Wat doet deze functie?
Een gebruiker in Epowerhr is de identiteit waarmee je inlogt op de applicatie. Een gebruiker kan gekoppeld zijn aan een Persoon (medewerker), en hoort tot één of meerdere groepen die bepalen wat hij mag doen. De effectieve rechten zijn de unie van:
- De directe rechten die op het tabblad Toegangsrechten van de gebruiker zijn aangevinkt.
- De rechten die toegekend worden door elke groep waar hij lid van is.
Vijf tabbladen vormen het dagelijkse beheer van een gebruiker:
- Detail — de identiteit van de gebruiker (naam, e-mail, taal, tijdzone, gekoppelde persoon, actief-vlag).
- Authenticatie — hoe de gebruiker inlogt: één of meerdere authenticatiemethodes (bijv. AD, Forms-based).
- Groepen — tot welke groepen de gebruiker behoort.
- Toegangsrechten — extra rechten die rechtstreeks aan de gebruiker worden toegekend, bovenop zijn groepen.
- Toegangstokens — een API-token waarmee externe systemen Epowerhr kunnen aanroepen in naam van de gebruiker.
Voor het beheer op groepsniveau (groepen aanmaken, beperken welke records ze zien), zie Toegang: groepen beheren en Toegang beperken voor groepen: doelgroepen en hiërarchie.
Voor je begint
Je hebt nodig:
- De rechten Administratie en Gebruikers (bekijken) om de tabbladen van een gebruiker te openen.
- Gebruiker toevoegen, Gebruiker aanpassen en Gebruiker verwijderen om gebruikers aan te maken, te wijzigen of te verwijderen op het tabblad Detail en in het overzicht.
- Authenticatiemethode toevoegen, Authenticatiemethode aanpassen en Authenticatiemethode verwijderen om logins te beheren op het tabblad Authenticatie.
-
Groep aanpassen (in de component Gebruikers — code
UPDATE_USER_GROUP) om het groepslidmaatschap van de gebruiker te wijzigen op het tabblad Groepen. Ondanks de korte naam slaat dit recht op de gebruiker-pagina; de groep-pagina heeft eigen rechten Gebruiker toevoegen aan groep / Gebruiker verwijderen uit groep. -
Toegangsrecht aanpassen (code
UPDATE_USER_PERMISSION) om directe rechten toe te kennen op het tabblad Toegangsrechten.
Open de gebruikerspagina
Navigeer naar Beheer → Gebruikers. De paginatitel is Beheer gebruikers.
Het zoekvenster bovenaan heeft de volgende filters:
| Filter | Toelichting |
|---|---|
| Login | Matcht op één van de logins van de gebruiker. |
| Familienaam | |
| Voornaam | |
| Referentienummer | Het referentienummer van de gekoppelde Persoon. |
| Inclusief | Twee selectievakjes — Actieve gebruikers (standaard aangevinkt) en Inactieve gebruikers (standaard uit). Vink Inactieve gebruikers aan om ook gedeactiveerde accounts te zien. |
Klik op Zoeken om de zoekopdracht uit te voeren of op Verwijder zoekcriteria om de filters te resetten. Verberg zoekscherm / Toon zoekscherm klapt het venster in of uit.
De resultatenlijst toont drie sorteerbare kolommen: Familienaam, Voornaam en Referentienummer. De lege staat toont "Geen resultaten gevonden!".
Vanuit de resultatenlijst kan je:
- Op Wijzigen klikken op een rij om de detailpagina van die gebruiker te openen.
- Rijen aanvinken en op Verwijder geselecteerde gebruikers klikken om ze te verwijderen — er verschijnt een bevestigingsdialoog: "Ben je zeker dat je de geselecteerde gebruikers wil verwijderen?". Bij succes verschijnt een toast "De geselecteerde gebruikers zijn succesvol verwijderd!"; bij een fout meldt de pagina "Kan de gebruikers niet verwijderen omdat:" met de reden.
- Op Gebruiker toevoegen klikken om een nieuwe gebruiker aan te maken. Het tabblad Detail opent; de andere tabbladen worden actief na de eerste keer bewaren.
