Mijn Communities
Help

Stap nu over op het nieuwe inloggen via 2 factor authenticatie (2FA) voor Professionals

door Léon van Berkel (Bijgewerkt ‎15-02-2023 15:45 door Léon van Berkel VISMA )

Voor medewerkers en managers (zonder certificaat) is het nieuwe inloggen al geruime tijd in gebruik. Nu wordt het tijd dat de ‘professional’ (level 2) gebruikers, die inloggen mét certificaat, gaan overstappen.  

 

Het nieuwe inloggen voor de professionals wordt vanaf woensdag 8 februari 2023 beschikbaar gesteld en vanaf woensdag 8 maart 2023 (was oorspronkelijk 1 maart 2023) moeten alle professionals over zijn gegaan naar de nieuwe manier van inloggen.

 

Waarom doen wij dit?

Wij baseren ons inlog beleid op de ‘NIST 800-63’ standaard. Deze toegangsbeveiliging standaard wordt onderschreven door de Nederlandse overheid en aanbevolen door veiligheidsexperts van Visma.

 

Wat verwachten wij van jou?
Elke ‘Professional’ gebruiker logt straks in met een combinatie van:

  • gebruikersnaam@onyouforce.com
  • wachtwoord én
  • een tweede factor (zoals bijvoorbeeld de PingID app).

Dit betekent dat je  vanaf woensdag 8 februari 2023 als professioneel gebruiker een (nieuw) tussenscherm te zien krijgt waar je de volgende instructies moet volgen, zie hiervoor de bijgevoegde handleiding "Inloggen 2FA authenticatie voor Professionals" .


Moet je gelijk de instructies opvolgen?

Aangezien we per woensdag 8 maart 2023 officieel overgaan naar het nieuwe inloggen, is het voor de gebruiker noodzakelijk om de acties uiterlijk voor woensdag 8 maart 2023 uit te voeren. 

 

Dit hoef je echter niet gelijk op woensdag 8 februari te doen. 

 

Lukt het niet op het moment dat je wilt inloggen? Kies dan voor ‘Ik doe het later’. 

Bekijk ook de instructies: zie hiervoor de bijgevoegde handleiding "Inloggen 2FA authenticatie voor Professionals" .

 

Wat is de rol van de beheerder?
Wil jij dat jouw professionals alle mogelijkheden van Youforce optimaal gebruiken, zowel nu als in de toekomst, maak dan zo spoedig mogelijk de overstap.

  • Activeer jouw Onyouforce account vanaf 8 februari 2023. Zie hiervoor de instructies in de bijlage voor het inloggen zonder certificaat.
  • Pas eventuele (interne) handleidingen aan
  • Pas eventuele snelkoppelingen aan
  • Communiceer deze nieuwe instructies binnen je organisatie

Wat kun je nog meer van ons verwachten?
In dit bericht vind je ook de algemene handleiding voor de beheerder zodat jouw organisatie zo soepel mogelijk kan overstappen naar de nieuwe manier van inloggen. Houd onze Community in de gaten voor mogelijke updates over de te volgen stappen.

 

Heb je in de tussentijd toch vragen over het nieuwe inloggen? Neem dan contact op met jouw contactpersoon binnen Visma YouServe.

 

Update woensdag 1 februari 2023: veelgestelde vragen voor beheerders

U kunt veelgestelde vragen en antwoorden lezen via dit kennisbank artikel.

 

Update vrijdag 3 februari 2023: wat ziet de gebruiker vanaf woensdag 8 februari 2023?

Vanaf woensdag 8 februari 2023 werkt het als volgt voor de gebruikers met een certificaat:

 

Keuze 0: initieel inloggen

  • Je logt in via "oude" url door te klikken op tegel Inloggen Youforce certificaat (login1.youforce.biz), gebruik makend van certificaat, usernaam en wachtwoord
  • Je besluit als gebruiker (optionele keuze tot 8 maart 2023) om te migreren naar 2FA (via nieuw tussenscherm)
  • Na uitvoeren van de instructies wordt je ingelogd

De gebruiker kan bij een volgende keer inloggen via ons aanmeldscherm (youserve.nl/inloggen of nog via oude inlogpagina vismaraet.nl/inloggen) tijdelijk nog kiezen voor twee keuze-opties. 

