Mijn Communities
Help

Het nieuwe inloggen - Veel gestelde vragen voor beheerders

31-01-2022 11:37 (Bijgewerkt op 12-09-2022)
  • 0 Antwoorden
  • 2 kudos
  • 1769 Weergaven

 

Inloggen algemeen

Q: Wat verandert er aan de inlogprocedure?

A:  De basis informatie over de nieuwe inlogprocedure vind je op de Visma | Raet website.

Q: Wanneer stap ik over?

A:  De basis informatie over de nieuwe inlogprocedure vind je op de Visma | Raet website.

Q: Hoe log je straks in op Youforce?

A: Dit zijn de opties:

  • Youforce accounts
    Je logt in met je gebruikersnaam, wachtwoord en - verplicht - de 2-factor authenticatie van Youforce.
  • Single Sign-On (SSO)
    Je logt in met je gebruikersnaam, wachtwoord en optioneel de 2-factor authenticatie van jouw organisatie.

Q: Wat is Single Sign-On (SSO)?

A: SSO betekent dat je dezelfde gebruikersnaam, wachtwoord en 2-factor authenticatie gebruikt voor zowel Youforce als andere applicaties binnen jouw bedrijfsomgeving. Je logt in via het inlogproces van jouw organisatie. Vaak is dat Active Directory. SSO betekent ook dat je niet nog een keer moet inloggen om andere applicaites te gebruiken als je al bent ingelogd op een systeem. Als je vanaf een bedrijfssysteem Youforce start, kun je vaak zonder opnieuw in te inloggen met Youforce werken. Dit hangt echter af van de gebruikte technologie en de inrichting van jouw bedrijfprocessen.

Q: Wat is 2-factor authenticatie?

A: Met 2-factor authenticatie bevestig je na het invullen van je gebruikersnaam en wachtwoord (iets wat je weet) je identiteit met bijvoorbeeld je telefoon (iets wat je hebt).

Q: Waarom voegt Visma | Raet verplicht 2-factor authenticatie toe aan Youforce Accounts?

A: Visma | Raet voegt verplicht 2-factor authenticatie toe voor extra beveiliging van Youforce. Wij voegen deze controle toe voor een optimale bescherming van de persoonsgegevens van jouw organisatie en zodat de je blijft voldoen aan de eisen van de Europese privacywet AVG.

Youforce zit namelijk vol met gevoelige persoonsgegevens als burgerservicenummers, verzuiminformatie, salarisinformatie, et cetera. De AVG verplicht tot het nemen van beveiligingsmaatregelen, ‘rekening houdend met de stand van de techniek’. Dit betekent vandaag de dag: inloggen mét een 2-factor authenticatie.

De toegangsbeveiliging is een gedeelde verantwoordelijkheid. Bij het inloggen via Youforce accounts ligt er een grote rol voor veilig inloggen bij Visma | Raet. Zo vereist Visma | Raet al jaren een 2-factor authenticatie voor HR Professionals in de vorm van een certificaat.

Tot voor kort was 2-factor authenticatie inloggen via Youforce Accounts voor medewerker en managers optioneel. Door toegenomen risico's en nieuwe beveiligingstechnieken wordt ook de toegang van medewerkers en managers via Youforce Accounts verplicht met 2-factor authenticatie beveiligd. Op deze manier blijft je ook als klant voldoen aan de AVG.

Q: Wij willen geen 2-factor authenticatie voor medewerkers en managers. Wat nu?

A: Als jullie geen 2-factor authenticatie willen gebruiken, moeten jullie overstappen naar Single Sign-On (SSO). SSO biedt een grotere vrijheid maar ook een grotere verantwoordelijkheid voor jullie als klant om jullie medewerkers vellig te laten inloggen. Jullie regelen zelf de gepaste inlogbeveiliging met zijn eigen 2-factor authenticatie-oplossing in jullie inlogsysteem. Jullie kunnen als klant zelf bepalen waar en wanneer de gebruiker met een 2-factor authenticatie moet inloggen. Zo kun je inlogsystemen inregelen dat medewerkers alleen buiten het bedrijfsnetwerk via een 2-factor authenticatie moeten inloggen.

We kunnen, indien gewenst, jullie zo laat mogelijk migreren. Dit geeft de mogelijkheid over te stappen als jullie IT infrastructuur SSO nog niet ondersteund. Zie 'Wij willen op een specifiek moment overstappen, kan dat?'

Q: Welke inlogmethode adviseert Visma | Raet?

A: Visma | Raet adviseert je om SSO te gebruiken voor toegang tot Youforce. Dit geeft de beste gebruikerservaring: 

  • Eén login voor alle applicaties
    Slechts één keer inloggen om toegang te krijgen tot verschillende applicaties.
  • Eén 2-factor authenticatie voor alle applicaties
    Geen verschillende apps op je telefoon of desktop.
  • Centraal beveiligingsbeleid
    Slechts op één applicatie moet het beveiligingsbeleid worden onderhouden.
  • Tijdbesparing
    Ook bespaart het de applicatiebheerders veel tijd voor het afhandelen van inlogproblemen door vergeten gebruikersnamen en wachtwoorden.

Q: Wat is het verschil tussen Youforce accounts en Single Sign-On?

