Space Index
Total number of pages: 99
|
|||||||||||||||||||||||||||||||
0-9 |
AAandachtspunten voor RAEr zijn een aantal aandachtspunten waar een instelling bij het inrichten van het registratieproces rekening mee moet houden: Geldige legitimatiebewijzen De volgende documenten gelden als geldig legitimatiebewijs: Paspoort Rijbewijs Identiteitskaart NB: ee
Aansluiten op de SURFsecureID Pilot Omgeving
Voor het doen van pilots met SURFsecureID heeft SURFnet een Pilot omgeving beschikbaar. Deze omgeving kan door instellingen, en ook door service providers, gebruikt worden om sterke authenticatie uit te proberen in de eigen omgeving. De pilot omgeving sta
Aanvragen SURFsecureID
Het aanvraagproces voor instellingen die gebruik willen maken van SURFsecureID kent een aantal stappen. In overleg met de betrokken instelling kunnen een aantal van deze stappen parallel of in een andere volgorde uitgevoerd worden. Weet u nog niet zeker o
Azure MFA
Je hebt al een Azure MFA token geregistreerd voor je instelling. Je kunt dit controleren door naar deze pagina van Microsoft https://mysignins.microsoft.com/security-info te gaan en in te loggen met je instellingsaccount Voor SURFsecureID maakt het niet u
Azure MFA (EN)
You have already registered an Azure MFA token for your institution. You can check this by going to this page from Microsoft https://mysignins.microsoft.com/security-info and logging in with your institution account For SURFsecureID, it does not matter wh
Azure MFA als authenticatiemiddel
Achtergrond Azure MFA en SURFsecureID ondersteunen elk verschillende typen 2FA-middelen. Voor gebruikers is het onhandig en verwarrend als zij verschillende 2FA-middelen naast elkaar moeten gebruiken. Bijvoorbeeld voor de ene applicatie de Microsoft Authe
|
||||||||||||||||||||||||||||||
B |
CConfigureer Azure AD voor SURFsecureID koppelingimage2020-6-8_16-58-46.png Voer onderstaande stappen uit op je instellings Azure AD om de koppeling met SURFsecureID te maken. Geef de gevraagde informatie door aan support@surfconext.nl. mailto:support@surfconext.nl. Geef ook aan dat je via Azure AD wilt
Configuring a Shibboleth SP for SURFsecureID
Request authentication at a specific LoA An example Apache configuration snippet where a request for a specific URL triggers a SAML request with LoA 2. The LoA identifier (http://surfconext.nl/assurance/loa2) in the example below is specific for the Produ
Configuring a simpleSAMLphp SP for SURFsecureID
The sp.php script below shows how you can use SimpleSAMLphp to: Request a specific minimum level op assurance (LoA) from the SURFsecureID gateway Verify the LoA at which the user is authenticated To use this scripts: Configure a SimpleSAMLphp SAML 2.0 hos
Connecting your service to SURFsecureID
Depending on the integration option you choose for your service, you need to follow a different connection procedure and technical implementation. 1) SFO authentication Procedural An institution must give permission for a SFO integration in the SURFsecure
Contact and support
Support for connected IdPs and SPs The SURFconext team is the first point of contact for all questions, issues or incidents regarding SURFsecureID. The SURFconext team offers support to all Identity Providers and Service Providers, as well as users that a
|
||||||||||||||||||||||||||||||
DDiensten met SURFsecureIDOm gebruik te maken van SURFsecureID moet de dienst of voorziening worden gekoppeld. Op deze pagina wordt een overzicht gegeven welke diensten een koppeling hebben met SURFsecureID (in de pilot- of de productieomgeving): MS ADFS Office 365 Citrix Netscal
Differences between options
The table below shows the differences for a service between the two authentication options. Note that both options can be used by an institution protecting it's services. For each service the most appropriate integration option can be chosen. Feature Stan
Differences between SURFconext and SURFsecureID
This page describes the differences between SURFconext and SURFsecureID that are relevant for a SAML service provider (SP) that is migrating from SURFconext to the SURFsecureID gateway, or that is using both simultaneously. Note that this is only relevant
Documentatie voor instellingen
Op de volgende pagina's vindt u alle relevante informatie voor instellingen die in hun rol van Identity Provider SURFsecureID willen gaan gebruiken. Technisch zijn er geen aanpassingen nodig aan uw Identity Provider software, op organisatorisch vlak dient