 

De tegel Mijn YouServe support zullen wij binnenkort verder bij je introduceren. Deze tegel is nu niet relevant voor dit onderwerp.

 

LonvanBerkel_1-1675435333470.png

 

Keuze 1a: volgende keer inloggen, nieuwe url (goede keuze)

Keuze 1b: volgende keer inloggen, oude url (verkeerde, tijdelijke keuze)

  • Je logt in via oude url, Inloggen Youforce certificaat (login1.youforce.biz)
  • Je wordt gedetecteerd als een reeds gemigreerde gebruiker en ziet onderstaand scherm:

LonvanBerkel_0-1675435273159.png

 

  • Je logt in na klikken op "Nieuwe inloggen Youforce".
  • De gebruiker wordt nu altijd omgeleid naar de nieuwe url (https://admin.youforce.com/yf-login/) door op deze tegel in dit scherm te klikken.

Let op: je kan dus, na migratie, niet meer via oude url werken in combinatie met een certificaat!

Dat is uiteraard ook de bedoeling.

 

Update woensdag 15 februari 2023: Engelse werkinstructie beschikbaar

Er is nu ook een Engelse werkinstructie beschikbaar voor het overstappen naar 2FA inloggen voor professional (level 2) gebruikers , ga hiervoor naar "Manual 2 factor authentication login for Professionals".

40 Opmerkingen
door Léon van Berkel

Let op:  woensdag 1 maart 2023 is in bovenstaand artikel gewijzigd in woensdag 8 maart 2023. 

door Léon van Berkel (Bijgewerkt ‎01-02-2023 14:02 door Léon van Berkel VISMA )

Link naar kennisbankartikel " veelgestelde vragen voor beheerders" is toegevoegd onderaan het artikel.

Frank25
CONTRIBUTOR **
door Frank25

Werkt dit ook pas vanaf 8 februari ?  Als ik nu bij een IC gebruiker een geboortedatum wil toevoegen kan ik wel de omschreven stapjes doorlopen maar wordt het e-mail adres niet opgeslagen en kan ik dus ook niet verder met de procedure.

jae_vink
CONTRIBUTOR **
door jae_vink

Kan ik hieruit opmaken dat het voortijdig handmatig aanmaken van de (al bestaande) IC gebruikers niet meer nodig is en dat dit automatisch gebeurt vanaf 8 februari (dus ze krijgen automatisch het activatie scherm en daarmee wordt hun 'nieuwe' account aangemaakt)?

door Léon van Berkel (Bijgewerkt ‎02-02-2023 09:27 door Léon van Berkel VISMA )

@Frank  

Het is nu ook al mogelijk om dit te activeren voor één of meerdere gebruikers via het invullen van een geboortedatum of een andere willekeurig gekozen datum, in overleg met eindgebruiker. Na activering van 2FA door eindgebruiker kan je het e-mail adres -indien gewenst- in Youforce Accountbeheer (Individual User Settings) aanpassen. Mocht dit nog niet lukken maak dan een 4Me ticket aan voor onze service-desk. Zij helpen je graag verder.

 

@jae_vink 

Ja, dat is een juiste constatering. Vanaf woensdag 8 februari 2023 kan de gebruiker -zonder interventie van de beheerder- 2FA activeren. Mijn advies is wel om alvast een gebruiker, te activeren zodat je de procedure al een keer hebt doorlopen. Je kan hier bijvoorbeeld je eigen account voor gebruiken. Na activatie van een account kan je in deze periode nog steeds, naast 2FA, ook inloggen met je certificaat.

