Page tree
Skip to end of metadata
Go to start of metadata

Introductie

Medewerkers die als Registration Authority (RA) geautoriseerd zijn mogen tokens (SMS, tiqr, YubiKey) van gebruikers activeren nadat zij succesvol vastgesteld hebben dat de gebruiker:

  • is wie hij zegt te zijn
  • bezit van het aangevraagde token kan aantonen

Deze RA-rollen zullen doorgaans belegd zijn bij Service Desks, Helpdesks of HRM. De RA dient zelf te beschikken over een authenticatiemiddel op minimaal Level of Assurance 3 (YubiKey) om toegang te kunnen krijgen tot de RA-portal. De RA-medewerker doorloopt hiervoor het standaard selfservice proces.

Rollen en rechten RA(A)'s

Binnen instellingen zijn er twee RA-rollen actief: de Registration Authority Administrator en de normale Registration Authority. Een RAA kan enkel gelijke of lagere rechten toekennen aan andere personen. Een RA kan enkel lagere rechten toekennen aan andere personen. Een rol kan nooit een hogere rol toekennen aan zichzelf of een ander persoon. 

Registration Authority Administrator (RAA)

Deze rol wordt vervuld door één of enkele medewerker(s) van de instelling die SURFsecureID afneemt. Dit gaat om bijvoorbeeld instellingscontactpersonen (ICP's), SURFconext contactpersonen en security officers. Tijdens de entryprocedure wordt de eerste RAA geautoriseerd door een SRAA (Super RAA, medewerker van SURFnet), hij of zij kan andere personen binnen de instelling RA(A) maken.

Registration Authority (RA)

Deze rol wordt vervuld door medewerkers die gebruikers gaan autoriseren. Hierbij moet gedacht worden aan medewerkers van service desks, helpdesks, informatiebalies en HRM-afdelingen. Zij doorlopen het self-service proces en worden door een RAA geautoriseerd. Na deze autorisatieslag heeft deze medewerker de RA-rol en kan hij de tokens van eindgebruikers activeren. 

Algemene registratieprocedure RA's

RA(A)'s autoriseren gebruikers om gebruik te kunnen maken van SURFsecureID. RA(A)'s doorlopen daarom hetzelfde proces als andere gebruikers alvorens zij rechten toegekend krijgen. Het proces voor het toekennen van RA(A)-rechten (registratie, ID verificatie en autorisatie) is hieronder beschreven.

  1. De gebruiker logt in op de self-service applicatie. Deze applicatie is te vinden op https://sa.surfsecureid.nl.
    (NB: pilot-gebruikers loggen in via: https://sa.pilot.surfsecureid.nl/)
  2. De gebruiker kiest een authenticatiemiddel met Level of Assurance 3 (=YubiKey) en koppelt deze aan zijn of haar account. 
  3. De gebruiker bevestigt zijn of haar e-mailadres via de ontvangen e-mail.
  4. De gebruiker gaat met zijn of haar token, een geldig legitimatiebewijs en de activatiecode naar een RA op de opgegeven locatie.
  5. De RA voert de activatiecode in op de RA-interface. Deze is te vinden op https://ra.surfsecureid.nl.
    (NB: pilot-gebruikers loggen in via: https://ra.pilot.surfsecureid.nl/)

  6. De RA controleert de identiteit van de gebruiker a.d.h.v. het legitimatiebewijs en noteert de laatste zes tekens van het document.
  7. Indien in voldoende mate is aangetoond dat de persoon en de opgegeven identiteit overeenkomen wordt de gebruiker geautoriseerd en wordt de RA(A)-rol toegekend. 

Intrekken van RA(A)-rollen

Het intrekken van autorisaties van RA's en RAA's gaat op dezelfde manier als het toekennen: in de RA-interface kunnen rechten/autorisaties ingetrokken worden. Het toekennen en intrekken van rechten wordt gelogd.

  • Alle stappen van een RA en gebruikers in het uitgifteproces van SURFsecureID service worden gelogd. Logs worden bewaard zodat in geval van incidenten nagegaan kan worden wat er wanneer tijdens tokenregistratie gebeurd is.
  • No labels