Documentation for Service Providers
For Service Providers there are normally no changes needed to make use of SURFsecureID. To require SURFsecureID for all logins to a specific Service Provider, or for all logins by one or more IdP's to a specific Service Provider, the SURFconext team can s
|
EEnvironments overviewSURFsecureID has three environments that can be used. The table below shows the differences between these environments. header-logo-test.png header-logo-pilot.png header-logo.png Environment for testing purposes only Uses IDP's from SURFconext Test enviro
Error code 32881
Example image001.png Description During token registration, you get an error page with error code 32881 Solution This error occurs when your institution does not sent your email address https://wiki.surfnet.nl/display/surfconextdev/Attributes+in+SURFconex
|
||||||||||||||||||||||||||||||
FFAQ SURFsecureIDWaarom moet ik mij identificeren? Jouw instelling wil zeker weten dat diensten en gegevens veilig en alleen toegankelijk zijn voor geautoriseerde personen. Voor toegang tot extra gevoelige diensten of gegevens wordt SURFsecureID ingezet. De instelling wil
FAQ SURFsecureID (EN)
Why do I need to identify myself? Your institution wants to make sure that services and data are safe and only accessible to authorized persons. SURFsecureID is used for access to extra sensitive services or data. The institution then wants to be more sur
FIDO2
Je hebt een FIDO2 token nodig en een recente browser. Niet alle FIDO2 tokens worden door SURFsecureID ondersteund. Kijk hier voor een overzicht van ondersteunde FIDO2 tokens. Neem contact op met jouw instelling om een FIDO2 token te verkrijgen, of bestel
FIDO2 (EN)
You need a FIDO2 token and a recent browser. Not all FIDO2 tokens are supported by SURFsecureID. Look here for an overview of supported FIDO2 tokens. Contact your institution to obtain a FIDO2 token, or order one online. Access to your institution's mail
FIDO2 tokens
De Microsoft Office desktop of mobile applicatie werken met een ingebouwde browser die de FIDO/webauthn standaard (nog) niet ondersteunt. De login met een FIDO token werkt dan ook niet voor deze applicaties. Achtergrond FIDO is een technologie waarmee vei
For a service
Introduction A service can connect to SURFconext or SURFsecureID to handle it's strong authentication login. There are only a few differences between both options. But whenever possible, connect your service to SURFconext as this is the preferred method.
For an institution
Introduction An institution can use SURFsecureID to add a second authentication factor to any service or facility. This is most valuable when added to an existing, central (authentication) facility. For instance, if an institution uses Microsoft ADFS to s
Foutcode 32881
Beschrijving Tijdens de registratie van je token krijg je de foutcode 32881 Oplossing Deze fout treed op als je instelling jouw email adres https://wiki.surfnet.nl/display/surfconextdev/Attributes+in+SURFconext#AttributesinSURFconext-mail of volledige naa
Frequently Asked Questions
Should my application be web based to connect to SURFsecureID? Yes. The main technical prerequisite is that a Service Provider must connect via SAML 2.0 using the Web Browser SSO profile. Can institutions from secondary vocational-, higher education and r
|
G |
||||||||||||||||||||||||||||||
HHandleiding RA Management portalMedewerkers die de rol Registration Authority (RA) hebben, vormen een belangrijke schakel in het proces om sterke authenticatie voor een gebruiker mogelijk te maken. De kracht van een sterkere vorm van authenticatie valt of staat bij het verifiëren van de
Handleiding RA-admin
Medewerkers die de rol Registration Authority Admin - afgekort RA-admin of RAA - hebben, vormen een belangrijke schakel in het proces om sterke authenticatie binnen de instelling mogelijk te maken. De kracht van een sterkere vorm van authenticatie valt of
Handleiding Registratieportal
Deze handleiding is voor alle gebruikers die een token willen registreren voor SURFsecureID. Gebruikers kunnen een authenticatie token kiezen via een Registratieportal https://sa.surfsecureid.nl/. De volgende tokens zijn beschikbaar: SMS tiqr YubiKey Inho
Help er gaat iets mis
