Het aanmeldproces voor instellingen die gebruik willen maken van SURFconext Sterke Authenticatie kent een aantal stappen. In overleg met de betrokken instelling kunnen een aantal van deze stappen parallel of in een andere volgorde uitgevoerd worden.
Weet u nog niet zeker of u wilt aansluiten op SURFconext Sterke Authenticatie en wilt u eerst meer informatie? Neem dan contact met ons op via support@surfconext.nl.
Stap 1 - Aanmelding
Instellingen kunnen SURFconext Sterke Authenticatie aanvragen via het SURFdashboard. Alleen contactpersonen van de instelling die bij SURFnet bekend zijn als Instellingscontactpersoon (ICP) of Instellingsbevoegde (BVI) kunnen deze aanvraag doen. NB: SURFconext Sterke Authenticatie is alleen beschikbaar voor instellingen die reeds als Identity Provider zijn aangesloten op SURFconext.
De aanvrager gaat bij aanmelding akkoord met de gestelde voorwaarden en tarieven voor het gebruik van SURFconext Sterke Authenticatie.
Bij aanmelding geeft de aanvrager aan wie binnen de instelling de primaire contactpersoon wordt voor het in gebruik nemen van SURFconext Sterke Authenticatie. Het is aan te raden om dit te beleggen bij een medewerker die binnen de instelling nauw betrokken is bij informatiebeveiliging en/ of identity management, en die in staat is nauwe contacten te onderhouden met ondersteunende afdelingen die mogelijk een rol zullen krijgen in het uitgifteproces van authenticatiemiddelen (bijv. IT Helpdesk, Service Desk of HR).
Stap 2 - Intake
De Productmanager SURFconext Sterke Authenticatie neemt contact op met de primaire contactpersoon zoals vermeld bij aanmelding. Tijdens een telefonische intake zal de Productmanager o.a. de volgende zaken willen inventariseren:
- Algemeen: per wanneer en voor welke SPs wil de instelling SURFconext Sterke Authenticatie afnemen, voor welke gebruikers en met welke middelen (SMS, Tiqr, YubiKey)
- Organisatorisch: hoe wil de instelling het uitgifteproces van authenticatiemiddelen organiseren? Welke personen worden verantwoordelijk voor het uitgifteproces, hoe is de support voor eindgebruikers georganiseerd etc.
Daarnaast worden er vervolgafspraken vastgelegd over het ingebruiknemen van SURFconext Sterke Authenticatie.
Stap 3 - Toegang tot SURFconext Sterke Authenticatie portals
Om gebruik te kunnen maken van SURFconext Sterke Authenticatie is toegang tot enkele applicaties nodig. SURFconext stuurt daarom een connectieverzoek naar de 'SURFconextverantwoordelijke' van de instelling voor het activeren van de applicaties applicaties die onderdeel zijn van SURFconext Sterke Authenticatie: de Registratieport en de RA Management portal. De SURFconextverantwoordelijke dient vervolgens akkoord te gaan met de Attribute Release Policies van beide portals:
- SURFconext Sterke Authenticatie Registratieportal | SURFnet
urn:mace:dir:attribute-def:cn
urn:mace:dir:attribute-def:mail
urn:mace:terena.org:attribute-def:schacHomeOrganization
SURFconext Sterke Authenticatie RA Management Portal | SURFnet
urn:mace:dir:attribute-def:cn
urn:mace:dir:attribute-def:mail
urn:mace:terena.org:attribute-def:schacHomeOrganization
Na akkoord van de SURFconextverantwoordelijke van de instelling via het SURFconext Dashboard zal SURFconext de toegang tot deze portals activeren.
Stap 4 - Relevante Service Providers selecteren
Tijdens de intake is reeds besproken voor welke Service Providers de instelling SURFconext Sterke Authenticatie wil gaan inzetten. Het is van belang om te weten om wat voor Service Provider het hier gaat, omdat dit veel uitmaakt voor het vervolgtraject en eventuele doorlooptijd. Onderstaand overzicht laat zien wat er in welke situatie nodig is om Service Providers via SURFconext in gebruik te kunnen nemen, met een indicatie van de doorlooptijd die daarmee gemoeid is. Let wel: een en ander is sterk afhankelijk van de urgentie en medewerking door de betreffende Service Provider. Instelling, SURFconext en Service Provider zullen wanneer zij dit proces ingaan het verwachtingsmanagement goed op elkaar moeten afstemmen.
