Introductie

Welkom bij Topicus KeyHub.

KeyHub zorgt voor het authenticeren van gebruikers en het autoriseren van alle gekoppelde systemen. Hoe dit in zijn werk gaat, wordt in deze handleiding beschreven.

Principes van Topicus KeyHub

KeyHub werkt volgens het principe centrale authenticatie, decentrale autorisatie. Dit houdt in dat iedere gebruiker zich in principe eenmalig authenticeert (centraal) en vervolgens via verschillende groepen toegang krijgt tot alle gegevens die gekoppeld zijn aan die betreffende groepen. Het beheren van groepen wordt door verschillende groepsmanagers gedaan (decentraal).

Bij Topicus KeyHub staat veiligheid centraal. Dit betekent ook dat het inloggen op KeyHub alleen toegestaan is met behulp van two-factor-authentication. Iedere gebruiker moet derhalve de beschikking hebben over ten minste een compatibele two-factor-authentication methode. Topicus KeyHub ondersteunt de TOTP en WebAuthn protocollen. Elk FIDO2-compatibel apparaat kan gebruikt worden voor WebAuthn. Voorbeelden zijn de bekende USB security keys, zoals o.a. Yubico, Feitian en Google die verkopen. Voor TOTP zijn ook verschillende alternatieven voorhanden, bijvoorbeeld de Topicus KeyHub-app of de Google Authenticator-app.

Indeling van de handleiding

Dit document is opgedeeld in twee delen: het eerste gedeelte beschrijft het proces voor reguliere gebruikers van KeyHub waarin onder andere het registreren en het dagelijkse gebruik van KeyHub worden toegelicht. Het tweede gedeelte gaat in op de beheerfuncties en het koppelen van nieuwe systemen.

Getting Started

Registratie

Je account in KeyHub kan je zelf aanmaken. Ga naar het webadres waar KeyHub voor jouw organisatie draait (meestal https://keyhub.<jouw_organisatie>.com), klik op ‘Registreer’ en volg de stappen op het scherm.

Browser-extensie

KeyHub heeft een eigen browser-extensie. Hiermee wordt het nog eenvoudiger om wachtwoorden uit KeyHub op websites in te vullen. Ga naar www.topicus-keyhub.com/browser-extensions en kies de extensie voor jouw browser. Je wordt vervolgens naar de webpagina geleid waar je de extensie kan installeren.

Na het installeren van de extensie ga je in KeyHub naar “Profiel > instellingen” en klik daar op ‘browser-extensie koppelen’.

Nu zal je rechts bovenaan in je browser een icoon zien staan van KeyHub. Als je daarop klikt, kan je direct je wachtwoorden uit de kluizen van KeyHub halen.

Mobiele app

Maakt jouw organisatie gebruik van de 2-factor authenticatie van KeyHub, dan kan je de Topicus KeyHub app gebruiken. Deze is te vinden in de app-stores van Apple en Android en hiermee krijg je een push-notificatie als je in KeyHub een 2FA-code moet invoeren. Je hoeft dan alleen nog maar op ‘Login’ te drukken in plaats van de 6-cijferige code over te tikken.

Een alternatief voor de KeyHub-app is bijvoorbeeld Google Authenticator of Microsoft Authenticator. Deze beide apps werken ook prima, maar dan zal je geen push-notificatie krijgen en moet je de 6-cijferige code zelf overtikken.

Security keys

Naast TOTP-gebaseerde apps kun je ook elke FIDO2-compatibele security key gebruiken voor 2-factor authenticatie. Topicus KeyHub ondersteund het WebAuthn-protocol, zodat je elke compatibele hardware security key (soms ook wel een "dongle" genoemd) kunt gebruiken.

Op sommige apparaten kun je zelfs je besturingssysteem koppelen als software-gebaseerde security key, zodat je bijvoorbeeld de ingebouwde vingerafdrukscanner kunt gebruiken als tweede factor.

Handleiding

Kom je in KeyHub zelf iets tegen dat je niet direct begrijpt, kan de handleiding mogelijk hulp bieden. Klik onder PROFIEL op het vraagteken en de handleiding wordt geopend op een nieuw tabblad. Hier vind je uitvoerige informatie over KeyHub.

