-1760597835.webp)
Access Management – Troubleshooting en best practices
De module Access Management van de Identity & Access Management (IAM)-oplossing HelloID van Tools4ever zorgt dat bevoegde gebruikers op het juiste moment de juiste toegang krijgen. De betrouwbaarheid van de koppelingen tussen HelloID en je applicaties is dan ook van cruciaal belang. Een reeks best practices helpt je bij het waarborgen van deze betrouwbaarheid en zorgt dat je een toekomstbestendige omgeving neerzet. In dit artikel duiken we in deze best practices. Ook gaan we in op het troubleshooten van applicaties en koppelingen, zodat je eventuele problemen die toch optreden snel kunt oplossen.
Hoe laat je gebruikers inloggen?
Diverse best practices helpen je bij het optimaal inrichten van je HelloID-omgeving en de bijbehorende koppelingen. Ga je aan de slag met HelloID Access Management? Dan is een eerste belangrijke vraag hoe je gebruikers wilt laten inloggen op HelloID. Kijk daarbij niet alleen naar je huidige organisatie, maar probeer ook te anticiperen op de toekomst. Zo richt je de module toekomstbestendig in.
In veel gevallen kiezen organisaties ervoor in te loggen met Active Directory. Wil je in de komende jaren echter de overstap maken naar bijvoorbeeld Entra ID? Dan kan het interessant zijn bij het inrichten van Access Management nu alvast ervoor te kiezen via Entra ID in te loggen. In dit geval wordt ook de multi-factor authenticatie (MFA) via Entra ID geregeld, en niet via HelloID. Prettig, want het omzetten van MFA of inlogmethoden is relatief veel werk.
Welk bronsysteem gebruik je?
Naast de inlogmethode is het ook van belang te bepalen uit welk bronsysteem je gebruikers wilt inladen. Je kunt hiervoor gebruik maken van allerlei systemen, variërend van Active Directory en Entra ID tot Google Workspace. Ook is het mogelijk gebruikers direct vanuit HelloID Provisioning aan te maken.
Probeer ook in dit geval te anticiperen op toekomstige plannen. Zo is de attributenset per bronsysteem verschillend, en bijvoorbeeld in Active Directory veel groter dan in veel andere systemen. Dit kan risico’s met zich meebrengen. Stuur je bijvoorbeeld specifieke attributen van Active Directory mee indien gebruikers inloggen via Single Sign-On (SSO)? Dan kan het zijn dat het bronsysteem waarop je wilt overstappen niet over deze attributen beschikt en deze dus niet kan delen. Dit kan problemen opleveren met SSO-koppelingen.
HelloID biedt overigens ondersteuning voor meerdere identity providers (IdP’s). Dit maakt het onder meer mogelijk gebruikers uit Active Directory te synchroniseren, en tegelijkertijd met een andere IdP als Entra ID of Google Workspace in te loggen.
Wil je gebruik maken van een custom of white-label domein?
Een belangrijk aandachtspunt bij het configureren van HelloID Access Management is de domeinnaam die aan de HelloID-omgeving is gekoppeld. Het wijzigen van deze domeinnaam heeft veel voeten in aarde en kent een grote impact op onder meer SSO. Zo moeten applicaties in de meeste gevallen door de leverancier opnieuw worden gekoppeld aan HelloID. Dit brengt niet alleen werk met zich mee, maar kan ook de nodige tijd in beslag nemen. Wisselen van domeinnaam kan er dan ook toe leiden dat je SSO-koppelingen niet meer functioneren totdat de leverancier aanpassingen heeft gemaakt, wat van directe invloed kan zijn op de workflow van gebruikers.
Bedenk daarom goed of je gebruik wilt maken van de standaard domeinnaam of juist een custom- of white-labeldomein. Door deze keuze nu alvast te maken kan je HelloID Access Management in één keer goed inrichten, zodat je later niet van domeinnaam hoeft te wisselen.
