De groep waarbij de tegel getoond moet worden.

Het logo dat getoond moet worden bij de tegel. Standaard wordt een plaatje gegenereerd. Door hier op te klikken kan een eigen plaatje opgegeven worden.

De titel die bij de tegel getoond moet worden.

De link die geopend wordt als de gebruiker op de tegel klikt.

Het logo dat getoond moet worden bij de tegel. Standaard wordt een plaatje gegenereerd. Door hier op te klikken kan een eigen plaatje opgegeven worden.

Voor applicaties die dit ondersteunen kan een IdP-initiated login gebruikt worden. Dit is mogelijk bij OAuth 2.0-applicaties waarbij de URI voor starten login ingevuld is of bij een SAML v2.0-applicatie. De applicatie zelft dient uiteraard wel een IdP-initiated login te ondersteunen.

Indien de applicatie geen IdP-initiated login ondersteunt, dient de link die geopend wordt als de gebruiker op de tegel klikt handmatig ingevoerd worden.

Het logo dat getoond moet worden bij de tegel. Standaard wordt een plaatje gegenereerd. Door hier op te klikken kan een eigen plaatje opgegeven worden.

Van elke groep wordt de naam en omschrijving getoond. Afhankelijke van de gekozen opties bij de groep kunnen hier meer velden bij komen. Voor een compleet overzicht van de opties van een groep, zie groepsdetails.

De laatste 5 audits van een groep worden getoond. Zijn er meer audits, dan wordt een linkje getoond om ze allemaal in te zien. Zie groepen auditen voor meer informatie over audits

Alle leden van de groep worden getoond. Managers worden aangegeven met een sterretje. Indien in lidmaatschap een einddatum heeft, wordt deze ook getoond.

Als de groep autorisatie uitvoert over andere groepen, dan worden die hier getoont. Details over de groep kunnen worden verkregen door op de groep te klikken. Er is ook een dashboard beschikbaar met inzicht in alle groepen waarover autorisatie wordt uitgevoerd.

Alle groepen die onder deze groep zijn genest, worden hier weergegeven. Details over de groep kunnen worden verkregen door op de groep te klikken. Zie geneste groepen voor meer informatie over nesten.

De auditlog van de groep wordt getoond. Bij het doorklikken kan in de auditlog gezocht worden op specifieke records.

Een unieke identifier voor de groep binnen KeyHub.

De organisatie-eenheid waar de groep bij hoort. Alleen gebruikers die lid zijn van deze organisatie-eenheid kunnen lid worden van de groep.

De primaire naam van de groep. Door ervoor te zorgen dat meerdere groepsnamen beginnen met hetzelfde woord worden deze door de hele applicatie samengevoegd in een categorie. De naam van een groep moet uniek zijn.

Groepen kunnen ingedeeld worden in classificaties. Deze classificatie stelt beleid op voor instellingen van de groep, zodat de beoogde beveiliging afgedwongen kan worden. De classificatie kan niet door de manager van de groep aangepast worden. Dit wordt gedaan door iemand die toegang heeft tot het auditor-dashboard voor groepen.

Normaal kan een groep slechts voor maximaal 12 uur ingeschakeld worden op het dashboard. Via deze optie kan gekozen worden voor het toestaan van verlengde toegang tot een groep met een maximum van 1 of 2 weken. Voor het inschakelen van deze verlengde toegang op het dashboard moet de betreffende gebruiker eerst toestemming vragen (met uitzondering van de optie Tot 2 weken, zonder goedkeuring). Verlengde toegang kan nodig zijn voor het kunnen uitvoeren van langdurige operaties op systemen zoals grote kopiëeracties.

Voor toegang tot gevoelige informatie kan het verplicht gesteld worden dat er altijd een reden opgegeven moet worden voor het verkrijgen van deze toegang. Deze reden wordt vastgelegd in de auditlog en kan gebruikt worden voor rapportages benodigd voor certificeringen zoals ISO 27001.

Indien aangevinkt, zal de gebruiker deze groep enkel kunnen activeren als de gebruiker een roterend wachtwoord gebruikt (zie wachtwoordgebruik). Het verplichten van een roterend wachtwoord biedt een significante verbetering van de beveiliging doordat mogelijk uitgelekte wachtwoorden slechts 24 uur actief blijven.

Een privé groep is alleen zichtbaar voor groepsleden, KeyHub administrators en auditors. Voor alle andere gebruikers is de group niet zichtbaar of toegankelijk. Dit betekent ook dat ze geen toegang tot deze groep kunnen aanvragen via de normale weg. Alleen een groepsmanager kan nieuwe leden toevoegen.

De auditlog-regels voor deze groep worden niet getoond aan gewone leden op het dashboard en zijn in de auditlog alleen zichtbaar onder 'dagelijks gebruik'. Bij grote groepen met veel mutaties zijn deze regels minder relevant en verdringen mogelijk andere regels die belangrijker zijn. De auditlog van de groep is wel in te zien voor gewone leden bij de details van de groep.

Beperk de mogelijkheden voor kluisherstel voor kluizen met zeer gevoelige informatie. Bij Volledig beschikbaar blijft de toegang tot de kluis beschikbaar na een wachtwoordherstel en kan de herstelsleutel gebruikt worden als noodprocedure om toegang te herstellen. Als Enkel met de herstelsleutel gekozen wordt, zullen gebruikers de toegang tot de kluis kwijtraken na wachtwoordherstel, maar kan de herstelsleutel wel gebruikt worden. Met Niet beschikbaar wordt kluisherstel volledig uitgeschakeld en kunnen alleen leden van de groep gebruikers opnieuw toegang geven. In dit geval zal na het verwijderen van een groep het ook niet mogelijk zijn om de inhoud van de kluis te herstellen.

Indien ingeschakeld, is het activeren van deze groep verplicht voordat wachtwoorden kunnen worden uitgelezen.

Wanneer ingesteld, zal de gekozen groep toestemming moeten geven voordat deze groep geactiveerd kan worden.

Wanneer ingesteld, zal de gekozen groep toestemming moeten geven voor het toevoegen van nieuwe leden en het aanpassen van managerrechten van leden voor deze groep.

Wanneer ingesteld, zal de gekozen groep gedelegeerde managerrechten krijgen voor deze groep.

Wanneer ingesteld, zal de gekozen groep een audit moeten goedkeuren voordat deze definitief gemaakt wordt. Eventuele wijzigingen zullen pas worden doorgevoerd na de goedkeuring.

Groepen waarbij deze optie ingeschakeld is, kunnen applicaties en gekoppelde systemen aanmaken en beheren. Voor het inschakelen is toestemming vereist. Voor meer informatie zie het hoofdstuk over applicaties en het hoofdstuk over koppelingen.

Groepen waarbij deze optie ingeschakeld is, kunnen toegangsprofielen aanmaken en beheren. Voor het inschakelen is toestemming vereist.

De selectie van maanden waarop een periodieke groepsaudit moet worden uitgevoerd door de managers van de groep. Bij het begin van de maand zal de manager een notificatie krijgen op zijn dashboard. Er is dan tot de tweede dinsdag van de maand tijd om de audit uit te voeren. Na deze vervaldatum zal de notificatie veranderen in een achterstallig audit.

Een uitgebreidere omschrijving van de groep. Hierin kan bijvoorbeeld aangegeven worden tot welke systemen deze groep toegang geeft. Deze informatie wordt getoond aan gebruikers die lid zijn van, of toegang willen vragen tot de groep.

Bestaande lidmaatschappen blijven bestaan en enkel nieuwe, geneste lidmaatschappen worden toegevoegd.

Bestaande lidmaatschappen worden omgezet in geneste lidmaatschappen als ze bestaan in de bovenliggende groep. Overige lidmaatschappen blijven bestaan.

Alle huidige lidmaatschappen worden verwijderd en vervangen door de geneste lidmaatschappen.

De kluis waar deze regel zich in bevindt. Hier wordt ook aangegeven of de regel gedeeld is met of vanuit een andere kluis.

Een unieke identifier voor de kluisregel binnen Topicus KeyHub.

De naam van de kluisregel. Dit kan gewijzigd worden op een gedeelde kopie, dit wijzigt niet de originele kluisregel en is alleen zichtbaar binnen de kluis waarin deze kopie zich bevindt.

Deze kleur wordt getoond in de kluis en kan gebruikt worden voor het visueel groeperen van meerdere regels.

Een regel met een link kan ook opgenomen als tegel op het launchpad. Zie het hoofdstuk over het launchpad voor meer informatie.

Voor regels die bij een website horen, kan deze website opgegeven worden. Deze link wordt tevens gebruikt door de browser-extensie om direct de juiste regels voor een site te zoeken. Als de volledige domeinnaam, inclusief subdomein, overeenkomt, zal de regel bovenaan staan. Regels met een ander subdomein staan hier onder.

De gebruikersnaam die hoort bij deze kluisregel. Deze gebruikersnaam kan automatisch ingevuld worden door de browser-extensie.

Een optionele einddatum waarop de geldigheid van de regel verloopt. Zie hieronder voor meer informatie.

Het wachtwoord waarmee ingelogd kan worden bij een dienst. Via de 'Wachtwoord genereren-link' kan eenvoudig een veilig wachtwoord gegenereerd worden. Uiteraard is het ook mogelijk zelf een wachtwoord op te geven.

Het secret van een 'Time-based One-time Password', veelal gebruikt voor tweefactorautenticatie. Dit secret wordt gebruikt om bij het opvragen een 6-cijferige code te genereren die 30 seconden geldig is. Bij het instellen van tweefactorauthenticatie voor een applicatie wordt vaak een QR-code getoond. Meestal wordt bij deze QR-code ook de sleutel getoond. Het oorspronkelijke secret is na het opslaan niet meer uit te lezen.

Een bestand zoals bijvoorbeeld een SSL-certificaat of private key. Dit bestand heeft een maximale grootte van 2 MB.

Hier kunnen algemene opmerkingen geplaatst worden. De inhoud van dit veld wordt ook versleuteld opgeslagen.

Het wachtwoord is zeer zwak en dient zo spoedig mogelijk vervangen te worden door een sterker wachtwoord.

Het wachtwoord heeft een matige sterkte. Indien de applicatie waar het wachtwoord bij hoort dit accepteert, wordt aangeraden een sterker wachtwoord te kiezen.

Het wachtwoord is sterk maar minder sterk dan een door Topicus KeyHub gegenereerd wachtwoord. Voor de zekerheid kan het wachtwoord vervangen worden.

Het wachtwoord zeer sterk en waarschijnlijk gegenereerd.

Om toegang te krijgen tot deze applicatie dient de gebruiker eerst de groep te activeren op het dashboard.

Indien aangevinkt, is deze groep niet meer door een gebruiker te activeren. In plaats daarvan zal de groep altijd actief zijn. Voor alle leden van deze groep zal het account met deze groep ingeschakeld blijven zolang de gebruikers lid blijven van de groep.

Deze optie is alleen beschikbaar voor leden van de "Keyhub administrators" en "Auditor" groepen. Door deze optie aan te vinken worden gefilterd op events met betrekking tot het eigen account en groepen waarvan de gebruiker lid is.

Door deze optie aan te vinken komen er bij (ALLE RECORDTYPES) een aantal record types extra beschikbaar die standaard voor het behoud van overzicht niet getoond worden. Deze extra opties komen vervolgens beschikbaar voor selectie.

