Analyse groepsmanagement Bob Hulsebosch & Arnout van Velzen 28-9-2015 @ SURFnet Utrecht
Research based advice Identity software Value through innovation digitalization in networks of organizations Identity, privacy & trust Strategy realization Business models
Agenda Doel van de analyse Aanpak Bevindingen Oplossingsrichtingen Analyse
Socrative m.socrative.com of www.socrative.com Login als Student Typ het lokaal "InnoValor"
Doelen Een inventarisatie van de behoefte en oplossingen bij instellingen om groepscontexten te kunnen managen (voor autorisatie doeleinden) Wat de mogelijke architecturen zijn om de instellingen hierin al dan niet via SURFconext te faciliteren
Desk research Interviews Hogeschool Leiden / InHolland Aventus ROC UvA & HA Fontys Erasmus UT LUMC UMC Utrecht Aanpak
UITKOMSTEN INTERVIEWS Bevindingen
Observaties [1] Wisselende behoefte bij instellingen Formeel is alles geregeld via IT service desk Informeel dingen wel of niet willen regelen Docenten komen nog niet klagen Groepsmanagement heeft hoogste prioriteit Behoefte hergebruik groepen vooral voor lokale applicaties Minder voor SURFconext diensten
Observaties [2] Verschil hogescholen en universiteiten Opleidingsgericht vs Facultatief Gebruik groepen voor toegang aan de poort Opleiding bepaalt toegang tot diensten/applicaties Minder geschikt voor fijnmazig autorisaties Zit in apps zelf of via rollen binnen groepen Voor de toekomst Nog weinig diensten die gebruik maken externe groepsinformatie
Use cases waar gaat het fout Studenten hebben toegang tot applicaties op basis van opleiding handmatig toevoegen van leraren Leerstoel staat toe dat studenten mogen printen moet handmatig worden ingevoerd Een kleine groep psychologiestudenten heeft toegang tot een clouddienst (Rationale) Minors worden ook gevolgd door studenten van andere scholen
Diverse soorten groepen Formeel op IdP/HRM systemen (LDAP/AD) Door IT-admin / HR manager Groot en statisch Semi-formeel voor procesondersteunende systemen (ELO) Door procesbeheerders op basis van input formele systemen Minder groot en minder statisch Externe leden Ad-hoc of vrije groepen (op ELO en in SP GMS) Door docenten en studenten Klein en dynamisch Externe leden Ook groepen die niet voor autorisatiedoeleinden gebruikt worden
Vereniging Faculteit PhD Groepen Instelling Instelling Formele Groepen Medewerkers Semi-formele Groepen Medewerkers Natuurkundestudenten Natuurkundestudenten Rechtenstudenten Economiestudenten Gasten / externen Rechtenstudenten Economiestudenten Gasten
Groepen Instelling Instelling Vrije Groepen Vrije Groepen Medewerkers Natuurkundestudenten Afdeling Medewerkers Natuurkundestudenten Rechtenstudenten Cursus Rechtenstudenten Economiestudenten Gasten Project Economiestudenten Gasten
Wat is er nu? Groep laten aanmaken door IT-beheerder Vaak door extra waarde aan bestaand attribuut toe te kennen Processen hiervoor ingericht Schaalt slecht bij veel groepen en diensten die hier gebruik van maken Groepen aangemaakt in applicaties synchroniseren met directory zodat hergebruik mogelijk wordt Instellingsspecifieke groependienst Naast IT-beheerder kunnen ook anderen groepen aanmaken Vereist goede beschrijving van processen voor beheer groepen Weerstand bij IT-beheerder (verliest controle op AD/LDAP) Ook voor niet-autorisatie doeleinden
Wat zou mooi zijn? Eén plaats waar alle groepsinformatie bijeen komt Een groepsmanagement tool dat kan worden gevuld vanuit en gesynchroniseerd met bronsystemen De groepsmanagement tool staat toe dat verschillende beheerders groepen kunnen beheren Zowel lokale, niet gefedereerde applicaties als gefedereerde applicaties moeten gebruik kunnen maken van de groepsinformatie uit de tool Het moet relatief eenvoudig zijn om groepsleden van buiten de instelling toe te voegen Overzienbare impact op instellingen, dienstaanbieders en SURFconext
SIS SIS / HR SIS / / HR HR (bronnen) Architectuur 1 Eigen groependienst Provisioning IDM (user IDs) Provisioning Provisioning Directory Sync / push Groepen dienst SURFconext Teams X SAML/VOOT ELO (lokale ELO ELO apps) SURFconext SAML Rationale Rationale Rationale Formele groepen Semi-formele groepen Vrije groepen
SIS SIS / HR SIS / / HR HR (bronnen) Architectuur 2 via SURFconext Provisioning IDM (user IDs) Provisioning Provisioning Directory Sync / push Groepen dienst SURFconext Teams SAML/VOOT ELO (lokale ELO ELO apps) SURFconext SAML Rationale Rationale Rationale Formele groepen Semi-formele groepen Vrije groepen
SIS SIS / HR SIS / / HR HR (bronnen) Architectuur [3] as-a-service Provisioning IDM (user IDs) Provisioning Provisioning!? Directory Sync!? Groepen dienst SAML/VOOT ELO (lokale ELO ELO apps) SURFconext SAML Rationale Rationale Rationale Formele groepen Semi-formele & vrije groepen
Pros en cons Instelling SURF Dienstaanbieder Eigen groependienst Gefedereerd As-a-Service + In control - Externe deelnemers - Koppelvlak registry + In control + Externe deelnemers + Koppelvlak registry - In control + Externe deelnemers - Koppelvlak registry - Filteren op groepen - Externe groepen accepteren - Filteren op groepen - Externe groepen accepteren + Filteren op groepen - Heel veel ID-gegevens - Externe groepen accepteren
Groep management diensten Grouper SURFconext Teams iwelcome Microsoft Forefront Identity Manager (FIM) Eigen oplossing
Key take-aways Groepsmanagement is een moeilijk probleem Instellingsspecifieke groepsmanagement dienst meest optimaal voor Beheer van groepen Hergebruik van groepen Autorisatie aan de poort Belangrijk dat dienstaanbieders ook hiermee aan de slag gaan Accepteren van externe groepsattributen
Rol SURFnet Diensten leveren: Aanbieden of klaar zetten van een groependienst voor de instellingen die daar behoefte aan hebben Inclusief handleiding voor configuratie met AD/LDAP, provisioning, synchronisatie en koppeling met SURFconext Coördinatie: Opstellen van richtlijnen voor het definiëren van groepsattributen Hier ook afspraken over maken met dienstaanbieders ismemberof attribuut of entitlements? Kennisdisseminatie: Aanbieden van een workshop groepsmanagement
Volgende stappen Nadere uitwerking impact Kosten vs baten Wat voor groepsmanagement tool? Wat willen en kunnen de dienstaanbieders? Bottom up Is het technisch realiseerbaar?
Vragen?