Ondersteuning van library walk-ins in SURFconext

Vergelijkbare documenten
Dienstbeschrijving SURFconext

SURFconext dienstbeschrijving

Dienstbeschrijving SURFconext

Implementatiekosten en baten van SURFconext. Versie: 0.5 Datum: 06/06/2013 Door: Peter Clijsters

ORCID EEN UNIEKE, PERSISTENTE IDENTIFIER VOOR ONDERZOEKERS. Niels van Dijk, SURFnet John Doove, SURFmarket

SURFconext Cookbook. Het koppelen van Alfresco aan SURFconext. Versie: 1.0. Datum: 8 december admin@surfnet.nl

Onderzoek Groups-management (Bottom Up) Herman van Dompseler Frank Niesten

Trust & Identity Innovatie

SURFconext Cookbook. Het koppelen van LimeSurvey aan SURFconext. Versie: 1.0. Datum: 4 december admin@surfnet.nl

Introductie SURFconext

SURFconext Cookbook. Het koppelen van Wordpress aan SURFconext. Versie: 1.0. Datum: 7 november admin@surfnet.nl

Introductie SURFconext

What s

What s

SURFconext Cookbook. Het koppelen van BigBlueButton aan SURFconext. Versie: 1.0. Datum: 1 december admin@surfnet.nl

Dienst Dienstoverstijgend Federatief Groepsmanagement: SURFteams. indi

SURFconext en policies. Arnout Terpstra, Floortje Jorna, SURFmarket en Femke Morsch 9 mei 2016

SURFconext & Provisioning Pilot en verder. Bas Zoetekouw

Visie op toegang! Identity management als speerpunt! H-P Köhler, Kennisnet Roel Rexwinkel, Surfnet

Autorisatierollen beheren

Update SURFconext Sterke Authenticatie

Algemene ontwikkelingen IAM Onderwijs Jaap Kuipers Platform Identity Management Nederland Utrecht

Campus Challenge 2013: HBO en MBO

Gerard Bierens Overall WorldShare projectmanager Radboud Universiteit Nijmegen

Een non-web usecase: COmanage in combinatie met YODA

Expertise seminar SURFfederatie and Identity Management

Doel is, dat dit document uiteindelijk een visie formuleert, waar de volgende partijen achter kunnen staan:

Autorisatierollen beheren

Handleiding electronische toegang Universiteitsbibliotheek

GOOGLE APPS-AUTHENTICATIE VIA DE SURFFEDERATIE

Fair Open Access Open Library of Humanities

Analyse groepsmanagement

Trends in de Campusinfrastuctuur. In samenwerking met Stratix

Ik ga op reis en ik neem mee

Uitleg MijnKPN Grootzakelijk Aanmaken van accounts

Contouren Launching Plan 1 e release eid Stelsel door middel van pilots (voorheen pilotplan ) 1

Geleerde lessen van zes pilotprojecten Eindrapport Regie in de Cloud -project werkpakket 3

Stand van zaken en plannen IPv6 2012

Resultaten marktscan SURFfederatie

Open Access aan de Radboud Universiteit. Dirk van Gorp Open Access editor Radboud Universiteit, Nijmegen

FAQ Pinnen over IP-dienst van SURFnet

LiLa Portal Docentenhandleiding

Koppel je dienst aan de demo-omgeving

Strategisch omgaan met de cloud

SURFCUMULUS UPDATE. VRE informatiebijeenkomst 3 juni Carl Reitsma, adviseur

Samen veilig online MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT. Eefje van der Harst - Productmanager

1 Leidraad voor beveiliging en goed gastheerschap

Inhoud van deze handleiding

Het regelen van ondersteuning op open source software voor overheidsorganisaties. Afstudeerpresentatie Daniël Vijge 12 november 2007

Technologieverkenning

RESEARCH DATA MANAGEMENT INNOVATIE & SURF

NLUG 6 juni Michiel Steltman projectleider Infra

Samen in het onderwijs draadloos koppelen met de cloud

Privacy policy SURFconext

Ondernemen in de samenleving Inspirerende voorbeelden uit de praktijk

IAM en Cloud Computing

Entree Account. Dienstbeschrijving

15 July Betaalopdrachten web applicatie beheerders handleiding

Software Design Document

Klantcase. Applicatiebeheer Dennis van Noort van HDSR: Met eherkenning kunnen wij mensen veel beter van dienst zijn

VISUELE INTEGRATIE ORDE IN DE CHAOS. Bron: pixnio.com

Bijlage IX Deelname SURFconext bij Gebruiksovereenkomst G9400/[nummer]

Introductie iwelcome. Paul Eertink product marketing lustrum e-herkenning 2015

Single Sign-On in ZIVVER met Microsoft ADFS

De Kracht van Federatief Samenwerken

Doel Permanent Nederlandstalig fictie e boeken aanbod voor e readers & laagdrempelige apps als aanvulling op bestaande fysieke collectie.

