Wat houdt de koppeling in? #
nCare ondersteunt alle SSO providers die werken met het OpenIdConnect protocol.
Met een SSO koppeling kunnen gebruikers inloggen in nCare met hun eigen organisatie account. Dit organisatie account wordt automatisch gekoppeld aan de nCare accounts die zijn aangemaakt vanuit Nedap ONS.
Klik hier voor een procesbeschrijving van de best practice.
Let op: de SSO koppeling in combinatie met Nedap werkt op dit moment (Q3 2024) alleen met Microsoft en Google.
Als gebruikers meerdere dienstverbanden hebben en daardoor meerdere Nedap en nCare accounts hebben worden deze accounts ook automatisch gekoppeld aan het organisatie account.
Hierdoor hoeven gebruikers geen extra of verschillende inloggegevens van een nieuw account te onthouden.
Wat is er nodig om SSO te implementeren? #
Dit werkt alleen als jouw organisatie al een SSO koppeling heeft met Nedap ONS. Indien dit niet het geval is kan er geen gebruik worden gemaakt van de functionaliteit ‘Nedap SSO’.
Hoe stel je de SSO-koppeling in? #
Microsoft #
Om de Inlog instellingen in te stellen voor jouw organisatie heb je de volgende rechten nodig op jouw account:
Locatie: Alle locaties
Recht: Algemeen Beheer Organisatie
Log in op nCare web
Klik rechtsboven naast de naam van de locatie op ‘aanpassen’
Klik onderaan in het locatie scherm op ‘Algemeen beheer organisatie’
Ga naar ‘Instellingen’ en klik vervolgens op ‘Inlog instellingen’
Door op de knop ‘toevoegen’ te klikken kan je een nieuwe externe login provider toevoegen. Als je nu al SSO hebt geïmplementeerd in nCare moet je alsnog deze stappen doorlopen. Je maakt dus een extra externe login provider aan.
Klik bij ‘Provider’ op het witte vlak en kies uit deze lijst voor ‘Microsoft’
Indien gewenst kan je de weergave naam aanpassen. In het inlogscherm zal dan staan: ‘Aanmelden met *de naam die is ingesteld*
Standaard tonen wij de naam van de provider.
In de volgende stap gaan we gegevens verzamelen die nodig zijn in nCare.
Ga in jullie Microsoft Azure omgeving naar de app registratie die jullie gebruiken voor de SSO koppeling met Nedap ONS.
Uit de app registratie van Nedap ONS hebben wij de volgende waarden nodig:
- Application (client) ID
- Directory (tenant) ID
- Value van een secret
- Klik op ‘Certificates & Secrets’
- Klik op ‘+ new client secret’
- Geef een ‘Description’ op bv ‘SSO nCare’
- Geef een ‘Expire date’ op (zo lang mogelijk)
- Kopieer de ‘Value’ (Let op: deze is alleen zichtbaar na het aanmaken)
De volgende stappen vinden weer plaats in nCare (Algemeen Beheer > Inloginstellingen).
- ClientId: Vul hier het Application (client) ID in
- ClientSecret: Vul hier de Value in van de aangemaakte secret.
- Authority: Vul hier de Directory (tenant) ID
- ResponsType: Vul hier ‘code’ in (kleine letters)
Voer bij ‘Toegestane domeinnamen’ in welke domeinnamen geaccepteerd moeten worden tijdens het inloggen.
Als hier bijvoorbeeld ncare.nl is ingevuld, kunnen alleen gebruikers inloggen indien hun accountnaam op ncare.nl eindigt (bijv. gebruikerx@ncare.nl).
Er kunnen ook meerdere domein namen worden opgegeven, gebruik dan een puntkomma om deze te scheiden.
Voorbeeld: ncare.nl;careconnections.nl
Zet een vinkje bij ‘2FA check gaat via provider’ indien dit gewenst is.
Hiermee zal bij het inloggen middels SSO, de tweefactor authenticatie (2FA) check alleen nog maar via de ingestelde provider lopen.
De volgende opties kan je als volgt gebruiken:
De optie ‘Maak automatisch gebruikers aan na eerste keer inloggen’ : Mag uit staan. De gebruikers zijn al aangemaakt via de koppeling met Nedap ONS.