Hier kan gekozen worden welkt recordtypes getoond moeten worden.

Hier ingevulde waarden worden als filter voor de te tonen events gebruikt.

Alleen events ouder dan de geselecteerde datum worden getoond.

Genereert een csv bestand met de gefilterde events. Voordat de export gemaakt wordt verschijnt een popup waarin het datum bereik aangepast kan worden. Zodra op EXPORTEREN wordt gedrukt wordt het csv bestand gegenereerd en gedownload.

Een unieke identifier voor de groepsclassificatie binnen Topicus KeyHub.

De naam van de groepsclassificatie zoals deze door de gehele applicatie getoond wordt aan gebruikers.

Geef aan hoeveel tijd er maximaal mag zitten tussen de audits bij de periodieke audit van de groepen met deze classificatie. Wanneer er volgens het auditschema geen audit gepland staat binnen dit auditinterval, worden de groepsmanagers genotificeerd. Via deze notificatie kan het auditschema automatisch bijgesteld worden of naar het bewerken van de groep worden genavigeerd.

Geef aan dat groepen met deze classificatie altijd een audit moeten uitvoeren in de geselecteerde maanden. Wanneer er volgens het auditschema geen audit gepland staat in de geselecteerde maanden, worden de groepsmanagers genotificeerd. Via deze notificatie kan het auditschema automatisch bijgesteld worden of naar het bewerken van de groep worden genavigeerd.

Geef aan dat de optie "Leg audit-trail vast" geactiveerd dient te worden bij groepen met deze classificatie. Wanneer deze optie niet geactiveerd is, worden de groepsmanagers genotificeerd. Via deze notificatie kan de optie direct geactiveerd worden of naar het bewerken van de groep worden genavigeerd.

Geef aan dat de optie "Roterend wachtwoord verplicht" geactiveerd dient te worden bij groepen met deze classificatie. Wanneer deze optie niet geactiveerd is, worden de groepsmanagers genotificeerd. Via deze notificatie kan de optie direct geactiveerd worden of naar het bewerken van de groep worden genavigeerd.

Geef aan dat de optie "Activatie verplicht voor kluistoegang" geactiveerd dient te worden bij groepen met deze classificatie. Wanneer deze optie niet geactiveerd is, worden de groepsmanagers genotificeerd. Via deze notificatie kan de optie direct geactiveerd worden of naar het bewerken van de groep worden genavigeerd.

Geef aan dat er een groep ingesteld dient te worden bij "Autoriserende groep voor activatie" bij groepen met deze classificatie.

Geef aan dat er een groep ingesteld dient te worden bij "Autoriserende groep voor lidmaatschap" bij groepen met deze classificatie.

Geef aan dat er een groep ingesteld dient te worden bij "Groep met gedelegeerde rechten" bij groepen met deze classificatie.

Geef aan dat er een groep ingesteld dient te worden bij "Autoriserende groep voor audits" bij groepen met deze classificatie.

Geef een minimum aantal managers, tenminste 1, aan dat een groep met deze classificatie moet hebben. Wanneer een groep minder managers heeft dan hier ingesteld, worden de groepsmanagers genotificeerd. Via deze notificatie kan naar het bewerken van de groep worden genavigeerd om nieuwe managers te selecteren.

Een uitgebreidere omschrijving van de groepsclassificatie.

De gebruikersnaam bij welke het account bekend is in Topicus KeyHub.

Schakel een account centraal volledig aan of uit. Een inactief account kan niet gebruikt worden.

Wisselt de licentierol van de account. Business accounts hebben minder mogelijkheden dan Pro accounts. KeyHub administrators kunnen geen Business account zijn.

De directory waarin het account zich bevindt.

De primaire identificatie van het account binnen de directory. Wanneer deze identifier verandert of het account verplaatst wordt naar een andere directory kan hier een herregistratie gestart worden. Voor meer informatie, zie hieronder.

Geeft aan of het account nog geldig is in de bijbehorende directory. Deze status wordt elke 24 uur bijgewerkt of door het klikken op de link. Een account dat niet meer geldig is in de directory kan niet gebruikt worden ongeacht of de status al bijgewerkt is.

Geeft aan of 2FA ingeschakeld is voor het account. Via de link kan 2FA uitgeschakeld worden waarna de gebruiker het opnieuw moet inschakelen.

Toont of er voor het account een verzoek open staat voor herstel van het wachtwoord of de 2FA. Als dit het geval is, kan dit verzoek afgewezen worden.

Normaliter kunnen gebruikers zelf lidmaatschappen van groepen aanvragen. Voor accounts die zeer beperkte rechten moeten hebben, kan dit uitgeschakeld worden. Deze accounts moeten dan door de groepsmanagers zelf aan de groepen toegevoegd worden.

Het e-mailadres voor de gebruiker, overgenomen uit de directory.

Het serviceaccount zal alleen aangemaakt worden op het gekoppelde systeem als deze actief is.

Een unieke identifier voor het serviceaccount binnen KeyHub.

De naam van het serviceaccount zoals deze aan gebruikers getoond wordt.

Leden van deze groep voeren het technisch beheer van dit serviceaccount uit. Alle leden mogen het serviceaccount bewerken of verwijderen.

Het gekoppelde systeem waarop het serviceaccount wordt aangemaakt.

De gebruikersnaam van het serviceaccount op het gekoppelde systeem. Een eventuele prefix wordt hier nog aan toegevoegd.

Geeft aan hoe het wachtwoord van het serviceaccount beheerd moet worden. Wachtwoorden voor serviceaccounts worden gegenereerd. Het is mogelijk om dit automatisch dagelijks te roteren, waarbij het wachtwoord in de kluis van groep wordt geplaatst. Bij handmatige rotatie kan gekozen worden om het wachtwoord wel of niet te plaatsen in de kluis van de groep.

Het wachtwoord van het serviceaccount. Dit wachtwoord zal alleen getoond worden na een handmatige rotatie.

Een optionele SSH public key die bij het serviceaccount geplaatst wordt, indien het gekoppelde systeem dit ondersteunt.

Een omschrijving van het serviceaccount. Deze omschrijving wordt ook toegevoegd op het gekoppelde systeem.

Gebruikers kunnen zich alleen authenticeren als de directory actief is. Door een directory te deactiveren worden alle gebruikers uit deze directory dus per direct buitengesloten.

Een unieke identifier voor de directory binnen KeyHub.

Gebruikers uit de directory zijn altijd lid van deze organisatie-eenheid en kunnen alleen lid worden van organisatie-eenheden onder deze eenheid. Deze waarde kan alleen aangepast worden bij directories die geen gebruikers bevatten.

De naam van de directory zoals deze door de gehele applicatie getoond wordt aan gebruikers. Kies een herkenbare naam, want ook nieuwe gebruikers moeten de juiste directory kunnen kiezen tijdens de registratie.

Hoewel LDAP v3 gestandaardiseerd is, zitten er subtiele verschillen in het dialect dat verschillende systemen gebruiken. Indien het gebruikte systeem niet in de lijst staat, kies dan OpenLDAP.

De hostname van de primaire LDAP server. Bij het gebruik van een beveiligde verbinding (sterk aanbevolen) kan hier het IP-adres niet gebruikt worden.

De hostname van de secundaire LDAP server. Dit veld is optioneel. Indien het leeg gelaten wordt, kan KeyHub bij een communicatiefout met de primaire server niet terugvallen op een andere server. De failover host wordt alleen gebruikt als er een communicatiefout optreedt met de primaire server.

Het poortnummer waarop de LDAP server luistert. De standaard poort is 389. Bij het gebruik van LDAPS kan gekozen worden voor 636. Voor alle poorten anders dan 636 zal KeyHub bij gebruik van een beveiligde verbinding StartTLS gebruiken.

Over de verbinding met de LDAP server worden ook wachtwoorden van gebruikers verstuurd. Het is daarom sterk aan te bevelen een beveiligde verbinding te gebruiken. Raadpleeg het hoofdstuk over certificaten voor meer details.

Via dit certificaat kan aangegeven worden welk certificaat vertrouwd moet worden bij het opzetten van een beveiligde verbinding. Indien dit veld leeg gelaten wordt, zal gebruik gemaakt worden van de standaard Java-truststore. Raadpleeg het hoofdstuk over certificaten voor meer details.

Hetzelfde als bovenstaande, maar dan voor de failover host.

De volledige DN waarop gebind moet worden voor het uitvoeren van zoekopdrachten naar accounts binnen de directory. Het is aan te bevelen hiervoor een read-only account te gebruiken in de LDAP server.

Het wachtwoord waarmee gebind moet worden.

Bij gebruik van clientauthenticatie worden Bind DN en Bind wachtwoord vervangen door een certificaat waarmee KeyHub zichzelf authenticeert bij de directory. Dit is de veiligste manier voor het opzetten van een verbinding met een directory.

De DN in de directory waar binnen gezocht moet worden naar gebruikers.

Het LDAP filter waar gebruikers aan moeten voldoen om gebruikt te kunnen worden. Dit filter dient tenminste één term te bevatten met {}, waar de gebruikersnaam ingevuld wordt. Het filter mag enkel actieve accounts retourneren. Voor Microsoft Active Directory ziet dit er bijvoorbeeld als volgt uit (met extra enters voor de leesbaarheid):

Schrijf bij wachtwoordherstel het wachtwoord terug in de directory. De gebruiker met het bind DN moet hiervoor voldoende rechten hebben. Let bij het gebruik van e-mail op dat een gebruiker die zijn wachtwoord vergeten is, mogelijk ook geen toegang meer heeft tot de e-mail. Indien 2FA gebruikt wordt voor herauthenticatie zal een gebruiker geen wachtwoord herstel kunnen uitvoeren als 2FA niet ingeschakeld staat op het account (of wanneer de 2FA-codes verloren zijn).

Leden van deze groep behandelen verzoeken voor wachtwoordherstel of tot het resetten van 2FA. Indien er geen groep ingesteld wordt, zullen de verzoeken behandeld worden door managers van groepen waar de gebruiker lid van is of de KeyHub Administrators.

Als deze optie ingeschakeld wordt, is het voor een gebruiker niet mogelijk om de 2FA-instellingen aan te passen. 2FA kan alleen ingesteld worden bij het aanmelden of nadat het gereset is door een KeyHub Administrator of lid van de helpdesk-groep.

Gebruikers mogen zelf hun gebruikersnaam kiezen tijdens de registratie.

De standaarddirectory wordt doorzocht bij authenticatie van een niet bestaand account. Als de inloggegevens van het account bestaan in de directory en correct zijn, wordt automatisch een registratie gestart.

Geeft aan of nieuwe gebruikers standaard wel of niet een roterend wachtwoord krijgen bij registratie. Bij Altijd aan kan de gebruiker niet meer kiezen en zal de optie altijd ingeschakeld worden bij registratie. Bestaande gebruikers moeten de optie eerst inschakelen voordat een groep geactiveerd kan worden.

Een lijst met attributen die uit de directory worden gelezen en bij het account worden opgeslagen. Deze attributen kunnen vervolgens worden gebruikt in scripts voor custom attributen. De namen van de attributen worden gescheiden door spaties.

Gebruikers kunnen zich alleen authenticeren als de directory actief is. Door een directory te deactiveren worden alle gebruikers uit deze directory dus per direct buitengesloten.

Een unieke identifier voor de directory binnen KeyHub.