 

 

 

jae_vink
CONTRIBUTOR **
door jae_vink

@Léon van Berkel Bedankt voor je antwoord. Ik heb inderdaad een tijdje geleden die procedure al een keer doorlopen voor mezelf als beheerder. Ik neem aan dat dit account ook gewoon actief blijft na 8 maart? Er wordt mij dan niet opnieuw om een activatie gevraagd?

door Léon van Berkel

@jae_vink 

 

 🙂 jouw aanname is terecht, er zal dan niet opnieuw om activatie gevraagd worden!

Ronald Stavorinus
CONTRIBUTOR *
door Ronald Stavorinus

@Léon van Berkel voor de zekerheid: begrijp ik goed dat medewerkers die al een account met certificaat in gebruik hebben, vanaf 8 februari zelf de activatie aan de hand van de stappen uit de werkinstructie kunnen afhandelen, zonder dat de beheerder een verificatiedatum/ code hoeft te vullen in het gebruikersscherm?

 

RonaldStavorinus_0-1675265050708.png

 

door Léon van Berkel

@Ronald Stavorinus 

Ja, dat klopt.  Vanaf woensdag 8 februari 2023 kan de gebruiker -zonder interventie van de beheerder- 2FA activeren. 

Raymond_de_Rozario
ACTIVE CONTRIBUTOR **
door Raymond_de_Rozario

Is er ook al een permanente oplossing voor het vroegtijdig uitloggen binnen de nieuwe omgeving? Als het niets te maken heeft met inactief zijn, dan ben ik van mening dat Visma nog niet kan zeggen dat gebruikers verplicht moeten overstappen. Het inloggen via een certificaat kan probleemloos zonder uitgelogd te worden. De nieuwe manier ligt ergens tussen een uur er twee uur...

door Léon van Berkel (Bijgewerkt ‎02-02-2023 14:50 door Léon van Berkel VISMA )

@Raymond_de_Rozario 

Bedankt voor je vraag - ik zie dat je eerder ook al op de community van Visma | Raet hierover vragen hebt gesteld.

 

De werking in onze configuratie is als volgt:

- Gebruikers die 3 uur inactief zijn geweest worden automatisch uitgelogd

- Gebruikers die actief zijn worden na 10 uur activiteit altijd automatisch uitgelogd

 

Er is hierbij nog één known error, namelijk na automatisch uitloggen wordt je uitgelogd met  een "sad face". Dat is niet de bedoeling, het doel is om dan het inlogscherm te tonen aan de gebruiker. Om dit op te lossen wordt nog door onze development afdeling overleg gevoerd met onze identity provider PingIdentity. Zodra hierover meer bekend is dan zullen wij hierover berichten.

 

De reden dat wij op deze wijze van inloggen overstappen, na eerder al voor de level 1 gebruikers, is uitgelegd in het artikel.

Raymond_de_Rozario
ACTIVE CONTRIBUTOR **
door Raymond_de_Rozario

@Léon van Berkel mijn ervaring is helaas anders. Zelf ben ik niet constant aan het werk binnen Youforce , maar ik ben zeker niet 3 uur inactief op een ochtend/middag en toch word ik geplaagd met een "sad face". Deze komt ook niet direct naar voren, maar pas wanneer ik schakel tussen schermen.

 

Mijn collega's van de P&O Servicedesk zijn daarentegen wél constant aan het werk binnen Youforce, maar ook zij worden nog steeds geplaagd met hetzelfde treurig kijkende icoontje...

 

Ik heb regelmatig dat ik nog wel actief ben binnen Youforce, en Reporting (power bi) heb open staan. Dan doe ik een tijdje niets in Reporting en dan word ik daar wel uit gegooid en niet uit het beginscherm of selfservice.

door Léon van Berkel

@Raymond_de_Rozario 

Bedankt voor je reply - ik adviseer je hiervoor een ticket aan te maken voor de servicedesk. Het wordt anders verwarrend voor de lezers van dit topic omdat jouw organisatie (zorginstelling) gebruik maakt van Visma | Raet software.