Persoonlijke kluis

Als je ingelogd bent in KeyHub kan je naar Kluizen gaan ('Vaults' in het Engels). Hier wordt onder andere je ‘Persoonlijke kluis’ getoond. Deze persoonlijke kluis is bedoeld voor al jouw eigen, zakelijke wachtwoorden. Denk hier bijvoorbeeld aan het systeem voor urenregistratie, verlofaanvragen en andere systemen waar jij persoonlijk op inlogt met een gebruikersnaam en wachtwoord.

Zet ook het wachtwoord van je harde-schijf-encryptie in de kluis van KeyHub zodat je deze niet kan vergeten!

Groepen in KeyHub

In KeyHub wordt alles geregeld via groepen. Iedere groep geeft toegang tot één of meerdere applicaties, servers of wachtwoordkluizen en de verantwoordelijkheid hiervan ligt bij één of meerdere groepsmanagers. Je kan zelf de groepen kan aanvragen die voor jou specifiek van toepassing zijn. Ga naar Mijn Groepen en klik daar op ‘Aanvragen’. Je ziet vervolgens een lijst met groepen die er al zijn binnen jouw organisatie. Zoek daar de groepen die voor jouw functie of werkzaamheden van toepassing zijn en klik op ‘vraag aan’.

Een aanvraag dient altijd door een groepsmanager goedgekeurd te worden.

Wachtwoorden en groepskluizen

Naast je persoonlijke kluis heeft KeyHub ook groepskluizen. Iedere groep heeft een eigen kluis om wachtwoorden, externe 2FA-codes en bestanden veilig in op te slaan. Als je een wachtwoord hebt die je wilt opslaan in KeyHub, kies dan de groep waar dit wachtwoord bij hoort en maak een nieuwe kluisregel aan. Hier kan je het wachtwoord in plaatsen. Als je wilt, kan je KeyHub ook een nieuw, sterk wachtwoord laten genereren. Na opslaan zal iedereen die binnen die groep zit direct kunnen beschikken over het wachtwoord.

Zet ook je SSL-certificaten in een kluis zodat je deze niet meer op een fileshare hoeft te bewaren!

Profiel en instellingen

Je hebt in KeyHub je eigen profiel-pagina. Hierop kan je onder andere de voorkeurstaal veranderen. Ook kan je via deze weg zien welke applicaties over welke data kunnen beschikken en waar je overal bent ingelogd.

Wisselen van telefoon

Het komt nog wel eens voor dat je een nieuwe telefoon krijgt. In dat geval moet je ook direct je 2FA-code aanpassen zodat je deze op je nieuwe telefoon weer kan genereren. Dit kan direct vanuit KeyHub via de Profiel-pagina. Bedenk je wel dat je hiervoor je oude 2FA-code nodig hebt! Mocht je die kwijt zijn, bijvoorbeeld omdat je oude telefoon kapot gegaan is, dan heb je een 2FA-reset nodig. Deze kan je aanvragen via de login-pagina van KeyHub en zal te allen tijde goedgekeurd dienen te worden door één of meer gebruikers uit je organisatie.

SSH-keys

Als je veel gebruik maakt van Unix-based omgevingen, kan je daarop met een SSH-key inloggen. Deze SSH-key kan je in KeyHub opslaan zodat single sign-on naar bijvoorbeeld Linux of Unix-omgevingen nog eenvoudiger wordt.

Groepsmanagers

Ieder groep heeft één of meerdere groepsmanagers. Een groepsmanager is iemand die de verantwoordelijkheid draagt over alles wat er in die groep gebeurt. Een groep kan toegang geven tot bijvoorbeeld applicaties, servers en/of wachtwoorden en de groepsmanager is daarvoor verantwoordelijk. Ook kan een groepsmanager groepsleden uit de groep zetten en andere leden tot manager promoveren.

Gebruik

1. Registreren en inloggen

Om van KeyHub gebruik te kunnen maken, is een account noodzakelijk. Er zijn twee manieren om een account aan te maken, namelijk via handmatig registreren of via een activatiecode.

Beide opties zijn te kiezen vanaf het loginscherm.