Gebruikers uit de directory zijn altijd lid van deze organisatie-eenheid en kunnen alleen lid worden van organisatie-eenheden onder deze eenheid. Deze waarde kan alleen aangepast worden bij directories die geen gebruikers bevatten.

De naam van de directory zoals deze door de gehele applicatie getoond wordt aan gebruikers. Kies een herkenbare naam, want ook nieuwe gebruikers moeten de juiste directory kunnen kiezen tijdens de registratie.

Indien gebruik gemaakt wordt van Google of Microsoft Azure Active Directory kan dat hier aangegeven worden. Deze keuze verbetert de compatibiliteit met deze aanbieders, biedt extra mogelijkheden en vergemakkelijkt de configuratie.

Een OIDC Issuer identifier is een hoofdlettergevoelige https-URL. Deze bevat tenminste een schema en host en mogelijk een poortnummer en/of pad. De URL mag geen query of fragment bevatten. KeyHub maakt gebruik van OpenID Connect Discovery voor de configuratie van een OIDC-directory. De OpenID Provider dient dit te ondersteunen. De discovery-informatie is te vinden door achter de Issuer /.well-known/openid-configuration te plaatsen.

De identifier uitgegeven door de OpenID Provider waaronder KeyHub bekend is bij de OP.

De secret behorende bij de bovenstaande identifier.

Beschikbaar bij de keuze voor Google of Microsoft Azure Active Directory. Hiermee kan worden afgedwongen dat enkel accounts binnen een bepaald domein kunnen registreren.

Indien de gekozen OpenID Connect Provider geen end_session_endpoint adverteert via het discovery endpoint, kan hier een eigen URL opgegeven worden voor uitloggen. Het is ook mogelijk om de geadverteerde URL te overschrijven middels dit veld.

Indien de OpenID Provider zelf two-factor authentication afdwingt dient deze optie ingeschakeld te worden. Hiermee wordt voorkomen dat KeyHub nogmaals om 2FA gaat vragen. Gebruik deze optie enkel als 2FA verplicht is bij de OP, anders bestaat het risico dat gebruikers zonder 2FA gebruikmaken van KeyHub.

Een door spaties gescheiden lijst met ACR-waarden. Dit wordt doorgegeven als acr_values aan de IDP. Hiermee kan de IDP opgedragen worden om bepaalde vormen van authenticatie af te dwingen bij de gebruiker. Wanneer de IDP een acr-claim retourneert in het id_token, moet deze overeenkomen met één van de opgegeven waarden.

Wanneer deze optie is ingeschakeld zal Topicus KeyHub een login_hint parameter meesturen naar de IDP. Deze hint kan de IDP helpen met het automatisch selecteren van het juiste account. Schakel deze optie uit als de IDP de opgegeven waarden niet begrijpt en daardoor verkeerde accounts selecteert.

Leden van deze groep behandelen verzoeken voor wachtwoordherstel of tot het resetten van 2FA. Indien er geen groep ingesteld wordt, zullen de verzoeken behandeld worden door managers van groepen waar de gebruiker lid van is of de KeyHub Administrators.

Als deze optie ingeschakeld wordt, is het voor een gebruiker niet mogelijk om de 2FA-instellingen aan te passen. 2FA kan alleen ingesteld worden bij het aanmelden of nadat het gereset is door een KeyHub Administrator of lid van de helpdesk-groep.

Gebruikers mogen zelf hun gebruikersnaam kiezen tijdens de registratie.

Bij authenticatie met een onbekende gebruikersnaam zal de gebruiker doorgestuurd worden naar deze directory. Indien de gebruiker een geldige authenticatie kan uitvoeren binnen de directory zal automatisch een registratie gestart worden.

Geeft aan of nieuwe gebruikers standaard wel of niet een roterend wachtwoord krijgen bij registratie. Bij Altijd aan kan de gebruiker niet meer kiezen en zal de optie altijd ingeschakeld worden bij registratie. Bestaande gebruikers moeten de optie eerst inschakelen voordat een groep geactiveerd kan worden.

Een lijst met attributen die uit de directory worden gelezen en bij het account worden opgeslagen. Deze attributen kunnen vervolgens worden gebruikt in scripts voor custom attributen. De namen van de attributen worden gescheiden door spaties.

Gebruikers kunnen zich alleen authenticeren als de directory actief is. Door een directory te deactiveren, worden alle gebruikers uit deze directory per direct buitengesloten.

Een unieke identifier voor de directory binnen KeyHub.

Gebruikers uit de directory zijn altijd lid van deze organisatie-eenheid en kunnen alleen lid worden van organisatie-eenheden onder deze eenheid. Deze waarde kan alleen aangepast worden bij directories die geen gebruikers bevatten.

De naam van de directory zoals deze door de gehele applicatie getoond wordt aan gebruikers.

Managers uit de gekozen groep zijn verantwoordelijk voor het beheer van gebruikers in deze directory. Zij kunnen gebruikers aanmaken, goedkeuren, bewerken en verwijderen. Deze verantwoordelijkheid wordt gedeeld met de KeyHub-administrators.

Leden van deze groep behandelen verzoeken voor wachtwoordherstel of tot het resetten van 2FA. Indien er geen groep ingesteld wordt, zullen de verzoeken behandeld worden door managers van groepen waar de gebruiker lid van is of de KeyHub Administrators.

Als deze optie ingeschakeld wordt, is het voor een gebruiker niet mogelijk om de 2FA-instellingen aan te passen. 2FA kan alleen ingesteld worden bij het aanmelden of nadat het gereset is door een KeyHub Administrator of lid van de helpdesk-groep.

Geeft aan of nieuwe gebruikers standaard wel of niet een roterend wachtwoord krijgen bij registratie. Bij Altijd aan kan de gebruiker niet meer kiezen en zal de optie altijd ingeschakeld worden bij registratie. Bestaande gebruikers moeten de optie eerst inschakelen voordat een groep geactiveerd kan worden.

De organisatie-eenheid die direct boven deze organisatie-eenheid ligt. Elke organisatie-eenheid heeft een bovenliggende organisatie-eenheid, behalve het hoogste element van de boom. Het is niet mogelijk de bovenliggende organisatie-eenheid aan te passen.

Een unieke identifier voor de organisatie-eenheid binnen KeyHub.

De naam van de organisatie-eenheid zoals deze door de gehele applicatie getoond wordt aan gebruikers.

Deze optie is enkel beschikbaar bij het aanmaken van een nieuwe organisatie-eenheid. De nieuwe organisatie-eenheid zal aangemaakt worden met de aangevinkte organisatie-eenheden als onderliggende eenheden. Deze organisatie-eenheden krijgen dan de nieuwe organisatie-eenheid als bovenliggende organisatie-eenheid.

Managers van deze groep zijn verantwoordelijk voor het regelen van toegang tot de organisatie-eenheid. Dit betekent dat managers uit deze groep gebruikers kunnen toekennen aan de organisatie-eenheid, instellingen kunnen aanpassen en verzoeken over de organisatie-eenheid behandelen. Ook kunnen ze de verantwoordelijkheid overdragen aan een andere groep.

Een uitgebreidere omschrijving van de organisatie-eenheid.

Toon een hint aan gebruikers bij het aanvragen van nieuwe groepen. Deze hint wordt als placeholder getoond in het veld voor de naam van de nieuwe groep. Vul hier bijvoorbeeld het verwachte formaat van een groepsnaam in.

Verzoeken voor het aanmaken van nieuwe groepen worden behandeld door de gekozen groep in plaats van de KeyHub administrators.

Verzoeken voor het inschakelen van technisch beheer op groepen worden behandeld door de gekozen groep in plaats van de KeyHub administrators.

Verzoeken voor het verwijderen van groepen worden behandeld door de gekozen groep in plaats van de KeyHub administrators.

Wachtwoordherstelverzoeken voor gebruikers met onvoldoende groepsmanagers worden ook gestuurd naar gebruikers in de gekozen groep in plaats van de KeyHub administrators.

Een unieke identifier voor de applicatie binnen KeyHub.

De naam van de applicatie zoals deze aan gebruikers getoond wordt.

Toon de applicatie als een tegel op het launchpad. Zie het hoofdstuk over het launchpad voor meer informatie.

Leden van deze groep voeren het technisch beheer van deze applicatie uit. Alle leden mogen de applicatie bewerken of verwijderen. Ook webhooks voor de applicatie worden door deze groep beheerd.

Managers van deze groep zijn verantwoordelijk voor het regelen van toegang tot de applicatie. Dit betekent dat managers uit deze groep de applicatie aan kunnen bieden aan andere groepen voor autorisatie (in andere woorden: leden van de andere groep krijgen toegang). Ook kunnen ze het technisch beheer of de verantwoordelijkheid overdragen aan een andere groep.

De OAuth 2.0-specificatie maakt onderscheid tussen een aantal grant_types. KeyHub ondersteunt code en implicit voor SSO-doeleinden. Indien gebruikers via KeyHub op de applicatie aanmelden, dient deze optie gekozen te worden. Voor directe server-to-server-communicatie ondersteunt KeyHub client_credentials. Hierbij vraagt de applicatie zelf een access token aan en is geen interactie van een gebruiker vereist. De client kan uit eigen naam verdere requests bij KeyHub indienen. De command line interface is een voorbeeld van een dergelijke applicatie.

OAuth 2.0 definieert een aantal profielen voor applicaties. Kies hier het profiel dat het beste aansluit bij de applicatie. De profielen staan hieronder uitgebreid beschreven. Deze optie is enkel beschikbaar bij code en implicit grants.

Toont een landingspagina direct na het inloggen en vóór het doorverwijzen naar de SSO-applicatie. Bij native desktopapplicaties is het niet altijd mogelijk om het loginproces op een nette manier af te sluiten. Als de gebruiker bij het inloggen blijft steken op de laatst getoonde pagina in Topicus KeyHub, dan kan deze optie ingeschakeld worden. De gebruiker krijgt dan een nette melding dat het inlogproces is afgerond en dat het venster gesloten kan worden.

Als deze optie ingeschakeld wordt, geeft de REST API van Topicus KeyHub eventuele fouten in zijn volledigheid terug. Deze informatie kan nuttig zijn met het troubleshooten van problemen met het aanroepen van de API. Echter, deze informatie kan door een eventuele aanvaller ook gebruikt worden om in-depth informatie over de interne werking van het systeem te verkrijgen. Laat deze optie daarom nooit aan staan op een productieomgeving.

De URLs waaronder de applicatie draait, gescheiden door enters. Deze optie is enkel beschikbaar bij code en implicit grants. In de hostname en path kan één wildcard opgegeven worden als een range van alfanumerieke [a-zA-Z0-9] tekens of een kopppelteken. Bijvoorbeeld, {4-10} betekent dat elke URL wordt geaccepteerd die overeenkomt met de callback waarbij in plaats van deze range 4 t/m 10 alfanumerieke tekens staan. Het is daarnaast ook mogelijk om een bereik in poortnummers op te geven als [8080-8180]. De waarde van de OAuth redirect_uri parameter wordt geverifiëerd tegen deze waarden.

Een URI binnen de applicatie waarmee een third party login gestart kan worden. In de OpenID Connect-specificatie wordt dit de initiate_login_uri genoemd. Deze URI wordt gebruikt om vanuit KeyHub een IDP initiated login te kunnen starten. Deze optie is enkel beschikbaar bij code en implicit grants.

