Lasso+ Authenticatie: verschil tussen versies

Uit wiki.lasso-concepten.nl

 
(10 tussenliggende versies door een andere gebruiker niet weergegeven)
Regel 6: Regel 6:
|}
|}


Het instellen van toegang tot de Lasso beheersomgeving voor medewerkers kan uitgevoerd worden binnen de deelnemerseigenschappen in de module Relaties. Er bestaat binnen de Lasso systeeminstellingen (systeemmenu) geen afzonderlijk scherm waarbinnen aanmeldaccounts beheerd kunnen worden. Zie, voor het instellen van toegang tot de Lasso beheersomgeving voor medewerkers, de paragraaf ''<u>Toegang geven tot Lasso</u>'' in de module Relaties.
Het instellen van toegang tot de Lasso beheersomgeving voor medewerkers kan uitgevoerd worden bij de eigenschappen van  de deelnemers in de module Relaties. Er bestaat binnen de Lasso systeeminstellingen (systeemmenu) geen afzonderlijk scherm waarbinnen aanmeldaccounts beheerd kunnen worden. Zie, voor het instellen van toegang tot de Lasso beheersomgeving voor medewerkers, de paragraaf ''<u>Toegang geven tot Lasso</u>'' in de module Relaties.


Ter verbetering van gebruiksgemak en systeembeveiliging is het eveneens mogelijk deelnemers te laten aanmelden met behulp van een token en PIN-code. Deze aanmeldwijze dient wel ingesteld te worden via het Lasso-systeemmenu (zie: Tokens).
Ter verbetering van gebruiksgemak en systeembeveiliging is het eveneens mogelijk deelnemers te laten aanmelden met behulp van een token en PIN-code. Deze aanmeldwijze dient wel ingesteld te worden via het Lasso-systeemmenu (zie: Tokens).
Regel 12: Regel 12:
==== Aanmelden met gebruikersnaam/wachtwoord ====
==== Aanmelden met gebruikersnaam/wachtwoord ====


Wanneer een deelnemer toegang heeft ''<u>tot de beheersomgeving</u>'' (bijv. op basis van rol medewerker 1, 2 of 3) zal deze op de standaardwijze kunnen aanmelden. Bij het openen van Lasso verschijnt onderstaande aanmeldpagina, waar de gebruiker kan aanmelden met de juiste aanmeldgegevens:
Wanneer een deelnemer toegang heeft [[Werken met Relaties#Toegang geven tot Lasso+ (Rollen)|tot de beheersomgeving]] (bijv. op basis van rol medewerker 1, 2 of 3) zal deze op de standaardwijze kunnen aanmelden. Bij het openen van Lasso verschijnt onderstaande aanmeldpagina, waar de gebruiker kan aanmelden met de juiste aanmeldgegevens:


# Open de Lasso-omgeving
# Open de Lasso-omgeving
Regel 19: Regel 19:


<ol start="2" style="list-style-type: decimal;">
<ol start="2" style="list-style-type: decimal;">
<li><p>Vul de gebruikersnaam in zoals aan de deelnemer toegekend onder ''<u>Toegang geven tot Lasso</u>''</p></li>
<li><p>Vul de gebruikersnaam in zoals aan de deelnemer toegekend onder [[Werken met Relaties#Toegang geven tot Lasso+ (Rollen)|Toegang geven tot Lasso]]</p></li>
<li><p>Vul het wachtwoord in zoals aan de deelnemer toegekend onder ''<u>Toegang geven tot Lasso</u>''</p></li>
<li><p>Vul het wachtwoord in zoals aan de deelnemer toegekend</p></li>
<li><p>Klik op ''Inloggen''</p></li></ol>
<li><p>Klik op ''Inloggen''</p></li></ol>


Regel 30: Regel 30:
Wanneer voor de deelnemer is ingesteld dat deze kan aanmelden door middel van een token, is het noodzakelijk de aanmeldpagina over te schakelen naar ''Login met token in pincode'':
Wanneer voor de deelnemer is ingesteld dat deze kan aanmelden door middel van een token, is het noodzakelijk de aanmeldpagina over te schakelen naar ''Login met token in pincode'':


''(!) Deze methode werkt alleen als voor de betreffende deelnemer een token aangemaakt is. Voor het registreren van een token, zie: <u>Tokens</u>''
''(!) Deze methode werkt alleen als voor de betreffende deelnemer een token aangemaakt is. Voor het registreren van een token, zie:'' [[Lasso+ Authenticatie#Tokens|Tokens]]


