SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk....
Transcript of SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk....
![Page 1: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/1.jpg)
SAMBO-ICT
SURFconext Sterke Authenticatie
Peter Clijsters- Product Manager SURFnetFung Yee Poon – Security Officer Aventus9 februari 2018
![Page 2: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/2.jpg)
![Page 3: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/3.jpg)
SURF Cyberdreigingsbeeld 2017
SterkeAuthenticatie
![Page 4: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/4.jpg)
Werkboek Veilig Toetsen: 2FA als maatregel
• Construeren: • Opstellen toetsitems• Review toetsitems• Samenstellen toets• Review toets• Digitaal aanleveren toets
• Nakijken: • Ophalen antwoorden• Nakijken antwoorden• Tweede nakijken
• Analyseren: • Analyseren antwoorden• Vaststellen cijfer
• Rapporteren:• Aanpassen cijfer
• Evalueren:• Registreren resultaten
• Beheren:• Metadateren en opschonen
itembank
![Page 5: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/5.jpg)
Instellingen productie:• AMC• Avans Hogeschool• Hogeschool van Amsterdam• Hogeschool Van Hall Larenstein• Hogeschool Windesheim• Inholland• Universiteit van Amsterdam• Vrije Universiteit• Vumc
Instellingen pilot:• ROC Aventus• Clusius College• Radboud Universiteit• LUMC• Onderwijsgroep Tilburg• KNAW
Studentinformatiesysteem:
• Osiris
• Eduarte (gepland)
• Progress
Overig
• MS Office 365
• MS ADFS
• SURFcumulus
eHRM:• SAP• Raet Youforce
Toetsbeheer en cijferinvoer:• RemindoToets• TestVision• DataNose (UvA)• Gradework• Canon printservice (Xpression)
Externe toegang:• Citrix• BigIP F5
Aangesloten instellingen & diensten
Diensten
![Page 6: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/6.jpg)
Gebruik
6
Eind 2017 waren er 13.500 gebruikers.
De verhoudingen per middel waren:
![Page 7: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/7.jpg)
Concept Sterke authenticatie
Digitale identiteit van eigeninstelling
+
2e factor
+ID check
=Hoger Betrouwbaarheidsniveau(Level of Assurance, LoA)
![Page 8: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/8.jpg)
Sterke authenticatie
Fung Yee Poon – Security Officer
![Page 9: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/9.jpg)
Agenda
1. Aanleiding2. Keuzes3. Surfconext sterke authenticatie4. Pilot Canon examenmodule5. Registratieproces6. Live demo7. Hoe verder8. Vragen
![Page 10: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/10.jpg)
Aanleiding sterke authenticatie
• Nieuw IBP-beleid =>Vertrouwelijkheid Hoog • AVG• Sterker beveiligingsbewustzijn
![Page 11: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/11.jpg)
Keuzes
![Page 12: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/12.jpg)
• Meeste informatiesystemen zijn al ontsloten via SURFconext
• Ervaringen andere instellingen
• Diverse authenticatietokens• Weinig beheerlast• Aansluiten op F5 en ADFS• Kosten
SURFconext Sterke Authenticatie
![Page 13: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/13.jpg)
Authenticatietokens
![Page 14: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/14.jpg)
Pilot Canon examenmodule
• Waarvoor: Voor het uploaden van examens die door de repro geprint moeten worden.• Pilotgroep: Medewerkers studentenadministratie (ongeveer 20 medewerkers)• Probleem: De meesten hebben geen Aventus-smartphone. • Oplossing: zelf kiezen welke keuze. Bijna iedereen een yubikey.• Uitkomst: Aanvraagproces werd als lastig ervaren. Gebruik simpel.
![Page 15: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/15.jpg)
Registratieproces
• Servicedesk (Registration Authority)• Medewerker maakt keuze (TIQR, SMS en Yubikey)• TIQR/SMS: via website aanvraag• Yubikey: bij de SD token ophalen en aanvraag via website• SD activeert vervolgens token (registratie portaal Surfnet en Yubikey in CMDB)• Bij verlies token direct melden bij SD en blokkade
![Page 16: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/16.jpg)
Vervolg
• Implementeren bij FB • Verder/opnieuw classificeren van informatiesystemen• Op basis van classificatie implementeren van sterke authenticatie (Vertrouwelijkheid: Hoog)• Bewustwording en draagvlak creëren
![Page 17: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/17.jpg)
Sterke authenticatie over ADFS - demo
https://aventus.sharepoint.com/
![Page 18: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/18.jpg)
Vragen?
