Zoeken
Mijn Communities
Help

2-factor authenticatie (2FA) - Veel gestelde vragen voor beheerders

01-02-2023 11:04 (Bijgewerkt op 01-02-2023)
  • 0 Antwoorden
  • 0 kudos
  • 1087 Weergaven

Inloggen algemeen

Q: Hoe log je in op Youforce?

A: Dit zijn de opties:

  • Youforce accounts
    Je logt in met je gebruikersnaam, wachtwoord en - verplicht - de 2-factor authenticatie van Youforce.
  • Single Sign-On (SSO)
    Je logt in met je gebruikersnaam, wachtwoord en optioneel de 2-factor authenticatie van jouw organisatie.

Q: Wat is Single Sign-On (SSO)?

A: SSO betekent dat je dezelfde gebruikersnaam, wachtwoord en 2-factor authenticatie gebruikt voor zowel Youforce als andere applicaties binnen jouw bedrijfsomgeving. Je logt in via het inlogproces van jouw organisatie. Vaak is dat Active Directory. SSO betekent ook dat je niet nog een keer moet inloggen om andere applicaites te gebruiken als je al bent ingelogd op een systeem. Als je vanaf een bedrijfssysteem Youforce start, kun je vaak zonder opnieuw in te inloggen met Youforce werken. Dit hangt echter af van de gebruikte technologie en de inrichting van jouw bedrijfprocessen.

Q: Wat is 2-factor authenticatie?

A: Met 2-factor authenticatie bevestig je na het invullen van je gebruikersnaam en wachtwoord (iets wat je weet) je identiteit met bijvoorbeeld je telefoon (iets wat je hebt).

Q: Waarom voegt Visma | YouServe verplicht 2-factor authenticatie toe aan Youforce Accounts?

A: Visma | YouServe voegt verplicht 2-factor authenticatie toe voor extra beveiliging van Youforce. Wij voegen deze controle toe voor een optimale bescherming van de persoonsgegevens van jouw organisatie en zodat de je blijft voldoen aan de eisen van de Europese privacywet AVG.

 

Youforce zit namelijk vol met gevoelige persoonsgegevens als burgerservicenummers, verzuiminformatie, salarisinformatie, etc. De AVG verplicht tot het nemen van beveiligingsmaatregelen, ‘rekening houdend met de stand van de techniek’. Dit betekent vandaag de dag: inloggen mét een 2-factor authenticatie.

 

De toegangsbeveiliging is een gedeelde verantwoordelijkheid. Bij het inloggen via Youforce accounts ligt er een grote rol voor veilig inloggen bij Visma |YouServe . Zo vereist Visma | YouServe al jaren een 2-factor authenticatie voor HR Professionals in de vorm van een certificaat.

 

Tot voor kort was 2-factor authenticatie inloggen via Youforce Accounts voor medewerker en managers optioneel. Door toegenomen risico's en nieuwe beveiligingstechnieken wordt ook de toegang van medewerkers en managers via Youforce Accounts verplicht met 2-factor authenticatie beveiligd. Op deze manier blijft je ook als klant voldoen aan de AVG.

Q: Wij willen geen 2-factor authenticatie voor medewerkers en managers. Wat nu?

A: Als jullie geen 2-factor authenticatie willen gebruiken, moeten jullie overstappen naar Single Sign-On (SSO). SSO biedt een grotere vrijheid maar ook een grotere verantwoordelijkheid voor jullie als klant om jullie medewerkers veilig te laten inloggen. Jullie regelen zelf de gepaste inlogbeveiliging met zijn eigen 2-factor authenticatie-oplossing in jullie inlogsysteem. Jullie kunnen als klant zelf bepalen waar en wanneer de gebruiker met een 2-factor authenticatie moet inloggen. Zo kun je inlogsystemen inregelen dat medewerkers alleen buiten het bedrijfsnetwerk via een 2-factor authenticatie moeten inloggen.

 

We kunnen, indien gewenst, jullie zo laat mogelijk migreren. Dit geeft de mogelijkheid over te stappen als jullie IT infrastructuur SSO nog niet ondersteund. Zie 'Wij willen op een specifiek moment overstappen, kan dat?'

Q: Welke inlogmethode adviseert Visma | YouServe?