# Open de Lasso-omgeving
# Open de Lasso-omgeving
Regel 42: Regel 42:
<li><p>Voer de bij het token behorende PIN-code in</p></li></ol>
<li><p>Voer de bij het token behorende PIN-code in</p></li></ol>


Als de aanmeldgegegevens correct zijn, is de gebruiker hierna aangemeld.
Als de aanmeldgegevens correct zijn, is de gebruiker hierna aangemeld.
----
----
----


=== Tokens ===
== Tokens (2FA) ==
Tokens zijn hulpmiddelen om toegang tot de beheersomgeving van Lasso beter te beveiligen en aanmelding bij Lasso te verenvoudigen. Door het aanmaken van een token zorgt u ervoor dat alleen aangemeld kan worden in de beheersomgeving van Lasso wanneer de aanmelder beschikt over een unieke toegangssleutel in combinatie met een PIN-code. Aanmelden met een token vervangt de standaardwijze van aanmelden bij Lasso, namelijk met een gebruikersnaam en wachtwoord.
Tokens zijn hulpmiddelen om de beheersomgeving van Lasso beter te beveiligen en aanmelding te vereenvoudigen. Door het aanmaken van een token zorgt u ervoor dat alleen aangemeld kan worden bij Lasso wanneer de aanmelder beschikt over een unieke toegangssleutel in combinatie met een PIN-code. Aanmelden met een token vervangt de standaardwijze van aanmelden bij Lasso, namelijk met een gebruikersnaam en wachtwoord.


Binnen Lasso is het mogelijk gebruik te maken 2 typen authenticatie per token:
Binnen Lasso is het mogelijk gebruik 2 typen tokens aan te maken:  


* Externe beveiligingssleutel op basis van [https://en.wikipedia.org/wiki/FIDO2_Project FIDO2] (bijv. USB-key)
* Externe (fysieke) beveiligingssleutel op basis van [https://en.wikipedia.org/wiki/FIDO2_Project FIDO2] (bijv. USB-key)
* Ingebouwde sensor in het systeem vanwaar aangemeld wordt (via Windows Hello of iOS Fingerprint)
* Ingebouwde sensor in het systeem vanwaar aangemeld wordt (via Windows Hello of iOS Fingerprint)


Authenticatietokens kunnen door systeembeheerders en medewerkers zelf aangemaakt worden voor hun eigen account. Systeembeheerders hebben daarnaast de mogelijkheid een uitnodiging voor tokenregistratie te versturen aan medewerkers met toegang tot de Lasso beheersomgeving. Deze procedure vereenvoudigt het zelf aanmaken van een token voor medewerkers die zelf geen token hebben binnen Lasso.
Authenticatietokens kunnen door systeembeheerders en medewerkers zelf aangemaakt worden voor hun eigen account. Systeembeheerders hebben daarnaast de mogelijkheid een uitnodiging voor tokenregistratie te versturen aan medewerkers met toegang tot de Lasso beheersomgeving. Deze procedure vereenvoudigt het zelf aanmaken van een token voor medewerkers die zelf geen token hebben binnen Lasso.


''(!) Gebruik maken van tokens voor toegang tot Lasso is vooralsnog alleen mogelijk voor de beheersomgeving, niet voor de Persoonlijke Omgeving. Het is dus niet noodzakelijk (of mogelijk) om uitnodigingen voor tokenregistratie naar deelnemers te sturen die uitsluitend toegang hebben tot de Persoonlijke Omgeving. Mogelijk wordt deze optie later nog wel toegevoegd.''
''(!) Gebruik maken van tokens voor toegang is vooralsnog alleen mogelijk voor de Lasso beheersomgeving, niet voor de Persoonlijke Omgeving. Het is dus niet noodzakelijk (of mogelijk) om uitnodigingen voor tokenregistratie naar deelnemers te sturen die uitsluitend toegang hebben tot de Persoonlijke Omgeving. Mogelijk wordt deze optie later nog wel toegevoegd.''
----
----
==== Nieuw token registreren ====


