HelloID: SSO en IAM

Wat houdt de koppeling in? #

Met deze HelloID koppeling kunnen gebruikers inloggen in nCare met hun eigen organisatie account. Hierdoor hoeven gebruikers geen extra gegevens van een nieuw account te onthouden.

nCare ondersteunt alle SSO providers die werken met het OpenIdConnect protocol, waaronder HelloID.

Je kunt binnen deze koppeling kiezen voor Single Sign On (SSO) en voor een uitbreiding hierop met de functionaliteiten van Identity Acces Management (IAM). Om deze optie te kunnen gebruiken, moet je de rollen en autorisaties in HelloID hebben ingeregeld.

IAM is een parapluterm voor het beheer van gebruikers en hun toegangsrechten binnen een (bedrijfs)netwerk. Zo houd je als organisatie de controle over wie inlogt en bewerkingen doet in de systemen, applicaties, databases etc.

 

Wil jij met een koppeling aan de slag?

Vraag dan nCare+ aan via het klantenportaal.

Hoe werkt de koppeling? #

De HelloID koppeling haalt uit HelloID de gegevens op om naadloos in nCare in te kunnen loggen met SSO. Voor IAM worden ook de rollen en rechten (en de mutaties hierin) opgehaald uit HelloID door nCare, zodat je iedere dag volgens die rollen en rechten in nCare kunt werken.
Voorwaarde om IAM te gebruiken is dat de rollen en rechten in HelloID ingeregeld zijn.

Wat is er nodig om SSO te implementeren? #

Hieronder het advies vanuit CareConnections op basis van best practices over welke implementatiemethode je kan gebruiken, passend bij de situatie die geldt voor jouw organisatie.
Bestaande nCare gebruikers, gaat uit van het scenario dat je reeds (een aantal) gebruikers hebt staan in nCare.
Bij Nieuwe nCare gebruikers gaat deze handleiding uit van het scenario met alleen nieuwe gebruikers.

Bestaande nCare gebruikers #

Zijn jullie een bestaande nCare klant? Dan staan er al accounts in nCare.
Met de HelloID koppeling is het mogelijk automatisch accounts aan te maken voor nieuwe gebruikers. De bestaande accounts moeten eerst wel juist gekoppeld worden.
Daarom is het advies om de opties “maak automatisch accounts aan na eerste keer inloggen” en “activeer nieuwe gebruikers direct” eerst uit te laten.

Procesbeschrijving #

Gebruikers loggen in bij nCare met de HelloID inloggegevens. Vervolgens krijgt men de vraag een nCare account te koppelen aan het HelloID account. Hier geeft de gebruiker het bestaande nCare account op.
Bepaal als organisatie een deadline waarop alle gebruikers minimaal 1 keer hebben ingelogd in nCare met het HelloID account.
Wanneer de deadline is verstreken kan je als organisatie de opties “maak automatisch accounts aan na eerste keer inloggen” en “activeer nieuwe gebruikers direct” aanvinken. Vanaf dat moment worden er automatisch nCare accounts aangemaakt voor gebruikers die inloggen met hun HelloID account maar nog geen nCare account hebben.
Ook het aanmaken van nieuwe gebruikers in nCare is niet langer nodig. Door de koppeling wordt er automatisch een account aangemaakt in nCare.
Zet vervolgens ook de optie ‘Gebruik alleen externe login methoden’ aan. Hierdoor kan er alleen nog maar worden ingelogd middels SSO via HelloID en niet meer met een nCare account.

Inloggen na de deadline #

Zijn er toch gebruikers voor de eerste keer gaan inloggen met HelloID na de afgesproken deadline. Dan zul je als beheerder voor iedereen die na de deadline dag inlogt met HelloID en zijn nCare account nog niet gekoppeld had, handmatig een rol moeten geven.
Dit kan via gebruikersbeheer in nCare. Dat betekent dat er voor deze gebruikers dubbele nCare accounts zullen bestaan. Het oude account kun je niet verwijderen, maar wel blokkeren in Ncare.

