Gebruikersauthenticatie in Alfresco

Alfresco

Zoals bij zoveel systemen die organisatiebreed worden ingezet, spelen de gebruikers een sleutelrol bij de inrichting van het DMS. Maar hoe zorgt uw organisatie er voor dat het beheer van de gebruikers op de daarvoor bestemde plek, binnen de organisatie, blijft? En hoe verzorgt u een veilige, maar tegelijkertijd gemakkelijke verificatie van de gebruikers die inloggen op Alfresco? Hieronder zal dit verder toegelicht worden.

Synchronisatie van gebruikers

Allereerst is er de optie om gebruikers handmatig toe te voegen in het DMS. Indien het systeem niet op voorhand gevuld wordt met gebruikers, worden gebruikers pas toegevoegd wanneer zij inloggen. Hierdoor kan het zijn dat binnen het systeem niet altijd alle gebruikers beschikbaar zijn om bijvoorbeeld groepslidmaatschappen en taken aan toe te wijzen. Voor het automatisch vullen en periodiek bijwerken van gebruikers wordt het LDAP-protocol (Lightweight Directory Acces Protocol) gebruikt.

Via een LDAP-koppeling kunnen periodiek de gebruikers (en optioneel groepen) die de organisatie kent, gesynchroniseerd worden met Alfresco. Zo worden continu nieuwe gebruikers toegevoegd, gedurende hun levensduur bijgewerkt en bij uitdiensttreding verwijderd of inactief gesteld.

Veel bronsystemen voor gebruikersbeheer ondersteunen LDAP. Bijvoorbeeld Microsoft Active Directory, OpenLDAP en alle gangbare alternatieve oplossingen zoals WSO2 Identity Server.

Wanneer synchronisatie succesvol is ingericht, kunnen gebruikers nog niet inloggen met hun accountwachtwoord binnen het corporate domain. Benieuwd hoe dit werkt? Lees dan verder.

Inloggen met gebruikersnaam en wachtwoord

Wellicht een bekend verschijnsel: verschillende applicaties die elk hun eigen wachtwoorden hanteren, waardoor u als gebruiker zit opgescheept met een kladblok vol wachtwoorden met variërende volgnummers. Dat is verwarrend, frustrerend en onwenselijk. Veel liever logt u op alle systemen in met het wachtwoord, waarmee u ook op uw werkplek inlogt.

Om dit te bereiken kan wederom een LDAP-koppeling toegepast worden. Dit keer niet voor synchronisatie zoals eerder uitgelegd, maar voor authenticatie. Dit is het proces waarbij een gebruiker zijn gebruikersnaam- en wachtwoord invult, de gegevens door het systeem worden geverifieerd, en de gebruiker als gevolg wel of geen toegang krijgt.

Bij het inzetten van LDAP als authenticatiemechanisme dient extra oplettend te worden omgegaan met de veiligheid van de gegevens. Het is belangrijk dat de LDAP-verbinding beveiligd is en dat gebruik gemaakt wordt van een veilig LDAP-communicatieprotocol. Onze experts staan u hier graag in bij.

Single sign-on met een authentication server

In de ideale situatie vult een medewerker bij aanvang van de werkdag eenmaal een wachtwoord in bij het aanloggen op de werkplek en daarna niet meer. De werkplek ‘weet’ immers wie u bent, dus de applicaties binnen de werkplek zouden deze gegevens simpelweg kunnen hergebruiken, zodat men geen inlogschermen meer te zien krijgt.

Dit is het ‘single sign-on’ principe. Dit kan gerealiseerd worden door een koppeling te leggen met de systemen die ook authenticatie met uw werkplek afhandelt. In de meeste gevallen is dit een Microsoft Active Directory. Hiermee kunnen we standaard een Kerberos koppeling leggen, welke single sign-on mogelijk maakt.

Single sign-on is tevens een van de meest veilige authenticatiemechanismen. Dit is onder meer veilig omdat het wachtwoord van de gebruiker niet meer ‘over de lijn’ gaat na het aanloggen op de werkplek.

Single sign-on met een Identity Manager

Naast single sign-on op basis van een Kerberos-koppeling zoals met bijvoorbeeld Microsoft Active Directory, is het ook mogelijk om single sign-on te realiseren met andere Identity-Managementsystemen, ook wanneer dit niet gerealiseerd kan worden met inzet van het Kerberos protocol.

OPEN.satisfaction heeft modules ontwikkeld voor authenticatie met o.a. OAuth 2.0, OpenID Connect en JWT. Dit zijn wereldwijd zeer breed geïmplementeerde standaarden voor authenticatie, die applicaties in staat stellen authenticatie af te laten handelen door bijna alle denkbare Identity Managers.

Heeft u vragen over authenticatie, single sign-on of identity-management in combinatie met Alfresco? Klik dan hier, wij helpen u graag!

Gebruikersauthenticatie in Alfresco