om een gepersonaliseerde navigatie te krijgen.
om een gepersonaliseerde navigatie te krijgen.
A: De basis informatie over de nieuwe inlogprocedure vind je op de Visma | Raet website.
A: De basis informatie over de nieuwe inlogprocedure vind je op de Visma | Raet website.
A: Dit zijn de opties:
A: SSO betekent dat je dezelfde gebruikersnaam, wachtwoord en 2-factor authenticatie gebruikt voor zowel Youforce als andere applicaties binnen jouw bedrijfsomgeving. Je logt in via het inlogproces van jouw organisatie. Vaak is dat Active Directory. SSO betekent ook dat je niet nog een keer moet inloggen om andere applicaites te gebruiken als je al bent ingelogd op een systeem. Als je vanaf een bedrijfssysteem Youforce start, kun je vaak zonder opnieuw in te inloggen met Youforce werken. Dit hangt echter af van de gebruikte technologie en de inrichting van jouw bedrijfprocessen.
A: Met 2-factor authenticatie bevestig je na het invullen van je gebruikersnaam en wachtwoord (iets wat je weet) je identiteit met bijvoorbeeld je telefoon (iets wat je hebt).
A: Visma | Raet voegt verplicht 2-factor authenticatie toe voor extra beveiliging van Youforce. Wij voegen deze controle toe voor een optimale bescherming van de persoonsgegevens van jouw organisatie en zodat de je blijft voldoen aan de eisen van de Europese privacywet AVG.
Youforce zit namelijk vol met gevoelige persoonsgegevens als burgerservicenummers, verzuiminformatie, salarisinformatie, et cetera. De AVG verplicht tot het nemen van beveiligingsmaatregelen, ‘rekening houdend met de stand van de techniek’. Dit betekent vandaag de dag: inloggen mét een 2-factor authenticatie.
De toegangsbeveiliging is een gedeelde verantwoordelijkheid. Bij het inloggen via Youforce accounts ligt er een grote rol voor veilig inloggen bij Visma | Raet. Zo vereist Visma | Raet al jaren een 2-factor authenticatie voor HR Professionals in de vorm van een certificaat.
Tot voor kort was 2-factor authenticatie inloggen via Youforce Accounts voor medewerker en managers optioneel. Door toegenomen risico's en nieuwe beveiligingstechnieken wordt ook de toegang van medewerkers en managers via Youforce Accounts verplicht met 2-factor authenticatie beveiligd. Op deze manier blijft je ook als klant voldoen aan de AVG.
A: Als jullie geen 2-factor authenticatie willen gebruiken, moeten jullie overstappen naar Single Sign-On (SSO). SSO biedt een grotere vrijheid maar ook een grotere verantwoordelijkheid voor jullie als klant om jullie medewerkers vellig te laten inloggen. Jullie regelen zelf de gepaste inlogbeveiliging met zijn eigen 2-factor authenticatie-oplossing in jullie inlogsysteem. Jullie kunnen als klant zelf bepalen waar en wanneer de gebruiker met een 2-factor authenticatie moet inloggen. Zo kun je inlogsystemen inregelen dat medewerkers alleen buiten het bedrijfsnetwerk via een 2-factor authenticatie moeten inloggen.
We kunnen, indien gewenst, jullie zo laat mogelijk migreren. Dit geeft de mogelijkheid over te stappen als jullie IT infrastructuur SSO nog niet ondersteund. Zie 'Wij willen op een specifiek moment overstappen, kan dat?'
A: Visma | Raet adviseert je om SSO te gebruiken voor toegang tot Youforce. Dit geeft de beste gebruikerservaring:
A: De verschillen:
Bij Youforce accounts regelt Visma | Raet de toegangsbeveiliging inclusief de 2-factor authenticatie.
Bij Single Sign-On regelt de klant de inlogbeveiliging inclusief de 2-factor authenticatie:
A: Ja, je kunt binnen één omgeving zowel Youforce accounts als SSO toepassen. Ook kan een medewerker zowel via SSO als Youforce accounts inloggen.
