SURF

IDM bij het KW1C

Vandaag ben ik te gast bij Surf voor de bijeenkomst “IAA in het MBO”.  Jef van den Hurk presenteerde daar hun IDM (Identiteiten Management) oplossing.

Tot voor kort had men zelf een “Software Autorisatie Systeem”. Daar wilde men vanaf gezien de risico’s van zelfbouw. Tegelijkertijd liep er een meer fundamentele discussie over de keten voor medewerker-identiteiten. Als je toegang wilt geven op basis van rollen, moeten deze dan worden geadministreerd door HR?

De stappen die men onderneemt zijn dan praktisch:

  • Er is een Visie op Toegang geformuleerd.
  • Een Projectstartarchitectuur is gemaakt.
  • Use Cases zijn uitgewerkt.
  • Aanbestedingstraject loopt (is bijna klaar)
  • Implementatie: hiervoor trekken ze 2 jaar uit.

IDM bij de Onderwijsgroep Tilburg

Vandaag ben ik te gast bij Surf voor de bijeenkomst “IAA in het MBO”.  Mijn collega Merijn van der Schoot presenteerde daar onze IDM (Identiteiten Management) oplossing. Deze regelt accounts en toegang voor ‘joiners’, “movers” en “leavers”. Anderen noemen dat in-, door- en uitstroom. 😉

Hij start vanuit trots, terecht natuurlijk. 😉

Hij schetst de performance: In 15 minuten kan je alles, de pas van een student is in 1 seconde actief, de pasfoto wordt in 1 minuut doorgezet en onze administratie sluit er 100% op aan.

We kwamen niet zomaar op dit punt. IT voorzieningen geven aan personen, kent veel hobbels. Dat uitte zich in veel “Ja maar …”: Wij zijn bijzonder, wij hebben externen, wij hebben mensen niet geadministreerd, wij hebben gasten etc.

Behalve sleutelen aan het IDM is er ook twee jaar gewerkt aan een goed HR-proces. Om vragen op te lossen zoals “Waarom staan mensen onverwacht op de stoep zonder account?”, “Waarom is HR langzaam”, “Wie zijn onze gasten” etc.

Beleidsmatig hadden we natuurlijk onderleggers nodig voor gebruikersnamen, gastaccounts, test- en beheeraccounts etc. Spin-off was verder dat HR ook ontlast werd met ‘gedoe’, aangezien we self-service invoerden.

Voorbeeld van een foutje: Stel een directeur vergeet een contractverlenging te accorderen, vervolgens gaat een account dicht. De medewerker ontdekt dat omdat hij niet kan inloggen en belt de servicedesk. Daar krijgt hij te horen dat z’n contract nog niet verlengd is … Nu wil je dat niet structureel natuurlijk, dus voortaan gaan we aan de voorkant rappelleren. We gaan dan overigens niet handmatig accounts open zetten etc. Maar in de keten wordt in het HR systeem de knop omgezet en een kwartier later werkt alles weer.

Merijn schetst net als hier de visie van een ‘sectorvoorziening’, wat zich uit in een standaard aansluiting.

Algemene ontwikkelingen IAA bij SURF & Kennisnet

Vandaag ben ik te gast bij Surf voor de bijeenkomst “IAA in het MBO”.  In de tweede sessie lopen we de ontwikkelingen langs, HP Köhler neemt ons mee.

MBO is een beetje een aparte sector omdat iedereen aangesloten is op 2 federaties. Entree voor digitale leermiddelen en SurfConext voor identiteiten. Beiden hebben een federatief centraal hub model waarbij de school de identity provider is. Technisch is het een implementatie van de SAML standaard.

Het IAA proces zoals HP dat ziet:

  • Identificatie: Juridische vaststellen van de identiteit.
  • Registratie: Administratie van de functie.
  • Authenticatie: Is hij/zij wie hij zegt te zijn?
  • Autorisatie: toegang krijgen tot gegevens of functionaliteiten.
  • Gebruik

De uitgangspunten voor IAA zijn:

  • Gebruiker centraal en privacy-vriendelijk, met consent.
  • Gemakkelijk in gebruik en beheer.
  • Veilig, schaalbaar en betaalbaar.

