Introductie

Welkom bij Topicus KeyHub.

KeyHub zorgt voor het authenticeren van gebruikers en het autoriseren van alle gekoppelde systemen. Hoe dit in zijn werk gaat, wordt in deze handleiding beschreven.

Principes van Topicus KeyHub

KeyHub werkt volgens het principe centrale authenticatie, decentrale autorisatie. Dit houdt in dat iedere gebruiker zich in principe eenmalig authenticeert (centraal) en vervolgens via verschillende groepen toegang krijgt tot alle gegevens die gekoppeld zijn aan die betreffende groepen. Het beheren van groepen wordt door verschillende groepsmanagers gedaan (decentraal).

Bij Topicus KeyHub staat veiligheid centraal. Dit betekent ook dat het inloggen op KeyHub alleen toegestaan is met behulp van two-factor-authentication. Iedere gebruiker moet derhalve de beschikking hebben over een mobiele telefoon waarop een authenticator-app geïnstalleerd kan worden. Hiervoor zijn verschillende alternatieven voorhanden, bijvoorbeeld de Topicus KeyHub-app of de Google Authenticator-app.

Indeling van de handleiding

Dit document is opgedeeld in twee delen: het eerste gedeelte beschrijft het proces voor reguliere gebruikers van KeyHub waarin onder andere het registreren en het dagelijkse gebruik van KeyHub worden toegelicht. Het tweede gedeelte gaat in op de beheerfuncties en het koppelen van nieuwe systemen.

Getting Started

Registratie

Je account in KeyHub kan je zelf aanmaken. Ga naar het webadres waar KeyHub voor jouw organisatie draait (meestal https://keyhub.<jouw_organisatie>.com), klik op ‘Registreer’ en volg de stappen op het scherm.

Browser-extensie

KeyHub heeft een eigen browser-extensie. Hiermee wordt het nog eenvoudiger om wachtwoorden uit KeyHub op websites in te vullen. Ga naar www.topicus-keyhub.com/browser-extensions en kies de extensie voor jouw browser. Je wordt vervolgens naar de webpagina geleid waar je de extensie kan installeren.

Na het installeren van de extensie ga je in KeyHub naar “Profiel > instellingen” en klik daar op ‘browser-extensie koppelen’.

Nu zal je rechts bovenaan in je browser een icoon zien staan van KeyHub. Als je daarop klikt, kan je direct je wachtwoorden uit de kluizen van KeyHub halen.

Mobiele app

Maakt jouw organisatie gebruik van de 2-factor authenticatie van KeyHub, dan kan je de Topicus KeyHub app gebruiken. Deze is te vinden in de app-stores van Apple en Android en hiermee krijg je een push-notificatie als je in KeyHub een 2FA-code moet invoeren. Je hoeft dan alleen nog maar op ‘Ja’ te drukken in plaats van de 6-cijferige code over te tikken.

Een alternatief voor de KeyHub-app is bijvoorbeeld Google Authenticator of Microsoft Authenticator. Deze beide apps werken ook prima, maar dan zal je geen push-notificatie krijgen en moet je de 6-cijferige code zelf overtikken.

Handleiding

Kom je in KeyHub zelf iets tegen dat je niet direct begrijpt, kan de handleiding mogelijk hulp bieden. Klik onder PROFIEL op het vraagteken en de handleiding wordt geopend op een nieuw tabblad. Hier vind je uitvoerige informatie over KeyHub.

Persoonlijke kluis

Als je ingelogd bent in KeyHub kan je naar Kluizen gaan (Vaults in het Engels). Hier wordt onder andere je ‘Persoonlijke kluis’ getoond. Deze persoonlijke kluis is bedoeld voor al jouw eigen, zakelijke wachtwoorden. Denk hier bijvoorbeeld aan het systeem voor urenregistratie, verlofaanvragen en andere systemen waar jij persoonlijk op inlogt met een gebruikersnaam en wachtwoord.

Zet ook het wachtwoord van je harde-schijf-encryptie in de kluis van KeyHub zodat je deze niet kan vergeten!

