multi-factor authenticatie voor cloudapplicaties via surfconext samen veilig online eefje van der...
TRANSCRIPT
![Page 1: MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Samen veilig online Eefje van der Harst - Productmanager](https://reader036.vdocuments.site/reader036/viewer/2022070315/5551a0ed4979591f3c8b4c83/html5/thumbnails/1.jpg)
MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT
Samen veilig online
Eefje van der Harst - Productmanager
![Page 2: MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Samen veilig online Eefje van der Harst - Productmanager](https://reader036.vdocuments.site/reader036/viewer/2022070315/5551a0ed4979591f3c8b4c83/html5/thumbnails/2.jpg)
Hoger onderwijs & onderzoek: cloud is the way
• Steeds meer applicaties in de cloud
• Anytime, anywhere, any device toegang is het credo
• De klant* is koning! Of niet?*) student/ medewerker/ onderzoeker
• Laagdrempelig toegang voor gebruikers; JA!MAAR: dan wel veilig!
![Page 3: MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Samen veilig online Eefje van der Harst - Productmanager](https://reader036.vdocuments.site/reader036/viewer/2022070315/5551a0ed4979591f3c8b4c83/html5/thumbnails/3.jpg)
Wat kan er mis gaan?
Een hoop…bijv:
• Fraude met cijferadministratie
• Lekken van patentgevoelige onderzoeksdata
• Persoonlijke gegevens op straat
• Etc., etc.
![Page 4: MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Samen veilig online Eefje van der Harst - Productmanager](https://reader036.vdocuments.site/reader036/viewer/2022070315/5551a0ed4979591f3c8b4c83/html5/thumbnails/4.jpg)
Veilige toegang: risico-afweging nodig door IdP
• Hoe bepaalt instelling het vereiste betrouwbaarheidsniveau?
• Wat is juiste risico-inschatting?• Wat is gewenste
beschermingsniveau?
Volg internationale standaarden:• ISO 29115• NIST 800-63• STORKhttp://www.surf.nl/kennis-en-innovatie/kennisbank/2014/rapport-handreiking-betrouwbaarheidsniveaus.html
![Page 5: MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Samen veilig online Eefje van der Harst - Productmanager](https://reader036.vdocuments.site/reader036/viewer/2022070315/5551a0ed4979591f3c8b4c83/html5/thumbnails/5.jpg)
Bron: ISO 29115
Betrouwbaarheidsniveaus - Levels of Assurance
LoA Beschrijving
1 - Laag Weinig of geen vertrouwen in geclaimde over verzekerd (“asserted”) identiteit
2 - Medium Enig vertrouwen in de geclaimde of verzekerde identiteit
3 - Hoog Veel vertrouwen in de geclaimde of verzekerde identiteit
4 - Zeer hoog
Zeer veel vertrouwen in de geclaimde of verzekerde identiteit
![Page 6: MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Samen veilig online Eefje van der Harst - Productmanager](https://reader036.vdocuments.site/reader036/viewer/2022070315/5551a0ed4979591f3c8b4c83/html5/thumbnails/6.jpg)
Bepalende factor: mate van vertrouwelijkheid data
Denk aan:
• Toetsmateriaal• Toetsresultaat• Studievoortgang• Persoonsgegevens• Onderzoeksgegevens
![Page 7: MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Samen veilig online Eefje van der Harst - Productmanager](https://reader036.vdocuments.site/reader036/viewer/2022070315/5551a0ed4979591f3c8b4c83/html5/thumbnails/7.jpg)
Bepalende factor: integriteit data
Denk aan:
• Waardedocument (bijv. diploma)
• Deelnameregistratie (leeractiviteit/ statgeplaats)
• Onderzoeksgegeves• Publicatie
![Page 8: MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Samen veilig online Eefje van der Harst - Productmanager](https://reader036.vdocuments.site/reader036/viewer/2022070315/5551a0ed4979591f3c8b4c83/html5/thumbnails/8.jpg)
Andere factoren van invloed (+/-)
- -• Bevestiging via andere
weg• Inzage in laatste inlog• Herstel schade is makkelijk
+ + • Motief voor fraude• BN’ers• Schaal mogelijke fraude is
groot
![Page 9: MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Samen veilig online Eefje van der Harst - Productmanager](https://reader036.vdocuments.site/reader036/viewer/2022070315/5551a0ed4979591f3c8b4c83/html5/thumbnails/9.jpg)
Use-cases sterke authN tot cloud apps zijn legio
![Page 10: MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Samen veilig online Eefje van der Harst - Productmanager](https://reader036.vdocuments.site/reader036/viewer/2022070315/5551a0ed4979591f3c8b4c83/html5/thumbnails/10.jpg)
Use-cases sterke authN tot cloud apps zijn legio
![Page 11: MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Samen veilig online Eefje van der Harst - Productmanager](https://reader036.vdocuments.site/reader036/viewer/2022070315/5551a0ed4979591f3c8b4c83/html5/thumbnails/11.jpg)
Use-cases sterke authN tot cloud apps zijn legio
![Page 12: MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Samen veilig online Eefje van der Harst - Productmanager](https://reader036.vdocuments.site/reader036/viewer/2022070315/5551a0ed4979591f3c8b4c83/html5/thumbnails/12.jpg)
Maar hoe organiseer je dat?