A: Ja, je kunt zowel via Youforce accounts als via Single Sign-On inloggen op de mobiele Youforce app. Die beschikbaar is voor iOS en Android van HR Core Beaufort Online klanten. Single Sign-On ondersteuning is nieuw ten op zichte van de oude oplossing voor inloggen.
A: Naast de introductie van de verplichte 2-factor authenticatie, veranderen de volgende zaken:
A: Youforce ondersteunt SAML en OpenID Connect voor het inrichten van Single Sign-On met het inlogsysteem van de klant.
De inrichting van SSO bevat veel technische stappen die waarschijnlijk door je IT afdeling of IT leverancier worden uitgevoerd. Bespreek de stappen daarom met een IT verantwoordelijke.
De samenvatting van de te nemen stappen:
Deze stappen staan in detail beschreven in onze SSO handleiding. Lees meer...
Voor de inrichting van SSO kun je een beroep doen op onze partners. Bijvoorbeeld als je dit wilt uitbesteden of ondersteuning nodig hebt.
Voor Single Sign-On met 2-factor authenticatie hebben onze partners solide oplossingen die goed integreren met Youforce.
A: De verschillen:
A: De protocollen:
A: Ja, voor de Google Business oplossing. De GSuite werkt op basis van SAML. Youforce kan dus inloggen met SAML. Het is op dit moment niet mogelijk om via je privé Google account in te loggen bij Youforce.
A: Microsoft Office 365 en Azure AD werken met OpenId Connect. SSO werkt dus ook in dit geval.
A: Nee, de 2-factor authenticatie voor Youforce accounts werkt niet bij Single Sign-On verbindingen.
A: Als onderdeel van het indiensttredingsproces moet er:
Dit wordt vaak geautomatiseerd via een Identity & Access Management (IAM) systeem. Zie ook 'Kunnen we het aanmaken van gebruikers in ons inlogsysteem automatiseren?' en 'Kunnen we het koppelen van gebruikers aan medewerkers automatiseren?'
IAM systemen werken op basis van 'goedgekeurde' medewerkers in het HR Core systeem, of wel de medewerkers waarvoor het indienstredingsproces is afgerond. Het is van belang dit proces zo snel mogelijk af te ronden. In ieder geval voor de indiensttredingsdatum.
Vaak zijn er onboarding activeiten opgenomen in het het indiensttredingsproces. Denk aan het regelen van de lease auto, de toegangspas, et cetera. Soms lopen deze activeiten zelfs door tot na de daadwerkelijke indiensttreding met als gevolg dat de medewerker geen toegang heeft tot Youforce en andere IT-systemen. Om dit te voorkomen, moeten deze onboardingsactiveiten worden ondergebracht in een speciaal onboardingsproces.
Soms moeten toekomstige medewerkers al voor hun daadwerkelijke indiensttreding toegang hebben tot Youforce of één van haar partnermodules. In dit geval moet je zorgen dat gebruikers op tijd kunnen inloggen.
Een Visma | Raet consultant kan je helpen bij de aanpassingen van dit proces. Neem hiervoor contact op met uw account manager.
A: Bij het uitdiensttredingproces moet er vaak toegang worden geregeld voor historische medewerkers. Zie 'Hoe geef bij SSO historische medewerkers toegang tot Youforce?'
Een Visma | Raet consultant kan je helpen bij de aanpassingen van dit proces. Neem hiervoor contact op met uw account manager.
A: Na het aanmaken van de gebruiker in het klantinlogsysteem moet je deze koppelen aan de medewerker in Youforce, zodat de medewerker inzage heeft in zijn gegevens.
Dit kan op drie manieren:
A: Ja, dat kan via een Identity & Access Management (IAM) systeem. Een voorbeeld is te vinden op de website van Tools4ever. Youforce heeft de benodige interfaces voor een koppeling met een IAM systeem.
A: Ja, Youforce heeft een IAM API waarmee je dit kan automatiseren via een Identity & Access Manager (IAM) systeem. Een voorbeeld is te vinden op de website van Tools4ever. Youforce en Tools4ever hebben een diepgaande integratie. Zie ook 'Partner Tools4ever'. Maar ook andere systemen of scripts kunnen de API gebruiken om gebruikers uit het inlogsysteem te koppelen aan medewerkers in Youforce.
