Op dit moment adviseren we om in enterprise-situaties de gebruikersnaam, wachtwoord en TOTP-secret op de server op te slaan. Zorg voor beveiliging op locatie (toegang) en kennis (OS-wachtwoord).
Het gebruik van het refresh token is mogelijk maar is uitgeschakeld. Het huidige ontwerp op Exact Online laat naar onze mening nog ruimte voor verbetering op het gebied van de beveiliging en het ouwerwetse RAS: Reliability, Availability en Serviceability, hetgeen leidt tot een groot aantal servicevragen en frequente storingen.
Voor de kortere termijn wordt het Bring Your Own App concept (Bring Your Own App voor Exact Online op Invantive Cloud) ook beschikbaar gemaakt voor de on-premises oplossingen. Het verwerven van een nieuw access token gebeurt dan in de cloud binnen de beveiligde Invantive Data Guard omgeving, terwijl de datatransfer direct tussen Exact Online en de on-premises devices gebeurt. Voor een deel van de doelgroep kan hiermee een afdoende alternatief geboden worden.
Vanuit een risicogewogen benadering vinden we dit voor de top-30 accountantskantoren geen voldoende alternatief omdat de refresh tokens hiermee buiten controle van de organisatie geplaatst worden. Voor de langere termijn wordt mogelijkerwijs de refresh token mogelijkheid opengesteld. Dit hangt primair af van de betrouwbaarheid.
Update 1 oktober 2021
De Invantive Cloud release van 1 oktober maakt het eenvoudiger om de autorisatie te vernieuwen, bijvoorbeeld voor vervallen refresh tokens, zoals beschreven op Eenvoudiger autorisaties vernieuwen op Invantive Cloud (itgenscr652).