¶ Introductie
Twee factor authenticatie (2FA) is een veilige(re) manier van inloggen. De identiteit van jou als gebruiker wordt hierbij vastgesteld door middel van twee factoren. Je opent het digitale slot als het ware niet met één, maar met twee sleutels. Dit betekent dat je naast het invoeren van een gebruikersnaam en wachtwoord, nog een tweede factor (manier) nodig hebt.
Vanaf versie 2023.11 bieden we 2 factor authenticatie aan in JOIN Zaak & Document voor gebruikers die gebruik maken van de lokale authenticatie van JOIN Zaak & Document. Voor gebruikers die inloggen via een extern authenticatiemiddel was dit al langer mogelijk (door de 2 factor te activeren in de AD-login).
De module bestaat uit 2 onderdelen:
- lokale gebruikers (niet AD) kunnen via een mailtoken extra veilig inloggen
- de administrator wordt gebruikt door AD-gebruikers via een veilige AD-login
¶ 2 factor JOIN Zaak & Document
Om 2 factor te activeren voor lokale gebruikers in JOIN Zaak & Document dient u allereerst te beschikken over een geldige licentie voor de module “native 2 factor authenticatie”. Een uitzondering hierop vormt het ADMINISTRATOR-account:
- in cloudomgevingen is het ADMINISTRATOR-account alleen beschikbaar voor gebruik door een Decos-medewerker. Op dit account passen we de volgende beveiligingsmaatregelen toe:
- de administrator logt altijd in met zijn eigen Decos-account (via het Decos-domein). Hierop is altijd 2-factor van toepassing
- Alle handelingen die een Decos-medewerker uitvoert in de klantomgeving worden vastgelegd in de audit van JOIN Zaak & Document. Het Administrator account in cloudomgevingen kan dus niet meer anoniem worden gebruikt vanaf versie 2023.11
¶ JOIN Admin
In JOIN Admin vindt u bij het onderdeel “Configuratie” de mogelijkheid om de 2-factor authenticatie te activeren.
Wanneer u deze heeft geactiveerd dan kunt u per gebruiker (die gebruik maakt van de optie “gebruik lokale wachtwoordverificatie”) de 2-factorfunctie activeren. Dit doet u door een vinkje te activeren bij de optie “Eenmalige logincode verplicht bij aanmelden”.
Let op dat u deze functie alleen activeert wanneer uw JOIN omgeving mails kan versturen & wanneer er bij de gebruiker een correct mailadres is ingevuld. Is dit niet het geval dan kan de gebruiker niet (meer) inloggen omdat de 2-factor code dan niet wordt ontvangen.
Voor de administrator (superadmin) is het mogelijk om de login extra veilig te laten verlopen. In dit scenario wordt de gebruiker na login doorverwezen naar de AD-login. Dit zorgt er voor dat de gebruiker die het administrator account gebruikt dit doet door middel van een veilige AD-login & dat de handelingen van de gebruiker altijd worden gelogd in de audit. Tevens heeft u hiermee controle op welke gebruikers gebruik mogen maken van het administrator account.
voor deze functie is het belangrijk dat uw JZD omgeving verbinding kan maken met Decos IDP (oauth.decos.nl)
Wilt u van bovenstaande gebruik maken, dan kunt u hiervoor contact zoeken met uw accountmanager.
¶ JOIN Applicaties
Wanneer 2-factor geactiveerd staat bij de gebruiker zal de gebruiker na het aanmelden met gebruikersnaam en wachtwoord altijd een code moeten invoeren die de gebruiker per mail heeft ontvangen.
Wanneer de code onjuist is dan is het mogelijk om de code opnieuw te versturen. De code heeft een geldigheid van 5 minuten. Daarna dient altijd een nieuwe code te worden aangevraagd.
Wanneer gebruik wordt gemaakt van 2-factor login tonen we in de auditschermen van JOIN altijd het mailadres van de gebruiker die met 2-factor is ingelogd. Hiermee ziet u ook direct dat de gebruiker via dit emailadres is aangemeld.
