegen Overzienbare impact op instellingen, dienstaanbieders en SURFconext
SIS / HR SIS SIS/ /HR HR (bronnen)
Architectuur 1 Eigen groependienst
Provisioning
IDM (user IDs) Provisioning Provisioning
Directory
Sync / push
Groepen dienst
X
SAML/VOOT
ELO (lokaleELO apps) ELO
Formele groepen
SURFconext Teams
SURFconext
Semi-formele groepen
Vrije groepen
SAML
Rationale Rationale Rationale
SIS / HR SIS SIS/ /HR HR (bronnen)
Architectuur 2 via SURFconext
Provisioning
IDM (user IDs) Provisioning Provisioning
Directory
Sync / push
Groepen dienst
SURFconext Teams SAML/VOOT
ELO (lokaleELO apps) ELO
Formele groepen
SURFconext
Semi-formele groepen
Vrije groepen
SAML
Rationale Rationale Rationale
Architectuur [3] “as-a-service”
SIS / HR SIS SIS/ /HR HR (bronnen) Provisioning
IDM (user IDs) Provisioning!?
Provisioning
Directory
Sync!?
Groepen dienst SAML/VOOT
ELO (lokaleELO apps) ELO
Formele groepen
SURFconext
SAML
Semi-formele & vrije groepen
Rationale Rationale Rationale
Pros en cons Instelling
SURF
Dienstaanbieder
Eigen groependienst
+ In control - Externe deelnemers - Koppelvlak registry
- Filteren op groepen
- Externe groepen accepteren
Gefedereerd
+ In control + Externe deelnemers + Koppelvlak registry
- Filteren op groepen
- Externe groepen accepteren
As-a-Service
- In control + Externe deelnemers - Koppelvlak registry
+ Filteren op groepen - Externe groepen - Heel veel ID-gegevens accepteren
Groep management diensten Grouper SURFconext Teams iWelcome Microsoft Forefront Identity Manager (FIM) Eigen oplossing
Key take-aways Groepsmanagement is een moeilijk probleem Instellingsspecifieke groepsmanagement dienst meest optimaal voor Beheer van groepen Hergebruik van groepen Autorisatie aan de poort
Belangrijk dat dienstaanbieders ook hiermee aan de slag gaan Accepteren van externe groepsattributen
Rol SURFnet Diensten leveren: Aanbieden of ‘klaar zetten’ van een groependienst voor de instellingen die daar behoefte aan hebben Inclusief handleiding voor configuratie met AD/LDAP, provisioning, synchronisatie en koppeling met SURFconext
Coördinatie: Opstellen van richtlijnen voor het definiëren van groepsattributen Hier ook afspraken over maken met dienstaanbieders isMemberOf attribuut of entitlements?
Kennisdisseminatie: Aanbieden van een workshop groepsmanagement
Volgende stappen Nadere uitwerking impact Kosten vs baten
Wat voor groepsmanagement tool? Wat willen en kunnen de dienstaanbieders? Bottom up Is het technisch realiseerbaar?
Vragen?