A: Visma | YouServe adviseert je om SSO te gebruiken voor toegang tot Youforce. Dit geeft de beste gebruikerservaring: 

  • Eén login voor alle applicaties
    Slechts één keer inloggen om toegang te krijgen tot verschillende applicaties.
  • Eén 2-factor authenticatie voor alle applicaties
    Geen verschillende apps op je telefoon of desktop.
  • Centraal beveiligingsbeleid
    Slechts op één applicatie moet het beveiligingsbeleid worden onderhouden.
  • Tijdbesparing
    Ook bespaart het de applicatiebheerders veel tijd voor het afhandelen van inlogproblemen door vergeten gebruikersnamen en wachtwoorden.

Q: Wat is het verschil tussen Youforce accounts en Single Sign-On?

A: De verschillen:

Bij Youforce accounts regelt Visma | YouServe de toegangsbeveiliging inclusief de 2-factor authenticatie.

  • De 2-factor authenticatie is beperkt tot Youforce.
  • De 2-factor authenticatie is verplicht.
  • Visma | YouServe bepaalt welke soorten 2-factor authenticatie worden gebruikt.
  • Visma | YouServe bepaalt wanneer de 2-factor authenticatiewordt gebruikt.

Bij Single Sign-On regelt de klant de inlogbeveiliging inclusief de 2-factor authenticatie:

  • De 2-factor authenticatie geldt in principe voor de volledige klantomgeving: webmail, Youforce, et cetera. De klant bepaalt welke applicaties 2-factor authenticatie hebben.
  • De 2-factor authenticatie is niet verplicht maar wordt geadviseerd voor een optimaal beveiligingsniveau.
  • De klant bepaalt welke soorten 2-factor authenticatie de gebruikers kunnen gebruiken.
  • De klant bepaalt wanneer de 2-factor authenticatie wordt gebruikt.

Q: Kan ik Youforce accounts in combinatie met Single Sign-On gebruiken?

A: Ja, je kunt binnen één omgeving zowel Youforce accounts als SSO toepassen. Ook kan een medewerker zowel via SSO als Youforce accounts inloggen.

Q: Kan een gebruiker zijn wachtwoord wijzigen?

A: Ja, op het inlogscherm heeft de gebruiker de optie om het wachtwoord te wijzigen.

Q: Met welke 2-factor authenticatie-methoden werken de Youforce accounts?

A: Youforce ondersteunt:

  • Een app op de mobiele telefoon (voor Apple of Android)
  • Een app op de desktop/laptop (voor Windows of de Mac)
  • Een fysieke sleutel: Security key op basis van FIDO2 of een Yubikey

Meer informatie over deze oplossing vind je onder het kopje 'PingID'.

Q: Kan ik mijn 2-factor authenticatiemethode kiezen?

A: Nee, dat kan niet. Visma | YouServe bepaalt welke 2-factor authenticatiemethoden worden ondersteund. 

Q: Kan ik meerdere 2-factor authenticatiemethoden koppelen aan één gebruiker?

A: Ja, je kunt meerdere mobiele telefoons koppelen aan je account. 

Ook kun je de verschillende methoden door elkaar gebruiken.

Q: Is voor de nieuwe 2-factor authenticatieoplossing straks een mobiel telefoonnummer nodig?

A: Nee, de oplossing werkt met meerdere methoden: een mobiele telefoon app, een desktop app of een fysieke sleutel.

Q: Waarom bieden jullie geen SMS als 2e factor meer aan?

A: Het Nationaal Cyber Security Center (NCSC) en het National Institute of Standards and Technology (NIST) adviseren internet aanbieders terughoudend te zijn met het publieke telefoonnetwerk (SMS en spraak) als authenticatiemiddel voor tweefactor authenticatie. NCSC geeft dit advies vanwege de waarschijnlijke ontwikkelingen van dreigingen. Zo is het relatief eenvoudig SMS berichten te ondervangen. Daarnaast is SMS is gevoelig voor phishing. Zie factsheet Gebruik tweefactorauthenticatie van het NCSC. Bij de introductie van het nieuwe inloggen houden daarom rekening met dit advies. 

Q: Hoe koppelt een gebruiker zijn mobiele telefoon aan zijn account?

A: Bekijk deze korte video: https://www.youtube.com/watch?v=w7dh-YwsZUQ

Q: Wat als de gebruiker zijn mobiele telefoon kwijt is?

A: Als een gebruiker zijn mobiele telefoon kwijt is, kan hij via een andere 2-factor authenticatie methode toch inloggen. Als hij geen andere methode heeft, kan hij op dit moment zijn 2-factor authenticatie herstellen via zijn beheerder. 

Q: Een nieuwe mobiele telefoon, wat nu?

A: Zolang de gebruiker zijn oude mobiele telefoon heeft, kan hij daarmee zijn nieuwe telefoon koppelen. Dit kan op de volgende manieren:

  • Vanuit de mobiele app via Apparaat wijzigen
  • Door tijdens het inloggen Instellingen te selecteren

Q: Hoe gaat de 2-factor authenticatie bij inloggen van de professional omgeving?

A: Via de app op de mobiele telefoon of met een fysieke sleutel. HR Professionals moeten echter vaker (max. 8 uur)  hun 2-factor authenticatie bevestigen dan managers en medewerkers.

Q: Hoe vaak moeten medewerkers de 2-factor authenticatie gebruiken?

A: Als medewerkers inloggen via hetzelfde apparaat is dit één keer per 30 dagen.

Q: Kan ik een Youforce account tijdelijk blokkeren?

A: Ja, in het User account management scherm, kan je het inloggen via een Youforce account tijdelijk blokkeren.

 

De gebruikersnaam, wachtwoord en de 2-factor authenticatie blijven bestaan. De beheerder moet de blokkering opheffen; de gebruiker kan in dit geval niet zelf deblokkeren.

Q: Kan ik het aanmaken van Youforce accounts automatiseren?

A: Ja, dat kan een beheerder instellen. Alle nieuwe medewerkers krijgen bij onboarding automatisch een e-mail over hun account.

Q: Zijn Youforce accounts automatisch te blokkeren zodra de gebruiker via SSO kan inloggen?

A: Nee, dat is op dit moment niet mogelijk. Het is nu dus een handmatige handeling om de Youforce accounts te blokkeren nadat de Youforce gebruiker is gekoppeld aan de gebruiker in het inlogsysteem van de klant.

PingID

Q: Wat is PingID?

A: PingID is de 2-factor authenticatie oplossing die wij voor Youforce accounts aanbieden om gebruikers te laten inloggen via hun mobiele telefoon, hun desktop applicatie of een fysieke sleutel. Dit systeem wordt aangeboden door Ping Identity, een leverancier van oplossingen op het gebied van inloggen. Meer informatie over deze oplossing kan je vinden op deze pagina: https://www.pingidentity.com/en/platform/multi-factor-authentication.html

Deze oplossing wordt niet gebruikt voor Single Sign-On.

Q: Welke persoonsgegevens verwerkt PingID in verband met het nieuwe inloggen?

A: PingID heeft enkele technische sleutels van de gebruiker. Daarnaast verwerkt PingID het e-mailadres van de gebruiker, als hij daarvoor kiest bij het aanmaken van zijn account. Alle andere gegevens voor Youforce accounts worden opgeslagen in de data centers van Visma | YouServe.

Q: Waar wordt het e-mailadres opgeslagen?

A: Dit persoonsgegeven wordt opgeslagen in Europa. Dit is conform de AVG.

Q: Hebben jullie een verwerkersovereenkomst met Ping Identity?

A: Ja, Visma | YouServe heeft een formele overeenkomst.

Beveiligingsbeleid

Q: Hoe garandeert Visma | YouServe veilig inloggen?

A: Visma | YouServe baseert zijn inlogbeleid op de NIST 800-63. Dit is een standaard in toegangsbeveiliging die beschrijft:

  • waar wachtwoorden aan moeten voldoen
  • wanneer 2-factor authenticatie moet worden gebruikt
  • welke 2-factor authenticatie login methoden veilig zijn
  • hoe vaak je opnieuw moet inloggen
  • welke protocollen veilig zijn
  • hoe je gebruikersaccounts veilig uitgeeft
  • hoe je op een veilige manier Single Sign-On koppelingen maakt (federeren)

Visma | YouServe heeft gekozen voor de NIST 800-63 als uitgangspunt voor toegangsbeveiliging van Youforce omdat dit een gevalideerd en samenhangend pakket is van concrete beheersmaatregelen, en staat bekend als een industrie standaard en wordt onderschreven door Nederlandse overheid.

