Bedoelde je soms ?
De Single Sign-On-provider kan worden gebruikt om een gebruiker te laten inloggen in Ons zonder gebruikersnaam en wachtwoord. Een ander proces dat (aanvullend) kan worden ondersteund is het geautomatiseerd medewerkers, gebruikers en autorisaties in Ons aanmaken en wijzigen.
Met SSO-provider wordt een Active Directory of systeem bedoeld dat medewerkers binnen de organisatie beheert en kan toewijzen aan (en toegang geven tot) systemen die zij moeten gebruiken voor de uitvoering van hun werkzaamheden.
Dit proces van toewijzen en toegang geven wordt Provisioning genoemd en gebeurt via apis. Zie de website van Ons API voor meer informatie over api's.
Bij Provisioning onderscheiden wij twee hoofdstromen:
Dit is de eenmalige mogelijkheid om een gebruiker aan te maken in Ons vanuit de SSO-provider. Dit is niet bedoeld om continu gebruikers bij te werken (zie Continue Provisioning), maar wordt bijvoorbeeld toegepast in de context van externe organisaties, als de SSO-provider niet in eigen beheer van de organisatie is, maar wel wordt vertrouwd. Denk daarbij aan een uitzendbureau waarmee wordt gewerkt of een externe behandeldienst die wordt ingehuurd. De gebruikers staan dan in het systeem van deze externe partij.
Via eenmalige provisioning kun je eenmalig een medewerker/gebruiker en rollen aanmaken. De roltoewijzing is gebaseerd op de inrichting van Ons Autorisatie en is qua proces gelijk aan het autoriseren.
De organisatie kiest welke rollen via de inlogpoging kunnen worden toegewezen. Daarvoor gebruiken ze een op voorhand ingerichte rol die aanwezig is in Ons Autorisatie. Dit is een rol die de organisatie aan deze SSO-provider/partij toevertrouwt.
De inrichting is aanvullend op de stappen in Ons SSO: configuratie. Bij de inlogpoging van de gebruiker geeft de SSO-provider het volgende mee:
De standaardrol die aan de gebruiker moet worden toegewezen (deze rol moet aanwezig zijn in Ons Autorisatie).
Nedap adviseert dat de externe partij één rol (met basisautorisatierechten) definieert per SSO-provider. Bij de eerste aanmeldpoging wordt de rol aan de gebruiker gekoppeld. Als een gebruiker in Ons bekend is, krijgt diegene de rol ook toegewezen.
Dat er een medewerker moet worden aangemaakt.
De medewerkernummering in Ons moet uniek zijn en kan conflicteren met de gehanteerde medewerkernummering bij de SSO-provider.
In deze situatie vindt toewijzing van medewerkers, gebruikers en rollen plaats binnen de organisatie (lees: in eigen beheer van de organisatie) vanuit de SSO-provider. Het geautomatiseerd aanmaken wordt dan uitbesteed (gedelegeerd rechtenmanagement) door deze SSO-provider. Dit geldt voor het aanmaken en wijzigen van gebruikers met rollen in Ons.
De SSO-provider neemt via een ticket contact op met Nedap om de api-koppeling vorm te geven.
Uitgangspunten hierbij zijn:
De organisatie richt zelf de rollen in via Ons Autorisatie.
De SSO-provider maakt geen rollen aan (met taken en rechten) in Ons Autorisatie.
De SSO-provider maakt een roltoewijzing aan en deze overschrijft de huidige roltoewijzing. De bron voor het toekennen van rollen aan een gebruiker is de SSO-Provider. Dit vindt dus niet in Ons Autorisatie plaats.
Bij gebruikers voor wie de SSO is uitgeschakeld, verloopt de toekenning van rollen via Ons Autorisatie.