SURFconext integratie laten maken
Appfront koppelt uw applicatie als Service Provider aan SURFconext — de federatie-hub van SURF voor het Nederlandse onderwijs en onderzoek. Studenten, docenten en onderzoekers van aangesloten instellingen kunnen met hun eigen instellingsaccount inloggen op uw app. Wij verzorgen de volledige SAML-implementatie, attribuutverwerking, testen op MujinaIdP en begeleiding bij de SURF-onboarding tot productie-release.
Wat is een SURFconext integratie?
SURFconext is de Nederlandse federatie-hub voor onderwijs en onderzoek, beheerd door SURF. Het verbindt honderden Nederlandse onderwijs- en onderzoeksinstellingen met elkaar en met externe applicaties. Een student, docent of onderzoeker logt in met het eigen instellingsaccount en krijgt daarmee toegang tot aangesloten externe apps — van learning platforms tot onderzoekstools en bibliotheekomgevingen.
Voor u als applicatie-eigenaar betekent dit: één SAML-koppeling aan SURFconext, en alle aangesloten instellingen kunnen uw app gebruiken. Geen aparte koppeling per universiteit of HBO — SURFconext regelt de federatie. U kunt ook eduGAIN activeren om internationaal vindbaar te zijn voor buitenlandse academische instellingen.
Appfront bouwt volgens de officiële SURFconext developer-documentatie, het SURF-normenkader en de OWASP ASVS security standaard. We stemmen attribuutverwerking, session-handling en testscenario's af op uw use case — zodat de onboarding bij SURF soepel verloopt en de integratie onderhoudbaar blijft.
Eén koppeling, alle instellingen
Eén SAML-koppeling aan SURFconext geeft u toegang tot honderden aangesloten onderwijs- en onderzoeksinstellingen in Nederland. Uw app verschijnt na onboarding automatisch in de SURFconext-catalogus en kan aangevraagd worden door elke aangesloten instelling.
Attribuut-gebaseerde autorisatie
eduPerson-attributen zoals eduPersonAffiliation (student/medewerker/alumnus), schacHomeOrganization en eduPersonEntitlement sturen toegangsrechten in uw app. We mappen ze correct volgens het SURFconext attribute release-beleid en AVG-principes.
eduGAIN wereldwijd
Via SURFconext bent u automatisch bereikbaar voor andere academische federaties in de wereld via eduGAIN. Buitenlandse onderzoekers en studenten kunnen inloggen met hun eigen instellingsaccount, zonder dat u voor elke federatie apart een koppeling hoeft te bouwen.
Ons onboarding-proces voor SURFconext
We werken volgens een bewezen methodiek die rekening houdt met zowel de technische SAML-implementatie als het SURF-onboardingtraject. Van een eerste analyse van uw applicatie en gebruikersrollen tot productie-release en doorlopend beheer — elke stap is gericht op een koppeling die ook op lange termijn onderhoudbaar blijft.
We brengen in kaart welke eduPerson-attributen uw applicatie nodig heeft, welke gebruikersrollen er zijn en of Strong Authentication of VOOT-groups relevant zijn.
We ontwerpen de integratiearchitectuur, kiezen de juiste authenticatie en stellen een foutafhandelingsstrategie op.
Implementatie met automated tests, gestructureerde logging en monitoring. U krijgt tussentijds werkende builds te zien.
Gecontroleerde livegang met data-validatie en vangnet, gevolgd door doorlopend beheer en verdere doorontwikkeling.
Wat een SURFconext integratie concreet oplevert
Elke SURFconext integratie wordt specifiek ingericht voor uw applicatie en doelgroep. Hieronder de onderdelen die we het vaakst opleveren voor Service Providers die zich aansluiten bij de SURF-federatie.
Service Provider registratie
SAML SP-metadata opstellen, entity-id en Assertion Consumer Service (ACS) URL's configureren, certificaten aanmaken en roteerbaar inrichten. We verzorgen de aanvraag bij SURF, doorlopen de testfase en begeleiden u tot productie-release.
Attribuutverwerking
eduPerson-attributen correct mappen op uw interne gebruikersmodel: eduPersonAffiliation voor rollen (student, medewerker, alumnus), schacHomeOrganization voor instelling, eduPersonEntitlement voor entitlements. Inclusief just-in-time provisioning bij eerste login.
Strong Authentication
Voor apps met verhoogd risico — denk aan beoordelingssystemen, financiële apps of onderzoeksdata met privacy-gevoelige gegevens — richten we SURFconext Strong Authentication (SFO) in. Gebruikers authenticeren dan met MFA via hun instellings-IdP of SURFsecureID.
VOOT groups & Invite
Groepsbeheer via VOOT of SURFconext Invite voor multi-institutionele samenwerkingsverbanden. Ideaal voor projectteams waarin onderzoekers, docenten of studenten van meerdere instellingen samenwerken — en gastgebruikers van buiten SURFconext uitgenodigd worden.