![Page 19: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/19.jpg)
SURFconext Sterke Authenticatie
![Page 20: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/20.jpg)
Use case 1:Instelling maakt gebruik van SURFconext Sterke Authenticatie (SSA)• Instelling handelt zelf 1e factor af
• Gebruikt SSA alleen voor 2e factor
• Vooral geschikt voor een centrale voorziening zoals MS ADFS, Citrix,
F5 BIGIP, NetIQ IAM, enz.
• Sterke authenticatie is vervolgens beschikbaar voor reeks applicaties
• Centrale voorziening kan kiezen wanneer de 2e factor nodig is
SURFconext Sterke Authenticatie use cases
Use case 2:Dienst maakt gebruik van SURFconext Sterke Authenticatie• Dienst (SP) sluit aan op SSA
• Volledige authenticatie wordt door SSA gedaan (ontzorgt de dienst)
• 1e factor via instelling IDP (gebruikersnaam / wachtwoord)
• 2e factor met SSA middelen
• Geen verandering bij instelling IdP
• Dienst kan zelf kiezen wanneer de 2e factor nodig is (altijd, of step-up
indien nodig)
Strong Authentication
2e factor
Centrale voorziening(ADFS, Citrix, F5, enz)
1e factor
login
login
2e factor
use
case
2us
e ca
se 1
(SFO
)
1e factor
Instelling IDP(ADFS)
![Page 21: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/21.jpg)
ADFS plugin en Office 365
Plugin
Client
Strong Authentication
login
Office 365
ADFSAD
1e factor 2e factor
Instelling
Strong Authentication
![Page 22: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/22.jpg)
Demo
https://blog.surf.nl/veilige-toegang-tot-office-365/
![Page 23: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/23.jpg)
Registratie flow
Open https://sa.surfconext.nl
Login met SURFconext
Kies token(SMS, Tiqr, Yubikey) Registreer token
Stappen afhankelijk van token
Bevestig email adres Activatie code
Eindgebruiker
Open https://ra.surfconext.nl
RA
Op scherm
en in email
Login met SURFconext en
Yubikey
Eindgebruiker
Voer activatie code in Controleer bezit token
Geef activatie
code
Login met token
Controleer legitimatiebewijs Activeer token
![Page 24: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/24.jpg)
Self service registratie
![Page 25: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/25.jpg)
Registration Authority portal
![Page 26: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/26.jpg)
Registratie toolkit ondersteunt een soepele uitrol
Registratieproces wordt eenvoudig door verbinding te maken met ervaringen van andere instellingen.
• Om het hoogste veiligheidsniveau te kunnen realiseren is eenmalig een ID –registratieproces noodzakelijk.
• Om afnemers maximaal te faciliteren biedt SURFnet ondersteuning en leggen we bovendien de verbinding met instellingen die u al voorgingen
SURF SupportKick-off,
instructie support desk.
Draaiboek
Best practices: Aanpak, planning, resources,
middelen, doorlooptijd, uitdagingen.
Registratie-proces
Self Service Portal,Admin Portal
Support na implementatie
2e lijn support, gebruikersstatistieken,
configuratie-aanpassingen,
doorontwikkeling.Communicatie materiaal
Flyers, handleidingen, FAQ, voorbeelden.
![Page 27: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/27.jpg)
Vertrouwd: Op SURF kun je bouwen. Oplossingsgericht in het koppelen van specialistische applicaties en toepassingen. Val terug op de support die u van ons gewend bent.
Hoog betrouwbaarheidsniveau: betrouwbaarheid is niet alleen geborgd door een solide toegangstechniek, maar ook door het registratieproces volgens NL en EU richtlijnen!
Standaard zekerheid: Het hoge betrouwbaarheidsniveau wordt opgelegd aan alle instellingen die zich aansluiten. Men krijgt dan dus een gezamenlijke afspraak waarop ze kunnen vertrouwen.
