Mijn Communities
Help
Raymond_de_Rozario
ACTIVE CONTRIBUTOR ***

Bij inloggen via SSO maakt het niet uit wat voor het @ staat

door Raymond_de_Rozario

N.a.v.  een door ons gevonden "bug" (melding https://customers-raet.4me.com/self-service/requests/39968085) is de noodzaak om idee [mijn.youforce.com] naam en youforcenummer weergev... - Visma Community alleen maar groter geworden.

 

Tijdens een typefout was ik er achter gekomen dat bij het inloggen via SSO het niet uitmaakt wat er voor het @ teken staat, zolang het maar eindigt met het juiste domein (in ons geval @MCl.nl). Ik kan bijvoorbeeld boterhammetpindakaas@MCL.nl invullen, en nog steeds worden doorgestuurd naar de juiste Youforce pagina dankzijn het correct gevulde identity veld. Helaas is het niet in een oogopslag duidelijk wie er in is gelogd. Hiervoor moeten een aantal handelingen worden gedaan, zie eerder genoemde idee.

 

Zijn er meer mensen die hier zijn achter gekomen? Zo ja, hoe hebben jullie dit gecommuniceerd naar jullie gebruikers en afgestemd met jullie Security Officers? 

 

En als het niet uitmaakt wat het voor het @-teken staat, is het direct inloggen dan wel mogelijk?

 

 


Met vriendelijke groeten,

Raymond de Rozario
Bedrijfskundig applicatiemedewerker

Medisch Centrum Leeuwarden

9 ANTWOORDEN 9

door Remco te Ronde

Goedemorgen @Raymond_de_Rozario,

 

Inmiddels krijg ik steeds meer kennis van Single Sign On en de verschillende inrichtingen die mogelijk zijn. Tot op heden ben ik in de meeste gevallen tegengekomen dat het werkt zoals ook @Ralph aangeeft. Dit is ook hoe het bij ons intern bij Visma|Raet werkt. En zo is het ook beschreven in: Nog maar één keer je e-mailadres invullen bij inloggen met Single Sign On op Mijn Youforce. Dat is eigenlijk de werkwijze die ik tot vorige week altijd ben tegengekomen.

 

Vermoedelijk, maar dit is niet mijn expertise, gebruiken jullie een oplossing zoals Citrix. Dat kan betekenen dat zodra je inderdaad bent ingelogd binnen Citrix je een actieve sessie hebt met je @mcl.nl account. Ga je dan naar Youforce dan wordt direct dit ingelogde account gebruikt. Tot op heden merkte je dat (vermoedelijk) niet omdat jullie mogelijk een organisatie specifieke URL gebruikten zoals  https://portal.youforce.com/sso/mcl/. Aan het gebruik van deze organisatie specifieke URL waren meerdere nadelen verbonden, maar inderdaad in dat geval zag je geen zogenaamde ' domain-selector' .

 

Mogelijk is het daarom voor jou relevant om het nieuwsbericht Organisatie specifieke URL voor Mijn Youforce mogelijk, maar niet geadviseerd te lezen en wellicht samen met jouw ICT afdeling een weloverwogen keuze te maken in de verschillende mogelijkheden.

Groet,

Remco te Ronde
Raymond_de_Rozario
ACTIVE CONTRIBUTOR ***

Goedemiddag @Remco te Ronde ,

 

Het klopt wij werken binnen een Citrix omgeving, en hebben daardoor een actieve sessie met het @mcl.nl account.Vanochtend heb ik gesproken met mijn leidinggevende en genoemd dat er nu ook een klantspecifieke URL voor de nieuwe omgeving is. Hierbij hebben we de genoemde punten in dit artikel besproken en komen tot de volgende conclusie dat de genoemde punten niet van toepassing zijn op ons:

 

  • Wij laten MCL-medewerkers altijd inloggen op een de klantspecifieke URL die op het Intranet staat. Voor de medisch specialisten is een andere URL beschikbaar gemaakt
  • Mails voor medewerkers van het MCL komt op hun zakelijke mailadres binnen. In deze mails staan dezelfde URL's met daarbij de tekst wie op welke link moet klikken
  • Wij maken geen gebruik van partner producten
  • Wij geven aan alleen gebruik te maken van de door ons aangeboden hyperlinks
  • Een rolwissel vindt bij ons alleen plaats binnen selfservice, niet op het hoofdscherm

 


Met vriendelijke groeten,

Raymond de Rozario
Bedrijfskundig applicatiemedewerker

Medisch Centrum Leeuwarden

Björn Sman
CHAMPION ***

door Björn Sman

Hey @Raymond_de_Rozario,

 

Ik weet dat ze bij NEDAP een cliëntendossier gebruik maken van een domain selector met organisatie keuze. Wij hebben intern hiervoor een directe link gemaakt maar misschien is dit wel netter? Zie https://www.mijnio.nl/  domain selector van NEDAP.