In het tweede deel praten we door over eduID. Zijn we net ECK-Id aan het doen met nummervoorziening, moeten we al weer nadenken over de opvolger of doorontwikkeling. 😉

Dat lokte dan ook veel vragen uit. Het eerste is slechts een pseudoniem in mijn ogen, dat als attribuut aan een identiteit hangt zodat leveranciers niet weten welke leerling/student het betreft. Het tweede is meer een leven-lang-leren oplossing. Zit dan ook nog in de verkennende fase. De verkenning uit zich bijvoorbeeld in:

  • Praktische pilot is die van de Edubadge en micro-credentials. Hierin zitten vooral HO/WO instellingen en één MBO. Top van Deltion.
  • Het eduMij concept: een persoonlijk en levenslang educatie en ontwikkeldossier. Naar analogie van MedMij. Opdrachtgever van eduMij is de ‘informatiekamer’ (MinOCW en de onderwijssectoren).

Zelf ben ik het meest nieuwsgierig naar eduMij, mits de gegevens zich bij de lerende zelf bevinden en niet in één centrale silo.

Wet Digitale Overheid

Vandaag ben ik te gast bij Surf voor de bijeenkomst “IAA in het MBO”. Aangezien ik onlangs wel eens wat geschreven heb over IAA (Identificeren, Authenticeren, Autoriseren) was ik benieuwd naar deze dag.

Barbera Veltkamp opent met de lezing over de Wet Digitale Overheid (WDO) en de betekenis voor dienstverleners in het onderwijs. In deze context praten we dan over ‘inloggen’ bij de overheid. Normaliter horen we het vaakst van MinOCW, maar deze wet loopt natuurlijk langs alles, vandaar vanuit BZK.

Het WDO regelt op hoofdlijnen de toegang tot elektronische dienstverlening middels elektronische identificatie (eID). Voor de overheid zelf natuurlijk maar ook voor publieke dienstverleners. Inloggen bij de overheid met een nieuwe versie van DigiD dus.

Als we inzoomen op WDO:

  • Uitgangspunten: Veilig, betrouwbaar, gebruiksvriendelijk, eenduidig en beschikbaar.
  • Dienstverleners moeten dit eID accepteren en daarnaast moet het andere sectorale middelen om in te loggen overbodig maken.
  • De wet gaat NIET over: interne IT en identificatieprocessen.

De reikwijdte van WDO voor onderwijs is nu beperkt tot hoger onderwijs. Op termijn gaat het echter ook voor MBO gelden. ‘Tegenprestatie’ is dan wel dat scholen gaan betalen als ze meedoen.

Het resultaat is dat dienstverleners, scholen dus, verplicht moeten aansluiten op meer middelen. Het rijtje is dan:

  • eHerkenning voor rechtspersonen (organisaties/bedrijven).
  • eIDAS voor EU identificatiemiddelen
  • DigiD voor de eigen overheid en publieke taken
  • Private middelen

Alle technische voorzieningen moeten overigens klaar zijn als de wet ingaat. In 2019 behandelt het parlement deze. Op 1 juli gaat de wet in, maar nog niet voor MBO. OCW voert gesprekken over de vertaling naar het onderwijs (saMBO/MBO-Raad). BZK rolt de ICT voorzieningen uit.

