Het proces waarin een fysieke persoon gelinkt wordt aan zijn digitale identiteit en zijn authenticatiemiddel is cruciaal om misbruik en identiteitsfraude tegen te gaan. SURFsecureID is daarom zo ontworpen dat een token met zekerheid gekoppeld kan worden aan de identiteit van de juiste gebruiker. Daarnaast ondersteunt SURFsecureID token zelfregistratie waarbij gebruikersgemak en eenvoud voorop staat.
Voordat een gebruiker een token kan gebruiken moet deze het token registreren en moet het token geactiveerd worden:
Afhankelijk van de gebruikte activatie methode en het token type heeft het token een bepaald betrouwbaarheidsniveau (level of assurance, LoA).
Betrouwbaarheidsniveau | Token type | Activatiemethode |
---|---|---|
LoA 1.5 | alle token types | gebruiker |
LoA 2 | tiqr, AzureMFA, SMS | servicedesk of gebruiker met bestaand token |
LoA 3 | Yubikey, FIDO2 | servicedesk of gebruiker met bestaand token |
Als een instelling SURFsecureID afneemt dan heeft deze de keuze om LoA 1.5 wel of niet te ondersteunen. Daarnaast heeft de instelling nog de keuze om activatie met een bestaand token toe te staan. Deze en andere configuratie opties worden besproken bij de intake of kunnen later aangezet worden. |
Allereerst logt de gebruiker in op het Registratieportal met zijn instellingsaccount (username/password) via SURFconext. In dit registratieportal selecteert de gebruiker zijn gewenste token, bewijst hij met een authenticatie dat hij controle heeft over het token en verifieert hij zijn email adres (optioneel, een instelling kan ervoor kiezen de email verificatie uit te laten zetten). Het token moet vervolgens geactiveerd worden. Dit kan op drie manieren die uiteindelijk het LoA van het token bepaalt, zie daarvoor de volgende stap.
Een token kan op drie manieren geactiveerd worden. Het soort token en de manier waarop een token geactiveerd wordt bepaald het LoA van het token. De gebruiker krijgt alleen de keuze uit de activatie methodes die voor hem beschikbaar zijn. Als bijvoorbeeld zelf activatie niet aan staat voor zijn instelling, dan wordt de zelf activatie optie niet getoond. Als de gebruiker geen bestaand token heeft, dan wordt de optie om te activeren met een bestaand token niet getoond.
De gebruiker kan kiezen om zijn token zelf te activeren als de instelling dit toelaat. De gebruiker moet dan een herstelmethode configureren om ervoor te zorgen dat bij verlies van het token er toch nog een nieuw token geactiveerd kan worden. De gebruiker kiest tussen SMS en herstelcode. Na het configureren van de herstelmethode is het token geactiveerd en klaar voor gebruik als LoA 1.5 token.
Als de gebruiker ooit zijn token én zijn herstelmethode verloren is kan hij een nieuw token registreren. Het activeren moet in dit geval wel bij de servicedesk van zijn instelling.
De activatie door de servicedesk van de instelling is altijd beschikbaar als optie. De gebruiker heeft een activatie code gekregen en gaat daarmee langs bij de servicedesk om zijn token te laten activeren door een geauthoriseerde medewerker (RA). De RA logt middels sterke authenticatie in bij de RA Managementportal. Daar zoekt de RA de tokenregistratie van de gebruiker op in het systeem op basis van de activatiecode die de gebruiker mee brengt. Voor SMS, Yubikey en tiqr moet de gebruiker het bezit van dit token aantonen. Na een succesvolle ID-controle, wordt het token voor de gebruiker geactiveerd. De tiqr, AzureMFA en SMS tokens hebben dan LoA2, de Yubikey en FIDO2 tokens hebben dan LoA3.
Als de gebruiker al een ander token had, krijgt hij de mogelijkheid om hiermee zijn nieuwe token te activeren. Voorwaarde is dat het bestaande token waarmee geactiveerd wordt van voldoende niveau is; een LoA groter of gelijk aan het nieuwe token. Zo kan een FIDO2 token wel met een Yubikey geactiveerd worden, maar niet met een tiqr token. Deze activatie methode is optioneel en moet voor een instelling aan staan. Voorwaarde is wel dat de instelling meerdere tokens per gebruiker aan heeft staan, of dit tegelijk aan laat zetten.
Vooral in het geval een instelling zelf activatie toestaat kan het nuttig zijn om de gebruiker naar een specifieke activatie methode te sturen. Hiervoor zijn twee mogelijkheden:
Op de volgende pagina's vindt u meer info over de inrichting van registratieproces.