Microsoft Entra (Azure): SSO en IAM

Wat houdt de koppeling in? #

nCare ondersteunt alle SSO providers die werken met het OpenIdConnect protocol.
Wil jij met een koppeling aan de slag? Vraag dan nCare+ aan via het klantenportaal.

Met deze koppeling kunnen gebruikers inloggen in nCare met hun eigen organisatie account. Hierdoor hoeven gebruikers geen extra gegevens van een nieuw account te onthouden.

Wat is er nodig om SSO te implementeren? #

Hieronder het advies vanuit CareConnections op basis van best practices over welke implementatiemethode je kan gebruiken, passend bij de situatie die geldt voor jouw organisatie.

Bestaande nCare gebruikers #

Zijn jullie een bestaande nCare klant dan staan er op dit moment accounts in nCare.
Met de Microsoft Azure koppeling is het mogelijk automatisch accounts aan te maken voor nieuwe gebruikers. Om te voorkomen dat er dubbele accounts ontstaan, is het zaak dat de bestaande accounts eerst juist gekoppeld worden.
Daarom is het advies de opties “maak automatisch accounts aan na eerste keer inloggen” en “activeer nieuwe gebruikers direct” eerst uit te laten.

Procesbeschrijving #

Bepaal als organisatie een deadline waarop alle gebruikers minimaal 1 keer hebben ingelogd in nCare met het Microsoft account.
Gebruikers loggen in bij nCare met de Microsoft Azure inloggegevens. Vervolgens krijgt men de vraag een nCare account te koppelen aan het Microsoft account.
Hier geeft de gebruiker het bestaande nCare account op.

Wanneer de deadline is verstreken kan je als organisatie de opties “maak automatisch accounts aan na eerste keer inloggen” en “activeer nieuwe gebruikers direct” aanvinken.
Vanaf dat moment worden er automatisch nCare accounts aangemaakt voor gebruikers die inloggen met hun Microsoft account maar nog geen nCare account hebben.

Ook het aanmaken van nieuwe gebruikers in nCare is niet langer nodig. Door de koppeling wordt er automatisch een account aangemaakt in nCare.
Zet vervolgens ook de optie ‘Gebruik alleen externe login methoden’ aan. Hierdoor kan er alleen nog maar worden ingelogd middels SSO via Microsoft en niet meer met een nCare account.

Als beheerder zul je voor iedereen die na de deadline dag inlogt met Microsoft en zijn nCare account nog niet gekoppeld had, handmatig een rol moeten geven via gebruikersbeheer in nCare.
Dat betekent dat er voor deze gebruikers dubbele nCare accounts zullen bestaan.

Stappenplan #

  1. Maak een uitrolplan voor het gebruik van SSO binnen nCare bestaande uit:
    • Bepaal de startdatum waarop SSO wordt geactiveerd
    • Bepaalde de deadline waarop elke gebruiker zijn Microsoft account gekoppeld moet hebben aan de bestaande nCare account
    • Verstuur de instructies + deadline naar de gebruikers
  2. Activeer SSO volgens de instructies
  3. Stuur x aantal dagen voor de deadline een reminder naar alle gebruikers over de deadline
  4. Zet op de deadline dag de opties “maak automatisch accounts aan na eerste keer inloggen” en “activeer nieuwe gebruikers direct” aan
  5. Zet op de deadline dag de optie aan voor ‘Gebruik alleen externe login methoden’ zodat er alleen nog maar kan worden ingelogd via Microsoft
  6. Autoriseer alle gebruikers die na deadline dag voor het eerst inloggen via Microsoft.

Nieuwe nCare gebruikers #

Het advies is om de twee opties “maak automatisch accounts aan na eerste keer inloggen” en “activeer nieuwe gebruikers direct” aan te vinken.
Vanaf dat moment worden er automatisch nCare accounts aangemaakt voor gebruikers die inloggen met hun Microsoft account maar nog geen nCare account hebben.

Procesbeschrijving #

Bepaal als organisatie een datum voor starten met nCare en plan trainingen in voor je gebruikers.
Implementeer nCare volgens het projectplan en SSO volgens de instructies + de optie ‘Gebruik alleen externe inlogmethoden’.

Laat de gebruikers tijdens de training inloggen bij nCare met de Microsoft Azure inloggegevens.
Omdat de opties “maak automatisch accounts aan na eerste keer inloggen” en “activeer nieuwe gebruikers direct” aan staan, worden er automatisch nCare accounts aangemaakt voor gebruikers die inloggen met hun Microsoft account maar nog geen nCare account hebben.

Als beheerder zul je voor iedereen die inlogt met Microsoft in nCare, handmatig rollen en autorisatie moeten geven via gebruikersbeheer in nCare.
Daarom is het bij een grote uitrol verstandig dit tijdens de trainingen te doen zodat je gecontroleerd en overzichtelijk iedereen toegang kan geven.

Stappenplan #

  1. Plan trainingen voor alle gebruikers
  2. Activeer SSO volgens de instructies
  3. Autoriseer alle gebruikers die op de training voor het eerst inloggen via Microsoft.

Hoe stel je de SSO-koppeling in? #

Om de Inlog instellingen in te stellen voor jouw organisatie heb je de volgende rechten nodig op jouw account:

Locatie: Alle locaties
Recht: Algemeen Beheer Organisatie

Log in op nCare web

Klik rechtsboven naast de naam van de locatie op ‘aanpassen’

Klik onderaan in het locatiescherm op ‘Algemeen beheer organisatie’

Ga naar ‘Instellingen’ en klik vervolgens op ‘Inlog instellingen’

Door op de knop ‘toevoegen’ te klikken kan je een nieuwe externe login provider toevoegen.

