Beschrijving van de Hybride SSO Ons OpenId-Connect

Beschrijving van de Hybride SSO Ons OpenId-Connect

Dit artikel beschrijft de werking van de Hybride SSO Ons OpenId-Connect koppeling. Ook kunt u hier nagaan aan welke voorwaarden moet worden voldaan om gebruik te kunnen maken van deze koppeling. Dit artikel is bestemd voor functioneel applicatiebeheerders en kan worden gebruikt om na te gaan of de koppeling voldoet aan uw wensen.

Voorwaarden

Er moet aan de volgende voorwaarden worden voldaan om gebruik te kunnen maken van de Hybride SSO Ons OpenId-Connect koppeling:
  1. Cliënten moeten vanuit de Ons NAW-koppeling zijn aangemaakt(*)
  2. Gebruikers hebben een account in de OpenId applicatie (bijvoorbeeld Azure of HelloId) en in Ons
  3. Het e-mailadres van de gebruiker in de OpenId applicatie moet hetzelfde zijn als in Ons
  4. Gebruiker moet in Ons een permissie hebben met betrekking tot inzien in extern EVS
Via dit formulier kunnen functioneel applicatiebeheerders een intake doen om te bepalen of de hybride koppeling geschikt is voor uw organisatie. 

Bepalen van permissies

De koppeling doorloopt een aantal stappen om te bepalen welke permissies er worden toegekend aan de gebruiker. Hieronder wordt in algemene zin met tekst en een afbeelding de stappen beschreven.

Hierboven ziet u welke stappen de koppeling doorloopt om te bepalen welke permissies een gebruiker krijgt in Medimo. Deze stappen zijn hieronder beschreven en zijn middels de blauwe pijlen te volgen:
  1. De gebruiker logt in middels OpenID
  2. Medimo ontvangt van de OpenID-Provider door wie de gebruiker is en welk e-mailadres deze heeft
  3. Medimo doet een 1e call naar Ons om op basis van het e-mailadres
  4. Medimo gaat na aan welke (Medimo) beveiligingsgroepen de Ons teams zijn gekoppeld. Op basis van die beveiligingsgroepen bepaalt Medimo de permissies
  5. Medimo doet een 2e call naar Ons om op te vragen bij welke cliënten de gebruiker mag
  6. Medimo past de permissies toe voor alle cliënten waar toe de gebruiker in Ons toegang heeft
Om de stappen te verduidelijken worden hieronder 3 scenario's uitgewerkt. Deze zijn:
  1. Eindgebruiker met toegang tot minder dan 500 cliënten
  2. Eindgebruiker met toegang tot meer dan 500 cliënten
  3. Eindgebruiker met voorschrijf- of beheerpermissies in Medimo

Gebruiker met toegang tot minder dan 500 cliënten

Onderstaande afbeelding toont welke stappen de koppeling doorloopt als een eindgebruiker toegang heeft tot minder dan 500 cliënten.

Hierboven ziet u welke stappen de koppeling doorloopt om te bepalen welke permissies Piet Jansen krijgt in Medimo. Deze stappen zijn hieronder beschreven en zijn middels de blauwe pijlen te volgen:
  1. Piet Jansen logt in middels OpenID
  2. Medimo ontvangt van de OpenID-Provider door wie de Piet Jansen is en welk e-mailadres Piet Jansen heeft. Het e-mailadres is piet@medimo.nl
  3. Medimo doet een 1e call naar Ons om op basis van het e-mailadres (piet@medimo.nl). Medimo krijgt door dat Piet Jansen in Ons lid van team 1203 is
  4. Medimo gaat na aan welke (Medimo) beveiligingsgroep het Ons team Team 1203 is gekoppeld. Team 1203 is gekoppeld aan Beveiligingsgroep A. Deze beveiligingsgroep heeft 3 permissies:
    1. Bekijk medicatie
    2. Medicatie toedienen
    3. Medicatie herhalen
  5. Medimo doet een 2e call naar Ons om op te vragen bij welke cliënten de gebruiker mag. Dit zijn cliënten A,B,C,D,E en F
  6. Medimo past de permissies 'Bekijk medicatie', 'Medicatie toedienen' en 'Medicatie herhalen' toe voor cliënten A,B,C,D,E en F

Gebruiker met toegang tot meer dan 500 cliënten

Wanneer een gebruiker toegang heeft tot meer dan 1000 cliënten in Ons of meer dan 500 in Medimo, is het niet meer mogelijk om de koppeling op cliëntniveau te laten werken. De koppeling kijkt dan naar het bereik van de beveiligingsgroep.