 

Daarnaast is Youforce, net als de inlogprocedure, onderdeel van regelmatige audit door externe partijen. Lees meer...

Q: Hoe relateert de NIST 800-63 aan de Nederlandse overheid?

A: De Nederlandse overheid schrijft geen concrete beveilgingsmaatregelen voor maar adviseert om op basis van een gedegen risico afweging passende beveiligingsmaatregelen te treffen. Deze adviezen zijn door de Nederlandse overheid nader uitgewerkt in gepubliceerde richtlijnen en handreikingen. In dergelijke richtlijnen wordt veelvuldig verwezen naar bestaande richtlijnen, waaronder de NIST 800-63. Zie bijvoorbeeld de factsheet Gebruik tweefactorauthenticatie van het NCSC.

 

Het is mogelijk dat NIST 800-63 niet overeenstemming is met het toegangsbeveiliging beleid van jouw organisatie. We gaan graag in gesprek met je als je het idee hebt dat de nieuwe oplossing minder veilig is. Neem in dat geval contact op met je account manager. 

Daarnaast heb je via Single Sign-On wél de volledige controle én verantwoordelijkheid over de toegangsbeveiliging. We adviseren dan ook SSO toe te passen.

 

Q: Hoe vaak moet een gebruiker zijn wachtwoord wijzigen?

A: Nooit, tenzij we ontdekken dat het wachtwoord is uitgelekt.

De NIST 800-63b beschrijft in artikel 5.1.1.2 dat het veiliger is om wachtwoorden niet te laten verlopen. Bij het verlopen van wachtwoorden hebben mensen namelijk de neiging om simpele wachtwoorden te kiezen.

Q: Waarom hoeven gebruikers hun 2-factor authenticatie niet bij elke login te gebruiken?

A: Als de gebruiker inlogt via een nieuw apparaat moet hij altijd een 2-factor authenticatie gebruiken. Maar wanneer hij hetzelfde apparaat gebruikt, hoeft hij dat maar eenmaal per 30 dagen te doen. Dit maakt de applicatie toegankelijker.

 

Dit is vergelijkbaar met het proces op je mobiele telefoon om een app van de bank in gebruik te nemen. De eerste keer koppel je hem bijvoorbeeld via je bankpas aan je mobiel, daarna zijn de gegevens te benaderen met slechts een 1-factor authenticatie, bijvoorbeeld een toegangscode.

 

Dit is in lijn met de NIST 800-63b. Deze beschrijft dat een gebruiker zich elke 12 uur moet authenticeren en dat bij een dergelijke 'her-authenticatie' een 1-factor authenticatie voldoende is. Qua beleid gaat Visma | YouServe hier dus net iets verder dan wat NIST 800-63b voorschrijft.

 

Voor HR professionals geldt dat ze wel elke dag een 2-factor authenticatie moeten gebruiken.

Q: Kan ik eisen aan wachtwoorden en andere beveiligingsregels aanpassen?

A: Nee, dat is niet mogelijk. Voor Youforce bepaalt Visma | YouServe de beveiligingsregels. Dit is een samenhangend pakket van maatregelen op basis van de NIST 800-63.

Over Single Sign-On heb je wél de volledige controle.

Q: Ondersteunt Youforce het werken van personen op dezelfde computer?

A: Ja, dat is mogelijk. Zolang ze op de gedeelde computer met verschillende user accounts werken (bijvoorbeeld als users piet@bedrijf.nl & arie@bedrijf.nl). Let op: dit zijn de user accounts van het besturingssysteem.

 

Het gebruik van een gedeeld user account (bijvoorbeeld de user: receptie@bedrijf.nl) leidt vrijwel altijd tot het lekken van gegevens. De kans is namelijk groot dat de medewerkers elkaars HR informatie zien.

