Wat houdt de koppeling in? #

nCare ondersteunt alle SSO providers die werken met het OpenIdConnect protocol.

Wil jij met een koppeling aan de slag? Vraag dan nCare+ aan via het klantenportaal.

Met deze koppeling kunnen gebruikers inloggen in nCare met hun eigen organisatie account. Hierdoor hoeven gebruikers geen extra gegevens van een nieuw account te onthouden.

Wat is er nodig om SSO te implementeren? #

Hieronder het advies vanuit CareConnections op basis van best practices over welke implementatiemethode je kan gebruiken, passend bij de situatie die geld voor jouw organisatie.

Bestaande nCare gebruikers #

Zijn jullie een bestaande nCare klant dan staan er op dit moment accounts in nCare.
Met de Okta koppeling is het mogelijk automatisch accounts aan te maken voor nieuwe gebruikers. Het is zaak dat de bestaande accounts eerst juist gekoppeld worden.
Daarom is het advies de opties “maak automatisch accounts aan na eerste keer inloggen” en “activeer nieuwe gebruikers direct” eerst uit te laten.

Procesbeschrijving #

Bepaal als organisatie een deadline waarop alle gebruikers minimaal 1 keer hebben ingelogd in nCare met het Okta.
Gebruikers loggen in bij nCare met de Okta inloggegevens. Vervolgens krijgt men de vraag een nCare account te koppelen aan Okta.
Hier geeft de gebruiker het bestaande nCare account op.

Wanneer de deadline is verstreken kan je als organisatie de opties “maak automatisch accounts aan na eerste keer inloggen” en “activeer nieuwe gebruikers direct” aanvinken.
Vanaf dat moment worden er automatisch nCare accounts aangemaakt voor gebruikers die inloggen met hun Okta account maar nog geen nCare account hebben.

Ook het aanmaken van nieuwe gebruikers in nCare is niet langer nodig. Door de koppeling wordt er automatisch een account aangemaakt in nCare.
Zet vervolgens ook de optie ‘Gebruik alleen externe login methoden’ aan. Hierdoor kan er alleen nog maar worden ingelogd middels SSO via Okta en niet meer met een nCare account.

Als beheerder zul je voor iedereen die na de deadline dag inlogt met Okta en zijn nCare account nog niet gekoppeld had, handmatig een rol moeten geven via gebruikersbeheer in nCare.
Dat betekent dat er voor deze gebruikers dubbele nCare accounts zullen bestaan.

Stappenplan #

  1. Maak een uitrolplan voor het gebruik van SSO binnen nCare bestaande uit:
    • Bepaal de startdatum waarop SSO wordt geactiveerd
    • Bepaalde de deadline waarop elke gebruiker zijn Okta account gekoppeld moet hebben aan de bestaande nCare account
    • Verstuur de instructies + deadline naar de gebruikers
  2. Activeer SSO volgens de instructies
  3. Stuur x aantal dagen voor de deadline een reminder naar alle gebruikers over de deadline
  4. Zet op de deadline dag de opties “maak automatisch accounts aan na eerste keer inloggen” en “activeer nieuwe gebruikers direct” aan
  5. Zet op de deadline dag de optie aan voor ‘Gebruik alleen externe login methoden’ zodat er alleen nog maar kan worden ingelogd via Okta.
  6. Autoriseer alle gebruikers die na deadline dag voor het eerst inloggen via Okta.

Nieuwe nCare gebruikers #

Het advies is om de twee opties “maak automatisch accounts aan na eerste keer inloggen” en “activeer nieuwe gebruikers direct” aan te vinken.
Vanaf dat moment worden er automatisch nCare accounts aangemaakt voor gebruikers die inloggen met hun Okta account maar nog geen nCare account hebben.

Procesbeschrijving #

Bepaal als organisatie een datum voor starten met nCare en plan trainingen in voor je gebruikers.
Implementeer nCare volgens het projectplan en SSO volgens de instructies + de optie ‘Gebruik alleen externe inlogmethoden’.

Laat de gebruikers tijdens de training inloggen bij nCare met de Okta inloggegevens.
Omdat de opties “maak automatisch accounts aan na eerste keer inloggen” en “activeer nieuwe gebruikers direct” aan staan, worden er automatisch nCare accounts aangemaakt voor gebruikers die inloggen met hun Okta account maar nog geen nCare account hebben.

Als beheerder zul je voor iedereen die inlogt met Okta in nCare, handmatig rollen en autorisatie moeten geven via gebruikersbeheer in nCare.
Daarom is het bij een grote uitrol verstandig dit tijdens de trainingen te doen zodat je gecontroleerd en overzichtelijk iedereen toegang kan geven.

Stappenplan #

  1. Plan trainingen voor alle gebruikers
  2. Activeer SSO volgens de instructies
  3. Autoriseer alle gebruikers die op de training voor het eerst inloggen via Okta.

Hoe stel je de SSO-koppeling in? #

Werkzaamheden in Okta deel 1 #

Stap 1 (Okta dashboard)

Selecteer in het menu aan de linker kant: ‘Applications’ => ‘Applications’

Stap 2 (Okta dashboard)

Klik op ‘Create App Integration’

 

Stap 3 (Okta dashboard)

Kies bij ‘Sign-on method’ voor ‘OIDC – OpenID Connect’ en bij ‘application type’ voor ‘Web Application’

Stap 4 (Okta dashboard)

Bij ‘General Settings’ onder het kopje ‘grant type’ moet ‘authorization code’ aangevinkt staan. Op moment van schrijven is dit standaard en niet uit te schakelen.

