Op welke manier kunnen ambassadeurs inloggen?

Er zijn verschillende authenticatie flows die ambassadeurs kunnen gebruiken. Keuzes hiervoor worden op organisatie niveau vastgelegd en gelden voor alle ambassadeurs.

Op grote lijnen zijn er twee opties die Employbrand aanbied voor authenticatie. Namelijk:

  • Accounts met e-mailadres & wachtwoord
  • Accounts met Single Sign-on

 

Hieronder zal per type dieper ingegaan worden op de specifieke opties.

 

Accounts met e-mailadres & wachtwoord

In de basis configuratie van Employbrand is deze opties standaard actief. Ambassadeurs kunnen accounts registeren en inloggen door hun e-mailadres en wachtwoord op te geven. Hierbij zijn er vanuit Employbrand wel eisen opgelegd aan het minimale wachtwoord. Zo dient een wachtwoord minimaal 6 tekens lang te zijn, en dient er minimaal één hoofdletter, één kleine letter, één cijfer en één leesteken in te zitten. Op deze manier bieden we basis informatiebeveiliging.

 

Accounts met Single Sign-on

Voor organisaties die een hogere eis aan de authenticatie stellen hebben we Single Sign-on (SSO) integraties ontwikkeld. Met SSO kunnen medewerkers van jullie organisatie inloggen met hun eigen (werk)account. De beleidsregels die jullie voor authenticatie hebben (zoals bijvoorbeeld multi factor authenticatie) kunnen dan door jullie op organisatie niveau afgedwongen worden bij de SSO provider.

Daarnaast biedt Employbrand ook standaard al beleidsregels aan. Zo is het mogelijk om e-maildomeinen te beperken tot een vooraf opgegeven lijst. Accounts met een e-mailadres waarvan het e-maildomein niet in deze lijst staat, zullen automatisch geweigerd worden.

Omdat Employbrand tooling is voor het werkgeversmerk van jullie organisatie, is het ook mogelijk dat niet-medewerkers ambassadeur willen zijn. Doordat dit met SSO vaak complexer is, zijn er diverse opties ingebouwd waaruit gekozen kan worden. Verderop in dit artikel staat meer informatie over deze opties.

Hoe Single Sign-on activeren voor een specifieke provider? Lees hiervoor verder op:
Single Sign-on instellen voor Azure AD
Single Sign-on instellen voor Azure AD B2C

 

Single Sign-on met of zonder wachtwoord ondersteuning

Zoals eerder beschreven kan het in sommige gevallen wenselijk zijn om naast Single Sign-on (SSO) ook nog wachtwoord ondersteuning aan te bieden. De standaard situatie is zo ingericht dat op het moment dat er een SSO provider geactiveerd is, automatisch wachtwoord ondersteuning aan blijft. Dit betekend dus dat personen de optie krijgen om zich aan te melden met e-mailadres & wachtwoord, of via SSO. Ook kunnen reeds bestaande accounts hun account koppelen aan SSO, maar ook ontkoppelen en dus terug gaan naar e-mailadres & wachtwoord.

Onder ‘Instellingen > Single sign-on’ kan je als beheerder de instellingen hiervoor aanpassen. Er zijn op het moment twee opties:

  • Wachtwoord ondersteuning aanlaten
  • Sta registraties met wachtwoord toe

 

Door ‘Sta registraties met wachtwoord toe’ uit te schakelen zal het niet meer mogelijk zijn om een account te registreren met een wachtwoord. Dit geldt dus alleen voor nieuwe ambassadeurs. Bestaande ambassadeurs zullen dus in staat blijven om te blijven inloggen met e-mailadres & wachtwoord.

Door ‘Wachtwoord ondersteuning aanlaten’ uit te schakelen zal – zoals bij de opties hierboven – het niet meer mogelijk zijn om een account te registeren met een wachtwoord. Daarnaast is het ook niet meer mogelijk SSO te ontkoppelen en terug te gaan naar een wachtwoord gebaseerd account. Ook zal het login formulier verdwijnen op het login scherm, en zullen ambassadeurs direct naar de login pagina van de SSO provider doorverwezen worden voor een soepele login ervaring.

Indien er op het moment dat wachtwoord ondersteuning volledig wordt uitgeschakeld nog ambassadeurs zijn met een wachtwoord, blijven deze in staat om in te loggen met hun account. Hiervoor zal een directe doorverwijzing naar de login pagina van de SSO provider niet plaatsvinden, en komt er een klein knopje op de login pagina waarmee het login formulier getoond kan worden. Op deze manier houd iedereen toegang tot zijn/haar account.

 

QR-code login voor mobiele app

Los van de bovenstaande opties is er ook een specifieke optie voor ambassadeurs die de mobiele app (willen) gebruiken. Zo kunnen ambassadeurs in de mobiele app kiezen voor ‘Inloggen met QR-code’ waarmee ze een QR-code kunnen scannen in het ambassadeursportaal (onder ‘Mijn naam > App inloggen met QR-code’). Door het scannen van deze QR-code wordt de ambassadeur op een veilige en eenvoudige manier direct ingelogd.

 

Welke opties zijn juist voor mijn organisatie?

Welke opties er geschikt zijn voor jullie organisatie is uiteraard sterk afhankelijk van de wensen en eisen die er vanuit jullie IT maar ook Privacy afdeling gesteld worden. Om een goede optie te kiezen kan er het beste contact opgenomen worden met jouw accountmanager, zodat er samen gekeken kan worden naar de wensen en eisen, zodat er een goed authenticatie beleid gekozen wordt.