Account linking & JIT provisioning
Voor apps met een eigen lokale user store zorgen we dat de SURFconext-identiteit correct gekoppeld wordt aan bestaande of nieuwe gebruikersrecords. Just-in-time provisioning creëert automatisch een account bij eerste succesvolle login, inclusief de juiste rol op basis van eduPerson-attributen.
Testomgeving via MujinaIdP
Voordat uw app live gaat in de SURFconext-productieomgeving testen we grondig tegen MujinaIdP — SURF's testframework waarin we verschillende gebruikersrollen, attributen en scenario's kunnen simuleren. Zo is de productie-release voorspelbaar en zonder verrassingen.
Typische toepassingen in de praktijk
Een SURFconext integratie zien we vaak terugkomen in een paar herkenbare scenario's. Voor elk daarvan hebben we een werkende opzet met specifieke aandacht voor attribute release, session-handling en onboarding.
EdTech vendors
SaaS-producten voor onderwijs — van learning platforms en toets-tools tot digitale studieomgevingen en skills-apps — bereiken via SURFconext in één koppeling honderden Nederlandse onderwijsinstellingen. Zie ook onze maatwerk software ontwikkeling.
Onderzoeksplatformen
Platforms voor onderzoekssamenwerking, datamanagement en publicatie gebruiken SURFconext plus eduGAIN om onderzoekers wereldwijd toegang te geven met hun eigen instellingsaccount. Attribute-based access control regelt welke datasets of tools toegankelijk zijn per rol of instelling.
Library & content providers
Bibliotheek-systemen, wetenschappelijke uitgevers en content-leveranciers koppelen hun toegangssysteem aan SURFconext zodat studenten en onderzoekers direct toegang krijgen tot tijdschriften, e-books, databases en repositories — zonder aparte inlog per dienst.
Inter-institutionele samenwerking
Consortia, joint degrees en sectorbrede projecten waarin medewerkers en studenten van meerdere instellingen samenwerken. Met VOOT-groups en SURFconext Invite beheert u deze multi-institutionele groepen centraal, met scoped toegang tot gedeelde apps en documentatie.
Technologie die we inzetten
SURFconext integraties bouwen we met de standaard SAML 2.0- en OIDC-stacks die passen bij uw applicatie, samen met testing op MujinaIdP. De precieze keuze hangt af van uw framework en voorkeuren — zodat uw eigen team de integratie kan beheren of doorontwikkelen.
Waarom Appfront voor uw SURFconext integratie?
Appfront heeft ruime ervaring met het bouwen van API-integraties voor uiteenlopende organisaties in Nederland. We beginnen altijd met een grondige analyse van de bestaande systemen en processen — een koppeling moet niet alleen technisch kloppen, maar ook praktisch waarde toevoegen aan uw werkwijze.
Bij elke integratie schrijven we heldere documentatie en zorgen we dat uw eigen team — of een toekomstige leverancier — de koppeling kan begrijpen en beheren. Geen black box, maar transparante code en duidelijke afspraken over monitoring, alerting en beheer.
U werkt samen met een vast aanspreekpunt dat zowel de technische als de functionele kant begrijpt. Dat houdt de lijnen kort, voorkomt miscommunicatie en versnelt beslissingen wanneer er tijdens de bouw keuzes gemaakt moeten worden.
Bekijk ook onze bredere diensten rond API-integraties, middleware, maatwerk software en webapp ontwikkeling.
- Ervaring met SAML Service Provider implementaties en SURFconext onboarding
- Begrijpt eduPerson-attributen en het SURF attribute release-beleid
- Vertrouwd met MujinaIdP testscenario's en productie-releases
- Aandacht voor attribuut-minimalisatie en AVG in onderwijs-context
- Gestructureerde foutafhandeling en retry-mechanismen
- Uitgebreide logging en monitoring vanaf dag één
- Heldere documentatie die uw team kan lezen en beheren
- Vast aanspreekpunt, geen doorgeschoven accountmanagers
- Doorlopend beheer en proactieve doorontwikkeling
- Werkwijze afgestemd op uw bestaande IT-landschap
Security en privacy bij SURFconext integraties
Een federatie-koppeling raakt persoonsgegevens van studenten, docenten en onderzoekers. Appfront bouwt volgens het SURF-normenkader en de OWASP ASVS. Dat betekent onder meer: attribuut-minimalisatie (alleen de eduPerson-attributen die daadwerkelijk nodig zijn), ondertekende en waar nodig versleutelde SAML-assertions, correcte single logout (SLO) en zorgvuldig certificaatbeheer met geplande rotaties.
SURFconext voldoet aan het SURF-normenkader en Nederlandse privacywetgeving. We documenteren welke attributen worden opgevraagd en waarom, zodat uw verwerkingsregister compleet is en u aantoonbaar voldoet aan de AVG. Voor studentendossiers en andere bijzondere categorieën maken we de juiste afwegingen in overleg met uw Functionaris Gegevensbescherming.