De optie ‘Activeer nieuwe gebruikers direct’: Mag uit staan. Of gebruiker direct op actief moeten staan wordt voor de gebruikers uit Nedap ONS bepaald door een andere instelling
De optie ‘Ken standaard rollen toe aan gebruikers’ : Mag je aanvinken als je wilt werken met standaard rollen zoals HIER beschreven.
De optie ‘Importeer rollen uit het externe systeem’ moet aangevinkt worden als je autoriseert op basis van cliëntbereik uit Nedap en/of als Identity Acces Management (IAM) geïmplementeerd is/wordt.
Zie handleiding IAM
Bij ‘Inlogmethode’ kan je bepalen op welke wijze de SSO moet verlopen richting de provider.
Je hebt de keus uit:
- Standaard
- Hiermee bepaalt de provider op welke wijze de gebruiker mag inloggen.
- Alleen wanneer niet ingelogd (SSO)
- Hiermee wordt de gebruiker automatisch ingelogd in nCare indien deze met het account is ingelogd op het apparaat/browser.
- Altijd opnieuw inloggen – te adviseren bij gedeelde apparaten
- De gebruiker moet altijd de inloggegevens invoeren in het aanmeldscherm van de provider.
- Toon gebruiker keuze
- De gebruiker ziet een lijst met accounts die eerder al zijn ingelogd geweest en maakt hier een keus uit om mee verder te gaan. Indien het gekozen account is aangemeld komt de gebruiker in nCare. Indien het gekozen account niet is aangemeld, zullen eerst de inloggegevens moeten worden ingevoerd.
Druk nu op “Opslaan’ en je hebt SSO middels Microsoft ingesteld voor jouw organisatie.
Redirect Uri
Na het opslaan van de SSO configuratie zie in het inloginstellingen scherm 3 urls staan.
Kopieer de waarde onder het kopje ‘Redirect uri’
Ga vervolgens naar je eigen Azure omgeving en voeg de gekopieerde url toe als ‘Redirect uri’ op de appregistratie die je gebruikt voor SSO naar Nedap ONS.
Claims toevoegen
Als laatste stap moet er op de app registratie een claim worden toegevoegd:
- Ga naar Token configuration
- Klik op Add groups claim
- Vink de type groepen aan die je gebruikt, met de optie all groups weet je zeker dat je goed zit.
Klik op opslaan
Ga tot slot in nCare naar Instellingen – Nedap Koppeling – Instellingen, en selecteer de login provider.
Google #
Om de Inlog instellingen in te stellen voor jouw organisatie heb je de volgende rechten nodig op jouw account:
Locatie: Alle locaties
Recht: Algemeen Beheer Organisatie
Log in op nCare web
Klik rechtsboven naast de naam van de locatie op ‘aanpassen’
Klik onderaan in het locatiescherm op ‘Algemeen beheer organisatie’
Ga naar ‘Instellingen’ en klik vervolgens op ‘Inlog instellingen’
Door op de knop ‘toevoegen’ te klikken kan je een nieuwe externe login provider toevoegen.
Klik bij ‘Provider’ op het witte vlak en kies uit deze lijst voor ‘Google’
Indien gewenst kan je de weergave naam aanpassen. In het inlogscherm zal dan staan: ‘Aanmelden met *de naam die is ingesteld*
Standaard tonen wij de naam van de provider.
Voer bij ‘Toegestane domeinnamen’ in welke domeinnamen geaccepteerd moeten worden tijdens het inloggen.
Als hier bijvoorbeeld ncare.nl is ingevuld, kunnen alleen gebruikers inloggen indien hun accountnaam op ncare.nl eindigt (bijv. gebruikerx@ncare.nl).
Er kunnen ook meerdere domein namen worden opgegeven, gebruik dan een puntkomma om deze te scheiden.
Voorbeeld: ncare.nl;careconnections.nl
Zet een vinkje bij ‘2FA check gaat via provider’ indien dit gewenst is.
Hiermee zal bij het inloggen middels SSO, de tweefactor authenticatie (2FA) check alleen nog maar via de ingestelde provider lopen.
Zet de vinkjes als volgt aan:
De optie ‘Importeer rollen uit het externe systeem’ moet aangevinkt worden als je autoriseert op basis van cliëntbereik uit Nedap, anders mag deze optie uit staan.
Druk nu op ‘Opslaan’ en je hebt SSO middels Google ingesteld voor jouw organisatie.
Ga tot slot in nCare naar Instellingen – Nedap Koppeling – Instellingen, en selecteer de login provider.