RAO's kunnen op twee manieren inloggen op SCM: met inloggegevens van de eigen organisatie via SURFconext en/of met een SCM gebruikersnaam en wachtwoord, bij voorkeur versterkt met een certificaat als tweede factor. Sinds augustus 2023 is het gebruik van SURFconext standaard voor alle nieuwe accounts. Inloggen met gebruikersnaam en wachtwoord wordt sterk ontmoedigd en zal in de nabije toekomst zoveel mogelijk worden uitgefaseerd.
Eindgebruikers (niet zijnde RAO's) die persoonscertificaten willen aanvragen kunnen uitsluitend via SURFconext inloggen. Zie Persoonscertificaten aanvragen.
Om via SURFconext in te loggen moet het volgende gebeuren:
We raden daarnaast sterk aan om 2FA te laten afdwingen met 2FA via SURFconext of in je eigen IdP.
Voor het aanmaken van nieuwe gebruikers moet de mail en eventueel ePPN attributen van de beheerder bekend zijn, deze kan je vinden op https://cert-manager.com/customer/surfnet/ssocheck/ nadat de stappen voor eerste gebruik zijn uitgevoerd. Merk op dat mail en ePPN niet hetzelfde hoeven te zijn. Je kan ook een nieuw IdP account voor jezelf aanmaken als je al een gebruikersnaam + wachtwoord account hebt.
De eerste keer dat de RAO via SURFconext inlogt wordt een pagina getoond met informatie over de gebruikerskenmerken die worden gedeeld met Sectigo. Die informatie is iets ruimer dan wat op de SSO check pagina wordt getoond aangezien later ook attributen nodig zijn om persoonscertificaten aan te vragen.
Krijg je de foutmelding " IdP user with idpPersonID=jd@example.edu is not available for customer Example Edu and new IdP user creation ability is switched off"? Dat betekent meestal dat stap 1. of 2. niet goed is gegaan, probeer het opnieuw of neem contact op met SURFcertificaten Beheer.
Het heeft de voorkeur om zo veel mogelijk IdP-only accounts te gebruiken maar er zijn nog heel veel normale accounts.
Om ervoor te zorgen dat je alléén met SURFconext kunt inloggen moet je in het "admins" met de knop 'Change Type' nog Username/Password authenticatie uitschakelen door te kiezen voor "IdP" en de stappen doorlopen om het account om te bouwen naar een SURFconext account.
Het is mogelijk de IdP selectie over te slaan via een directe link met daarin de entity ID van de IdP:
Log in op de ssocheck pagina om te achterhalen wat de entity ID is van jouw IdP (onder Identity Provider).
Indien de eduPersonPrincipalName (meestal uid@schacHomeOrganization) gelijk blijft, zal het inloggen via SURFconext gewoon blijven werken. Zie voor details over deze attributen de documentatie van SURFconext: Attributes in SURFconext.
Als (bijvoorbeeld bij een fusie of naamsverandering) het eduPersonPrincipalName wél wijzigt, raden we aan om voor de nieuwe IdP ook nieuwe accounts aan te maken i.p.v. de accounts aan te passen. Vaak zijn huidige accounts ‘normale’ accounts (eventueel met toegang via de IdP), waar we in de toekomst naar zo veel mogelijk IdP-only accounts willen. Daarvoor doe je het volgende:
Bij vragen kan je mailen naar certificaten-beheer@surf.nl. Mocht je op de dag zelf buitengesloten komen te zitten is bellen altijd mogelijk, onze telefoonnummers staan in onze emailhandtekeningen.