Activeren |
Alleen supervisors kunnen OIDC voor een Formdesk account activeren. Hiervoor dienen één of meerdere OIDC profielen aangemaakt te worden. Dit doet u bij de accountgegevens (knop onderin het formulierenoverzicht), tabblad ‘Toegang & Beveiliging’, onderin onder het kopje ‘OpenId Profielen’.
De profielen voor Google, Facebook en LinkedIn zijn standaard al gedefinieerd. Omdat deze gelieerd zijn aan een sociaal platform noemen we deze social logins. Deze kunnen direct geactiveerd worden op een Inlogformulier. Wilt u deze gebruiken voor Formdesk gebruikers dan kunt u dat binnen het profiel aangeven. |
|
|
 |
|
|
|
Voor elk profiel dat u aanmaakt en toewijst zal het inlogscherm van een extra inlogknop zijn voorzien. Met de + knop kan een profiel worden aangemaakt. |
|
|
 |
|
|
Omleidings-URL of Antwoord URL
Bij eigen (non-social) IdP’s zal altijd een omleidings-URL (ook wel antwoord URL genoemd) opgegeven moeten worden binnen het systeem van de IdP. Voor Formdesk is dit:
https://www.formdesk.com/api/rest/v1/oidc/return
|
 |
|
|
|
Voorbeeld van een omleidings-URL in Microsoft Azure AD. |
|
|
Gebruikers |
Gebruikers zijn personen met toegang tot het Formdesk account. Deze zijn zichtbaar binnen het onderdeel Gebruikersbeheer. Formdesk kent twee soorten gebruikers:
Interne gebruikers
Dit zijn gebruikers die middels hun Formdesk gebruikersnaam en wachtwoord (en eventueel extra verificatie) inloggen.
Externe gebruikers
Dit zijn de gebruikers die via een IdP inloggen.
Een externe gebruiker kan op 4 manieren worden aangemaakt:
1. Binnen gebruikersbeheer
Supervisors kunnen binnen het onderdeel Gebruikersbeheer externe gebruikers aanmaken. Hiervoor dient het externe gebruikers id bekend te zijn. |
|
|
 |
|
|
2. Gebruiker koppelt zijn interne gebruikersaccount aan een IdP
Supervisors kunnen binnen het onderdeel Gebruikersbeheer interne gebruikers aanmaken. De gebruiker kan deze zelf omzetten naar een extern gebruikersaccount. |
|
|
3. Automatisch bij eerste inlog
Indien iemand die nog geen extern gebruikersaccount heeft succesvol op een OIDC profiel inlogt, kan automatisch een extern gebruikersaccount worden aangemaakt. Dit kan worden aangegeven bij het (non-social) OIDC profiel. Hierbij kan dan ook worden aangegeven welke algemene rechten deze gebruiker dient te krijgen. |
|
|
 |
|
|
4. M.b.v. de REST API:
Gebruikeraccounts kunnen ook geautomatiseerd worden aangemaakt via onze REST API. Er wordt dan softwarematig met Formdesk gepraat. Vaak gebeurt dit vanuit Identity management systemen waardoor het aanmaken, wijzigen en deactiveren of verwijderen van gebruikers centraal kan worden geregeld.
Bestaande interne gebruikersaccounts omzetten naar externe gebruikersaccounts (migratie)
U kunt bestaande (interne) gebruikersaccounts in de gelegenheid stellen of dwingen deze om te zetten naar een extern gebruikersaccount.
Nadat de gebruiker inlogt kan deze het interne gebruikersaccount zelf omzetten naar een extern gebruikersaccount. De gebruiker kan dan dus niet meer met de gebruikersnaam en het wachtwoord van Formdesk inloggen. Hiervoor dient de gebruiker wel het recht te hebben de persoonlijke gegevens te wijzigen. |
|
|
 |
|
|
|
Dit kan worden afgedwongen zodat de gebruiker de eerstvolgende keer dat deze inlogt, zijn/haar account om moet zetten naar een extern gebruikersaccount. U doet dit binnen gebruikersbeheer. |
|
|
 |
|
|
|
Tevens bestaat de mogelijkheid deze instelling te activeren voor alle interne gebruikers met een enkele handeling middels een knop binnen de OIDC instellingen (Account gegevens -> Toegang & Beveiliging). Hiermee migreert u alle interne gebruikersaccounts naar externe gebruikersaccounts. |
|
|
 |
|
|
|
Een andere methode is om binnen het gebruikersbeheer het interne gebruikersaccount te wijzigen in een extern gebruikersaccount. U dient dan wel te beschikken over het externe user id. |
 |
|
|
Een laatste methode is om m.b.v. onze REST API de interne gebruikersaccounts te wijzigen.