Let op: de beschikbaarheid van de API verschilt per HR Core systeem.
A: Na uitdiensttreding moeten er vaak nog HR zaken met de historische medewerker worden afgewikkeld. Meestal gaat dit om salarisstroken en jaaroverzichten. Soms gaat het echter om andere zaken.
Veel IT-afdelingen hebben ingericht dat de gebruiker standaard zijn inlogrechten verliest zodra hij uitdienst is. Daardoor kan de gebruiker, bij toepassing van SSO, na zijn uitdiensttreding niet meer in Youforce.
Er zijn drie manieren om hiermee om te gaan:
Opmerking: In Youforce krijgen historische medewerkers automatisch een beperkt toegangsprofiel.
Via het e-mailadres bepalen wij waar de gebruiker moet inloggen. Via het domein van het e-mailadres (@klant.nl) bepalen wij dat de gebruiker moet inlogen bij het klant specifieke inlogsysteem.
Dit e-mailadres wordt op het systeem van de gebruiker opgeslagen en daarna hoeft een gebruiker het niet meer in te vullen. Bieden jullie IDP-initiatied SSO aan?
A: Ja, dat is mogelijk via een klantspecifieke SSO URL: https://youforce.raet.com/sso/<klantnaam>. Deze plaats je in jouw portaal. Dit staat ook bekend als 'unattended SSO'.
We adviseren je echter, dit niet toe te passen!
A: In veel gevallen komen gebruikers bij inloggen in Youforce op de algemene inlogpagina waar zij alsnog hun e-mailadres moeten opgeven:
Hierdoor ervaren gebruikers verschillende inlog-mogelijkheden; namelijk afhankelijk van hoe zij Youforce benaderen. Om deze verwarring te voorkomen, adviseren wij geen gebruik te maken van de klantspecifieke SSO URL's.
A: Als je toch een klantspecifieke SSO URL wilt toepassen, kan je een ticket indienen via 4me op het Serviceplein.
A: Nee, wij bieden geen IdP-initiated SSO aan, omdat dit een onveilige inlogmethode is.
IdP-initiated SSO is een techniek om Youforce te benaderen vanuit een inlogportaal. De gebruiker klikt in dit inlogportaal Youforce aan en is direct ingelogd. Hij hoeft dus ook geen e-mailadres op te geven. Zie Waarom moet een gebruiker bij het inloggen via SSO een e-mailadres opgeven?
Bij deze techniek kan een hacker echter relatief eenvoudig een gebruiker misleiden, zijn sessie stelen en zich vervolgens voordoen als de gebruiker.
Met een klantspecifieke SSO URL kan je functioneel hetzelfde bereiken. Deze methode is wél veilig. Zie Kan ik het opgeven van het e-mailadres vermijden bij het inloggen?
A: Ja, op het inlogscherm heeft de gebruiker de optie om het wachtwoord te wijzigen.
A: Youforce ondersteunt:
Meer informatie over deze oplossing vind je onder het kopje 'PingID'.
A: Nee, dat kan niet. Visma | Raet bepaalt welke 2-factor authenticatiemethoden worden ondersteund.
A: Ja, je kunt meerdere mobiele telefoons koppelen aan je account.
Ook kun je de verschillende methoden door elkaar gebruiken.
A: Nee, de oplossing werkt met meerdere methoden: een mobiele telefoon app, een desktop app of een fysieke sleutel.
A: Het Nationaal Cyber Security Center (NCSC) en het National Institute of Standards and Technology (NIST) adviseren internet aanbieders terughoudend te zijn met het publieke telefoonnetwerk (SMS en spraak) als authenticatiemiddel voor tweefactorauthenticatie. NCSC geeft dit advies vanwege de waarschijnlijke ontwikkelingen van dreigingen. Zo is het relatief eenvoudig SMS berichten te ondervangen. Daarnaast is SMS is gevoelig voor phishing. Zie factsheet Gebruik tweefactorauthenticatie van het NCSC. Bij de introductie van het nieuwe inloggen houden daarom rekening met dit advies.
