Multi-factor authenticatie voor cloudapplicaties via surfconext

Slides:

Advertisements

Verwante presentaties

Document Management Silicon.

Advertisements

Livy BV Randstad BM Almere Introductie Livy Professional De online oplossing voor professionele woning transacties.

Veiligheidsincidenten de afgelopen maand? 21 mei

Zaakgericht Werken.

Organisatie en sourcing van de DLWO Jacco Jasperse Informatie- en procesmanager Manager Dienst Informatievoorziening en Automatisering.

Easy Bis Bestuursdienst Informatie Systeem Van agendapunt tot besluit Met automatische internet publicatie.

Slimmer Organiseren voorbij “Het Nieuwe Werken”. Slimmer organiseren Een flexibiliserende arbeidsmarkt en moderne communicatiestructuren levert vragen.

Verzoek vorige keer - samenhang:

Dé complete online werkplek met de kracht van Office 365

Open Text - Unisys gebruikersdag 19 november 2007

Adobe formulieren : stand van zaken.

11 Infrastructuur Optimalisatie: Waarom een op voorzieningen gebaseerd platform de betere keuze is.

State-of-the-Art beveiliging met Windows Identity Foundation

Voordelen van elektronische facturering Marcel Spoelstra Accountantskantoor Spoelstra & Scherer 12 april 2011.

SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.

Breedband in het OV: architectuur 11 Mei 2005 GVB, Amsterdam.

Eduroam BELnet bezoek, 18 juli 2005

SURFnet en IEEE 802.1X Amsterdam, 8&9 Mei 2003.

Hoogwaardig internet voor hoger onderwijs en onderzoek Federatieve netwerk toegang: eduroam Federatiedagen, Utrecht, 29 Maart 2006

Hoogwaardig internet voor hoger onderwijs en onderzoek eduroam BELNET, Brussel, 29 September 2005

Veilige gast-toegang tot het instellingsnetwerk met 802.1X RADIUS server Instelling B RADIUS server Instelling A SURFnet Centrale SURFnet RADIUS server.

EduRoam SEC seminar, 22 februari 2005

Service Oriented Architecture

© de vries business consultancy, 2008

Technische Architectuur

WapliX CRM New generations of applications. Wat is WapliX CRM?  Contact Information Management Organisaties, contactpersonen en projecten worden beheerd.

Inleiding Veiligheid Beschikbaarheid Betrouwbaarheid Snelheid Volledigheid.

Edukoppeling certificering

STERKE AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT Business model SuaaS Eefje van der Harst – Productmanager SURFconext.

Risk Based Testing van pakketsoftware

Strong authentication via SURFconext Walter van Dijk.

Govroam Presentatie tijdens DSA-bijeenkomst over Public WiFi 3 juni 2014, door Paul Francissen.

Sterke authenticatie via SURFconext Eefje van der Harst 24 maart 2015.

SURF Juridisch normenkader cloudservices

SURFconext & autorisatie

Groepen voor internationale samenwerking Bas Zoetekouw What’s next at SURFconext? 24 maart 2015.

Resultaten en Roadmap SURFconext

APP Platform Rivium, 5 maart 2013 Rik Vietsch.

Maturity Scan HAN en nu verder! Presentatie Maturity Scan HAN

Federated Authentication Benchmarking Framework

1 IT Service Management George Pluimakers Theorie (3)

FLOWer is… Case Handling Proces management zonodig tot op het bot

Certificeringsschema

Een enkele werkplek voor al je apps Vanaf elk device met een browser.

Informatiseringscentrum Marijke Vandecappelle Tormo van Schuppen 5 december 2012 UvA IDM in 15 minuten.

Footer leeghouden ivm logo #ad0006 R: 173 G: 0 B: 6 #005dad R: 0 G: 93 B: 173 #3f3f3f R: 63 G: 63 B: 63 #00ad51 R: 0 G: 173 B: 81 #ffad00 R: 255 G: 173.

RDA Toelichting op Remote Document Authentication

In het hoger onderwijs Identity Management. partner in IGI Group Peter Jurg.

Welke veranderprocessen spelen nu binnen de LVNL of komen eraan?

Bra1 STUDENTMOBILITEIT informatieanalyse Andre Brands – december 2014.

@FrRobben MOBIELE AUTHENTICATIE.

Titel van de presentatie | 20 oktober 2010 Afsprakenstelsel eHerkenning Freek van Krevel Versie 28 november 2011.

Gebruikers- ondersteuning Monitoring Data- beheer Management- informatie Change support Tactisch support Strategisch support Management support Behoefte-

Change support Tactisch support Strategisch support Management support Monitoring Educatie Management- informatie Data- beheer Behoefte- management Contract-

Patiëntauthenticatie. Authenticatie Het proces waarbij wordt nagegaan of een natuurlijk persoon daadwerkelijk degene is die hij beweert te zijn. Hiervoor.

Ministerie van BZK – 3 november 2016

Diverse Sprekers ZAAM’s doelen zijn leidend voor gewenste ICT ondersteuning en benodigde infrastructuur DOEL PYRAMIDE ZAAM Doel (Missie) Als schoolorganisatie.

Strategisch support Management support Strategie Tactisch support

Strategisch support Management support Strategie Tactisch support

Gewenste ECK configuratie MBO

The Hybrid Workspace Gino van Essen Technical Consultant.

