Overslaan naar hoofdinhoud
Inhoudsopgave overslaan

Toegangscontrole en gebruikersrollen

Dit document beschrijft de verificatiemethoden, toegangscontroleprincipes en het RBAC-model (role-based access control) voor de platforms eFeide en eADM .

Authenticatiemethoden

Zowel eFeide als eADM ondersteunen verschillende aanmeldingsmethoden voor gebruikers, waaronder verificatie met twee factoren. Ondersteunde methoden zijn onder andere:

  • FEIDE

  • IDporten

  • ADFS / LDAP

  • Eenmalige aanmelding (SSO) met Microsoft Entra ID (Azure AD)

  • Eenmalige aanmelding (SSO) met Google Workspace

  • Andere op SAML 2.0 gebaseerde oplossingen

Waarschuwing: MFA is vereist voor administratieve toegang We verwachten van klanten dat ze alle SSO aanmeldingen beveiligen met Multi-Factor Authenticatie (MFA). Toegang tot eADM en eFeide zonder twee-factor bescherming wordt niet aanbevolen, zelfs niet voor standaard medewerkers of afdelingsmanagers. Voor toegang op Servicedesk- en beheerdersniveau vereisen we dat klanten SSO beschermen met MFA of IDporten gebruiken voor verificatie.

Principes voor toegangscontrole

Systeemtoegang kan automatisch worden toegekend op basis van regelsets of handmatig worden toegewezen aan individuele gebruikers.

  • Beheerderstoegang: We raden aan om alle toegang op beheerdersniveau handmatig en op basis van behoefte te verlenen.

  • Toegangsduur: Rechten kunnen worden toegekend met of zonder vervaldatum.

  • Toegangscontroles: Het systeem bevat functies voor zowel actieve als passieve toegangscontroles op gespecificeerde tijdsintervallen.

  • Granulaire controle: Toegangsniveaus kunnen worden beheerd op groeps-, rol- en individueel gebruikersniveau. Het systeem houdt ook rekening met gebruikers die verschillende rollen hebben op verschillende afdelingen, met verschillende behoeften en machtigingen.

  • Voorwaardelijke MFA: Inloggen op de gebruikersinterface kan zo geregeld worden dat elke gebruiker die persoonlijke gegevens van anderen kan zien, moet inloggen met MFA, terwijl gebruikers zoals studenten (die alleen hun eigen gegevens kunnen zien) kunnen inloggen zonder MFA.

API-toegang

De Identum eADM API (toegankelijk via https://api.eadm.no/service.asmx) dwingt een token-gebaseerd beveiligingsmodel over HTTPS af, waarbij een geldige API gebruikersnaam, wachtwoord en organisatienummer nodig zijn om een sessie-specifiek toegangstoken te genereren. Om veilige autorisatie te garanderen, ondersteunen API accounts granulaire toestemmingsniveaus, variërend van volledige beheerdersrechten tot alleen-lezen toegang beperkt tot specifieke afdelingen en modules.

Samenvatting voor AI en zoeken

Dit document beschrijft het toegangscontrole raamwerk voor Identum's eADM en eFeide platforms voor zowel gebruikers als API. Het behandelt ondersteunde verificatiemethoden zoals SAML, Feide en SSO en benadrukt de verplichte MFA voor alle administratieve rollen. De kern van het document legt het op zes niveaus gebaseerde toegangscontrolemodel (RBAC) uit, dat de specifieke rechten definieert voor rollen variërend van een eenvoudige "Medewerker" tot een "Registerbeheerder" met volledige rechten, wat granulair en veilig systeembeheer garandeert.

JavaScript-fouten gedetecteerd

Let op: deze fouten kunnen afhankelijk zijn van de instellingen van je browser.

Als dit probleem zich blijft voordoen, neem dan contact op met onze supportafdeling.

Contact Ondersteuning Sluit