A: Bekijk deze korte video: https://www.youtube.com/watch?v=w7dh-YwsZUQ
A: Als een gebruiker zijn mobiele telefoon kwijt is, kan hij via een andere 2-factor authenticatiemethode toch inloggen. Als hij geen andere methode heeft, kan hij op dit moment zijn 2-factor authenticatie herstellen via zijn beheerder.
A: Zolang de gebruiker zijn oude mobiele telefoon heeft, kan hij daarmee zijn nieuwe telefoon koppelen. Dit kan op de volgende manieren:
A: Via de app op de mobiele telefoon of met een fysieke sleutel. HR Professionals moeten echter vaker (1x per dag) hun 2-factor authenticatie bevestigen dan managers en medewerkers.
A: Als medewerkers inloggen via hetzelfde apparaat is dit één keer per 30 dagen.
A: Ja, in het User account management scherm, kan je het inloggen via een Youforce account tijdelijk blokkeren.
De gebruikersnaam, wachtwoord en de 2-factor authenticatie blijven bestaan. De beheerder moet de blokkering opheffen; de gebruiker kan in dit geval niet zelf deblokkeren.
A: Ja, dat kan een beheerder instellen. Alle nieuwe medewerkers krijgen bij onboarding automatisch een e-mail over hun account.
A: Nee, dat is op dit moment niet mogelijk. Het is nu dus een handmatige handeling om de Youforce accounts te blokkeren nadat de Youforce gebuiker is gekoppeld aan de gebruiker in het inlogsysteem van de klant.
Nee, dit wordt niet ondersteund.
Als gebruikers door bijvoorbeeld een fusie of splitsing naar een andere omgeving moeten verhuizen, moeten zij een nieuwe gebruikersnaam, wachtwoord en 2-factor authenticatie koppelen.
Je kunt de impact voor de eindgebruikers wél minimaliseren door over te stappen op Single Sign On.
A: Het oude XSSO protocol vervangen door een modern protocol: SAML of OpenID Connect. Daarnaast verandert het adres waarop jullie gebruikers Youforce benaderen.
De stappen zijn als volgt:
A: De SAML configuratie vernieuwen. Daarnaast verandert het adres waarop jullie gebruikers Youforce benaderen.
De stappen zijn als volgt:
De stappen zijn als volgt:
A: De stappen zijn als volgt:
De details publiceren we binnenkort in een handleiding. Berichtgeving hierover volgt spoedig.
A: De planning is afhankelijk van de beschikbare capaciteit en de klantvragen. Eind 2020 moeten alle klanten zijn overgezet.
We beginnen met XSSO configuraties omdat XSSO geen TLS 1.2 ondersteund. Het is vanuit beveiligingsoogpunt belangrijk dat oude TLS versies zo snel mogelijk worden vervangen door TLS 1.2-versies. Zie FAQ-item Waarom is TLS 1.2 verplicht?
We streven er naar alle XSSO configuraties in 2019 te hebben vernieuwd.
De uitrol van Youforce accounts voor HR Professionals plannen we vanaf de eerste helft 2020.
A: Als je meerdere manieren van inloggen gebruikt, ontvang je hiervoor ook verschillende migratie tickets. Bijvoorbeeld één voor het migreren van XSSO en een andere voor het migreren van Youforce accounts. Wij proberen deze twee migraties zo dicht mogelijk op elkaar aan te laten sluiten.
A: Je kunt je verzoek indienen bij Visma | Raet. Log hiervoor een ticket in 4me via Serviceplein > Support of vraag je account manager dit namens jullie door te geven. We houden zoveel mogelijk rekening met je verzoek.
A: PingID is de 2-factor authenticatieoplossing die wij voor Youforce accounts aanbieden om gebruikers te laten inloggen via hun mobiele telefoon, hun desktop applicatie of een fysieke sleutel. Dit systeem wordt aangeboden door Ping Identity, een leverancier van oplossingen op het gebied van inloggen. Meer informatie over deze oplossing kan je vinden op deze pagina: https://www.pingidentity.com/en/platform/multi-factor-authentication.html
Deze oplossing wordt niet gebruikt voor Single Sign-On.
