View Source

Voor toegang tot een aantal SURF diensten zoals SURFdomeinen en SURFdashboard is SURFsecureID, de 2e factor dienstverlening van SURF nodig. De 1e factor login (gebruikersnaam/wachtwoord van de eigen instelling via SURFconext) verandert niet.

Voor wie geldt dit precies

Het gaat om instellingsbeheerders van SURF diensten waarvoor een login met een 2e factor nodig is. Dat zijn mensen die rechten hebben op deze diensten:

SURFdomeinen of SURFopzichter
SURFdashboard of SURF netwerkdashboard en daar wijzigingen doorgeven.
SURFconext IDP dashboard om daar wijzigingen door te voeren

In de toekomst verwachten we meer SURF diensten te beveiligen met een SURFsecureID token. Denk dan aan diensten zoals SURFmailfilter, SURFsoc en SURFdrive beheer.

Token registratie voor beheerders

Alle beheerders die een autorisatie rol hebben waarvoor een 2e factor noodzakelijk is moeten een SURFsecureID token registreren en activeren. SURFsecureID ondersteunt verschillende token types waaruit een beheerder kan kiezen (behalve sms). Nadat de beheerder zelf een token heeft geregistreerd moet deze nog geactiveerd worden door zichzelf te identificeren bij de eigen instelling of bij SURF.

Let op: voor het SURFconext IdP dashboard zijn tokens van LoA2 of LoA3 nodig, afhankelijk van de actie die je wilt uitvoeren. Als je een token op LoA3 niveau nodig hebt, zorg dan dat je een Yubikey of FIDO2 token registreert.

De beheerder moet de volgende stappen uitvoeren om een token te registreren:

Log in op https://sa.surfsecureid.nl met hetzelfde account als welke je gebruikt om in te loggen op de SURF dienst(en). Dit zal meestal je instellingsaccount zijn, maar voor sommigen is dit een eduID account.
Kies een token, registreer deze en verifieer je email adres (indien nodig)
Een activatiecode wordt getoond en gemaild. Deze heb je nodig voor de activatie.
Er wordt ook een locatie aangegeven hoe je je token moet activeren. Hier zijn twee mogelijke opties:

Jouw instelling is geen klant van SURFsecureID: ga naar https://edu.nl/activatie en maak een videoafspraak met de SURF supportdesk om je token te laten activeren
Jouw instelling is wel klant van SURFsecureID: bezoek de genoemde locatie(s) van je eigen instelling die op het scherm of in de email staan. Jouw eigen instelling zorgt dan voor de activatie van jouw token.

Tijdens de afspraak identificeer je jezelf en wordt je token geactiveerd
Je SURFsecureID token is klaar om te gebruiken voor toegang tot SURF diensten

Zorg bij de token activatiestap (4) voor het volgende:

Hou je activatiecode bij de hand
Een werkende webcam in het geval van een activatie via videoverbinding
Een geldig legitimatiebewijs
Hou je tiqr of Yubikey bij de hand indien je deze hebt geregistreerd

NB: beheerders die al een SURFsecureID token hebben, gebruiken dit al voor SURF diensten en hoeven bovenstaande stappen niet te doorlopen.

Proces voor nieuwe beheerders

Voor nieuwe beheerders, of een bestaande beheerder die een autorisatie krijgt voor een SURF dienst waarvoor een 2e factor login nodig is, zal in het koppelverzoek gevraagd worden een SURFsecureID token te registreren.

Azure MFA gebruiken?

Eén van de token types die SURFsecureID ondersteunt is Microsoft Azure MFA. Als een instelling al Azure MFA als 2e factor gebruikt, dan kan deze gekoppeld worden aan SURFsecureID en kan de beheerder van die instelling haar bestaande Azure MFA token (meestal de MS Authenticator app) registreren bij SURFsecureID. Voordeel hiervan is dat de beheerder het token dat ze al binnen de instelling gebruikt, nu ook voor SURF diensten kan gebruiken.

Gebruikt jouw instelling Azure MFA en wil je deze ook inzetten voor beheerders van SURF diensten? Doe dan het volgende:

Zorg dat de Microsoft Azure beheerder van jouw instelling de Azure AD configureert voor SURFsecureID koppeling.

