Geautomatiseerd gebruikersbeheer (SCIM)
Door middel van SCIM, dat staat voor System for Cross-domain Identity Management, kan een externe Identity Provider (IDP) het aanmaken, updaten, blokkeren en archiveren van gebruikersaccounts in Ysis geautomatiseerd uitvoeren. Dit maakt het mogelijk (in combinatie met SSO/SAML) zowel het beheer als de authenticatie van gebruikers te centraliseren via een IDP. Alleen voor uitzonderingen is handmatige actie dan nog vereist in de module Gebruikersbeheer van Ysis.
Een voorbeeld van een Identity Provider is Hello-ID van Tools4Ever.
Geautomatiseerde handelingen
1. Aanmaken van accounts
Vanuit de IDP wordt een dataset aan Ysis aangeboden, waarna het gebruikersaccount wordt aangemaakt.
De velden bij ‘Bewerk gebuiker’, ‘Ysis Modules’ en ‘Rollen’ worden gevuld door de dataset vanuit de IDP.
Gebruikersdetails
De volgende velden kunnen worden meegegeven bij het aanmaken van een account:
- Voornamen, tussenvoegsels, achternaam, voorletters
- Geslacht
- Gebruikersnaam
- Ysis initialen (dient uniek te zijn)
- Personeelsnummer (dient uniek te zijn)
- AGB-code
- BIG-nummer
- Telefoonnummer
- Mobiel nummer
- E-mailadres
- Timeline export (wel of niet aan)
- Discipline
- Functie
- Beroep
- Wachtwoord (éénmalig vanuit IDP aan te leveren, daarna alleen te wijzigen via Gebruikersbeheer)
Lees hier meer over deze velden; welke zijn verplicht en wat zijn de vereisten?
Ysis Modules
Daarnaast dient voor de accounts aangegeven te worden welke Ysis-module(s) er beschikbaar moet(en) zijn. De volgende keuzes zijn mogelijk:
- Administratieve ondersteuning
- Behandeldossier
- Financieel voor GRZ, Basis GGZ en ELV
- Financieel voor eerstelijns paramedische zorg, huisartszorg en GZSP
- Gebruikersbeheer
- Portaal financiële koppeling
- Zorgdossier
Lees hier meer over deze modules.
Rollen
Naast de gebruikersdetails en modules dient er ook altijd een autorisatierol toegewezen te worden aan het account. Deze rol zorgt ervoor dat de juiste autorisaties aan het account gekoppeld worden. Indien er vanuit een IDP accounts worden aangemaakt, worden autorisaties altijd vanuit een rol toegekend. Het is niet mogelijk om één of meerdere autorisaties afzonderlijk toe te kennen.
Let op: door het gebruik van SCIM wijkt de werking van het toekennen van een autorisatierollen af van handmatig aanmaken van accounts.
Het werkt als volgt:
– Als een applicatiebeheer handmatig (of via de medewerkerimport) een account aanmaakt, wordt er altijd, na het kiezen van de discipline, de bijbehorende rol toegekend. Deze kan daarna gewijzigd worden naar een niet-standaard rol.
– Als het aanmaken van een account via de IDP geautomatiseerd verloopt, is het toekennen van de autorisatierol een aparte stap in het aanmaken van het account.
Zo kunnen er direct bij het aanmaken van de gebruiker ook niet-standaard rollen worden toegewezen.
2. Updaten van accounts
Na het aanmaken is het ook mogelijk om de velden, modules en rollen die eerder genoemd zijn, geautomatiseerd van nieuwe of aanvullende informatie te voorzien. De velden ‘Ysis initialen’ en ‘Discipline’ zijn echter nooit meer aan te passen na het aanmaken van een account. Dit heeft met de basiswerking van Ysis te maken.
3. Blokkeren en deblokkeren van accounts
Om gebruikers tijdelijk toegang tot Ysis te ontzeggen, is het mogelijk om deze te blokkeren. Ook deze actie kan vanuit de IDP geautomatiseerd worden uitgevoerd. Accounts kunnen ook via SCIM/de IDP worden gedeblokkeerd.
4. Archiveren van accounts
Tot slot is het mogelijk om medewerker te archiveren. Doe dit alleen wanneer het duidelijk is dat de medewerker voor langere tijd niet in Ysis werkt en bijv. uit dienst gaat. Het archiveren van een gebruikers wordt binnen SCIM gezien als het ‘verwijderen’ van een account. Om deze reden is het na het archiveren niet meer mogelijk om gebruikersaccounts te dearchiveren via SCIM.
Wanneer een medewerker na een periode van afwezigheid weer in dienst komt, dient zijn/haar gebruikersaccount gereactiveerd te worden. Deze actie zal door de applicatiebeheerder uitgevoerd moeten worden.
Wat is niet mogelijk in het geautomatiseerde gebruikersbeheer?
Voor een aantal velden geldt dat deze momenteel niet geautomatiseerd kunnen worden toegekend of uitgevoerd voor een gebruikersaccount. Een opsomming:
- Het is niet mogelijk om gebruikers te dearchiveren
- Binnen de gebruikersdetails zijn een aantal velden, volgens design, niet vanuit de IDP te vullen:
- Einddatum
- Algemene opmerking
- Wachtwoord aanpassing of opnieuw uitgeven (initiëel wachtwoord wordt wel vanuit IDP meegegeven)
- Het is niet mogelijk om medewerkers geautomatiseerd te koppelen en/of te autoriseren voor afdelingen. Het koppelen en/of autoriseren werkt nog hetzelfde. Leer hier meer informatie over dit onderwerp.
Indien u gebruik wilt gaan maken van SCIM, dient u een verzoek hiervoor in via het klantportaal. We zoeken graag samen met u uit welke mogelijkheden er op dit moment zijn om vanuit uw IDP het proces van gebruikersbeheer te automatiseren.
Uiteraard is er naast deze korte uitleg ook gedetailleerde technische documentatie beschikbaar.
Implementatieadvies
Download hier het implementatieadvies van Gerimedica. Hierin wordt uitgelegd hoe uw organisatie kan starten met het gebruik van het SCIM-protocol en wordt er beschreven welke stappen er nodig zijn om bijv. bestaande gebruikers o.b.v. personeelsnummer te koppelen.