Medewerkers met de rol Registration Authority (RA) vormen een belangrijke schakel in het proces om sterke authenticatie voor een gebruiker mogelijk te maken.

De kracht van een sterkere vorm van authenticatie valt of staat bij het verifiëren van de identiteit van de gebruiker en de sterkte van het authenticatiemiddel waarover de gebruiker beschikt. De RA's van een instelling zijn verantwoordelijk voor het activeren van tokens met een LoA2 of LoA3 betrouwbaarheidsniveau.

Daarnaast kunnen ze gebruikers ondersteunen die zelf tokens hebben geactiveerd. 

Hier kun je lezen welke stappen een RA moet doorlopen tijdens het verificatie- en activatieproces. 

Heb je meer praktische vragen over hoe om te gaan met bepaalde situaties/ uitzonderingen bij het verifiëren van de identiteit van de gebruiker en zijn/haar het authenticatiemiddel? Lees dan de belangrijkste aandachtspunten.

Let op: een RA heeft pas toegang tot het Registratieportaal, wanneer zijn eigen YubiKey geactiveerd is door de RA-admin van zijn instelling en RA rechten heeft gekregen.

Zie Handleiding Registratieportal


Inloggen

  • Open een internetbrowser
  • Ga naar https://ra.surfsecureid.nl
  • Selecteer je instelling, je wordt doorgestuurd naar de inlogpagina van je instelling
  • Log in met je gebruikersnaam/wachtwoord

Token activatie

Na inloggen kom je direct in het tabblad "Token activatie" uit. Hier kun je een token van een gebruiker activeren.

1. Registratie authenticatiemiddel opzoeken


  • Vraag de gebruiker om de activatiecode die hij per e-mail ontvangen heeft
  • Voer de activatiecode van de gebruiker in en druk op 'Zoeken'
  • Geen code gevonden? Controleer of je geen typefout hebt gemaakt en probeer het nog eens.
  • Nog steeds geen code gevonden? Controleer dan of de gebruiker wel een registratie gestart heeft via het tabblad 'Tokens'

2. Authenticatiemiddel koppelen


SMS

  • Controleer of de mobiele telefoon van de gebruiker bereik heeft en SMS-berichten kan ontvangen
  • Klik op 'Verstuur code' om een SMS code naar het opgegeven mobiele nummer te versturen.
  • Verstuur een nieuwe code als de gebruiker niet binnen één minuut een SMS-code heeft ontvangen

  • Voer de SMS-code in die de gebruiker heeft ontvangen
  • Klik op 'Verifieer code'
  • Krijg je een foutmelding na het invoeren van de code? Controleer of je geen typefout hebt gemaakt en probeer het nog eens.

tiqr


  • De gebruiker ontvangt een push-notificatie op zijn smartphone
  • De gebruiker moet ter bevestiging in de tiqr app zijn PIN intypen of zijn biometrie laten zien (vingerafdruk / faceID)
  • Ontvangt de registrant geen push-notificaties op zijn telefoon? Scan dan de QR-code die in je browser getoond wordt.

YubiKey

  • Steek de YubiKey van de gebruiker in de USB-poort van je computer/laptop met de knop naar boven/voren gericht
  • Zorg dat het invulveld gefocust staat.
  • Druk op de knop van de YubiKey en houd even vast
  • Er verschijnt automatisch een eenmalig wachtwoord in het invulveld (Je hoeft niet op Enter te drukken)
  • Verwijder de YubiKey en geef deze terug aan de gebruiker

Azure MFA

  • Het Azure MFA middel hoeft niet apart te worden geverifieerd door de RA.

FIDO2

  • Het FIDO2 middel hoeft niet apart te worden geverifieerd door de RA.

3. Verifieer identiteit


  • Vraag de gebruiker om zijn legitimatiebewijs
  • De volgende documenten gelden als geldig legitimatiebewijs:
    • Paspoort
    • Rijbewijs
    • Identiteitskaart

NB: een collegekaart, bankpas of OV-jaarkaart zijn dus GEEN geldig legitimatiebewijs


  • Controleer of de gebruiker lijkt op de foto op het legitimatiebewijs
  • Controleer of het legitimatiebewijs nog geldig is
  • Controleer of de gegevens op het scherm overeen komen met hetgeen je in het legitimatiebewijs ziet staan
  • Vul de laatste 6 karakters van het documentnummer in (eventueel voor controle achteraf)
  • Zijn de gegevens correct? Vink dan het hokje 'Ik heb de identiteit van de gebruiker geverifieerd' aan en klik op 'Verifieer identiteit'
  • Zijn de gegevens niet correct? Of twijfel je over de geldigheid van het legitimatiebewijs? Breek dan de registratie af en neem contact op met je hoofd RA.

4. Token geactiveerd!


  • De gebruiker heeft zowel zijn digitale als fysieke identiteit aangetoond:

    • De gebruiker heeft aangetoond dat hij in het bezit is van het geregistreerde authenticatiemiddel
    • Er is een koppeling gelegd tussen zijn digitale identiteit en zijn token
  • Het token is nu klaar voor gebruik
  • De gebruiker ontvangt ter bevestiging een e-mail met aanvullende informatie

  • Ga terug naar 'Home' om een nieuwe registratie te starten

Tokens

  • In het tabblad "Tokens" kun je een overzicht krijgen van alle tokens van je gebruikers
  • Bij het openen van dit tabblad wordt de lijst met alle tokens getoond. Je kunt vervolgens gerichter zoeken op een aantal velden
  • Per gebruiker kun je vervolgens het audit log inzien om te kijken welke acties er precies zijn uitgevoerd voor deze persoon en door wie
  • Je kunt het token van een gebruiker verwijderen, bijvoorbeeld bij uit dienst of in het geval van misbruik.

Herstelmethodes

  • NB: herstelmethodes worden alleen aangemaakt in het geval een gebruiker een token zelf activeert. Als jouw instelling de optie van zelf registreren uit heeft staan dan geeft dit scherm geen resultaten. 
  • In het tabblad "Herstelmethodes" kun je een overzicht krijgen van de geregistreerde herstelmethodes voor je gebruikers.
  • Bij het openen van dit tabblad wordt de lijst met alle herstelmethodes getoond. Je kunt vervolgens gerichter zoeken op een aantal velden
  • Per gebruiker kun je vervolgens het audit log inzien om te kijken welke acties er precies zijn uitgevoerd voor deze persoon en door wie
  • Je kunt een herstelmethode van een gebruiker verwijderen. Als je zowel het token als de herstelmethode verwijdert moet de gebruiker vervolgens voor een token activatie bij de servicedesk langs komen.

Mijn profiel

  • In het tabblad "Mijn profiel" zie je je eigen gegevens zoals bekend bij SURFsecureID.




  • No labels