Invoering One Exact Identity: wat is het, waarom, hoe met Invantive?

Go to English version

Exact Online is bezig om alle gebruikers van Exact-producten te registreren in een groot “telefoonboek” genoemd “One Exact Identity”. In dit artikel vindt u meer over wat One Exact Identity is, waarom het nodig geacht wordt en hoe de invoering merkbaar is binnen Invantive-producten. Alle informatie in dit artikel is verzameld uit publieke bronnen en/of ervaringen in het geschikt maken van de Invantive-producten voor One Exact Identity, en daarna geinterpreteerd vanuit de context van Invantive. De informatie hoeft niet aan te sluiten bij andere interpretaties over de betekenis van One Exact Identity.

Wat is One Exact Identity?

One Exact Identity is een centrale registratie van identiteiten (personen en eventueel anderen zoals “dienstenaccounts”). In deze centrale registratie, vaak ook “user directory” genoemd, moeten uiteindelijk alle gebruikers van Exact-producten terug te vinden zijn op basis van het e-mailadres dat gebruikt wordt voor de identificatie.

“One Exact Identity” is ook bekend onder de afkorting “OEI”.

Het e-mailadres dat gebruikt wordt voor identificatie moet tot de persoon van de gebruiker herleidbaar zijn en de gebruiker dient mails hierop te kunnen ontvangen.

In een dergelijke user directory kunnen naast het e-mailadres en gegevens om een wachtwoord te controleren, ook aanvullende velden opgenomen zijn, zoals naamgegevens of specifieke rechten, en/of gebruikt worden om bijvoorbeeld een achternaamwijziging te centraliseren. Het is momenteel (mei 2023, juni 2023) niet bekend of dit voor One Exact Identity het geval is, of dat deze extra gegevens alleen terug te vinden zijn in de Exact-producten zelf.

In een centrale user directory zoals OEI kunnen ook gegevens aanwezig zijn voor de sterke authenticatie op basis van TOTP. Het is in juni 2023 bekend geworden dat OEI in sterke authenticatie voorziet en/of sterke authenticatie zoals bekend van Exact Online behouden blijft en/of het gebruik van andere authenticatie-apps dan Microsoft Authenticator zoals Google Authenticator. Hierbij is er compatibiliteit vanuit Exact Online waarbij wachtwoorden en QR-codes voor TOTP behouden blijven.

Sterke authenticatie op basis van TOTP is gedifferentieerd. Het gedrag lijkt te zijn dat als het vinkje “30 dagen onthouden” niet aangezet wordt, dat dan bij gelijkblijvende omstandigheden (waaronder IP-adres) niet of minder vaak om een verificatiecode gevraagd wordt. Wisselen van IP-adres naar een ondersteund land vereist meestal een nieuwe verificatiecode.

One Exact Identity lijkt in die zin erg op de Invantive Cloud-user directory en de Atlassian user directory. Ook Visma is naar verluidt bezig om alle identiteiten centraal te registreren over alle Visma-producten heen. One Exact Identitiy biedt (voor zover bekend) geen mogelijkheden om zoals SecureLogin en anderen voor authenticatie op niet-Exact producten, zoals dat soms met een Google of Apple-account wel kan.

Technologisch lijkt One Exact Identity gebaseerd op Azure B2C. De technologie en status daarvan waarop sterke authenticatie gebaseerd is, is niet eenduidig bekend.

Het is niet bekend of cq. op welke termijn One Exact Identity als Single Sign-on methode zal werken in aanvulling op “Single Identity”. Hierbij wordt onder “Single Sign-on” (“SSO”) verstaan dat na eenmalig aanmelden een eenmaal aangemelde gebruiker ook andere Exact-producten kan gebruiken zonder verdere authenticatie en/of autorisatie.

One Exact Identity en Exact Online

Sinds halverwege mei wordt aan een beperkte doelgroep van de Exact Online-gebruikers aangeboden om over te stappen op OEI. Het wachtwoord blijft hierbij behouden.

Het gaat uitsluitend (26 mei 2023, 6 juni 2023) om gebruikers in Nederland. Voor Belgie is er nog geen datum van eerste gebruik van OEI bekend.

Update 9 juni: de gebruikers die de optie aangeboden hebben gekregen om over te stappen op OEI zullen op 16 juni geforceerd overgezet worden naar OEI.

Compatibiliteit One Exact Identity en Invantive-producten

Op de dag van invoering van One Exact Identity voor Exact Online zijn er grote storingen geweest in tenminste de AvailableFeatures-API. Dit blokkeerde het aanmelden volledig. Ook lijken de prestaties van de API’s lager. De storingen op de AvailableFeatures-API en performanceproblemen lijken inmiddels spontaan opgelost.

