Sterke authenticatie voor applicaties gekoppeld aan Microsoft ADFS

Gevoelige applicaties extra beveiligen

SURFconext Sterke Authenticatie biedt sinds 2015 de mogelijkheid om op SURFconext aangesloten clouddiensten beter te beveiligen via een tweede factor, naast de gebruikersnaam-wachtwoordcombinatie. Dit was tot voor kort niet mogelijk voor applicaties gekoppeld aan Microsoft Active Directory Federation Services (ADFS).

Onderzoek van SURFnet laat zien dat instellingen dit wel wenselijk vinden. Zo zijn er ADFS-gekoppelde applicaties waarbij gebruikers toegang hebben tot privacygevoelige gegevens. Andere applicaties beheren kritische bedrijfsprocessen. Dit soort gevoelige applicaties willen ze beter beveiligen.

Plug-in voor ADFS

SURFnet is met deze wens aan de slag gegaan. We hebben een MFA-plug-in (Multi Factor Authentication) voor ADFS geschreven. Deze plug-in maakt multifactorauthenticatie via SURFconext Sterke Authenticatie mogelijk voor applicaties die gekoppeld zijn aan de eigen ADFS.

Veel op SURFconext aangesloten instellingen maken gebruik van ADFS. ADFS maakt het mogelijk een identiteitenfederatie op te zetten met bijvoorbeeld SURFconext. Zo kunnen gebruikers van de instelling bij SURFconext inloggen met hun gebruikersnaam en wachtwoord van hun eigen instelling.

Multifactorauthenticatie via ADFS

ADFS biedt ook de mogelijkheid voor multifactorauthenticatie. Hierbij blijft de eerste factor (gebruikersnaam-wachtwoordcombinatie) afgehandeld worden via Microsoft Active Directory Domain Services (ADDS). Voor de tweede factor is een plug-in voor ADFS nodig. De plug-in die wij ontwikkeld hebben, regelt dat SURFconext Sterke Authenticatie de tweede factor afhandelt.

Verloop multifactorauthenticatie

De multifactorauthenticatie van de applicaties verloopt dan als volgt:

1. De gebruiker gaat naar de applicatie die gekoppeld is aan ADFS. De gebruiker wordt doorgestuurd naar ADFS en deze vraagt de gebruiker om zijn gebruikersnaam en wachtwoord.
2. De gebruiker wordt op basis van de invoer geauthenticeerd door ADDS. Is de authenticatie succesvol, dan wordt dit doorgegeven aan ADFS.
3. Vanuit ADFS wordt nu de tweede factor van de authenticatie opgestart middels de ADFS-plug-in voor SURFconext Sterke Authenticatie. Bij SURFconext Sterke Authenticatie kiest de gebruiker zijn authenticatiemiddel (tiqr, sms of een Yubikey). Is de authenticatie succesvol, dan wordt dit doorgegeven aan ADFS.
4. De multifactorauthenticatie is succesvol en de gebruiker wordt teruggestuurd naar de applicatie voor toegang.

Ervaringen met plug-in succesvol

In de afgelopen maanden is in samenwerking met Hogeschool Windesheim en het Clusius College een eerste pilot gedaan met het gebruik van deze plug-in. Deze instellingen hebben de ADFS-plug-in geïnstalleerd in hun testomgeving en SURFconext Sterke Authenticatie met hun applicaties getest.

Het inzetten van de plug-in is in de eerste pilots zeer succesvol gebleken. Het is op deze manier mogelijk om op basis van ADDS-securitygroepen per gefedereerde applicatie wel of niet multifactorauthenticatie te vereisen. Dit blijkt in de praktijk een goed werkbaar scenario en heeft Clusius en Windesheim enthousiast gemaakt over de plug-in. 

Koppeling met andere authenticatiesystemen

De ADFS MFA-plug-in gebruikt een gestandaardiseerde interface van SURFconext Sterke Authenticatie. Ook andere authenticatiesystemen van instellingen kunnen deze interface van SURFconext Sterke Authenticatie gebruiken. Instellingen hebben eerder al koppelingen gemaakt vanaf Citrix Netscaler en F5 BIG-IP. Nu hebben we dit met behulp van een plug-in ook gedaan met ADFS.

Zelf deelnemen aan de pilot?

De pilotperiode voor de plug-in loopt tot eind 2017. In deze periode wordt voor ondersteuning gezorgd zodat instellingen kunnen onderzoeken of het iets voor hen is. Ook geïnteresseerd in het gebruik van de plug-in of heb je een ander authenticatiesysteem waarmee je SURFconext Sterke Authenticatie wilt gebruiken? Neem contact op met het SURFconext team via info@surfconext.nl.