Loginscherm
Afbeelding 1. Loginscherm

1.1. Registreren

In de meeste gevallen kan een KeyHub-account handmatig aangemaakt worden. Kies hiervoor de optie Registreer op het loginscherm. Vervolgens kan via een drietal stappen het account worden aangemaakt.

1.1.1. Stap 1: Account aanmaken

Een KeyHub-account wordt gevalideerd tegen een bestaande 'directory', bijvoorbeeld een LDAP. Om een nieuw KeyHub-account aan te maken zal dus eerst de betreffende directory geselecteerd moeten worden. Waarschijnlijk is er slechts één directory beschikbaar en zal de standaardselectie correct zijn.

Nieuw account registreren met LDAP
Afbeelding 2. Nieuw account registreren met LDAP

Bij een registratie binnen een LDAP-directory dient de gebruikersnaam en het wachtwoord van de betreffende gebruiker in die directory ingevoerd te worden. Indien deze niet bekend is: dit betreft waarschijnlijk dezelfde gebruikersnaam/wachtwoord als die bijvoorbeeld voor de e-mail of het inloggen op het netwerk gebruikt wordt.

Nieuw account registreren met externe directory
Afbeelding 3. Nieuw account registreren met externe directory

Indien het account zich bevindt in een externe directory zal het bovenstaande scherm getoond worden. De gebruiker dient zich via de getoonde link aan te melden op het externe systeem. Hoe dit inlogproces er uit ziet is afhankelijk van het gebruikte systeem. Na het aanmelden zal de gebruiker terugkomen op het registratiescherm van KeyHub, waar dan de gekozen gebruiker getoond wordt.

Zowel bij een LDAP- als een externe directory kan ingesteld zijn dat gebruikers hun KeyHub-gebruikersnaam kunnen kiezen. Indien dit aan staat, zal er bij beide schermen en extra veld getoond worden waarin deze gebruikersnaam ingevuld kan worden. De gekozen gebruikersnaam zal overal binnen KeyHub gelden. De gebruiker logt dus in met de gekozen naam en accounts op gekoppelde systemen worden met deze naam aangemaakt. Het is niet mogelijk deze naam later nog aan te passen.

Indien de gegevens succesvol zijn gevalideerd, kan er een keuze gemaakt worden omtrent het wachtwoordgebruik.

Wachtwoordgebruik instellen
Afbeelding 4. Wachtwoordgebruik instellen

Bij LDAP-directories biedt KeyHub de mogelijkheid om een apart wachtwoord te gebruiken voor KeyHub. Dit wachtwoord zal daarmee een ander wachtwoord kunnen/mogen zijn dan het eerder ingevoerde wachtwoord. In de meeste gevallen zal het niet wenselijk zijn om een apart wachtwoord in te stellen voor KeyHub en zal de standaardinstelling volstaan.

Bij externe directories is het verplicht een wachtwoord voor KeyHub te kiezen. KeyHub zal dit wachtwoord gebruiken voor het beveiligen van de kluis en voor het aanmaken van accounts in gekoppelde systemen.

Raadpleeg hoofdstuk hoofdstuk 6 voor meer uitleg over de mogelijkheden omtrent wachtwoordgebruik.

Met de keuze voor het wachtwoordgebruik is de eerste stap voltooid.

1.1.2. Stap 2: Two-factor authentication instellen

De tweede stap in het registratieproces is het instellen van two-factor-authentication (2FA). Voor het instellen van 2FA kan een security key gebruikt worden, of een telefoon met daarop een authenticatie-app met ondersteuning voor het TOTP-protocol. Elke FIDO2-compatibele security key zou moeten werken. Voor TOTP geniet de Topicus KeyHub-app sterk de voorkeur, aangezien deze app zogenaamde push-notificaties ondersteunt. Hiermee hoeft de gebruiker enkel Ja of Nee te kiezen bij het inloggen, in plaats van een 6-cijferige code overtypen. Alternatieve apps zijn Google Authenticator, Duo Mobile en Microsoft Authenticator.

Bij een account uit een externe directory kan het zijn dat 2FA binnen de directory verplicht gesteld is. In dat geval zal deze stap ontbreken in het aanmeldproces.

Het volgende scherm wordt getoond:

Instellen 2FA
Afbeelding 5. Instellen 2FA

Er kan voor de optie Gebruik een 2FA app of voor de optie Gebruik een security key gekozen worden.