Deze eigenschap geeft aan welke scopes deze applicatie mag aanvragen en beperkt zo de rechten die een applicatie kan krijgen op de REST-API. Voor SSO-oplossingen is het aanbevolen om hier alleen Profiel te kiezen. Deze optie is enkel beschikbaar bij code en implicit grants.

Hier kunnen extra attributen gedefinieerd worden die op het userinfo uitgelezen kunnen worden. De mogelijkheden van deze attributen worden beschreven in Custom attributen. Deze optie is enkel beschikbaar bij code en implicit grants.

Een door spaties gescheiden lijst met claims. Deze claims worden toegevoegd aan het 'id_token', ook als de client hier niet expliciet om vraagt. Sommige clients verwachten extra claims in het 'id_token' zonder dat de specificatie dit voorschrijft. Via deze optie kunnen deze claims aangeboden worden. Het is ook mogelijk om custom attributen aan te bieden als claims in het 'id_token'.

Toegestane URIs voor resource indicators. Topicus KeyHub kan gebruikt worden als authorization server voor deze resource servers. Om een token aan te vragen voor een andere resource server, moet de URL van deze server meegegeven worden als resource parameter in the authorization request. Het hieruit verkregen OAuth 2.0 access token zal het formaat hebben dat beschreven staat in RFC 9068. In een resource URI kan één wildcard opgegeven worden als een range van alfanumerieke [a-zA-Z0-9] tekens of een kopppelteken. Bijvoorbeeld, {4-10} betekent dat elke URL wordt geaccepteerd die overeenkomt met de callback waarbij in plaats van deze range 4 t/m 10 alfanumerieke tekens staan. Het is daarnaast ook mogelijk om een bereik in poortnummers op te geven als [8080-8180]. Access tokens voor andere resource servers kunnen niet gebruikt worden op de backend van Topicus KeyHub zelf.

Hiermee krijgt de client lees-toegang tot informatie over de accounts, gekoppelde systemen en andere clients bij de groepen waar de client aan gekoppeld is. Deze optie is enkel beschikbaar bij de client_credentials grant.

Dit unieke nummer wordt automatisch door KeyHub gegenereerd. De waarde van dit veld hoeft niet geheim gehouden te worden.

Deze waarde wordt door confidential clients gebruikt ter authenticatie. Deze waarde dient te allen tijde geheim gehouden te worden en wordt daarom ook alleen gegenereerd bij confidential clients. Mocht de waarde van dit veld toch uitlekken, kan een nieuwe waarde gegenereerd worden.

Indien ingeschakeld, wordt de secret van de client automatisch in de kluis geplaatst. Bij inschakelen op een bestaande client moet de secret geroteerd worden om deze optie te activeren.

Een unieke identifier voor de applicatie binnen KeyHub.

De naam van de applicatie zoals deze aan gebruikers getoond wordt.

Toon de applicatie als een tegel op het launchpad. Zie het hoofdstuk over het launchpad voor meer informatie.

Leden van deze groep voeren het technisch beheer van deze applicatie uit. Alle leden mogen de applicatie bewerken of verwijderen. Ook webhooks voor de applicatie worden door deze groep beheerd.

Managers van deze groep zijn verantwoordelijk voor het regelen van toegang tot de applicatie. Dit betekent dat managers uit deze groep de applicatie aan kunnen bieden aan andere groepen voor autorisatie. In andere woorden: leden van de andere groep krijgen toegang. Ook kunnen ze het technisch beheer of de verantwoordelijkheid overdragen aan een andere groep.

De identifier van de Service Provider, ook wel Entity Identifier genoemd. Dit moet een URI zijn.

KeyHub kan het subject in drie formaten aanleveren: Primaire identifier, UPN en gebruikersnaam. Bij Primaire identifier is het subject een uniek nummer dat nooit kan veranderen. Bij UPN is het subject een samenvoeging van de gebruikersnaam en het domein in de vorm user@domain. Bij Gebruikersnaam is het subject de KeyHub-gebruikersnaam. Het verschilt per Service Provider welk formaat het meest handig is in gebruik.

Hier kunnen extra attributen gedefinieerd worden die in de SAML Response meegegeven worden. De mogelijkheden van deze attributen worden beschreven in Custom attributen.

Dit certificaat wordt door Topicus KeyHub gebruikt voor ondertekening van de SAML2-berichten.

Voor de configuratie van een SAML-SSO-koppeling is SAML Metadata vereist. Sommige Service Providers bieden dit via een publiek benaderbare URL, bij anderen is dit enkel in de documentatie vastgelegd. Indien er een bruikbare URL is, geniet het sterk de voorkeur om deze te gebruiken. Indien de metadata enkel in de documentatie staat (of zelfs helemaal niet beschikbaar is), dient deze handmatig ingevoerd te worden.

Een unieke identifier voor de applicatie binnen KeyHub.

De naam van de applicatie zoals deze aan gebruikers getoond wordt.

Leden van deze groep voeren het technisch beheer van deze applicatie uit. Alle leden mogen de applicatie bewerken of verwijderen. Ook webhooks voor de applicatie worden door deze groep beheerd. Ook kunnen ze het technisch beheer overdragen aan een andere groep.

De identifier van de applicatie voor gebruik bij een simple bind. Deze waarde wordt getoond na opslaan.

Deze waarde wordt door clients gebruikt ter authenticatie bij een simple bind. Deze waarde dient te allen tijde geheim gehouden te worden. Mocht de waarde van dit veld toch uitlekken, kan een nieuwe waarde gegenereerd worden.

Indien ingeschakeld, wordt de secret van de client automatisch in de kluis geplaatst. Bij inschakelen op een bestaande client moet de secret geroteerd worden om deze optie te activeren.

Indien de client dit ondersteunt, kan gebruik gemaakt worden van een SASL external bind met een X509 clientcertificaat. Hierbij authenticeert de client zich met de private key van een vooraf gekozen certificaat. Het publieke deel van het certificaat dient hier opgegeven te worden.

De client mag zoeken naar accounts en algemene informatie uitlezen van accounts. Dit recht moet worden goedgekeurd door een KeyHub Administrator.

De client mag nieuwe accounts aanmaken binnen Topicus KeyHub. Dit is alleen mogelijk via het SCIM-endpoint. Dit recht moet worden goedgekeurd door een KeyHub Administrator.

De client mag accounts verwijderen. Dit recht moet worden goedgekeurd door een KeyHub Administrator.

De client mag nieuwe applicaties aanmaken binnen Topicus KeyHub. Deze nieuwe applicaties zullen altijd worden beheerd door de groep die ook technisch beheer heeft over de aanmakende client. Dit recht moet worden goedgekeurd door een manager van de groep met technisch beheer over de client.

De client mag zoeken naar en algemene informatie uitlezen van andere applicaties. Dit recht moet worden goedgekeurd door een KeyHub Administrator.

De client mag nieuwe kopppelgroepen aanmaken op het aangewezen gekoppelde systeem. Deze koppelgroepen worden direct aangemaakt binnen het gekoppelde systeem en kunnen ook verbonden worden met groepen of serviceaccounts binnen Topicus KeyHub. Dit recht moet worden goedgekeurd door een manager van de groep met verantwoordelijkheid over het gekoppelde systeem.

De client mag nieuwe groepen aanmaken binnen Topicus KeyHub. Dit recht moet worden goedgekeurd door een KeyHub Administrator.

De client kan clients, inclusief zichzelf direct rechten geven voor groepen die het aanmaakt. Dit recht moet worden goedgekeurd door een KeyHub Administrator.

De client mag zoeken naar groepen en algemene informatie uitlezen van groepen. Dit recht moet worden goedgekeurd door een KeyHub Administrator. Als dit recht gecombineerd wordt met het recht op het zoeken van accounts, applicaties of gekoppelde systemen, dan krijgt de client ook rechten om de koppelingen tussen deze resources te lezen: lidmaatschappen, sso-koppelingen en koppelingen voor provisioning. Clients krijgen met dit recht ook het recht om privé groepen lezen.

De client mag groepsclassificaties toewijzen op bestaande groepen. Als de client ook het recht heeft om groepen aan te maken, kan de classificatie direct bij het aanmaken van de groep meegegeven worden. Dit recht moet worden goedgekeurd door een manager van de auditorgroep.

De client mag kluisregels aanmaken, lezen, aanpassen en verwijderen voor een aangewezen groep. Dit recht moet worden goedgekeurd door een manager van de aangewezen groep.

De client mag launchpad-tegels aanmaken, lezen, aanpassen en verwijderen voor een aangewezen groep. Dit recht moet worden goedgekeurd door een manager van de aangewezen groep.

De client mag details uitlezen voor een aangewezen groep. Deze details bestaan uit de leden van de groep, gekoppelde applicaties en koppelgroepen voor die groep. Dit recht moet worden goedgekeurd door een manager van de aangewezen groep.

De client mag bij het aanmaken van nieuwe groepen de aangewezen groep koppelen voor het uitvoeren van extra autorisatie. De aangewezen groep kan opgegeven worden als autoriserende groep voor activatie, lidmaatschap en audits, of als groep waar de nieuwe groep onder genest moet worden. Dit recht moet worden goedgekeurd door een manager van de aangewezen groep.

De client mag zoeken naar gekoppelde system en algemene informatie uitlezen van deze systemen, inclusief de koppelgroepen. Dit recht moet worden goedgekeurd door een KeyHub Administrator.

De client mag nieuwe serviceaccounts aanmaken binnen Topicus KeyHub. Dit recht moet worden goedgekeurd door een manager van de groep met verantwoordelijkheid over het gekoppelde systeem.

De client mag zoeken naar en algemene informatie uitlezen van serviceaccounts. Dit recht moet worden goedgekeurd door een KeyHub Administrator.

De client mag serviceaccounts die beheerd worden door de gekozen groep bewerken. Dit recht moet worden goedgekeurd door een manager van de aangewezen groep.

Toont de huidige status van de koppeling. Als een koppeling te vaak fouten geeft, wordt deze tijdelijk ontkoppeld om verdere storingen te voorkomen.

Gebruikers kunnen alleen gebruik maken van koppelingen die actief zijn. KeyHub zal geen accounts aanmaken op koppelingen die gedeactiveerd zijn.

Een unieke identifier voor de koppeling binnen KeyHub.

De naam van de koppeling zoals deze door de gehele applicatie getoond wordt aan gebruikers.

De organisatie-eenheid waar de koppeling toe behoort.

Leden van deze groep voeren het technisch beheer van deze koppeling uit. Leden mogen de koppeling bewerken of een verzoek indienen tot verwijderen van het gekoppelde systeem. Ook webhooks voor de koppeling worden door deze groep beheerd.

Leden van deze groep maken de beslissingen over het gekoppelde systeem. Verzoeken gericht aan het gekoppelde systeem worden behandeld door de managers van deze groep.

Leden van deze groep nemen beslissingen over de inhoud van het gekoppelde systeem. Verzoeken voor het aanmaken van een koppelgroep of serviceaccount worden gericht aan deze groep. Ook verzoeken voor het koppelen van een bestaande koppelgroep moeten eerst door deze groep worden goedgekeurd, alvorens ze doorgaan naar de verantwoordelijke groep van de koppelgroep.

De hostname van de primaire LDAP-server. Bij het gebruik van een beveiligde verbinding (sterk aanbevolen) kan hier het IP-adres niet gebruikt worden.

