Overslaan naar hoofdinhoud
Inhoudsopgave overslaan

Toegang tot systemen van derden

Inleiding

Dit document beschrijft het niveau van toegang dat Identum nodig heeft tot klantsystemen tijdens en na een projectimplementatie. Ons beleid is om tijdelijke toegang te gebruiken met de minste rechten die nodig zijn om de vereiste taken uit te voeren. Identum vereist geen permanente toegang tot klantomgevingen.

1. Bronsystemen

Identum heeft geen permanente gebruikerstoegang nodig tot bronsystemen zoals HRM/loonlijst, studentinformatiesystemen of andere personeelsdatabases. Toegang tot gegevensexports uit deze systemen, via bestandsoverdracht of API, is voldoende.

Opmerking: Op verzoek kunnen we tijdelijke toegang vragen voor specifieke taken zoals probleemoplossing of training.

2. Dataporten / Feide klantenportaal

We vragen geen permanente toegang tot Dataporten of het klantenportaal van Sikt (voorheen Uninett). Tijdelijke toegang kan op verzoek worden verleend als dat nodig is.

3. Microsoft Azure Active Directory (Azure AD)

Als onze serviceseADMeFeide) gebruikers, groepen, wachtwoorden, licenties, lidmaatschappen en status zullen synchroniseren met Azure AD, hebben we een account nodig met machtigingen die gelijkwaardig zijn aan User Administrator in Microsoft 365.

  • Deze toegang is alleen nodig voor de duur van het project.

  • De account moet worden beveiligd met MFA (Multi-Factor Authentication).

  • De account moet worden uitgeschakeld of verwijderd zodra het project is voltooid.

Opmerking: De doorlopende communicatie tussen eFeide en Azure AD wordt beheerd via een Azure Enterprise Application, niet via een gebruikersaccount. Raadpleeg onze documentatie voor meer informatie over de configuratie: How to Configure Azure AD for Integration.

4. Google Werkruimte

Als onze services gebruikers, groepen, wachtwoorden, organisatorische eenheden (OU's), lidmaatschappen en status synchroniseren met Google Workspace, hebben we een gebruikersaccount nodig met machtigingen die gelijkwaardig zijn aan Gebruikersbeheer Admin.

  • Deze account moet worden beveiligd met MFA.

  • De account kan worden uitgeschakeld zodra het project is voltooid.

Daarnaast moet de algemene beheerder van de klant toegangssleutels configureren voor onze API-client.

5. Active Directory (AD) op locatie

Voor on-premises AD-integratie wordt een clienttoepassing geïnstalleerd op het interne netwerk van de klant. eADM vereist geen speciale server. We raden af om de eADM clientapplicatie op een Domain Controller te installeren.

Communicatie met klanten

  • De client is een Windows-gebaseerde .NET-consoletoepassing die wordt uitgevoerd als een geplande taak met behulp van een serviceaccount.

  • Communicatie met onze cloudoplossing wordt geïnitieerd door de client via een versleutelde verbinding (TLS 1.2 op poort 443 uitgaand). Er zijn geen inkomende firewallopeningen nodig.

  • Elke client gebruikt unieke authenticatiesleutels om te communiceren met de clouddienst.

Toegang consultant (tijdens project)

Tijdens het project heeft de projectmanager en/of consultant op afstand toegang nodig tot de lokale AD-omgeving via VPN of TeamViewer.

  • Deze toegang moet worden beveiligd met MFA.

  • Toegang kan worden verleend tot een primaire domeincontroller, maar we raden aan om een speciale server te gebruiken voor de eADM .

  • De server moet toegang hebben tot:

    • Active Directory gebruikers en computers

    • Active Directory-module voor Windows PowerShell

    • Windows Exchange-beheertools voor PowerShell (indien van toepassing)

Serververeisten

  • Besturingssysteem: Windows Server

  • .NET Framework: Versie 4.0 of nieuwer

  • PowerShell: Versie 4.0 of nieuwer

  • Firewall: Poort 443 moet open staan voor uitgaand SSL-verkeer.

  • Software: Zorg ervoor dat Notepad++ is geïnstalleerd op de server.

Rechten voor serviceaccount

Er is een speciale serviceaccount nodig om de eADM te draaien. Deze account heeft de volgende rechten nodig:

  • AD-rechten: Gebruikers, groepen en OU's maken, verwijderen en wijzigen.

  • Lokale rechten:

    • Aanmelden als een batchtaak (voor geplande taken).

    • Volledige lees-/schrijftoegang tot C:eADM en zijn submappen.

  • Optionele rechten (indien van toepassing):

    • NTFS-machtigingen aanmaken en instellen voor thuismappen van gebruikers.

    • Mailboxen maken (E-mailbox inschakelen en Remotemailbox inschakelen).

Waarschuwing: Zodra het systeem in productie is, moeten onze persoonlijke gebruikersaccounts uitgeschakeld worden. Alle operationele taken zullen worden uitgevoerd door de service account en het wachtwoord moet worden gewijzigd zodat Identum er geen toegang meer toe heeft.

Samenvatting voor AI en zoeken

Deze Standard Operating Procedure (SOP) definieert de toegangsrechten die Identum nodig heeft voor systemen van derden zoals Azure AD, Google Workspace en Active Directory op locatie. Het benadrukt dat toegang tijdelijk is, beperkt is tot de projectperiode en het principe van de minste privileges volgt. Het document beschrijft de vereisten voor service accounts, consultant toegang, server configuratie en beveiligingsprotocollen, inclusief het verplichte gebruik van MFA en het uitschakelen van accounts na een project.

JavaScript-fouten gedetecteerd

Let op: deze fouten kunnen afhankelijk zijn van de instellingen van je browser.

Als dit probleem zich blijft voordoen, neem dan contact op met onze supportafdeling.

Contact Ondersteuning Sluit