Het proces waarin een fysieke persoon gelinkt wordt aan zijn digitale identiteit en zijn authenticatiemiddels is cruciaal om misbruik en identiteitsfraude tegen te gaan. SURFconext Sterke Authenticatie is daarom zo ontworpen dat een token met zekerheid gekoppeld wordt aan de identiteit van de juiste gebruiker.
Hier vindt u meer info over de inrichting van registratieproces.
Opzet registratieproces
Het registratieproces van tokens (SMS, Tiqr, YubiKey) is op hoofdlijnen als volgt opgezet:
- Allereerst logt de gebruiker in op een Registratieportal met zijn instellingsaccount (username/password). In deze registratieportal selecteert de gebruiker zijn gewenste token (SMS, Tiqr of YubiKey), bewijst hij via e-mailverificatie dat hij inderdaad de geauthenticeerde gebruiker is die deze aanvraag doet en bewijst hij met een authenticatie dat hij controle heeft over het token. De gebruiker ontvangt daarna een activatiecode per e-mail.
- Vervolgens gaat de gebruiker fysiek langs bij een Service Desk om zijn token te laten activeren door een geauthoriseerde medewerker (RA). De RA logt middels sterke authenticatie in bij de RA Managementportal. Daar zoekt de RA de tokenregistratie van de gebruiker op in het systeem op basis van de activatiecode die de gebruiker mee brengt. Na een succesvolle authenticatie met het aangevraagde token door de gebruiker en een succesvolle ID-controle, wordt het token voor de gebruiker geactiveerd.
- De RA-admin die RA-rechten kan delegeren aan andere gebruikers, wordt tijdens een bootstrap procedure door een SURFnet-medewerker aangemaakt. Om dit te kunnen doen zal deze RA-admin een YubiKey moeten aanvragen via de Registratieportal op dezelfde manier waarop een normale gebruiker dit zal doen.
- Alle stappen van een RA en gebruikers in het uitgifteproces van SURFconext Sterke Authenticatie service worden gelogd. Logs worden bewaard zodat in geval van incidenten de nagegaan kan worden wat er wanneer tijdens tokenregistratie gebeurd is.