Dataclassificatie Juridisch Normenkader (Cloud)services Hoger Onderwijs 2016, bijlage E

GEMEENTE ALMERE EEN STAD VAN ONTWIKKELING

VEELGESTELDE VRAGEN KERNPAKKET SURFMARKET

Kikkers en Heilige Koeien UvAConext & standaarden voor het primaire onderwijs en onderzoek proces

Inleiding Sociale Wetenschappen. Studenten Aantal 953 Respondenten 54, 40 Ronde 1, 2. Datum uitvoering September 2010 Januari 2011 Collegeweblecture

Juryrapport IPv6 awards

Veilige en eenvoudige toegang tot uw online dienstverlening. Connectis Identity Broker

Help er gaat iets mis

John Janssen Senior License Manager SURFmarket. Pim Slot Team Manager SURFmarket

Cloud services: aantrekkelijk, maar implementeer zorgvuldig

TARIEVENLIJST ADDITIONELE DIENSTEN

Internationaal samenwerken met een nationaal tintje: UKB migreert naar het WorldShare Platform

Single Sign-On in ZIVVER met Microsoft ADFS

Privacy policy SURFconext

IAM voor het onderwijs in 2020 Ton Verschuren m7

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1.

Extreme Library Makeover

Aan de slag met SURFdashboard

Identity management Wat moet ik managen?

ICT voorzieningen in de cloud; het UvT traject

UPGRADE YOUR BUSINESS PROCESSES and change the way you work

Open & Online. De (mogelijke) rollen van bibliotheken. Onderwijs

Evaluatie pilots Dienstverlening op locatie en Papierloos werken

Idensys & BankID IN VOGELVLUCHT DE ONTWIKKELING VAN DE STELSELS IDENSYS EN BANKID. What s SURFconext d.d. 24 november Bart Kerver

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

Uitleg MijnKPN Grootzakelijk Aanmaken van accounts. Versie 1.8

Aansluiten op govroam

Special Interest Group Cloud implementaties

Toegankelijkheid van wetenschappelijke informatiebronnen en de rol van de VUB in consortia

SLIM 3.0. Sluit Nederland aan op Internationale Metadatastandaarden ONDERDEEL: RDA. NOTITIE 2f Work records SLIM 3.0

Het Digitale Studenten Dossier. méér met minder papier

Skype voor SURFcontact

1. Minimaal 15 van de nu bij SURFnet aangesloten MBO- instellingen moeten na 2016 internet gaan aanbesteden vanwege de hoogte van de kosten.

Secure Application Roles

Transcriptie:

Ondersteuning van library walk-ins in SURFconext Utrecht, december 2017 Versienummer: 1.0

Colofon P3 Betrouwbare en Veilige Omgeving Project Trust & Identity Work Package 1 Next Generation Trust & Identity SURF Postbus 19035 NL-3501 DA Utrecht T +31 88 787 30 00 info@surf.nl www.surf.nl Auteurs Bas Zoetekouw (SURFnet) Reviewers Pieter van der Meulen (SURFnet), Arnout Terpstra (SURFnet), Femke Morsch (SURFnet), Pim Slot (SURFmarket) Projectleider Michiel Schok (SURFnet) december 2017 Deze publicatie verschijnt onder de licentie Creative Commons Naamsvermelding 4.0. International https://creativecommons.org/licenses/by/4.0/ 2

Inhoudsopgave Samenvatting 4 1. Introductie 5 2. Technische oplossingen 6 3. Implementatie 7 4. Integratie in SURFconext 8 5. Conclusie 9 6. Aanbevelingen 10 3

Samenvatting Nu wetenschappelijke tijdschriften vrijwel exclusief online verschijnen en uitgevers de toegang tot deze tijdschriften steeds vaker afschermen met federatieve logins, hebben bibliotheekbezoekers zonder instellingsaccount geen toegang meer tot wetenschappelijk tijdschriften. Het faciliteren van zulke gebruikers behoort echter wel tot de taak van de universitaire bibliotheken. In dit document beschrijven we een mogelijk oplossingsrichting voor de kortere termijn. In deze oplossing krijgen bibliotheekbezoekers toegang via een anonieme identity provider, die echter alleen beschikbaar is vanaf de IP-adressen van de bibliotheken. Voor een dergelijke oplossing ingericht kan worden, moet er echter wel overeenstemming zijn tussen alle partijen (uitgevers, instellingen en bibliotheken) dat ene dergelijke oplossing de problemen rondom bibliotheekbezoekers oplost. 4