A: PingID heeft enkele technische sleutels van de gebruiker. Daarnaast verwerkt PingID het e-mailadres van de gebruiker, als hij daarvoor kiest bij het aanmaken van zijn account. Alle andere gegevens voor Youforce accounts worden opgeslagen in de data centers van Visma | Raet.
A: Dit persoonsgegeven wordt opgeslagen in Europa. Dit is conform de AVG.
A: Ja, Visma | Raet heeft een formele overeenkomst.
A: Een Shared Service Center is een bedrijf dat de HR administratie doet voor meerdere organisaties. Dit is bijvoorbeeld een administratiekantoor in het onderwijs dat voor verschillende scholen de HR administratie doet. Maar het kan ook een grote gemeente zijn die voor de kleinere omringende gemeentes de HR administratie doet. De afdeling BPO van Visma | Raet is ook een Shared Service Center want die afdeling doet de HR afdministratie voor veel Visma | Raet klanten.
A: Ja, met het nieuwe inloggen ondersteunt Visma | Raet meerdere identity providers per klantomgeving. Er zijn dus meerdere SSO koppelingen per klantomgeving.
A: Nee, dit is (nog) niet mogelijk. Elke Single Sign-On koppeling is op dit moment gekoppeld aan maximaal één klantomgeving. Deze mogelijkheid is momenteel in onderzoek.
A: Ja, dit is mogelijk. Binnen één omgeving kunnen er gebruikers zijn die inloggen via Youforce accounts en andere via Single Sign-On.
Het Shared Service Center zal voor de medewerkers die een Youfoce account nodig hebben, het activeringsproces van het account handmatig moeten starten.
A: Nee, dit is nog niet mogelijk. Je kan het automatisch aanmaken van Youforce accounts alleen aanzetten voor de hele omgeving.
A: Nee, je kunt organisatie voor organisatie overstappen. De bestaande inlogmethode blijft namelijk werken tot je deze uitzet.
A: Visma | Raet baseert zijn inlogbeleid op de NIST 800-63. Dit is een standaard in toegangsbeveiliging die beschrijft:
Visma | Raet heeft gekozen voor de NIST 800-63 als uitgangspunt voor toegangsbeveiliging van Youforce omdat dit een gevalideerd en samenhangend pakket is van concrete beheersmaatregelen, en staat bekend als een industrie standaard en wordt onderschreven door Nederlandse overheid.
Daarnaast is Youforce, net als de inlogprocedure, onderdeel van regelmatige audit door externe partijen. Lees meer...
A: De Nederlandse overheid schrijft geen concrete beveilgingsmaatregelen voor maar adviseert om op basis van een gedegen risico afweging passende beveiligingsmaatregelen te treffen. Deze adviezen zijn door de Nederlandse overheid nader uitgewerkt in gepubliceerde richtlijnen en handreikingen. In dergelijke richtlijnen wordt veelvuldig verwezen naar bestaande richtlijnen, waaronder de NIST 800-63. Zie bijvoorbeeld de factsheet Gebruik tweefactorauthenticatie van het NCSC.
Het is mogelijk dat NIST 800-63 niet overeenstemming is met het toegangsbeveiligingsbeleid van jouw organisatie. We gaan graag in gesprek met je als je het idee hebt dat de nieuwe oplossing minder veilig is. Neem in dat geval contact op met je account manager.
Daarnaast heb je via Single Sign-On wél de volledige controle én verantwoordelijkheid over de toegangsbeveiliging. We adviseren dan ook SSO toe te passen. Zie ook Welke inlogmethode adviseert Visma | Raet?' in deze FAQ.
A: Nooit, tenzij we ontdekken dat het wachtwoord is uitgelekt.
De NIST 800-63b beschrijft in artikel 5.1.1.2 dat het veiliger is om wachtwoorden niet te laten verlopen. Bij het verlopen van wachtwoorden hebben mensen de neiging hebben om simpele wachtwoorden te kiezen.