Een extern gebruikersaccount kan door de gebruiker zelf niet (terug) omgezet worden naar een intern gebruikersaccount. Een supervisor kan dat wel doen binnen gebruikersbeheer.
Inloggen
Gebruikers loggen in op het domein van het account: www.formdesk.nl/<formlierenmap>. De knoppen van de OIDC profielen zijn hier beschikbaar. |
|
|
 |
|
|
Het is ook mogelijk om direct op een OIDC profiel in te loggen door de volgende URL te gebruiken: www.formdesk.nl/<formulierenmap>/oidc/<profielnaam>*
*Bij de profielnaam dienen spaties te worden vervangen door een koppelstreepje (-) en accenten te worden gestript. |
|
|
Bezoekers |
Formdesk biedt u de mogelijkheid uw formulier dusdanig in te richten dat de bezoeker van een formulier zijn/haar eerdere invoer kan bekijken en aanpassen. Hiervoor dient deze in te loggen op het formulier. We noemen een dergelijk formulier een Inlogformulier.
Het inlogformulier kent twee soorten bezoekers:
Interne bezoekers
Dit zijn bezoekers die middels een Formdesk gebruikersnaam en wachtwoord (en eventueel extra verificatie) inloggen.
Externe bezoekers
Dit zijn bezoekers die via een IdP inloggen op een formulier. Bij de instellingen van het inlogformulier kunt u aangeven welke u wilt ondersteunen voor het betreffende formulier. |
|
|
 |
|
|
Een externe bezoeker kan op 3 manieren worden aangemaakt:
1. Automatisch bij eerste inlog
Dit is de meest gebruikte methode. Bij het openen van het formulier meldt de bezoeker zich aan met (één van) de beschikbaar gestelde provider(s). Bestaat er nog geen account van deze bezoeker dan wordt deze automatisch aangemaakt. Voorwaarde is wel dat binnen de instellingen van het inlogformulier aangegeven is dat nieuwe bezoekers mogen worden aangemaakt. |
|
|
 |
|
|
2. Importeren
U kunt bezoekers en antwoorden op vragen van een inlogformulier importeren van een Excel bestand. Bekijk de handleiding voor meer informatie hierover. Een geïmporteerde bezoeker kan dan inloggen op uw formulier met de gebruikersnaam en het wachtwoord dat u heeft opgegeven of door Formdesk heeft laten genereren. Via de Groepsemail kunt u hen uitnodigen hiermee in te loggen. Vervolgens kan de bezoeker dit account omzetten naar een OIDC account. De interne bezoeker wordt dan een externe bezoeker. |
|
|
 |
|
|
|
Voorwaarde is dat bij het inlogformulier staat ingesteld dat de bezoeker zijn/haar persoonlijke gegevens mag wijzigen. |
|
|
 |
|
|
3. M.b.v. de REST API (provisioning):
Een andere methode voor het aanmaken van bezoekeraccounts is geautomatiseerd via onze REST API. Er wordt dan softwarematig met Formdesk gepraat. Vaak gebeurt dit vanuit Identity management systemen waardoor het aanmaken, wijzigen en deactiveren of verwijderen van bezoekers centraal kan worden geregeld. |
|
|
Beschikbare gegevens bezoeker (claims)
U kunt bepaalde vragen binnen het formulier automatisch vullen met gegevens van de bezoeker. Deze gegevens kunt u ook in berichten tonen.
