ECD koppeling: Nedap ONS – Gebruikersaccounts en autorisatie

Inleiding #

Dit document is gemaakt om jou als beheerder te informeren over de stappen die gezet moeten worden om tot een succesvolle koppeling te komen tussen Nedap ONS en nCare mbt medewerker import + autorisatie.

Wat houdt de koppeling in? #

Accounts aanmaken en updaten #

Elke dag om 13:30 en om 23:00 loopt de synchronisatie tussen Nedap ONS en nCare.  De nieuwe gegevens worden dan verwerkt en de bestaande gegevens in nCare geüpdatet.

De koppeling synchroniseert de Nedap accounts naar nCare, waardoor nCare accounts automatisch worden aangemaakt. Daardoor hoeven accounts niet handmatig te worden aangemaakt in nCare. De contractdatum(in en uitdienst) uit Nedap wordt overgenomen in nCare. Is er een actief contract in Nedap? Dan zal het nCare account ook actief zijn. Bestaande accounts worden geüpdatet met onderstaande gegevens.

    • Gebruikersnaam Nedap ONS
    • Telefoonnummer
    • E-mailadres
    • Autorisatie

Zijn er al accounts handmatig of via een import aangemaakt in nCare, omdat jullie al met nCare werken? Deze accounts worden alleen geüpdatet door de Nedap koppeling als de gebruikersnaam in nCare en Nedap overeenkomt. Anders worden er nieuwe accounts aangemaakt op basis van de Nedap gegevens.

Automatische rapportage #

Wanneer een medewerker in nCare een toediening met een ander aantal dan gepland aftekent (bijvoorbeeld 0 ipv 1) moet daarbij een reden worden opgegeven (bijvoorbeeld: ‘Cliënt heeft geweigerd’). Dit genereert direct een rapportage in het cliëntdossier in Nedap ONS.
De voorwaarde is dat het nCare account van de medewerker is aangemaakt door/gesynchroniseerd met Nedap ONS.

Best practice #

Nedap is de bron waarmee nCare gevuld wordt. Het is daarom belangrijk dat alle informatie in Nedap volledig is en voldoet aan de randvoorwaarden van nCare om de gegevens in te laden. Is de bronapplicatie niet op orde? Dan kan er geen succesvolle synchronisatie plaatsvinden.
Om zeker te weten dat gebruikers niet handmatig alsnog mutaties gaan doorvoeren in nCare is het verstandig om in nCare voor alle gebruikers de volgende rechten uit te zetten:

  • Cliënten toevoegen
  • Cliënten naam bewerken
  • Cliënten verplaatsen naar een andere locatie
  • Cliënten verplaatsen naar een andere afdeling
  • Cliënten verplaatsen naar een andere apotheek

Omdat het ECD leidend is voor alle cliëntinformatie is het niet meer nodig dat iemand dit nog handmatig kan aanpassen in nCare zelf. Wanneer het wordt aangepast in het ECD zal het na de synchronisatie met nCare daar ook goed staan.

Wat zit niet in de koppeling? #

Het volgende is geen onderdeel van de koppeling:

  • De rollen die een medewerker heeft in Nedap, worden niet overgenomen in nCare.

Geen contractdata? Direct activeren #

Werken jullie in Nedap niet met contractdata? Nieuwe nCare accounts staan dan standaard als inactief in nCare. Deze moeten handmatig worden geactiveerd door de beheerder. Op het moment van activeren wordt er een mail verstuurd naar de medewerker om het wachtwoord in te stellen.
In het instellingenscherm van de Nedap ONS koppeling staat de optie ‘Nieuwe gebruiker direct activeren na import’

Met het gebruik van deze optie hoeft de beheerder nieuwe accounts niet meer handmatig te activeren. Nieuwe gebruikers kunnen dan simpelweg in het inlogscherm kiezen voor ‘Wachtwoord vergeten’ om een wachtwoord in te stellen en gebruik te maken van nCare.
Indien je werkt met SSO zitten er andere voordelen aan het gebruik van deze optie (zie hoofdstuk SSO).