Security key

Als er voor een security key gekozen wordt, zal Topicus KeyHub automatisch proberen te koppelen met een beschikbare security key. Dit zal de browser middels een notificatie ook aangeven. Het activeren van de security key zal gaan volgens de procedure van de desbetreffende security key hiermee wordt de link met Topicus KeyHub bevestigd.

Instellen WebAuthn
Afbeelding 6. Instellen WebAuthn

Bij fysieke security keys zal er meestal een handeling moeten worden verricht zoals het indrukken van een knop of het scannen van een vingerafdruk. Als het besturingssysteem als security key dienst doet, zal deze laten weten hoe dit bevestigd kan worden.

2FA app

Als er voor een 2FA app is gekozen, zal het volgende scherm getoond worden.

Instellen TOTP
Afbeelding 7. Instellen TOTP

Na het scannen van deze code met de Topicus KeyHub-app, zal het venster het type van de mobiel tonen. Indien dit overeenkomt, kan 2FA ingeschakeld worden. Bij het inloggen ontvangt de gebruiker een push-notificatie op de mobiel waarmee direct ingelogd kan worden.

De Topicus KeyHub-app heeft een internetverbinding nodig voor het koppelen en het ontvangen van push-notificaties. De app biedt, na activatie, ook de mogelijkheid om de 6-cijferige code in te voeren, indien er geen internetverbinding is.

Indien een andere app gebruikt wordt, zal deze app na het scannen van de QR-code, het account in de app toevoegen. Om de koppeling definitief te maken dient de 6-cijferige verificatiecode ingevoerd te worden in bovenstaand scherm. Hiermee zal de 2FA actief zijn en wordt er na het inloggen in KeyHub om de 2FA-code gevraagd die via de app gegenereerd kan worden.

Hiermee is stap 2 voltooid.

1.1.3. Stap 3: Groepen aanvragen

De laatste stap in het registratieproces is het aanvragen van groepen. Een groep geeft toegang tot specifieke wachtwoorden, servers, applicaties, etc. die binnen die groep zijn vastgelegd.

Groepen aanvragen
Afbeelding 8. Groepen aanvragen

Via het zoekveld kan er gezocht worden naar aanwezige groepen. Zoek hier de betreffende groepen voor het te registreren account, hierbij zal de naam van de groep waarschijnlijk overeenkomen met het project, product of soort taken behorende bij het account.

Om toegang tot een groep aan te vragen, kan de groep via het icoontje rechts van ieder zoekresultaat toegevoegd worden. Kies hier alle groepen die van toepassing zijn bij het te registreren account en kies Volgende.

Vervolgens dient er een reden opgegeven te worden bij de aanvraag zodat de managers van de groepen weten waarom er toegang aangevraagd wordt. Geef hier een korte, duidelijke beschrijving waarom het account toegang dient te krijgen tot de groepen.

Reden van aanvraag opvoeren
Afbeelding 9. Reden van aanvraag opvoeren
Voordat over de groepen beschikt kan worden, zal de groepsmanagers de aanvragen expliciet moeten goedkeuren. Het kan derhalve zijn dat het account niet direct toegang heeft tot de verschillende groepen.

Tot slot worden via Verstuur en login de gegevens verstuurd en ingelogd op KeyHub.

1.2. Activatiecode

Indien er een activatiecode verstuurd is, kan hiermee ook een nieuw account worden geregistreerd. Kies hiervoor op het loginscherm voor de optie ik heb een activatiecode (of volg de link in de e-mail). Vervolgens kan de activatiecode ingevoerd worden.

Activatiecode invoeren
Afbeelding 10. Activatiecode

Na het invoeren van de activatiecode worden de gegevens van het account getoond.

Activeren
Afbeelding 11. Activeren

Indien de gegevens correct zijn, kan er een wachtwoord gekozen worden. Het wachtwoord dient een minimale lengte te hebben die is ingesteld door de organisatie. Indien het gekozen wachtwoord hier niet aan voldoet, wordt hiervan een melding getoond na Volgende.

Vervolgens dient de two-factor-authenticatie ingesteld te worden. Zie hiervoor de betreffende paragraaf two-factor-authenticatie instellen.