Groepen in KeyHub

In KeyHub wordt alles geregeld via groepen. Iedere groep geeft toegang tot één of meerdere applicaties, servers of wachtwoordkluizen en de verantwoordelijkheid hiervan ligt bij één of meerdere groepsmanagers. Je kan zelf de groepen kan aanvragen die voor jou specifiek van toepassing zijn. Ga naar Mijn Groepen en klik daar op ‘Aanvragen’. Je ziet vervolgens een lijst met groepen die er al zijn binnen jouw organisatie. Zoek daar de groepen die voor jouw functie of werkzaamheden van toepassing zijn en klik op ‘vraag aan’.

Een aanvraag dient altijd door een groepsmanager goedgekeurd te worden.

Wachtwoorden en groepskluizen

Naast je persoonlijke kluis heeft KeyHub ook groepskluizen. Iedere groep heeft een eigen kluis om wachtwoorden, externe 2FA-codes en bestanden veilig in op te slaan. Als je een wachtwoord hebt die je wilt opslaan in KeyHub, kies dan de groep waar dit wachtwoord bij hoort en maak een nieuwe kluisregel aan. Hier kan je het wachtwoord in plaatsen. Als je wilt, kan je KeyHub ook een nieuw, sterk wachtwoord laten genereren. Na opslaan zal iedereen die binnen die groep zit direct kunnen beschikken over het wachtwoord.

Zet ook je SSL-certificaten in een kluis zodat je deze niet meer op een fileshare hoeft te bewaren!

Profiel en instellingen

Je hebt in KeyHub je eigen profiel-pagina. Hierop kan je onder andere de voorkeurstaal veranderen. Ook kan je via deze weg zien welke applicaties over welke data kunnen beschikken en waar je overal bent ingelogd.

Wisselen van telefoon

Het komt nog wel eens voor dat je een nieuwe telefoon krijgt. In dat geval moet je ook direct je 2FA-code aanpassen zodat je deze op je nieuwe telefoon weer kan genereren. Dit kan direct vanuit KeyHub via de Profiel-pagina. Bedenk je wel dat je hiervoor je oude 2FA-code nodig hebt! Mocht je die kwijt zijn, bijvoorbeeld omdat je oude telefoon kapot gegaan is, dan heb je een 2FA-reset nodig. Deze kan je aanvragen via de login-pagina van KeyHub en zal te allen tijde goedgekeurd dienen te worden door één of meer gebruikers uit je organisatie.

SSH-keys

Als je veel gebruik maakt van Unix-based omgevingen, kan je daarop met een SSH-key inloggen. Deze SSH-key kan je in KeyHub opslaan zodat single sign-on naar bijvoorbeeld Linux of Unix-omgevingen nog eenvoudiger wordt.

Groepsmanagers

Ieder groep heeft één of meerdere groepsmanagers. Een groepsmanager is iemand die de verantwoordelijkheid draagt over alles wat er in die groep gebeurt. Een groep kan toegang geven tot bijvoorbeeld applicaties, servers en/of wachtwoorden en de groepsmanager is daarvoor verantwoordelijk. Ook kan een groepsmanager groepsleden uit de groep zetten en andere leden tot manager promoveren.

Gebruik

1. Registreren en inloggen

Om van KeyHub gebruik te kunnen maken, is een account noodzakelijk. Er zijn twee manier om een account aan te maken, namelijk via handmatig registreren of via een activatiecode.

Beide opties zijn te kiezen vanaf het loginscherm.

Loginscherm
Afbeelding 1. Loginscherm

1.1. Registreren

In de meeste gevallen kan een KeyHub-account handmatig aangemaakt worden. Kies hiervoor de optie Registreer op het loginscherm. Vervolgens kan via een drietal stappen het account worden aangemaakt.

1.1.1. Stap 1: Account aanmaken

Een KeyHub-account wordt gevalideerd tegen een bestaande directory, bijvoorbeeld een LDAP. Om een nieuw KeyHub-account aan te maken zal dus eerst de betreffende directory geselecteerd moeten worden. Waarschijnlijk is er slechts één directory beschikbaar en zal de standaardselectie correct zijn.

Nieuw account registreren met LDAP
Afbeelding 2. Nieuw account registreren met LDAP

Bij een registratie binnen een LDAP-directory dient de gebruikersnaam en het wachtwoord van de betreffende gebruiker in die directory ingevoerd te worden. Indien deze niet bekend is: dit betreft waarschijnlijk dezelfde gebruikersnaam/wachtwoord als die bijvoorbeeld voor de e-mail of het inloggen op het netwerk gebruikt wordt.