A: Als de gebruiker inlogt via een nieuw apparaat moet hij altijd een 2-factor authenticatie gebruiken. Maar wanneer hij hetzelfde apparaat gebruikt, hoeft hij dat maar eenmaal per 30 dagen te doen. Dit maakt de applicatie toegangelijker.
Dit is vergelijkbaar met het proces op je mobiele telefoon om een app van de bank in gebruik te nemen. De eerste keer koppel je hem bijvoorbeeld via je bankpas aan je mobiel, daarna zijn de gegevens te benaderen met slechts een 1-factor auhtenticatie, bijvoorbeeld een toegangscode.
Dit is in lijn met de NIST 800-63b. Deze beschijft dat een gebruiker zich elke 12 uur moet authenticeren en dat bij een dergelijke 'her-authenticatie' een 1-factor authenticatie voldoende is. Qua beleid gaat Visma | Raet hier dus net iets verder dan wat NIST 800-63b voorschrijft.
Voor HR professionals geldt dat ze wel elke dag een 2-factor authenticatie moeten gebruiken.
A: Nee, dat is niet mogelijk. Voor Youforce bepaalt Visma | Raet de beveiligingsregels. Dit is een samenhangend pakket van maatregelen op basis van de NIST 800-63.
Over Single Sign-On heb je wél de volledige controle.
A: Ja, dat is mogelijk. Zolang ze op de gedeelde computer met verschillende user accounts werken (bijvoorbeeld als users piet@bedrijf.nl & arie@bedrijf.nl). Let op: dit zijn de user accounts van het besturingsysteem.
Het gebruik van een gedeeld user account (bijvoorbeeld de user: receptie@bedrijf.nl) leidt vrijwel altijd tot het lekken van gegevens. De kans is namelijk groot dat de medewerkers elkaars HR informatie zien.
Let op: Het gebruik van gedeelde computers en de inrichting daarvan is de verantwoordelijkheid van de klant.
A: De NIST 800-63 standaard en ook een overheidsinstantie als de Nationaal Cyber Security Centrum (NCSC) schrijven TLS 1.2 voor.
Daarnaast heeft de autoriteit Persoonsgegevens hierover een waarschuwing gegeven: als organisaties niet overstappen op TLS 1.2, lopen ze het risico niet te voldoen aan artikel 24 en 32 van de AVG. Lees meer...
A: Nee, dit is bij Youforce accounts niet mogelijk. Het is vaak wél mogelijk via Single Sign-On. Dit is echter afhankelijk van de mogelijkheden van uw identity systeem (zoals active directory).
A: Tools4ever is een Visma | Raet partner die IT-afdelingen kan helpen.
Het realiseren van Single Sign-On, met 2-factor authenticatie voor alle applicaties in het software-landschap. Dit om te voorkomen dat eindgebruikers problemen hebben met de 2-factor authenticatie van apps om toegang te krijgen tot hun diensten. Tools4ever kan dit oplossen via HelloID. Naar Tools4ever.
A: Ja, dat kan. Tools4ever kan twee processen van gebruikersbeheer automatiseren in Youforce.
Let op: de beschikbaarheid van deze opties hangt af van het HR Core systeem.
A: SURF is een coöperatie met ruim 100 leden, in met name het hogere onderwijs.
A: Surf biedt diverse oplossingen voor het inloggen. Inloggen via Surfconext betekent één login voor meer dan 1000 diensten. Surf SecureID is de 2-factor authenticatieoplossing. Surf biedt hier sms, tiqr (smartphone-app) of Yubikey (usb-sleutel).
A: SURFsecureID biedt een hoog betrouwbaarheidsniveau: de identiteit van de gebruiker wordt gecontroleerd voordat de 2-factor authenticatie kan worden gebruikt. Youforce heeft een extra veilige aansluiting op SURFsecureID. Deze is gebaseerd op NIST 800-63C standaard voor SSO koppelingen.
Publishing Date : 2/7/2020
Copyright 2019 Visma Community. All right reserved.