Aanmelden Telnet-console met Implicit Grant Flow

Op dit moment is bekend dat het aanmelden via een Telnet-console op Exact Online via de Implicit Grant Flow onmogelijk is met alle Invantive-producten. Dit betekent dat activatie van OEI een storing zal veroorzaken in combinatie met vrijwel alle installaties van Invantive Data Hub en Invantive Data Replicator op Windows, Linux en MacOS.

Een mogelijke workaround is om de Windows-variant van Invantive Data Hub te vervangen door de multi-platform variant (versie 22.0.664 of nieuwer). De multi-platform variant is vrijwel geheel compatibel qua scripts en werking met de Windows-variant. Volg voor het overstappen naar de multi-platform variant de stappen beschreven in:

Aanmelden Windows-producten met Implicit Grant Flow

Het aanmelden via de embedded Edge-browser in de Invantive-producten voor Windows GUI en Microsoft Office is niet mogelijk met versies ouder dan 22.0.646. Dit betekent dat activatie van OEI een storing zal veroorzaken in combinatie met oudere versies van Invantive Query Tool en Invantive Control for Excel.

Een verbetering is beschikbaar in alle Windows-producten vanaf versie 22.0.646. Deze zijn ook te vinden op https://download.invantive.com. Alle frequente gebruikers hebben een e-mail ontvangen met een verzoek om de nieuwe versie te installeren, te testen en in productie te nemen.

Aanmelden Cloud-producten

Op dit moment (mei 2023, juni 2023) zijn er geen problemen meer bekend bij het gebruik van Get My Report en Invantive Cloud in combinatie met Exact Online-accounts waarvan OEI geactiveerd is.

Advies Invoering One Exact Identity

Op basis van ervaringen over de invoering van de centrale user directory van Atlassian is de verwachting dat de invoering van One Exact Identity gedurende meerdere maanden tot verstoringen kan leiden.

Advies is om One Exact Identity NIET te activeren zolang dat kan totdat een upgrade op alle Invantive-producten een recente versie in gebruik is genomen.
Algemeen advies om de activatie van One Exact Identity uit te stellen totdat grotere groepen van andere gebruikers succesvol overgestapt zijn en tenminste 1 maand geen problemen hierdoor hebben ervaren.

Lees verder

Gerelateerde video:

https://files.exact.com/training/MM/NL-NL_OEI_MigrationU/

Gerelateerde artikelen:

1 Like

Exact Online geeft bij een dagelijkse inlog nu de melding dat gebruikers moeten migreren naar Exact Online Identity.

Zijn de Invantive producten momenteel geüpgraded, zodat dit ondersteund wordt? Zitten er gevolgen aan het overstappen naar EOI als een account gekoppeld is aan Invantive Databases?

One Exact Identity kent nog steeds grote problemen bij het gebruik met willekeurige apps die niet of amper opgelost worden.

Advies is migratie zolang mogelijk uit te stellen.

Alle Invantive-producten zijn sinds circa een half jaar geschikt voor gebruik met One Exact Identity, maar hou er rekening mee dat als apps niet werken de correctie bij Exact Online Support aangevraagd moet worden.

Geen idee wat bedoeld wordt met ‘willekeurige apps’. Zijn dit non-Invantive apps?

Is het gebruik van Invantive Cloud Databases voor het ophalen van data uit Exact wel ondersteund?

Er treden met zowel Invantive-apps als andere apps regelmatig problemen op bij het doorlopen van het authenticatieproces, evenals andere problemen.

Het gebruik wordt ondersteund met Invantive Cloud, maar eventuele problemen met One Exact Identity dient u met Exact Online zelf op te nemen.

De problemen met OEI zijn meestal specifiek voor een user account. U kunt ook overwegen een nieuwe user aan te maken en de oude te verwijderen.

Stel we maken een nieuwe user in Invantive aan, moeten we dan in Exact ook een nieuwe gebruiker aanmaken? Of kan in dit geval de Exact gebruiker die in de ge-linkte apps in het App-center met Invantive gebruikt worden?

Excuses voor de verwarring. De volgende alinea:

had moeten luiden:

Invantive Cloud users en de users van gekoppelde platformen van Exact Online staan volledig los van elkaar.

Bij een database onder een organisatie kan een andere platform-gebruiker ingesteld worden zoals beschreven in Autorisatie vernieuwen vereenvoudigd met Bring Your Own App op Exact Online.

Dankjewel voor de heldere uitleg! We zullen dit denk ik gewoon moeten testen en controleren of dit goed gaat.

Update: We hebben de migratie dinsdag uitgevoerd. Deze is succesvol gegaan! Het account dat gebruikt wordt tussen EOL en Invantive is nog steeds in staat om data over te dragen!

1 Like

2 berichten zijn gesplitst naar een nieuw topic: Melding One Exact Identity