Itgeneor228 / itgenoda060: Forbidden - User division is not within division scope

Deze foutmelding “Forbidden - User division is not within division scope.” treedt sinds vorige week woensdag bij een klein gedeelte van de gebruikers op.

Sinds vorige week woensdag vereist de authenticatie van een app op Exact Online dat de gebruiker ook expliciet aangeeft of die app authenticatie betrekking heeft op de huidige Exact Online administratie of op alle administraties waar de gebruiker rechten op heeft.

Deze fout treedt op als de gekozen administratie later niet meer beschikbaar is, bijvoorbeeld omdat de rechten weggehaald zijn bij de gebruiker of doordat de administratie is verwijderd. Een zijdelings effect lijkt te zijn dat het niet meer mogelijk is om het scherm “Mijn Exact Online” te openen:

Het is momenteel daardoor niet mogelijk in Exact Online om de rechten van de app weer in te trekken en opnieuw de app te authenticeren.

Geadviseerd workaround totdat dit in Exact Online zelf opgelost is om een een app te registreren op https://app.exactonline.com en de client ID hiervan te gebruiken.

Je kunt de rechten van een Exact Online app qua administraties (“Division scoping”) ook aanpassen via het Administratiemenu linksboven in de blauwe balk te gaan naar:

  • Kies “Import/Export”.
  • Kies “Appmachtigingen” onder groep “Overige”.

Exact Online appmachtigingen

Kies vervolgens de betrokken Exact Online app. Voor de Online SQL Editor ziet dat er bijvoorbeeld zo uit:

De SQL driver voor de Exact Online API’s vraagt alle rechten, dus het is nogal veel. Hierdoor verdwijnen de lijst van administratie instellingen onder de “vouw” van het scherm. Scroll omlaag tot het einde, hier staan de administratie instellingen:

Met de knop “Administraties beheren” kun je bepalen welke administraties de app kan benaderen.

In deze lijst staan alle administraties links als de app “Alle administraties” had. Dat is een beetje onlogisch, maar het is niet anders. Kies vervolgens de administraties waar je de app rechten op wilt geven:

Deze error “User division is not within division scope” treedt vooral op bij het inrichten van nieuwe omgevingen.

Kies altijd “Alle Administraties”

Let bij het geven van toegang aan een app op dat je voorlopig kiest voor “Alle administraties”. Dit kan achteraf door niet meer gecorrigeerd worden totdat de Exact Online user interface Appmachtigingen hiervoor een mogelijk krijgt.

Een case 02766847 is ingediend met verzoek om user te vragen expliciet te kiezen tussen “Alle” of “Huidige” administratie. Nu is standaard “Huidige” gekozen.

Mocht je toch per abuis “Alle administraties” gekozen hebben dan moet je de apprechten volledig intrekken via Mijn Exact Online en dan Beveiligingscentrum. Vervolgens de app weer opnieuw autoriseren en “Alle administraties” kiezen.

Error op Exact Online API AccountantInfo

Invantive SQL haalt bij het aanmelden ook gegevens op uit de Exact Online API AccountantInfo voor de huidige (default) administratie van de gebruiker. De app hoeft hier geen rechten op te hebben; in Me kan een laatst gebruikte administratie staan die niet voorkomt in SystemDivisions.

Voor de API Me zit er extra logica in Exact Online zodat je Me kunt opvragen ook binnen de context van een administratie waar de app geen rechten op heeft. Deze logica ontbreekt op AccountantInfo. Als je in Exact Online werkt in een administratie waar de app geen rechten op heeft, dan zul je bij het aanmelden op Invantive producten een itgenoda060 of itgeneor228 error krijgen.

Voorlopig is de aanbevolen aanpassing om de nieuwe security op administratieniveau even te laten voor wat het is, en om Invantive software rechten te geven op ALLE administraties, zoals dat ook voorheen het geval was.

Een bugreport voor AccountantInfo is in behandeling via Exact case 02766797.