1. Introductie Van oudsher hebben universiteitsbibliotheken de taak om, naast de populatie van de eigen instelling, ook personen van buiten de instelling te bedienen. Dat gaat dan over het uitlenen van boeken, maar expliciet ook de toegang tot wetenschappelijke tijdschriften. Tot enkele jaren geleden was dat geen probleem: de tijdschriften waren grotendeels fysiek aanwezig in de bibliotheken, en konden dus net als de normale collectie worden ingezien en gekopieerd, ook door personen die niet aan de universiteit verbonden waren. Nu de wetenschappelijke tijdschriften vrijwel exclusief online verschijnen, begint hier een probleem te ontstaan. De initiële oplossing die voor autorisatie van de content wordt gebruikt, is meestal een afscherming op basis van IP-adres, waarmee typisch de hele campus van een instelling (inclusief de bibliotheken) toegang verkrijgt tot wetenschappelijk journals. In dit scenario hebben bibliotheekbezoekers nog steeds op eenvoudige wijze toegang tot de content via een lokale PC in de bibliotheek. IP-gebaseerde toegang heeft echter een aantal nadelen. Zo is het bijhouden van de IP-reeksen administratief lastig - SURFmarket moet wijzigingen in de reeksen van een instelling afstemmen met alle individuele uitgevers. Verder zijn er voor diverse usecases (thuiswerkende medewerkers, etc.) aparte technisch voorzieningen nodig, zoals VPN's, remote-desktoptoegang of EZproxy-software. Om deze redenen zien we de afgelopen jaren steeds meer uitgevers overstappen op federatieve login via SURFconext. Voor reguliere instellingsgebruikers is dit een vooruitgang: zij hebben geen aparte login meer nodig bij portals van uitgevers en kunnen ook vanaf locaties buiten hun instelling tijdschriften raadplegen. Voor de externe bezoekers van bibliotheken ontstaat nu echter een probleem. Zij hebben geen instellingsaccount, en hebben dus geen toegang meer tot wetenschappelijke tijdschriften die via SURFconext ontsloten zijn; ook niet als ze zich fysiek in de bibliotheek bevinden. De universiteitsbibliotheken zijn op basis van (onder andere) dit argument terughoudend bij de overgang van IP-afscherming naar federatieve logins; zie bijvoorbeeld paragraaf 3.5.5 van AARCdeliverable DJRA1.1: The UKB, however, identified a number of potential stumbling blocks to the implementation of federated access. These are, for example: [...] So called walk by users*, such as citizen scientists, are not able to access academic content. With IP based access, they are able to access content as long as they reside at the campus. *: bij SURFnet gebruiken we hiervoor de term walk-in Het is daarom opportuun om dit probleem binnen de context van SURFconext op te pakken. In dit document leggen we uit hoe we vanuit SURFnet Trust & Identity deze oplossing voor ons zien. 5

2. Technische oplossingen Allereerst moeten we constateren dat het model van universiteitsbibliotheken om nietinstellingsgebruikers alleen te bedienen als ze zich fysiek in de bibliotheek bevinden, niet erg toekomstvast is. Het zou uiterst vreemd zijn dat in een wereld waar alles online kan, iemand om een wetenschappelijk tijdschrift te raadplegen, fysiek een universiteitscampus moet bezoeken. Het is echter vooralsnog onduidelijk hoe de universiteitsbibliotheken dit bredere probleem willen oplossen; wellicht worden alle tijdschriften in de toekomst Open Access, of wellicht dat in de (iets minder verre) toekomst SURF dit soort usecases door middel van een levenslange EduID of door het beschikbaar maken van inlogmiddelen van de overheid (zoals DigiD) binnen SURFconext zou kunnen faciliteren. Voor nu is dit echter buiten scope. In de tussentijd ligt er echter nog wel een probleem: hoe kunnen we de groep van externe bibliotheekgebruikers in een federatieve wereld toch faciliteren? Een voor de hand liggende oplossing is om een gast-idp in SURFconext te introduceren die toegang verleent op basis van het IP-adres van de gebruiker. Hoewel zo'n IP-gebaseerde IdP natuurlijk niet de hele problematiek oplost, en nog steeds een administratie van IP-adressen vereist, biedt hij wel aanzienlijke voordelen boven klassieke IP-based access. Er is één overzichtelijke manier van inloggen: via SURFconext, en uitgevers hoeven geen aparte IP-afscherming meer te onderhouden. Bovendien wordt de administratie ook voor SURF en de instellingen veel eenvoudiger: SURFmarket hoeft niet langer een wijziging van IP-reeksen bij alle uitgevers door te voeren, maar kan op een centrale plek de reeksen administreren. Je zou zelfs het beheer van de IP-reeksen als self-service bij de universiteiten in beheer kunnen geven, of de administratie direct kunnen koppelen aan de IP-registratie van SURFinternet. 6