A: De verschillen:

Bij Youforce accounts regelt Visma | Raet de toegangsbeveiliging inclusief de 2-factor authenticatie.

  • De 2-factor authenticatie is beperkt tot Youforce.
  • De 2-factor authenticatie is verplicht.
  • Visma | Raet bepaalt welke soorten 2-factor authenticatie worden gebruikt.
  • Visma | Raet bepaalt wanneer de 2-factor authenticatiewordt gebruikt.

Bij Single Sign-On regelt de klant de inlogbeveiliging inclusief de 2-factor authenticatie:

  • De 2-factor authenticatie geldt in principe voor de volledige klantomgeving: webmail, Youforce, et cetera. De klant bepaalt welke applicaties 2-factor authenticatie hebben.
  • De 2-factor authenticatie is niet verplicht maar wordt geadviseerd voor een optimaal beveiligingsniveau.
  • De klant bepaalt welke soorten 2-factor authenticatie de gebruikers kunnen gebruiken.
  • De klant bepaalt wanneer de 2-factor authenticatie wordt gebruikt.

Q: Kan ik Youforce accounts in combinatie met Single Sign-On gebruiken?

A: Ja, je kunt binnen één omgeving zowel Youforce accounts als SSO toepassen. Ook kan een medewerker zowel via SSO als Youforce accounts inloggen.

Q: Werkt de mobiele Youforce app ook met het nieuwe inloggen?

A: Ja, je kunt zowel via Youforce accounts als via Single Sign-On inloggen op de mobiele Youforce app. Die beschikbaar is voor iOS en Android van HR Core Beaufort Online klanten. Single Sign-On ondersteuning is nieuw ten op zichte van de oude oplossing voor inloggen.

Q: Wat verandert er nog meer?

A: Naast de introductie van de verplichte 2-factor authenticatie, veranderen de volgende zaken:

  • XSSO wordt vervangen door SSO op basis van SAML of OpenID Connect.
  • TLS 1.2 verplicht. Dit is het beveiligingsniveau tussen Youforce en jouw bedrijfsomgeving (het ‘slotje’ in de browser).
  • De URL's om Youforce te benaderen veranderen.
  • De bestanduitwisseling applicatie (IBU) authenticeert zich ook bij Youforce en vereist een update naar de laatste versie.

Single Sign-On

Q: Hoe kunnen we SSO realiseren voor Youforce?

A: Youforce ondersteunt SAML en OpenID Connect voor het inrichten van Single Sign-On met het inlogsysteem van de klant.

De inrichting van SSO bevat veel technische stappen die waarschijnlijk door je IT afdeling of IT leverancier worden uitgevoerd. Bespreek de stappen daarom met een IT verantwoordelijke.

De samenvatting van de te nemen stappen:

  1. Je logt een 4me ticket via Serviceplein > Support voor de SSO inrichting of je hebt van Visma | Raet een (migratie) ticket gekregen
  2. Je levert de SSO configuratie van jullie identity-systeem. Dit moet iemand van jouw IT-afdeling voor je opzoeken.
  3. Visma | Raet doet de SSO inrichting van Youforce naar jullie identity-systeem
  4. Jullie doen de SSO inrichting van de klant-omgeving naar Youforce. Dit moet iemand van jouw IT-afdeling doen
  5. Je test of SSO goed werkt door met een paar gebruikers in te loggen. Doe dit samen met iemand van jouw IT-afdeling
  6. Je past eventuele links naar Youforce vanuit systemen of e-mails aan 
  7. Je koppelt alle Youforce gebruikers aan de gebruikers in jullie inlog-systeem (via het identity veld)
  8. Je informeert alle gebruikers over de nieuwe manier van inloggen

Deze stappen staan in detail beschreven in onze SSO handleiding. Lees meer...

Voor de inrichting van SSO kun je een beroep doen op onze partners. Bijvoorbeeld als je dit wilt uitbesteden of ondersteuning nodig hebt.

  • Surfconext (hoger onderwijs)
  • Tools4ever (overige markten)

Voor Single Sign-On met 2-factor authenticatie hebben onze partners solide oplossingen die goed integreren met Youforce.

Q: Wat is het verschil tussen SSO, XSSO en SAML?

A: De verschillen:

  • SSO: Gebruikers kunnen na één keer inloggen zowel Youforce als andere applicaties van de organisatie gebruiken.
  • XSSO en SAML: Hiermee kun je SSO realiseren. XSSO en SAML zijn methoden / protocollen waarop Youfoce met jouw inlogsysteem communiceert.

Q: Welke Single Sign-On protocollen ondersteunt Youforce?

A: De protocollen:

  • SAML en OpenId Connect, inclusief ondersteuning van de laatste encryptie standaarden.
  • XSSO wordt niet meer ondersteund als onderdeel van het nieuwe inloggen.

Q: Werkt Single Sign-On ook met Google als Identity Provider?

A: Ja, voor de Google Business oplossing. De GSuite werkt op basis van SAML. Youforce kan dus inloggen met SAML. Het is op dit moment niet mogelijk om via je privé Google account in te loggen bij Youforce.

Q: Werkt Single Sign-On ook met Microsoft Office 365 of Azure AD als Identity Provider?

