Page tree
Skip to end of metadata
Go to start of metadata


Achtergrond

Azure MFA en SURFsecureID ondersteunen elk verschillende typen 2FA-middelen. Voor gebruikers is het onhandig en verwarrend als zij verschillende 2FA-middelen naast elkaar moeten gebruiken. Bijvoorbeeld voor de ene applicatie de Microsoft Authenticator app en voor een andere applicatie de tiqr mobiele app.

We willen het mogelijk maken dat een instelling zowel Azure MFA als SURFsecureID kan gebruiken, terwijl de gebruiker maar één 2FA-middel hoeft te gebruiken. Als een gebruiker één van de Azure MFA middelen gebruikt (bijvoorbeeld de MS Authenticator app), kan hij dit middel ook in SURFsecureID registreren. Zo heeft de gebruiker maar één 2FA-middel en kan hij dit gebruiken voor diensten die Azure MFA of SURFsecureID gebruiken. En de diensten die via SURFsecureID zijn gekoppeld kunnen blijven vertrouwen op het hoog betrouwbaarheidsniveau van de gebruikersidentiteiten.

Om deze setup te kunnen laten werken moet SURFsecureID koppelen met òf de ADFS òf met de Azure AD tenant van de instelling (voorheen kon dit alleen met ADFS, dat is echter niet meer zo).

Optie 1; koppeling via ADFS

Volg de stappen op deze pagina om deze integratie te configureren in ADFS.

Koppeling via ADFS

Optie 2; koppeling met Azure AD

Volg de stappen op deze pagina om deze integratie te configureren in Azure AD.

Testen

Op dit moment is deze integratie zover dat er mee getest kan worden. We willen graag weten of het aan de verwachtingen van de instellingen voldoet. Ook willen we graag weten of er specifieke ADFS of Azure MFA configuraties zijn waar we op moeten letten.

Vanaf week 14 kun je aansluiten op de SURFsecureID test of pilot omgeving, afhankelijk van je eigen (eventueel al bestaande) SURFsecureID connectie met één van deze omgevingen. Klanten van SURFsecureID die eerder interesse hebben getoond zullen we actief benaderen. Mocht jouw instelling zich nog niet gemeld hebben en ook mee willen testen, stuur dan een mail naar support@surfconext.nl.

Na het testen zullen we vragen om je ervaringen met ons te delen en een aantal specifieke vragen te beantwoorden.

Registratie Azure MFA middel door een gebruiker

Het uitgangspunt is dat een gebruiker al een Azure MFA middel heeft voordat hij dit bij SURFsecureID registreert. Hoewel de meesten de Microsoft Authenticator zullen gebruiken, maakt het in principe niet uit welk Azure MFA middel een gebruiker heeft.

Een eindgebruiker gaat naar het test registratie portaal of pilot registratie portaal (afhankelijk van de SURFsecureID omgeving waarop je bent aangesloten) en kan daar nu Azure MFA als middel selecteren.

Tijdens het registreren bij SURFsecureID wordt gevraagd om het email adres van het Azure MFA middel dat de gebruiker wil registreren. Wij denken dat dit in de regel het email adres van de gebruiker bij de instelling is die SURFsecureID al krijgt via de SURFconext login. Het is echter ook mogelijk om een Azure MFA middel van een andere instelling te kiezen, als een gebruiker die heeft. Dit kan bijvoorbeeld nuttig zijn voor HvA/UvA of VUmc/AMC samenwerkingsverbanden. Of dit inderdaad zo is moet blijken uit deze testen. 

RA activeert Azure MFA middel

Het Azure MFA middel moet voor SURFsecureID geactiveerd worden door een RA(A). Ook in dit proces moet de gebruiker het bezit van zijn Azure MFA token aantonen (straks dus niet meer, zie opmerking hieronder). De gebruiker moet hiertoe inloggen op de ADFS met zijn gebruikersnaam/wachtwoord en het Azure MFA middel. Omdat dit in de browser van de RA gebeurt, is het sterk aan te bevelen dat de RA een private browser opent om te voorkomen dat de credentials van de gebruiker onthouden wordt.

Dat de gebruiker zijn credentials in de browser van de RA(A) moet invullen is niet wenselijk. Zeker wanneer de gebruiker en de RA(A) elkaar noodgedwongen op afstand moeten ontmoeten in geval van de Corona crisis. Dan zou de gebruiker zijn wachtwoord moeten doorgeven aan de RA(A). Hierom zijn we een alternatieve RA flow aan het ontwikkelen waarbij de gebruiker zijn token niet meer hoeft te gebruiken tijdens het activatieproces. 

Deel je ervaringen!

Om te weten of de integratie van SURFsecureID naar Azure MFA goed werkt willen we graag jullie ervaringen horen. Alle input is welkom! Hierbij zijn wij vooral benieuwd naar:

  • Heb je de integratie werkend gekregen met bovenstaande handleiding?
  • Waren er specifieke configuraties nodig in ADFS of Azure AD om dit goed werkend te krijgen. Was het nodig om bepaalde opties aan of juist uit te zetten?
  • Zie je nog specifieke usability, procedurele of technische problemen met deze integratie?
  • Zie je toegevoegde waarde in de stap waarbij de gebruiker nog naar zijn email adres gevraagd wordt tijdens de registratie? SURFsecureID krijgt nml al het email adres van de gebruiker via SURFconext, dus heeft deze mogelijkheid nut voor jouw instelling?

Mail je ervaringen naar peter.clijsters@surfnet.nl.

Ondersteuning

Voor technische hulp en vragen kun je contact opnemen met support@surfconext.nl. Noem duidelijk in het onderwerp en de email zelf dat het gaat om testen met de Azure MFA integratie met SURFsecureID. 



  • No labels