Nieuw account registreren met externe directory
Afbeelding 3. Nieuw account registreren met externe directory

Indien het account zich bevindt in een externe directory zal het bovenstaande scherm getoond worden. De gebruiker dient zich via de getoonde link aan te melden op het externe systeem. Hoe dit inlogproces er uit ziet is afhankelijk van het gebruikte systeem. Na het aanmelden zal de gebruiker terugkomen op het registratiescherm van KeyHub, waar dan de gekozen gebruiker getoond wordt.

Zowel bij een LDAP- als een externe directory kan insteld zijn dat gebruikers hun KeyHub-gebruikersnaam kunnen kiezen. Indien dit aan staat, zal er bij beide schermen en extra veld getoond worden waarin deze gebruikersnaam ingevuld kan worden. De gekozen gebruikersnaam zal overal binnen KeyHub gelden. De gebruiker logt dus in met de gekozen naam en accounts op gekoppelde systemen worden met deze naam aangemaakt. Het is niet mogelijk deze naam later nog aan te passen.

Indien de gegevens succesvol zijn gevalideerd, kan er een keuze gemaakt worden omtrent het wachtwoordgebruik.

Wachtwoordgebruik instellen
Afbeelding 4. Wachtwoordgebruik instellen

Bij LDAP-directories biedt KeyHub de mogelijkheid om een apart wachtwoord te gebruiken voor KeyHub. Dit wachtwoord zal daarmee een ander wachtwoord kunnen/mogen zijn dan het eerder ingevoerde wachtwoord. In de meeste gevallen zal het niet wenselijk zijn om een apart wachtwoord in te stellen voor KeyHub en zal de standaardinstelling volstaan.

Bij externe directories is het verplicht een wachtwoord voor KeyHub te kiezen. KeyHub zal dit wachtwoord gebruiken voor het beveiligen van de kluis en voor het aanmaken van accounts in gekoppelde systemen.

Raadpleeg hoofdstuk hoofdstuk 5 voor meer uitleg over de mogelijkheden omtrent wachtwoordgebruik.

Met de keuze voor het wachtwoordgebruik is de eerste stap voltooid.

1.1.2. Stap 2: Two-factor authentication instellen

De tweede stap in het registratieproces is het instellen van two-factor-authentication (2FA). Voor het instellen van 2FA is een telefoon benodigd met daarop een authenticatie-app met ondersteuning voor het TOTP-systeem. De Topicus KeyHub-app geniet sterk de voorkeur, aangezien deze app zogenaamde push-notificaties ondersteunt. Hiermee hoeft de gebruiker enkel Ja of Nee te kiezen bij het inloggen, in plaats van een 6-cijferige code overtypen. Alternatieve apps zijn Google Authenticator, Duo Mobile en Microsoft Authenticator.

Bij een account uit een externe directory kan het zijn dat 2FA binnen de directory verplicht gesteld is. In dat geval zal deze stap ontbreken in het aanmeldproces.

Het volgende scherm wordt getoond:

Instellen 2FA
Afbeelding 5. Instellen 2FA

Na het scannen van deze code met de Topicus KeyHub-app, zal het venster het type van de mobiel tonen. Indien dit overeenkomt, kan 2FA ingeschakeld worden. Bij het inloggen ontvangt de gebruiker een push-notificatie op de mobiel waarmee direct ingelogd kan worden.

De Topicus KeyHub-app heeft een internetverbinding nodig voor het koppelen en het ontvangen van push-notificaties. De app biedt, na activatie, ook de mogelijkheid om de 6-cijferige code in te voeren, indien er geen internetverbinding is.

Indien een andere app gebruikt wordt, zal deze app na het scannen van de QR-code, het account in de app toevoegen. Om de koppeling definitief te maken dient de 6-cijferige verificatiecode ingevoerd te worden in bovenstaand scherm. Hiermee zal de 2FA actief zijn en wordt er na het inloggen in KeyHub om de 2FA-code gevraagd die via de app gegenereerd kan worden.

Hiermee is stap 2 voltooid.

1.1.3. Stap 3: Groepen aanvragen

De laatste stap in het registratieproces is het aanvragen van groepen. Een groep geeft toegang tot specifieke wachtwoorden, servers, applicaties, etc. die binnen die groep zijn vastgelegd.

