Best practice: Windesheim gebruikt SURFsecureID

Nieuwe plug-in

Vanuit je huis absenties registreren. Op een veilige manier inloggen in het studievolgsysteem. Toetsen maken zonder de angst dat studenten achter je inlognaam en wachtwoord komen. Bij hogeschool Windesheim zijn de mogelijkheden om tweefactor authenticatie toe te passen in korte tijd flink toegenomen. Dat komt door een ADFS plug-in, waarmee diensten gekoppeld aan Microsoft ADFS geschikt zijn gemaakt voor SURFsecureID. Om toegang te krijgen tot de diensten loggen medewerkers nog steeds in met hun eigen gebruikersnaam en wachtwoord, maar daarnaast gebruiken ze de tiqr-app of een YubiKey als tweede authenticatiemiddel.

Groeiende behoefte

Om cijfers in te voeren in het studievolgsysteem gebruikten de medewerker tokens. Die werden oud en waren relatief duur. “De behoefte aan een laagdrempelige vorm van tweefactor authenticatie groeide,” vertelt projectmanager Robert Slagter. “Tot voor kort was slechts een beperkt deel van de applicaties van hogeschool Windesheim geschikt voor SURFsecureID. Toen kwam het nieuws dat SURFnet een plug-in had ontwikkeld voor ADFS. De hogeschool deed zowel een pilot met de SURFnet plug-in als met sterke authenticatie van Microsoft. Microsoft gaf gebruikers geen mogelijkheid om zichzelf te registreren, wat tot meer werk voor de beheerders leidde. De keuze viel op SURFsecureID met de plug-in voor ADFS.”  “SURFnet is al een strategische partner van ons. Wat ook meespeelde, is dat SURFnet naast de tiqr-app ook YubiKey ondersteunt. Sommige medewerkers vinden dat prettiger dan een app.”

Niet meer delegeren

Omdat een aantal leidinggevenden en managers graag de verzuimregistratie vanuit hun huis wilde kunnen doen, werd de applicatie VerzuimXpert als eerste ontsloten. De betrokkenheid van hogerhand was daarmee direct verzekerd. “Een bijkomend voordeel was dat we in de communicatie de nadruk konden leggen op de vervulling van een wens, in plaats van op de invoer van een extra veiligheidsmaatregel,” vertelt Slagter. Klein bijkomend nadeel: enkele leidinggevenden bleken de verzuimregistratie graag te delegeren. Dát was met de komst van SURFsecureID nou net niet meer mogelijk.

Veel begrip

Alle gebruikers van SURFsecureID moeten zichzelf online registeren. Daarna brengen ze een verplicht bezoek aan de servicebalies van Windesheim in Zwolle of Almere. Een medewerker van de servicebalie stelt de identiteit van de gebruikers vasten activeert de app of YubiKey. De implementatie stond of viel bij goede communicatie. In eerste instantie ging het om 130 gebruikers van VerzuimXpert. Daarna volgde de ontsluiting van studievolgsysteem Educator. Ruim 1400 docenten en bedrijfsbureau-medewerkers gebruiken deze dienst. Zij kregen een waarschuwing in het programma dat inloggen binnenkort niet meer mogelijk zou zijn zonder tweede factor.

Het projectteam begon vroegtijdig met het versturen van e-mails en het plaatsen van berichten op het intranet, om iedereen op de hoogte te stellen van het hoe en waarom van SURFsecureID. Er werd zelfs een informatiestand ingericht op de kerstmarkt. Ze stuitten op weinig weerstand. “We hadden het tij mee,” vertelt projectleider Slagter. “De media berichtten veel over hacks en datalekken. Vanuit de medewerkers was er begrip voor de maatregel. Hooguit wilden sommigen hun privé-telefoon liever niet gebruiken. Zij kregen een YubiKey, maar over het algemeen moedigden we dat af, omdat mensen die nogal eens in hun laptop laten zitten.”

Een kwestie van timing

Een onverwachte kink in de kabel vormde de kerstvakantie: veel medewerkers hadden zich voor de vakantie geregistreerd, maar gingen pas in het nieuwe jaar langs bij de servicebalie. In de tussentijd bleek hun aanmelding verlopen. Slagter: “We hebben SURFnet geadviseerd om gebruikers tussendoor een automatische herinnering te sturen dat de registratie twee weken geldig is.” Servicebaliemedewerker Mark de Vries ontdekte nog een ander nadeel van het implementatiemoment. “Aan het einde van het jaar ontvangen medewerkers een dertiende maand. Wat doen ze daarmee? Een nieuwe telefoon kopen! Dat betekent echter ook dat je je opnieuw moet registreren voor SURFsecureID…”

Scherpe deadline

Technisch liep de implementatie van een leien dakje. De meeste hobbels waren tijdens de pilot in de testomgeving al verholpen. “Sommige certificaten en paden waren net anders dan in de SURF-testomgeving,” vertelt Van der Molen. “We konden dat snel aanpassen, ook omdat er een medewerker van SURFnet bij aanwezig was.” De geteste plug-in moest nog langs een security audit van SURFnet. Daardoor ontstond er een scherpe deadline, want de definitieve plug-in was op 28 november 2017 gereed, terwijl de live-gang bij Windesheim op 1 december stond gepland. In de nieuwe versie werd nog een foutje gevonden, waardoor gebruikers zich twee keer moesten identificeren, herinnert coördinator infrastructuur Kees Kamphuis zich. “Dat heeft SURFnet er nog snel uit gehaald.” Daarna was het een kwestie van ‘een uurtje werk’ voordat de installatie erop zat.

Meer diensten ontsluiten

 De ict-ers zijn tevreden over de plug-in. “Door de koppeling van SURFsecureID met ADFS is het voor ons mogelijk om tweefactor authenticatie granulair uit te rollen,” zegt Kamphuis. “Mocht er zich een storing voor doen, dan halen we tweede authenticatie er met één druk op de knop af.” Een derde applicatie, Surpass, is inmiddels ontsloten. Omdat de doelgroep van deze toetsapplicatie dezelfde is als die van Educator, leverde dat geen problemen op. Windesheim is van plan om meer diensten te voorzien van tweefactor authenticatie. Van der Molen: “Nieuwe applicaties toevoegen is een kwestie van een vinkje zetten. Waar het om gaat, is dat je een goede afweging maakt tussen veiligheid en gebruikersgemak.”

Meer informatie

• Geïnteresseerd in SURFsecureID? Neem contact op met Peter Clijsters (zie gegevens op deze pagina)
• Lees meer over SURFsecureID (de nieuwe naam van SURFconext Sterke Authenticatie)