Door te escaleren in Ons kan een medewerker die in de basis onder de 500 zit toch boven de 500 uitkomen. Ook komt het soms voor dat gebruikers nog lang toegang hebben tot ontslagen en/of overleden cliënten. Hierdoor kunnen gebruikers ook boven de 500 dossiers uitkomen. De koppeling kan daardoor andere stappen doorlopen dan wordt verwacht. Belangrijk is bovenstaande punten te controleren en indien nodig aan te passen.


Hierboven ziet u welke stappen de koppeling doorloopt om te bepalen welke permissies Piet Jansen krijgt in Medimo. Deze stappen zijn hieronder beschreven en zijn middels de blauwe pijlen te volgen:
  1. Piet Jansen logt in middels OpenID
  2. Medimo ontvangt van de OpenID-Provider door wie de Piet Jansen is en welk e-mailadres Piet Jansen heeft. Het e-mailadres is piet@medimo.nl
  3. Medimo doet een 1e call naar Ons om op basis van het e-mailadres (piet@medimo.nl). Medimo krijgt door dat Piet Jansen in Ons lid van team 1203 is
  4. Medimo gaat na aan welke (Medimo) beveiligingsgroep het Ons team Team 1203 is gekoppeld. Team 1203 is gekoppeld aan Beveiligingsgroep A. Deze beveiligingsgroep heeft 3 permissies:
    1. Bekijk medicatie
    2. Medicatie toedienen
    3. Medicatie herhalen
  5. Medimo doet een 2e call naar Ons om op te vragen bij welke cliënten de gebruiker mag. Van deze cliënten staan er meer dan 500 in Medimo
  6. Staat de optie 'SSO-optie: Blokkeer bij meer dan 500 patiënten' aan in het koppelvlak? Dan wordt de toegang geblokkeerd en toont Medimo de foutmelding: "" Medimo past de permissies 'Bekijk medicatie', 'Medicatie toedienen' en 'Medicatie herhalen' uit beveiligingsgroep A toe voor de ingerichte doelen.

Gebruiker met voorschrijf- of beheerpermissies

Wanneer een gebruiker wordt gekoppeld aan beveiligingsgroep waarin voorschrijf- of beheerpermissies zitten, dan vraagt Medimo de inloggegevens op te geven. Hierdoor wordt het account van de OpenId applicatie gekoppeld aan het account in Medimo. Een volgende keer wordt de gebruiker herkend en direct ingelogd op Medimo. Medimo gaat de permissies na die toegekend zijn aan het Medimo account.

Hierboven ziet u welke stappen de koppeling doorloopt om te bepalen welke permissies Piet Jansen krijgt in Medimo. Deze stappen zijn hieronder beschreven en zijn middels de blauwe pijlen te volgen:
  1. Piet Jansen logt in middels OpenID
  2. Medimo ontvangt van de OpenID-Provider door wie de Piet Jansen is en welk e-mailadres Piet Jansen heeft. Het e-mailadres is piet@medimo.nl
  3. Medimo doet een 1e call naar Ons om op basis van het e-mailadres (piet@medimo.nl). Medimo krijgt door dat Piet Jansen in Ons lid van team 1303 is
  4. Medimo gaat na aan welke (Medimo)beveiligingsgroep het Ons team Team 1303 is gekoppeld. Team 1303 is gekoppeld aan Beveiligingsgroep B. Deze beveiligingsgroep heeft de permissie 'Mag medicatie aanpassen'
  5. Medimo gaat na of het OpenId-Connect account van de Piet Jansen gekoppeld is aan een Medimo account. Het account is (nog) niet gekoppeld
  6. Medimo vraag Piet Jansen zijn Medimo inloggegevens op te geven
  7. Piet Jansen logt in met zijn Medimo account, waarmee zijn OpenId-Connect account is gekoppeld aan zijn Medimo account
  8. Medimo gaat na welke permissies het Medimo account van Piet Jansen heeft en kent deze toe. Deze permissies staan los van de rechten en toegang van Piet Jansen in Ons

Zaken om rekening mee te houden

  1. Gebruikers uit hetzelfde team krijgen altijd dezelfde permissies
  2. De indeling van de teams (organigram) in Ons bepaalt de mogelijkheid tot variëren in permissies
  3. Wanneer een gebruiker meer dan 500 cliënten mag zien in Medimo of meer dan 1000 in Ons dan werkt de escalatieknop niet door in Medimo
  4. De fotocontrole permissie kijkt altijd naar het bereik van de beveiligingsgroep
  5. Medimo vraagt alleen op of een cliënt gekoppeld is aan een team, er wordt niet gekeken of er een actief contract is

Verschillen tussen regulier Ons SSO, OpenId-Connect SSO en Hybride SSO

In onderstaande tabel kunt u per onderwerp nagaan hoe de verschillende SSO-koppelingen hiermee omgaan.