Krijg je een foutmelding tijdens het gebruik van SURFsecureID? De kans is groot dat het een van onderstaande foutmeldingen betreft. Lees hier meer over wat de foutmelding betekent en wat je kunt doen om het probleem te verhelpen. Staat jouw foutmelding er
Help, something is wrong
Do you receive an error whilst using SURFsecureID? Chances are you're receiving one of the errors on this page. You can read what your error means and what you can do to fix this problem. If your error is not on this page, or the problem persists after tr
Het Instellingsconfiguratie scherm
In het instellingsconfiguratie scherm kan de RAA voor iedere instelling waarvoor hij / zij de RAA rol heeft de actuele instellingsconfiguratie inzien. De RAA kan deze configuratie niet wijzigen, alleen medewerkers van SURFnet kunnen dit. Neem contact op m
|
IInrichten registratieprocesHet proces waarin een fysieke persoon gelinkt wordt aan zijn digitale identiteit en zijn authenticatiemiddel is cruciaal om misbruik en identiteitsfraude tegen te gaan. SURFsecureID is daarom zo ontworpen dat een token met zekerheid gekoppeld wordt aan de
Installatie ADFS MFA Extensie
SURFnet heeft een multifactor authenticatie (MFA) extensie ontwikkeld voor Microsoft AD FS voor gebruik met SURFsecureID. Met deze extensie kan de tweede factor van een gebruiker in SURFsecureID worden gebruikt voor MFA authenticatie in AD FS. De registra
Introduction to SURFsecureID
SURFsecureID gives institutions secure access to services. Better security is particularly critical for services handling sensitive data. Such services require stronger forms of authentication than a username and password in order to limit the risk of sec
|
||||||||||||||||||||||||||||||
J |
K |
||||||||||||||||||||||||||||||
LLevels of AssuranceWhen users access online services, they want to be confident that their data and services are secure and their privacy is protected. Institutions and Service Providers that offer online services also need to verify a user's identity to make sure only the
|
MManual RA Management portalEmployees with the role Registration Authority (RA), have an important role in facilitating strong authentication to users. The process by which a physical person is linked to his/her digital identity information and to his/her authentication credential i
|
||||||||||||||||||||||||||||||
N |
OOndersteunde FIDO2 tokensSURFsecureID ondersteunt het gebruik van FIDO tokens (ook authenticators of security keys genoemd). Zowel FIDO U2F als FIDO2 tokens kunnen hierbij als 2e factor worden gebruikt. De FIDO protocollen zijn gestandaardiseerd, waardoor tokens van verschillende
|
||||||||||||||||||||||||||||||
P |
Q |
||||||||||||||||||||||||||||||
RRA locaties beherenVoor instellingen zijn er twee mogelijkheden om aan te geven waar gebruikers hun tokens moeten activeren: RA-locaties: de RA(A) kan verschillende locaties configureren met naam, locatie en contactgegevens die worden getoond aan de gebruikers. RA-contactpe
RA-rollen toewijzen
Introductie Medewerkers die de Registration Authority (RA) rol hebben zijn mogen tokens (SMS, tiqr, YubiKey) van gebruikers activeren nadat zij succesvol vastgesteld hebben dat de gebruiker: is wie hij zegt te zijn bezit van het aangevraagde token kan aan
Registratieportal - Pagina niet gevonden
Voorbeeld Screen Shot 2018-06-14 at 13.29.27.png Beschrijving Tijdens de registratie van je token volg je de email verificatie link en krijgt deze foutcode Oplossing Deze fout treed op als de email verificatie link niet correct is. Dit kan veroorzaakt wor
Registration portal - Page not found
Example Screen Shot 2018-07-17 at 11.35.32.png Description During the token registration process, you follow the email verification link and get this error. Solution This error occurs when the email verification link is not correct. This can occur when: T
Roadmap
It is our ambition to let SURFsecureID grow into the default strong authentication solution for Dutch education and research institutions. The following activities are planned: Remote registration facility Preliminary research is done https://www.surf.nl/
|
SSAML message examplesRequesting authentication at a specific LoA A SP can request authentication at a specific LoA by specifying that LoA in the AuthnRequest. Note that an SP can send an AuthnRequest to the gateway at any time, also when a user is already logged in at the SP.