 

Met vriendelijke groet,

Björn Sman
Functioneel Applicatiebeheerder || Hartekamp groep
Raymond_de_Rozario
ACTIVE CONTRIBUTOR ***

Dat is het aanmeldscherm waarop je moet aanmelden wanneer je bij ons buiten het MCL domein omgaat (thuis, externe partij). Dan moeten ze als nog met dezelfde gegevens inloggen en dat is wat je wilt voorkomen en de reden waarom ik iedere ochtend de identity gegevens koppel.

 

Wat ikzelf zou doen waren er geen limieten aan technische mogelijkheden:

 

  1. Z.s.m. dit idee  oppakken
  2. Kijken of het mogelijk is om het zakelijke mailadres wat ook wordt weergegeven onder https://user.youforce.com/ op het aanmeldscherm te plaatsen wanneer iemand inlogt met een niet @onyouforce.com mailadres
    Raymond_de_Rozario_0-1699950258519.png

Op die manier heb je én de juiste informatie op het hoofdscherm en wordt op de achtergrond het juiste mailadres op de aanmeldpagina geplaatst


Met vriendelijke groeten,

Raymond de Rozario
Bedrijfskundig applicatiemedewerker

Medisch Centrum Leeuwarden

Björn Sman
CHAMPION ***

door Björn Sman

Hi @Raymond_de_Rozario,

 

Dat is inderdaad wel suf. Scherm wordt waarschijnlijk alleen gebruikt als "domain selector" zodat deze naar de juiste inlogomgeving wordt geleidt. Dan is inderdaad alles voor de @ overbodig omdat deze hier niet naar kijkt.

Met vriendelijke groet,

Björn Sman
Functioneel Applicatiebeheerder || Hartekamp groep
Raymond_de_Rozario
ACTIVE CONTRIBUTOR ***

Hee @Björn Sman ,

 

Je hebt helemaal gelijk hoor. Het gaat er alleen om dat er mensen bij kunnen zijn die een typo maken zoals ik, of gaan testen met een ander mailadres en dit zien in het overzicht. Hoe we dit dit op een eenvoudige wijze duidelijk maken?

 

 


Met vriendelijke groeten,

Raymond de Rozario
Bedrijfskundig applicatiemedewerker

Medisch Centrum Leeuwarden

Raymond_de_Rozario
ACTIVE CONTRIBUTOR ***

door Raymond_de_Rozario

Hallo @Ralph ,

 

Aan de ene kant goed om te lezen dat wij niet de enigen zijn. Wat ik bijzonder eruit vind zien is dat op het aanmeldscherm dan deze niet bestaande mailadressen staan. Wat een vertekend beeld kan geven is dat ik het mailadres van iemand anders (neem de directeur als voorbeeld) kan invullen, maar gelukkig wel als mezelf inlog. Het lijkt dan alleen erg "raar" 

 

Testen met het incognito of in-private tabblad heeft bij ons geen zin, aangezien je dan buiten de firewall/proxy omgaat en dan als nog moet inloggen.


Met vriendelijke groeten,

Raymond de Rozario
Bedrijfskundig applicatiemedewerker

Medisch Centrum Leeuwarden

Ralph
CHAMPION ***

door Ralph

@Raymond_de_Rozario  mee eens. Niet correct aanmeldscherm

Ralph_0-1699880277255.png

 

Ralph
CHAMPION ***

door Ralph

nog niet ontdekt, maar wel te simuleren. Wordt dan omgeleid op basis van netwerk ID

Ralph_0-1699878619044.png

 

Ralph_1-1699878706226.png

Blijft dus ook noodzakelijk om identity te vullen in Portaalbeheer waarschijnlijk. Niet zo als het hoort in ieder geval