1.3. Two-factor authentication resetten

Het kan voorkomen dat de two-factor authentication (2FA) opnieuw ingesteld moet worden, bijvoorbeeld indien de security key of de mobiel defect geraakt, gestolen of op een andere manier onbruikbaar geworden is. In dat geval kan op het loginscherm gekozen worden voor de optie Ik kan niet inloggen met two-factor authentication om de 2FA te resetten.

Het volgende scherm wordt dan getoond:

2FA resetten
Afbeelding 12. 2FA Resetten

Om de 2FA te resetten kan daarvoor een reden ingevoerd te worden. De aanvraag wordt vervolgens beoordeeld door een andere gebruiker en indien deze goedgekeurd wordt, zal daarvan een email verstuurd worden.

Een gebruiker kan zelf 2FA opnieuw instellen via de beschikbare opties op de Profiel-pagina in Topicus KeyHub. Gebruikers die meerdere 2FA-methoden hebben gekoppeld kunnen simpelweg inloggen met een van de methoden die ze nog kunnen gebruiken. In andere gevallen dient de gebruiker er zorg voor te dragen dat ze nog met hun huidige 2FA-methode kunnen inloggen, danwel door een geldige code te genereren, danwel met gebruik van de security key. Bij aanschaf van een nieuwe mobiel kan bijvoorbeeld de oude gebruikt worden om in te loggen. Na het succesvol koppelen van de app op de nieuwe mobiel, kan het account uit de app van de oude mobiel verwijderd worden en is de nieuwe mobiel klaar voor gebruik.

1.4. Wachtwoord vergeten

Indien de gebruiker zijn of haar wachtwoord vergeten is, kan via Ik ben mijn wachtwoord vergeten een aanvraag tot herstellen van het wachtwoord ingediend worden. De procedure tot het herstellen van een wachtwoord verschilt per type account en is afhankelijk van de gekozen opties voor het wachtwoord. De verschillende procedures worden hieronder besproken.

1.4.1. Account uit een LDAP-directory

Gebruikers uit een LDAP-directory gebruiken het Topicus KeyHub-wachtwoord voor het openen van de kluis. Dit wachtwoord is mogelijk gesynchroniseerd met het wachtwoord uit de directory. Indien synchronisatie geactiveerd is en het wachtwoord in de directory buiten Topicus KeyHub om gewijzigd wordt, zal een wachtwoordsynchronisatie gestart worden. Als de gebruiker hier het oude wachtwoord kwijt is, kan een wachtwoordherstel gestart worden. Bij wachtwoordherstel met wachtwoordsynchronisatie zal om het wachtwoord van de directory en een reden voor het herstel gevraagd worden. Dit wachtwoord wordt ook gebruikt als nieuw Topicus KeyHub-wachtwoord.

Wachtwoord herstellen - Gesynchroniseerd wachtwoord
Afbeelding 13. Wachtwoord herstellen - Gesynchroniseerd wachtwoord

Indien wachtwoordsynchronisatie niet ingeschakeld is, wordt het Topicus KeyHub-wachtwoord gevraagd als de kluis geopend wordt. Als de gebruiker hier het wachtwoord kwijt is, kan een wachtwoordherstel gestart worden. De gebruiker voert tweemaal het nieuwe wachtwoord in, samen met een reden voor het herstel.

Wachtwoord herstellen - Nieuw wachtwoord
Afbeelding 14. Wachtwoord herstellen - Nieuw wachtwoord

Na het indienen van het verzoek wordt het account geblokkeerd. Zodra het verzoek door 2 gebruikers is goedgekeurd, kan het verzoek afgerond worden. Na het afronden van het verzoek is het Topicus KeyHub-wachtwoord van de gebruiker aangepast naar het nieuwe wachtwoord. Het verzoek kan op elk moment door de gebruiker afgebroken worden. Hierbij moet het oude of het nieuwe wachtwoord opgegeven worden.