Second Factor Only (SFO) Authentication
Introduction Second Factor Only authentication allows a SP to authenticate only the second factor of a user. SFO is suitable for situations where the application must perform the fist factor authentication of the user like that application gateway (e.g. C
Service Provider Techical Requirements
On this page we provide a list of the technical requirement that a service provider's SAML implementation must meet in order to connect to the SURFsecureID gateway. Sending the Authentication Request To initiate a authentication the SP must send a SAML 2.
SMS
Een mobiele telefoon (werk of privé) die SMS kan ontvangen is vereist. Toegang tot het mailaccount van jouw instelling. Basics Gebruik je telefoon zorgvuldig Jouw telefoon is privé, deel deze niet met anderen. Verlies je telefoon niet uit het oog. Vergren
SMS (EN)
You will need a mobile phone (work or private) that can receive SMS text messages. You will need access to your institutional e-mail account. Basics Handle your phone with care Your phone is private, do not share your phone with others. Never leave your p
SMS als tweede factor?
Het gebruik van SMS voor twee-factor authenticatie is altijd nog beter dan geen tweede factor, maar er zijn andere, modernere en veiligere twee-factor authenticatiemiddelen beschikbaar voor SURFsecureID, zoals tiqr, Yubikey en binnenkort FIDO2. We laten h
Stepup Gateway - Error Oops! - Error code 18354
Example Screen Shot 2018-05-01 at 16.14.40.png Description You see this error after repeatedly sending an SMS code Solution When you try to login with SMS, you can request a SMS code 3 times. If you try for the 4th time, this error appears. The solution i
Stepup Gateway - Error Oops! - Error code 21072
Example Screen Shot 2018-10-22 at 11.09.22.png Description You see this error when you try to login to a service Solution A possible solution is to return to the service where you were trying to login and start the login proces again. You can also try a d
Stepup Gateway - Error Oops! - error code 23354
Voorbeeld image (2).png Beschrijving You can receive this error after selecting a token on an office application Oplossing This error will occur in Office version 2016. Upgrade to a newer version.
Stepup Gateway - Error Oops! - Errorcode 22109
Voorbeeld fout_22109.jpg Beschrijving This error appears when the user has successfully authenticated, but the SURFsecureID gateway can't find a session, and therefore can't redirect you to the originating service. This happens when a link is opened in a
Stepup Gateway - Error Oops! - Foutcode 18354
Voorbeeld Screen Shot 2018-05-01 at 16.14.40.png Beschrijving Je krijgt deze error bij het herhaaldelijk laten versturen van een SMS code Oplossing Als je inlogt met SMS kun je 3x een SMS code laten versturen. Als je het nog vaker probeert verschijnt deze
Stepup Gateway - Error Oops! - Foutcode 21072
Voorbeeld Screen Shot 2018-10-22 at 11.09.22.png Beschrijving Je krijgt deze error als je probeert in te loggen bij een dienst Oplossing Een mogelijke oplossing is om terug te gaan naar de dienst waarop je wilde inloggen en het nogmaals te proberen. Je ku
Stepup Gateway - Error Oops! - Foutcode 22109
Voorbeeld fout_22109.jpg Beschrijving Deze foutmelding verschijnt als de gebruiker succesvol is ingelogd, maar de SURFsecureID gateway de sessie niet meer kan vinden, en je dus niet terug kan sturen naar de dienst. Dit gebeurt als een link wordt geopend i
Stepup Gateway - Error Oops! - Foutcode 23354
Voorbeeld image (2).png Beschrijving Je krijgt deze error na het selecteren van een token in een Office applicatie Oplossing Deze melding treed op in Office versie 2016. Upgrade naar een nieuwere versie.
