Exact Online settings file als er geen two factor authenticatie wordt gebruikt

Goedemorgen,

Normaliter gebruiken wij in een Exact Online settings file een username, wachtwoord en TOTP-secret. We hebben nu een klant die geen two factor authenticatie gebruikt, alleen gebruikersnaam en wachtwoord.

Hoe dient dit in de settingsfile verwerkt te worden?

  <database
   provider="ExactOnlineAll"
   userLogonCodeMode="Hidden"
   passwordMode="Hidden"
   alias="eol"
 defaultUserLogonCode="USERNAME"
 defaultPassword="PASSWORD"
   connectionString="api-url=https://start.exactonline.nl;CLIENTID;api-redirect-url=https://exactonlineclientredirect.invantive.com;totp-secret=XXXXXXXX"
  />

Het TOTP-secret vormt onderdeel van de sterke authenticatie (kennis, locatie, bezit, twee van de drie).

Principieel is het gebruik van Exact Online zonder sterke authenticatie niet gewenst gezien de aard van de vastgelegde gegevens en financiële mogelijkheden. Echter, voor de API’s zijn er soms afwijkende ontwerpkeuzes gemaakt waarover in 2021 al veel geschreven is. Apps zoals Invantive Data Hub lossen praktische problemen op door zowel TOTP-secret als wachtwoord te vereisen, en voor zover bekend is dit staande praktijk. Exact Online lijkt dit zelf op te lossen voor haar apps door deze apps meer toe te staan zoals een andere minimale duur tussen access token vernieuwingen, levensduur refreshtokens en aantal API-calls per dag en minuut, in combinatie met het beschikbaar houden van client ID en client secret in de apps onder iOS en Windows-devices van gebruikers.

Al met al is sterke authenticatie dus maar deels daadwerkelijk ingevuld, en zou er iets voor te zeggen zijn om authenticatie met alleen wachtwoord te gaan ondersteunen met de Invantive-producten. Echter, het gebruik van Exact Online zonder sterke authenticatie voor het interactief aanmelden is een vrij uitzonderlijke situatie; het is (voor zover bekend) behoudens ontwikkelomgevingen de eerste keer in drie jaar dat naar dit onderwerp gevraagd wordt.

Het geautomatiseerd testen van deze vrij unieke authenticatiesetup is voor Invantive niet praktisch realiseerbaar cq. kosteneffectief. Daarnaast is onze verwachting dat op enig moment deze omgeving alsnog geforceerd omgezet zal worden naar sterke authenticatie.

Om voornoemde redenen is het advies om de relatie te adviseren contact op te nemen met Exact Online Support om sterke authenticatie voor interactief aanmelden te laten activeren. Mogelijk dat bij de relatie of Exact bekend is of er bewust een afwijking gemaakt is van de regels, of dat dit per abuis is gebeurd.

Advies is daarnaast om ook altijd een client-secret=xxx op te nemen. Hierdoor wordt de authenticatie minder vaak doorlopen; men gebruikt hierdoor de “code grant flow” in plaats van de “implicit grant flow”. In de praktijk zal dat alleen gebeuren als het refresh token (dat in Invantive Keychain op het apparaat versleuteld wordt opgeborgen) vervalt doordat er tussentijds op een ander apparaat met dezelfde client ID en gebruiker is aangemeld, of doordat er jobs gelijktijdig draaien waarbij de mutaties die niet juist vastgelegd kunnen worden in Invantive Keychain.

Na contact met klant en Exact Online wordt verhaal steeds iets duidelijker (of juiste vager).

Klant maakt momenteel gebruik van One Exact Identity om aan te melden, weliswaar in combinatie met twofactor authenticatie. Maar, na aanmelden kan worden aangegeven dat er 30 dagen vertrouwd wordt en is de two factor dus niet nodig. Vandaar dat we binnen die 30 dagen kunnen inloggen zonder extra stap.

Nu komt het probleem: voor het verkrijgen van de TOTP-code moet de authenticatie gereset worden (nieuwe QR code aanmaken) maar de klant ziet hier géén reset knop staan. Klant heeft met Exact support gebeld en daar geven ze blijkbaar aan dat je binnen deze 30 dagen je authenticatie niet kan resetten. Komt erg vreemd over bij mij.

Is dit bekend bij Invantive? Is er een andere manier om aan de TOTP code te komen of de QR code te resetten?

Dit klinkt als een security issue binnen One Exact Identity; het opnieuw kunnen instellen van security credentials is nodig bij een inbraakpoging (“inbreker in het huis geweest”) of een mogelijk verlies van de vertrouwelijke informatie (“sleutel verloren; slot vervangen”).

Advies is dat de gebruiker dit probleem meldt bij Exact Online Support of via Responsible Disclosure Policy | Exact onder vermelding van het oorspronkelijke ticketnummer.

Voor onderdelen van One Exact Identity wordt mogelijk nog gebruik gemaakt van onderdelen die nog niet geschikt zijn momenteel voor productie-doeleinden.

Workaround is mogelijk om een aparte Exact Online user aan te maken en de huidige te laten vallen.

Zelf contact opgenomen met Exact Online Support. Blijkt dat alleen de hoofdgebruiker van de organisatie de twofactor kan resetten van deze gebruiker. Komt bij mij erg vreemd en onhandig over.

Morgen gaan we dit testen. Wordt vervolgd.

Via een ander kanaal is contact geweest met Exact Online hierover. Het juiste antwoord moet zijn dat zowel de tweedelijns support als het Product Readiness Team de MFA-code opnieuw kunnen instellen voor eindgebruikers.

Advies is om aan te dringen bij eerstelijns Exact Online Support op het opnieuw instellen van de MFA-code.

Heb er bij deze klant op aangedrongen weer over te gaan op gebruikersnaam/wachtwoord en dan kan je zelf de MFA resetten.

Deze vraag is automatisch gesloten na 2 weken inactiviteit. Het laatste gegeven antwoord is gemarkeerd als oplossing.

Gelieve een nieuwe vraag te stellen via een apart topic als het probleem opnieuw optreedt. Gelieve in de nieuwe vraag een link naar dit topic op te nemen door de URL er van in de tekst te plakken.