Voor het registreren van een token is een FIDO2-compatibele USB-sleutel vereist, bijv. een Yubi-key (*). In bepaalde gevallen is het ook mogelijk de beveiligingssleutel die normaliter op de sleutel weggeschreven wordt, op te slaan in een op uw systeem (laptop of PC) ingebouwd token, dat werkt met een vingerafdrukscanner of gezichtsherkenning – hiermee dient uw systeem dan wel compatibel te zijn. Als dat niet het geval is, zal de tokenregistratie alleen de mogelijkheid bieden een USB-sleutel te gebruiken om het token te registreren.<br /><br />(*) Yubi-key:</br>
=== Nieuw token registreren ===
 
{|
:: [[Bestand:LS SYS Token Reg 2.png]]
|Voor het registreren van een token is een FIDO2-compatibele USB-sleutel vereist, bijv. een Yubi-key (*). </br>
</br>
In bepaalde gevallen is het ook mogelijk de beveiligingssleutel die normaliter op de sleutel weggeschreven wordt, op te slaan in een op uw systeem (laptop of PC) ingebouwd token, dat werkt met een vingerafdrukscanner of gezichtsherkenning – hiermee dient uw systeem dan wel compatibel te zijn. Is dat niet het geval, dan zal de tokenregistratie alleen de mogelijkheid bieden een USB-sleutel te gebruiken om het token te registreren.  
|(*) Yubi-key:
[[Bestand:LS SYS Token Reg 2.png]]
|}
<br />Een nieuw token registreert u als volgt:


# Klik op SYSTEEMMENU
# Klik op SYSTEEMMENU
Regel 85: Regel 89:
----
----


==== Uitnodiging voor tokenregistratie versturen ====
=== Uitnodiging voor tokenregistratie versturen ===
 
Lasso Systeembeheerders hebben de mogelijkheid om overige gebruikers van de Lasso beheersomgeving een uitnodiging te sturen om een token te registreren, ter vervanging van de reguliere manier van aanmelden (gebruikersnaam/wachtwoord). Voor het versturen van een dergelijke uitnodiging voert u het volgende uit:
Lasso Systeembeheerders hebben de mogelijkheid om overige gebruikers van de Lasso beheersomgeving een uitnodiging te sturen om een token te registreren, ter vervanging van de reguliere manier van aanmelden (gebruikersnaam/wachtwoord). Voor het versturen van een dergelijke uitnodiging voert u het volgende uit:


Regel 108: Regel 111:
----
----


==== Token resetten ====
=== Token resetten ===
 
Token resetten in de Google Chrome browser:
Token resetten in de Google Chrome browser:


Regel 125: Regel 127:
<li><p>Steek het token weer terug in de USB-poort</p></li>
<li><p>Steek het token weer terug in de USB-poort</p></li>
<li><p>Na opnieuw insteken zou een knipperend lampje (LED) zichtbaar moeten zijn, raak dit lampje aan</p></li>
<li><p>Na opnieuw insteken zou een knipperend lampje (LED) zichtbaar moeten zijn, raak dit lampje aan</p></li>
<li><p>Raak, nadaat Chrome er om vraagt, nogmaals het lampje aan (ter bevestiging)</p></li></ol>
<li><p>Raak, als Chrome er om vraagt ter bevestiging, nogmaals het lampje aan.</p></li></ol>


Het token is nu gereset en kan opnieuw gebruikt worden om token authenticatie in te stellen.<br />
Het token is nu gereset en kan opnieuw gebruikt worden om token authenticatie in te stellen.<br />
<br />
<br />
(!) Lasso zal dit token (in de huidige toestand) niet meer herkennen als geldige mogelijkheid om aan te melden in de beheersomgeving. Als u dit token opnieuw wilt gebruiken, dient het opnieuw geregistreerd te worden en dient de procedure ''<u>Nieuw token registreren</u>'' opnieuw doorlopen te worden.
(!) Lasso zal dit token (in de huidige toestand) niet meer herkennen als geldige mogelijkheid om aan te melden in de beheersomgeving. Als u dit token opnieuw wilt gebruiken, dient het opnieuw geregistreerd te worden en dient de procedure ''<u>Nieuw token registreren</u>'' opnieuw doorlopen te worden.