Oorzaken

  • Het uitloggen gebeurt in de praktijk niet
  • Het sessiegedrag van de browser is niet altijd helder: "ik had de browser toch afgesloten!?" terwijl de sessie op de achtergrond actief bleef
  • Documenten als salarisstroken of contracten worden opgeslagen in de voor iedereen bereikbare download folder

Let op: Het gebruik van gedeelde computers en de inrichting daarvan is de verantwoordelijkheid van de klant.

Q: Is het mogelijk om een geografische of IP beperking te configureren?

A: Nee, dit is bij Youforce accounts niet mogelijk. Het is vaak wél mogelijk via Single Sign-On. Dit is echter afhankelijk van de mogelijkheden van uw identity systeem (zoals active directory).

0 Kudos
Medewerkers
Actieve onderwerpen

HR Self Service - Instructie inrichten van de functionaliteit: Uitsluiten workflow

Het inrichten van de functionaliteit Uitsluiten workflow

* Voortaan gebruiken we het woord Element in plaats van Rubriek. Op deze wijze sluiten we aan bij de begripsbepaling van YouServe HR Core en Payroll Business.


In HR Self Service is het vanaf nu mogelijk om voor specifieke groepen medewerkers en managers workflow tegels uit te sluiten. Dit kan in sommige gevallen handig zijn omdat in HR Self Service alle medewerkers en managers hetzelfde activiteitenprofiel delen, wat resulteert in een consistente zichtbaarheid van de tegels. Er zijn echter gevallen waarin bepaalde groepen werknemers of managers van een bepaald bedrijf specifieke tegels niet mogen zien of gebruiken. Men wil daarom tegels selectief kunnen uitsluiten voor zowel medewerkers als managers op basis van één of meerdere condities. Deze aanpak zorgt voor een efficiënt beheer van de zichtbaarheid van de tegels, zonder telkens handmatige aanpassingen te hoeven verrichten.

Je hebt de volgende mogelijkheden om workflow tegels uit te sluiten:

  1. Sluit een workflow uit voor medewerkers door middel van één of meerdere condities door een element op werknemersniveau te gebruiken om te selecteren.
    De conditie dient aan de volgende voorwaarden te voldoen:
    - Alleen HRCore elementen met gegevenssoorten: PS = Persoonsgegevens, DV = Dienstverbandgegevens (contract) en KD = Kindgegevens) kunnen worden gebruikt. Elementen (eigen rubrieken) die alleen in Self Service bekend zijn, kunnen niet worden gebruikt;
    - Bij het gebruik van meerdere condities geldt het ‘EN’ statement. Als aan alle condities is voldaan, wordt de workflow uitgesloten;
    - Let op: Het werknemer element moet gevuld zijn. Niet aanwezige of lege werknemer elementen worden niet meegenomen in de selectie. Hierdoor zullen de workflow tegels bij deze werknemers wel te zien zijn in het startmenu;
    - Voor de waarde geldt dat je een maximum van 50 waardes die je kunt selecteren;
  2. Sluit een workflow uit voor managers op basis van werkgeversgegevens (Werkgevernummer(s)) op het niveau van de manager.

Een daarvoor geautoriseerde manager of een professional blijft de mogelijkheid hebben om een mutatie te doen voor een medewerker die is uitgesloten voor een workflow tegel. De manager of professional moet dan wel de medewerker kunnen selecteren (geautoriseerd zijn) en moet zijn geautoriseerd om de workflow tegel te zien en te selecteren.

 

Instructie inrichting uitsluiten workflow

In Self Service kun je de functionaliteit: Uitsluiten workflow dmv conditie tegel vinden onder: Beheer/Autorisatie/Uitsluiten workflow dmv conditie 

PascalMoeskops_0-1729526143426.png

 

Als je klikt op de tegel: Uitsluiten workflow dmv conditie kom je in het inrichtings- en overzichtsvenster.

PascalMoeskops_1-1729526198412.png

 

Met de knop Begin keer je weer terug naar het Beheer menu.

PascalMoeskops_2-1729526291961.png


De knop: Nieuwe workflow conditie gebruik je om een nieuwe conditie te creëren.

PascalMoeskops_3-1729526323685.png


Het zoekgedeelte kun je gebruiken als je een lange lijst hebt met ingerichte condities. Je kunt zoeken op alle aanwezige kolommen velden.

Workflow / Rol / Conditie type / Conditie / Element / Omschrijving / Waarde.

