Artikel

Gebruikersbeheer en authenticatie - Hoe kan je dat efficient en veilig inrichten voor iProva?

  • 5 juli 2018
  • 5 reacties
  • 2214 Bekeken
Gebruikersbeheer en authenticatie - Hoe kan je dat efficient en veilig inrichten voor iProva?
Reputatie 5
Badge +1
Om iProva te kunnen gebruiken, moeten medewerkers zich aanmelden (authenticeren) met hun persoonlijke gebruikersaccount.
Daarvoor moeten die accounts wél eerst bestaan in iProva én moeten de juiste rechten zijn toegekend. Het toekennen van rechten kan je doen op het niveau van de individuele gebruikersaccount, maar het is aanbevolen om rechten zoveel mogelijk te koppelen aan gebruikersgroepen, en vervolgens de juiste gebruikers in de juiste groep te plaatsen.

iProva kán volledig 'stand-alone' functioneren. Je maakt ieder gebruikersaccount dan handmatig aan, en wie iProva wil gebruiken maakt zich bekend door zijn gebruikersnaam en wachtwoord in te typen. Voor de meeste organisaties is het slimmer om aan te sluiten op een bestaande user directory (bijvoorbeeld Active Directory). Daarmee voorkom je dat je voor iedere nieuwe medewerker in ieder systeem apart een account moet aanmaken.
Het (geautomatiseerd) aanmaken en doorvoeren van mutaties in gebruikersaccounts noemen we user provisioning.

Iets soortgelijks geldt voor het aanmelden bij iProva: als jouw organisatie al een systeem (een zogenaamde single sign-on oplossing) heeft die er voor zorgt dat medewerkers niet voortdurend hun gebruikersnaam en wachtwoord hoeven in te voeren, dan ligt het voor de hand om ook iProva daarop aan te sluiten.


Hoe kun je dat nu het beste aanpakken?


Zowel authenticatie als user provisioning kan je op meerdere manieren invullen.
We helpen je graag om er achter te komen wat voor jóuw organisatie de beste optie is.
Daarbij spelen een aantal factoren een rol.

De eerste factor is of jouw organisatie gebruik maakt van iProva SaaS (in de cloud) of iProva on-premise (op servers in je eigen netwerk) ?

iProva SaaS?
Lees dan verder in het document iProva Saas - User provisioning & authentication

iProva on-premise?
Lees dan verder in het document iProva on-premise - User provisioning & authentication




Trefwoorden:
ADFS, Azure, SCIM, SSO, HelloID, SAML, Okta, Identity Management, IAM, i+Sync, iSync, AFAS

5 reacties

Reputatie 1
Wanneer gebruik gemaakt wordt van Internet Explorer in combinatie met de HelloID plug-in kan een javascript foutmelding optreden.
De HelloID plug-in scant de webpagina actief om gebruikers gegevens automatisch in te vullen, waarop een foutmelding ontstaat in de HelloID javascript code.
Dit treed op bij het koppelen van auteurs aan document in iDocument.
Het treed niet op in combinatie met Google Chrome.

Wanneer je de snelkoppeling naar iProva op het HelloID platform verwijdert en bij het maken van een nieuwe snelkoppeling een ander template kiest, treed dit niet meer op.
Reputatie 1
Ik mis het document: "How-to configure SSO for iProva with ADFS or Azure AD" in de webshare van het document "Lees dan verder in het document iProva Saas - User provisioning & authentication"
Reputatie 5
Badge +1
Ik mis het document: "How-to configure SSO for iProva with ADFS or Azure AD" in de webshare van het document "Lees dan verder in het document iProva Saas - User provisioning & authentication"

Bedankt voor het melden. Is gefixt.
Is een ldap (dus niet-AD) ook mogelijk als directory service voor user provisioning i.c.m. SAMLv2 SSO?
Reputatie 5
Badge +1
@rrohde de wijze van provisioning staat feitelijk los van SAML2 SSO, de enige voorwaarde is dat je er bij de provisioning voor zorgt dat er voor iedere user een attribuut mee komt waar je ook in je SSO over beschikt. Doorgaans is dat een unieke logincode of het e-mailadres.

Zoals in het document is te lezen zijn er meerdere manieren van provisioning mogelijk
  • dagelijkse Active directory sync
  • via het SCIM protocol
  • via REST API's (vereist maatwerk ontwikkeling)
De Active Directory sync (ook bekend als 'i+Sync') is feitelijk niet specifiek voor AD, maar kan ook gebruikt worden voor andere LDAP-compatible directories. In het verleden synchroniseerden we hiermee ook uit Novell-omgevingen en er was een organisatie die dit deed vanuit OpenLDAP.

Reageer