 

Dan kunnen zij specifiek naar jouw situatie kijken. 

Raymond_de_Rozario
ACTIVE CONTRIBUTOR **
door Raymond_de_Rozario

@Léon van Berkel ik wil dat wel doen, maar dan wordt het weer een kwestie van HAR bestanden aanleveren en voor we het weten zijn we weer een paar weken verder.

 

En wanneer wij inloggen via admin.youforce.com/yf-login/ zou het toch niet moeten uitmaken of wij Visma Raet software gebruiken?

door Léon van Berkel

@Raymond_de_Rozario 

Bedankt, Ik kan hier namelijk vanuit de community niets meer aan toevoegen.

 

Frank25
CONTRIBUTOR **
door Frank25

Vandaag niet meer mogelijk om in te loggen in Youforce.

Krijg een scherm dat ik waarschijnlijk al iets eerder geactiveerd heb en heb dus geen keuze om voorlopig op de oude manier in te loggen. Moet gebruik maken van PingID terwijl wij daar absoluut geen gebruik van willen maken omdat wij Microsoft Authenticator app gebruiken. Krijg bij wachtwoord vergeten op mijn IC account een wachtwoord reset e-mail op mijn privé e-mail adres ..... 

door Léon van Berkel

@Frank25 

Neem svp voor deze specifieke situatie contact op met onze Servicedesk. Zij helpen je graag verder.

Roelof Dries
VISMA
door Roelof Dries

@Frank25 

Fijn dat het met de hulp van Jeroen is gelukt!

Frank25
CONTRIBUTOR **
door Frank25

hoezo gelukt?  ik heb nog helemaal geen contact gehad met Servicedesk.... 

door Jeroen Westerneng

hi Frank, dan hebben we net een ander gesproken met precies het probleem dat je beschreef. 

 

Hier wat info voor jou waarmee je verder kan. En indien niet, bel als dan even als je wilt. 

 

Sommige gebruikers hebben dit nieuwe inloggen vorig jaar of zelfs het jaar daarvoor al geactiveerd en zijn het inmiddels vergeten. Hoe herken je dit? Bij deze gebruikers wordt geen wizzard gestart voor het omzetten naar het nieuwe inloggen maar verschijnt direct het scherm waar loginnaam en wachtwoord opgegeven kan worden gevolgt door het pingID scherm. Je kan hier 2 dingen doen. Weet je je wachtwoord niet meer? Klik op wachtwoord vergeten. Weet je niet meer welk device je voor PingID gebruikt? Dan kan de beheerder van de klant deze ontkoppelen middels het kennisartikel: YFN Hoe kan ik een gekoppeld apparaat ontkoppelen in Youforce Account Beheer?
 
 
Frank25
CONTRIBUTOR **
door Frank25

Ok, dan ga ik hier morgen dan mee aan de gang, heb ik de andere beheerder van ons bedrijf weer naast mij zitten 😏

Miranda Bol1
CONTRIBUTOR *
door Miranda Bol1

@Léon van Berkel mijn collega lukt het niet om haar inlogprocedure om te zetten. Als ze wil inloggen met certificaat krijgt ze:

 

MirandaBol1_0-1675844293744.png

 

 

En daarna deze…

 

MirandaBol1_1-1675844293748.png

 

Raymond_de_Rozario
ACTIVE CONTRIBUTOR **
door Raymond_de_Rozario

Een stap die ik nog niet echt duidelijk krijg: Wanneer er een nieuw professional account wordt aangemaakt, dan hoort hier eerst nog een certificaat bij. Wordt de mail dan nog steeds verstuurd met de handleiding en bijbehorende certificaat code? Als het certificaat niet geïnstalleerd hoeft te worden, dan is die mail overbodig. Kunnen jullie die ook uitzetten?

door Léon van Berkel (Bijgewerkt ‎08-02-2023 10:51 door Léon van Berkel VISMA )

@Miranda Bol1 

Na het klikken op de tegel zou je collega automatisch gelinkt moeten worden naar url admin.youforce.com/yf-login/ na klikken op tegel  "Inloggen Youforce certificaat". Mijn advies is om via Servicedesk te achterhalen waarom dit zo gebeurt (vermoeden: "niet uitgelogd in laatste sessie").