Applicaties troubleshooten
Ook als je HelloID Access Management op de juiste manier hebt ingericht kan er iets fout gaan. Bijvoorbeeld doordat een applicatieleverancier wijzigingen doorvoert die van invloed zijn op de koppeling met HelloID. Of doordat er onverhoopt een foutje is geslopen in een business rule. Het troubleshooten van problemen met applicaties kan helpen de bron van het probleem op te sporen, zodat je dit zo snel mogelijk kunt verhelpen.
Problemen met webbrowsers, apparaten of netwerken
We zien in de praktijk dat veel problemen met SSO-koppelingen herleidbaar zijn naar de webbrowser, het apparaat of zelfs het netwerk van de gebruiker. Onder meer het delen van apparaten door meerdere gebruikers kan tot problemen leiden. Zo kunnen cookies gerelateerd aan andere accounts de werking van SSO-koppelingen verstoren. Ook kunnen sessies van de doelapplicatie blijven openstaan indien gebruikers niet uitloggen.
Voor het troubleshooten van problemen met applicaties is het daarom verstandig allereerst te proberen in te loggen met behulp van een zogeheten incognito-modus van een webbrowser. In deze modus slaat de browser geen cookies op en beëindigt automatisch sessies zodra je de browser sluit. Je begint dus telkens met een volledig schone lei. Lost dit de problemen op? Dan zijn de problemen hoogstwaarschijnlijk gerelateerd aan de webbrowser van de gebruiker.
Zijn de juiste rechten toegekend en attributen beschikbaar?
Een andere stap is in HelloID te controleren of de gebruiker over de juiste rechten beschikt voor het openen van de applicatie. Kijk daarnaast of de attributen die de applicatie nodig heeft om de gebruiker te laten inloggen beschikbaar zijn in je bronsysteem.
Problemen met plugins
Ervaren gebruikers problemen met een plugin? Controleer dan of gebruikers met deze plugin correct zijn ingelogd. Gebruikers moeten aan het begin van hun surfsessie altijd het SSO-dashboard bezoeken om plugins te laten inloggen, zodat deze naar behoren functioneren. Het kan daarom handig zijn de startpagina van webbrowsers in te stellen op het SSO-dashboard, zodat dit dashboard automatisch laadt zodra gebruikers de browser openen.
Problemen op de server
In sommige gevallen ligt de oorzaak van problemen niet bij de gebruiker, maar juist bij de server. Denk daarbij aan het verlopen van een SSL-certificaat dat is gekoppeld aan een SSO-applicatie. Abonneer je daarom via het ingebouwde incidentensysteem in HelloID op certificaatmeldingen, zodat je automatisch melding krijgt wanneer certificaten verlopen. Let op: indien je SSL-certificaat is verlopen moet je dit certificaat in veel gevallen samen met de leverancier of applicatiebeheerder vervangen. Veel applicaties lezen dit certificaat namelijk niet automatisch in als je deze in HelloID wijzigt.
Zorg dat je jezelf niet buitensluit
Ga je aan de slag met access rules? Wees je er dan van bewust dat foutjes in een klein hoekje zitten. Pas je de verkeerde regel aan of verwijder je een cruciale regel? Dan kan het zijn dat je jezelf buitensluit. Neem in dit geval contact op met onze servicedesk, die je kan helpen weer toegang te krijgen tot je HelloID-omgeving. Zo kan je snel weer aan de slag.
Aan de slag
Wil met HelloID Access Management aan de slag? Meer informatie over de mogelijkheden vind je op onze website. Heb je vragen? Onze experts staan voor je klaar.
Geschreven door:
Wim Bronswijk
Wim Bronswijk is dé HelloID Access Management expert bij Tools4ever. Hij heeft jarenlang HelloID geïmplementeerd bij velen klanten en is sinds een aantal jaar Domein Expert voor HelloID Access Management en beheert mede alle hardware en netwerken bij Tools4ever.