Stepup Gateway - Error Oops! - Foutcode 72588
Voorbeeld ssid-error.png Beschrijving The SURFsecureID Gateway did not receive the eduPersonTargetedID (EPTI) attribute. This attribute is required when authenticating to a Service Provider (SP) that uses SURFsecureID. Oplossing Ask SURFconext support mai
Supported FIDO2 tokens
SURFsecureID supports the use of FIDO tokens (also called authenticators or security keys). Both FIDO U2F and FIDO2 tokens can be used as a 2nd factor. The FIDO protocols are standardized, so that tokens from different manufacturers can be used. See below
SURFsecureID
With SURFsecureID users have to do a second authentication, above their 'normal' username and password login. The result is a higher security for the Service Provider (SP) and the Identity Provider (IdP). This wiki explains the principles behind SURFsecur
SURFsecureID gebruiken
Wanneer je gebruik maakt van online diensten wil je zeker weten dat jouw privacy wordt bewaakt en jouw data veilig is. Daarnaast willen instellingen en online diensten zeker weten dat jij degene bent die je zegt dat je bent (en niet iemand die zich als jo
SURFsecureID Metadata for Service Providers
The SURFsecureId Production, Pilot and Test environments use different AuthnContextClassRef identifiers. Production environment On juli 2nd 2020 the signing certificate of SURFsecureID production was be replaced. For more information see SURFsecureID Ke
SURFsecureID ondersteuning (NL)
Op deze pagina's vindt je ondersteuning voor het gebruik van SURFsecureID of hulp als er iets mis gaat. Handleiding voor het gebruik van SURFsecureID Bekijk de veelgestelde vragen of jouw vraag hier bij staat Help, er gaat iets mis! Een overzicht van veel
SURFsecureID support
SURFsecureID support (EN) On these pages you can find support for using SURFsecureID or help when something goes wrong. Manual for using SURFsecureID Frequently asked questions for SURFsecureID Help, something is wrong. An overview of common error messages. If your question is not
|
||||||||||||||||||||||||||||||
TTiqrEen smartphone is vereist (Apple iOS of Android) Download de tiqr app Je hebt toegang nodig tot je instellings e-mailaccount. Basics Ga zorgvuldig om met je telefoon en de tiqr app Jouw telefoon en tiqr app zijn privé, deel deze niet met anderen. Verlies
Tiqr (EN)
You will need a smartphone (Apple iOS or Android) Download the tiqr app You will need access to your institutional e-mail account. Basics Handle your phone and tiqr app with care Your phone and tiqr app are private, do not share it with others. Never leav
Tiqr - Black screen while trying to scan the QR code
Example This screen is shown during the registration process of you tiqr app: Screenshot_20180618-131321_TiQR.jpg Description While registering you tiqr app you need to scan the QR code, but this is not possible because the tiqr app only shows a black scr
Tiqr - Error - Je account is geblokkeerd
Voorbeeld image (1).png Beschrijving Je gebruikt normaal tiqr om in te loggen op de dienst. Nu verschijnt bovenstaande fout als je probeert in te loggen bij een dienst. Oplossing Je hebt waarschijnlijk 5x een verkeerde PIN-code ingevoerd in de tiqr app. H
Tiqr - Error - Your account is blocked
Example image (1).png Description You normally use tiqr to login to the service. Now, the above error appears when you try to login. Solution You've probably entered a wrong PIN-code 5 times in the tiqr app. This permanently blockes your current tiqr regi
Tiqr - Invalid Response during registration
Example This error is displayed in the tiqr app during the registration process: Screenshot_20180618-115040_TiQR.jpg Description During registration of your tiqr app an error saying "invalid response" is displayed in the tiqr app. This problem can occur o
Tiqr - Invalid Response tijdens registratie
Voorbeeld De volgende fout verschijnt in de tiqr app tijdens het registratieproces: Screenshot_20180618-115040_TiQR.jpg Beschrijving Tijdens het registreren van tiqr verschijnt de foutmelding "Invalid response" in de tiqr app. De fout ziet er uit zoals he
Tiqr - Kan niet inloggen. Ongeldige sleutel.
