RAO's kunnen op twee manieren inloggen op SCM: met inloggegevens van de eigen organisatie via SURFconext en/of met een SCM gebruikersnaam en wachtwoord, bij voorkeur versterkt met een certificaat als tweede factor. Sinds augustus 2023 is het gebruik van SURFconext standaard voor alle nieuwe accounts. Inloggen met gebruikersnaam en wachtwoord wordt sterk ontmoedigd en zal in de nabije toekomst zoveel mogelijk worden uitgefaseerd.

Eindgebruikers (niet zijnde RAO's) die persoonscertificaten willen aanvragen kunnen uitsluitend via SURFconext inloggen. Zie Persoonscertificaten aanvragen.

Stappen voor eerste gebruik

Om via SURFconext in te loggen moet het volgende gebeuren:

1. De organisatie moet lid zijn van SURFconext en een Identity Provider (IdP) hebben gekoppeld.
2. Deze IdP moet beschikbaar zijn via edugain, de internationale interfederatie waartoe ook SURFconext behoort. Als dat niet het geval is kan de SURFconext-verantwoordelijke de Identity Provider opnemen in eduGAIN.
   Je kunt dit controleren op https://support.surfconext.nl/stats/idplist.html.
   
3. De IdP moet gekoppeld zijn aan Sectigo Certificate Manager en de vereiste persoonskenmerken (SAML attributen) vrijgeven. De SURFconext-verantwoordelijke van jouw organisatie kan inloggen op het SURFconext Dashboard om een koppelverzoek in te dienen met de dienst Cert Manager | Sectigo
 (Entity ID: https://cert-manager.com/shibboleth).
   Check of het werkt op https://cert-manager.com/customer/surfnet/ssocheck/

We raden daarnaast sterk aan om 2FA te laten afdwingen met 2FA via SURFconext of in je eigen IdP.

Nieuwe gebruiker toevoegen

Voor het aanmaken van nieuwe gebruikers moet de mail en eventueel ePPN attributen van de beheerder bekend zijn, deze kan je vinden op https://cert-manager.com/customer/surfnet/ssocheck/ nadat de stappen voor eerste gebruik zijn uitgevoerd. Merk op dat mail en ePPN niet hetzelfde hoeven te zijn. Je kan ook een nieuw IdP account voor jezelf aanmaken als je al een gebruikersnaam + wachtwoord account hebt.

1. Een nieuw RAO account kan worden aangemaakt door in SCM onder Settings → Admins de gebruiker een uitnodiging te sturen via Add IdP User. Vul daartoe het email adres van de gebruiker die moet worden toegevoegd als RAO in.
2. De uitnodiging moet vervolgens goedgekeurd worden via de Approve knop in het Admins overzicht, dit kan je zelf doen.
3. Zodra de nieuwe RAO de uitnodiging accepteert, wordt zijn of haar account automatisch aangemaakt in SCM op basis van SURFconext attributen.
4. De RAO kan nu via SURFconext inloggen, door op de inlogpagina https://cert-manager.com/customer/surfnet te kiezen voor "Your Institution", of direct via  https://cert-manager.com/Shibboleth.sso/geant?target=https://cert-manager.com/customer/surfnet/idp.
   

De eerste keer dat de RAO via SURFconext inlogt wordt een pagina getoond met informatie over de gebruikerskenmerken die worden gedeeld met Sectigo. Die informatie is iets ruimer dan wat op de SSO check pagina wordt getoond aangezien later ook attributen nodig zijn om persoonscertificaten aan te vragen.

Krijg je de foutmelding "
IdP user with idpPersonID=jd@example.edu is not available for customer Example Edu and new IdP user creation ability is switched off"? Dat betekent meestal dat stap 1. of 2. niet goed is gegaan, probeer het opnieuw of neem contact op met SURFcertificaten Beheer. 

Bestaand account omzetten naar SURFconext account

Het heeft de voorkeur om zo veel mogelijk IdP-only accounts te gebruiken maar er zijn nog heel veel normale accounts. 

Om ervoor te zorgen dat je alléén met SURFconext kunt inloggen moet je in het "admins" met de knop 'Change Type' nog Username/Password authenticatie uitschakelen door te kiezen voor "IdP" en de stappen doorlopen om het account om te bouwen naar een SURFconext account.

Tips

Het is mogelijk de IdP selectie over te slaan via een directe link met daarin de entity ID van de IdP:

• voor RAO's (SCM): https://cert-manager.com/Shibboleth.sso/Login?target=https://cert-manager.com/customer/surfnet/idp&entityID=<entityID van de IdP>
• voor eindgebruikers (persoonscertificaten): https://cert-manager.com/Shibboleth.sso/Login?target=https://cert-manager.com/customer/surfnet/idp/clientgeant&entityID=<entityID van de IdP>

Log in op de ssocheck pagina om te achterhalen wat de entity ID is van jouw IdP (onder Identity Provider).

Migratie van IdP

Indien de eduPersonPrincipalName (meestal uid@schacHomeOrganization) gelijk blijft, zal het inloggen via SURFconext gewoon blijven werken. Zie voor details over deze attributen de documentatie van SURFconext: Attributes in SURFconext.

Als (bijvoorbeeld bij een fusie of naamsverandering) het eduPersonPrincipalName wél wijzigt, raden we aan om voor de nieuwe IdP ook nieuwe accounts aan te maken i.p.v. de accounts aan te passen. Vaak zijn huidige accounts ‘normale’ accounts (eventueel met toegang via de IdP), waar we in de toekomst naar zo veel mogelijk IdP-only accounts willen. Daarvoor doe je het volgende:

1. Check of je certificaten hebt die in de komende maand verlopen en vervang ze alvast, voor het geval dat.
2. Zodra de nieuwe IdP in eduGAIN zit, maar voordat de oude is uitgeschakeld, loop je de normale stappen voor SURFconext accounts door, zoals hierboven beschreven. Dat resulteert in een of meerdere nieuwe accounts waar je op inlogt via de nieuwe IdP.
   1. Zijn beide IdP's nooit tegelijkertijd actief? Gebruik dan een admin-account wat met gebruikersnaam en wachtwoord inlogt tijdens de migratie.
3. Geef de nieuwe accounts vanaf de oude accounts de juiste rechten.
4. Verwijder vanaf de nieuwe accounts de oude accounts.
5. Als je persoonscertifiacten gebruikt moet je in de organisatie-instellingen nog de SHAC-home organisation worden aangepast, stuur ons daarvoor een mail.

Bij vragen kan je mailen naar certificaten-beheer@surf.nl. Mocht je op de dag zelf buitengesloten komen te zitten is bellen altijd mogelijk, onze telefoonnummers staan in onze emailhandtekeningen.

Afwegingen voor SURFconext login

• Groot voordeel van een SURFconext-only account (dus zonder SCM credentials) is dat er geen accountbeheer nodig is binnen SCM: na uitdiensttreding zal de RAO automatisch de toegang tot SCM verliezen (zodra zijn IdP account geblokkeerd is).
• De token-gebaseerde authenticatie van SAML maakt onderscheppen van inloggegevens lastiger, en eventueel onderschepte authenticatiegegevens zijn korter geldig
• Via SURFconext is het ook mogelijk gebruik te maken van 2FA via SURFconext om 2-factor authenticatie af te dwingen. Voor accounts met een 'normaal' wachtwoord is de tweede factor optioneel.
  
• Merk op dat bij de Add Idp User methode iemand die de mail onderschept en kan inloggen via SURFconext onbedoeld een RAO account kan bemachtigen.