Stappenplan #

  1. Maak een uitrolplan voor het gebruik van SSO binnen nCare bestaande uit:
    1. Bepaal de startdatum waarop SSO wordt geactiveerd
    2. Bepaalde de deadline waarop elke gebruiker zijn HelloID account gekoppeld moet hebben aan de bestaande nCare account
    3. Verstuur de instructies + deadline naar de gebruikers
  2. Activeer SSO volgens de instructies
  3. Stuur x aantal dagen voor de deadline een reminder naar alle gebruikers over de deadline
  4. Zet op de deadline dag de opties “maak automatisch accounts aan na eerste keer inloggen” en “activeer nieuwe gebruikers direct” aan
  5. Zet op de deadline dag de optie aan voor ‘Gebruik alleen externe login methoden’ zodat er alleen nog maar kan worden ingelogd via HelloID
  6. Autoriseer alle gebruikers die na deadline dag voor het eerst inloggen via HelloID.

Nieuwe nCare gebruikers #

Begint u met nCare te werken met HelloID en staan er dus nog geen gebruikers in nCare? Dan is het advies om de twee opties “maak automatisch accounts aan na eerste keer inloggen” en “activeer nieuwe gebruikers direct” aan te vinken.
Vanaf dat moment worden er automatisch nCare accounts aangemaakt voor gebruikers die inloggen met hun HelloID account maar nog geen nCare account hebben.

Procesbeschrijving #

Bepaal als organisatie een datum voor starten met nCare en plan trainingen in voor je gebruikers.
Implementeer nCare volgens het projectplan en SSO volgens de instructies + de optie ‘Gebruik alleen externe inlogmethoden’.
Laat de gebruikers tijdens de training inloggen bij nCare met de HelloID inloggegevens.
Omdat de opties “maak automatisch accounts aan na eerste keer inloggen” en “activeer nieuwe gebruikers direct” aan staan, worden er automatisch nCare accounts aangemaakt voor gebruikers die inloggen met hun HelloID account maar nog geen nCare account hebben.
Als beheerder zul je voor iedereen die inlogt met HelloID in nCare, handmatig rollen en autorisatie moeten geven via gebruikersbeheer in nCare. Daarom is het bij een grote uitrol verstandig dit tijdens de trainingen te doen zodat je gecontroleerd en overzichtelijk iedereen toegang kan geven.

Stappenplan #

  1. Plan trainingen voor alle gebruikers
  2. Activeer SSO volgens de instructies
  3. Autoriseer alle gebruikers die op de training voor het eerst inloggen via HelloID.

Hoe stel je de SSO-koppeling in? #

Werkzaamheden in nCare deel 1 #

Om de Inlog instellingen in te stellen voor jouw organisatie heb je de volgende rechten nodig op jouw account:

Locatie:  Alle locaties
Recht:  Algemeen Beheer Organisatie

Log in op nCare web en klik rechtsboven naast de naam van de locatie op ‘aanpassen’ om de juiste locatie te selecteren.

Klik onderaan in het locatiescherm op ‘Algemeen beheer organisatie’

Ga naar ‘Instellingen’ en klik vervolgens op ‘Inlog instellingen’

Klik op ‘toevoegen’ om een nieuwe externe login provider toe te voegen.
Bij Provider kies je ‘Hello ID’ uit de drop down.

Indien gewenst kan je de weergave naam aanpassen naar keuze. In het inlogscherm zal dan staan: ‘Aanmelden met *de naam die is ingesteld*
Standaard wordt de naam van de Provider getoond.

Werkzaamheden in HelloID #

Ga nu naar je HelloID account en kies uit de Application catalog in HelloID de app nCare.

De handleiding van HelloID om claims binnen HelloID in te stellen, vind je hier.
De namen in de claims moeten overeenkomen met hoe deze in nCare heten. Dus eenzelfde schrijfwijze.

Verplicht zijn:

  • Subject,
  • Name,
  • Email

En als je IAM wilt ook:

  • Department 
  • Role

Department
Werkt een medewerker op meerdere locaties? Dan wordt dat meegegeven in de groepen van HelloID. Alle groepen waar een gebruiker lid van is in HelloID wordt meegestuurd naar nCare. In veel gevallen worden groepen gesynchroniseerd uit een active directory, zoals Gmail of Azure. Dit kan ook met de Provisioning Module van HelloID, waarmee je o.b.v. HR data groepen kunt vullen.

