Het proces waarin een fysieke persoon gelinkt wordt aan zijn digitale identiteit en zijn authenticatiemiddel is cruciaal om misbruik en identiteitsfraude tegen te gaan. SURFsecureID is daarom zo ontworpen dat een token met zekerheid gekoppeld kan worden aan de identiteit van de juiste gebruiker. Daarnaast ondersteunt SURFsecureID token zelfregistratie waarbij gebruikersgemak en eenvoud voorop staat.
Voordat een gebruiker een token kan gebruiken moet deze het token registreren en moet het token geactiveerd worden:
- Registreren: de gebruiker kiest een token uit de set van tokens die zijn instelling heeft bepaald
- Activeren: na het registreren moet het token nog geactiveerd worden. Dit kan door:
- de gebruiker zelf gedaan worden en gebeurt dan direct na het registreren van het token.
- de servicedesk van zijn instelling gedaan worden. De gebruiker gaat naar de servicedesk van de instelling waar zijn identiteit wordt gecontroleerd en het token wordt geactiveerd. Het proces waarin een fysieke persoon gelinkt wordt aan zijn digitale identiteit en zijn authenticatiemiddel is cruciaal om misbruik en identiteitsfraude tegen te gaan
Afhankelijk van de gebruikte activatie methode en het token type heeft het token een bepaald betrouwbaarheidsniveau (level of assurance, LoA).
| Betrouwbaarheidsniveau | Token type | Activatiemethode |
|---|---|---|
| LoA 1.5 | alle token types | gebruiker |
| LoA 2 | tiqr, AzureMFA, SMS | servicedesk of gebruiker met bestaand token |
| LoA 3 | Yubikey, FIDO2 | servicedesk of gebruiker met bestaand token |
Als een instelling SURFsecureID gaat afnemen dan heeft deze de keuze om LoA 1.5 wel of niet te ondersteunen. Daarnaast heeft de instelling nog de keuze om activatie met een bestaand token toe te staan. Deze keuzes worden besproken bij de intake.
Het registratieproces van tokens (SMS, Tiqr, YubiKey, Azure MFA, FIDO2) is op hoofdlijnen als volgt opgezet:
Gebruiker registreert token
Allereerst logt de gebruiker in op het Registratieportal met zijn instellingsaccount (username/password). In deze registratieportal selecteert de gebruiker zijn gewenste token, bewijst hij met een authenticatie dat hij controle heeft over het token en verifieert hij zijn email adres (optioneel, een instelling kan ervoor kiezen de email verificatie uit te laten zetten). Het token moet vervolgens geactiveerd worden. Dit kan op twee manieren, zie daarvoor de volgende stap.
Activatie van het token
Een token kan op twee manieren geactiveerd worden:
Als de gebruiker geen ander token heeft zal het token geactiveerd moeten worden door de Service Desk van zijn instelling. Deze activatie methode is altijd beschikbaar. De gebruiker heeft een activatie code gekregen en gaat daarmee fysiek langs bij de Service Desk om zijn token te laten activeren door een geauthoriseerde medewerker (RA). De RA logt middels sterke authenticatie in bij de RA Managementportal. Daar zoekt de RA de tokenregistratie van de gebruiker op in het systeem op basis van de activatiecode die de gebruiker mee brengt. Voor SMS, Yubikey en tiqr moet de gebruiker het bezit van dit token aantonen. Na een succesvolle ID-controle, wordt het token voor de gebruiker geactiveerd.
Vanwege de Corona uitbraak is het fysiek langs gaan bij een Service Desk vaak niet mogelijk. Daarom is er een noodprocedure waarmee op afstand toch het token geactiveerd kan worden.
- Als de gebruiker al een ander token had, kan hij deze gebruiken om dit nieuwe token te activeren. Voorwaarde is dat het bestaande token waarmee geactiveerd wordt van voldoende niveau is (een LoA groter of gelijk aan het nieuwe token). Deze activatie methode is optioneel en moet voor een instelling aan staan. Aanzetten kan door een mail te sturen naar support@surfconext.nl. Voorwaarde is wel dat de instelling meerdere tokens per gebruiker heeft aan staan, of dit tegelijk aan laat zetten.
Op de volgende pagina's vindt u meer info over de inrichting van registratieproces.