Autorisatie (toegang tot cliënten) #

Voor de toegang tot cliënten in nCare kan Nedap ONS leidend zijn. Er zijn twee methodes om de autorisatie vanuit Nedap ONS toe te kennen:

  1. Kostenplaatscode
  2. Cliëntbereik op basis van roltoewijzing

Bij beide methodes krijgt de gebruiker op basis van de input uit Nedap ONS toegang tot de cliënten (op afdelingsniveau) in nCare. Het gaat dus alleen om de toegang, de autorisatie mbt tot wat je mag en kan in nCare wordt bepaald door de standaard rol in nCare of, indien van toepassing, door de IAM SSO inrichting.

Optie 1: Kostenplaatscode #

Wanneer je als organisatie jouw gebruikers wilt autoriseren op basis van kostenplaatscode dan moet de optie ‘Synchroniseer medewerkers’ aanstaan.

  1. Met deze methode worden alleen de gebruikers vanuit Nedap ONS geïmporteerd die horen bij de locaties en afdelingen die gemapt zijn naar nCare.
  2. Veranderingen in de autorisatie obv kostenplaatscode komen pas na 24 uur door.
  3. Medewerkers met een organisatorische eenheid van een team dat niet in nCare is gekoppeld (in het locatiegram), worden niet in nCare geïmporteerd.
  4. Medewerkers die geen kostenplaatscode koppeling hebben in Nedap ONS met een cliëntenteam, worden niet in nCare geïmporteerd. 

Voorwaarden #

  • Om een Nedap ONS account naar nCare te kunnen importeren moet het account in Nedap aan de volgende eisen voldoen:
    • Naam gevuld
    • E-mailadres
      • Let op: is het veld e-mailadres gevuld, dan wordt dit overgenomen in het nCare account. Is dit veld leeg en is het privé e-mailadres gevuld, dan wordt dit e-mailadres overgenomen in het nCare account.
    • De medewerker moet gekoppeld zijn aan een organisatorische eenheid
    • De medewerker moet een dienstverbandnummer hebben
  • Het kostenplaatsnummer bij de locaties/afdelingen/wijken in Nedap ONS en het kostenplaatsnummer bij de Organisatorische eenheid van de gebruiker in Nedap ONS moeten exact overeenkomen, anders worden de medewerkers niet geïmporteerd in nCare en kunnen de medewerkers niet geautoriseerd worden voor de locaties/afdelingen.

Kostenplaatscode inrichten #

Klik boven het locatiegram, naast Nedap koppeling, op Instellingen.
Vink de optie ‘Synchroniseer medewerkers’ aan.

Richt vervolgens de kostenplaatscodes van de teams en locaties in Nedap ONS in. Het kostenplaatsnummer bij de locaties in Nedap ONS en het kostenplaatsnummer bij de Organisatorische eenheid van de gebruiker in Nedap ONS moeten exact overeenkomen.

Standaard rol instellen #

Stel dan een standaard rol in voor nieuwe gebruikers. Dit is de rol die automatisch aan alle nieuwe accounts wordt toegekend. Het is helaas technisch niet mogelijk om de rollen vanuit Nedap ONS over te nemen. Daarom is ervoor gekozen een standaard rol te kiezen bij de synchronisatie, waarbij jullie vrij zijn de uitzonderingen handmatig te muteren in nCare.

Ga naar Instellingen > Rollen > Selecteer de gewenste rol > Kies wijzigen > Selecteer bovenin het scherm ‘Standaard rol voor nieuwe gebruikers’.

Doe dit slechts voor één rol, zodat elke nieuwe geïmporteerde gebruiker deze standaard rol krijgt in nCare. De meest gebruikte rol in nCare is ‘Verplegende/Verzorgende’.

