Login klantenzone

Gebruikersconsolidatie

Introductie

Momenteel worden gebruikers per dossier beheerd. Dit betekent dat er een gebruikerslijst is per dossier.  Om toegang te hebben in verschillende dossiers, moet een toegang gemaakt worden in ieder dossier.  

De gebruikersnamen, maar ook de wachtwoorden kunnen verschillen van dossier tot dossier. Ook wijzigingen aan gebruikers (en hun rollen) dient daarom ook te gebeuren in de verschillende dossiers. 

Om het beheer van gebruikers en toegangen tot de verschillende dossiers te vereenvoudigen, stellen we kosteloos een nieuwe tool voor die centraal beheer van gebruikers mogelijk maakt: de Identity Portal.  

De Identity Portal 

De Identity Portal centraliseert alle gebruikers in de verschillende dossiers en maakt het centraal beheer van rollen en rechten mogelijk. De Identity Portal biedt ondersteuning voor tweevoudige authenticatie (2FA) en OpenID connect. Meer info over OpenID connect vind je hier. 

Om dit mogelijk te maken zullen alle gebruikers in de verschillende dossier automatisch samengevoegd moeten worden. Deze semi-automatische operatie wordt in wat volgt de consolidatie van gebruikers genoemd.  

Consolidatie 

In onderstaande afbeelding wordt het principe geïllustreerd. Maria Janssen (initialen MARJAN) heeft momenteel in de verschillende dossiers een gebruiker. Deze gebruikers zullen samen één nieuwe gebruiker (MARJAN –  Maria Janssen) vormen in de Identity Portal. 

Gebruikers consolideren 

Deze gebruikers worden geconsolideerd op een set aan vooraf gedefinieerde regels:  

  • (regel 1) Gebruikers met zelfde voor – en achternaam, gebruikersnaam en geencrypteerd wachtwoord worden samengevoegd  
  • (regel 2) Gebruikers met zelfde achternaam en rijksregisternummer worden samengevoegd  
  • (regel 3) Gebruikers met zelfde achternaam en badgenummer of windows login worden samengevoegd  
  • (regel 4) Gebruikers met zelfde gebruikersnaam, voor- en achternaam en geencrypteerd wachtwoord worden samengevoegd  

Het consolidatieproces tracht eerst gebruikers samen te voegen op basis van logica uit regel 1, dan op basis van logica uit regel 2, enzovoort. 

Dit consolidatieproces kan uitgevoerd worden per dossier, of verschillende dossiers kunnen samen geconsolideerd worden totdat alle dossiers geconsolideerd zijn. 

Gebruikersrollen consolideren 

Gebruikers kunnen verschillende rollen /gebruikersgroepen hebben in verschillende dossiers. Aan deze rollen worden toegangsrechten toegekend. Geconsolideerde gebruikers zullen per dossier de rol overnemen van de rol die de gebruiker bekleed in het dossier.  

Maria Janssen, heeft een gebruikersaccount MARJAN in drie verschillende dossiers met een verschillende rol. In de consolidatieprocedure zullen de verschillende gebruikersaccounts samengevoegd worden tot één gebruikersaccount MARJAN. De geconsolideerde gebruiker MARJAN zal nog steeds in de verschillende dossiers verschillende rollen bekleden.  

Identity Admin 

Om de toegang tot het Identity Portal te beheren, is een speciale functie toegevoegd. Deze functie wordt in de eerste consolidatie automatisch toegekend als de gebruiker recht heeft om gebruikers en toegangsbeheer uit te voeren heeft in alle geconsolideerde dossiers. Opgelet eens dit recht toegekend is, wordt dit recht niet meer ontnomen. Stel een omgeving met drie dossiers, waarbij een gebruiker op twee van de drie dossiers recht heeft voor gebruikersbeheer. In een eerste fase worden de twee dossiers waartoe deze het recht heeft tot gebruikersbeheer geconsolideerd en zal deze gebruiker de rol voor Identity Admin toegekend krijgen (zie midden onderstaande illustratie). Bij het consolideren van het derde dossier zal deze gebruiker onrechtstreeks, via de Identity Portal, gebruikersbeheer kunnen uitvoeren voor dat derde dossier door zijn speciale rol Identity Admin.  

