Deze handleiding is voor alle gebruikers die een token willen registreren voor SURFsecureID.
Gebruikers kunnen een authenticatie token kiezen via een Registratieportal. De volgende tokens zijn beschikbaar:
- SMS
- tiqr
- YubiKey
- Azure MFA
- FIDO2
Inhoudsopgave van deze handleiding:
0. Login op het registratieportal
- Open een internetbrowser.
- Ga naar https://sa.surfsecureid.nl
- Selecteer jouw instelling, vervolgens word je naar de inlogpagina van jouw instelling gestuurd.
- Log in met je gebruikersnaam en wachtwoord.
1. Selecteer token
Selecteer een van de volgende tokens. Lees vervolgens verder bij stap 2, koppel token.
Jouw instelling bepaalt welke tokens je mag registreren. Het is dus mogelijk dat je niet alle tokens ziet.
2. Koppel token
SMS
Benodigdheden:
- Een mobiele telefoon (werk of privé) die SMS berichten kan ontvangen.
Let op:
- Je telefoon is privé, deel deze niet met anderen.
- Verlies je telefoon niet uit het oog.
- Vergrendel je telefoon, bijvoorbeeld met een code of vingerafdruk.
- Verzeker je ervan dat je mobiele telefoon signaal heeft en SMS berichten kan ontvangen.
- Vul je telefoonnummer in.
- Klik op 'Verstuur code'.
- Voer de code in die is verstuurd naar je mobiele telefoon en klik 'Controleren'.
- Klik 'Stuur een nieuwe code' als je geen code hebt ontvangen.
- Ga verder naar stap 3. Bevestig e-mail.
Tiqr
Benodigdheden:
- Een iOS of Android smartphone (werk of privé)
- Voor iOS: activeer push-notificaties
Let op:
- je telefoon is privé, deel deze niet met anderen.
- Verlies je telefoon niet uit het oog.
- Vergrendel je telefoon, bijvoorbeeld met een code of vingerafdruk.
Controleer of de tiqr app van SURF B.V. op je smartphone is geïnstalleerd. Zo niet installeer tiqr voor iOS of Android met een van onderstaande links:
Je kunt ook in de app store zoeken naar de tiqr app. Zorg er dan wel voor dat je de door SURF gepubliceerde tiqr app installeert.
- Open de tiqr app op je telefoon
- Scan QR code met de tiqr app
- Accepteer account activatie en druk 'OK' in de mobiele tiqr app
- Kies een unieke PIN voor tiqr
- Onthoud het PIN-nummer, dit kan niet meer worden gewijzigd!
- Er wordt gevraagd of je de app wilt upgraden naar het gebruik van biometrie (je vingerafdruk of gezichtsherkenning). Als je dit doet kun je deze methode gebruiken ter bevestiging van de login in plaats van de PIN.
- Ga verder naar 3 (Bevestig e-mail)
YubiKey
Benodigdheden:
- Een YubiKey (Standaard, Neo, Edge, 4)
Gebruik jouw YubiKey zorgvuldig
- Jouw YubiKey is privé, deel deze niet met anderen.
- Verlies je YubiKey niet uit het oog; zorg ervoor dat YubiKey en computer zich gescheiden van elkaar bevinden
- Steek jouw YubiKey in de USB poort van jouw computer/ laptop zodat de knop naar boven wijst
- Zorg ervoor dat het veld focus heeft (door er met de muis in te klikken)
- Houd de knop van de YubiKey ingedrukt
- Een eenmalig wachtwoord wordt automatisch ingevoerd in het veld
- Ga verder naar 3. Bevestig e-mail
Azure MFA
Benodigdheden:
- Een Azure MFA token die je al geregistreerd hebt voor je instelling
- Je kunt dit controleren door naar deze pagina van Microsoft te gaan en in te loggen met je instellingsaccount
- Voor SURFsecureID maakt het niet uit welke Azure MFA methode je gebruikt. De meest gebruikte is de MS Authenticator app voor op je mobiele telefoon.
Ga zorgvuldig om met je Azure MFA token
- De meeste Azure MFA methodes gebruiken je telefoon. Jouw telefoon is privé, deel deze niet met anderen.
- Verlies je telefoon niet uit het oog; laat je smartphone niet onbeheerd bij je computer liggen
- Als je op de knop "Registreer je Azure MFA token" klikt, zul je gevraagd worden in te loggen bij je instelling.