Meer over onze aanpak van security: informatiebeveiligingsbeleid en CVD-beleid.
- AVG-conforme gegevensverwerking en -minimalisatie
- Encryptie in transit (TLS 1.2+) en at rest
- Rolgebaseerde toegang en least-privilege principes
- Auditlogs met traceerbare datastromen
- Automatische retry en dead-letter queues
- Monitoring en alerting voor afwijkingen
- Secrets management volgens best practices
- Documentatie voor uw verwerkingsregister
Veelgestelde vragen over SURFconext integraties
Antwoorden op de vragen die we het vaakst krijgen over SURFconext Service Provider aansluitingen.
Een SURFconext integratie is het koppelen van uw applicatie als Service Provider (SP) aan SURFconext — de federatie-hub van SURF voor het Nederlandse onderwijs en onderzoek. Studenten, docenten en onderzoekers van aangesloten instellingen kunnen met hun eigen instellingsaccount inloggen op uw app. Een integratie omvat typisch SAML 2.0 metadata-uitwisseling, attribuutverwerking (eduPersonAffiliation, schacHomeOrganization, eduPersonEntitlement), testing via MujinaIdP, en uiteindelijk productie-aansluiting bij SURF.
SURFconext is relevant wanneer uw applicatie gebruikt wordt door Nederlandse onderwijsinstellingen of onderzoeksorganisaties — EdTech-platformen, onderzoekstools, bibliotheek- of tijdschriftomgevingen, collaboration-portals en beleidsapps. Met één SAML-koppeling aan SURFconext bereikt u honderden instellingen zonder per instelling apart een federatie in te richten. Voor internationale instellingen buiten Nederland is er eduGAIN als bredere federatie.
De technische implementatie van een SAML Service Provider is doorgaans binnen enkele weken rond, inclusief testen op MujinaIdP. Daarbovenop zit het SURFconext-aansluittraject zelf: aanmelden als SP, metadata leveren, testfase doorlopen en productie-release afstemmen met SURF. Reken op enkele weken extra voor dat formele traject, afhankelijk van doorlooptijd bij SURF en bij de eerste aangesloten instellingen.
Afhankelijk van uw stack werken we met SAML-libraries als SimpleSAMLphp, Shibboleth SP, mod_auth_mellon, Spring Security SAML, Passport-SAML of PySAML2. Testing doen we via MujinaIdP (SURF's testframework). eduPerson attribute-mapping, just-in-time provisioning en session-handling passen we aan op uw applicatie. Voor OIDC-koppeling via SURFconext gebruiken we standaard OIDC-libraries van uw framework.
De kosten worden bepaald door de complexiteit van de datastromen, het aantal te koppelen systemen, de gewenste synchronisatiefrequentie en de hoeveelheid maatwerk in de businesslogica. Ook doorlopend beheer, monitoring en support hebben invloed op de totale investering. We maken altijd een heldere offerte na een vrijblijvende analyse van uw situatie.
Ja. SURFconext voldoet aan de Nederlandse privacywetgeving en het SURF-normenkader. Appfront bouwt volgens de OWASP ASVS en past attribuut-minimalisatie toe: we vragen alleen die eduPerson-attributen op die uw app daadwerkelijk nodig heeft. SAML-assertions worden waar nodig versleuteld en ondertekend, en single logout (SLO) wordt correct geïmplementeerd. Voor bijzondere persoonsgegevens (zoals studentendossiers) maken we de juiste afwegingen in overleg met uw Functionaris Gegevensbescherming.
Ja. Appfront neemt regelmatig bestaande SURFconext-koppelingen in beheer, ook als deze oorspronkelijk door een andere partij zijn gebouwd. We voeren een review uit op de SAML-configuratie, attribuut-mapping, session-handling en certificaatbeheer, documenteren de huidige opzet en stellen verbetervoorstellen op. Vanaf dat moment kunnen we aanpassingen, uitbreidingen en monitoring verzorgen — inclusief tijdige certificaat-rotatie.
SURFconext is specifiek ontworpen voor het Nederlandse onderwijs- en onderzoekslandschap. Typische use cases: EdTech-vendors die hun app aanbieden aan Nederlandse universiteiten, HBO's, MBO's of onderzoeksinstituten; onderzoeksplatformen en datatools die breed toegankelijk moeten zijn; bibliotheek- en journal-access systemen; collaboration-portals voor inter-institutionele projecten; en toegang tot internationale diensten via eduGAIN-federatie.
Klaar om uw app aan SURFconext te koppelen?
Vertel ons welke applicatie u wilt aansluiten en welke gebruikersrollen en attributen daarbij horen — we denken graag mee over SAML-opzet, attribute release, testen op MujinaIdP en de onboarding bij SURF. Een vrijblijvend eerste gesprek geeft u binnen een half uur een scherp beeld van de mogelijkheden.