Medewerkers die de rol Registration Authority Admin - afgekort RA-admin of RAA - hebben, vormen een belangrijke schakel in het proces om sterke authenticatie binnen de instelling mogelijk te maken. De kracht van een sterkere vorm van authenticatie valt of staat bij het verifiëren van de identiteit van de gebruiker en de sterkte van het authenticatiemiddel waarover de gebruikers binnen een instelling beschikken. Dat begint al bij een zorgvuldige registratie en instructie van de RAA, die op eenzelfde zorgvuldige wijze beheerders tot RA benoemt en instrueert, alvorens deze de tokens van eindgebruikers mogen activeren.

Hieronder kun je lezen welke stappen een RA-admin zelf moet doorlopen bij het opvoeren van beheerders die de rol RA krijgen.

Andere onderwerpen voor de RAA:

1. Eigen YubiKey of FIDO2 registreren

Een RA-admin kan pas authenticatiemiddelen activeren van beheerders die de RA-rol zullen krijgen, wanneer de eigen YubiKey of FIDO2 token van de beoogd RA-admin geactiveerd is door SURF. De beoogd RA-admin zal dus eerst zijn eigen Yubikey of FIDO2 token moeten registreren conform het reguliere registratieproces. Zie Handleiding Registratieportal

Na registratie van de YubiKey of FIDO2 token, kan een SURF medewerker het token van de beoogd RA-admin activeren en hem of haar de RAA rol toekennen. Het activeren van de YubiKey of FIDO2 token en het toekennen van de RAA rol zal doorgaans gebeuren tijdens een kick-off op de instelling, of tijdens een andere face-2-face meeting waar de RA-admin en SURF medewerker elkaar ontmoeten.

Zodra dit gebeurd is, kan de RA-admin ook de tokens van gebruikers activeren en/ of RA-rechten aan hen toekennen.

2. YubiKey of FIDO2 token van RA activeren

Laat medewerkers/ beheerders die beoogd RA zijn, allereerst hun eigen YubiKey of FIDO2 token registreren conform het reguliere registratieproces. Zie Handleiding Registratieportal

Na registratie van de YubiKey of FIDO2 token, kan de RA-admin het token van de beoogd RA activeren conform het reguliere activatieproces. Zie Handleiding RA-Managementportal.

NB: het activeren van de YubiKey of FIDO2 token zal dus moeten gebeuren tijdens een face-2-face meeting tussen de RA-admin en de RA!

3. RA rol toekennen

Zodra een beoogd RA over een geactiveerde YubiKey of FIDO2 token beschikt, kan de RA-admin deze persoon de juiste RA rechten toekennen:

SURFsecureID > Handleiding RA-admin > Screenshot 2023-06-12 at 16.20.07.png

Log in op https://ra.surfsecureid.nl
Ga naar het tabblad 'RA Management'. Je ziet nu alle bestaande rollen van gebruikers voor de instelling(en) waarvoor je RAA rechten hebt.
Klik op de knop 'Voeg RA(A) toe' om een nieuwe rol toe te voegen.

SURFsecureID > Handleiding RA-admin > image2020-3-31_10-57-24.png

Dit scherm toont alle gebruikers waaraan je een rol toe kan kennen. Staat een gebruiker niet in de lijst dan heeft deze mogelijk al een rol, of heeft deze nog geen geactiveerd LoA 3 (Yubikey of FIDO2) token.
Klik achter de gegevens van de beoogd RA op de knop 'Rol toekennen'. Gebruik eventueel de zoekvelden om de gebruiker te vinden in de lijst.

SURFsecureID > Handleiding RA-admin > image2020-3-31_11-1-4.png

Vul de Locatie van de beoogd RA in, dat is de locatie vanaf waar de RA de tokens van eindgebruikers zal activeren. Bijvoorbeeld iets als Service Desk locatie X, een specifiek kamernummer en/ of gebouw aanduiding.
Vul de Contactinformatie in van de beoogd RA, bijvoorbeeld een algemeen support e-mailadres, een URL en/ of een mailadres of telefoonnummer

Deze locatie en contactinformatie worden in de registratiemail naar gebruikers gebruikt als er geen gebruik gemaakt wordt van RA-locaties. In het 'Instellingsconfiguratie' menu kun je zien hoe dat voor de instelling is geconfigureerd. Zie: RA-locaties te gebruiken ipv RA contactpersonen.

De locatie en contactinformatie worden per rol opgeslagen.

In dit scherm kun je meerdere regels gebruiken. Als de locatie en contactinformatie velden aan gebruikers worden getoond, dan staat deze informatie op één regel. Een nieuwe regel wordt dan als een spatie getoond.

Selecteer welke rol (RA of RAA) deze gebruiker krijgt en voor welke instelling. Je kunt alleen rollen toekennen in instellingen waarvoor je zelf RAA rol hebt, en waarvoor dat middels de instellingsconfiguratie is toegestaan.
Klik op 'Maak RA(A)' om de wijzigingen op te slaan.

Herhaal dit proces om een persoon meerdere rollen te geven.

SURFsecureID > Handleiding RA-admin > image2020-4-1_10-29-57.png

Zijn er geen gebruikers gevonden die RA(A) gemaakt kunnen worden?

Controleer dan via het tabblad 'Tokens' of de YubiKey of FIDO2 token van de beoogd RA de status 'geactiveerd' heeft
Zo niet, dan zal de gebruiker eerst met zijn YubiKey + Activatiecode + Legitimatiebewijs langs moeten bij de RA-admin om zijn YubiKey of FIDO2 token te laten activeren.
Controlleer in het 'RA Management' scherm of de gebruiker al een rol heeft. Een gebruiker kan niet meer dan één rol hebben voor een instelling.
Controleer in het 'Instellingsconfiguratie' of een gebruiker van de betreffende instelling een RA(A) rol mag krijgen in de beoogde instelling.