Eigen bedenkingen:

  • Ik ben blij dat voor de MBO sector de invoering gefaseerd gaat. Ben benieuwd naar de komende ervaringen van HO/WO. De wet biedt ruimte uit te breiden naar andere typen organisaties, als iedereen daar aan toe is. Klinkt redelijk, Barbara.
  • IRMA werd vermeld, maar de veiligheid van deze systemen op nationale schaal vereist een hoger volwassenheidsniveau ‘ondanks wat sommige hoogleraren zeggen’. Ik snap dat iets parallel kan lopen: echt innoveren aan de ene kant en iets implementeren, in productie brengen aan de andere kant.
  • Allemaal nuttige voorzieningen, maar wat ik nog niet kan inschatten is hoe deze ontwikkeling zich verhoudt tot meer ‘decentrale’ oplossingsrichtingen.
  • Ik hoop dat we met 60 MBO instellingen niet allemaal per stuk het wiel moeten uitvinden om hier op aan te sluiten. Iedereen met z’n historisch gegroeide applicatie-landschapje, dat ook voor mijn eigen organisatie geldt.

 

 

 

Technologieverkenning: Blockchain voor SURFnet

Het ene rapport is nog maar net uit en de volgende komt al weer. Zeker geen klacht hoor, alleen mijn leeslijst groeit sneller dan ik kan verwerken. 😉
Daarnaast denk ik dat veel mensen al een tijd dachten, wat zou SURFnet nou van BlockChain vinden? Juist omdat we nog in de ‘infrastructuur’ fase van het fenomeen zitten en SURF zich richt op fundamentele technologieën of basisvoorzieningen die breed inzetbaar zijn voor zijn leden. Vandaar dat ik erg nieuwsgierig was naar de technologieverkenning die gisteren verscheen. (Kleine disclaimer: mijn werkgever is tevreden lid van de stichting en we gebruiken een aantal SURF diensten.)

Ik merk dat ik berichtgeving over BlockChain niet onbevangen lees, wat verdacht is natuurlijk. Maar ja, het besef is al de helft dacht ik zo. Andere fenomenen die vroeg in de hypecycle zitten trekken mijn aandacht minder, dus als een rapport daarover enthousiasme tempert, stoort het me niet.
Bij het bericht over BlockChain lees ik: “Conclusie is dat blockchain nog weinig concrete gebruiksredenen heeft.” Veel lauwer dan dit kun je het niet krijgen. Hype is heet, ik weet het en overspannen broeierig doen stoort mij ook, maar het rapport ademt onderkoeling.  Wellicht aan te raden als je een reality-check nodig hebt.
Overigens is onderstaand slechts ingegeven door mijn eigen kennis natuurlijk.

Over de vraag wanneer BlockChain geschikt is:

  • Wantrouwen: Een uitgangspunt van blockchains is dat er sprake is van wantrouwen tussen partijen over de informatie opgeslagen in een gezamelijke database en de veranderingen daarvan.
    Ja en nee: betrokkenen bij een transactie moeten elkaar nog steeds vertrouwen dat de transactie inhoudelijk klopt. Alleen: je hebt later de betrokkenen niet meer nodig om aan te tonen dat de informatie klopt en onveranderd is. De verificatie hoeft ook niet ‘uit de database’ te komen van de belanghebbenden.
  • Geen Trusted Third Party: Specifiek is blockchain geschikt als de TTP niet wordt vertrouwd met het correct uitvoeren van databasemutaties. Ja, maar dat is toch meestal niet het punt? Je hebt geen derde partij nodig die je de sleutels geeft voor versleuteling. Zoals dat nu gebeurt bij digitaal ondertekenen, maar dan met een digitale natte handtekening. Vanwege het decentrale karakter en de gebruikte protocollen worden sleutels aan de lopende band gegenereerd toch?
  • Transparantie en onmuteerbaarheid: dat is inderdaad een probleem voor privacy-gevoelige informatie en het ‘recht vergeten te worden’. Eric Verhelst heeft dit ook uitgebreid toegelicht. Wat ik echter mis is hoe het scheiden van inhoud en waarmerk toch nuttig kan zijn. Ik zou echt meer willen weten over hoe een openbaar waarmerk waarvan de inhoud op traditionele manieren wordt uitgewisseld voor problemen zorgt.
  • Meerdere schrijvers en business model voor miners:  Om een blockchain meerwaarde te laten bieden boven een TTP, is het noodzakelijk dat er meerdere onafhankelijke partijen zijn die de blokken maken (miners) en het moet aantrekkelijk zijn dat te doen. Eens, vandaar dat ik de Proof-of-Work niet zo ethisch verantwoord vindt.

