Kan het aanmelden via SSO worden verplicht?
Aan de kant van Nedap kan worden ingesteld of gebruikers worden verplicht om aan te melden via SSO. Als hierover niets is afgesproken, staat deze verplichting standaard uit bij het inschakelen van SSO. Als deze verplichting uitgeschakeld staat, betekent dat dat gebruikers met een vinkje bij SSO ingeschakeld in de accountinstellingen in Ons Administratie mogen aanmelden via SSO, maar ook mogen aanmelden met gebruikersnaam/wachtwoord en tweefactorauthenticatie.
Als deze verplichting ingeschakeld is, betekent dat dat gebruikers met een vinkje bij SSO ingeschakeld in de accountinstellingen in Ons Administratie uitsluitend kunnen aanmelden via SSO. Als zij zich proberen aan te melden met gebruikersnaam en wachtwoord krijgen zij de melding dat de organisatie een nieuwe manier van aanmelden hanteert. Zij kunnen vervolgens alleen verder door alsnog via SSO aan te melden. Indien deze verplichting gewenst is, dan kan daarvoor een aanvraag worden ingediend via een ticket bij Support.
Kan een gebruiker bij het uitloggen van Ons ook automatisch worden uitgelogd bij de SSO-provider?
De mogelijkheid bestaat om in Ons een zogeheten post-logout redirect URL in te laten stellen. Dit is een URL waar gebruikers naartoe worden geleid nadat zij afmelden uit Ons. Dit zou bijvoorbeeld de URL van het portaal van de SSO-provider kunnen zijn, of een rechtstreekse logout-URL van de SSO-provider. Op die manier wordt gestimuleerd of afgedwongen dat gebruikers na het afmelden bij Ons ook afmelden (of worden afgemeld) bij de SSO-provider. Als deze redirect gewenst is, kan daarvoor een aanvraag worden ingediend via een ticket bij Support.
Kunnen uitzendkrachten en ZZPers ook inloggen als zij geen account bij de SSO-provider hebben?
Wanneer de verplichting om via SSO aan te melden niet is ingeschakeld, dan kunnen alle gebruikers met gebruikersnaam en wachtwoord aanmelden. Externen kunnen dan dus gewoon met gebruikersnaam, wachtwoord en tweefactorauthenticatie aanmelden.
Wanneer de verplichting om via SSO aan te melden wel is ingeschakeld, dan is het zaak om bij gebruikers die niet via SSO kunnen aanmelden, het vinkje SSO ingeschakeld in de accountinstellingen in Ons Administratie uit te vinken. De gebruiker wordt dan niet verplicht om via SSO aan te melden en mag alleen aanmelden via gebruikersnaam, wachtwoord en tweefactorauthenticatie.
Wat veroorzaakt de melding Dit account is reeds gekoppeld aan een ander. Als je denkt dat dit niet klopt, neem dan contact op met uw organisatie om uw account te ontkoppelen?
In Ons wordt de Subject claim (claim: 'sub') gebruikt als unieke sleutel van een gebruiker in de SSO-provider. Wanneer een Ons-gebruiker initieel wordt gekoppeld aan een SSO-provider, dan wordt de waarde in de sub-claim opgeslagen bij het gebruikersaccount in Ons. De gebruiker zou alle volgende aanmeldpogingen steeds met dezelfde sub-claim binnen moeten komen, en dat wordt bij elke aanmeldpoging in Ons gecontroleerd. Zie ook https://openid.net/specs/openid-connect-core-1_0.html#ClaimStability voor meer informatie over de sub-claim als unieke identifier voor gebruikers.
Wanneer een gebruiker deze melding krijgt te zien, dan betekent dat dat de sub-claim die op dat moment wordt aangeboden, al aan een ander Ons-account is gekoppeld. Dit kan gebeuren doordat een gebruiker eerder was vergeten uit te loggen bij de SSO-provider en vervolgens per abuis is gekoppeld aan een ander Ons-account, of bijvoorbeeld doordat een medewerker meerdere Ons-accounts heeft (gehad), maar daarbij niet ook meerdere accounts bij de SSO-provider. Dit kan worden opgelost door alle huidige en verlopen Ons-accounts van de betreffende persoon te ontkoppelen van de SSO-provider en vervolgens opnieuw te koppelen. Als dat geen effect heeft, dan is het account in de SSO-provider van deze persoon waarschijnlijk gekoppeld aan het Ons-account van een andere medewerker. Als niet duidelijk is aan welk andere account is gekoppeld, kan eventueel contact worden opgenomen met Nedap Ons® Support om te laten onderzoeken aan welke gebruiker de medewerker onterecht is gekoppeld.
Waarom vraagt Ons om een verificatiecode als een gebruiker al had aangemeld via een tweefactorauthenticatie?
Ons vraagt altijd om twee-factorauthenticatie, behalve wanneer vanuit de SSO-provider een zogeheten amr-claim is aangeboden waaruit blijkt dat de betreffende gebruiker al met twee-factorauthenticatie had aangemeld. Dat is het geval wanneer de amr-claim de waarde mfa bevat. Bekijk Authentication Method Reference Values voor meer informatie over de amr-claim en mogelijke waarden.
Als Ons om twee-factorauthenticatie vraagt terwijl een gebruiker al had aangemeld met twee-factorauthenticatie, dan betekent dat dat deze amr-claim niet wordt aangeboden door de SSO-provider. Van ADFS en Google is bekend dat deze de amr-claim niet ondersteunen. Om in geval van Google en ADFS niet dubbel om twee-factorauthenticatie te vragen kan een addendum worden ingevuld waarin klant verklaart dat twee-factorauthenticatie is gewaarborgd. Op basis daarvan kunnen wij voor gebruikers die via ADFS of Google aanmelden twee-factorauthenticatie uitschakelen. Maak hiervoor bij ons een ticket aan. Als van een andere SSO-provider gebruik wordt gemaakt, dan is het probleem op te lossen in de configuratie van de SSO-provider.
Wat veroorzaakt de melding Je probeert aan te melden maar we weten niet bij welk account je hoort. Meld je aan met je Ons account om deze te koppelen?
Gebruikers kunnen automatisch gekoppeld worden aan een SSO-provider op basis van e-mailadres en in sommige gevallen het medewerkernummer. Hiervoor is het nodig dat de SSO-provider een claim aanbiedt waarin het e-mailadres (claim: email) of het medewerkernummer (claim: employee_number) staat. Het e-mailadres of medewerkernummer moet in Ons gelijk zijn aan dat in de SSO-provider. Als de gegevens overeen komen, en de claim wordt aangeboden, dan kan de gebruiker automatisch worden gekoppeld. Als dat niet lukt, dan betekent dat dus dat de claim niet- of niet goed wordt aangeboden, of dat de gegevens in Ons en in de SSO-provider niet overeenkomen.
Als zowel e-mail als employee_number wordt aangeboden door de SSO-provider, dan gebruikt Ons automatisch het medewerkernummer. Als er automatisch gekoppeld moet worden op basis van e-mailadres, zorg er dan voor dat employee_number niet wordt aangeboden.
Waarom kan een medewerker bij het aanmelden zich aanmelden als een andere medewerker?
Er is een koppeling gelegd tussen het SSO provider-account van de ene medewerker en het Ons-account van een andere medewerker. Vaak gebeurt dit doordat een gebruiker die was aangemeld bij de SSO-provider en bij Ons, wél heeft afgemeld bij Ons, maar niet bij de SSO-provider. Wanneer vervolgens een andere gebruiker op hetzelfde apparaat gaat werken en zich aanmeldt bij Ons, krijgt deze medewerker de suggestie om het Ons-account te koppelen aan de nog actieve SSO-provider-sessie. Als deze gebruiker die koppeling bevestigt, kan de gebruiker van wie de SSO-provider-sessie nog actief was vanaf dat moment bij het aanmelden in Ons kiezen tussen het eigen Ons-account en het Ons-account van de medewerker die het account per ongeluk heeft gekoppeld aan een nog actieve SSO-provider-sessie.
Als deze situatie zich voordoet, dan is het zaak om meteen het Ons-account dat onterecht was gekoppeld te ontkoppelen. Dat kan door de medewerker in Ons Administratie op te zoeken, naar Account te gaan en daar te klikken op Ontkoppelen. Als dat niet gebeurt, dan bestaat het risico dat de betreffende gebruiker toegang heeft tot gegevens waar de gebruiker normaal gesproken geen toegang toe heeft.
Waarom wordt de foutmelding HUB redirect loop detected weergegeven?
Deze foutmelding wordt weergegeven als een gebruiker zich probeert aan te melden in een applicatie waartoe diegene geen rechten heeft. Als een gebruiker bijvoorbeeld naar https://{organisatie}.onsagenda.nl/ gaat, dan wordt diegene doorgestuurd naar https://{organisatie}.startmetons.nl/?jump=https://{organisatie}.onsagenda.nl. Functioneel houdt dat in dat de gebruiker dan wordt doorgestuurd naar Ons Agenda na het aanmelden. Als de gebruiker echter geen rechten heeft voor Agenda, ontstaat deze foutmelding.
Dit is door de gebruiker op te lossen door in dit scherm te kiezen voor resetten. Daarnaast is het verstandig om even goed te kijken naar welke URL de gebruiker precies gaat om aan te melden. Daarin staat in deze situatie waarschijnlijk zo'n jump-parameter. Dan is het risico er inderdaad dat deze foutmelding optreedt. Door naar de standaard aanmeld-URL te gaan (https://{klantnaam}.startmetons.nl/) kan dit probleem worden voorkomen.