 

Los hiervan is het beste advies om na migratie voortaan te kiezen voor de tegel Inloggen Youforce. Dan zit je gelijk op de genoemde url admin.youforce.com/yf-login/

 

LonvanBerkel_0-1675848743945.png

Printscreen van scherm youserve.nl/inloggen

 

 

 

 

 

door Léon van Berkel

@Raymond_de_Rozario 

Dit klopt, dit zal later dit jaar worden aangepast. 

 

mbettinger
CONTRIBUTOR **
door mbettinger

Goedemiddag,
Als professionele gebruikers al ingelogd zijn in de professionele omgeving en vervolgen inloggen in hun medewerkeraccount (via SSO) dan zien ze via hun medewerkeraccount ook de tegels die gekoppeld zijn aan hun professioneel account. Op deze manier heeft men via het medewerkersaccount onder andere toegang tot alle personeelsdossiers. Dit is absoluut ongewenst, hoe kan dit verholpen worden?

Het is ons bekend dat je bij inloggen via een nieuwe browser wel in de medewerkersomgeving terecht komt maar in de praktijk wordt er natuurlijk niet constant alles afgesloten voordat een nieuwe sessie wordt opgestar. Hoe kunnen we dit verhelpen?

Alvast bedankt!

Raymond_de_Rozario
ACTIVE CONTRIBUTOR **
door Raymond_de_Rozario

@Léon van Berkel Ik snap dat het hele proces van certificaat aanmaken later in het jaar wordt aangepakt. Het gaat er mij om dat er nog steeds een automatische mail wordt gestuurd, waarin de installatie instructie en certificaat wachtwoord in staan. Kan het versturen van die mail worden uitgeschakeld? Dit is verwarrend voor gebruikers. Je moet dan iedere keer vertellen dat je wel een mail krijgt, maar er niets mee hoeft te doen.

door Léon van Berkel

@Raymond_de_Rozario 

Nee, in deze fase nog niet -zodra we hier meer info over kunnen geven dan zullen we dit laten weten.

 

Voorlopig advies: geef bij het aanmaken van de nieuwe gebruiker een algemeen beheer- of eigen e-mailadres op zodat deze mail niet bij de nieuwe gebruiker terecht komt. Dat is inderdaad verwarrend.

 

Na ontvangst e-mail kan je het juiste e-mail adres van de (nieuwe) eindgebruiker invoeren.

door Léon van Berkel

@mbettinger 

In de door jou geschetste volgorde -zonder uitloggen van de level 2 sessie- in combinatie met SSO tellen de rechten inderdaad op. Om dit te voorkomen moet je inderdaad je sessie afsluiten. Ik verwacht wel dat de gebruiker dit ziet op zijn eigen, trusted device/omgeving.

 

Je zou kunnen overleggen met je eigen ICT afdeling of ze SLO (Single logout) naast SSO kunnen realiseren.

 

 

 

 

 

Raymond_de_Rozario
ACTIVE CONTRIBUTOR **
door Raymond_de_Rozario

@Léon van Berkel m.b.t. SLO: wat zijn de voor- en nadelen, is het (relatief) eenvoudig te realiseren, en heeft Visma ook documentatie?

Kitty van Kleef
CONTRIBUTOR **
door Kitty van Kleef

Goedendag,

Wat ik mij nog afvroeg is het volgende:

De Professionals gaan wij overzetten naar de nieuwe manier van inloggen maar begrijp ik nu goed dat er dan GEEN certificaat meer nodig is?

Daarnaast ben ik nog zoekende m.b.t. de rest van de medewerkers. Zij hebben nu via SSO toegang tot selfservice You Force en moeten wij nu hier iets voor aanpassen in de toekomst? Of blijft dit gewoon ongewijzigd?

