Katso myös ohje sisäisen tunnistautumisen käyttöönottoon.
Ulkoisen OAuth 2.0 tunnistautumisen käyttöönotto
Hyvä tietää OAuth 2.0 tunnistautumisesta ja sen vaikutuksista AssisDentin käyttöön
- Tunnistautumisen käyttöönotto on asiakkaille ilmaista, mutta tuki OAuth tunnistautumisen käyttöönottoon ja käyttöön liittyvät tukipyynnöt ovat konsultaatiotyötä. Kysy lisätietoja tunnistautumisen käyttöönottoon liittyvistä konsultointihinnoista organisaatiollenne myyntitiimiltämme.
- Ulkoisen OAuth 2.0-tunnistautumisen käyttöönoton jälkeen myös toimikortin liittämisen ja AssisDentiin kirjautumisen yhteydessä AssisDent pyytää käyttäjää syöttämään ulkoisella kirjautumissivulla tunnistautumiseen tarvittavan salasanan ja käyttäjätunnuksen.
- Myös AssisDentin lukitustilaa avatessa, kysytään vastaavasti ulkoisen tunnistautumisjärjestelmän käyttäjätunnus -ja salasanatietoja, jotta AssisDentiin päästään takaisin sisälle.
- Ennen OAuth 2.0 tunnistautumisen päälle kytkemistä, tulisi tarkistaa ettei miltään organisaation työntekijöiltä löydy työntekijäkortiltaan täppää asetuksesta Tekninen tunnus, koska tällaisella teknisellä tunnuksella ei pysty jatkossa enää kirjautumaan AssisDent-ohjelmaan.
- Tällaiset henkilöt voidaan suodattaa Työntekijät-rekisteristä esille Tekninen tunnus-suodattimella.
OAuth 2.0 tunnistautumisen päälle kytkeminen
Hyvä tietää OAuth 2.0 tunnistautumisesta
- Kaksivaiheisen OAuth 2.0-tunnistautumisen käyttöönoton jälkeen myös toimikortin liittämisen ja AssisDentiin kirjautumisen yhteydessä AssisDent pyytää käyttäjää syöttämään ulkoisella kirjautumissivulla tunnistautumiseen tarvittavan salasanan ja käyttäjätunnuksen.
- Myös AssisDentin lukitusta avatessa, kysytään vastaavasti ulkoisen tunnistautumisjärjestelmän tietoja, jotta AssisDentiin päästään sisälle.
- Ennen OAuth 2.0 tunnistautumisen päälle kytkemistä, tulisi tarkistaa ettei miltään työntekijöiltä löydy työntekijäkortiltaan täppää Tekninen tunnus, koska tällaisella tunnuksella ei pysty jatkossa enää kirjautumaan AssisDent-ohjelmaan.
Ulkoinen OAuth 2.0 tunnistautuminen voidaan kytkeä päälle Järjestelmäasetukset-valikon kautta Sisäänkirjautuminen-välilehdeltä valitsemalla Käytettävä tunnistautumispalvelu-asetukseen arvoksi Ulkoinen OAuth 2.0 tunnistautumispalvelu.
Klikataan seuraavaksi Tallenna muutokset ruudun alareunasta, jotta OAuth 2.0 tunnistautuminen saadaan otettua käyttöön.
Ota käyttöön testitila -asetus mahdollistaa OAuth 2.0 tunnistautumispalvelun käyttöönottovaiheessa tunnistautumisen testaamisen rajatulla käyttäjäryhmällä. Tällöin muut käyttäjät voivat edelleen kirjautua AssisDentiin kuten aiemminkin.
Kun testitila asetus on asetettu päälle, AssisDentiin kirjautumisessa sovelletaan AssisDentin sisäinen tunnistautuminen -asetuksen alta löytyviä tunnistautumissääntöjä (esim. Tekstiviesti, Authenticator, Tekstiviesti + Authenticator), mutta mahdollistetaan OAuth 2.0 palvelun testaus testikäyttäjille.
Testitilan avulla testiryhmä voi testata OAuth 2.0 tunnistautumisen sääntöjä ulkoista authorisointijärjestelmää vastaan syöttämällä AssisDentiin kirjautuessa toimialue-kenttään syntaksin toimialue#ext, jossa toimialue kohtaan lisätään käyttämänne toimialueen nimi. Esimerkkikuvassa toimialueen nimi on ollut "local".
Kun klikataan Jatka AssisDent avaa käyttäjän määrittelemän ulkoisen authentikointipalvelun auki. Jos Ota käyttöön testitila-ruksi täpätään pois käytöstä, kaikkien käyttäjien kirjautumiset ohjataan suoraan ulkoisen authentikointipalvelun sivuille, eikä vanhoja tunnistautumismenetelmiä enää sovelleta (esim. tekstiviesti tai authenticator).
Täytetään muut OAuth 2.0-kirjautumiseen liittyvät tarvittavat tiedot niille varattuihin kenttiin Client ID, Client secret, Sisäänkirjautumissivun URL ja Token URL. Alla olevassa kuvassa näkyvillä vain testidataa.
Valitaan Esitäytä käyttäjänimi kirjautuessa kenttään tilanteet, joissa käyttäjälle halutaan antaa ns. login_hint-query eli vihje siitä, mikä on hänen käyttäjänimensä. Vaihtoehdot ovat ei koskaan, vain lukitusnäkymässä tai sekä kirjautumis -että lukitusnäkymässä. Kirjautumis -ja lukitusnäkymillä tarkoitetaan AssisDentin sisäänkirjautumisnäkymää sekä AssisDentin lukitusnäkymää, joka avautuu kun AssisDent on käyttämättä tarpeeksi pitkään.