Voorbeeld Het volgende scherm verschijnt in de tiqr app tijdens op een Android telefoon: image2019-3-11_15-49-41.png Beschrijving Tijdens de login met tiqr zie je bovenstaande foutmelding. Dit probleem doet zich voor op Android telefoons. Oplossing De ops
Tiqr - Zwart scherm tijdens scannen QR code
Voorbeeld Het volgende scherm verschijnt in de tiqr app tijdens het registratieproces: Screenshot_20180618-131321_TiQR.jpg Beschrijving Tijdens het registreren van tiqr wil je de QR code scannen, maar dat lukt niet omdat de tiqr app een zwart scherm laat
Tiqr Android Bèta release
De huidige bèta release is 3.1.0. In deze release is de camera handling en QR scanning aangepast om problemen met de het scannen en herkennen van QR codes op te lossen. De huidige productie versie is 3.0.10. Deze beta release is relevant voor gebruikers d
Token overzicht exporteren
Als RAA heb je in de 'Tokens' tab te mogelijkheid om een token overzicht te exporteren als CSV bestand. Een RA heeft deze mogelijkheid niet. Selecteer de tokens die je wilt exporteren, gebruik hiervoor de 'Zoek'-functie Klik op 'Exporteren' om een CSV-bes
Token registration manual
This manual is for all users that want to register a token for SURFsecureID. Users can select an authentication token via a Registration Portal https://sa.surfsecureid.nl/. The following tokens are available: SMS Tiqr YubiKey Table of contents of this man
|
UUsing Citrix NetScaler with Second Factor Only (SFO) AuthenticationSince Citrix ADC release 13 https://docs.citrix.com/en-us/citrix-adc/13/, Citrix NetScaler contains the SAML features that are required to use second factor only (SFO) authentication with SURFsecureID. This allows adding 2nd factor authentication with SUR
Using eduID as IdP for testing SPs
eduID is the replacement for OneGini. See "Migrating your old Onegini account to a new eduID" for more information. For testing with the SURFsecureID test environment you need a user account. If you do not have access to an identity provider (IdP) that is
Using Levels of Assurance to express strength of authentication
SURFsecureID uses Levels of Assurance (LoA) to express the strength of authentication. This page describes how a service or institution can request a LoA for a specific service or part of a service. Furthermore, the LoA identifiers differ between the envi
Using SURFsecureID
When you’re using digital services, you need to be sure that your privacy is being protected and your data is secure. Also institutions from higher education and research and service providers that offer services online need to know it is really you (and
|
||||||||||||||||||||||||||||||
VVoorwaarden en tarievenOnderstaande voorwaarden zijn van toepassing op het gebruik van SURFsecureID. Instellingen gaan bij aanmelding voor SURFsecureID akkoord met deze voorwaarden. Voorwaarden SURFsecureID Naast onderstaande voorwaarden zijn de voorwaarden van de “Gebruiksover
|
W |
||||||||||||||||||||||||||||||
X |
YYubiKeyJe hebt een YubiKey hardware token nodig (Standard, Edge, Neo, 4 of 5). Neem contact op met jouw instelling om een YubiKey te verkrijgen, of bestel er een online. Toegang tot het mailaccount van je instelling is vereist. Een apparaat met USB poort is vere
YubiKey (EN)
You will need a YubiKey hardware token (Standard, Edge, Neo, 4 or 5). Please contact your institution to request a YubiKey hardware token, or order a YubiKey yourself online. You will need access to your institutional e-mail account. You will need a devic
YubiKeys
SURFsecureID ondersteunt het gebruik van YubiKey-hardware tokens. Yubikeys die "Yubico OTP" ondersteunen zijn geschikt voor gebruik binnen SURFsecureID. Merk op dat er ook Yubikeys te koop zijn die enkel FIDO2 als protocol ondersteunen. Deze (meestal) b
|
||||||||||||||||||||||||||||||
Z |
!@#$ |
Introduction
Second Factor Only authentication allows a SP to authenticate only the second factor of a user. With SFO you can add two factor authentication to your institutions application gateway (e.g. Citrix Netscaler or F5 BIG-IP) or to the authentication or authorization gateway (e.g. Microsoft ADFS or Novell/NetIQ). SFO has its own authentication endpoint at SURFsecureID.
Once a user is registered with a second factor both SFO authentication and SURFsecureID can be used.