Als een externe bezoeker op een formulier inlogt dan ontvangt Formdesk een aantal gegevens van deze bezoeker. Met de systeemcode
[_fd_ExternalClaim(claim)] kunt u deze gegevens tonen. Claim staat voor de variabele zoals de provider deze doorgeeft. Veel voorkomende claims zijn: |
| Claim
|
Omschrijving
|
Voorbeeld
|
| Name
|
Volledige naam
|
John Doe
|
| Email
|
Email adres
|
John.doe@johndoe.com
|
| Email verified
|
Of het email adres is geverifieerd
|
True / false
|
| Family name
|
Achternaam
|
Doe
|
| Given name
|
Voornaam
|
John
|
| Locale
|
Landcode
|
nl
|
| Picture
|
De url naar een profielfoto
|
|
|
Syntax:
[_fd_ExternalClaim(claim)]
Toepassingsvoorbeelden:
1. U kunt als standaard waarde van een vraag om het e-mailadres het volgende opgeven om dit veld automatisch ingevuld te hebben: [_fd_ExternalClaim(email)]
2. U kunt een bericht beginnen met Beste [_fd_ExternalClaim(name)], om deze te personaliseren. |
|
|
|
|
 |
|
Bovenstaande instelling zorgt ervoor dat het email adres automatisch wordt gevuld in het betreffende veld binnen het formulier. |
|
|
 |
In bovenstaand bericht wordt in de aanhef de naam van de invuller genoemd zoals deze is doorgegeven door de IdP.
Omdat soms door verschillende IdP’s verschillende claims worden gebruikt voor eenzelfde gegeven kunt u eventueel meerdere claims meegeven in een komma-gescheiden lijst.
Er zijn geen claims verplicht maar als GIVEN_NAME en FAMILY_NAME (+ evt FAMILY_NAME_PREFIX) of NAME wordt meegegeven, zal dit worden geregistreerd bij de bezoeker. Hetzelfde geldt voor de claim EMAIL.
Inloggen
Bezoekers loggen in op de URL van het formulier: http://www.formdesk.nl/<formlierenmap>/<formulier>. De knoppen van de OIDC profielen zijn hier beschikbaar. |
|
|
 |
|
|
Het is ook mogelijk om direct op een OIDC profiel in te loggen: http://www.formdesk.nl/<formlierenmap>/<formulier>/oidc/<profiel>*
*Bij de profielnaam dienen spaties te worden vervangen door het koppelteken (-) en accenten te worden gestript. |
|
|
Toegang conditioneren |
|
|
Met de mogelijkheid meerdere OIDC profielen aan te maken en hierbij een conditieregel op te geven kunt u de toegang o.b.v. groepen gebruikers conditioneren.
Stel dat voor een bepaalde groep gebruikers altijd een Formdesk account aangemaakt mag worden en dat andere gebruikers dat alleen met expliciete toestemming mogen. Of dat per inlogformulier aangegeven moet kunnen worden welke groep(en) bezoekers hierop in mogen loggen.
Hiervoor kunt u de voorwaarde gebruiken bij het aanmaken van een OIDC profiel. U maakt dan meerdere profielen aan met verschillende voorwaarden.
Als voorbeeld nemen we een SURFconext aansluiting van een universiteit. |
 |
|
Alleen de medewerkers |
 |
|
Elk lid van Universiteit Voorbeeld |
 |
|
Elk lid binnen de faculteit rechten van Universiteit Voorbeeld |
|
|
Identity Management (IAM) |
|
|
Met name bij grote organisaties speelt een goede Identity Management een steeds belangrijkere rol. Men wil centraal kunnen bepalen wie welke producten en diensten mag gebruiken. Er is een groeiende wens om niet per product/dienst nieuwe personeelsleden aan te hoeven maken, wijzigingen door te voeren of bij uitdiensttreding gebruikers te deactiveren of te verwijderen. Met OIDC voorziet Formdesk hierin op een tweetal manieren
REST API:
Gebruikers en bezoekers kunnen door het Identity Management Systeem worden aangemaakt, aangepast en worden verwijderd of inactief worden gezet m.b.v. onze REST API. Hiervoor zijn de volgende resources interessant:
AddUser / AddVisitor
DeleteUser / DeleteVisitor
UpdateUser / Updatevisitor (Ook voor het inactief maken)
Automatisch:
Het is niet noodzakelijk gebruik te maken van de REST API om IAM toe te passen. Als voor een gebruiker binnen het Identity systeem de toegang tot Formdesk wordt verleend dan wordt deze gebruiker automatisch aangemaakt zodra deze voor het eerst inlogt. Indien gegevens van een gebruiker gewijzigd zijn worden deze automatisch aangepast in Formdesk de eerstvolgende keer dat deze inlogt. En indien iemand uit dienst is zal binnen het Identity systeem de toegang worden ingetrokken waarna een succesvolle authenticatie in Formdesk niet meer mogelijk is. |
|
|
|
|
|
|
|