 

Optie 2: Cliëntbereik obv roltoewijzing
#

Wanneer je als organisatie jouw gebruikers wilt autoriseren obv cliëntbereik en roltoewijzing dan moet de optie ‘Importeer het cliënt-bereik uit Nedap’ aan staan. Dit vink je aan bij Instellingen –  Inloginstellingen:

  • Let op: met deze optie worden alle gebruikersaccounts vanuit Nedap ONS geïmporteerd naar nCare tijdens het synchronisatiemoment tussen nCare en Nedap.
  • Bij het inloggen wordt realtime gekeken wat het huidige cliëntbereik is van de rol die een medewerker in Nedap ONS heeft en zo nodig aangepast in nCare.
    Op het moment van inloggen wordt het het cliëntbereik van de gebruiker door nCare opgevraagd in Nedap ONS. Van de cliënten krijgt nCare via de API mee bij welke teams de gebruikers horen. Een gebruiker krijgt toegang tot het team waar de cliënt mee in nCare staat. De locatie van de cliënten is hierin dus leidend. Stel een cliënt is in Nedap ONS gekoppeld aan team A, B en C maar de cliënt staat in nCare alleen op team A, dan krijgt de gebruiker alleen toegang tot team A. De gebruiker krijgt in nCare ook toegang tot de andere cliënten die in nCare in team A staan. Het is in nCare niet mogelijk om per individuele cliënt te autoriseren.
    Hieronder een aantal voorbeelden van hoe de autorisatie kan lopen:
  • In nCare kunnen er extra rollen handmatig aan het account worden toegevoegd op de teams waartoe de medewerker in Nedap ook toegang heeft. Rollen die handmatig worden toegevoegd in nCare op teams waartoe de medewerker in Nedap niet geautoriseerd is, worden overschreven door het cliëntbereik uit Nedap. In dat geval is handmatig autorisatie toekennen niet mogelijk.
  • Als je meer autorisatie wil uitdelen dan alleen de standaard rol (bijvoorbeeld voor beheerder of voorschrijvers) dan adviseren wij om deze optie in combinatie met SSO te gebruiken.
    • Heb je nog geen SSO koppeling met Nedap ONS en wil je wel gebruik maken van deze optie, dan adviseren wij om voor beheerders een nCare account aan te maken die niet uit Nedap ONS komt. Van dit account kunnen de rechten dan niet worden overschreven.