A: Microsoft Office 365 en Azure AD werken met OpenId Connect. SSO werkt dus ook in dit geval.

Q: Werkt de Youforce 2-factor authenticatie ook voor verbindingen met SSO?

A: Nee, de 2-factor authenticatie voor Youforce accounts werkt niet bij Single Sign-On verbindingen.

  • Bij SSO ligt de verantwoordelijkheid van het inloggen bij de klant. Bij Youforce accounts ligt die verantwoordelijkheid bij Visma | Raet.
    Combinatie van deze twee maakt het onduidelijk wie verantwoordelijk is voor afhandeling van eventuele inlogproblemen. Denk aan "Help! Ik kan niet meer inloggen", "Help! Ik ben mijn 2-factor authenticatie kwijt, et cetera.
  • De 2-factor authenticatie is onderdeel van een samenhangend pakket aan beveiligingsmaatregelen: wachtwoordlengte, wachtwoord verlooptijd, waarom accounts met 2-factor authenticatie worden uitgegeven, de soorten 2-factor authenticatie, herstel van verloren 2-factor authenticaties, et cetera. Het is niet mogelijk hier één specifiek onderdeel uit te nemen; je moet de maatregelen in samenhang toepassen.
  • Je wilt voorkomen dat de gebruiker te maken krijgt met dubbele 2-factor authenticatie: de 2-factor authenticatie van de klant én de 2-factor authenticatie van Youforce.

Q: Hoe beïnvloedt SSO mijn indiensttredingsproces?

A: Als onderdeel van het indiensttredingsproces moet er:

  • een gebruiker worden aangemaakt in jullie inlogsysteem (vaak Active Directory)
  • moet deze gebruiker gekoppeld worden aan de medewerker in Youforce.

Dit wordt vaak geautomatiseerd via een Identity & Access Management (IAM) systeem. Zie ook 'Kunnen we het aanmaken van gebruikers in ons inlogsysteem automatiseren?' en 'Kunnen we het koppelen van gebruikers aan medewerkers automatiseren?'

IAM systemen werken op basis van 'goedgekeurde' medewerkers in het HR Core systeem, of wel de medewerkers waarvoor het indienstredingsproces is afgerond. Het is van belang dit proces zo snel mogelijk af te ronden. In ieder geval voor de indiensttredingsdatum.
Vaak zijn er onboarding activeiten opgenomen in het het indiensttredingsproces. Denk aan het regelen van de lease auto, de toegangspas, et cetera. Soms lopen deze activeiten zelfs door tot na de daadwerkelijke indiensttreding met als gevolg dat de medewerker geen toegang heeft tot Youforce en andere IT-systemen. Om dit te voorkomen, moeten deze onboardingsactiveiten worden ondergebracht in een speciaal onboardingsproces.

Soms moeten toekomstige medewerkers al voor hun daadwerkelijke indiensttreding toegang hebben tot Youforce of één van haar partnermodules. In dit geval moet je zorgen dat gebruikers op tijd kunnen inloggen.

Een Visma | Raet consultant kan je helpen bij de aanpassingen van dit proces. Neem hiervoor contact op met uw account manager.

Q: Hoe beïnvloedt SSO mijn uitdiensttredingsproces?

A: Bij het uitdiensttredingproces moet er vaak toegang worden geregeld voor historische medewerkers. Zie 'Hoe geef bij SSO historische medewerkers toegang tot Youforce?'

Een Visma | Raet consultant kan je helpen bij de aanpassingen van dit proces. Neem hiervoor contact op met uw account manager.

Q: Hoe koppel ik gebruikers van een inlogsysteem aan medewerkers in Youforce?

A: Na het aanmaken van de gebruiker in het klantinlogsysteem moet je deze koppelen aan de medewerker in Youforce, zodat de medewerker inzage heeft in zijn gegevens.

Dit kan op drie manieren:

  1. Per individuele gebruiker in Youforce portaalbeheer. Lees meer...
  2. Via een bulk-import zijn meerdere medewerkers tegelijkertijd aan de gebruiker te koppelen. Lees meer...
  3. Vanuit een geautomatiseerd proces via onze IAM API.
    Zie ook 'Kunnen we het koppelen van gebruikers aan medewerkers automatiseren?'

Q: Kunnen we het aanmaken van gebruikers in ons inlogsysteem automatiseren?

A: Ja, dat kan via een Identity & Access Management (IAM) systeem. Een voorbeeld is te vinden op de website van Tools4ever. Youforce heeft de benodige interfaces voor een koppeling met een IAM systeem. 

Q: Kunnen we het koppelen van gebruikers aan medewerkers automatiseren?

A: Ja, Youforce heeft een IAM API waarmee je dit kan automatiseren via een Identity & Access Manager (IAM) systeem. Een voorbeeld is te vinden op de website van Tools4ever. Youforce en Tools4ever hebben een diepgaande integratie. Zie ook 'Partner Tools4ever'. Maar ook andere systemen of scripts kunnen de API gebruiken om gebruikers uit het inlogsysteem te koppelen aan medewerkers in Youforce. 

Let op: de beschikbaarheid van de API verschilt per HR Core systeem. 

