We lopen tegen een probleem aan bij een bestaande Exact Online implementatie. De klant is vanaf afgelopen weekend over naar One Exact Identity. Dit hebben we al meermaals meegemaakt bij andere klanten, en normaal gesproken is het aanpassen van de gebruikersnaam in het settings.xml-bestand voldoende om aanmeldprocedures weer goed te laten verlopen.
Bij deze klant gebeurt er iets vreemds. Bij het aanmelden in Invantive Query Tool wordt eerst netjes het e-mail adres gebruikt, maar daarna in een tweede scherm weer de ‘oude’ gebruikersnaam. Naar mijn weten heb ik die gebruikersnaam nergens meer staan, zeker niet in het settings-bestand.
Enig idee hoe dit komt? Zit het wellicht nog ergens in de cache?
In wat oudere 22.0-releases van voor One Exact Identity zaten nog aantal van dergelijke problemen. In dit geval gaat het om een probleem van de gebruikte Invantive-software en niet de invoering van One Exact Identity.
Het settings.xml-bestand wordt namelijk historisch ook op aantal plekken gecachet, waaronder in Invantive Keychain (een lokale en versleutelde database met eerder gebruikte credentials). Dit stamt nog uit de tijd dat dit bestand vaak op een netwerkschijf stond in grote enterprise-omgevingen, maar dat die netwerkschijf niet altijd beschikbaar was.
Als het goed is, dan zijn dergelijke problemen oplosbaar door een recente 23.0-release te gebruiken.
Het gebruik van 23.0 wordt sowieso aanbevolen voor compatibiliteit met One Exact Identity. Met oudere releases zal One Exact Identity niet of beperkt werken.
Aangezien voor Invantive Data Replicator geldt dat het nodig is om zowel Data Hub als Query Tool in identieke versies te gebruiken, is het advies om meteen over te gaan op de multi-platformversie van Data Hub zoals beschreven in Overstappen van Windows- naar multi-platform variant van Data Hub.
23.1 geïnstalleerd van zowel data hub als query tool maar hetzelfde probleem treedt op. Dienen we nog de Invantive Keychain o.i.d te legen of kan dit niet zomaar?
Advies is om 23.0 te gebruiken; de BETA 23.1 is nog niet klaar voor gebruik.
Controleer daarna in het aanmeldscherm dat de juiste versie 23.0 gebruikt wordt en niet per abuis 22.0.x. Dit kan momenteel getoond worden als “Unofficial”, maar is dan met zekerheid 23.0.
Mocht daarna nog optreden, dan is advies om de Keychain te legen door in de map %USERPROFILE% het databasebestand invantive-own-v2.keychain te hernoemen naar invantive-own-v2.old-keychain. Bij een volgende start wordt dan een nieuwe keychaindatabase aangemaakt.
Ik kom er zojuist achter dat de klant die het betreft weliswaar One Exact Identity aan heeft staan, maar geen MFA.
Hierdoor kan je met e-mailadres en wachtwoord direct inloggen op Exact.
Is MFA een vereiste voor koppeling met Invantive volgens onze settings-xml? Daar gebruiken we namelijk de bekende TOTP code, die volgens mij juist bedoeld is voor de MFA.
De MFA-implementatie van One Exact Identity is niet optimaal op meerdere onderdelen. De Invantive-drivers voor Exact Online passen zich automatisch aan als er wel of niet om een MFA-code gevraagd wordt.
Het is de verwachting dat de MFA-implementatie voor One Exact Identity onder de motorkap nog serieus gewijzigd gaat worden.
Oke, dus dat verklaart dan ook het probleem niet wat wij hebben.
Ik heb zojuist een settings XML per mail toegezonden. Wellicht kan die eens getest worden? Probleem blijft namelijk hetzelfde: bij aanmelden wordt bij het tweede scherm weer de oude gebruikersnaam ingevoerd.
Dank voor de verstrekte video. Dit betreft een One Exact Identity-bug waarbij uit de browser of OEI-cache een andere oude gebruikersnaam ingevuld wordt.
Advies is dit te melden bij Exact Support.
Het activeren van One Exact Identity wordt tot nader bericht waar mogelijk afgeraden om verspilling en beveiligingsrisico’s te voorkomen.
Zie onderstaande reactie vanuit Exact. Cache is al geleegd en lost probleem niet op, en ook op hele nieuwe server treedt zelfde probleem op. Ik ben niet bekend met de backend van Invantive, hoe kan ik het probleem verduidelijken voor Exact Support vanuit het perspectief van Invantive backend? Wat gaat er fout?
In het geval de verkeerde gebruikersnaam naar voren komt bij het ophalen van gegevens via de API-koppeling, zijn er 2 mogelijkheden:
Internet browser cookies en cache legen
Opnieuw koppelen vanuit de koppeling en zorgen dat de nieuwe gebruikersnaam (het mailadres) wordt gebruikt bij de authenticatie.
De gebruiker zou nu altijd moeten kunnen inloggen met het mailadres. Dit staat al goed aan onze kant.
Bij het interactief aanmelden wordt door Invantive-software Microsoft Edge in een venster gestart. Voor de communicatie daarmee wordt de WebView2-integratie, die bijvoorbeeld ook zichtbaar is in de Microsoft Teams-processenlijst.
Vervolgens wordt de gebruikersnaam bepaald en doorgegeven. Alle verdere afwikkeling gebeurt met deze gebruikersnaam. Er is dus precies 1 gebruikersnaam bekend.
Gezien de technische en beveiligingsproblemen die we momenteel zien rondom One Exact Identity is advies een andere Exact Online-gebruiker te overwegen. Dan heeft Exact de kans en tijd om de techniek op orde te krijgen.
Alternatief is om Invantive Query Tool niet te gebruiken en voorlopig met Invantive Cloud en/of Invantive Data Hub te werken.