- Na login met gebruikersnaam/wachtwoord zul je ook je Azure MFA token moeten gebruiken.
Als je in deze browser-sessie al ingelogd was bij je instelling, kan het zijn dat deze stap overgeslagen wordt. Je ervaart dan "single sign-on".
- Ga verder naar 3. Bevestig e-mail
FIDO2
Benodigdheden:
- Je hebt een FIDO2 token nodig en een recente browser.
- Niet alle FIDO2 tokens worden door SURFsecureID ondersteund. Kijk hier voor een overzicht van ondersteunde FIDO2 tokens.
- Neem contact op met jouw instelling om een FIDO2 token te verkrijgen, of bestel er een online.
Gebruik jouw FIDO2 token zorgvuldig
- Jouw FIDO2 token is privé, deel deze niet met anderen.
- Verlies jouw FIDO2 token niet uit het oog; bewaar het token en computer gescheiden van elkaar.
- Als je op de knop "Registreer je FIDO2 token" klikt, zul je gevraagd worden je FIDO2 token te gebruiken.
- De stappen hiervan zijn afhankelijk van je browser.
| Actie | Edge op Windows |
|---|---|
1) Eerste registratiestap. Mogelijk krijg je eerst een keuze als er meerdere opties zijn, bijvoorbeeld als je computer een vingerafdruk-sensor heeft. Kies USB, doe je FIDO2 token in een USB ingang en raak je token aan. |
|
| 2) Geef toestemming om dit token te gebruiken. |
|
3) Bij een login met je FIDO2 token zie je dit scherm. Doe je FIDO2 token in een USB ingang en raak je token aan. |
|
| Actie | Chrome op Windows | Chrome op Mac OSX |
|---|---|---|
1) Eerste registratiestap. Mogelijk krijg je eerst een keuze als er meerdere opties zijn, bijvoorbeeld als je computer een vingerafdruk-sensor heeft. Kies USB, doe je FIDO2 token in een USB ingang en raak je token aan. |
|
|
2) Geef toestemming om dit token te gebruiken. |
|
|
3) Bij een login met je FIDO2 token zie je dit scherm. Doe je FIDO2 token in een USB ingang en raak je token aan. |
|
|
| Actie | Safari op Mac OSX |
|---|---|
1) Registratie. Doe je FIDO2 token in een USB ingang en raak je token aan. |
|
2) Bij een login met je FIDO2 token zie je dit scherm. Doe je FIDO2 token in een USB ingang en raak je token aan. |
|
Actie | Firefox op Mac OSX |
|---|---|
1) Eerste registratiestap. Doe je FIDO2 token in een USB ingang en raak je token aan. |
|
2) Geef toestemming om dit token te gebruiken. Gebruik niet de optie op te anonimiseren. |
|
3) Bij een login met je FIDO2 token zie je dit scherm. Doe je FIDO2 token in een USB ingang en raak je token aan. |
|
- Ga verder naar 3. Bevestig e-mail
3. Bevestig e-mail
Het kan zijn dat jouw instelling de email bevestiging heeft uitgezet. In dat geval wordt er niet gevraagd om je email adres te bevestigen en wordt deze stap overgeslagen.
- Een e-mail met instructies is verzonden naar jouw e-mailadres
(NB dit is het e-mailadres dat is geregistreerd voor het account bij jouw instelling) - Klik op de link in de e-mail of knip en plak de link in je browser om verder te gaan
- Heb je de browser afgesloten tijdens de registratie? Dan zul je opnieuw moeten inloggen met je instellings-account (Zie 1. Inloggen)
- Geen e-mail ontvangen? Controleer de ongewenste post (spam folder) of neem contact op met de servicedesk van jouw instelling
Jouw token is bijna klaar voor gebruik
Je kunt jouw token op de volgende locatie(s) activeren:
Meenemen:
- Het token (telefoon voor SMS, tiqr of Yubikey hardware USB-token) dat je hebt geregistreerd
- Een geldig identiteitsbewijs (paspoort, rijbewijs of ID-kaart)
- Jouw activatiecode
- Een e-mail met deze instructies en activatiecode is ook verzonden naar jouw e-mailadres
- Ga verder naar stap 4 (Token activeren)
4. Token activeren
Jouw instelling bepaalt welke activatiemethode je kunt gebruiken. In totaal zijn er 3 activatiemethoden waaruit je soms zult moeten kiezen.
