Bedoelde je soms ?
Single Sign-On (SSO) kan gebruikt worden om gebruikers vanuit een bestaand account bij jullie SSO-provider in te laten loggen in Ons. Gebruikers hoeven dan niet meer een wachtwoord te onthouden voor Ons-applicaties. Daarnaast hoeven accounts dan slechts op één plek beheerd te worden.
Dit artikel beschrijft het inloggen via SSO in Ons. Ben je op zoek naar de andere SSO-functionaliteit waarmee je vanuit Ons naar een externe partij kunt inloggen? Bekijk dan Koppelingen met Ons: Single Sign-On-koppelingen.
Aan het gebruik van SSO zijn aanvullende kosten verbonden. Neem voor meer informatie contact op met je accountmanager.
Het gebruik van Single Sign-On (SSO) heeft meerdere voordelen:
Het is verstandig om gebruikers op slechts één plaats te beheren. Als een gebruiker meerdere accounts heeft, is de kans groter dat informatie niet up-to-date is. (SSO) maakt het mogelijk om gebruikersbeheer in eigen hand te houden, en op één plek te beheren.
Gebruikers hoeven maar één wachtwoord te onthouden.
Inloggen gaat makkelijker en sneller.
Om persoonsgegevens zo goed mogelijk te beveiligen, moet in Ons standaard met twee-factor authenticatie (2FA) ingelogd worden. Als je bij inloggen met SSO bij je provider al ingelogd bent met 2FA, hoeft dit in Ons niet meer te gebeuren.
Het gebruik van 2FA bij de SSO-provider kan alleen goed doorgegeven worden als de provider een zogeheten 'AMR-claim' doorstuurt naar Ons. Zie daarvoor Ons SSO: configuratie.
Het kan zijn dat er nog steeds gevraagd wordt om een 2FA code in Ons. Als er geen 2FA is uitgevoerd bij het inloggen bij de SSO-provider, zal dit alsnog bij het inloggen in Ons gevraagd worden.
Het is mogelijk om in Ons-applicaties in te loggen via SSO. Dit kan als een SSO-provider de 'OpenID Connect' standaard gebruikt. De meeste aanbieders doen dit al. Dit zijn een aantal van de grootste SSO-providers:
Okta
Onelogin
Auth0
Azure Active Directory
ADFS on Windows Server 2016 *
Google Workspace (alléén met eigen hosten domain) *
* Deze providers voldoen niet volledig aan de Open ID connect standaard, en vereisen een juridische uitbreiding van het contract om te garanderen dat MFA voor elke sessie is uitgevoerd.
Het is mogelijk om gebruikers van meerdere SSO-providers toegang te geven tot de Ons-applicaties. Dit kan handig zijn wanneer gebruikers van een andere organisatie (bijvoorbeeld huisartsen of externe leveranciers) ook toegang moeten hebben tot jullie omgeving.
Voor elke aparte provider kan een knop op het inlogscherm geplaatst worden.
De authenticatie van mobiele apps vindt op andere wijze plaats (met pincode). De initiële koppeling van de app gebeurt wel via een webapplicatie, waarvoor het nodig is om in te loggen. Afhankelijk van of SSO is ingesteld gebeurt het inloggen met of zonder SSO.
Zie ook: Mobiele apps configureren en beheren.
Voor het gebruik van SSO is geen extra toevoeging aan het contract, of nieuwe verwerkersovereenkomst nodig. De gedeelde gegevens vallen onder de bestaande verwerkersovereenkomst.
Er ontstaat geen direct inzicht in de gebruikers van een organisatie. Alleen het resultaat of een inlog is gelukt en meta-data zoals de gebruikersnaam worden gedeeld per geval. Voor automatisch provisionen van gebruikers is er een medewerkersnummer of e-mail adres van de medewerker nodig, maar ook deze vallen onder de bestaande verwerkersovereenkomst.