3. Implementatie Bovenstaande oplossing is binnen het EU-project AARC verder uitgewerkt, en daar ook technisch geïmplementeerd in Shibboleth. Daarnaast is er binnen SURFnet een PoC-implementatie in SimpleSAMLphp gebouwd. Binnen AARC is een uitgebreide pilot uitgevoerd voor library walk-ins. Deze pilot, inclusief usecases en user journeys, staat beschreven op de AARC wiki. Als onderdeel van de pilot is een IP-gebaseerde IdP geïmplementeerd op basis van Shibboleth. Deze omvat naast de IdP ook een self-service managementportal, waar instellingen zelf hun IP-reeksen kunnen instellen. De implementatie wordt ook op de AARC wiki beschreven. De implementatie die binnen SURFnet is gemaakt, is op basis van SimpleSAMLphp. Deze implementeert slechts een IdP, en niet een self-service management portal. De IP-reeksen moeten hier door de beheerder van de IdP worden bijgehouden. De code is beschikbaar op GitHub. 7

4. Integratie in SURFconext Beide implementaties van de IP-gebaseerde IdP zijn technisch eenvoudig te implementeren in SURFconext. De IdP zelf kan zonder problemen gekoppeld worden aan SURFconext en worden geactiveerd voor de uitgevers die deze loginmogelijkheid toestaan. De self-serviceportal zal als SP aan SURFconext moeten worden gekoppeld, en beschikbaar moeten worden gemaakt voor een groep beheerders, bijvoorbeeld door middel van een SAB-rol. Qua policy ligt het maken van de aansluiting echter wel lastiger. SURFconext is in het algemeen terughoudend met het aansluiten van gast-idps, en deze specifieke gast-idp geeft ook nog eens identiteiten vrij die niet direct te herleiden zijn tot een persoon. Dat past niet in de huidige policy van SURFconext, en om dit te kunnen invoeren moeten dus aparte afspraken gemaakt worden, zowel met uitgevers die deze gebruikers moeten toelaten als met de instellingen die op deze manier toegang willen gaan verlenen. Het lijkt daarom alleen zinvol om hier daadwerkelijk mee aan de slag te gaan als er een duidelijke businesscase is, en er zich concrete partijen aandienen die deze route willen gaan gebruiken. Op dit moment lijken de partijen niet erg enthousiast: de universiteitsbibliotheken zijn eigenlijk heel tevreden met de bestaande oplossing (IP-gebaseerde whitelisting aan de kant van de uitgevers), en uitgevers zijn tamelijk huiverig om hun systemen aan te passen (om bijvoorbeeld met minder attributen om te kunnen gaan), zeker als dat contractueel niet is vastgelegd. Als blijkt dat alle partijen wat dit betreft op een lijn zitten en deze oplossing omarmen, kan worden gekeken wie een dergelijke IdP zou moeten aanbieden. Dat zou SURFconext kunnen zijn, SURFmarket, of wellicht een commerciële partij als OCLC (aanbieder van onder meer EZproxy). 8

5. Conclusie In dit document is kort beschreven wat de problemen zijn met de huidige manier van het verlenen van toegang voor walk-in users bij universiteitsbibliotheken. Omdat de universiteitsbibliotheken op basis van (onder andere) dit argument terughoudend zijn bij de implementatie van federatieve logins voor wetenschappelijk tijdschriften en online databases, lijkt het zinvol om deze problemen binnen de SURFconext-federatie op te pakken. We hebben laten zien (zowel binnen AARC als binnen Trust & Identity) dat een IdP die (anonieme) toegang verleent op basis van het IP-adres van de gebruiker, technisch een oplossing kan zijn voor de library-walkin-problematiek. Om zo'n IdP binnen SURFconext beschikbaar te maken, is wel nog wel enig werk nodig op policyniveau. 9

6. Aanbevelingen Onze aanbeveling is om nu eerst de businesscase voor deze oplossing te borgen in nieuw te onderhandelen contracten met content-leveranciers. Als blijkt dat zowel uitgevers als universiteitsbibliotheken het eens kunnen worden over de oplossing van een IP-gebaseerde IdP, kan deze op een relatief korte termijn voor SURFconext worden ingericht. Daarnaast bevelen we aan om in de lopende innovatietrajecten binnen SURFnet deze casus expliciet mee te nemen. Het ligt voor de hand dat in de trajecten rond het inloggen met externe identiteiten (zoals DigiD) of het faciliteren van externe gebruikers, de casus van bibliotheekbezoekers op de langere termijn gemakkelijk als een special case van een algemenere faciliteit zou kunnen worden opgelost. 10

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback