Authenticatie & autorisatie

Authenticatie & autorisatie

Introductie

In dit artikel vertellen we je meer over de wijze waarop wij gebruikers authentiseren en autoriseren in InTouch. Dit artikel is geschreven voor zowel beheerders van InTouch vanuit een zorgaanbieder als voor de BI consultant bij SDB Zorgt. Dit artikel begint met een informatieve inleiding welke je op de hoogte brengt van de mogelijkheden. 

Authenticatie InTouch

Bij elke mogelijke authenticatie inrichting wordt gekeken naar de gebruikers die bekend zijn in de inTouch applicatie. Deze gebruikers kunnen echter op verschillende manieren binnen InTouch terecht komen:
  1. Via de Databroker
  2. Via InTouch beheer
  3. Via een sFTP server
  4. Via een HRM systeem
Zodra de gebruikers in de applicatie bekend zijn, moeten deze worden geverifieerd ten opzichte van de gebruikers in SDB Identity. Er zijn verschillende mogelijkheden op dit gebied, in elk van de gevallen is het vereist om gebruik te maken van SDB Identity. Deze koppeling maakt 2-factor authenticatie eveneens mogelijk.

Inrichting van SDB Identity geschiedt via een SDB Zorgt consultant, deze staat tijdens de inrichting in nauw contact met jullie eigen ICT-leverancier.

Authenticatie via SDB Identity zonder single-sign on (SSO)

Met deze opzet worden gebruikers in InTouch geauthentiseerd ten opzichte van de gebruikers in SDB Identity. De gebruikers in SDB Identity kunnen  via een externe Identity provider worden ingelezen of handmatig worden toegevoegd. Er wordt geen SSO toegepast waardoor gebruikers bij gebruik over producten heen opnieuw in moeten loggen.

Authenticatie via SDB Identity met SSO via SDB Identity

Ook hier worden gebruikers in InTouch geauthentiseerd ten opzichte van de gebruikers in SDB Identity. De gebruikers in SDB Identity kunnen  via een externe Identity provider worden ingelezen of handmatig worden toegevoegd. Er wordt in dit scenario echter wel SSO toegepast waardoor gebruikers bij gebruik over producten heen niet steeds opnieuw in moeten loggen. SSO verloopt in dit scenario via SDB Identity en dus niet via de externe Identity Provider.

Authenticatie via SDB Identity met SSO via een externe Identity provider

Hier worden gebruikers eveneens in InTouch geauthentiseerd ten opzichte van de gebruikers in SDB Identity. De gebruikers in SDB Identity kunnen  via een externe Identity provider worden ingelezen of handmatig worden toegevoegd. Er wordt in dit scenario SSO toegepast waardoor gebruikers bij gebruik over producten heen niet steeds opnieuw in moeten loggen. SSO verloopt in dit scenario via de externe Identity Provider. Deze inrichting wordt aangeboden tegen een meerprijs per maand.

Autorisatie InTouch

Autorisaties in InTouch kun je ook op verschillende manieren toekennen aan eindgebruikers, dit komt overeen met de mogelijkheden betreffende de authenticatie. 
In elk van onderstaande opties kun je naast de gebruiker ook de organisatorische eenheden (OE's)/kostenplaatsen meegeven.
  1. Via de Databroker
    1. Maak je gebruik van het Kernmodel? Dan kun je de gebruikers inclusief kostenplaatsen via een sjabloon inladen in de Databroker.
  2. Via InTouch beheer
    1. Vanuit een beheerscherm kunnen gebruikers, kostenplaatsen en functies worden toegevoegd, dit kan per regel of via een Excel upload
  3. Via een sFTP server
    1. Vanuit een Excelbestand welke dagelijks wordt ingeladen. Je krijgt hierbij toegang tot de sFTP server om dit bestand te beheren
  4. Via een HRM systeem
    1. Er is ook een mogelijkheid om gebruikers en kostenplaatsen toe te voegen via een koppeling met een HRM systeem zoals AFAS of VISMA
De koppeling via de Databroker en het InTouch beheer worden standaard aangeboden. Wil je de kostenplaatsen via een sFTP server of HRM systeem beheren? Dan kan dit ingeregeld worden door een consultant.

Ditzelfde geldt voor de autorisaties op basis van functies. Er kan een sjabloon ingeregeld worden waarmee functies per medewerker worden doorgegeven. Ook dit kan worden ingeregeld door een consultant.

Identity Access Management (IAM) *nog in ontwikkeling

Op dit moment werken wij aan ondersteuning van IAM binnen InTouch. Dit zal beheer van rollen vereenvoudigen.
  1. Hiervoor is een koppeling met SDB Identity vereist. IAM kent een meerprijs per maand indien je hier gebruik van wil maken
  2. Met gebruik van IAM worden kostenplaatsautorisaties
Rondom IAM kunnen er echter verschillende scenario's van toepassing zijn die om een andere implementatie vragen, enkele voorbeelden:

Scenario I: Je gebruikt een externe Identity Provider (IDP)

Na realiseren van dit scenario werkt het als volgt:
  1. De gebruikers en rollen komen uit de IDP (bijvoorbeeld Azure AD) in SDB Identity terecht
  2. De applicatierollen komen uit de onderliggende applicatie (InTouch) in SDB Identity terecht
  3. Jij als beheerder kunt de rollen uit de Identity Provider koppelen aan de rollen uit SDB Analytics, dit doe je vanuit SDB Identity. 
    1. Indien je gebruik maakt van meerdere SDB producten kun je zelfs per rol-koppeling aangeven op welk(e) product(en) deze van toepassing is
  4. De onderliggende applicatie (InTouch) haalt de gebruikers en rollen uit Identity op

Scenario II: Je gebruikt een externe Identity Provider (IDP) én een Identity Management Systeem (IMS)

Na realiseren van dit scenario werkt het als volgt:
  1. De gebruikers en rollen komen uit het IMS in SDB Identity terecht. 
  2. De onderliggende applicatie (InTouch) haalt de gebruikers en rollen uit Identity op.
  3. De applicatierollen komen uit de onderliggende applicatie (InTouch) in SDB Identity terecht.
  4. Jij als beheerder kunt de rollen uit de Identity Provider koppelen aan de rollen uit SDB Analytics, dit doe je vanuit SDB Identity. 
    1. Indien je gebruik maakt van meerdere SDB producten kun je zelfs per rol-koppeling aangeven op welk(e) product(en) deze van toepassing is

Impersoneren in InTouch

Je kunt bepaalde gebruikers ook de mogelijkheid geven om te impersoneren, hiermee kijk je tijdelijk door de ogen van een collega, dit geldt dan voor zowel de bijbehorende rollen als kostenplaats autorisaties. Je kunt vanuit deze gebruiker ook tussen de gekoppelde rollen schakelen. 

Row-level-security

De row-level-security binnen InTouch vindt plaats op basis van kostenplaatsautorisaties die zijn doorgevoerd. Deze kostenplaatsen zijn gekoppeld aan de kostenplaatsslicer.
Deze slicer is op elke pagina binnen InTouch actief en wordt te allen tijde als eerste geladen. Hiermee worden de autorisaties doorgevoerd waarna vervolgens de daadwerkelijke content gefilterd wordt ingeladen.

Alert
Zorg dat je de autorisaties op de juiste manier toekent, dus de manier die aan je is uitgelegd. Weet je dit niet meer of heb je hulp nodig? Neem dan contact met ons op door een ticket in te dienen.

Autorisaties beheren

Via de Databroker

Navigeer naar jouw Databroker omgeving:
  1. Acceptatie: https://klantnaam.databroker.acc-sdbanalytics.nl/
  2. Productie: https://klantnaam.databroker.sdbanalytics.nl/
Volg dan deze stappen (er wordt ook e.e.a. uitgelegd in de Databroker zelf)
  1. Ga naar uploads
  2. Onder autorisatie vind je XL_GEBRUIKERS_AUTORISATIE, die kan gebruikt worden voor de autorisatiesheet
  3. Klik door en kies het Excel bestand
  4. Wanneer je op de pagina komt waar de mapping bepaald moet worden let even goed op dat de Gebruikers sheet is geselecteerd om te mappen. Dit is ook het enige sheet wat ingeladen hoeft te worden.De mapping van de kolommen in de sheet met de databroker kolommen moeten goed gezet worden, let op dat kolommen omgewisseld kunnen zijn. Bijvoorbeeld entiteit en entiteitcode.
  5. Als alles goed gemapped is kan je op de knop start import drukken.
  6. De data is nu ingeladen in de database, voor het verladen van de data dient nog een verlading te worden gestart. Wanneer dit al is ingeregeld in de nachtelijke verlading zal dit elke nacht gebeuren, anders kan SDB de autorisatie verlading starten of kun je dit zelf via Actie > Actie > LOAD_AUT
  7. Als check zou je nog kunnen kijken hoeveel regels zijn ingelezen en of dat goed lijkt te gaan, dat kan je zien in de eerste print screen wat er is ingelezen.

Via InTouch beheer

Als Beheerder navigeer je naar Beheer > Import & Export. Klik vervolgens op de knop 'Datasheet downloaden' waarna een pop-up opent. Selecteer hier 'Kostenplaats' en klik op 'Toepassen':



Je kunt het template nu aanvullen met gebruikers en bijbehorende autorisaties. Klaar? Klik op de knop 'Importeren' en selecteer het ingevulde template via de knop 'Bestand kiezen' en klik op 'Start met laden': 
 


Vervolgens navigeer je naar Beheer en Gebruiker Beheer. In dit overzicht vind je een tabel met een aantal onderdelen:
  1. Naam: dit is de gebruikersnaam (functioneel, zichtbaar voor de gebruiker zodra deze inlogt)
  2. Account: dit is het mailadres, de unieke identifier van het account




Via de SFTP server

In z'n algemeenheid werkt het als volgt:
  1. Ga naar jullie SFTP server en zoek de Autorisatiesheet.
  2. De naamgeving van het bestand is vaak “Autorisatiesheet_KLA.xlsx“, waarbij de 3 letters de afkorting van de naam van je organisatie is die de SDB Zorgt gebruikt. 
  3. Ga naar tabblad Gebruikers.

  5. Vul de AD Loginnaam, Email adres, Naam, EntiteitLabel, DefaultRole en Rolnaam in.
  6. Kopieer de LOOKUP-formule voor kolommen D, E, G en H uit de bovenliggende regel. De juiste Entiteit, EntiteitCode en RolCode zal verschijnen.

  8. Sla het bestand op en sluit het af.
  9. Ga in InTouch naar de rol Model Gebruiker en kies de tegel Actie.
  10. Start de actie Autorisatie laden (code LOAD_AUT) om de autorisatiesheet opnieuw in te laden.
  11. Ga naar je profiel-icoon rechts bovenin het scherm
  12. Ga je bij Gebruiker naar de nieuwe gebruiker.

Via een HRM systeem

Deze koppeling betreft maatwerk.

    • Related Articles

    • Starten met InTouch: een overzicht

      Introductie SDB Analytics InTouch is een Business Intelligence (BI) tool waarmee je inzicht krijgt in de prestaties van je organisatie. Op basis van verzamelde data uit systemen als elektronische cliënt- of patiëntendossiers, HR en financiële ...

    • Een nieuwe rol aanmaken in InTouch en toekennen aan eindgebruikers

      Rol aanmaken in InTouch & rol toevoegen aan autorisatie sheet (tabblad rollen) OF Rol toevoegen aan autorisatie sheet (tabblad rollen) Rol toekennen aan gebruiker via de autorisatie sheet incl. entiteit SEC tag van de rol toevoegen aan KenmerkLabel ...

    • Core

      Inleiding De Core van InTouch is de basis die bij nieuwe zorginstellingen standaard wordt geleverd. De Core van InTouch bevat: KPI's voor inzicht in de meest belangrijke processen Scorecard voor een direct inzicht van verloop in KPI waarden over de ...

    • Hoe deel ik de Power Analyse autorisatie uit aan mijn collega’s?

      Introductie Autorisatie voor de Power Analyse tegel wordt op rolniveau uitgedeeld (en dus niet op individueel eindgebruiker niveau). Dit doe je op twee plekken: bij de rol en bij de werkruimte. In dit artikel vertellen we je meer over de wijze waarop ...

    • Hoe laat ik gebruikers navigeren naar een website/intranet site buiten InTouch?

      Introductie Aan de rechterkant van InTouch kan een snelmenu weergegeven worden. Dit snelmenu bestaat vaak uit links naar Power BI rapporten en als favoriet gemarkeerde pagina's. Het is ook mogelijk om een link naar een website of intranet op te nemen ...