 

Dank en groet,

Kitty van Kleef

door Léon van Berkel

@Kitty van Kleef 

 

Er is inderdaad geen certificaat meer nodig, tijdelijk zal het certificaat nog wel aangemaakt worden. Zie hierover andere vragen en antwoorden in deze thread.

 

Ten aanzien van SSO (level 1 gebruikers, zonder certificaat), dit blijft 'gewoon ongewijzigd' 🙂

Michel Huybens
CONTRIBUTOR *
door Michel Huybens

LS,

 

Als ik voor het gebruik van PingID mijn wachtwoord wil wijzigen, hoe gaat dat in zijn werk?

 

gr

Michel

Raymond_de_Rozario
ACTIVE CONTRIBUTOR **
door Raymond_de_Rozario

@Léon van Berkel 

 

Graag zou ik nog een antwoord krijgen op mijn vraag van 16-02:

Raymond_de_Rozario_0-1677481795303.png

 

Al vast bedankt

Kitty van Kleef
CONTRIBUTOR **
door Kitty van Kleef

Beste @Léon van Berkel 

Ik heb toch nog een vraag. Is er een handleiding hoe je nu het beste een nieuw professional account kunt aanmaken?

Alle handleidingen gaan over het overstappen maar nergens vind ik informatie over hoe je nu een nieuw professional account aanmaakt?

Wij hebben nu een nieuwe P&O collega waarvoor een nieuw account is aangemaakt inclusief certificaat maar zij kan nog steeds niet inloggen en krijgt foutmelding. Hiervoor vanmorgen een ticket aangemaakt bij support.

Maar voor de toekomst zou ik graag willen weten hoe we dit kunnen voorkomen.

 

Dank alvast,

Gr. Kitty

door Léon van Berkel (Bijgewerkt ‎27-02-2023 15:07 door Léon van Berkel VISMA )

@Kitty van Kleef 

 

Deze handleiding zit als bijlage bij dit artikel, zie VYS Beheer professionele Youforce accounts met 2 factor authenticatie.pdf

In hoofdstuk 2 kan je lezen hoe je dit kan uitvoeren.

door Léon van Berkel (Bijgewerkt ‎27-02-2023 15:23 door Léon van Berkel VISMA )

@Raymond_de_Rozario 

 

Excuus dat ik jouw nieuwe vraag over het hoofd gezien heb.

Het gegeven antwoord is volgens mij voor een andere klant/gebruiker.

 

Ik adviseer je hierover met je interne IT afdeling te overleggen of via aanvraag van een technische consultant van ons. Vanuit deze community kunnen we je hierin niet verder adviseren, dit is namelijk afhankelijk van hoe je SSO in jouw eigen organisatie hebt ingericht.

door Léon van Berkel

@Michel Huybens 

 

Ik hoop dat ik je achterliggende vraag goed begrepen heb.

 

Een gebruiker kan via het aanklikken van "Problemen met aanmelden" (zie onder) in het inlogscherm zijn/haar gebruikersnaam opgeven.

LonvanBerkel_0-1677508065402.png

 

De gebruiker ontvangt -indien deze gebruikersnaam in onze database voorkomt- via mail een (eenmalige) code om het wachtwoord opnieuw in te stellen. Na invoeren van deze eenmalige code kan de gebruiker een nieuw wachtwoord opgeven. Aansluitend kan de gebruiker hiermee opnieuw proberen in te loggen.

sverbree
CONTRIBUTOR **
door sverbree

@Léon van Berkel Is het ook mogelijk om IC account samen te voegen met de medewerker accounts? 

Dan wordt het voor gebruikers mogelijk om in 1 keer met de juiste rechten in te loggen.

door Léon van Berkel

@sverbree 

 

Nee, dit is niet mogelijk en dat zullen we ook zo laten om het verschil tussen Level I en Level II autorisaties, bereik en roltoewijzingen te behouden.