Differences between 'standard' SURFsecureID and SFO authentication
Feature | Standard authentication | SFO authenticaton |
---|---|---|
Authentication of first factor | Always | Never |
Authentication of second factor | Based on policy between IdP and SP | Always |
User registration | Using SURFsecureID selfservice registration and vetting by an RA | |
Standard SURFconext features | Attributes, Authorization, persistent identifiers | None |
With SFO the authentication via SURFconext is bypassed (see image below). This means that SURFconext functionality (e.g. attributes from the user's home IdP, the definition of authorization rules and persistent user identifiers) is not available.
Note that also with SFO the registration of users will be done by the institutions (IdP's): there is no work to be done for the SP.
SAML AuthRequest
To start a SFO the SP must send a SAML 2.0 AuthnRequest
to the SFO endpoint of the SURFsecureID Gateway. This request must:
- use the
urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect
binding - be signed using the
http://www.w3.org/2001/04/xmldsig-more#rsa-sha256
algorithm (XML signatures cannot be used). - include a
RequestedAuthnContext
with anAuthnContextClassRef
with one of the defined levels. - include the SURFconext identifier of the user in the
Subject
element as aNameID
(withFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified",
see description ofAuthnRequest
in https://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf, line 2001).
SFO uses different SingleSignOn Location and AuthnConext
identifiers as compared with standard authentication.
The signature is not visible in the XML: it will be encoded in HTTP GET parameters according to the specification of the HTTP-Redirect
binding.
Determining the SURFconext identifier of a user
The SURFconext identifier is built from identifiers that the IdP of the user sends to SURFconext during authentication:
urn:collab:person:{{urn:mace:terena.org:attribute-def:schacHomeOrganization}}:{{urn:mace:dir:attribute-def:uid}}
where:
urn:collab:person:
= fixed prefix.{{urn:mace:terena.org:attribute-def:schacHomeOrganization}}
= value of schacHomeOrganisation attribute of the user; same for all users and will be something like "institution.nl
".{{urn:mace:dir:attribute-def:uid}}
= value ofuid
attribute of the user. Replace any "@" with an "_".
For the value of last two items: ask the administrator of the IdP .
Example: urn:collab:person:some-organisation.example.org:m1234567890
SAML Response
The result of a successful authentication is a SAML Response
. It does not contain an AttributeStatement
.
Error handling
When a user cannot be authenticated, the SURFsecureID gateway sends a SAML Response to the SP with a non success status:
urn:oasis:names:tc:SAML:2.0:status:Responder
with subcodeurn:oasis:names:tc:SAML:2.0:status:AuthnFailed =
Authentication not successfulurn:oasis:names:tc:SAML:2.0:status:Responder
with subcodeurn:oasis:names:tc:SAML:2.0:status:NoAuthnContext =
The user could not be authenticated at the requested level
Level: authentication strength
See explanation at "Levels of Assurance".
Implementation
SFO must be implemented at the SP. The authentication protocol is similar to the one used by the SURFsecureID gateway. The main difference is that the SP must send the identifier of the user in the Subject element of the SAML AuthnRequest (see description of AuthnRequest, line 2017).
- The SP will be registered at the SURFsecureID gateway as either SFO SP or a 'standard' SURFsecureID SP: this determines which endpoint he can access. If a SP implementation needs both, he can register an additional EnityID and use it to access the other endpoint.
- There is a white-list of SURFconext identities allowing SFO authentication. The SP must indicate in advance the institutions from which he wants to authenticate users with SFO.
You can find the metadata of the SFO endpoints on SURFsecureID Metadata for Service Providers.
Always do a first factor authentication before starting a SFO authentication
Starting an SFO authentication will immediately start an authentication at the SURFsecureID gateway: a push notification (tqr) or an SMS will be sent to the user being authenticated. If authentication is started for the wrong user, this will derange the targeted user and in case of SMS, incur a cost to the institution and possibly for the user.
By observing the behavior of the SFO authentication it is possible to determine whether a username exists.
For this reasons we advise to perform a first factor authentication before starting a SFO authentication.
Example
An example code for using SFO with SimpleSAMLphp can be found at: https://github.com/SURFnet/Stepup-SFO-demo