Huidige versie van 20 sep 2023 om 11:03

Lasso Authenticatie (Login)

Bestemd voor: Systeembeheerder, medewerker 1, 2, 3

Het instellen van toegang tot de Lasso beheersomgeving voor medewerkers kan uitgevoerd worden bij de eigenschappen van de deelnemers in de module Relaties. Er bestaat binnen de Lasso systeeminstellingen (systeemmenu) geen afzonderlijk scherm waarbinnen aanmeldaccounts beheerd kunnen worden. Zie, voor het instellen van toegang tot de Lasso beheersomgeving voor medewerkers, de paragraaf Toegang geven tot Lasso in de module Relaties.

Ter verbetering van gebruiksgemak en systeembeveiliging is het eveneens mogelijk deelnemers te laten aanmelden met behulp van een token en PIN-code. Deze aanmeldwijze dient wel ingesteld te worden via het Lasso-systeemmenu (zie: Tokens).


Aanmelden met gebruikersnaam/wachtwoord

Wanneer een deelnemer toegang heeft tot de beheersomgeving (bijv. op basis van rol medewerker 1, 2 of 3) zal deze op de standaardwijze kunnen aanmelden. Bij het openen van Lasso verschijnt onderstaande aanmeldpagina, waar de gebruiker kan aanmelden met de juiste aanmeldgegevens:

  1. Open de Lasso-omgeving
LS SYS Login Gen 1.png
  1. Vul de gebruikersnaam in zoals aan de deelnemer toegekend onder Toegang geven tot Lasso

  2. Vul het wachtwoord in zoals aan de deelnemer toegekend

  3. Klik op Inloggen

Als de aanmeldgegevens correct zijn, is de gebruiker hierna aangemeld.


Aanmelden met token en PIN-code

Wanneer voor de deelnemer is ingesteld dat deze kan aanmelden door middel van een token, is het noodzakelijk de aanmeldpagina over te schakelen naar Login met token in pincode:

(!) Deze methode werkt alleen als voor de betreffende deelnemer een token aangemaakt is. Voor het registreren van een token, zie: Tokens

  1. Open de Lasso-omgeving
  2. Klik indien nodig op de schakelknop:
LS Sys Login Gen 2.png
  1. Zorg dat het token in een USB-poort van het systeem zit

  2. Selecteer Externe beveiligingssleutel of ingebouwde sensor

    LS SYS Token Reg 1.png

  3. Voer de bij het token behorende PIN-code in

Als de aanmeldgegevens correct zijn, is de gebruiker hierna aangemeld.


Tokens (2FA)

Tokens zijn hulpmiddelen om de beheersomgeving van Lasso beter te beveiligen en aanmelding te vereenvoudigen. Door het aanmaken van een token zorgt u ervoor dat alleen aangemeld kan worden bij Lasso wanneer de aanmelder beschikt over een unieke toegangssleutel in combinatie met een PIN-code. Aanmelden met een token vervangt de standaardwijze van aanmelden bij Lasso, namelijk met een gebruikersnaam en wachtwoord.

Binnen Lasso is het mogelijk gebruik 2 typen tokens aan te maken:

  • Externe (fysieke) beveiligingssleutel op basis van FIDO2 (bijv. USB-key)
  • Ingebouwde sensor in het systeem vanwaar aangemeld wordt (via Windows Hello of iOS Fingerprint)

Authenticatietokens kunnen door systeembeheerders en medewerkers zelf aangemaakt worden voor hun eigen account. Systeembeheerders hebben daarnaast de mogelijkheid een uitnodiging voor tokenregistratie te versturen aan medewerkers met toegang tot de Lasso beheersomgeving. Deze procedure vereenvoudigt het zelf aanmaken van een token voor medewerkers die zelf geen token hebben binnen Lasso.

(!) Gebruik maken van tokens voor toegang is vooralsnog alleen mogelijk voor de Lasso beheersomgeving, niet voor de Persoonlijke Omgeving. Het is dus niet noodzakelijk (of mogelijk) om uitnodigingen voor tokenregistratie naar deelnemers te sturen die uitsluitend toegang hebben tot de Persoonlijke Omgeving. Mogelijk wordt deze optie later nog wel toegevoegd.


Nieuw token registreren

Voor het registreren van een token is een FIDO2-compatibele USB-sleutel vereist, bijv. een Yubi-key (*).


In bepaalde gevallen is het ook mogelijk de beveiligingssleutel die normaliter op de sleutel weggeschreven wordt, op te slaan in een op uw systeem (laptop of PC) ingebouwd token, dat werkt met een vingerafdrukscanner of gezichtsherkenning – hiermee dient uw systeem dan wel compatibel te zijn. Is dat niet het geval, dan zal de tokenregistratie alleen de mogelijkheid bieden een USB-sleutel te gebruiken om het token te registreren.