Role
Voor het meegeven van de toegekende rol uit HelloID naar nCare, moet je een Úser Group aanmaken in HelloID. Informatie hierover vind je in de handleiding van HelloID onder het kopje Singel Sign-On Tab, bij bullet ‘Send Group Membership Claim’.
Belangrijk hiervoor is dat de User Group (exact) dezelfde naam heeft als in nCare.

Vul onderstaande gegevens uit nCare in, in je HelloID account:

  • ClientId
  • ClientSecret
  • MetadataAdress

Werkzaamheden in nCare deel 2 #

Zet een in nCare vinkje bij ‘2FA check gaat via provider’ indien dit gewenst is.
Hiermee zal bij het inloggen middels SSO, de tweefactor authenticatie (2FA) check alleen nog maar via de ingestelde provider lopen.

Met de volgende opties kan je gebruikers automatisch laten aanmaken wanneer een nieuwe gebruiker voor het eerst inlogt via SSO. Daarin heb je ook de keuze om het account dat vervolgens op de achtergrond wordt aangemaakt meteen actief te laten zijn.

Sla je instellingen op.

Na het toevoegen van de provider zie je in het inlogscherm drie urls achter de keuze HelloID staan.

Voeg deze urls toe aan de HelloID app die je hebt aangemaakt in HelloID.

Hoe voeg je IAM toe aan de koppeling? #

Om deze optie te kunnen gebruiken, moet je de rollen en autorisaties in HelloID hebben ingeregeld.

Je kunt nu kiezen voor het aanmaken van een standaard rol, die je vooraf definieert in nCare. Wanneer je dat vinkje aanzet, wordt voor iedere gebruiker die inlogt deze standaardrol aangemaakt.
Daarmee kunnen medewerkers meteen van start. Deze optie kan handig zijn, wanneer er in HelloID geen rollen staan ingevuld.

Daarnaast (of in plaats daarvan, dat is een keuze) kun je alle rollen die je in HelloID hebt gedefinieerd ook in nCare laten activeren middels deze koppeling.
Je dient de rollen wel éénmalig in nCare aan te maken, zodat de match gemaakt kan worden. Binnen deze optie kan je er voor kiezen dat alleen nieuwe rollen worden aangemaakt.
Dan kan je ook handmatig nog rollen in nCare beheren.

Of, wanneer je wel rollen in HelloID hebt staan, kan je er voor kiezen dat alle autorisaties en rollen automatisch worden bijgewerkt vanuit HelloID in nCare.
Dat is de optie ‘Overschrijven (het externe systeem is leidend)’ in de drop down. Dan worden handmatige mutaties in de rollen overschreven door HelloID.

Dit is de weergave van alle inlog-opties met HelloID binnen nCare. De laatste twee opties zijn de IAM opties.

Instructie voor gebruikers van SSO
#

Deze instructie geld alleen voor klanten die NIET de optie gebruiken om automatisch gebruikers te laten aanmaken.

Wanneer SSO is ingesteld zal een gebruiker bij de eerste keer inloggen, handmatig het nCare account moeten koppelen aan het HelloID-account. Hieronder de instructies die jullie als organisatie met de gebruikers kunnen delen.

Instructie #

Als gebruiker open je de nCare app of je gaat naar nCare web.

In het inlogscherm kies ik voor ‘Aanmelden met HelloID’

Vul hier je organisatie account: naam@organisatienaam.nl en het wachtwoord in, dat bij dit account hoort.

Wanneer het de eerste keer is dat je inlogt met je account krijg je dit scherm te zien.

Hier heb je de mogelijkheid om je nCare account te koppelen aan je organisatie account. Dit doe je door de volgende velden in te vullen:

  • nCare gebruikersnaam
  • Wachtwoord

Wanneer alles is ingevuld kies je voor ‘Inloggen’. Je ben nu ingelogd in nCare.
De volgende keer dat je inlogt via ‘Aanmelden met HelloID’ kom je direct in nCare terecht.

Begin met typen en druk op enter om te zoeken