Introductie

Medewerkers die de Registration Authority (RA) rol hebben zijn mogen tokens (SMS, tiqr, YubiKey) van gebruikers activeren nadat zij succesvol vastgesteld hebben dat de gebruiker:

• is wie hij zegt te zijn
• bezit van het aangevraagde token kan aantonen

Deze RA-rollen zullen doorgaans belegd zijn bij Service Desks, Helpdesks of HRM. De RA dient zelf te beschikken over een authenticatiemiddel op minimaal Level of Assurance 3 (YubiKey) om toegang te kunnen krijgen tot de RA-portal. De RA-medewerker doorloopt hiervoor het standaard selfservice proces.

Standaard kunnen medewerkers alleen een RA of RAA rol krijgen voor de eigen instelling, en dus alleen gebruikers actieveren van de eigen instelling en alleen rollen toekennen voor de eigen instelling. Sinds SURFsecureID release 17 kunnen medewerkers ook rollen toegekend krijgen buiten de eigen instelling. Of dit mogelijk is, en voor welke instellingen dat is wordt bepaald door de instellingsconfiguratie. Deze configuratie kan alleen door SURFnet aangepast worden. Een RAA kan de actuele configuratie van de eigen instelling(en) zien in de 'Instellingsconfiguratie' tab.

Rollen en rechten RA(A)'s

Binnen instellingen zijn er twee RA-rollen actief: de Registration Authority Administrator (RAA) en de normale Registration Authority (RA). Een RAA kan enkel gelijke of lagere rollen toekennen aan andere personen. Een RA kan geen rollen toekennen aan andere personen. Een RAA kan ook alle operaties van een RA uitvoeren.

Algemene registratieprocedure RA's en RAA's

RA(A)'s activeren de token van gebruikers om gebruik te kunnen maken van SURFsecureID. Daarbij controleren zij de identiteit van de gebruiker. RA(A)'s doorlopen eerst hetzelfde proces als andere gebruikers alvorens zij de RA of RAA rol toegekend krijgen. Een gebruiker moet een geactiveerd token met Level of Assurance level 3 (een Yubikey) hebben voordat deze een RA of RAA rol toegekend kan krijgen. Het proces voor het toekennen van RA(A)-rechten (registratie, ID verificatie en autorisatie) is hieronder beschreven.

1. De gebruiker logt in op de self-service applicatie. Deze applicatie is te vinden op https://sa.surfsecureid.nl.
   
2. De gebruiker kiest een authenticatiemiddel met Level of Assurance 3 (=YubiKey) en koppelt deze aan zijn of haar account. 
3. De gebruiker bevestigt zijn of haar e-mailadres via de ontvangen e-mail. (deze stap kan optioneel worden uitgeschakeld)
   
4. De gebruiker ontvangt per mail een activatie code. Deze code kan ook afgedrukt worden, of als PDF worden opgeslagen.
5. De gebruiker gaat met zijn of haar token, een geldig legitimatiebewijs en de activatiecode van de vorige stap mee naar een RA op de opgegeven locatie.
6. De RA voert de activatiecode in op de RA-interface. De RA interface is te vinden op https://ra.surfsecureid.nl.
   
7. De RA controleert de identiteit van de gebruiker a.d.h.v. het legitimatiebewijs en noteert de laatste zes tekens van het document.
8. Indien in voldoende mate is aangetoond dat de persoon en de opgegeven identiteit overeenkomen wordt het token door de RA geactiveerd.
9. Door de RAA wordt de RA (of RAA) rol aan de gebruiker toegekend.

Intrekken van RA(A)-rollen

Het intrekken van autorisaties van RA's en RAA's gaat op dezelfde manier als het toekennen: in de RA-interface kunnen rollen ingetrokken worden. Het toekennen en intrekken van rollen wordt gelogd.

Externe RA's en RAA's

Binnen SURFsecureID is elke instelling een eigen geïsoleerde tenant, met een eigen configuratie. Voorheen was het zo dat alleen gebruikers van de eigen instelling de RA of RAA rol konden vervullen voor gebruikers van hun eigen instelling. Sinds april 2020 is het voor een instelling ook mogelijk om een RA of RAA rol toe te kennen aan gebruikers van andere instellingen. Deze "externe" RA's of RAA's krijgen precies dezelfde rechten als de RA's en RAA's van de eigen instelling. In SURFsecureID kunnen we per instelling configureren van welke andere instelling(en) gebruikers een RA of RAA rol kunnen krijgen.

Dit is nuttig in verschillende scenario's, bijvoorbeeld:

• Verschillende instellingen die wel dezelfde campus en/of ict-ondersteuning gebruiken, maar wel ieder hun eigen SURFconext IdP koppeling hebben
• Gebruikers die niet makkelijk de thuisinstelling kunnen bezoeken, kunnen de RA diensten gebruiken van een instelling in hun omgeving
• Kleinere instellingen die geen eigen RA-procedures op willen zetten kunnen gebruik maken van de diensten van een collega instelling, of een externe partij

Het toewijzen van rollen aan gebruikers van andere instellingen kan op twee manieren:

1. Alle RA's en/of alle RAA's van instelling A krijgen diezelfde rol bij instelling B. Dit kan voor RAs en RAAs apart ingesteld worden. Instelling B neemt dus automatisch de RA's en/of RAA's van instelling A over. Het beheer van de RA en RAA rollen van deze gebruikers blijft bij instelling A.
2. De RAA's van instelling A kunnen individuele gebruikers van instelling B de RA of de RAA rol geven voor instelling A. Deze gebruikers hoeven geen RA of RAA rol te hebben bij instelling B. Het beheer van de RA en RAA rollen van deze gebruikers ligt dus bij instelling B.

Aanvragen Externe RA(A)'s

Om gebruik te maken van externe RA(A)'s moet de SURFConext-verantwoordelijke van de instelling dit aanvragen. 

1. Stuur een email aan support@surfconext.nl. Geef hierbij aan:
   1. welke van de drie hierboven beschreven scenario's je wil gebruiken
   2. welke instelling(en) je rechten wilt geven binnen jouw instelling
2. SURFconext support zal bij de SURFConext-verantwoordelijke van de andere instelling navragen of zij ook akkoord zijn met deze uitwisseling.
3. SURF past de configuratie aan voor de instellingen.
   • RA's en RAA's zien de nieuwe rechten terug in hun profiel tab in de SURFsecureID RA interface (https://ra.surfconext.nl/profile)
   • RAA's zien de aangepaste instellingsconfiguratie terug in de instellingsconfiguratie tab in de SURFsecureID RA interface (https://ra.surfconext.nl/institution-configuration)