De hostname van de secundaire LDAP-server. Dit veld is optioneel. Indien het leeg gelaten wordt, kan KeyHub bij een communicatiefout met de primaire server niet terugvallen op een andere server. De failover host wordt alleen gebruikt als er een communicatiefout optreedt met de primaire server.

Het poortnummer waarop de LDAP-server luistert. De standaard poort is 389. Bij het gebruik van LDAPS kan gekozen worden voor 636. Voor alle poorten anders dan 636 zal KeyHub bij gebruik van een beveiligde verbinding StartTLS gebruiken.

Over de verbinding met de LDAP-server worden ook wachtwoorden van gebruikers verstuurd. Het is daarom sterk aan te bevelen een beveiligde verbinding te gebruiken. Raadpleeg het hoofdstuk over certificaten voor meer details.

Via dit certificaat kan aangegeven worden welk certificaat vertrouwd moet worden bij het opzetten van een beveiligde verbinding. Indien dit veld leeg gelaten wordt, zal gebruik gemaakt worden van de standaard Java-truststore. Raadpleeg het hoofdstuk over certificaten voor meer details.

Hetzelfde als bovenstaande, maar dan voor de failover host.

De volledige DN waarop gebind moet worden. Het gebruikte account moet rechten hebben om binnen de LDAP nieuwe entries aan te maken en bestaande entries te wijzigen.

Het wachtwoord waarmee gebind moet worden.

Bij gebruik van clientauthenticatie worden Bind DN en Bind wachtwoord vervangen door een certificaat waarmee KeyHub zichzelf authenticeert bij de LDAP. Dit is de veiligste manier voor het opzetten van een verbinding met een LDAP. Raadpleeg het hoofdstuk over certificaten voor meer details.

De DN in de LDAP waar de accounts en groepen zich bevinden.

De relatieve DN, ten opzichte van de Base-DN, waaronder groepen zich bevinden. Groepen in een LDAP worden aangemaakt als posixGroup, groupOfNames of groupOfUniqueNames.

De relatieve DN, ten opzichte van de Base-DN, waaronder accounts zich bevinden. Accounts in een LDAP worden aangemaakt als posixAccount.

De relatieve DN, ten opzichte van de Base-DN, waaronder serviceaccounts zich bevinden. Serviceaccounts in een LDAP worden aangemaakt als posixAccount.

Een prefix die die vóór de KeyHub gebruikersnaam wordt geplaatst als het account wordt aangemaakt in de LDAP. Deze prefix wordt van de KeyHub gebruikersnaam gescheiden door een koppelteken.

Accounts die niet binnen Topicus KeyHub bekend zijn, worden verwijderd tijdens een synchronisatie.

Geeft aan of de gebruikte LDAP-server ondersteuning biedt voor de ldapPublicKey object class. Deze object class definieert het sshPublicKey attribuut waar de SSH public key van de gebruiker in opgeslagen kan worden. De meest gebruikte LDAP-servers (zoals OpenLDAP) bieden ondersteuning voor dit attribuut. Indien deze optie uitgeschakeld wordt, zal de SSH public key van de gebruiker niet via de LDAP-server verspreid kunnen worden.

Bij een LDAP-koppeling worden de wachtwoorden gehashed opgeslagen. KeyHub is verantwoordelijk voor het kiezen van het algoritme voor deze hashing. Het meest gebruikte algoritme is SSHA. Hierbij wordt het wachtwoord met een salt één keer gehashed met SHA-1. Dit algoritme is daarmee zwak te noemen, maar wordt wel ondersteund door de meeste LDAP-servers. OpenLDAP ondersteunt sinds 2.4.41 ook PBKDF2-SHA512. Dit is een zeer sterk algoritme, waarbij 64k iteraties SHA-512 worden uitgevoerd over een salted wachtwoord. Indien de LDAP-server dit algoritme ondersteunt, geniet dit sterk de voorkeur.

Extra waarden voor het objectClass-attribuut van accounts. Bij het gebruik van custom attributen kan het nodig zijn om extra object classes toe te voegen. Waarden worden gescheiden door spaties.

Hier kunnen extra attributen gedefinieerd worden die aan accounts worden toegevoegd. De mogelijkheden van deze attributen worden beschreven in Custom attributen. Let wel op dat deze waarden toegestaan moeten zijn binnen het gebruikte schema. Mogelijk moeten extra object classes worden toegevoegd voor ondersteuning van de gewenste attributen.

Topicus keyHub kent automatisch UIDs toe aan gebruikers uit een nummerreeks. Kies hier een bestaande reeks of start een nieuwe. Het nummer wordt steeds 1 opgehoogd bij elk account. Zorg er altijd voor dat accounts aangemaakt door KeyHub niet conflicteren met andere accounts op systemen. De reeks is enkel in te stellen bij initiële inrichting en moet beginnen binnen het bereik 2000 tot 60000. Raadpleeg het hoofdstuk over nummerreeksen voor meer details.

Het Group ID van de primaire groep waar KeyHub-accounts onderdeel van zijn.

De ingeschakelde opties voor self-service op gekoppelde systemen. Als self-service ingeschakeld is, kunnen managers van groepen zelfstandig nieuwe groepen aanvragen, aanvragen indienen om bestaande groepen opnieuw te koppelen of serviceaccounts aanvragen. Als self-service uitgeschakeld is, zal deze functionaliteit alleen beschikbaar zijn voor de leden van de inhoudsbeheerdersgroep.

Deze unieke identifier wordt bij de LDAP uitgelezen. Het is niet mogelijk om dezelfde LDAP-server meerdere keren toe te voegen in Topicus KeyHub. Dit wordt afgedwongen door middel van deze UUID.

Toont de huidige status van de koppeling. Als een koppeling te vaak fouten geeft, wordt deze tijdelijk ontkoppeld om verdere storingen te voorkomen.

Gebruikers kunnen alleen gebruik maken van koppelingen die actief zijn. KeyHub zal geen accounts aanmaken op koppelingen die gedeactiveerd zijn.

Een unieke identifier voor de koppeling binnen KeyHub.

De naam van de koppeling zoals deze door de gehele applicatie getoond wordt aan gebruikers.

De organisatie-eenheid waar de koppeling toe behoort.

Leden van deze groep voeren het technisch beheer van deze koppeling uit. Leden mogen de koppeling bewerken of een verzoek indienen tot verwijderen van het gekoppelde systeem. Ook webhooks voor de koppeling worden door deze groep beheerd.

Leden van deze groep maken de beslissingen over het gekoppelde systeem. Verzoeken gericht aan het gekoppelde systeem worden behandeld door de managers van deze groep.

Leden van deze groep nemen beslissingen over de inhoud van het gekoppelde systeem. Verzoeken voor het aanmaken van een koppelgroep of serviceaccount worden gericht aan deze groep. Ook verzoeken voor het koppelen van een bestaande koppelgroep moeten eerst door deze groep worden goedgekeurd, alvorens ze doorgaan naar de verantwoordelijke groep van de koppelgroep.

De hostname van de primaire Active Directory-server. Aangezien het gebruik van een beveiligde verbinding verplicht is, kan hier het IP-adres niet gebruikt worden.

De hostname van de secundaire Active Directory-server. Dit veld is optioneel. Indien het leeg gelaten wordt, kan KeyHub bij een communicatiefout met de primaire server niet terugvallen op een andere server. De failover host wordt alleen gebruikt als er een communicatiefout optreedt met de primaire server.

Het poortnummer waarop de Active Directory-server luistert. De standaard poort is 389. Bij het gebruik van LDAPS kan gekozen worden voor 636. Voor alle poorten anders dan 636 zal KeyHub StartTLS gebruiken.

Over de verbinding met de Active Directory-server worden ook wachtwoorden van gebruikers verstuurd. Active Directory verplicht daarom een beveiligde verbinding te gebruiken. Raadpleeg het hoofdstuk over certificaten voor meer details.

Via dit certificaat kan aangegeven worden welk certificaat vertrouwd moet worden bij het opzetten van een beveiligde verbinding. Indien dit veld leeg gelaten wordt, zal gebruik gemaakt worden van de standaard Java-truststore. Raadpleeg het hoofdstuk over certificaten voor meer details.

Hetzelfde als bovenstaande, maar dan voor de failover host.

De volledige DN waarop gebind moet worden. Het gebruikte account moet rechten hebben om binnen de Active Directory nieuwe entries aan te maken en bestaande entries te wijzigen.

Het wachtwoord waarmee gebind moet worden.

Bij gebruik van clientauthenticatie worden Bind DN en Bind wachtwoord vervangen door een certificaat waarmee KeyHub zichzelf authenticeert bij de Active Directory. Dit is de veiligste manier voor het opzetten van een verbinding met een Active Directory. Raadpleeg het hoofdstuk over certificaten voor meer details.

De DN in de Active Directory waar de accounts en groepen zich bevinden.

De relatieve DN, ten opzichte van de Base-DN, waaronder groepen zich bevinden. Groepen in een Active Directory worden aangemaakt als group, als local of global security group.

De relatieve DN, ten opzichte van de Base-DN, waaronder accounts zich bevinden. Accounts in een Active Directory worden aangemaakt als user.

De relatieve DN, ten opzichte van de Base-DN, waaronder serviceaccounts zich bevinden. Serviceaccounts in een Active Directory worden aangemaakt als user.

Een prefix die die vóór de KeyHub gebruikersnaam wordt geplaatst als het account wordt aangemaakt in het AD. Deze prefix wordt van de KeyHub gebruikersnaam gescheiden door een koppelteken. De resulterende gebruikersnaam in het AD ziet er als volgt uit: '<prefix>-<gebruikersnaam>'.

Een account wordt automatisch verwijderd zodra deze alle toegang tot het systeem heeft verloren. Hier kan ingesteld worden hoeveel tijd er moet verstrijken voordat het account verwijderd moet worden. Gebruik 'd' voor dagen, 'w' voor weken', 'm' voor maanden en 'y' voor jaren, bijvoorbeeld '2w' voor een periode van 2 weken.

Accounts die niet binnen Topicus KeyHub bekend zijn, worden verwijderd tijdens een synchronisatie.

Het SAM-Account-Name-attribuut in het AD wordt gebruikt door sommige legacy-systemen voor authenticatie. Dit attribuut heeft een maximum lengte van 20 tekens. Indien de combinatie van de gebruikersnaamprefix en de gebruikersnaam in Topicus KeyHub langer wordt dan deze 20 tekens, zal normaal gesproken geen SAM-Account-Name ingesteld worden. In dat geval genereert het AD een willekeurige, unieke waarde voor dit attribuut. Via deze optie kan gekozen worden om het SAM-Account-Name-attribuut in te korten, zodat deze niet langer wordt dan 20 tekens. Let op dat deze ingekorte waarde mogelijk niet meer uniek is. Ook is het mogelijk om de waarde over te nemen uit een gelijknaming account-attribuut, met toevoeging van een eventuele prefix. Indien er geen systemen gebruikt worden die van dit attribuut afhankelijk zijn, kan gekozen worden het volledig weg te laten.

Extra waarden voor het objectClass-attribuut van accounts. Bij het gebruik van custom attributen kan het nodig zijn om extra object classes toe te voegen. Waarden worden gescheiden door spaties.

Hier kunnen extra attributen gedefinieerd worden die aan accounts worden toegevoegd. De mogelijkheden van deze attributen worden beschreven in Custom attributen. Let wel op dat deze waarden toegestaan moeten zijn binnen het gebruikte schema. Mogelijk moeten extra object classes worden toegevoegd voor ondersteuning van de gewenste attributen.