Koppelvlak opties

Om de koppeling beter te laten aansluiten op de werkwijze, zijn er een aantal SSO-opties die kunnen worden geactiveerd. Voor meer informatie over deze opties kunt u artikel Wat zijn de SSO-optie(s) in het koppelvlak? raadplegen. Naast de gebruikelijke SSO-opties in het koppelvlak, zijn er opties specifiek voor de hybride SSO-koppeling. Hieronder een korte beschrijving per optie.

SSO-optie: Blokkeer bij meer dan 500 patiënten
Als de gebruiker toegang heeft tot meer dan 500 cliënten worden de permissies uitgebreid naar teams in plaats van de individuele cliënten. Is dat niet wenselijk, dan kunt u deze optie activeren. Hierdoor toont Medimo aan de gebruiker een foutmelding en kan de gebruiker niet inloggen.

SSO-optie: Blokkeer bij meerdere accounts
Als het opzoeken van de gebruiker in Ons meerdere accounts oplevert, dan wordt uit veiligheidsoverwegingen een foutmelding getoond en kan de gebruiker niet inloggen.

SSO-optie: Gebruik mailadres uit UPN
Voor sommige organisaties is de UPN (User Principal Name) gelijk aan het e-mailadres. Door deze optie aan te zetten gebruikt Medimo het UPN van de gebruiker om mee te zoeken in Ons.

Cliënten moeten vanuit de Ons NAW-koppeling zijn aangemaakt(*)

Cliënten moeten vanuit de Ons NAW-koppeling zijn aangemaakt. Handmatig aangemaakte cliënten missen het 'Ons ObjectId' van de cliënt en daarom werkt de koppeling niet voor deze cliënten. 




Medisch Hulpmiddel

Medimo automatiseert het geneesmiddelproces zodat er minder fouten worden gemaakt. Het product omvat functionaliteit zoals het elektronisch voorschrijven, het uitvoeren van medicatiebewaking en het uitvoeren van elektronische toedienregistratie en is als zodanig een medisch hulpmiddel. Medimo wordt in Nederland op de markt gebracht door Enovation Medimo, Soestdijkseweg Zuid 13, 3732 HC De Bilt. Enovation Medimo is gecertificeerd onder ISO 27.001 en NEN 7510. Medimo voldoet aan de Medical Device Regulation (MDR, klasse I). Dit document behoort tot de gebruikershandleiding van versie: 2024-3, productiedatum: 02-07-2024​

CE certificate

    • Related Articles

    • Beschrijving van de Ons SSO-koppeling

      Dit artikel beschrijft hoe de Ons SSO-koppeling werkt en hoe een functioneel applicatiebeheerder de koppeling beheert. Er zijn 3 varianten van de Ons SSO-koppeling. Deze zijn: OpenId-Connect SSO Reguliere SSO Hybride OpenId-Connect SSO Dit artikel ...

    • Beschrijving van de OpenId-Connect koppeling

      Dit artikel beschrijft de werking van de OpenID Connect SSO-koppeling en hoe een functioneel applicatiebeheerder de koppeling beheert in Medimo. Omschrijving Een OpenID Connect (OIDC) koppeling is een manier om veilige en gestandaardiseerde ...

    • Beschrijving van de Ysis SSO-koppeling

      Dit artikel beschrijft de werking van de reguliere Ysis SSO-koppeling. Gerimedica kan de URL van de inlog knop aanpassen zodat er gebruik wordt gemaakt van een OpenId-Connect SSO-koppeling. Voor het beheren van een OpenId-Connect SSO-koppeling kunt u ...

    • Foutmelding Hybride Ons - Meerdere accounts gevonden

      Bij gebruik van de hybride SSO-koppeling wordt op basis van het e-mailadres van de gebruiker uit OpenID een opvraag gedaan bij Ons. Krijgt Medimo meerdere resultaten hierop en is de SSO-optie 'Blokkeer bij meerdere accounts' geactiveerd, dan kan niet ...

    • Beschrijving van Deeplinking

      Met Deeplinking kunt u middels een link direct naar een specifieke pagina of inhoud navigeren. In plaats van de algemene startpagina te openen, wordt de gebruiker naar een specifieke bestemming binnen de website gebracht, zoals een artikel, ...