(*) Yubi-key:

LS SYS Token Reg 2.png


Een nieuw token registreert u als volgt:

  1. Klik op SYSTEEMMENU
  2. Klik op Tokens
  3. Klik op Registreer een nieuw token
LS SYS Token Reg 3.png
  1. Geef bij Omschrijving een naam op voor het token

  2. Klik op Registreer token

  3. Klik op Externe beveiliginssleutel of ingebouwde sensor

  4. Een melding van het besturingssysteem verschijnt (“Beveiligingssleutel aanmaken..”, klik op OK

  5. Klik nogmaals op OK na de toelichting (“*.lasso-*.nl wilt een beveiligingssleutel aanmaken”)

    LS SYS Token Reg 4.png

  6. Steek de USB-sleutel in een USB-poort van het systeem

  7. Bevestig (afhankelijk van de werking van het FIDO2-token dat u gebruikt) het wegschrijven van de beveiligingssleutel

  8. Geef een PIN-code in voor gebruik met het token, en bevestig deze desgevraagd

  9. Klik op OK

Als het token juist aangemaakt is, verschijnt het in de lijst met geregistreerde tokens onder Systeeminstellingen >> Tokens, en kan het gebruikt worden om middels token aan te melden bij Lasso.


Uitnodiging voor tokenregistratie versturen

Lasso Systeembeheerders hebben de mogelijkheid om overige gebruikers van de Lasso beheersomgeving een uitnodiging te sturen om een token te registreren, ter vervanging van de reguliere manier van aanmelden (gebruikersnaam/wachtwoord). Voor het versturen van een dergelijke uitnodiging voert u het volgende uit:

  1. Klik op SYSTEEMMENU
  2. Klik op Token Registratie
  3. Klik op de knop Toevoegen
  4. Selecteer in het volgende scherm de deelnemer aan wie u de uitnodiging wilt versturen
(!) Hier zijn uitsluitend deelnemers beschikbaar voor wie ingesteld is dat zij toegang hebben tot de Lasso beheersomgeving (Systeembeheerder, Medewerker 1, 2, 3)
  1. Klik op Opslaan en sluiten

  2. De medewerker ontvangt nu automatisch een uitnodiging om het token aan te maken, inclusief instructies – onderstaande knop kan gebruikt worden om de uitnodiging nogmaals (een herinnering) te versturen. Het is echter niet noodzakelijk dit direct te doen, omdat de mail al automatisch verzonden is bij stap 6:

LS SYS Token Reg 5.png

De uitgenodigde medewerker ontvangt onderstaande e-mail voor tokenregistratie. De uitnodiging (registratieperiode) is 24 uur geldig. Als in deze periode geen gebruik gemaakt wordt van de uitnodiging, moet opnieuw een e-mail verstuurd worden om de medewerker alsnog te kunnen laten registreren op deze wijze.

LS SYS Token Reg 6.png


Token resetten

Token resetten in de Google Chrome browser:

  1. Steek het te resetten token in een USB-poort van de computer
  2. Open de Chrome browser
  3. Ga via de 3-punten knop rechtsbovenin Chrome naar Instellingen
LS SYS Token Reg 7.png
  1. Selecteer in het menu aan de linkerzijde: Privacy en beveiliging

  2. Klik in het hoofdscherm op: Beveiligingssleutels beheren

  3. Klik vervolgens op: Je beveiligingssleutel resetten

  4. Verwijder het token uit de USB-poort

  5. Steek het token weer terug in de USB-poort

  6. Na opnieuw insteken zou een knipperend lampje (LED) zichtbaar moeten zijn, raak dit lampje aan

  7. Raak, als Chrome er om vraagt ter bevestiging, nogmaals het lampje aan.

Het token is nu gereset en kan opnieuw gebruikt worden om token authenticatie in te stellen.

(!) Lasso zal dit token (in de huidige toestand) niet meer herkennen als geldige mogelijkheid om aan te melden in de beheersomgeving. Als u dit token opnieuw wilt gebruiken, dient het opnieuw geregistreerd te worden en dient de procedure Nieuw token registreren opnieuw doorlopen te worden.