Q: Hoe geef ik bij SSO historische medewerkers toegang tot Youforce?

A: Na uitdiensttreding moeten er vaak nog HR zaken met de historische medewerker worden afgewikkeld. Meestal gaat dit om salarisstroken en jaaroverzichten. Soms gaat het echter om andere zaken.

Veel IT-afdelingen hebben ingericht dat de gebruiker standaard zijn inlogrechten verliest zodra hij uitdienst is. Daardoor kan de gebruiker, bij toepassing van SSO, na zijn uitdiensttreding niet meer in Youforce.

Er zijn drie manieren om hiermee om te gaan:

  1. Historische medewerkers kunnen niet meer inloggen. Communicatie vindt na uitdiensttreding plaats per telefoon, e-mail of post.
  2. Historische medewerkers kunnen blijven inloggen op het inlogsysteem van de klant, zoals ze gewend waren toen ze nog in dienst waren. Ze krijgen in het inlogsysteem een aangepast profiel met beperkingen waarmee ze:
    a) alleen nog toegang tot Youforce hebben
    b) hun wachtwoord niet meer hoeven te wijzigen. IAM systemen kunnen dit proces automatiseren. Zie ook 'Partner Tools4ever'
  3. Historische medewerkers krijgen een Youforce account. Vaak gebeurt dit - als onderdeel van het uitdiensttredingsproces - een aantal weken voor de daadwerkelijke uitdiensttreding. Het is mogelijk om SSO en Youforce accounts tegelijk te gebruiken, dus in de weken voor uitdiensttreding kan de gebruiker het systeem benaderen via SSO en via een Youforce account. Na uitdiensttreding echter alleen nog met Youforce account.

Opmerking: In Youforce krijgen historische medewerkers automatisch een beperkt toegangsprofiel.

Q: Waarom moet een gebruiker bij het inloggen via SSO een e-mailadres opgeven?

Via het e-mailadres bepalen wij waar de gebruiker moet inloggen. Via het domein van het e-mailadres (@klant.nl) bepalen wij dat de gebruiker moet inlogen bij het klant specifieke inlogsysteem.

Dit e-mailadres wordt op het systeem van de gebruiker opgeslagen en daarna hoeft een gebruiker het niet meer in te vullen. Bieden jullie IDP-initiatied SSO aan?

Q: Kan ik het opgeven van het e-mailadres vermijden bij het inloggen?

A: Ja, dat is mogelijk via een klantspecifieke SSO URL: https://youforce.raet.com/sso/<klantnaam>. Deze plaats je in jouw portaal. Dit staat ook bekend als 'unattended SSO'.

We adviseren je echter, dit niet toe te passen!

Q: Waarom adviseert Visma | Raet om de klantspecifieke SSO URL niet te gebruiken?

A: In veel gevallen komen gebruikers bij inloggen in Youforce op de algemene inlogpagina waar zij alsnog hun e-mailadres moeten opgeven:

  • Wanneer zij Youforce benaderen via de algemene inlogpagina, bijvoorbeeld na te hebben gezocht in Google op 'Youforce inloggen'
  • Wanneer zij een directe link krijgen uit een e-mail van Youforce
  • Wanneer zij een Youforce partner product openen
  • Wanneer zij een link van Youforce of haar partner producten als favoriet opslaan
  • Wanneer zij een rolwissel doen

Hierdoor ervaren gebruikers verschillende inlog-mogelijkheden; namelijk afhankelijk van hoe zij Youforce benaderen. Om deze verwarring te voorkomen, adviseren wij geen gebruik te maken van de klantspecifieke SSO URL's.

Q: Ik wil toch graag een klantspecifieke SSO URL. Hoe vraag ik dit aan?

A: Als je toch een klantspecifieke SSO URL wilt toepassen, kan je een ticket indienen via 4me op het Serviceplein.

Q: Onze IT-leverancier vraagt om IdP-initiated Single Sign-On, bieden jullie dit aan?

A: Nee, wij bieden geen IdP-initiated SSO aan, omdat dit een onveilige inlogmethode is.

IdP-initiated SSO is een techniek om Youforce te benaderen vanuit een inlogportaal. De gebruiker klikt in dit inlogportaal Youforce aan en is direct ingelogd. Hij hoeft dus ook geen e-mailadres op te geven. Zie Waarom moet een gebruiker bij het inloggen via SSO een e-mailadres opgeven?

Bij deze techniek kan een hacker echter relatief eenvoudig een gebruiker misleiden, zijn sessie stelen en zich vervolgens voordoen als de gebruiker.

Met een klantspecifieke SSO URL kan je functioneel hetzelfde bereiken. Deze methode is wél veilig. Zie Kan ik het opgeven van het e-mailadres vermijden bij het inloggen?

Youforce accounts

Q: Kan een gebruiker zijn wachtwoord wijzigen?

A: Ja, op het inlogscherm heeft de gebruiker de optie om het wachtwoord te wijzigen.

Q: Met welke 2-factor authenticatie-methoden werken de Youforce accounts?

A: Youforce ondersteunt:

  • Een app op de mobiele telefoon (voor Apple of Android)
  • Een app op de desktop/laptop (voor Windows of de Mac)
  • Een fysieke sleutel: Security key op basis van FIDO2 of een Yubikey

Meer informatie over deze oplossing vind je onder het kopje 'PingID'.