Groepen aanvragen
Afbeelding 6. Groepen aanvragen

Via het zoekveld kan er gezocht worden naar aanwezige groepen. Zoek hier de betreffende groepen voor het te registreren account, hierbij zal de naam van de groep waarschijnlijk overeenkomen met het project, product of soort taken behorende bij het account.

Om toegang tot een groep aan te vragen, kan de groep via het icoontje rechts van ieder zoekresultaat toegevoegd worden. Kies hier alle groepen die van toepassing zijn bij het te registreren account en kies Volgende.

Vervolgens dient er een reden opgegeven te worden bij de aanvraag zodat de managers van de groepen weten waarom er toegang aangevraagd wordt. Geef hier een korte, duidelijke beschrijving waarom het account toegang dient te krijgen tot de groepen.

Reden van aanvraag opvoeren
Afbeelding 7. Reden van aanvraag opvoeren
Voordat over de groepen beschikt kan worden, zal de groepsmanagers de aanvragen expliciet moeten goedkeuren. Het kan derhalve zijn dat het account niet direct toegang heeft tot de verschillende groepen.

Tot slot worden via Verstuur en login de gegevens verstuurd en ingelogd op KeyHub.

1.2. Activatiecode

Indien er een activatiecode verstuurd is, kan hiermee ook een nieuw account worden geregistreerd. Kies hiervoor op het loginscherm voor de optie ik heb een activatiecode (of volg de link in de e-mail). Vervolgens kan de activatiecode ingevoerd worden.

Activatiecode invoeren
Afbeelding 8. Activatiecode

Na het invoeren van de activatiecode worden de gegevens van het account getoond.

Activeren
Afbeelding 9. Activeren

Indien de gegevens correct zijn, kan er een wachtwoord gekozen worden. Het wachtwoord dient een minimale lengte te hebben die is ingesteld door de organisatie. Indien het gekozen wachtwoord hier niet aan voldoet, wordt hiervan een melding getoond na Volgende.

Vervolgens dient de two-factor-authenticatie ingesteld te worden. Zie hiervoor de betreffende paragraaf two-factor-authenticatie instellen.

1.3. Two-factor authentication resetten

Het kan voorkomen dat de two-factor authentication (2FA) opnieuw ingesteld moet worden, bijvoorbeeld indien de mobiel defect geraakt, gestolen of op een andere manier onbruikbaar geworden is. In dat geval kan op het loginscherm gekozen worden voor de optie Ik kan niet inloggen met two-factor authentication om de 2FA te resetten.

Het volgende scherm wordt dan getoond:

2FA resetten
Afbeelding 10. 2FA Resetten

Om de 2FA te resetten kan daarvoor een reden ingevoerd te worden. De aanvraag wordt vervolgens beoordeeld door een KeyHub-administrator en indien deze goedgekeurd wordt, zal daarvan een email verstuurd worden.

Bij aanschaf van een nieuwe mobiel dient 2FA opnieuw instellen gebruikt te worden op de profiel-pagina van de gebruiker. KeyHub zal hierbij mogelijk nog vragen om de 2FA-code, welke uit de oude mobiel gehaald kan worden. Na het koppelen kan het account uit de app van de oude mobiel verwijderd worden en is de nieuwe mobiel klaar voor gebruik.

1.4. Wachtwoord vergeten

Indien de gebruiker zijn of haar wachtwoord vergeten is, kan via Ik ben mijn wachtwoord vergeten een aanvraag tot resetten van het wachtwoord ingediend worden. Na het opgeven van een reden worden de KeyHub-administrators op de hoogte gesteld van dit verzoek. Indien het verzoek geaccordeerd wordt, zal de gebruiker een e-mail ontvangen met een activatiecode. Met deze code kan het account opnieuw geactiveerd worden (zie ook de sectie over activatiecode).

Het is alleen mogelijk om het wachtwoord te resetten van gebruikers uit een zogenaamde interne directory. Dit zijn gebruikers waarvan het account aangemaakt is door middel van een activatiecode. Gebruikers uit andere type directories (zoals LDAP), dienen hun wachtwoord via het beheer van de betreffende directory te resetten.
Wachtwoord resetten
Afbeelding 11. Wachtwoord resetten

1.5. Verplicht wachtwoord wijzigen

Bij het aanmelden op KeyHub kan het voorkomen dat het onderstaande scherm getoond wordt als het wachtwoord van de gebruiker niet (langer) aan de gestelde eisen voldoet. Is het wachtwoord te kort of heeft de gebruiker geen kluis (bijvoorbeeld na het afbreken van de aanmeldwizard) dan zal de gebruiker door een proces van drie stappen geleid worden om een nieuw wachtwoord te kiezen. Dit stappenplan komt grotendeels overeen met de wizard voor wachtwoordgebruik onder het profiel. Raadpleeg daarom hoofdstuk hoofdstuk 5 voor meer uitleg over de mogelijkheden omtrent wachtwoordgebruik en deze wizard.

Probleem met wachtwoord
Afbeelding 12. Probleem met wachtwoord

1.6. Inloggen op andere applicaties met SSO

KeyHub kan ook gebruikt worden als Single Sign-on provider. Indien de gebruiker op een andere applicatie inlogt, zal het inlogscherm de naam van deze applicatie in de aanhef tonen. Bij de eerste keer inloggen op een andere applicatie dient de gebruiker toestemming te geven voor het delen van informatie met deze applicatie. Hiervoor wordt het volgende scherm getoond:

Toestemming geven
Afbeelding 13. Toestemming geven
Meestal zal een applicatie alleen om toegang tot het profiel van de gebruiker vragen. Deze toegang betreft enkel leesrechten tot de basisgegevens van het account. Met deze gegevens kan de applicatie de identiteit van de gebruiker vaststellen.

Het kan voorkomen dat de gebruiker geen toegang heeft tot de gevraagde applicatie. Indien dit het geval is, zal onderstaande scherm getoond worden waarin dit aan de gebruiker uitgelegd wordt. Single Sign-on is binnen KeyHub geregeld via de groepen van de gebruiker. Het scherm zal de gebruiker informeren over de groep (of groepen) die vereist zijn om in te loggen op de applicatie.

Inloggen niet toegestaan
Afbeelding 14. Inloggen niet toegestaan

2. Het dashboard

Het dashboard toont in één oogopslag alle informatie die benodigd is bij het dagelijks gebruik van KeyHub. Links van het scherm worden alle groepen getoond waarover beschikt kan worden. Aan de rechterkant van het scherm staan de tien meest recente gebeurtenissen. Dit betreft alleen meldingen die van belang zijn voor de betreffende gebruiker, bijvoorbeeld meldingen voor groepen waar de gebruiker manager van is of meldingen die betrekking hebben op het account van de gebruiker. Eventuele uitstaande verzoeken van of aan de gebruiker worden ook hier getoond.

Dashboard
Afbeelding 15. Dashboard

2.1. Groepen activeren

Om toegang te verkrijgen tot een groep, dient een groep geactiveerd te worden. Na het klikken op de gewenste groep wordt deze standaard voor het komende uur geactiveerd.

Activeren
Afbeelding 16. Groep activeren

Om de groep langer of korter te activeren, kan met de schuifbalk de gewenste eindtijd worden ingesteld. Na het verlopen van de tijdsperiode zal de toegang tot de groep automatisch gedeactiveerd worden. De toegang tot een groep kan ook direct gedeactiveerd worden door nogmaals op de groep te klikken.

Indien voor een groep verlengde toegang aangevraagd kan worden, zal na het activeren van de groep een link Verleng toegang zichtbaar zijn. Het klikken op deze link toont het volgende venster:

Verlengde toegang aanvragen
Afbeelding 17. Verlengde toegang aanvragen

Hier kan worden aangegeven hoe lang toegang nodig is en waarom. Dit verzoek zal worden voorgelegd aan een manager van de groep. Zodra het verzoek goedgekeurd is, zal de groep als volgt worden weergegeven op het dashboard:

Verlengde toegang
Afbeelding 18. Verlengde toegang

Voor sommige groepen is het verplicht een reden op te geven bij activatie. Deze reden wordt opgenomen in de audit-trail en kan gebruikt worden voor rapportagedoeleinden. Indien deze optie ingeschakeld is voor de groep, zal het onderstaande scherm getoond worden:

Reden voor activatie
Afbeelding 19. Reden voor activatie

2.2. Dashboardindeling

De groepen op het dashboard kunnen gegroepeerd worden in mappen zodat meerdere groepen in één keer geactiveerd kunnen worden. Ook is het mogelijk om groepen die zelden gebruikt worden te verbergen. Klik op Indeling beheren…​ om de dashboard-indeling aan te passen en mappen aan te maken.