100% Compliant: inzicht en controle op het uitdelen van authenticatie middelen.
Lokaal georganiseerd: Alle data wordt opgeslagen in Nederland.
Geen vendor lock-in: SURF is van en voor het O&O in NL. Instelling is niet afhankelijk van een leverancier.
Open: Alle integraties met applicaties/software/ diensten zijn gebaseerd op open standaarden en de software is open source beschikbaar.
Ontwikkeld voor en door het O&O in Nederland…
Waarom SURFconext Sterke Authenticatie?
![Page 28: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/28.jpg)
Tarief
- Tarief is flat fee en incl. 500 SMS’jes p/m, daarboven € 0,055 per SMS
- Tarieven exclusief eventuele kosten van tokens (SMS transacties, Yubikey)
- Het aantal gebruikers wordt bepaald door het aantal geactiveerde tokens van een instelling
- Voorwaarde voor gebruik is dat de instelling bij SURFconext is aangesloten
Gebruik Tarief 2018
Aantal gebruikers < 1.000 € 253 p/m
Aantal gebruikers 1.000-5.000 € 454 p/m
Aantal gebruikers > 5.000 € 1.110 p/m
Nu met korting
![Page 29: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/29.jpg)
Support
• Service level voor login van 99.9% op jaarbasis
• Service level voor RA en Selfservice portal van 99.5% op jaarbasis
• 24x7 helpdesk voor storingen, via telefoon en email
• Storingsafhandeling procedure; grote storing en prio 1-3
• Onderhoud in gedefinieerde onderhoudsvensters
• Handleiding voor instellingen en dienstenleveranciers
• Handleiding voor eindgebruikers
• Flyers tbv voorlichting voor eindgebruikers
![Page 30: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/30.jpg)
Samenvattend
üSterke authenticatie is essentieel voor systemen met gevoelige data
üSURFconext Sterke Authenticatie helpt daarbij
üBewezen oplossing met veel tevreden gebruikers
üWe leveren betrouwbare identiteiten, dit in tegenstelling tot andere oplossingen
üHet registratieproces is hierbij essentieel en SURFnet ondersteunt een soepele uitrol
üIntegreert met ADFS voor eenvoudige en flexibele uitrol
üOpen standaard voor directe koppeling met diensten
![Page 31: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/31.jpg)
Roadmap 2018 e.v.
• Meerdere tokens per gebruiker
• OpenID Connect ondersteuning
• Uitbreiden ondersteuning van instelling authenticatie systemen (Second Factor Only)
• Context-based sterke authenticatie
• Voorziening voor registreren op afstand
• Toevoegen extra authenticatie middelen:- U2F- IRMA- Onderzoek MS Azure MFA
• Periodieke security audit
![Page 32: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/32.jpg)
Documentatie
• SURF website:• https://www.surfconext.nl/sterke-authenticatie
• Documentatie voor instellingen en dienstverleners:• https://support.surfconext.nl/sterke-authenticatie
• Handleiding voor eindgebruikers• https://wiki.surfnet.nl/display/conextsupport/SURFconext+Sterke+Authenticatie
• Flyers tbv voorlichting voor eindgebruikers• https://wiki.surfnet.nl/display/SURFtoolbox/Sterke+Authenticatie
• Best pratices:• Best practice Avans Hogeschool: Toetsen aanmaken en beheren met een extra veiligheidscheck• Best practice Hogeschool InHolland: Veiligere cijferregistratie door tweefactor authenticatie• Best practice VUmc: Een tweede factor betrekken tegen datalekken
![Page 33: SURFconext Sterke Authenticatie saMBO-ICT 20180209...SURF Support Kick-off, instructie support desk. Draaiboek Best practices: Aanpak, planning, resources, middelen, doorlooptijd,](https://reader033.fdocuments.us/reader033/viewer/2022060903/609f0c974ff772271233bf8e/html5/thumbnails/33.jpg)
https://www.surfconext.nl/sterke-authenticatie
https://twitter.com/SURFnet
Auteur: StokketeTitel: User login and application launchingUrl: https://elements.envato.com/user/stokkete
Afbeelding omslag
CC BY 4.0
Naamsvermelding 4.0 Internationaal