| Startsituatie | Proces | Doorlooptijd |
|---|---|---|
1. SP is reeds aangesloten op SURFconext Sterke Authenticatie gateway | Er is alleen een akkoord nodig van de SURFconextverantwoordelijke bij de instelling om deze SP in gebruik te nemen. | Kort. ca. 1-2 werkdagen |
| 2. SP is reeds aangesloten op SURFconext, maar nog niet op de SURFconext Sterke Authenticatie gateway | Er is actie van de Service Provider nodig om de SP technisch aan te sluiten op de SURFconext Sterke Authenticatie gateway. Contractueel zijn er geen aanpassingen nodig. In onze documentatie voor Service Providers staat beschreven wat moet gebeuren om aan te sluiten op SURFconext Sterke Authenticatie Gateway. Hoeveel werk dit is, hangt helemaal af van de gekozen implementatie. Wanneer de SP besluit om de applicatie aan de 'buitenkant' in zijn geheel met sterke authenticatie af te schermen, dan is dit releatief weinig werk. In feite hoeft de SP alleen een ander endpoint te configureren. Soms is het echter wenselijk om de sterke authenticatie meer als een step-up authenticatie te laten functioneren. D.w.z. dat sterke authenticatie pas getriggerd wordt wanneer de gebruiker een bepaalde functie in de applicatie benadert, bijv. bij alleen het invoeren van tentamencijfers en niet bij het inzien van deze cijfers. Dit vergt meer logica dieper in de applicatie en kost daarom ook meer ontwikkeltijd. | Gemiddeld. ca. 1-16 weken. |
| 3. SP is nog niet aangesloten op SURFconext en ook nog niet op de SURFconext Sterke Authenticatie gateway | Een Service Provider die nog niet is aangesloten op SURFconext zal eerst het reguliere aansluitproces voor Service Providers moeten doorlopen om aan te sluiten op SURFconext. Dit aansluitproces bestaat uit een technische en organisatorische component. Aanvullend dient ook nog een koppeling met de SURFconext Sterke Authenticatie gateway gemaakt te worden. Hierbij geldt ook weer: de hoeveelheid werk die hiermee gemoeid is, hangt helemaal af van de gekozen implementatie. Zie de toelichting bij scenario 2. hierboven. | Langer. ca. 4-24 weken |
Stap 5 - Testen
Zodra de relevante SP beschikbaar is via de SURFconext Sterke Authenticatie gateway kan de instelling in samenwerking met SURFconext en de SP een functionele test uitvoeren om vast te stellen dat Sterke Authenticatie werkt. Tijdens een finale check tussen instelling, SURFconext en Service Provider wordt een go/ no go beslissing genomen voor het in gebruik nemen van de koppeling met SURFconext Sterke Authenticatie. De koppeling wordt dan overgeheveld naar onze productieomgeving en is klaar voor gebruik.
Stap 6 - Operationaliseren service binnen instelling
Wanneer de door u gewenste Service Provider beschikbaar is via de SURFconext Sterke Authenticatie gateway en deze naar tevredenheid getest is, kunt u verder met de uitrol van SURFconext Sterke Authenticatie binnen uw instelling. We denken hierover graag met u mee. Aandachtspunten waar u als instelling in ieder geval aan moet denken zijn onder andere:
- Opstellen beleid voor sterke authenticatie. Voor welke applicaties en welke gebruikers is dat wel/ niet wenselijk?
- Inrichten uitgifteproces
- Inrichten supportorganisatie
- Planning: in welk tempo gaan welke gebruikers
- Communicatie richting gebruikers en stakeholders, zowel bij lancering als in exploitatiefase.
Stap 7 - Klaar voor gebruik
Zodra de techniek en organisatorische kant voor uitrol van de dienst geregeld is, kan de instelling gebruikers uitnodigen om een tokenregistratie te starten en deze te laten activeren. Na activatie van hun token kunnen gebruikers via SURFconext Sterke Authenticatie inloggen bij online diensten waarvoor sterke authenticatie ingeregeld is.
SURFnet zal tevens de facturatie voor het gebruik van SURFconext Sterke Authenticatie starten.
Wanneer de instelling op een later tijdstip ook andere Service Providers via SURFconext Sterke Authenticatie wil gaan gebruiken, dan kan de instelling dat kenbaar maken via support@surfconext.nl. In overleg worden stap 4 en 5 uit dit stappenplan dan nogmaals doorlopen.