Instelling• Zoveel leveranciers, zoveel
tokens• Vendor lock-in dreigt• Tokens zijn vaak SP-afhankelijk
(dus: grote sleutelbos tokens?)• Implementatie bij IdP complex
& duur? (n=160)
• Processen belangrijk voor hoogte LoA
• Duur, vooral bij kleine user base
Leverancier• Authenticatie & token-
uitgifte geen core business• Oneigenlijk gebruik vqn je
applicatie terugdringen• USP richting instellingen• 1x implementeren voor
alle instellingen ipv 1:1 oplossingen per instelling
![Page 13: MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Samen veilig online Eefje van der Harst - Productmanager](https://reader036.vdocuments.site/reader036/viewer/2022070315/5551a0ed4979591f3c8b4c83/html5/thumbnails/13.jpg)
Architectuur: hergebruik van wat goed is
![Page 14: MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Samen veilig online Eefje van der Harst - Productmanager](https://reader036.vdocuments.site/reader036/viewer/2022070315/5551a0ed4979591f3c8b4c83/html5/thumbnails/14.jpg)
+ wat extra’s
![Page 15: MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Samen veilig online Eefje van der Harst - Productmanager](https://reader036.vdocuments.site/reader036/viewer/2022070315/5551a0ed4979591f3c8b4c83/html5/thumbnails/15.jpg)
Uitgangspunten centrale service step-up authN
• Open – vendor neutraal
• Onafhankelijk van IdP/SP implementatie
• SAML-based (dus: web!)
• Centrale infra
• Kostenreductie voor IdPs
• Decentrale procedure voor uitgifte tokens & f2f vetting bij IdP (scheelt werk voor SP)
![Page 16: MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Samen veilig online Eefje van der Harst - Productmanager](https://reader036.vdocuments.site/reader036/viewer/2022070315/5551a0ed4979591f3c8b4c83/html5/thumbnails/16.jpg)
Architectuur
Creëer een sterkere identiteit door het koppelen van:
• Bestaande instellingslogin (SAML)
+
• Een tweede factor (bijv. telefoon, token)
![Page 17: MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Samen veilig online Eefje van der Harst - Productmanager](https://reader036.vdocuments.site/reader036/viewer/2022070315/5551a0ed4979591f3c8b4c83/html5/thumbnails/17.jpg)
Authenticatie flow user
![Page 18: MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Samen veilig online Eefje van der Harst - Productmanager](https://reader036.vdocuments.site/reader036/viewer/2022070315/5551a0ed4979591f3c8b4c83/html5/thumbnails/18.jpg)
Huidige status dienstontwikkeling
Prototype self-service portal registratie tokens
Prototype RA-management voor identity vetting user + koppelen token
Beschikbare tokens in prototype: sms en yubikey
Op basis van prototype uitvoeren pilots met instellingen & leveranciers
Doel: dienstontwikkeling, toevoegen aan SURFconext
![Page 19: MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Samen veilig online Eefje van der Harst - Productmanager](https://reader036.vdocuments.site/reader036/viewer/2022070315/5551a0ed4979591f3c8b4c83/html5/thumbnails/19.jpg)
Doelen pilots ism leveranciers & instellingen
• Wat is nodig om een SP step-up-authentication aware te maken? (time, effort, technical, knowledge)
• Hoe kan een SP differentiëren tussen verschillende LoAs?
• Hoe organiseren we uitgifteproces tokens binnen een instelling?
• Hoe is user experience voor eindgebruiker & Service Desk (RA)
![Page 21: MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Samen veilig online Eefje van der Harst - Productmanager](https://reader036.vdocuments.site/reader036/viewer/2022070315/5551a0ed4979591f3c8b4c83/html5/thumbnails/21.jpg)
Achtergrond: proces uitgifte tokens
1
Gebruiker: self-service registratie
token
- (op uitnodiging)- Koppelt token aan
instellingslogin- Levert unieke
registratiecode op
3
Service Desk verifieert:
- Legitimatiebewijs- Of gebruiker kan
inloggen met het token
2
Gebruiker gaat langs bij Service Desk*,
neemt mee:
- Registratiecode- Legitimatiebewijs- Token
*) Kan ook ander loket zijn in rol “registration authority”, bijv. bij IT helpdesk, HR-afdeling
![Page 22: MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Samen veilig online Eefje van der Harst - Productmanager](https://reader036.vdocuments.site/reader036/viewer/2022070315/5551a0ed4979591f3c8b4c83/html5/thumbnails/22.jpg)
Keuze middel: self-service na SAML login
![Page 23: MULTI-FACTOR AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Samen veilig online Eefje van der Harst - Productmanager](https://reader036.vdocuments.site/reader036/viewer/2022070315/5551a0ed4979591f3c8b4c83/html5/thumbnails/23.jpg)
*) RA = registration authority, bijv. bij IT helpdesk, service desk, HR
Vervolgens: face-2-face vetting door RA*