Q: Kan ik mijn 2-factor authenticatiemethode kiezen?

A: Nee, dat kan niet. Visma | Raet bepaalt welke 2-factor authenticatiemethoden worden ondersteund. 

Q: Kan ik meerdere 2-factor authenticatiemethoden koppelen aan één gebruiker?

A: Ja, je kunt meerdere mobiele telefoons koppelen aan je account. 

Ook kun je de verschillende methoden door elkaar gebruiken.

Q: Is voor de nieuwe 2-factor authenticatieoplossing straks een mobiel telefoonnummer nodig?

A: Nee, de oplossing werkt met meerdere methoden: een mobiele telefoon app, een desktop app of een fysieke sleutel.

Q: Waarom bieden jullie geen SMS als 2e factor meer aan?

A: Het Nationaal Cyber Security Center (NCSC) en het National Institute of Standards and Technology (NIST) adviseren internet aanbieders terughoudend te zijn met het publieke telefoonnetwerk (SMS en spraak) als authenticatiemiddel voor tweefactorauthenticatie. NCSC geeft dit advies vanwege de waarschijnlijke ontwikkelingen van dreigingen. Zo is het relatief eenvoudig SMS berichten te ondervangen. Daarnaast is SMS is gevoelig voor phishingZie factsheet Gebruik tweefactorauthenticatie van het NCSC. Bij de introductie van het nieuwe inloggen houden daarom rekening met dit advies. 

Q: Hoe koppelt een gebruiker zijn mobiele telefoon aan zijn account?

A: Bekijk deze korte video: https://www.youtube.com/watch?v=w7dh-YwsZUQ

Q: Wat als de gebruiker zijn mobiele telefoon kwijt is?

A: Als een gebruiker zijn mobiele telefoon kwijt is, kan hij via een andere 2-factor authenticatiemethode toch inloggen. Als hij geen andere methode heeft, kan hij op dit moment zijn 2-factor authenticatie herstellen via zijn beheerder. 

Q: Een nieuwe mobiele telefoon, wat nu?

A: Zolang de gebruiker zijn oude mobiele telefoon heeft, kan hij daarmee zijn nieuwe telefoon koppelen. Dit kan op de volgende manieren:

  • Vanuit de mobiele app via Apparaat wijzigen
  • Door tijdens het inloggen Instellingen te selecteren

Q: Hoe gaat de 2-factor authenticatie bij inloggen van de professional omgeving?

A: Via de app op de mobiele telefoon of met een fysieke sleutel. HR Professionals moeten echter vaker (1x per dag) hun 2-factor authenticatie bevestigen dan managers en medewerkers.

Q: Hoe vaak moeten medewerkers de 2-factor authenticatie gebruiken?

A: Als medewerkers inloggen via hetzelfde apparaat is dit één keer per 30 dagen.

Q: Kan ik een Youforce account tijdelijk blokkeren?

A: Ja, in het User account management scherm, kan je het inloggen via een Youforce account tijdelijk blokkeren.

De gebruikersnaam, wachtwoord en de 2-factor authenticatie blijven bestaan. De beheerder moet de blokkering opheffen; de gebruiker kan in dit geval niet zelf deblokkeren.

Q: Kan ik het aanmaken van Youforce accounts automatiseren?

A: Ja, dat kan een beheerder instellen. Alle nieuwe medewerkers krijgen bij onboarding automatisch een e-mail over hun account.

Q: Zijn Youforce accounts automatisch te blokkeren zodra de gebruiker via SSO kan inloggen?

A: Nee, dat is op dit moment niet mogelijk. Het is nu dus een handmatige handeling om de Youforce accounts te blokkeren nadat de Youforce gebuiker is gekoppeld aan de gebruiker in het inlogsysteem van de klant.

Q: Kunnen we Youforce accounts verhuizen naar een andere omgeving?

Nee, dit wordt niet ondersteund.

Als gebruikers door bijvoorbeeld een fusie of splitsing naar een andere omgeving moeten verhuizen, moeten zij een nieuwe gebruikersnaam, wachtwoord en 2-factor authenticatie koppelen.

Je kunt de impact voor de eindgebruikers wél minimaliseren door over te stappen op Single Sign On.

Overstappen naar het nieuwe inloggen

Q: Wij gebruiken XSSO, wat betekent het nieuwe inloggen voor ons?

A: Het oude XSSO protocol vervangen door een modern protocol: SAML of OpenID Connect. Daarnaast verandert het adres waarop jullie gebruikers Youforce benaderen.

De stappen zijn als volgt:

  • Jullie contactpersoon krijgt van Visma | Raet een ticket toegekend voor de migratie van XSSO. Dit ticket is te benaderen via Serviceplein > Support
  • Samen met Visma | Raet volg je de stappen die nodig zijn voor een reguliere SSO inrichting. Zie FAQ-item Hoe kunnen we SSO realiseren voor Youforce?
  • Tot slot verwijder je XSSO uit je identity systeem (IT afdeling van de klant). Hierna kunnen gebruikers niet meer via XSSO inloggen

Q: Wij gebruiken SAML, wat betekent het nieuwe inloggen voor ons?