Veelgestelde vragen

SURFsecureID is een optionele dienst binnen het SURF dienstenportfolio. Als een instelling SURFsecureID wil gaan gebruiken voor de extra beveiliging van haar eigen diensten kan SURFsecureID afgenomen worden en wordt er een additioneel tarief in rekening gebracht. Echter, voor deze wijziging gaat SURF de toegang tot de beheersinterfaces van SURF's eigen diensten extra beveiligen. Hiertoe gaan instellingen SURFsecureID wel gebruiken, maar enkel voor deze toegang en hoeft de instelling SURFsecureID niet af te nemen. Er zijn voor de instelling dan ook geen extra kosten aan verbonden.

Nee, voor deze toepassing van SURFsecureID hoeft de instelling geen additioneel tarief te betalen. Als de instelling SURFsecureID breder wil inzetten en er eigen diensten mee wil beveiligen, dan zal er wel een additioneel tarief in rekening gebracht worden.

Nee. Sommige instellingen hebben hun eigen MFA systeem (vaak Azure MFA) gekoppeld aan SURFconext zodat diensten achter SURFconext extra beveiligd kunnen worden (meer informatie). Deze koppeling staat volledig los van de invoering van SURFsecureID voor de beheerstoegang tot SURF diensten en kunnen naast elkaar blijven werken.

In het SURFdashboard bestaan een reeks autorisatierollen die uitgedeeld kunnen worden aan personen binnen een instelling. Met deze autorisatierollen krijgen ze toegang tot specifieke SURF diensten. Sommige van deze autorisatierollen geven toegang tot extra gevoelige gegevens of maken het mogelijk belangrijke wijzigingen in de betreffende SURF dienst uit te voeren. Voor toegang is dan een 2e factor nodig. Voor de volgende autorisatierollen is een 2e factor noodzakelijk:

Instellingsbevoegde
Infraverantwoordelijke
Domeinnamenverantwoordelijke
Beveiligingsverantwoordelijke
DNS-Beheerder
SURFopzichter-beheerder

Indien je token door SURF (en niet je eigen instelling) geactiveerd moet worden en je kunt niet wachten op de afspraak met de SURF supportdesk, neem dan contact op met support@surfconext.nl.

SURF wil zeker weten dat cruciale diensten en gegevens veilig en alleen toegankelijk zijn voor geautoriseerde personen. Voor toegang tot extra gevoelige diensten of gegevens wil SURF zekerder weten dat degene die toegang heeft ook is wie hij zegt dat hij is. Een deel van de oplossing is om dan een 2e factor te gebruiken om mee in te loggen. Maar alleen een 2e factor zorgt niet voor meer zekerheid over de identiteit van de persoon; als ik bijvoorbeeld bij Google een account aanmaak als Pietje Puk, dan kan ik daar ook prima een 2e factor bij activeren, maar dat maakt nog niet dat ik ook echt Pietje Puk ben. Daarom wordt, voordat de 2e factor wordt geactiveerd, gevraagd je te identificeren. Zo staat met een hogere mate van betrouwbaarheid vast dat jij ook bent wie je zegt dat je bent, en dat kun je in het vervolg aantonen met je SURFsecureID token.

Eén van de token types die SURFsecureID ondersteunt is Microsoft Azure MFA. Als jouw instelling al Azure MFA als 2e factor gebruikt, dan kan deze gekoppeld worden aan SURFsecureID en kan je je bestaande Azure MFA token (meestal de MS Authenticator app) registreren bij SURFsecureID. Voordeel hiervan is dat je het token wat je al binnen de instelling gebruikt, nu ook voor deze SURF diensten kunt gebruiken en zelfs single sign-on kunt ervaren. Activatie van dit token via de SURF supportdesk is dan overigens nog wel nodig.

In de aankondiging van deze wijziging naar de SURF contactpersoon van jouw instelling is aangegeven dat dit mogelijk is, maar dat hier wel een aantal acties vanuit de instelling voor nodig zijn. Mocht jouw instelling dit willen dan kun je dit (laten) uitvoeren en vervolgens je Azure MFA token registreren bij SURFsecureID.

Als je een nieuwe telefoon in gebruik neemt kan (afhankelijk van het besturingssysteem en instellingen van de telefoon) de Tiqr registratie vanzelf worden hersteld op het nieuwe toestel. Als dat niet is gelukt, dan is het nodig om de oude registratie te verwijderen op https://sa.surfsecureid.nl en een nieuwe registratie te doen zoals hierboven beschreven.

Vragen?

Voor vragen kunt u terecht bij support@surfconext.nl.