The Hybrid Workspace Commercial Value Proposition

GEU – PO - ENTREE Edu-K H-P Köhler, domeinmanager.

Science Collaboration Zone

Een volgende stap voor het succesvolle EDISON verhaal

Idensys pilot Rotterdam

Strategisch support Management support Strategie Tactisch support

ASP.NET MVC Web Development

Opslag documenten in Office 365

Transcript van de presentatie:

Multi-factor authenticatie voor cloudapplicaties via surfconext Samen veilig online Multi-factor authenticatie voor cloudapplicaties via surfconext Eefje van der Harst - Productmanager

Hoger onderwijs & onderzoek: cloud is the way Steeds meer applicaties in de cloud Anytime, anywhere, any device toegang is het credo De klant* is koning! Of niet? *) student/ medewerker/ onderzoeker Laagdrempelig toegang voor gebruikers; JA! MAAR: dan wel veilig!

Wat kan er mis gaan? Een hoop…bijv: Fraude met cijferadministratie Lekken van patentgevoelige onderzoeksdata Persoonlijke gegevens op straat Etc., etc.

Veilige toegang: risico-afweging nodig door IdP Hoe bepaalt instelling het vereiste betrouwbaarheidsniveau? Wat is juiste risico-inschatting? Wat is gewenste beschermingsniveau? Volg internationale standaarden: ISO 29115 NIST 800-63 STORK http://www.surf.nl/kennis-en-innovatie/kennisbank/2014/rapport-handreiking-betrouwbaarheidsniveaus.html

Betrouwbaarheidsniveaus - Levels of Assurance LoA Beschrijving 1 - Laag Weinig of geen vertrouwen in geclaimde over verzekerd (“asserted”) identiteit 2 - Medium Enig vertrouwen in de geclaimde of verzekerde identiteit 3 - Hoog Veel vertrouwen in de geclaimde of verzekerde identiteit 4 - Zeer hoog Zeer veel vertrouwen in de geclaimde of verzekerde identiteit Bron: ISO 29115

Bepalende factor: mate van vertrouwelijkheid data Denk aan: Toetsmateriaal Toetsresultaat Studievoortgang Persoonsgegevens Onderzoeksgegevens

Bepalende factor: integriteit data Denk aan: Waardedocument (bijv. diploma) Deelnameregistratie (leeractiviteit/ statgeplaats) Onderzoeksgegeves Publicatie

Andere factoren van invloed (+/-) - - Bevestiging via andere weg Inzage in laatste inlog Herstel schade is makkelijk + + Motief voor fraude BN’ers Schaal mogelijke fraude is groot

Use-cases sterke authN tot cloud apps zijn legio Diverse cloud applicaties, denk aan storage, doc sharing

Use-cases sterke authN tot cloud apps zijn legio E-HRM applicaties

Use-cases sterke authN tot cloud apps zijn legio Rooster applicaties, cijferadministratie

Maar hoe organiseer je dat? Instelling Zoveel leveranciers, zoveel tokens Vendor lock-in dreigt Tokens zijn vaak SP-afhankelijk (dus: grote sleutelbos tokens?) Implementatie bij IdP complex & duur? (n=160) Processen belangrijk voor hoogte LoA Duur, vooral bij kleine user base Leverancier Authenticatie & token-uitgifte geen core business Oneigenlijk gebruik vqn je applicatie terugdringen USP richting instellingen 1x implementeren voor alle instellingen ipv 1:1 oplossingen per instelling

Architectuur: hergebruik van wat goed is

+ wat extra’s

Uitgangspunten centrale service step-up authN Open – vendor neutraal Onafhankelijk van IdP/SP implementatie SAML-based (dus: web!) Centrale infra Kostenreductie voor IdPs Decentrale procedure voor uitgifte tokens & f2f vetting bij IdP (scheelt werk voor SP)

Architectuur Creëer een sterkere identiteit door het koppelen van: Bestaande instellingslogin (SAML) + Een tweede factor (bijv. telefoon, token)

Authenticatie flow user

Huidige status dienstontwikkeling Prototype self-service portal registratie tokens Prototype RA-management voor identity vetting user + koppelen token Beschikbare tokens in prototype: sms en yubikey Op basis van prototype uitvoeren pilots met instellingen & leveranciers Doel: dienstontwikkeling, toevoegen aan SURFconext

Doelen pilots ism leveranciers & instellingen Wat is nodig om een SP step-up-authentication aware te maken? (time, effort, technical, knowledge) Hoe kan een SP differentiëren tussen verschillende LoAs? Hoe organiseren we uitgifteproces tokens binnen een instelling? Hoe is user experience voor eindgebruiker & Service Desk (RA)

Vragen? Eefje van der Harst Eefje.vanderharst@surfnet.nl

Achtergrond: proces uitgifte tokens 1 Gebruiker: self-service registratie token (op uitnodiging) Koppelt token aan instellingslogin Levert unieke registratiecode op 2 Gebruiker gaat langs bij Service Desk*, neemt mee: Registratiecode Legitimatiebewijs Token 3 Service Desk verifieert: Legitimatiebewijs Of gebruiker kan inloggen met het token *) Kan ook ander loket zijn in rol “registration authority”, bijv. bij IT helpdesk, HR-afdeling

Keuze middel: self-service na SAML login

Vervolgens: face-2-face vetting door RA* *) RA = registration authority, bijv. bij IT helpdesk, service desk, HR