Geeft aan of de gebruikte AD-server ondersteuning biedt voor de ldapPublicKey object class. Deze object class definieert het sshPublicKey attribuut waar de SSH public key van de gebruiker in opgeslagen kan worden. Active Directory ondersteunt standaard deze object class en dit attribuut niet. Een alternatief is het gebruik van het altSecurityIdentities-attribuut om de SSH public key in op te slaan. Voor dit attribuut is geen aangepaste objectclass vereist, maar het is niet officieel bedoeld om een SSH public key op te slaan. Voor ondersteuning moeten deze handmatig worden toegevoegd. Indien deze optie uitgeschakeld wordt, zal de SSH public key van de gebruiker niet via de LDAP-server verspreid kunnen worden.

De ingeschakelde opties voor self-service op gekoppelde systemen. Als self-service ingeschakeld is, kunnen managers van groepen zelfstandig nieuwe groepen aanvragen, aanvragen indienen om bestaande groepen opnieuw te koppelen of serviceaccounts aanvragen. Als self-service uitgeschakeld is, zal deze functionaliteit alleen beschikbaar zijn voor de leden van de inhoudsbeheerdersgroep.

Deze unieke identifier wordt bij de Active Directory uitgelezen. Het is niet mogelijk om dezelfde AD-server meerdere keren toe te voegen in Topicus KeyHub. Dit wordt afgedwongen door middel van deze UUID.

Toont de huidige status van de koppeling. Als een koppeling te vaak fouten geeft, wordt deze tijdelijk ontkoppeld om verdere storingen te voorkomen.

Gebruikers kunnen alleen gebruik maken van koppelingen die actief zijn. KeyHub zal geen accounts aanmaken op koppelingen die gedeactiveerd zijn.

Een unieke identifier voor de koppeling binnen KeyHub.

De naam van de koppeling zoals deze door de gehele applicatie getoond wordt aan gebruikers.

De organisatie-eenheid waar de koppeling toe behoort.

Leden van deze groep voeren het technisch beheer van deze koppeling uit. Leden mogen de koppeling bewerken of een verzoek indienen tot verwijderen van het gekoppelde systeem. Ook webhooks voor de koppeling worden door deze groep beheerd.

Leden van deze groep maken de beslissingen over het gekoppelde systeem. Verzoeken gericht aan het gekoppelde systeem worden behandeld door de managers van deze groep.

Leden van deze groep nemen beslissingen over de inhoud van het gekoppelde systeem. Verzoeken voor het aanmaken van een koppelgroep of serviceaccount worden gericht aan deze groep. Ook verzoeken voor het koppelen van een bestaande koppelgroep moeten eerst door deze groep worden goedgekeurd, alvorens ze doorgaan naar de verantwoordelijke groep van de koppelgroep.

De application ID voor de app registratie in Azure.

De secret behorende bij de bovenstaande identifier.

De naam van de tenant binnen Azure.

Bij een ingesteld identity-provider-domein zullen gebruikers via dat domein uitgenodigd worden en inloggen via SSO. Indien dit veld leeggelaten wordt, worden gebruikers direct aangemaakt binnen de tenant met het wachtwoord vanuit Topicus KeyHub. Door hier het domein van de Topicus KeyHub-installatie in te vullen, kunnen gebruikers op Azure inloggen met SSO via Topicus KeyHub.

Een prefix die die vóór de KeyHub gebruikersnaam wordt geplaatst als het account wordt aangemaakt binnen Azure. Deze prefix wordt van de KeyHub gebruikersnaam gescheiden door een koppelteken. De resulterende gebruikersnaam in Azure ziet er als volgt uit: '<prefix>-<gebruikersnaam>'.

Een account wordt automatisch verwijderd zodra deze alle toegang tot het systeem heeft verloren. Hier kan ingesteld worden hoeveel tijd er moet verstrijken voordat het account verwijderd moet worden. Gebruik 'd' voor dagen, 'w' voor weken', 'm' voor maanden en 'y' voor jaren, bijvoorbeeld '2w' voor een periode van 2 weken.

Accounts die niet binnen Topicus KeyHub bekend zijn, worden verwijderd tijdens een synchronisatie.

De ingeschakelde opties voor self-service op gekoppelde systemen. Als self-service ingeschakeld is, kunnen managers van groepen zelfstandig nieuwe groepen aanvragen, aanvragen indienen om bestaande groepen opnieuw te koppelen of serviceaccounts aanvragen. Als self-service uitgeschakeld is, zal deze functionaliteit alleen beschikbaar zijn voor de leden van de inhoudsbeheerdersgroep.

De UUID die hoort bij de gekoppelde Azure tenant. Het is niet mogelijk om dezelfde Azure tenant meerdere keren toe te voegen in Topicus KeyHub. Dit wordt afgedwongen door middel van deze UUID.

Toont de huidige status van de koppeling. Als een koppeling te vaak fouten geeft, wordt deze tijdelijk ontkoppeld om verdere storingen te voorkomen.

Gebruikers kunnen alleen gebruik maken van koppelingen die actief zijn. KeyHub zal geen groepen aan accounts toevoegen op koppelingen die gedeactiveerd zijn.

Een unieke identifier voor de koppeling binnen KeyHub.

De naam van de koppeling zoals deze door de gehele applicatie getoond wordt aan gebruikers.

De organisatie-eenheid waar de koppeling toe behoort.

Leden van deze groep voeren het technisch beheer van deze koppeling uit. Leden mogen de koppeling bewerken of een verzoek indienen tot verwijderen van het gekoppelde systeem. Ook webhooks voor de koppeling worden door deze groep beheerd.

Leden van deze groep maken de beslissingen over het gekoppelde systeem. Verzoeken gericht aan het gekoppelde systeem worden behandeld door de managers van deze groep.

Leden van deze groep nemen beslissingen over de inhoud van het gekoppelde systeem. Verzoeken voor het aanmaken van een koppelgroep of serviceaccount worden gericht aan deze groep. Ook verzoeken voor het koppelen van een bestaande koppelgroep moeten eerst door deze groep worden goedgekeurd, alvorens ze doorgaan naar de verantwoordelijke groep van de koppelgroep.

De directory waarvoor de koppeling dient. Indien er meerdere directories gebruikt worden binnen Topicus KeyHub, zullen enkel gebruikers uit de gekozen directory gebruik kunnen maken van deze koppeling.

De DN binnen de gekozen directory, waaronder groepen zich bevinden.

De ingeschakelde opties voor self-service op gekoppelde systemen. Als self-service ingeschakeld is, kunnen managers van groepen zelfstandig nieuwe groepen aanvragen of aanvragen indienen om bestaande groepen opnieuw te koppelen. Als self-service uitgeschakeld is, zal deze functionaliteit alleen beschikbaar zijn voor de leden van de inhoudsbeheerdersgroep.

Deze unieke identifier wordt bij de directory uitgelezen. Het is niet mogelijk om dezelfde server meerdere keren toe te voegen in Topicus KeyHub. Dit wordt afgedwongen door middel van deze UUID.

Toont de huidige status van de koppeling. Als een koppeling te vaak fouten geeft, wordt deze tijdelijk ontkoppeld om verdere storingen te voorkomen.

Gebruikers kunnen alleen gebruik maken van koppelingen die actief zijn. KeyHub zal geen groepen aan accounts toevoegen op koppelingen die gedeactiveerd zijn.

Een unieke identifier voor de koppeling binnen KeyHub.

De naam van de koppeling zoals deze door de gehele applicatie getoond wordt aan gebruikers.

De organisatie-eenheid waar de koppeling toe behoort. Deze is gelijk aan die van de brondirectory.

Leden van deze groep voeren het technisch beheer van deze koppeling uit. Leden mogen de koppeling bewerken of een verzoek indienen tot verwijderen van het gekoppelde systeem. Ook webhooks voor de koppeling worden door deze groep beheerd.

Leden van deze groep maken de beslissingen over het gekoppelde systeem. Verzoeken gericht aan het gekoppelde systeem worden behandeld door de managers van deze groep.

Leden van deze groep nemen beslissingen over de inhoud van het gekoppelde systeem. Verzoeken voor het aanmaken van een koppelgroep of serviceaccount worden gericht aan deze groep. Ook verzoeken voor het koppelen van een bestaande koppelgroep moeten eerst door deze groep worden goedgekeurd, alvorens ze doorgaan naar de verantwoordelijke groep van de koppelgroep.

De directory waarvoor de koppeling dient. Indien er meerdere directories gebruikt worden binnen Topicus KeyHub, zullen enkel gebruikers uit de gekozen directory gebruik kunnen maken van deze koppeling.

De Azure tenant waarbinnen de accounts zich bevinden.

De ingeschakelde opties voor self-service op gekoppelde systemen. Als self-service ingeschakeld is, kunnen managers van groepen zelfstandig nieuwe groepen aanvragen of aanvragen indienen om bestaande groepen opnieuw te koppelen. Als self-service uitgeschakeld is, zal deze functionaliteit alleen beschikbaar zijn voor de leden van de inhoudsbeheerdersgroep.

Deze unieke identifier wordt bij de directory uitgelezen. Het is niet mogelijk om dezelfde tenant meerdere keren toe te voegen in Topicus KeyHub. Dit wordt afgedwongen door middel van deze UUID.

Toont de huidige status van de koppeling. Als een koppeling te vaak fouten geeft, wordt deze tijdelijk ontkoppeld om verdere storingen te voorkomen.

Gebruikers kunnen alleen gebruik maken van koppelingen die actief zijn. KeyHub zal geen groepen aan accounts toevoegen op koppelingen die gedeactiveerd zijn.

Een unieke identifier voor de koppeling binnen KeyHub.

De naam van de koppeling zoals deze door de gehele applicatie getoond wordt aan gebruikers.

De organisatie-eenheid waar de koppeling toe behoort. Deze is gelijk aan die van de brondirectory.

Leden van deze groep voeren het technisch beheer van deze koppeling uit. Leden mogen de koppeling bewerken of een verzoek indienen tot verwijderen van het gekoppelde systeem. Ook webhooks voor de koppeling worden door deze groep beheerd.

Leden van deze groep maken de beslissingen over het gekoppelde systeem. Verzoeken gericht aan het gekoppelde systeem worden behandeld door de managers van deze groep.

Leden van deze groep nemen beslissingen over de inhoud van het gekoppelde systeem. Verzoeken voor het aanmaken van een koppelgroep of serviceaccount worden gericht aan deze groep. Ook verzoeken voor het koppelen van een bestaande koppelgroep moeten eerst door deze groep worden goedgekeurd, alvorens ze doorgaan naar de verantwoordelijke groep van de koppelgroep.

De directory waarvoor de koppeling dient. Indien er meerdere directories gebruikt worden binnen Topicus KeyHub, zullen enkel gebruikers uit de gekozen directory gebruik kunnen maken van deze koppeling.

De application ID voor de app registratie in Azure.

De secret behorende bij de bovenstaande identifier.

De Azure tenant waarbinnen de accounts zich bevinden.

De ingeschakelde opties voor self-service op gekoppelde systemen. Als self-service ingeschakeld is, kunnen managers van groepen zelfstandig nieuwe groepen aanvragen of aanvragen indienen om bestaande groepen opnieuw te koppelen. Als self-service uitgeschakeld is, zal deze functionaliteit alleen beschikbaar zijn voor de leden van de inhoudsbeheerdersgroep.

