Opheffen IP restrictie Zenya - Kiosk PC's

​@Alex van Baar 

Om te beginnen raad ik je Beveiligingsaspecten Zenya SaaS | Zenya Community aan.
Ik hoop dat onderstaande informatie eventuele resterende vragen beantwoord.
En anders zetten we ons gesprek hier verder.

Accounts worden beheerd vanuit een externe bron (b.v. EntraID of AFAS) en Single Sign On (SSO)

Je kunt de Zenya Enterprise Application die je in EntraID hebt ingericht voor Provisioning ook gebruiken voor SAML2 SSO (ter vervanging van ADFS authenticatie). Netwerk gebruikers die niet aan deze EntraID Zenya Enterprise Application verbonden zijn kunnen dan niet aanmelden in Zenya.

Als de KIOSK accounts ook in EntraID beheerd worden en via SSO aangemeld worden, dan verloopt het aanmelden en lezen analoog aan dat van andere gebruikers.Voorwaarde is dan wel dat de KIOSK PC's met KIOSK accounts aangemeld worden.
Het is denkbaar dat de KIOSK accounts in Zenya zijn gedefinieerd als "Groepsaccount’. In dat geval zijn deze aspecten relevant:

• Wat is een 'groepsaccount'? | Zenya Community, met informatie een aantal aanvullende opties bij een groepsaccount en ook enkele andere verschillen met een persoonlijk account
• Voor Veilig melden/Privacy is de informatie over Identiteit bevestigen in Meldingstype - Algemene instellingen | Zenya Community interessant: de keuze "Identiteit bevestigen voor groepsaccounts” biedt medewerkers die werken met een KIOSK PC de keuze tussen "Melden met KIOSK account” en "Melden met persoonlijk account’. Melden met KIOSK account betekent namelijk dat je melding zichtbaar is aan iedereen met dat KIOSK account.

Accounts worden direct in Zenya zelf aangemaakt en beheerd

Zie SSO omzeilen met lokaal aangemaakt test account | Zenya Community als de KIOSK accounts of accounts van derden uitsluitend in Zenya zelf beheerd worden (dus niet via Provisioning vanuit een externe bron zoals EntraID of AFAS).

Het is wellicht goed om te weten dat men behalve Zenya brede IP-restricties ook IP-restricties op specifieke Zenya accounts kan toepassen, zie (Anonieme) toegang tot Zenya vanaf internet beperken | Zenya Community
Als KIOSK PC's een geheel eigen Public IP-range hebben die afwijkt van die van de rest van het ziekenhuis, dan kan men effectief afdwingen dat het gebruik van KIOSK accounts alleen is toegestaan vanuit een KIOS PC. Deze optie kan men ook inzetten voor accounts van derden of het Zenya administrator account.

Mulfifactor Authenticatie of 2FA 

Het is mogelijk om 2FA toe te passen op alle accounts zoals die in Zenya voorkomen, soms zijn we daar zelfs dwingend in, zie bijvoorbeeld Twee-factor authenticatie voor het administrator account instellen | Zenya Community

Sommige IAM oplossingen (waaronder EntraID) voorzien ook in MFA / 2FA mogelijkheden. Die keuze is alleen van toepassing op gesynchroniseerde accounts, niet op accounts die direct in Zenya zelf beheerd worden.

Anonieme toegang, zonder enige vorm van aanmelden (anoniem)

Men kan anonieme toegang instellen via de gebruikersgroep "Openbaar netwerk (internet)” rechten te geven. Anonieme toegang betekent dat iemand zich niet hoeft aan te melden om toegang te krijgen
Ik neem de Zenya Community als voorbeeld:

• Voor sommige onderdelen en informatie hoef je je niet aan te melden → anoniem / niet-aangemeld
• Voor toegang tot andere onderdelen wel

Stel alleen ongeauthoriseerde toegang in voor items die rechtstreeks in Zenya ingezien mogen worden door personen die zich op geen enkele wijze hoeven aan te melden in Zenya!

En overweeg altijd eerst om een Webshare of Mobiel meldformulier in te zeten: die zijn juist bedoeld om openbare documenten en meldformulieren beschikbaar te maken aan personen zonder Zenya toegang.

Mocht je toch kiezen voor toegang-zonder-aanmelden, dan is het goed om te weten dat je de anonieme toegang via IP restricties kunt beperken, zie Applicatiebeheer > Systeeminstellingen: Toegang tot de site
Je kunt daar bijvoorbeeld aangeven dat anonieme toegang alleen is toegestaan voor je eigen Publieke IP-adressen.