A: De SAML configuratie vernieuwen. Daarnaast verandert het adres waarop jullie gebruikers Youforce benaderen.

De stappen zijn als volgt:

  • Jullie contactpersoon krijgt van Visma | Raet een ticket toegekend voor de migratie van SAML. Dit ticket is te benaderen via Serviceplein > Support
  • Samen met Visma | Raet volg je de stappen die nodig zijn voor een reguliere SSO inrichting. Zie FAQ-item Hoe kunnen we SSO realiseren voor Youforce?
  • Tot slot verwijder je de oude SSO configuratie uit je identity systeem

Q: Wij gebruiken Youforce accounts en willen overstappen op SSO. Hoe gaat dit in zijn werk?

De stappen zijn als volgt:

  • Jullie contactpersoon krijgt van Visma | Raet een ticket toegekend voor de migratie van Youforce accounts. Dit ticket is te benaderen via Serviceplein > Support
  • Je geeft in het ticket aan dat je wilt overstappen naar Single Sign-on
  • Samen met Visma | Raet volg je de stappen die nodig zijn voor een reguliere SSO inrichting. Zie FAQ-item Hoe kunnen we SSO realiseren voor Youforce?
  • Je deactiveert de oude Youforce accounts
    Dit doe je via het Youforce portaal. Je kunt binnenkort inloggen en de oude Youforce accounts uitschakelen.

Q: Wij gebruiken Youforce accounts en willen overstappen naar de nieuwe Youforce accounts. Hoe gaat dit in zijn werk?

A: De stappen zijn als volgt:

  • Jullie contactpersoon krijgt van Visma | Raet een ticket toegekend voor de migratie van Youforce accounts. Dit ticket is te benaderen via Serviceplein > Support
  • Visma | Raet activeert de nieuwe Youforce accounts
  • Je test de nieuwe Youforce accounts
    Via het Youforce portaal kun je enkele gebruikers binnen jouw organisatie een nieuwe Youforce account toewijzen en testen of dit goed werkt
  • Je zet de uitgifte van oude Youforce accounts uit
    Via het Youforce portaal kun je de uitgifte van de oude Youforce accounts voor nieuwe medewerkers uitzetten
  • Je activeert de nieuwe login voor alle gebruikers
    Via het Youforce portaal kun je alle gebruikers met één druk op de knop een nieuwe Youforce account geven
  • Je schakelt het inloggen via de oude Youforce accounts uit
    Dit doe je via het Youforce portaal. Je kunt binnenkort inloggen en de oude Youforce accounts voor medewerkers en managers (Level 1) uitschakelen.

De details publiceren we binnenkort in een handleiding. Berichtgeving hierover volgt spoedig.

Q: Wanneer worden wij ingepland voor de overstap?

A: De planning is afhankelijk van de beschikbare capaciteit en de klantvragen. Eind 2020 moeten alle klanten zijn overgezet.

We beginnen met XSSO configuraties omdat XSSO geen TLS 1.2 ondersteund. Het is vanuit beveiligingsoogpunt belangrijk dat oude TLS versies zo snel mogelijk worden vervangen door TLS 1.2-versies. Zie FAQ-item Waarom is TLS 1.2 verplicht?
We streven er naar alle XSSO configuraties in 2019 te hebben vernieuwd.

De uitrol van Youforce accounts voor HR Professionals plannen we vanaf de eerste helft 2020.

Q: Wij gebruiken meerdere manieren van inloggen, kunnen wij in één keer overstappen?

A: Als je meerdere manieren van inloggen gebruikt, ontvang je hiervoor ook verschillende migratie tickets. Bijvoorbeeld één voor het migreren van XSSO en een andere voor het migreren van Youforce accounts. Wij proberen deze twee migraties zo dicht mogelijk op elkaar aan te laten sluiten.

Q: Wij willen op een specifiek moment overstappen, kan dat?

A: Je kunt je verzoek indienen bij Visma | Raet. Log hiervoor een ticket in 4me via Serviceplein > Support of vraag je account manager dit namens jullie door te geven. We houden zoveel mogelijk rekening met je verzoek.

PingID

Q: Wat is PingID?

A: PingID is de 2-factor authenticatieoplossing die wij voor Youforce accounts aanbieden om gebruikers te laten inloggen via hun mobiele telefoon, hun desktop applicatie of een fysieke sleutel. Dit systeem wordt aangeboden door Ping Identity, een leverancier van oplossingen op het gebied van inloggen. Meer informatie over deze oplossing kan je vinden op deze pagina: https://www.pingidentity.com/en/platform/multi-factor-authentication.html

Deze oplossing wordt niet gebruikt voor Single Sign-On.

Q: Welke persoonsgegevens verwerkt PingID in verband met het nieuwe inloggen?

A: PingID heeft enkele technische sleutels van de gebruiker. Daarnaast verwerkt PingID het e-mailadres van de gebruiker, als hij daarvoor kiest bij het aanmaken van zijn account. Alle andere gegevens voor Youforce accounts worden opgeslagen in de data centers van Visma | Raet.

Q: Waar wordt het e-mailadres opgeslagen?

