Exact Online is bezig om alle gebruikers van Exact-producten te registreren in een groot “telefoonboek” genoemd “One Exact Identity”. In dit artikel vindt u meer over wat One Exact Identity is, waarom het nodig geacht wordt en hoe de invoering merkbaar is binnen Invantive-producten. Alle informatie in dit artikel is verzameld uit publieke bronnen en/of ervaringen in het geschikt maken van de Invantive-producten voor One Exact Identity, en daarna geinterpreteerd vanuit de context van Invantive. De informatie hoeft niet aan te sluiten bij andere interpretaties over de betekenis van One Exact Identity.
Wat is One Exact Identity?
One Exact Identity is een centrale registratie van identiteiten (personen en eventueel anderen zoals “dienstenaccounts”). In deze centrale registratie, vaak ook “user directory” genoemd, moeten uiteindelijk alle gebruikers van Exact-producten terug te vinden zijn op basis van het e-mailadres dat gebruikt wordt voor de identificatie.
“One Exact Identity” is ook bekend onder de afkorting “OEI”.
Het e-mailadres dat gebruikt wordt voor identificatie moet tot de persoon van de gebruiker herleidbaar zijn en de gebruiker dient mails hierop te kunnen ontvangen.
In een dergelijke user directory kunnen naast het e-mailadres en gegevens om een wachtwoord te controleren, ook aanvullende velden opgenomen zijn, zoals naamgegevens of specifieke rechten, en/of gebruikt worden om bijvoorbeeld een achternaamwijziging te centraliseren. Het is momenteel (mei 2023, juni 2023) niet bekend of dit voor One Exact Identity het geval is, of dat deze extra gegevens alleen terug te vinden zijn in de Exact-producten zelf.
In een centrale user directory zoals OEI kunnen ook gegevens aanwezig zijn voor de sterke authenticatie op basis van TOTP. Het is in juni 2023 bekend geworden dat OEI in sterke authenticatie voorziet en/of sterke authenticatie zoals bekend van Exact Online behouden blijft en/of het gebruik van andere authenticatie-apps dan Microsoft Authenticator zoals Google Authenticator. Hierbij is er compatibiliteit vanuit Exact Online waarbij wachtwoorden en QR-codes voor TOTP behouden blijven.
Sterke authenticatie op basis van TOTP is gedifferentieerd. Het gedrag lijkt te zijn dat als het vinkje “30 dagen onthouden” niet aangezet wordt, dat dan bij gelijkblijvende omstandigheden (waaronder IP-adres) niet of minder vaak om een verificatiecode gevraagd wordt. Wisselen van IP-adres naar een ondersteund land vereist meestal een nieuwe verificatiecode.
One Exact Identity lijkt in die zin erg op de Invantive Cloud-user directory en de Atlassian user directory. Ook Visma is naar verluidt bezig om alle identiteiten centraal te registreren over alle Visma-producten heen. One Exact Identitiy biedt (voor zover bekend) geen mogelijkheden om zoals SecureLogin en anderen voor authenticatie op niet-Exact producten, zoals dat soms met een Google of Apple-account wel kan.
Technologisch lijkt One Exact Identity gebaseerd op Azure B2C. De technologie en status daarvan waarop sterke authenticatie gebaseerd is, is niet eenduidig bekend.
Het is niet bekend of cq. op welke termijn One Exact Identity als Single Sign-on methode zal werken in aanvulling op “Single Identity”. Hierbij wordt onder “Single Sign-on” (“SSO”) verstaan dat na eenmalig aanmelden een eenmaal aangemelde gebruiker ook andere Exact-producten kan gebruiken zonder verdere authenticatie en/of autorisatie.
One Exact Identity en Exact Online
Sinds halverwege mei wordt aan een beperkte doelgroep van de Exact Online-gebruikers aangeboden om over te stappen op OEI. Het wachtwoord blijft hierbij behouden.
Het gaat uitsluitend (26 mei 2023, 6 juni 2023) om gebruikers in Nederland. Voor Belgie is er nog geen datum van eerste gebruik van OEI bekend.
Update 9 juni: de gebruikers die de optie aangeboden hebben gekregen om over te stappen op OEI zullen op 16 juni geforceerd overgezet worden naar OEI.
Compatibiliteit One Exact Identity en Invantive-producten
Op de dag van invoering van One Exact Identity voor Exact Online zijn er grote storingen geweest in tenminste de AvailableFeatures
-API. Dit blokkeerde het aanmelden volledig. Ook lijken de prestaties van de API’s lager. De storingen op de AvailableFeatures
-API en performanceproblemen lijken inmiddels spontaan opgelost.
Aanmelden Telnet-console met Implicit Grant Flow
Op dit moment is bekend dat het aanmelden via een Telnet-console op Exact Online via de Implicit Grant Flow onmogelijk is met alle Invantive-producten. Dit betekent dat activatie van OEI een storing zal veroorzaken in combinatie met vrijwel alle installaties van Invantive Data Hub en Invantive Data Replicator op Windows, Linux en MacOS.
Een mogelijke workaround is om de Windows-variant van Invantive Data Hub te vervangen door de multi-platform variant (versie 22.0.664 of nieuwer). De multi-platform variant is vrijwel geheel compatibel qua scripts en werking met de Windows-variant. Volg voor het overstappen naar de multi-platform variant de stappen beschreven in:
Aanmelden Windows-producten met Implicit Grant Flow
Het aanmelden via de embedded Edge-browser in de Invantive-producten voor Windows GUI en Microsoft Office is niet mogelijk met versies ouder dan 22.0.646. Dit betekent dat activatie van OEI een storing zal veroorzaken in combinatie met oudere versies van Invantive Query Tool en Invantive Control for Excel.
Een verbetering is beschikbaar in alle Windows-producten vanaf versie 22.0.646. Deze zijn ook te vinden op https://download.invantive.com. Alle frequente gebruikers hebben een e-mail ontvangen met een verzoek om de nieuwe versie te installeren, te testen en in productie te nemen.
Aanmelden Cloud-producten
Op dit moment (mei 2023, juni 2023) zijn er geen problemen meer bekend bij het gebruik van Get My Report en Invantive Cloud in combinatie met Exact Online-accounts waarvan OEI geactiveerd is.
Advies Invoering One Exact Identity
Op basis van ervaringen over de invoering van de centrale user directory van Atlassian is de verwachting dat de invoering van One Exact Identity gedurende meerdere maanden tot verstoringen kan leiden.
Advies is om One Exact Identity NIET te activeren zolang dat kan totdat een upgrade op alle Invantive-producten een recente versie in gebruik is genomen.
Algemeen advies om de activatie van One Exact Identity uit te stellen totdat grotere groepen van andere gebruikers succesvol overgestapt zijn en tenminste 1 maand geen problemen hierdoor hebben ervaren.
Lees verder
Gerelateerde video:
https://files.exact.com/training/MM/NL-NL_OEI_MigrationU/
Gerelateerde artikelen: