KeyHub werkt volgens het principe centrale authenticatie, decentrale autorisatie. Dit houdt in dat iedere gebruiker zich in principe eenmalig authenticeert (centraal) en vervolgens via verschillende groepen toegang krijgt tot alle gegevens die gekoppeld zijn aan die betreffende groepen. Het beheren van groepen wordt door verschillende groepsmanagers gedaan (decentraal).

Dit document is opgedeeld in twee delen: het eerste gedeelte beschrijft het proces voor reguliere gebruikers van KeyHub waarin onder andere het registreren en het dagelijkse gebruik van KeyHub worden toegelicht. Het tweede gedeelte gaat in op de beheerfuncties en het koppelen van nieuwe systemen.

Je account in KeyHub kan je zelf aanmaken. Ga naar het webadres waar KeyHub voor jouw organisatie draait (meestal https://keyhub.<jouw_organisatie>.com), klik op ‘Registreer’ en volg de stappen op het scherm.

KeyHub heeft een eigen browser-extensie. Hiermee wordt het nog eenvoudiger om wachtwoorden uit KeyHub op websites in te vullen. Ga naar www.topicus-keyhub.com/browser-extensions en kies de extensie voor jouw browser. Je wordt vervolgens naar de webpagina geleid waar je de extensie kan installeren.

Na het installeren van de extensie ga je in KeyHub naar “Profiel > instellingen” en klik daar op ‘browser-extensie koppelen’.

Nu zal je rechts bovenaan in je browser een icoon zien staan van KeyHub. Als je daarop klikt, kan je direct je wachtwoorden uit de kluizen van KeyHub halen.

Maakt jouw organisatie gebruik van de 2-factor authenticatie van KeyHub, dan kan je de Topicus KeyHub app gebruiken. Deze is te vinden in de app-stores van Apple en Android en hiermee krijg je een push-notificatie als je in KeyHub een 2FA-code moet invoeren. Je hoeft dan alleen nog maar op ‘Login’ te drukken in plaats van de 6-cijferige code over te tikken.

Een alternatief voor de KeyHub-app is bijvoorbeeld Google Authenticator of Microsoft Authenticator. Deze beide apps werken ook prima, maar dan zal je geen push-notificatie krijgen en moet je de 6-cijferige code zelf overtikken.

Naast TOTP-gebaseerde apps kun je ook elke FIDO2-compatibele security key gebruiken voor 2-factor authenticatie. Topicus KeyHub ondersteund het WebAuthn-protocol, zodat je elke compatibele hardware security key (soms ook wel een "dongle" genoemd) kunt gebruiken.

Op sommige apparaten kun je zelfs je besturingssysteem koppelen als software-gebaseerde security key, zodat je bijvoorbeeld de ingebouwde vingerafdrukscanner kunt gebruiken als tweede factor.

Kom je in KeyHub zelf iets tegen dat je niet direct begrijpt, kan de handleiding mogelijk hulp bieden. Klik onder PROFIEL op het vraagteken en de handleiding wordt geopend op een nieuw tabblad. Hier vind je uitvoerige informatie over KeyHub.

Als je ingelogd bent in KeyHub kan je naar Kluizen gaan ('Vaults' in het Engels). Hier wordt onder andere je ‘Persoonlijke kluis’ getoond. Deze persoonlijke kluis is bedoeld voor al jouw eigen, zakelijke wachtwoorden. Denk hier bijvoorbeeld aan het systeem voor urenregistratie, verlofaanvragen en andere systemen waar jij persoonlijk op inlogt met een gebruikersnaam en wachtwoord.

In KeyHub wordt alles geregeld via groepen. Iedere groep geeft toegang tot één of meerdere applicaties, servers of wachtwoordkluizen en de verantwoordelijkheid hiervan ligt bij één of meerdere groepsmanagers. Je kan zelf de groepen kan aanvragen die voor jou specifiek van toepassing zijn. Ga naar Mijn Groepen en klik daar op ‘Aanvragen’. Je ziet vervolgens een lijst met groepen die er al zijn binnen jouw organisatie. Zoek daar de groepen die voor jouw functie of werkzaamheden van toepassing zijn en klik op ‘vraag aan’.

Naast je persoonlijke kluis heeft KeyHub ook groepskluizen. Iedere groep heeft een eigen kluis om wachtwoorden, externe 2FA-codes en bestanden veilig in op te slaan. Als je een wachtwoord hebt die je wilt opslaan in KeyHub, kies dan de groep waar dit wachtwoord bij hoort en maak een nieuwe kluisregel aan. Hier kan je het wachtwoord in plaatsen. Als je wilt, kan je KeyHub ook een nieuw, sterk wachtwoord laten genereren. Na opslaan zal iedereen die binnen die groep zit direct kunnen beschikken over het wachtwoord.

Je hebt in KeyHub je eigen profiel-pagina. Hierop kan je onder andere de voorkeurstaal veranderen. Ook kan je via deze weg zien welke applicaties over welke data kunnen beschikken en waar je overal bent ingelogd.

Het komt nog wel eens voor dat je een nieuwe telefoon krijgt. In dat geval moet je ook direct je 2FA-code aanpassen zodat je deze op je nieuwe telefoon weer kan genereren. Dit kan direct vanuit KeyHub via de Profiel-pagina. Bedenk je wel dat je hiervoor je oude 2FA-code nodig hebt! Mocht je die kwijt zijn, bijvoorbeeld omdat je oude telefoon kapot gegaan is, dan heb je een 2FA-reset nodig. Deze kan je aanvragen via de login-pagina van KeyHub en zal te allen tijde goedgekeurd dienen te worden door één of meer gebruikers uit je organisatie.

Als je veel gebruik maakt van Unix-based omgevingen, kan je daarop met een SSH-key inloggen. Deze SSH-key kan je in KeyHub opslaan zodat single sign-on naar bijvoorbeeld Linux of Unix-omgevingen nog eenvoudiger wordt.

Ieder groep heeft één of meerdere groepsmanagers. Een groepsmanager is iemand die de verantwoordelijkheid draagt over alles wat er in die groep gebeurt. Een groep kan toegang geven tot bijvoorbeeld applicaties, servers en/of wachtwoorden en de groepsmanager is daarvoor verantwoordelijk. Ook kan een groepsmanager groepsleden uit de groep zetten en andere leden tot manager promoveren.

In de meeste gevallen kan een KeyHub-account handmatig aangemaakt worden. Kies hiervoor de optie Registreer op het loginscherm. Vervolgens kan via een drietal stappen het account worden aangemaakt.

Indien er een activatiecode verstuurd is, kan hiermee ook een nieuw account worden geregistreerd. Kies hiervoor op het loginscherm voor de optie ik heb een activatiecode (of volg de link in de e-mail). Vervolgens kan de activatiecode ingevoerd worden.

Na het invoeren van de activatiecode worden de gegevens van het account getoond.

Indien de gegevens correct zijn, kan er een wachtwoord gekozen worden. Het wachtwoord dient een minimale lengte te hebben die is ingesteld door de organisatie. Indien het gekozen wachtwoord hier niet aan voldoet, wordt hiervan een melding getoond na Volgende.

Vervolgens dient de two-factor-authenticatie ingesteld te worden. Zie hiervoor de betreffende paragraaf two-factor-authenticatie instellen.

Het kan voorkomen dat de two-factor authentication (2FA) opnieuw ingesteld moet worden, bijvoorbeeld indien de security key of de mobiel defect geraakt, gestolen of op een andere manier onbruikbaar geworden is. In dat geval kan op het loginscherm gekozen worden voor de optie Ik kan niet inloggen met two-factor authentication om de 2FA te resetten.

Het volgende scherm wordt dan getoond:

Om de 2FA te resetten kan daarvoor een reden ingevoerd te worden. De aanvraag wordt vervolgens beoordeeld door een andere gebruiker en indien deze goedgekeurd wordt, zal daarvan een email verstuurd worden.

Indien de gebruiker zijn of haar wachtwoord vergeten is, kan via Ik ben mijn wachtwoord vergeten een aanvraag tot herstellen van het wachtwoord ingediend worden. De procedure tot het herstellen van een wachtwoord verschilt per type account en is afhankelijk van de gekozen opties voor het wachtwoord. De verschillende procedures worden hieronder besproken.

Bij het aanmelden op KeyHub kan het voorkomen dat het onderstaande scherm getoond wordt als het wachtwoord van de gebruiker niet (langer) aan de gestelde eisen voldoet. Is het wachtwoord te kort of heeft de gebruiker geen kluis (bijvoorbeeld na het afbreken van de aanmeldwizard) dan zal de gebruiker door een proces van drie stappen geleid worden om een nieuw wachtwoord te kiezen. Dit stappenplan komt grotendeels overeen met de wizard voor wachtwoordgebruik onder het profiel. Raadpleeg daarom hoofdstuk hoofdstuk 8 voor meer uitleg over de mogelijkheden omtrent wachtwoordgebruik en deze wizard.