Het proces waarin een fysieke persoon gelinkt wordt aan zijn digitale identiteit en zijn authenticatiemiddel is cruciaal om misbruik en identiteitsfraude tegen te gaan. SURFsecureID SURFsecureID is daarom zo ontworpen dat een token met zekerheid gekoppeld wordt kan worden aan de identiteit van de juiste gebruiker. Daarnaast ondersteunt SURFsecureID token zelfregistratie waarbij gebruikersgemak en eenvoud voorop staat.
| Table of Contents |
|---|
Betrouwbaarheidsniveau en registratie- en activatieproces
Voordat een gebruiker een token kan gebruiken moet deze het token registreren en moet het token geactiveerd worden:
- Registreren: de gebruiker kiest een token uit de set van tokens die zijn instelling heeft bepaald
- Activeren: na het registreren moet het token nog geactiveerd worden.
...
- Dit kan door:
- de gebruiker zelf gedaan worden en gebeurt dan direct na het registreren van het token.
- de servicedesk van zijn instelling gedaan worden. De gebruiker gaat naar de servicedesk van de instelling waar zijn identiteit wordt gecontroleerd en het token wordt geactiveerd. Het proces waarin een fysieke persoon gelinkt wordt aan zijn digitale identiteit en zijn authenticatiemiddel is cruciaal om misbruik en identiteitsfraude tegen te gaan
Afhankelijk van de gebruikte activatie methode en het token type heeft het token een bepaald betrouwbaarheidsniveau (level of assurance, LoA).
| Betrouwbaarheidsniveau | Token type | Activatiemethode |
|---|---|---|
| LoA 1.5 | alle token types | gebruiker |
| LoA 2 | tiqr, AzureMFA, SMS | servicedesk of gebruiker met bestaand token |
| LoA 3 | Yubikey, FIDO2 | servicedesk of gebruiker met bestaand token |
| Info |
|---|
Als een instelling SURFsecureID afneemt dan heeft deze de keuze om LoA 1.5 wel of niet te ondersteunen. Daarnaast heeft de instelling nog de keuze om activatie met een bestaand token toe te staan. Deze en andere configuratie opties worden besproken bij de intake of kunnen later aangezet worden. |
Gebruiker registreert token
...
Allereerst logt de gebruiker in op
...
het Registratieportal met zijn instellingsaccount (username/password) via SURFconext. In
...
dit registratieportal selecteert de gebruiker zijn gewenste token
...
,
...
bewijst hij
...
met een authenticatie dat hij controle heeft over het token en verifieert hij zijn email adres (optioneel, een instelling kan ervoor kiezen de email verificatie uit te laten zetten). Het token moet vervolgens geactiveerd worden. Dit kan op drie manieren die uiteindelijk het LoA van het token bepaalt, zie daarvoor de volgende stap.
Activatie van het token
Een token kan op drie manieren geactiveerd worden. Het soort token en de manier waarop een token geactiveerd wordt bepaald het LoA van het token. De gebruiker krijgt alleen de keuze uit de activatie methodes die voor hem beschikbaar zijn. Als bijvoorbeeld zelf activatie niet aan staat voor zijn instelling, dan wordt de zelf activatie optie niet getoond. Als de gebruiker geen bestaand token heeft, dan wordt de optie om te activeren met een bestaand token niet getoond.
1. Zelf activatie
De gebruiker kan kiezen om zijn token zelf te activeren als de instelling dit toelaat. De gebruiker moet dan een herstelmethode configureren om ervoor te zorgen dat bij verlies van het token er toch nog een nieuw token geactiveerd kan worden. De gebruiker kiest tussen SMS en herstelcode. Na het configureren van de herstelmethode is het token geactiveerd en klaar voor gebruik als LoA 1.5 token.
Als de gebruiker ooit zijn token én zijn herstelmethode verloren is kan hij een nieuw token registreren. Het activeren moet in dit geval wel bij de servicedesk van zijn instelling.
2. Activatie door de servicedesk
De activatie door de servicedesk van de instelling is altijd beschikbaar als optie. De gebruiker heeft een activatie code gekregen en gaat daarmee langs bij de servicedesk
...
om zijn token te laten activeren door een geauthoriseerde medewerker (RA). De RA logt middels sterke authenticatie in bij de RA Managementportal. Daar zoekt de RA de tokenregistratie van de gebruiker op in het systeem op basis van de activatiecode die de gebruiker mee brengt. Voor SMS, Yubikey en tiqr moet de gebruiker het bezit van dit token aantonen. Na een succesvolle
...
ID-controle, wordt het token voor de gebruiker geactiveerd. De tiqr, AzureMFA en SMS tokens hebben dan LoA2, de Yubikey en FIDO2 tokens hebben dan LoA3.
3. Activatie met bestaand token
Als de gebruiker al een ander token had, krijgt hij de mogelijkheid om hiermee zijn nieuwe token te activeren. Voorwaarde is dat het bestaande token waarmee geactiveerd wordt van voldoende niveau is; een LoA groter of gelijk aan het nieuwe token. Zo kan een FIDO2 token wel met een Yubikey geactiveerd worden, maar niet met een tiqr token. Deze activatie methode is optioneel en moet voor een instelling aan staan. Voorwaarde is wel dat de instelling meerdere tokens per gebruiker aan heeft staan, of dit tegelijk aan laat zetten.
Gebruiker laten kiezen tussen activatie methodes
Vooral in het geval een instelling zelf activatie toestaat kan het nuttig zijn om de gebruiker naar een specifieke activatie methode te sturen. Hiervoor zijn twee mogelijkheden:
- Op de pagina waar de gebruiker een keuze moet maken tussen de activatie methodes kan een hulptekst getoond worden die de gebruiker begeleid in zijn keuze. De RAA van de instelling kan deze tekst zelf aanmaken en aanpassen in het RA portaal in de tab "Activatie hulpteksten".
- De instelling kan specifieke URL's voor het registratieportaal gebruiken in zijn communicatie met gebruikers. De URL zorgt er dan voor dat de gebruiker maar één van de methodes te zien krijgt.
- URL voor activatie door de servicedesk: https://sa.surfconext.nl/?activate=ra
- URL voor zelf activatie: https://sa.surfconext.nl/?activate=self
Meer informatie
Op de volgende pagina's vindt u meer info over de inrichting van registratieproces.
...