 

Het toekennen van de speciale functie Identity Admin mag niet verward worden met het recht om in het dossier naar de configuratie > gebruikers of configuratie > toegangsrechten te navigeren. Het recht Identity Admin is een recht ter hoogte van de Identity Portal en geeft recht om in de Identity Portal aan gebruikersbeheer te doen voor alle gebruikers en alle dossiers, terwijl het toegangsrecht ‘Gebruikers’ en het toegangsrecht ‘Toegangsrechten’ geven een gebruiker rechten tot gebruikersbeheer in één dossier. 

Een gebruiker die, via zijn/haar rol, het recht heeft toegekend om gebruikers te beheren, maar deze slechts toegekend heeft in een subset van de dossiers, zal dit na consolidatie nog steeds kunnen, maar slechts voor die dossiers waarvoor hij/zij voor consolidatie dit recht had toegekend.  

Deze gebruiker zal, zolang deze niet als Identity Admin is aangewezen, geen rechtstreeks toegang hebben tot de Identity Portal.  Deze gebruiker zal wel via de gekende gebruikersconfiguratie in het dossier kunnen aanmelden op een aangepaste versie van de Identity Portal die enkel het gebruikersbeheer voor dat dossier mogelijk maakt. De enige acties die deze gebruiker kan ondernemen is het toevoegen van gebruikers en het toekennen van rollen aan gebruikers voor het dossier waarvoor de gebruiker gebruikersbeheerrechten heeft.  

 

Gebruikersrechten 

Aan een rol worden (toegangs-)rechten toegekend. Momenteel (lees voor de consolidatie) kunnen deze rechten verschillend zijn over verschillende dossiers. De gebruikersrol ‘Administratie’ kan in het een dossier andere rechten toegekend hebben dan in een ander dossier.   

In de Identity Portal zullen alle rollen over alle dossiers dezelfde toegangsrechten hebben. Over verschillende dossiers heen verschillende toegangsrechten toekennen voor dezelfde rol is vanaf dan niet meer mogelijk.  

De eengemaakte rollen verkrijgen de rechten vanuit het eerste geconsolideerde dossier waarin de rol voorkomt.

 

 

FAQ Consolidatie

Waarom worden gebruikers geconsolideerd?

Er zijn verschillende argumenten voor het consolideren van gebruikers.

Enerzijds kan men, door gebruikersaccounts te consolideren, als organisatie beter toezicht houden op wie toegang heeft tot welke systemen en gegevens. Dit vermindert het risico op ongeautoriseerde toegang en helpt bij het handhaven van een consistent beveiligingsbeleid.

Bovendien is, wanneer gebruikersaccounts verspreid zijn over meerdere systemen en applicaties, het beheer ervan complex en tijdrovend zijn. Door accounts te consolideren, wordt het beheer vereenvoudigd omdat gebruikers slechts één set inloggegevens hebben en IT-beheerders slechts één punt van toegang en controle hebben.

Gebruikers ervaren vaak frustratie wanneer ze meerdere inloggegevens moeten onthouden voor verschillende systemen en applicaties. Door accounts te consolideren en eventueel Single Sign-On (SSO) te gebruiken, wordt de gebruikerservaring verbeterd omdat gebruikers slechts één keer hoeven in te loggen om toegang te krijgen tot verschillende bronnen.

WZS IAM biedt ondersteuning voor meervoudige authenticatie, is dat verplicht?

Meervoudige authenticatie is intussen gegroeid als een best practice in de markt. Ook de overheid erkent het belang van meervoudige authenticatie als een effectieve methode om gegevens te beschermen tegen cyberdreigingen en stelt dit op als een verplichting voor het gebruik van Titan BelRAI.