Verder ben ik het met hun conclusie een heel eind eens. Ik denk alleen dat zin 1 de stap in zin 2 erg ontmoedigt:

Voor een concrete roadmap, of een beslissing hier zwaar op in te zetten, is het ons inziens te vroeg, de technologie is te onvolwassen en de toepassingen zijn nog niet concreet genoeg. Het is echter wel te overwegen om de technologie verder te leren kennen door Proof-of-Concepts te doen, en om samen met de achterban verder op zoek gaan naar toepassingen. 

Wie gaat nog iets overwegen als je je vingers gaat branden aan een onvolwassen technologie? Welke school loopt er vaak zo langs het innovatierandje dat ze er niet bang voor zijn? Zo klinkt het vooral als een aanmoediging om niets te doen.

De use-cases in het rapport begeven zich begrijpelijkerwijs op het terrein waar Surf diensten biedt:

  • Het vastleggen van attributen of kenmerken van identiteiten. Dit zou de werking van SURFconext beïnvloeden. In deze ‘federatie’ worden gegevens van personen, zo minimaal mogelijk, uitgewisseld. Zodat al onze kernsystemen en digitaal lesmateriaal deze niet apart hoeven te administreren. Het vastleggen hiervan op een BlockChain heeft potentieel. Zelf ben ik voor identiteiten met hun kenmerken nieuwsgierig naar de ontwikkelingen van “Decentralized Identifiers (DIDs)”.
  • Het uitdelen van certificaten (bekend van het slotje in de browser en https etc.) zodat transparant is welke partij welk certificaat heeft aangevraagd.
  • Het vastleggen van DNS gegevens op de BlockChain, oftwel welk domeinnaam is van wie.
  • Studievoortgang op de BlockChain. Velen en ik ook zien deze natuurlijk als killer-applicatie. De nadelen die de huidige technologie heeft onderschrijf ik wel en komen neer op dat je zowel weet van ontvanger als uitgever dat ze zijn wie ze zeggen te zijn. Zonder dat alles openbaar is.

Het rapport eindigt:

Voor een concrete roadmap voor SURFnet rond de toepassing van blockchains, of een beslissing hier zwaar op in te zetten, is het ons inziens nog te vroeg. Verder de technologie leren kennen door Proof-of-Concepts uit te voeren, aangevuld met samen met de achterban verder op zoek gaan naar toepassingen, is echter zeker wel te overwegen.

Waar ik eigenlijk op hoopte is dat het rapport concreter zou zijn in wat Surf nu zelf op dit gebied gaat doen. Wellicht hangt dat samen met hun opdracht en laat het geen ruimte over voor experimenteren met jonge technologie.

Zoals het er nu staat lijkt het alsof onderwijsinstellingen zelfstandig moeten experimenteren en dat Surf geen rol heeft in de ondersteuning hierop. Al is het maar om expertise te delen, iets dat ik normaal gesproken op andere terreinen heel erg waardeer van ze.

Samengevat: voor een technologieverkenning is het rapport precies dat, niet meer en niet minder. Maar ik heb wel een paar oprechte vragen:

  • Als onderwijsinstellingen Proof-of-Concepts uitvoeren, volgt SURF deze dan? Passief of actief? Met inbreng van expertise of op andere manieren faciliterend?
  • Ligt de focus van SURF op die BlockChain toepassingen die ze zelf erna voor de leden als voorziening kan aanbieden?
  • Of doet SURF komende 2 à 3 jaar gewoon even niets? Dat zou voor de verwachting in ieder geval duidelijk zijn. 😉