 

In het onderste gedeelte zie je de ingerichte actieve condities. 

  • Bij Workflow zie je de workflownaam waarbij de conditie actief is;
  • Bij Rol Zie je ESS=Medewerker en MGR = Manager. Dit geeft aan voor welke rol deze conditie actief is;
  • Bij conditietype kun je bij de optie medewerker (ESS) het type Element en Werkgever gebruiken. Bij de optie manager (MGR) kan alleen Werkgever worden gebruikt;
  • De conditie is altijd ‘=’ gelijk aan;
  • Bij Element wordt de Element code weergegeven. Alleen HRCore elementen kunnen hier worden gebruikt met gegevenssoort Persoon (PS), Dienstverband (DV) of Kind (KD);
  • De kolom Omschrijving geeft de Element omschrijving weer;
  • De kolom Waarde geeft de geselecteerde waarden weer waarvoor de conditie (uitsluiten van de workflow tegel) moet gaan gelden;
  • Let op! Bij het gebruik van meerdere condities geldt het ‘EN’ statement. Als aan alle condities is voldaan, is de workflow niet meer zichtbaar in het startmenu voor de medewerker.
PascalMoeskops_0-1729526686608.png

 

Hoe gaat het in zijn werk?

 
Klik op de knop: Nieuwe workflowconditie

PascalMoeskops_1-1729526738897.png

Vervolgens selecteer je de betreffende workflow waar je een uitsluiting wilt realiseren. Kies daarna bij Rol voor ESS (Medewerker) of MGR (Manager) om te bepalen voor welke rol de uitsluiting dient te worden ingericht. Hierna kun je in het veld Conditie type voor de ESS (Medewerker) gebruiken om een element te selecteren:

  1. Je selecteert eerst de betreffende workflow tegel welke je wilt gaan uitsluiten. In dit voorbeeld heet de workflow Wijzigen contracturen;
  2. Hierna selecteer je de rol Medewerker (ESS) of Manager (MGR);
    PascalMoeskops_4-1729527144351.png


    Klik op opslaan

    PascalMoeskops_5-1729527182278.png
  3. Je kunt nu bij conditie type bij de optie medewerker (ESS) het type Element en Werkgever gebruiken. Bij de optie manager (MGR) kan alleen Werkgever worden gebruikt. In dit voorbeeld kiezen we voor Element;
    PascalMoeskops_6-1729527213509.png

     

  4. Je kunt nu een Element (Rubriek) selecteren. In dit geval kiezen we voor Element Type medewerker 7393PS
    PascalMoeskops_7-1729527239279.png

     

  5. De conditie is altijd ‘=’ gelijk aan;
    PascalMoeskops_8-1729527260239.png

  6. Dit element heeft onderstaande waarden om te selecteren. We kiezen in dit voorbeeld de Waarde Stagiair. Klik op Opslaan.
    PascalMoeskops_9-1729527320209.png

    Klik op de knop Opslaan om de geselecteerde waarden te bevestigen en te bewaren. 

    De geselecteerde waarden worden getoond in het overzichtsvenster. Klik nogmaals op Opslaan om definitief te bevestigen.
    PascalMoeskops_10-1729527359921.png

  7.  De zojuist aangemaakte conditie wordt dan op deze wijze getoond in het overzichtsvenster
    PascalMoeskops_11-1729527393632.png

     

  • Vanaf nu wordt de workflow Wijzigen contracturen niet meer getoond bij alle stagiaires;
  • Je kunt hier meerdere condities creëren bij een workflow. Hierbij geldt altijd het “EN” statement. Dus aan alle condities moet worden voldaan voordat de workflow tegel wordt uitgesloten.

Het creëren van een conditie om een workflow uit te sluiten bij een Managersrol werkt op dezelfde wijze als bij een Medewerker.

 
Pascal Moeskops
VISMA
VISMA

Visma Community

Gebruiksvoorwaarden

Richtlijnen

Veelgestelde vragen

Informatie over cookies

Over Visma

Dit is Visma

Volg Visma

Blog

LinkedIn

YouServe

Website

Contact

Inloggen applicaties

Visma

Copyright 2022 Visma Community. All right reserved.

Choose your region:
Choose your Region
Go