A: Dit persoonsgegeven wordt opgeslagen in Europa. Dit is conform de AVG.

Q: Hebben jullie een verwerkersovereenkomst met Ping Identity?

A: Ja, Visma | Raet heeft een formele overeenkomst.

Shared Service Centers

Q: Wat is een Shared Service Center?

A: Een Shared Service Center is een bedrijf dat de HR administratie doet voor meerdere organisaties. Dit is bijvoorbeeld een administratiekantoor in het onderwijs dat voor verschillende scholen de HR administratie doet. Maar het kan ook een grote gemeente zijn die voor de kleinere omringende gemeentes de HR administratie doet. De afdeling BPO van Visma | Raet is ook een Shared Service Center want die afdeling doet de HR afdministratie voor veel Visma | Raet klanten.

Q; Werkt Single Sign-On voor een Youforce omgeving met meerdere klanten?

A: Ja, met het nieuwe inloggen ondersteunt Visma | Raet meerdere identity providers per klantomgeving. Er zijn dus meerdere SSO koppelingen per klantomgeving.

Q: Kan ik het login systeem van ons Shared Service Center gebruiken om op verschillende klantomgevingen in te loggen?

A: Nee, dit is (nog) niet mogelijk. Elke Single Sign-On koppeling is op dit moment gekoppeld aan maximaal één klantomgeving. Deze mogelijkheid is momenteel in onderzoek.

Q: Kan - in een gedeelde omgeving - het ene deel van de organisaties gebruik maken van Single Sign-On en het andere deel van Youforce accounts?

A: Ja, dit is mogelijk. Binnen één omgeving kunnen er gebruikers zijn die inloggen via Youforce accounts en andere via Single Sign-On.

Het Shared Service Center zal voor de medewerkers die een Youfoce account nodig hebben, het activeringsproces van het account handmatig moeten starten.

Q: Kan ik het aanmaken Youforce accounts automatisch triggeren voor een specifiek bedrijf?

A: Nee, dit is nog niet mogelijk. Je kan het automatisch aanmaken van Youforce accounts alleen aanzetten voor de hele omgeving.

Q: Moet alle organisaties te gelijk overstappen naar het nieuwe inloggen?

A: Nee, je kunt organisatie voor organisatie overstappen. De bestaande inlogmethode blijft namelijk werken tot je deze uitzet.

Beveiligingsbeleid

Q: Hoe garandeert Visma | Raet veilig inloggen?

A: Visma | Raet baseert zijn inlogbeleid op de NIST 800-63. Dit is een standaard in toegangsbeveiliging die beschrijft:

  • waar wachtwoorden aan moeten voldoen
  • wanneer 2-factor authenticatie moet worden gebruikt
  • welke 2-factor authenticatie loginmethoden veilig zijn
  • hoe vaak je opnieuw moet inloggen
  • welke protocollen veilig zijn
  • hoe je gebruikersaccounts veilig uitgeeft
  • hoe je op een veilige manier Single Sign-On koppelingen maakt (federeren)

Visma | Raet heeft gekozen voor de NIST 800-63 als uitgangspunt voor toegangsbeveiliging van Youforce omdat dit een gevalideerd en samenhangend pakket is van concrete beheersmaatregelen, en staat bekend als een industrie standaard en wordt onderschreven door Nederlandse overheid.

Daarnaast is Youforce, net als de inlogprocedure, onderdeel van regelmatige audit door externe partijen. Lees meer...

Q: Hoe relateert de NIST 800-63 aan de Nederlandse overheid?

A: De Nederlandse overheid schrijft geen concrete beveilgingsmaatregelen voor maar adviseert om op basis van een gedegen risico afweging passende beveiligingsmaatregelen te treffen. Deze adviezen zijn door de Nederlandse overheid nader uitgewerkt in gepubliceerde richtlijnen en handreikingen. In dergelijke richtlijnen wordt veelvuldig verwezen naar bestaande richtlijnen, waaronder de NIST 800-63. Zie bijvoorbeeld de factsheet Gebruik tweefactorauthenticatie van het NCSC.

Het is mogelijk dat NIST 800-63 niet overeenstemming is met het toegangsbeveiligingsbeleid van jouw organisatie. We gaan graag in gesprek met je als je het idee hebt dat de nieuwe oplossing minder veilig is. Neem in dat geval contact op met je account manager. 

Daarnaast heb je via Single Sign-On wél de volledige controle én verantwoordelijkheid over de toegangsbeveiliging. We adviseren dan ook SSO toe te passen. Zie ook Welke inlogmethode adviseert Visma | Raet?' in deze FAQ.

Q: Hoe vaak moet een gebruiker zijn wachtwoord wijzigen?

A: Nooit, tenzij we ontdekken dat het wachtwoord is uitgelekt.

De NIST 800-63b beschrijft in artikel 5.1.1.2 dat het veiliger is om wachtwoorden niet te laten verlopen. Bij het verlopen van wachtwoorden hebben mensen de neiging hebben om simpele wachtwoorden te kiezen.

Q: Waarom hoeven gebruikers hun 2-factor authenticatie niet bij elke login te gebruiken?

