Medewerkers die de rol Registration Authority Admin - afgekort RA-admin of RAA - hebben, vormen een belangrijke schakel in het proces om sterke authenticatie binnen de instelling mogelijk te maken. De kracht van een sterkere vorm van authenticatie valt of staat bij het verifiëren van de identiteit van de gebruiker en de sterkte van het authenticatiemiddel waarover de gebruikers binnen een instelling beschikken. Dat begint al bij een zorgvuldige registratie en instructie van de RAA, die op eenzelfde zorgvuldige wijze beheerders tot RA benoemt en instrueert, alvorens deze de tokens van eindgebruikers mogen activeren.
Hieronder kun je lezen welke stappen een RA-admin zelf moet doorlopen bij het opvoeren van beheerders die de rol RA krijgen.
Andere onderwerpen voor de RAA:
1. Eigen YubiKey registreren
Een RA-admin kan pas authenticatiemiddelen activeren van beheerders die de RA-rol zullen krijgen, wanneer de eigen YubiKey van de beoogd RA-admin geactiveerd is door SURFnet. De beoogd RA-admin zal dus eerst zijn eigen Yubikey moeten registreren conform het reguliere registratieproces. Zie Handleiding Registratieportal
Na registratie van de YubiKey, kan een SURFnet medewerker, de YubiKey van de beoogd RA-admin activeren en hem of haar de RAA rol toekennen. Het activeren van de YubiKey en het toekennen van de RAA rol zal doorgaans gebeuren tijdens een kick-off op de instelling, of tijdens een andere face-2-face meeting waar de RA-admin en rrn SURFnet medewerker elkaar ontmoeten.
Zodra dit gebeurd is, kan de RA-admin ook de tokens van gebruikers activeren en/ of RA-rechten aan hen toekennen.
2. YubiKey van RA activeren
Laat medewerkers/ beheerders die beoogd RA zijn, allereerst hun eigen YubiKey registreren conform het reguliere registratieproces. Zie Handleiding Registratieportal
Na registratie van de YubiKey, kan de RA-admin de YubiKey van de beoogd RA activeren conform het reguliere activatieproces. Zie Handleiding RA-Managementportal.
NB: het activeren van de YubiKey zal dus moeten gebeuren tijdens een face-2-face meeting tussen de RA-admin en de RA!
3. RA rol toekennen
Zodra een beoogd RA over een geactiveerde YubiKey beschikt, kan de RA-admin deze persoon de juiste RA rechten toekennen:
| Section |
|---|
|
| Column |
|---|
| 
|
| Column |
|---|
- Log in op https://ra.surfsecureid.nl
- Ga naar het tabblad 'RA Management'. Je ziet nu alle bestaande rollen van gebruikers voor de instelling(en) waarvoor je RAA rechten hebt.
- Klik op de knop 'Voeg RA(A) toe' om een nieuwe rol toe te voegen.
|
|
| Section |
|---|
|
| Column |
|---|
| 
|
| Column |
|---|
- Dit scherm toont alle gebruikers waaraan je een rol toe kan kennen. Staat een gebruiker niet in de lijst dan heeft deze mogelijk al een rol, of heeft deze nog geen geactiveerd LoA 3 (Yubikey) token.
- Klik achter de gegevens van de beoogd RA op de knop 'Rol toekennen'. Gebruik eventueel de zoekvelden om de gebruiker te vinden in de lijst.
|
|
| Section |
|---|
|
| Column |
|---|
| 
|
| Column |
|---|
- Vul de Locatie van de beoogd RA in, dat is de locatie vanaf waar de RA de tokens van eindgebruikers zal activeren. Bijvoorbeeld iets als Service Desk locatie X, een specifiek kamernummer en/ of gebouw aanduiding.
- Vul de Contactinformatie in van de beoogd RA, bijvoorbeeld een algemeen support e-mailadres, een URL en/ of een mailadres of telefoonnummer
Deze locatie en contactinformatie worden in de registratiemail naar gebruikers gebruikt als er geen gebruik gemaakt wordt van RA-locaties. In het 'Instellingsconfiguratie' menu kun je zien hoe dat voor de instelling is geconfigureerd. Zie: RA-locaties te gebruiken ipv RA contactpersonen. De locatie en contactinformatie worden per rol opgeslagen. | Info |
|---|
In dit scherm kun je meerdere regels gebruiken. Als de locatie en contactinformatie velden aan gebruikers worden getoond, dan staat deze informatie op één regel. Een nieuwe regel wordt dan als een spatie getoond. |
- Selecteer welke rol (RA of RAA) deze gebruiker krijgt en voor welke instelling. Je kunt alleen rollen toekennen in instellingen waarvoor je zelf RAA rol hebt, en waarvoor dat middels de instellingsconfiguratie is toegestaan.
- Klik op 'Maak RA(A)' om de wijzigingen op te slaan.
Herhaal dit proces om een persoon meerdere rollen te geven. |
|
| Section |
|---|
|
| Column |
|---|
| 
|
| Column |
|---|
Zijn er geen gebruikers gevonden die RA(A) gemaakt kunnen worden? - Controleer dan via het tabblad 'Tokens' of de YubiKey van de beoogd RA de status 'geactiveerd' heeft
Zo niet, dan zal de gebruiker eerst met zijn YubiKey + Activatiecode + Legitimatiebewijs langs moeten bij de RA-admin om zijn YubiKey te laten activeren. - Controlleer in het 'RA Management' scherm of de gebruiker al een rol heeft. Een gebruiker kan niet meer dan één rol hebben voor een instelling.
- Controleer in het 'Instellingsconfiguratie' of een gebruiker van de betreffende instelling een RA(A) rol mag krijgen in de beoogde instelling.
|
|