Deze unieke identifier wordt bij de directory uitgelezen. Het is niet mogelijk om dezelfde tenant meerdere keren toe te voegen in Topicus KeyHub. Dit wordt afgedwongen door middel van deze UUID.

Gebruikers kunnen alleen gebruik maken van koppelingen die actief zijn. KeyHub zal geen accounts aanmaken op koppelingen die gedeactiveerd zijn.

Een unieke identifier voor de koppeling binnen KeyHub.

De naam van de koppeling zoals deze door de gehele applicatie getoond wordt aan gebruikers.

De organisatie-eenheid waar de koppeling toe behoort.

Leden van deze groep voeren het technisch beheer van deze koppeling uit. Leden mogen de koppeling bewerken of een verzoek indienen tot verwijderen van het gekoppelde systeem. Ook webhooks voor de koppeling worden door deze groep beheerd.

Leden van deze groep maken de beslissingen over het gekoppelde systeem. Verzoeken gericht aan het gekoppelde systeem worden behandeld door de managers van deze groep.

De LDAP client-definitie die onder andere de credentials bepaalt. Zie LDAP v3 applicatie voor informatie over het registreren van een LDAP client.

De ingeschakelde opties voor self-service op gekoppelde systemen. Als self-service ingeschakeld is, kunnen managers van groepen zelfstandig nieuwe groepen aanvragen of aanvragen indienen om bestaande groepen opnieuw te koppelen. Als self-service uitgeschakeld is, zal deze functionaliteit alleen beschikbaar zijn voor de leden van de groep met technisch beheer.

Toont de huidige status van de koppeling. Als een koppeling te vaak fouten geeft, wordt deze tijdelijk ontkoppeld om verdere storingen te voorkomen.

Gebruikers kunnen alleen gebruik maken van koppelingen die actief zijn. KeyHub zal geen groepen aan accounts toevoegen op koppelingen die gedeactiveerd zijn.

Een unieke identifier voor de koppeling binnen KeyHub.

De naam van de koppeling zoals deze door de gehele applicatie getoond wordt aan gebruikers.

De organisatie-eenheid waar de koppeling toe behoort.

Leden van deze groep voeren het technisch beheer van deze koppeling uit. Leden mogen de koppeling bewerken of een verzoek indienen tot verwijderen van het gekoppelde systeem. Ook webhooks voor de koppeling worden door deze groep beheerd.

Leden van deze groep maken de beslissingen over het gekoppelde systeem. Verzoeken gericht aan het gekoppelde systeem worden behandeld door de managers van deze groep.

Leden van deze groep nemen beslissingen over de inhoud van het gekoppelde systeem. Verzoeken voor het aanmaken van een koppelgroep of serviceaccount worden gericht aan deze groep. Ook verzoeken voor het koppelen van een bestaande koppelgroep moeten eerst door deze groep worden goedgekeurd, alvorens ze doorgaan naar de verantwoordelijke groep van de koppelgroep.

Veel leveranciers hanteren een eigen SCIM dialect. Hier kan de leverancier worden gekozen voor een optimale werking van de SCIM koppeling.

De volledige URL waarop de SCIM REST API te vinden is. Hier kan enkel http en https gebruikt worden.

Als Topicus KeyHub moet authenticeren bij het provisionen via SCIM, kan hier een authenticatiemethode gekozen worden. De beschikbare opties zullen verschillende velden tonen voor het invoeren van de authenticatiegegevens.

Beschikbaar bij het authenticatieschema 'Basic authentication'. Deze zal samen met het wachtwoord in de Authorization header worden meegestuurd.

Beschikbaar bij het authenticatieschema 'Basic authentication'. Deze zal samen met de gebruikersnaam in de Authorization header worden meegestuurd.

Beschikbaar bij het authenticatieschema 'Bearer token'. Dit token zal in de Authorization header worden meegestuurd, voorafgegaan door het woord Bearer.

Beschikbaar bij het authenticatieschema 'Aangepast'. De hieronder ingevulde waarde zal in een header met de hier ingevulde naam worden meegestuurd.

Beschikbaar bij het authenticatieschema 'Aangepast'. De hier ingevulde waarde zal in een header met de hierboven ingevulde naam worden meegestuurd.

Een account wordt automatisch verwijderd zodra deze alle toegang tot het systeem heeft verloren. Hier kan ingesteld worden hoeveel tijd er moet verstrijken voordat het account verwijderd moet worden. Gebruik 'd' voor dagen, 'w' voor weken', 'm' voor maanden en 'y' voor jaren, bijvoorbeeld '2w' voor een periode van 2 weken.

Accounts die niet binnen Topicus KeyHub bekend zijn, worden verwijderd tijdens een synchronisatie.

De ingeschakelde opties voor self-service op gekoppelde systemen. Als self-service ingeschakeld is, kunnen managers van groepen zelfstandig nieuwe groepen aanvragen of aanvragen indienen om bestaande groepen opnieuw te koppelen. Als self-service uitgeschakeld is, zal deze functionaliteit alleen beschikbaar zijn voor de leden van de inhoudsbeheerdersgroep.

Toont de huidige status van de namespace. Dit is de status van het basissysteem.

Een namespace kan niet los gedeactiveerd worden. Dit representeert dus ook de status van het basissysteem.

Een unieke identifier voor de koppeling binnen KeyHub.

De naam van de koppeling zoals deze door de gehele applicatie getoond wordt aan gebruikers.

De organisatie-eenheid waar de koppeling toe behoort.

Leden van deze groep maken de beslissingen over het gekoppelde systeem. Verzoeken gericht aan het gekoppelde systeem worden behandeld door de managers van deze groep. Dit is altijd dezelfde groep als de inhoudsbeheerdersgroep.

Leden van deze groep nemen beslissingen over de inhoud van het gekoppelde systeem. Verzoeken voor het aanmaken van een koppelgroep of serviceaccount worden gericht aan deze groep. Ook verzoeken voor het koppelen van een bestaande koppelgroep moeten eerst door deze groep worden goedgekeurd, alvorens ze doorgaan naar de verantwoordelijke groep van de koppelgroep.

De relatieve DN, ten opzichte van de Base-DN, waaronder groepen zich bevinden. Groepen in een namespace kunnen elk type zijn dat ondersteund wordt door het basissysteem.

De relatieve DN, ten opzichte van de Base-DN, waaronder serviceaccounts zich bevinden.

De ingeschakelde opties voor self-service op gekoppelde systemen. Als self-service ingeschakeld is, kunnen managers van groepen zelfstandig nieuwe groepen aanvragen, aanvragen indienen om bestaande groepen opnieuw te koppelen of serviceaccounts aanvragen. Als self-service uitgeschakeld is, zal deze functionaliteit alleen beschikbaar zijn voor de leden van de inhoudsbeheerdersgroep.

Een PEM-bestand bevat de Base64-encoded DER-representatie van het certificaat of de key tussen markers in de volgende vorm: -----BEGIN CERTIFICATE----- en -----END CERTIFICATE-----. Upload het certificaat en de private key als 2 losse PEM-bestanden. Indien de private key versleuteld is met een wachtwoord, dan dient deze ook opgegeven te worden. Uiteraard dienen het certificaat en de private key bij elkaar te horen.

Public-Key Cryptography Standard 12 (PKCS#12) is een complex formaat dat verschillende soorten van cryptografische informatie kan opslaan. Voor certificaten wordt PKCS#12 vaak gebruikt om een certificaat met chain en private key op te slaan in een enkel bestand. Onder Windows is de bestandsextensie .pfx veelgebruikt voor PKCS#12-bestanden. Topicus KeyHub kan een certificaat en de bijbehorende private key uit een PKCS#12-bestand lezen. De certificaatketen wordt niet uitgelezen. Het bestand en de private key dienen versleuteld te zijn met hetzelfde wachtword.

Webhookafleveringen worden alleen uitgevoerd als de webhook actief is.

De naam van de webhook.

De volledige URL waarop de aflevering van de webhook plaats moet vinden. Hier kan enkel http en https gebruikt worden.

Webhookafleveringen kunnen gevoelige informatie zoals gebruikersnamen bevatten. Het is daarom sterk aan te bevelen een beveiligde verbinding te gebruiken. Raadpleeg het hoofdstuk over certificaten voor meer details.

Via dit certificaat kan aangegeven worden welk certificaat vertrouwd moet worden bij het opzetten van een beveiligde verbinding. Indien dit veld leeg gelaten wordt, zal gebruik gemaakt worden van de standaard Java-truststore. Raadpleeg het hoofdstuk over certificaten voor meer details.

Bij gebruik van clientauthenticatie zal KeyHub zichzelf autenticeren met een certificaat bij de ontvanger van de webhook. Raadpleeg het hoofdstuk over certificaten voor meer details.

Als Topicus KeyHub moet authenticeren bij het afleveren van de webhook, kan hier een authenticatiemethode gekozen worden. De beschikbare opties zullen verschillende velden tonen voor het invoeren van de authenticatiegegevens.

Beschikbaar bij het authenticatieschema 'Basic authentication'. Deze zal samen met het wachtwoord in de Authorization header worden meegestuurd.

Beschikbaar bij het authenticatieschema 'Basic authentication'. Deze zal samen met de gebruikersnaam in de Authorization header worden meegestuurd.

Beschikbaar bij het authenticatieschema 'Bearer token'. Dit token zal in de Authorization header worden meegestuurd, voorafgegaan door het woord Bearer.

Beschikbaar bij het authenticatieschema 'Aangepast'. Die hieronder ingevulde waarde zal in een header met deze naam worden meegestuurd.

Beschikbaar bij het authenticatieschema 'Aangepast'. Die hier ingevulde waarde zal in een header met de hierboven ingevulde naam worden meegestuurd.

Stuur de volledige objecten mee bij de aflevering van een webhook. Deze optie vereist het gebruik van een beveiligde verbinding.

Toont het aantal accounts dat op dit moment actief is.

Toont het aantal sessies dat op dit moment actief is.

De datum waarop de licentie is afgegeven.

Voor deze datum is de licentie niet geldig.

Na deze datum is de licentie niet geldig.

Het totale aantal gebruikerslicenties. Dit is de som van de Business- en Pro-licenties.

Het aantal Pro-gebruikerslicenties

Zoekt op een exacte overeenkomst met de naam van het element.

Zoekt op een exacte overeenkomst met het UUID van het element.

Hiermee wordt gefilterd op een tekstuele overeenkomst binnen het element. Dit omvat de UUID, naam, en mogelijk andere onderdelen.

Hiermee kan gezocht worden op verschillende eigenschappen van het element. De syntax van deze query wordt hieronder beschreven.

Hiermee wordt gefilterd op het type van een kluisregel. De mogelijke waarden zijn PASSWORD, FILE, TOTP en COMMENT.

Kies hierbij de tijdzone waarin de meeste gebruikers van Topicus KeyHub werken.

Voor het functioneren van Topicus KeyHub is het belangrijk dat de klok van de machine goed staat. Standaard wordt gebruik gemaakt van NTP-servers uit de NTP-pool. Indien deze niet benaderbaar zijn, of er dient gebruik gemaakt te worden van andere servers, dan kunnen deze hier ingesteld worden.

Draait Topicus KeyHub met een statische IP-configuratie of is deze dynamisch (DHCP).

Het statische ip-adres waarop Topicus KeyHub draait.