A: Als de gebruiker inlogt via een nieuw apparaat moet hij altijd een 2-factor authenticatie gebruiken. Maar wanneer hij hetzelfde apparaat gebruikt, hoeft hij dat maar eenmaal per 30 dagen te doen. Dit maakt de applicatie toegangelijker.

Dit is vergelijkbaar met het proces op je mobiele telefoon om een app van de bank in gebruik te nemen. De eerste keer koppel je hem bijvoorbeeld via je bankpas aan je mobiel, daarna zijn de gegevens te benaderen met slechts een 1-factor auhtenticatie, bijvoorbeeld een toegangscode.

Dit is in lijn met de NIST 800-63b. Deze beschijft dat een gebruiker zich elke 12 uur moet authenticeren en dat bij een dergelijke 'her-authenticatie' een 1-factor authenticatie voldoende is. Qua beleid gaat Visma | Raet hier dus net iets verder dan wat NIST 800-63b voorschrijft.

Voor HR professionals geldt dat ze wel elke dag een 2-factor authenticatie moeten gebruiken.

Q: Kan ik eisen aan wachtwoorden en andere beveiligingsregels aanpassen?

A: Nee, dat is niet mogelijk. Voor Youforce bepaalt Visma | Raet de beveiligingsregels. Dit is een samenhangend pakket van maatregelen op basis van de NIST 800-63.

Over Single Sign-On heb je wél de volledige controle.

Q: Ondersteunt Youforce het werken van personen op dezelfde computer?

A: Ja, dat is mogelijk. Zolang ze op de gedeelde computer met verschillende user accounts werken (bijvoorbeeld als users piet@bedrijf.nl & arie@bedrijf.nl). Let op: dit zijn de user accounts van het besturingsysteem.

Het gebruik van een gedeeld user account (bijvoorbeeld de user: receptie@bedrijf.nl) leidt vrijwel altijd tot het lekken van gegevens. De kans is namelijk groot dat de medewerkers elkaars HR informatie zien.

Oorzaken

  • Het uitloggen gebeurt in de praktijk niet
  • Het sessiegedrag van de browser is niet altijd helder: "ik had de browser toch afgesloten!?" terwijl de sessie op de achtergrond actief bleef
  • Documenten als salarisstroken of contracten worden opgeslagen in de voor iedereen bereikbare download folder

Let op: Het gebruik van gedeelde computers en de inrichting daarvan is de verantwoordelijkheid van de klant.

Q: Waarom is TLS 1.2 verplicht?

A: De NIST 800-63 standaard en ook een overheidsinstantie als de Nationaal Cyber Security Centrum (NCSC) schrijven TLS 1.2 voor.

Daarnaast heeft de autoriteit Persoonsgegevens hierover een waarschuwing gegeven: als organisaties niet overstappen op TLS 1.2, lopen ze het risico niet te voldoen aan artikel 24 en 32 van de AVG. Lees meer...

Q: Is het mogelijk om een geografische of IP beperking te configureren?

A: Nee, dit is bij Youforce accounts niet mogelijk. Het is vaak wél mogelijk via Single Sign-On. Dit is echter afhankelijk van de mogelijkheden van uw identity systeem (zoals active directory).

Partner Tools4ever

Q: Hoe kan Tools4ever IT-afdelingen helpen?

A: Tools4ever is een Visma | Raet partner die IT-afdelingen kan helpen.

  • Het realiseren van Single Sign-On, met 2-factor authenticatie voor alle applicaties in het software-landschap. Dit om te voorkomen dat eindgebruikers problemen hebben met de 2-factor authenticatie van apps om toegang te krijgen tot hun diensten. Tools4ever kan dit oplossen via HelloID. Naar Tools4ever.

  • Het automatiseren van processen binnen het gebruikersbeheer die volgen op de HR processen instroom, doorstroom en uitstroom. Tools4ever automatiseert deze processen via IAM (ook bekend als UMRA). Naar Tools4ever.

Q: Kan Identity Access Management ook de processen van gebruikersbeheer Youforce automatiseren?

A: Ja, dat kan. Tools4ever kan twee processen van gebruikersbeheer automatiseren in Youforce.

  • Automatisch koppelen van gebruiker aan medewerker
  • Automatisch bijwerken van de contact gegevens van een medewerker

Let op: de beschikbaarheid van deze opties hangt af van het HR Core systeem.

Surfconext en Surf SecureID

Q: Wie is Surf?

A: SURF is een coöperatie met ruim 100 leden, in met name het hogere onderwijs.

Q: Hoe kan Surf helpen?

A: Surf biedt diverse oplossingen voor het inloggen. Inloggen via Surfconext betekent één login voor meer dan 1000 diensten. Surf SecureID is de 2-factor authenticatieoplossing. Surf biedt hier sms, tiqr (smartphone-app) of Yubikey (usb-sleutel).

Q: Waarom zou ik voor Surf kiezen?

A: SURFsecureID biedt een hoog betrouwbaarheidsniveau: de identiteit van de gebruiker wordt gecontroleerd voordat de 2-factor authenticatie kan worden gebruikt. Youforce heeft een extra veilige aansluiting op SURFsecureID. Deze is gebaseerd op NIST 800-63C standaard voor SSO koppelingen.

Publishing Date : 2/7/2020