Best practice: Hoe krijg je nieuwe dienstaanbieders mee met SURFsecureID?
De Onderwijsgroep Tilburg maakt als eerste mbo-instelling gebruik van SURFsecureID en heeft bereikt dat de leverancier van het veelgebruikte studenteninformatiesysteem Eduarte zich daarbij aansluit. Hoe zorg je dat dienstaanbieders warmlopen voor SURFsecureID?
Vertrouwelijke gegevens beschermen
“Stel dat jouw kind een rugzakje heeft. Dan staan er behoorlijk wat vertrouwelijke gegevens over hem of haar in de systemen van de school. Je wilt niet dat iemand buiten de school die gegevens gemakkelijk in kan zien met een gestolen of geraden wachtwoord.” Aan het woord is IT-architect Merijn van de Schoot van de Onderwijsgroep Tilburg. Deze mbo-instelling heeft onlangs de tweefactorauthenticatiedienst SURFsecureID ingevoerd voor Eduarte, het studenteninformatiesysteem van de onderwijsinstelling. “In het begin vinden medewerkers het lastig, het is toch een extra stap bij het inloggen. Maar met zo’n voorbeeld van een rugzakje ontstaat er snel begrip.”
Er zijn allerlei partijen die systemen voor tweefactorauthenticatie aanbieden. Waarom viel de keuze op de dienst van SURF? “SURF is een stabiele, betrouwbare partner. Bij marktpartijen loop je het risico dat ze meer geld voor hun dienstverlening gaan vragen of er plots mee stoppen en dan kun je moeilijk over naar een ander systeem. Bovendien weet je nooit zeker wat ze met je gegevens doen. Bij SURF weet je waar je aan toe bent.”
“Als je als leverancier serieus genomen wilt worden, moet je dit gewoon aanbieden.”
Ook vindt Van de Schoot het handig dat SURFsecureID multi-inzetbaar is. “We willen nog meer diensten beveiligen met tweefactorauthenticatie, bijvoorbeeld ons HR-systeem. Als we dat nu koppelen met SURFsecureID, hoeven we geen nieuwe infrastructuur of database in te richten en kunnen gebruikers hun huidige tokens ook daarvoor gebruiken. Je wilt niet dat ze met tien tokens aan hun sleutelbos rondlopen.”
“Verder is het een groot voordeel dat we nog maar één aanspreekpunt hebben. Als we in de toekomst bijvoorbeeld over willen op RSA-tokens, dan hoeven we alleen maar met SURF te overleggen en niet met alle afzonderlijke leveranciers. Als SURF RSA-tokens toevoegt aan zijn systeem, werkt het gelijk met alle aangesloten diensten.”
Winst voor de leverancier
Het heeft dus veel voordelen om SURFsecureID te kiezen om de diensten die je instelling gebruikt, af te schermen. Maar leveranciers moeten hun diensten wel aanpassen om ze met SURFsecureID te laten werken. Hoe krijg je een aanbieder zover? “Ga met je leveranciers in gesprek en vertel dan niet alleen dat jij graag een aansluiting wilt, maar laat vooral ook zien hoeveel winst er voor hen te behalen is. Als ze de koppeling eenmaal hebben gemaakt, hebben ze ‘m voor alle aangesloten instellingen in heel Nederland gemaakt. Die hebben ze dan direct als potentiële klant. Dan zijn ze opeens bereid om heel hard te rennen.”
“SURF is een stabiele, betrouwbare partner.”
En daarvoor hoeft een leverancier niet eens zoveel te doen. Vaak is het voldoende om een library te installeren en aan je applicatie te koppelen. “Als je vertelt dat de techniek gebaseerd is op SAML, zie je de techneuten helemaal opfleuren, want dat kennen ze wel. ‘Is het zó makkelijk?!’, zeggen ze dan. Vaak gebruiken ze dat soort protocollen al om inloggen via Microsoft of Facebook mogelijk te maken. Er komt alleen maar een methode bij.” Daarnaast neemt SURFsecureID de dienstaanbieders ook werk uit handen. “Ze hoeven niet zelf een hele tokeninfrastructuur in te richten. Dat doet SURF allemaal voor ze!”
Van de Schoot denkt dat SURFsecureID snel een vanzelfsprekendheid wordt. “Als je als leverancier serieus genomen wilt worden in de onderwijssector, moet je dit gewoon aanbieden. Tegenwoordig zetten we het als eis in al onze aanbestedingen. Wie niet kan of wil koppelen, valt dus gewoon buiten de boot. In de praktijk vinden leveranciers dat nooit een rare voorwaarde.
Samen sta je sterker
De Onderwijsgroep Tilburg is de eerste mbo-instelling die gebruikmaakt van SURFsecureID. “Maar er zijn al vier andere roc’s bij ons op bezoek geweest die het ook willen gebruiken. We hebben ze een workshop gegeven om te laten zien hoe het werkt.”
“Er zijn al vier roc’s bij ons op bezoek geweest die het ook willen gebruiken.”
Voor Eduarte was de Onderwijsgroep een pilot. Het inregelen en het testen kostte tijd. Maar elke volgende instelling is voor de dienstaanbieder nu een kwestie van een knopje omzetten. Eigenlijk heeft Van de Schoot dus de kolen uit het vuur gehaald voor de andere instellingen. “Zo zien we dat niet, hoor. Bij een volgende dienst is een andere instelling de eerste en daar plukken wij weer de vruchten van.”
SURFsecureID in het kort
- Met SURFsecureID voeg je een tweede factor toe aan het inloggen op online diensten.
- Afhankelijk van het soort dienst wordt de tweede factor alleen gevraagd bij bepaalde handelingen (bijvoorbeeld niet bij het inloggen in een cijfer-registratieprogramma, maar wel bij het aanpassen van cijfers) of gebruikersgroepen (bijvoorbeeld niet bij studenten, die alleen hun eigen gegevens kunnen inzien, maar wel bij docenten, die gegevens van alle studenten kunnen zien en wijzigen).
- SURFsecureID ondersteunt drie soorten tokens: sms-codes, de usb-sleutel YubiKey en onze smartphone-app tiqr, die werkt via challenge-response-authenticatie.
- Je kunt de dienst gebruiken in combinatie met SURFconext-diensten, maar ook op diensten die je zelf host via onze ADFS-plugin.
Meer weten over deze dienst of zelf aanvragen?