Täytetään myös muut kentät Access token (JWT) -parametrit ja Access tokenin (JWT) validointi.
Tietoturvan kannalta oleelliset asetukset löytyvät erityisesti Access tokenin (JWT) validointi-otsikon alta oranssilla huutomerkillä merkittyinä.
Jos kyseiset tiedot jätetään täyttämättä, käyttäjää varoitetaan tästä dialogilla.
Käyttäjän tietojen synkronointi ulkoisesta järjestelmästä AssisDentin työntekijäkortille
Ulkoista OAuth 2.0-tunnistautumista käytettäessä voidaan määritellä, mitä tietoja halutaan tuoda ja päivittää ulkoisista järjestelmistä AssisDentiin. Tällaisia päivitettäviä tietoja voivat olla mm. käyttäjien nimitieto, käyttäjien käyttämät yksiköt, käyttäjien käyttöoikeudet AssisDentissa, käyttäjien roolit, käyttäjien sähkopostiosoitteet ja käyttäjien puhelinnumerot.
1. Vaadi synkronoinnin jälkeen vähintään yksi käyttöoikeus, jotta sisäänkirjautuminen onnistuu asetuksen avulla voidaan estää käyttäjän AssisDentiin kirjautuminen jos kaikki käyttöoikeudet on jo poistettu ulkoisesta järjestelmästä kun käyttäjä yrittää kirjautua AssisDentiin.
2. Ruksaamalla asetuksen Salli uuden käyttäjän luonti kirjautumishetkellä työntekijälle voidaan luoda uusi AssisDent-tunnus, vaikka käyttäjää ei vielä löytyisi AssisDentista.
3. Salli kirjautuminen vaikka työntekijän synkronointi epäonnistuu asetuksella voidaan sallia kirjautuminen myös tilanteissa, joissa työntekijän tietoja ei ole saatu virheestä johtuen synkronoitua, jotta mahdollisesti synkronointivirheet saadaan selville. Virheitä voivat aiheuttaa mm. puutteellisesti työntekijäkortille täytetyt tietokentät (kuten puhelinnumero).
Synkronoi luodessa -valinnalla voidaan määritellä, että työntekijän luontihetkellä tiedot haetaan ulkoisesta järjestelmästä, mutta tämän jälkeen hallinnointi tapahtuu vain AssisDentista käsin.
Ei synkronointia -valinnalla voidaan määritellä, että kyseisiä tietoja ei haluta synkronoida ulkoisesta järjestelmästä koskaan, eli tiedot päivitetään aina vain AssisDentista.
Synkronoi aina -valinnalla voidaan määritellä, että tiedot synkronoidaan sekä työntekijän luontihetkellä että jokaisen kirjautumisen yhteydessä ajan tasalle.
Toimipisteet ja yksiköt
Toimipisteet ja yksiköt -osion alta voidaan linkittää ja synkronoida ulkoisen tunnistautumispalveluun luotuja ryhmiä ja rooleja AssisDentin toimipisteisiin ja yksiköihin.
Käyttäjäryhmille voidaan myös määrittää tietyt roolit ja käyttöoikeudet AssisDentissa, jolloin ko. tiedot haetaan automaattisesti ajan tasalle kun joku näiden määriteltyjen tunnisteiden alle merkitty työntekijä kirjautuu AssisDentiin.
Huom! Ryhmiä hallinnoidaan aina ulkoisesta järjestelmästä ja ainoastaan linkitys AssisDentin käyttöoikeuksiin määritellään näistä asetuksista.
Huom! Mikäli synkronointia ei ole asetettu päälle halutuista tiedoista Käyttäjän tietojen synkronointi -osion alta, ei näillä asetuksilla ole mitään vaikutusta. Linkitys toimii siis vain silloin kun synkronointi on jo asetettu päälle tietoihin, joita halutaan tuoda AssisDentiin.
Jos uudella käyttäjällä ei ole mitään yksiköitä, joita rooleihin on määritelty, voidaan hänelle määritellä ns. oletusyksikkö, jonka alle hänet lisätään, jos mikään Toimipisteet ja yksiköt -osion alle listatuista vaihtoehdoista ei sisällä työntekijään sopivia määrityksiä.
Huom! Kaikkiin kenttiin ei ole pakko lisätä tietoja, mutta tyhjät tiedot linkittyvät käyttöoikeuksiin, eli puuttuvat tiedot voivat johtaa käyttöoikeusvirheisiin.
Jos esimerkiksi joltain lisätyltä ryhmältä puuttuu toimipiste-tieto, toimipistettä ei saada myöskään haettua tälle ryhmälle työntekijäkortin käyttöoikeuksiin, jotka liittyvät toimipisteeseen (esimerkiksi toimipisteen pääkäyttäjä), ja tästä seuraa käyttöoikeusvirheitä.
Vastaavasti myös yksikön puuttuminen voi johtaa virheisiin käyttöoikeuksissa, jotka ovat tähän yksikköön sidonnaisia (esim. yksikön pääkäyttäjä, yksikön raportointi jne.). Alla kuva, joka demonstroi tilannetta.
Työntekijäkortilta nähdään jos työntekijällä on käytössään OAuth 2.0 ulkoinen tunnistautuminen sekä tunniste, jolla hänet on merkitty ulkoiseen omaan järjestelmään. Jos tunnukset on linkitetty AssisDentista väärään ulkoisen tunnistautumisjärjestelmän käyttäjätunnukseen, voidaan klikata Muokkaa tunnistetta -nappia, jolla tunnus saadaan muokattua samalle tunnisteelle kuin ulkoisessa järjestelmässä. Tätä tulisi käyttää vain tilanteissa, joissa kirjautuminen AssisDentiin on estynyt.