Klik bij ‘Provider’ op het witte vlak en kies uit deze lijst voor ‘Microsoft’

Indien gewenst kan je de weergave naam aanpassen. In het inlogscherm zal dan staan: ‘Aanmelden met *de naam die is ingesteld*
Standaard tonen wij de naam van de provider.

Voer bij ‘Toegestane domeinnamen’ in welke domeinnamen geaccepteerd moeten worden tijdens het inloggen.
Als hier bijvoorbeeld ncare.nl is ingevuld, kunnen alleen gebruikers inloggen indien hun accountnaam op ncare.nl eindigt (bijv. gebruikerx@ncare.nl).

Er kunnen ook meerdere domein namen worden opgegeven, gebruik dan een puntkomma om deze te scheiden.

Voorbeeld: ncare.nl;careconnections.nl

Zet een vinkje bij ‘2FA check gaat via provider’ indien dit gewenst is.
Hiermee zal bij het inloggen middels SSO, de tweefactor authenticatie (2FA) check alleen nog maar via de ingestelde provider lopen.

Met de volgende opties kan je gebruikers automatisch laten aanmaken wanneer een nieuwe gebruiker voor het eerst inlogt via SSO.
Daarin heb je ook de keuze om het account dat vervolgens op de achtergrond wordt aangemaakt meteen actief te laten zijn.

Wanneer je ook IAM gaat gebruiken vink dan ook de optie ‘Importeer rollen uit externe systemen’ aan en kies bij manier van rollen importeren voor ‘Overschrijven (het externe systeem is leiden)’

Bij ‘Inlogmethode’ kan je bepalen op welke wijze de SSO moet verlopen richting de provider.

Je hebt de keus uit:

  • Standaard
    • Hiermee bepaalt de provider op welke wijze de gebruiker mag inloggen.
  • Alleen wanneer niet ingelogd (SSO)
    • Hiermee wordt de gebruiker automatisch ingelogd in nCare indien deze met het account is ingelogd op het apparaat/browser.
  • Altijd opnieuw inloggen
    • De gebruiker moet altijd de inloggegevens invoeren in het aanmeldscherm van de provider.
  • Toon gebruiker keuze
    • De gebruiker ziet een lijst met accounts die eerder al zijn ingelogd geweest en maakt hier een keus uit om mee verder te gaan. Indien het gekozen account is aangemeld komt de gebruiker in nCare. Indien het gekozen account niet is aangemeld, zullen eerst de inloggegevens moeten worden ingevoerd.

Druk nu op “Opslaan’ en je hebt SSO middels Microsoft ingesteld voor jouw organisatie.

Zorg ervoor dat een gebruiker met admin rechten in Azure als eerste inlogt nadat de koppeling is ingesteld. Bij het eerste keer inloggen moet de admin dan namelijk permissies toestaan. Dit zal duidelijk worden tijdens het inloggen.

Vergrendelscherm

In de nCare app kan je in het vergrendelscherm (die verschijnt na x minuten inactiviteit) en in het scherm voor dubbele controle op locatie inloggen middels een pincode of je nCare gebruikersnaam en wachtwoord.

Wanneer SSO middels nCare+ hebt aangezet voor je organisatie. Kan je er voor kiezen dat het alleen nog maar mogelijk is om in de nCare app middels een pincode te kunnen inloggen in het scherm van de dubbele controle op locatie/vergrendelscherm.

Dit kan je aanzetten via ‘Algemeen beheer organisatie’ ga vervolgens naar ‘Algemeen’ en klik rechtsboven op ‘wijzigen’.
Zet een vinkje bij ‘Ontgrendelen/dubbele controle alleen via pincode’
Druk op ‘opslaan’

IAM instellen #

Het is mogelijk om op basis van Azure groepen de autorisatie in nCare te bepalen en automatisch te laten verlopen.

Screenshot uit Azure

Groepen in Azure hebben een ‘Object Id’. Dit Object Id kan als een rol of afdeling gemapt worden in nCare.

Wil je IAM instellen? Laat dit dan aan ons weten via het klantportaal. Er zal dan een project worden gestart waarin we dit samen gaan inrichten.

Goed om te weten #

  • Object Id’s van Azure groepen kunnen aan een onbeperkt aantal rollen gekoppeld worden.
  • Er kunnen meerdere Object Id’s aan dezelfde rol of afdeling gekoppeld worden.
  • Het is niet mogelijk om een Object Id van een Azure groep te koppelen aan meerdere afdelingen/wijken.
  • Hetzelfde Object Id kan zowel aan een rol als afdeling gekoppeld.

Instructie voor gebruikers van SSO #

Wanneer SSO is ingesteld zal een gebruiker bij de eerste inlog, handmatig het nCare account moeten koppelen aan het Microsoft-account. Hieronder de instructies die jullie als organisatie met de gebruikers kunnen delen.

Als gebruiker open ik de nCare app of ik ga naar nCare web.

In het inlogscherm kies ik voor ‘Aanmelden met Microsoft’

Ik vul hier mijn organisatie account: tom@organisatienaam.nl en het wachtwoord dat bij dit account hoort.

Wanneer het de eerste keer is dat ik inlog met mijn organisatie account krijg ik onderstaande scherm te zien.

Hier heb ik de mogelijkheid om mijn nCare account te koppelen aan mijn organisatie account.

Dit doe ik door de volgende velden in te vullen:

  • Organisatie
  • nCare gebruikersnaam
  • Wachtwoord

Wanneer alles is ingevuld kies ik voor ‘Inloggen’

Ik ben ingelogd in nCare.

Wanneer ik voortaan inlog via ‘Aanmelden met Microsoft’ kom ik meteen in nCare terecht.