Iedere gebruiker die de Titan BelRAI applicatie wenst te openen, zal een vorm van 2FA moeten gebruiken om zich aan te melden. Ook gebruikers die andere gebruikers rechten kunnen toekennen, zullen zich moeten aanmelden met een vorm van meervoudige authenticatie. Voor andere inlogpogingen kan de meervoudige authenticatie overgeslagen worden. Meer info vind u hier

Wij wensen 2 van onze dossiers te consolideren om te bekijken hoe dit gaat alvorens al onze dossiers te consolideren, hoe moeten de gebruikers van onze andere dossiers intussen inloggen?

Gebruikers van dossiers die geconsolideerd zijn, zullen inloggen via hun nieuwe ééngemaakte gebruiker. Gebruikers van dossiers die nog niet geconsolideerd zijn, zullen zolang het dossier niet geconsolideerd is, nog steeds gebruik kunnen maken van hun bestaande gebruiker. Gebruikers die een toegang hebben tot verschillende dossiers, waarbij een deel van de dossiers reeds geconsolideerd werden, zullen via hun nieuwe ééngemaakte gebruiker kunnen inloggen op de reeds geconsolideerde dossiers en hun bestaande gebruiker kunnen gebruiken voor de dossiers die nog niet geconsolideerd zijn.

Hoe kunnen we de gebruikers informeren over het proces van het consolideren van accounts?

Er is een template aangemaakt die u in staat stelt om uw gebruikers te informeren over de interventie. Deze vindt u hier.

Welke veiligheidsmaatregelen moeten we implementeren?

Via het eengemaakte authenticatiesysteem zal gebruikersinformatie gedeeld worden over het netwerk. Om dit te beveiligen dient WZS geconfigureerd te worden voor HTTPS. Dit zorgt voor versleuteling van de gegevens tijdens verzending en voorkomt dat gevoelige informatie wordt onderschept. In WZS is er om u hierbij te helpen ondersteuning toegevoegd om SSL/TLS certificaten aan te vragen. meer info vind u hier

Wat zijn de uitdagingen bij het consolideren van gebruikersaccounts?
Twee gebruikers met dezelfde gebruikersnaam voor verschillende personen

Als er in een dossier een gebruiker bestaat MARJAN, gebruikt door Maria Janssen, en in een ander dossier een gebruiker MARJAN bestaat voor Marion Jansema. Beide gebruikers kunnen niet samengevoegd worden want ze werden aangemaakt voor twee verschillende personen. Er worden in het consolidatieproces twee verschillende gebruikers aangemaakt: MARJAN en MARJAN_2. Marion kan na consolidatie niet meer inloggen met haar gekende gebruikersnaam MARJAN. Enkel Marjan kan zal nog kunnen inloggen met haar gekende gebruikersnaam en wachtwoord.

Picture11
Twee gebruikers voor dezelfde persoon – Gelijkaardige gebruikers samenvoegen

Als er in een dossier een gebruikersaccount bestaat met initialen MARJAN, gebruikt door Maria Janssen, en in een ander dossier een gelijknamige gebruikersaccount bestaat met initialen MARJAN, ook gebruikt door Maria Janssen, en het geencrypteerd wachtwoord, rijksregisternummer en badgenummer van deze twee gebruikers is verschillend, zullen deze gebruikers niet samengevoegd kunnen worden. De logica kan dan onmogelijk met zekerheid concluderen dat de twee gebruikers voor dezelfde persoon gebruikt worden. Twee gebruikers MARJAN en MARJAN_1 worden aangemaakt.

Om zulke gebruikers toch te kunnen samenvoegen, is er in de Identity Portal de mogelijkheid toegevoegd om gelijkaardige gebruikers handmatig samen te voegen na de consolidatie.

In bovenstaand voorbeeld zullen gebruikersaccount MARJAN en MARJAN_1 manueel samengevoegd kunnen worden met de tool voor het samenvoegen van gebruikersaccounts.

We hebben slechts 1 dossier, moeten we ook consolideren?

Ja, alle gebruikers van alle dossiers zullen geconsolideerd moeten worden. Of het nu gaat om één individuele assistentiewoning of een groep van woonzorgcentra.