Wat houdt de koppeling in? #
nCare ondersteunt alle SSO providers die werken met het OpenIdConnect protocol.
Met deze koppeling kunnen gebruikers inloggen in nCare met hun eigen organisatie account, dit organisatie account wordt automatisch gekoppeld aan de nCare accounts die zijn aangemaakt vanuit Nedap ONS.
Als gebruikers meerdere dienstverbanden hebben en daardoor meerdere Nedap en nCare accounts hebben worden deze accounts ook automatisch gekoppeld aan het organisatie account.
Hierdoor hoeven gebruikers geen extra of verschillende inloggegevens van een nieuw account te onthouden.
Wat is er nodig om SSO te implementeren? #
Dit werkt alleen als jouw organisatie al een SSO koppeling heeft met Nedap ONS. Indien dit niet het geval is kan er geen gebruik worden gemaakt van de functionaliteit ‘Nedap SSO’.
Hoe stel je de SSO-koppeling in? #
Om de Inlog instellingen in te stellen voor jouw organisatie heb je de volgende rechten nodig op jouw account:
Locatie: Alle locaties
Recht: Algemeen Beheer Organisatie
Log in op nCare web
Klik rechtsboven naast de naam van de locatie op ‘aanpassen’
Klik onderaan in het locatiescherm op ‘Algemeen beheer organisatie’
Ga naar ‘Instellingen’ en klik vervolgens op ‘Inlog instellingen’
Door op de knop ‘toevoegen’ te klikken kan je een nieuwe externe login provider toevoegen. Als je nu al SSO hebt geïmplementeerd in nCare moet je alsnog deze stappen doorlopen.
Klik bij ‘Provider’ op het witte vlak en kies uit deze lijst voor ‘Microsoft’
Indien gewenst kan je de weergave naam aanpassen. In het inlogscherm zal dan staan: ‘Aanmelden met *de naam die is ingesteld*
Standaard tonen wij de naam van de provider.
Onderstaande velden moeten gevuld worden met een waarde uit de App registratie uit jullie eigen Azure omgeving die jullie nu al hebben voor de SSO koppeling met Nedap ONS.
- ClientId: Vullen met het ClientId van de Azure app registratie die jullie nu gebruiken voor de SSO koppeling met Nedap ONS.
- Dit kan je vinden in de app registratie via ‘Overview’ > ‘Application (client) ID’
- ClientSecret: Maak een nieuwe secret aan op de app registratie
- Dit kan je vinden in de app registratie via ‘Manage’ > ‘Certificates & secrets’
- Authority: Vul dit met de waarde die staat ingevuld bij ‘OAuth 2.0 authorization endpoint (v2).
- Dit kan je vinden in de app registratie via ‘Overview’ > ‘Endpoints’ > Bovenste regel
- ResponsType: Dit mag je vullen met de waarde: code
Voer bij ‘Toegestane domeinnamen’ in welke domeinnamen geaccepteerd moeten worden tijdens het inloggen.
Als hier bijvoorbeeld ncare.nl is ingevuld, kunnen alleen gebruikers inloggen indien hun accountnaam op ncare.nl eindigt (bijv. gebruikerx@ncare.nl).
Er kunnen ook meerdere domein namen worden opgegeven, gebruik dan een puntkomma om deze te scheiden.
Voorbeeld: ncare.nl;careconnections.nl
Zet een vinkje bij ‘2FA check gaat via provider’ indien dit gewenst is.
Hiermee zal bij het inloggen middels SSO, de tweefactor authenticatie (2FA) check alleen nog maar via de ingestelde provider lopen.
De volgende opties kan je als volgt gebruiken:
De optie ‘Maak automatisch gebruikers aan na eerste keer inloggen’ : Mag uit staan. De gebruikers zijn aan al aangemaakt van de koppeling met Nedap ONS.
De optie ‘Activeer nieuwe gebruikers direct’: Mag uit staan. Of gebruiker direct op actief moeten staan wordt voor de gebruikers uit Nedap ONS bepaald door een andere instelling
De optie ‘Ken standaard rollen toe aan gebruikers’ : Mag je aanvinken als je wilt werken met standaard rollen zoals HIER beschreven.
De optie ‘Importeer rollen uit het externe systeem’: Wanneer je ook IAM gaat gebruiken vink dan ook de optie ‘Importeer rollen uit externe systemen’ aan en kies bij manier van rollen importeren voor ‘Overschrijven (het externe systeem is leidend)’ Zie hoofdstuk IAM
Bij ‘Inlogmethode’ kan je bepalen op welke wijze de SSO moet verlopen richting de provider.
Je hebt de keus uit:
- Standaard
- Hiermee bepaalt de provider op welke wijze de gebruiker mag inloggen.
- Alleen wanneer niet ingelogd (SSO)
- Hiermee wordt de gebruiker automatisch ingelogd in nCare indien deze met het account is ingelogd op het apparaat/browser.
- Altijd opnieuw inloggen
- De gebruiker moet altijd de inloggegevens invoeren in het aanmeldscherm van de provider.
- Toon gebruiker keuze
- De gebruiker ziet een lijst met accounts die eerder al zijn ingelogd geweest en maakt hier een keus uit om mee verder te gaan. Indien het gekozen account is aangemeld komt de gebruiker in nCare. Indien het gekozen account niet is aangemeld, zullen eerst de inloggegevens moeten worden ingevoerd.
Druk nu op “Opslaan’ en je hebt SSO middels Microsoft ingesteld voor jouw organisatie.
Zorg ervoor dat een gebruiker met admin rechten in Azure als eerste inlogt nadat de koppeling is ingesteld. Bij het eerste keer inloggen moet de admin dan namelijk permissies toestaan. Dit zal duidelijk worden tijdens het inloggen.
Redirect Uri
Na het opslaan van de SSO configuratie zie in het inloginstellingen scherm 3 url staan.
Kopieer de waarde onder het kopje ‘Redirect uri’
Ga vervolgens naar je eigen Azure omgeving en voeg de gekopieerde url toe als ‘Redirect uri’ op de appregistratie die je gebruikt voor SSO naar Nedap ONS.
IAM instellen #
Het is mogelijk om op basis van Azure groepen de autorisatie in nCare te bepalen en automatisch te laten verlopen.
Groepen in Azure hebben een ‘Object Id’. Dit Object Id kan als een rol of afdeling gemapt worden in nCare.
Wil je IAM instellen? Laat dit dan aan ons weten via het klantportaal. Er zal dan een project worden gestart waarin we dit samen gaan inrichten.
Goed om te weten #
- Object Id’s van Azure groepen kunnen aan een onbeperkt aantal rollen gekoppeld worden.
- Er kunnen meerdere Object Id’s aan dezelfde rol of afdeling gekoppeld worden.
- Het is niet mogelijk om een Object Id van een Azure groep te koppelen aan meerdere afdelingen/wijken.
- Hetzelfde Object Id kan zowel aan een rol als afdeling gekoppeld.