Op het moment dat “Authorization Code” aangevinkt is kan op “Save” geklikt worden. De rest van de parameters vullen we later in.

Stap 5 (Okta dashboard)

Sla van het tabje “General” de waarde van het ‘Client ID’ en ‘Client secret’ veld tijdelijk op.

Stap 6 (Okta dashboard)

Sla van het tabje ‘Sign On’ de waarde van het ‘Issuer’ veld tijdelijk op.

Je moet nu eerst de stappen in het volgende hoofdstuk uitvoeren voor je verder kan met de werkzaamheden in Okta.

Werkzaamheden in nCare deel 1 #

Om de Inlog instellingen in te stellen voor jouw organisatie heb je de volgende rechten nodig op jouw account:

Locatie: Alle locaties
Recht: Algemeen Beheer Organisatie

Log in op nCare web

Klik rechtsboven naast de naam van de locatie op ‘aanpassen’

Klik onderaan in het locatiescherm op ‘Algemeen beheer organisatie’

Ga naar ‘Instellingen’ en klik vervolgens op ‘Inlog instellingen’

Door op de knop ‘toevoegen’ te klikken kan je een nieuwe externe login provider toevoegen.

Klik bij ‘Provider’ op het witte vlak en kies uit deze lijst voor ‘Okta’

Indien gewenst kan je de weergave naam aanpassen. In het inlogscherm zal dan staan: ‘Aanmelden met *de naam die is ingesteld*. Standaard tonen wij de naam van de provider.

Vul hier de gegevens in uit stap 5 en 6 uit ‘Werkzaamheden in Okta deel 1’.

  • ClientId
  • ClientSecret
  • Authority

Sla de waarde van “Redirect uri” en “Remote signout uri” tijdelijk op (zichtbaar na opslaan).

Zet een vinkje bij ‘2FA check gaat via provider’ indien dit gewenst is.
Hiermee zal bij het inloggen middels SSO, de tweefactor authenticatie (2FA) check alleen nog maar via de ingestelde provider lopen.

Met de volgende opties kan je gebruikers automatisch laten aanmaken wanneer een nieuwe gebruiker voor het eerst inlogt via SSO. Daarin heb je ook de keuze om het account dat vervolgens op de achtergrond wordt aangemaakt meteen actief te laten zijn.

Druk nu op ‘Opslaan’

Na het toevoegen van de provider zie je in het scherm drie uri’s staan. Voeg deze uri’s toe in Okta, zie hiervoor Werkzaamheden in Okta deel 2.

Werkzaamheden in Okta deel 2 #

Stap 7 (Okta dashboard)
Ga naar het tabje ‘General’ van de applicatie.

Klik bij ‘General settings’ op ‘Edit’.

 

Vul onderstaande velden in Okta in met de gegevens uit nCare en druk op ‘Save’.

Werkzaamheden in nCare deel 2 #

Vergrendelscherm

In de nCare app kan je in het vergrendelscherm (die verschijnt na x minuten inactiviteit) en in het scherm voor dubbele controle op locatie inloggen middels een pincode of je nCare gebruikersnaam en wachtwoord.

Wanneer SSO middels nCare+ hebt aangezet voor je organisatie. Kan je er voor kiezen dat het alleen nog maar mogelijk is om in de nCare app middels een pincode te kunnen inloggen in het scherm van de dubbele controle op locatie/vergrendelscherm.

Dit kan je aanzetten via ‘Algemeen beheer organisatie’ ga vervolgens naar ‘Algemeen’ en klik rechtsboven op ‘wijzigen’.
Zet een vinkje bij ‘Ontgrendelen/dubbele controle alleen via pincode’
Druk op ‘opslaan’

Hoe voeg je IAM toe aan de koppeling? #

Er is op dit moment nog geen IAM koppeling met Okta.

Instructie voor gebruikers van SSO #

Wanneer SSO is ingesteld zal een gebruiker bij de eerste inlog, handmatig het nCare account moeten koppelen aan het Okta-account. Hieronder de instructies die jullie als organisatie met de gebruikers kunnen delen.

Als gebruiker open ik de nCare app of ik ga naar nCare web.

In het inlogscherm kies ik voor ‘Aanmelden met Okta’

Ik vul hier mijn organisatie account: bijvoorbeeld tom@organisatienaam.nl en het wachtwoord dat bij dit account hoort.

Wanneer het de eerste keer is dat ik inlog met mijn organisatie account krijg ik onderstaande scherm te zien.

Hier heb ik de mogelijkheid om mijn nCare account te koppelen aan mijn organisatie account.

Dit doe ik door de volgende velden in te vullen:

  • nCare gebruikersnaam
  • Wachtwoord

Wanneer alles is ingevuld kies ik voor ‘Inloggen’

Ik ben ingelogd in nCare.

Wanneer ik voortaan inlog via ‘Aanmelden met Okta’ kom ik meteen in nCare terecht.