De netmask voor de statische IP-configuratie.

De gateway voor de statisch IP-configuratie.

Een lijst van te gebruiken DNS-servers. Voeg hier eventuele intern gebruikte DNS-servers toe.

De URl waarop Topicus KeyHub bereikbaar is voor gebruikers.

Draai de Topicus KeyHub-appliance zonder actieve internetverbinding. Voor meer informatie, zie 'Offline installatie'.

Indien Topicus KeyHub achter een reverse proxy draait, dient dit aangevinkt te worden. Voor meer informatie, zie 'Geproxyde opstelling'.

De hostnaam van de server van Topicus KeyHub.

Het domein waarbinnen Topicus KeyHub draait.

De fully qualified domain name die volgt uit bovenstaande instellingen.

Gebruik de gratis online dienst Let’s Encrypt voor het automatisch aanvragen van certificaten. Deze optie is niet beschikbaar indien een geproxyde opstelling gebruikt wordt.

Kies hier het publieke certificaat-bestand (PEM) en het private key-bestand (PEM) of een gecombineerd PKCS#12-bestand. Raadpleeg het hoofdstuk over certificaten voor meer details over de verschillende formaten.

Voor de configuratie van de web interface is een volledige certificaatketen nodig. Geef hier een PEM-bundel op met alle certificaten die nodig zijn om de volledige certificaatketen te construeren. In deze bundel dienen alle certificaten van root tot het certificaat dat gebruikt is om het bovenstaande certificaat te ondertekenen, opgenomen te zijn. Een PEM-bundel bestaat uit één of meerdere certificaten in PEM-formaat onder elkaar geplaatst.

Om Topicus KeyHub in onderhoudsmodus te starten kan deze optie worden gebruikt. Indien Topicus KeyHub in onderhoudsmodus draait, kan alleen de keyhub-gebruiker inloggen in de applicatie. Hiervoor dient het onderhoudswachtwoord gebruikt te worden.

Verdeel het geheugen van de VM over de verschillende onderdelen. De eerste 6GB geheugen heeft een standaardverdeling die niet gewijzigd kan worden. Van al het beschikbare geheugen boven de 6GB kan 50% verdeeld worden tussen de Topicus KeyHub-applicatie en het OS en de database. Van de overgebleven 50% gaat de helft altijd naar de Topicus KeyHub-applicatie en de andere helft naar het OS en de database.

Stelt de gevoeligheid van de overbelastingsbescherming in. Hoe hoger de waarde, hoe langer het zal duren voordat de overbelastingsbescherming ingrijpt en een verzoek afbreekt. Hogere waarden vereisen meer geheugen en meer CPU-cores.

Het distributiekanaal kan gewijzigd worden naar een andere waarde dan de laatste stabiele versie. Alternatieven voor het kanaal zijn acceptance en development. Let er hierbij op, dat andere waarden niet ondersteund worden door de leverancier en gebruik hiervan op eigen risico is.

Stop de applicatie op nodes die geen deel zijn van het quorum binnen het cluster. Topicus KeyHub leest periodiek de status van Pgpool uit. Als Pgpool het quorum verliest en de node draait de primaire database, zullen alle services op de node gestopt worden. Hiermee wordt mogelijke datacorruptie voorkomen in het geval van een split-brain situatie. Echter, als de node de enige nog draaiende node was in het cluster, zal deze actie het cluster onbereikbaar maken.

Indien er binnen het bedrijf een eigen RPM-repository gebruikt wordt, kan deze hier opgegeven worden. Deze repository kan gebruikt worden als mirror van upstream repositories voor het binnenhalen van systeemupdates in offline-modus of voor het aanbieden van eigen packages.

Geef eventuele ip-adressen op voor whitelisting in de firewall voor de management-zone. De Management Console van Topicus KeyHub (poort 50443) en SSH (poort 50022) zijn alleen toegankelijk vanaf IP-adressen in deze whitelist. Ook de interne LDAP (poort 389) valt onder de management-zone.

Deze TCP-poorten zullen opengezet worden voor de hierboven gegeven IP-bereiken. Meerdere poorten dienen gescheiden te worden met komma’s. Poort 50443 (Management Console), poort 50022 (SSH) en poort 389 (interne LDAP) vallen onder de management-zone.

Deze UDP-poorten zullen opengezet worden voor de hierboven gegeven IP-bereiken. Meerdere poorten dienen gescheiden te worden met komma’s.

De monitoring-poorten zijn alleen benaderbaar vanaf IP-adressen in de hier aangeven bereiken. De monitoring-zone bevat altijd poort 9443.

Deze TCP-poorten zullen opengezet worden voor de hierboven gegeven IP-bereiken. Meerdere poorten dienen gescheiden te worden met komma’s. Poort 9443, voor de metrics- en health-endpoints valt onder de monitoring-zone.

Deze UDP-poorten zullen opengezet worden voor de hierboven gegeven IP-bereiken. Meerdere poorten dienen gescheiden te worden met komma’s. Om SNMP beschikbaar te maken, dient poort 161 hier opgenomen te worden.

De back-up-poorten zijn alleen benaderbaar vanaf IP-adressen in de hier aangegeven bereiken. Deze zone kan gebruikt worden om een lokale backup-agent toegankelijk te maken.

Deze TCP-poorten zullen opengezet worden voor de hierboven gegeven IP-bereiken. Meerdere poorten dienen gescheiden te worden met komma’s.

Deze UDP-poorten zullen opengezet worden voor de hierboven gegeven IP-bereiken. Meerdere poorten dienen gescheiden te worden met komma’s.

Het adres van de e-mailserver die gebruikt gaat worden voor het versturen van e-mails vanuit Topicus KeyHub.

Geeft aan of en op welke manier de verbinding met de SMTP-server versleuteld moet worden.

Indien er authenticatie noodzakelijk is voor het verbinden met de e-mailserver, kan hier de gebruikersnaam worden ingevoerd.

Indien er authenticatie noodzakelijk is voor het verbinden met de e-mailserver, kan hier het wachtwoord worden ingevoerd.

Vul hier het e-mailadres van de administrator van Topicus KeyHub in. Dit e-mailadres wordt gebruikt als ingelogd wordt met het onderhoudsaccount.

Vul hier het e-mailadres in dat de appliance manager moet gebruiken om vanuit te mailen. Enkel de appliance manager maakt gebruik van dit e-mailadres. Het adres van e-mails van Topicus KeyHub zelf wordt ingesteld bij de algemen instellingen.

Geef extra configuratie op die letterlijk wordt doorgegeven aan Postfix. Deze parameters moeten de vorm key = value hebben, met één sleutel/waarde-paar per regel. De parameters worden als laatste toegepast en overschrijven andere ingestelde parameters. Raadpleeg de Postfix-configuratiedocumentatie voor informatie over de beschikbare parameters.

Dit certificaat wordt door Topicus KeyHub gebruikt voor het ondertekenen van OAuth2 access tokens, OpenID Connect ID tokens en SAML assertions. Topicus KeyHub genereert automatisch een certificaat dat 5 jaar geldig is. Het certificaat kan vervangen worden door op 'Opnieuw genereren' te klikken.

Stuur monitoringinformatie en statistieken via OTLP naar het onderstaande endpoint.

Het OTLP-endpoint waarnaar de statistieken moeten worden verzonden.

Beveilig de verbinding met TLS, optioneel met een clientcertificaat.

Geef een PEM-bundel met alle certificaten die nodig zijn om een volledige certificaatketen te construeren van root tot het uiteindelijke certificaat.

Het certificaat dat KeyHub gebruikt om zich bij de OTLP-server te authenticeren.

Maak monitoring-informatie beschikbaar via SNMP v2c.

De community string waaronder de informatie beschikbaar gemaakt wordt. Deze waarde zal in het monitoring-systeem ingevoerd moeten worden om de informatie uit te kunnen lezen.

Maak monitoring-informatie beschikbaar via SNMP v3. Authenticatie is beveiligd met SHA en het verkeer is versleuteld met AES.

De gebruikersnaam waarmee ingelogd moet worden om de informatie uit te lezen.

Het wachtwoord bij de bovengenoemde gebruikersnaam waarmee ingelogd moet worden om de informatie uit te lezen.

Het wachtwoord waarmee de data versleuteld wordt. Als dit leeggelaten wordt, is dit gelijk aan het gebruikerswachtwoord.

Het aantal back-ups dat bewaard moet worden voordat de oudste back-up verwijderd wordt. Het vasthouden van teveel back-ups kan zorgen dat de schijf van de Topicus KeyHub-appliance volloopt.

Versleutel de inhoud van de back-ups.

Maak een gebruiker met de naam keyhub-backup.

Het wachtwoord voor de gebruiker met de naam keyhub-backup. Er wordt een suggestie getoond voor een voldoende sterk wachtwoord. Het is ook mogelijk een ander wachtwoord te kiezen.

Een optionele SSH-public-key voor de back-up-gebruiker. Wanneer deze gegeven wordt, kan keyhub-backup inloggen met deze sleutel, zonder wachtwoord.

Indien ingeschakeld, worden de logs direct doorgestuurd naar een ander systeem.

Het adres van de server waar de logs afgeleverd moeten worden.

De TCP-poort waarop de logs afgeleverd moeten worden. Poort 1468 is een veelgebruikte poort voor syslog.

Stel een alternatief template aan voor het formaat van de berichten van de syslog. Standaard wordt het template RSYSLOG_SyslogProtocol23Format gebruikt. Raadpleeg de handleiding van RSyslog voor beschikbare templates.

Beveilig de verbinding met TLS, optioneel met een clientcertificaat.

Geef een PEM-bundel met alle certificaten die nodig zijn om een volledige certificaatketen te construeren van root tot het uiteindelijke certificaat. Deze keten moet gebruikt worden voor zowel het certificaat van de log server als, indien van toepassing, het clientcertificaat.

Het certificaat dat KeyHub gebruikt om zich bij de logserver te authenticeren.

Het root-bestandssysteem van 24GiB. Dit bevat het OS, de databestanden van Topicus KeyHub en de backups.

Het log-bestandssysteem van 15GiB. Hierin wordt de logging weggeschreven van het OS en de verschillende onderdelen van Topicus KeyHub.

Het docker-bestandssysteem van 24GiB. Hierin bevinden zich alle docker images, tijdelijke volumes en andere data die door docker gebruikt wordt.

De swap-partitie van 2GiB.

De boot-partitie van 2GiB.

De overige ruimte, ongeveer 12GiB, is gereserveerd voor snapshots die gemaakt worden tijdens een update.

Voor het uitwisselen van configuratie en het uitvoeren van remote administration commando’s.

Voor een beveiligd overlay network waarover de cluster nodes onderling communiceren.

Installeer systeemupdates van het onderliggende OS. Het wordt zeer aanbevolen om dit tenminste éénmaal per week te doen.

Installeer automatisch Topicus KeyHub-updates uit het ingestelde distributiekanaal. Tijdens een update zal Topicus KeyHub enige tijd onbereikbaar zijn. Deze updates dienen daarvoor ingeplanned te worden tijdens een gepast service window.

Bij sommige updates, zoals een nieuwe versie van de kernel, is het vereist om het systeem te herstarten om de update af te ronden. Door het aanvinken van deze optie zal het systeem automatisch herstarten na het installeren van updates indien vereist. Logischerwijs zal Topicus KeyHub tijdens een herstart tijdelijk onbereikbaar zijn.