Account geblokkeerd
Afbeelding 15. Account geblokkeerd

1.4.2. Account uit een OIDC-directory

Gebruikers uit een OIDC-directory gebruiken het Topicus KeyHub-wachtwoord voor het openen van de kluis. Na het klikken op de link Ik ben mijn wachtwoord vergeten zal de gebruiker uitkomen op ide pagina waar een nieuw wachtwoord voor Topicus KeyHub gekozen kan worden. De gebruiker moet het nieuwe wachtwoord tweemaal invoeren, een reden opgeven voor het herstel en het verzoek indienen. Hierna wordt het account geblokkeerd tot het verzoek is afgehandeld. Zodra het verzoek door 2 gebruikers is goedgekeurd, kan het verzoek afgerond worden. Na het afronden van het verzoek is het Topicus KeyHub-wachtwoord van de gebruiker aangepast naar het nieuwe wachtwoord.

1.4.3. Account uit een interne directory

Gebruikers uit een interne directory gebruiken het Topicus KeyHub-wachtwoord voor het inloggen op Topicus KeyHub en het openen van de kluis. Het klikken op de link Ik ben mijn wachtwoord vergeten zal de gebruiker uitkomen op de onderstaande pagina voor wachtwoord vergeten. Na het opgeven van de gebruikersnaam, zal de gebruiker een e-mail ontvangen met een activatiecode. Met deze code kan de gebruiker de herstelprocedure starten.

Wachtwoord vergeten
Afbeelding 16. Wachtwoord vergeten

Na het invoeren van de code wordt het scherm getoond waar de gebruiker een nieuw wachtwoord voor Topicus KeyHub kan kiezen. De gebruiker moet het nieuwe wachtwoord tweemaal invoeren, een reden opgeven voor het herstel en het verzoek indienen. Hierna wordt het account geblokkeerd tot het verzoek is afgehandeld. Zodra het verzoek door 2 gebruikers is goedgekeurd, gaat een cooldownperiode van 30 minuten van start. Het verzoek kan afgerond worden zodra deze 30 minuten is verstreken, of zodra een 3e gebruiker het verzoek goedkeurt. Na het afronden van het verzoek is het wachtwoord van de gebruiker aangepast naar het nieuwe wachtwoord.

Account geblokkeerd - Cooldown
Afbeelding 17. Account geblokkeerd - Cooldown

1.4.4. Wachtwoord resetten en bijbehorende gegevens wissen

Kies alleen voor een wachtwoord-reset als de herstelprocedure niet mogelijk is. Dit kan bijvoorbeeld het geval zijn indien er niemand is die het verzoek tot herstel kan goedkeuren.

In plaats van een wachtwoord-herstel kan een gebruiker ook kiezen voor een wachtwoord-reset als het wachtwoord vergeten is. Om een wachtwoord-reset uit te voeren, moet de gebruiker authenticeren tegen de directory en met 2FA. Een wachtwoord-reset kan dus alleen uitgevoerd worden als de gebruiker het Topicus KeyHub-wachtwoord kwijt is, maar wel het wachtwoord voor authenticatie tegen de directory weet. Bij een wachtwoord-reset worden alle sleutels van de gebruiker gewist, waarmee de volgende toegang verloren gaat:

  • Toegang tot de persoonlijke kluis en groepskluizen.

  • Managerrechten van groepen.

  • Lidmaatschap van de KeyHub administrators-groep.

Het door de gebruiker opgegeven wachtwoord zal worden ingesteld als het nieuwe Topicus KeyHub-wachtwoord.

Het verschil tussen wachtwoord-herstel en -reset

Het Topicus KeyHub-wachtwoord wordt gebruikt voor de versleuteling van sleuteldata van de gebruiker. Gegevens in de kluizen zijn rechtstreeks afhankelijk van deze sleutels. Ook worden deze sleutels gebruikt om groepslidmaatschap te ondertekenen en controlleren. Bij een wachtwoord-herstel blijven de belangrijkste sleutels intact. Na het herstel heeft de gebruiker nog steeds toegang tot de gegevens in de kluizen en kan de gebruiker groepslidmaatschappen ondertekenen. Bij een wachtwoord-reset daarentegen gaan alle sleutels verloren. De gebruiker verliest toegang tot alle kluizen. Voor groepskluizen zal opnieuw toegang gevraagd moeten worden. De inhoud van de persoonlijke kluis gaat definitief verloren. Ook verliest de gebruiker de mogelijkheid tot het ondertekenen van groepslidmaatschappen en daarmee de managerrechten op groepen.