SSO, the next generation is coming

    • SSO, of single sign on, zal op gegeven moment de standaard worden. Waarschijnlijk log je in met jouw account/id van jouw device, al of niet biometrisch gescand en ben je automatisch aangemeld bij alle diensten waarmee die is gekoppeld. Voor die tijd moeten allerlei digitale overbruggingen worden gemaakt en moeten we een schikbarend toenemend aantal wachtwoorden onthouden.
      Leerpodium houdt zich intensief bezig met deze ontwikkeling.
    • Er zijn meerdere manieren om dit te doen. Een van de meest gangbare op dit moment is SAML, bv als je vanuit een service als Magister door wil linken naar een applicatie; https://blog.surf.nl/saml-dummies/. Er kleven echter nadelen aan SAML: het is bijvoorbeeld niet geschikt voor ‘non web-based’ toepassingen, en de implementatie ervan is complex. Voor sommige dienstaanbieders is dit een drempel om diensten federatief aan te bieden. Dat is jammer, want dan worden de voordelen van federatieve login niet benut.
    • Er is een nieuwe open standaard in opkomst die de nadelen van SAML niet heeft: OpenID Connect. Deze standaard wordt door steeds meer partijen ondersteund, waaronder Google, Microsoft en PayPal. Ook SURFconext krijgt binnenkort ondersteuning voor OpenID Connect, voor serviceproviders. De technische inspanning die een serviceprovider moet leveren om federatief te koppelen wordt daarmee een stuk lager.
    • Leerpodium is sinds kort partner in deze ontwikkeling van surf.nl. Naar onze inschatting brengt SSO via Surfconext niet meer of minder risico’s met zich mee dan direct inloggen op Leerpodium. In beide scenario’s dienen de juiste voorwaarden te worden geschapen.

    • Voor een werkende SSO via Surfconex moeten beide partijen tekenen voor het doorgeven van bepaalde attributen van studenten / docenten (bv. studienummer en e-mail adres), zodat wij deze kunnen uitlezen. Zonder goedkeuring van de zijde van de opdrachtgever is dat niet mogelijk. Dat levert al duidelijkheid over welke gegevens er precies door ons mogen worden verwerkt.

    • Overigens, ook zonder SSO via SAML of Surfconex leggen wij in een bewerkersovereenkomst vast welke gegevens wij precies uitlezen / bewerken. Zo is dat in de wet bedongen.

    • Wachtwoordbeleid: een zwakke schakel in de beveiligingsketen is nog altijd vaak de menselijke factor en dan met name zwakke wachtwoorden. Via SSO loggen gebruikers in met hu schoolgegevens, niet met hun Leerpodium account. Als zij daar een zwak wachtwoord hebben dan is het dus een stap terug, maar zij kunnen ook een zwak wachtwoord hebben op Leerpodium. Als er wachtwoordbeleid is via de SSO route, dan kan een sterk wachtwoord worden verplicht. Dit kunnen wij ook instellen voor direct inloggen op Leerpodium omgeving. In beide scenario’s is verplichten van een sterk wachtwoord (en verplicht periodiek vernieuwen?) het overwegen waard.

    • 2 factor authentication: als extra maatregel kunnen we laten inloggen via zgn. twee-stap authenticatie: gebruikers moeten na inloggen een extra code invoeren die zij kunnen opvragen met een app op de telefoon of die zij krijgen via sms. Daarmee is misbruik van accounts goed te voorkomen, want je kunt niet meer inloggen zonder ook de telefoon te hebben van die gebruiker.