...
SURFconext kan voor een door de instelling bepaalde set SP's een signaal naar de IdP sturen dat MFA vereist is voor deze SP. Zo kan de IdP dit vereisen. Bij terugkeer van de gebruiker van de IdP verifieert SURFconext dat dit werkelijk gebeurd is. Indien niet, krijgt de gebruiker een foutmelding en kan niet door naar de dienst.
De functionaliteit behoort bij het standaard aanbod van SURFconext en vereist geen abonnement of tarief.
SURF vindt leveranciersonafhankelijkheid een belangrijke waarde. De functie is dan ook generiek opgezet volgens de SAML2.0-protocolspecificatie en in principe toepasbaar met verschillende identity provider-producten en MFA-oplossingen. De documentatie gaat nu nog voornamelijk uit van Microsoft aangezien 2/3 van onze instellingen dat gebruikt, maar we kunnen andere vendors ook faciliteren. Neem even contact op als je hierin geïnteresseerd bent.
...
De speciale waarden die we op dit moment kunnen sturen zijn "https://refeds.org/profile/mfa" (generiek bruikbaar, gestandaardiseerd) of "http://schemas.microsoft.com/claims/multipleauthn" (vendorspecifiek voor Microsoft MFA-producten).
De IdP laat de gebruiker inloggen en vraagt om de tweede factor (dit regelt de instelling zelf). Hij stuurt een assertion terug naar SURFconext met de attributen van de gebruiker, en, indien succesvol, dezelfde waarde die in RequestedAuthnContext stond in het element AuthnContextClassRef. Of, in het geval van ADFS, in een specifiek extra attribuut (http://schemas.microsoft.com/claims/authnmethodsreferences). SURFconext controleert dat element of attribuut om te checken dat de sterke authenticatie inderdaad heeft plaatsgevonden. Indien ja, gaat de gebruiker gewoon verder naar de SP. Indien nee, dan krijgt hij de foutmelding rechts en kan niet verder.
...
Afstemming met het SURFconext-team vooraf is niet nodig; alle IdP's die dit willen kunnen het in gebruik nemen. De functionaliteit behoort bij het standaard aanbod van SURFconext en vereist geen abonnement of tarief.
Voorop staat dat de IdP zelf een MFA-oplossing (zoals Microsoft/Azure MFA) geconfigureerd heeft, en gebruikers moeten tokens geactiveerd hebben. We gaan er vanuit dat dit al operationeel is.
...