Als je geen keuze ziet maar direct een activatiemethode moet doorlopen, dan is er voor jou op dat moment geen andere mogelijkheid.
De 3 activatiemethodes zijn:
- Zelf-activatie; hiermee kun je zelf je token activeren. Dit doe je door een herstelmethode (SMS of herstelcode) te kiezen. Als je je token niet meer kunt gebruiken heb je een herstelmethode nodig om een nieuw token te registreren.
- Servicedesk; je laat je token activeren bij de servicedesk van je instelling. Je krijgt instructies waar je dit kunt doen. Doe dit binnen 14 dagen, je activatiecode verloopt namelijk na 14 dagen
- Activeren met een bestaand token; als je al een token hebt kun je hier een nieuw token mee activeren.
Hieronder worden deze methoden verder uitgelegd.
Zelf-activatie
- Indien je je token via zelf-activatie kunt activeren zie je onderstaande keuze scherm. Kies voor zelf-activatie.
- Je instelling kan een instructie laten zien om je keuze eenvoudiger te maken.
- Een token dat met zelf-activatie is geactiveerd heeft een lager betrouwbaarheidsniveau dan activatie via een servicedesk. Maar, activatie via een servicedesk kost meer tijd en moeite.
- Bij verlies van je token moet je in staat zijn om zelf veilig een nieuw token te registreren. Hiervoor moet je een herstelmethode configureren.
- Kies 1 van beide herstelmethoden. Je kunt deze later nog aanpassen en een tweede toevoegen.
- Als je kiest voor een herstelcode dan wordt de herstelcode weergegeven op het scherm.
- Sla deze veilig op, bijvoorbeeld in een wachtwoord manager en bewaar deze goed!
- Als je kiest voor telefoonnummer als herstelmethode, dan moet je een mobiel nummer invoeren.
- Voer je mobiele nummer in, inclusief de juiste landcode.
- Je krijgt nu een SMS bericht met een code
- Voer deze code in en klik op Controleren
- Mocht je geen code hebben gekregen kun je kiezen om het nogmaals te proberen door op de knop "Stuur een nieuwe code".
Servicedesk activatie
Als je kiest voor voor servicedesk activatie, of als je direct naar deze activatiemethode wordt geleid moet je je token activeren bij de servicedesk van je instelling.
Doe dit binnen 14 dagen want dan verloopt de activatiecode en moet je je token opnieuw registreren.
- In dit scherm zie je instructies voor het activeren bij je servicedesk. Deze instructie wordt ook naar je email adres gestuurd.
- Bezoek de locatie(s) zoals genoemd en neem de activatiecode mee
- Vertel de servicedeskmedewerker dat je jouw token komt activeren voor SURFsecureID en overleg jouw activatiecode
- Afhankelijk van het gekozen token vindt de volgende controle plaats:
- SMS: je ontvangt een eenmalig wachtwoord via SMS; overhandig deze code aan de servicedesk medewerker
- tiqr: je ontvangt een push-notificatie op jouw smartphone; vul je tiqr PIN-code in om het tiqr account te verifiëren (geen push-notificatie ontvangen? Scan in plaats daarvan de QR code)
- YubiKey: overhandig jouw YubiKey aan de servicedeskmedewerker. Hij/ zij controleert of dit daadwerkelijk de YubiKey is die je eerder hebt geregistreerd
- Azure MFA: hiervoor vindt geen extra controle plaats
- FIDO2: hiervoor vindt geen extra controle plaats
De servicedeskmedewerker zal je vragen om een geldig legitimatiebewijs te tonen
Nadat je token en legitimatiebewijs succesvol zijn geverifieerd, activeert de servicedeskmedewerker jouw token
Je ontvangt een bevestigingsmail met meer informatie
Vergeet je YubiKey niet nadat deze is geactiveerd door de servicedesk medewerker 
Activatie via een ander token
Als je al een ander token van voldoende niveau hebt geregistreerd en jouw instelling staat dit toe, dan krijg je de optie om je token zelf te activeren. Je ziet dan onderstaand scherm.
- Kies "Token" en log in met je andere, al bestaande token
- Je token is dan geactiveerd en je ontvangt een bevestigingsmail met meer informatie
- Mocht je andere, bestaande token niet beschikbaar zijn, dan kun je alsnog kiezen voor een activatie via je servicedesk. Dan volg je de stappen zoals hierboven aangegeven.