Deze noodprocedure is alleen bedoeld voor bijzondere situaties, zoals de Corona uitbraak waarmee we op dit moment te maken hebben. Hierbij is het niet mogelijk dat de RA(A) en de gebruiker elkaar face-to-face kunnen ontmoeten. Onderstaande procedure kan in dit geval gevolgd worden.


Het is op dit moment vaak niet mogelijk voor een SURFsecureID gebruiker om een bezoek te brengen aan een RA om een token te activeren (vetting). Toch willen we de betrouwbaarheid van de koppeling tussen het persoon en het token even hoog houden. Het klinkt logisch om de controle van het token en het ID bewijs via een videoverbinding te doen, maar dit verlaagt de betrouwbaarheid. Normaal is er een extra 'drempel' dat de gebruiker toegang moet hebben tot het gebouw, kamer en/of balie waar de RA zich bevindt. Hierdoor is er extra sociale controle. Bij controle via een videoverbinding kan de gebruiker zich overal op de wereld bevinden, en ook een crimineel uit het buitenland met een nagemaakt ID bewijs zijn.

Als alternatief voor het bezoek aan de RA zonder de betrouwbaarheid van het systeem te verlagen stellen deze procedures voor:

  1. De gebruiker logt in op de self-service portal van SURFsecureID.
  2. De gebruiker kiest een authenticatiemiddel en registreert deze. 
  3. De gebruiker ontvangt een activatiecode op het scherm en in de email.
  4. De gebruiker maakt een afspraak met een RA van de servicedesk
  5. De RA geeft de gebruiker video conferentie instructie voor de afspraak. Er kan bijvoorbeeld gebruik gemaakt worden van Skype, Whatsapp, Zoom, Microsoft teams, enz
  6. Een vertrouwde 3e persoon (een afdelings- of teamhoofd) stuurt een bericht via een geauthenticeerd platform  (zoals wiki, ticketing-system, ondertekende email of een gedeeld document) naar Servicedesk met de bevestiging dat deze gebruiker een nieuw token nodig heeft en komt activeren.
  7. De gebruiker gaat met zijn of haar token, een geldig legitimatiebewijs en de activatiecode op het afgesproken moment naar de opgegeven video-conf.
  8. De RA logt in op de SURFsecureID RA portal en voert de activatiecode in. 
  9. De RA controleert het bezit van het token: 
    1. Tiqr: De gebruiker ontvangt de push notificatie en bevestigt deze in de tiqr app.
    2. YubiKey: De gebruiker verstuurt de output van de yubikey in het chat-venster van de video-conf; de RA vult deze in in de RA portal.
    3. SMS: De gebruiker ontvangt een SMS code, en geeft de ontvangen code door aan de RA. De RA vult deze in in de RA portal.
  10. De gebruiker toont zijn legitimatiebewijs voor de webcam
  11. De RA controleert de identiteit van de gebruiker aan de hand van het legitimatiebewijs en noteert de laatste zes tekens van het document.
  12. Indien in voldoende mate is aangetoond dat de persoon en de opgegeven identiteit overeenkomen, activeert de RA het token van de gebruiker.



  • No labels