Inlogflow #

  • Inloggen met het nCare account aangemaakt vanuit Nedap ONS (zonder SSO)
    • Er wordt gekeken of het nCare account uit de Nedap ONS avondsynchronisatie is gekomen (import mapping is gevonden)
      • Indien nee (het nCare account is handmatig aangemaakt en kan niet met Nedap gekoppeld worden obv gebruikersnaam): gewone login wordt uitgevoerd met de rollen die handmatig in nCare zijn toegekend
    • Ja: er wordt aan Nedap ONS gevraagd bij welke cliënten deze gebruiker bij mag obv Cliëntbereik roltoewijzing
      • Indien deze aanvraag fout gaat (bijv. verlopen certificaat), wordt gevraagd of de gebruiker door wil gaan met de laatst bekende rechten of opnieuw wil proberen in te loggen
      • Indien de aanvraag aangeeft dat de gebruiker alles mag, krijgt de gebruiker de standaardrollen toegedeeld voor de gehele organisatie (overschrijft alle huidige rollen!)
      • Indien de aanvraag teruggeeft bij welke cliënten de gebruiker mag (cliëntbereik), checkt nCare of deze cliënten gesynchroniseerd zijn in de nachtelijke synchronisatie (import mapping is gevonden)
        • Van de gevonden cliënten bepaalt nCare de unieke afdelingen in nCare (kan dus ook leiden tot GEEN afdelingen -> helemaal geen rechten meer)
        • Op deze afdelingen krijgt de gebruiker de standaard-rollen toegedeeld (overschrijft alle huidige rollen!)
  • Inloggen met SSO IAM (bijv. Microsoft)
    • Nu worden de import instellingen van de provider opgenomen (Zie SSO documentatie):
      • Manier van rollen importeren (overschrijven, niets, of alleen toevoegen) -> niets is dus ook niet in Nedap ONS checken obv Cliëntbereik roltoewijzing, er wordt dan alleen gekeken wat de standaardrollen zijn in nCare.
    • Er worden rollen & afdelingen opgehaald uit Microsoft AD (obv groups), deze worden onthouden als RollenAD (evt aangevuld met standaardrollen)
    • Er wordt gekeken of het account uit Nedap ONS nachtelijke sync is gekomen (import mapping is gevonden)
      • Indien nee: gewone login wordt uitgevoerd -> RollenAD worden geïmporteerd
    • Er wordt aan Nedap ONS gevraagd welke bij cliënten deze gebruiker bij mag obv Cliëntbereik roltoewijzing
      • Indien deze aanvraag fout gaat (bijv. verlopen certificaat), komt er een vraag of je door wil gaan met de laatst bekende rechten of opnieuw wil proberen in te loggen (OOK de AzureAD rollen worden nu niet geïmporteerd!)
      • Indien de aanvraag aangeeft dat de gebruiker alles mag krijgt de gebruiker de bewaarde rollen in RollenAD toegedeeld voor de gehele organisatie (overschrijft alle huidige rollen!)
      • Indien de aanvraag cliënten teruggeeft, kijken we of deze cliënten gesynchroniseerd zijn in de nachtelijke sync (import mapping is gevonden)
        • Van de gevonden cliënten bepaalt nCare de unieke afdelingen in nCare (kan dus ook leiden tot GEEN afdelingen -> helemaal geen rechten meer)
        • Op deze afdelingen krijgt de gebruiker de bewaarde rollen in RollenAD toebedeeld.

Inrichting nCare #

Ga naar ‘Instellingen’ en vervolgens naar ‘inloginstellingen’.

Vink de optie ‘Importeer het cliënt-bereik uit Nedap’ aan

Ga nu naar ‘Instellingen’ en vervolgens naar ‘Nedap koppeling’.
Klik op deze pagina op de blauwe knop met de tekst ‘Instellingen’.
Zet het vinkje aan bij de optie ‘Synchroniseer medewerkers’.

Inrichting Nedap ONS #

Voor de koppeling is het een voorwaarde dat aan de bestaande rollen voor de zorgmedewerkers of aan een nieuwe rol onderstaande taak wordt toegevoegd:

“[Cliëntbereik] en machtigingen ophalen in een externe koppeling Zorgapp” (Zonder deze taak kan nCare niet de autorisatie uitdelen obv cliëntbereik.)

Stel het Bereik van de rol in als dit nog niet gedaan is. Dit geeft aan tot welke cliënten op afdelingsniveau de medewerker kan zien in nCare.

Let op: het cliëntbereik kan niet op ‘alle cliënten’ staan in Nedap. Dus onderstaande kan niet als bereik worden opgegeven binnen een rol:

Standaard rol instellen #

Stel een standaard rol in voor nieuwe gebruikers. Dit is de rol die automatisch aan alle nieuwe accounts wordt toegekend. Het is helaas technisch niet mogelijk om de rollen vanuit Nedap ONS over te nemen. Daarom is ervoor gekozen een standaard rol te kiezen bij de synchronisatie, waarbij jullie vrij zijn de uitzonderingen handmatig te muteren in nCare.

Ga naar Instellingen > Rollen > Selecteer de gewenste rol > Kies wijzigen > Selecteer bovenin het scherm ‘Standaard rol voor nieuwe gebruikers’.

Doe dit slechts voor één rol, zodat elke nieuwe geïmporteerde gebruiker deze standaard rol krijgt in nCare. De meest gebruikte rol in nCare is ‘Verplegende/Verzorgende’.