Het tabblad Detail
Het tabblad Detail bevat de identiteit van de gebruiker. Velden met een * zijn verplicht.
| Veld | Toelichting |
|---|---|
Familienaam *
|
Validatieboodschap: "Gelieve een familienaam in te geven". |
Voornaam *
|
Validatieboodschap: "Gelieve een voornaam in te geven". |
Roepnaam *
|
De zichtbare naam die overal in de applicatie verschijnt — handig wanneer de officiële voornaam afwijkt van de naam die mensen effectief gebruiken. |
| Titel | Vrije keuzelijst (Dhr., Mevr., Dr., …). Optioneel. |
E-mail *
|
Het adres dat Epowerhr gebruikt om met de gebruiker te communiceren — systeemmails, wachtwoord-reset, de welkomstmail die verstuurd wordt wanneer je een Forms-login aanmaakt, en alle door de applicatie gegenereerde notificaties gaan naar dit adres. Validatie: "Gelieve een e-mail adres in te geven" (leeg) of "Ongeldig e-mail adres" (verkeerd formaat). |
Taal *
|
De UI-taal en lokale formattering die de gebruiker ziet. Validatie: "Taal is een verplicht veld". |
Tijdzone *
|
Bepaalt hoe datum en tijd voor deze gebruiker worden weergegeven. Validatie: "Tijdzone is een verplicht veld". |
| Persoon | Optionele koppeling met een medewerker. Klik op Selecteer uit lijst om de persoonskiezer te openen, of op Wis om de koppeling te verwijderen. Slechts één gebruiker kan gekoppeld zijn aan een Persoon — kies je iemand die al gekoppeld is, dan verschijnt "Persoon is al gekoppeld aan een andere gebruiker". |
| Actief | Standaard aangevinkt. Vink uit om de gebruiker te deactiveren: zijn bestaande logins werken niet meer, maar het record (groepslidmaatschappen, historiek, audit trails) blijft behouden. |
| Toegang beperken volgens eigenaar | Wanneer aangevinkt, ziet de gebruiker enkel records waarvan hijzelf eigenaar is. Gebruik dit voor een "alleen mijn eigen werk"-zicht. |
Klik op Bewaren om het tabblad Detail te bewaren. De toast bij succes is "Gebruiker {naam} toegevoegd" voor nieuwe gebruikers en "Gebruiker {naam} aangepast" daarna. Na de eerste keer bewaren worden de tabbladen Authenticatie, Groepen, Toegangsrechten en Toegangstokens beschikbaar.
Het tabblad Authenticatie
Een gebruiker kan meerdere authenticatiemethodes hebben — bijvoorbeeld een Forms-based login en een federated SSO-login. Elke rij in de lijst stelt één manier voor waarop de gebruiker kan inloggen.
De kolommen zijn:
- Login — de gebruikersnaam voor die methode.
- Authenticatietype — de methode (Forms, ADFS, Office 365, …).
- Toegelaten — of die methode op dit moment bruikbaar is.
Heeft de gebruiker nog geen methodes, dan toont de lege staat "Geen records".
Authenticatietypes
De dropdown Authenticatietype bevat elke methode die voor de tenant geconfigureerd is. De beschikbare types zijn:
| Type | Wanneer gebruiken | Status |
|---|---|---|
| Forms | De lokale Epowerhr-login — een gebruikersnaam en wachtwoord bewaard door de identity server van Epowerhr. Gebruik dit wanneer de gebruiker geen bedrijfsidentiteit heeft om mee te federeren, of als reserve naast een SSO-methode. | Actief |
| Active directory federation services (ADFS) | Federatieve aanmelding tegen een on-premise AD FS. | Actief |
| Office 365 (Windows login) | Federatieve aanmelding tegen Microsoft Entra ID / Office 365. | Actief |
| Federatieve aanmelding tegen Google Workspace / Google-accounts. | Actief | |
| Keycloak | Federatieve aanmelding tegen een Keycloak-realm. | Actief |
| Cognito | Federatieve aanmelding tegen AWS Cognito. | Actief |
| Windows | De legacy Integrated Windows Authentication. | Deprecated — kies dit niet voor nieuwe gebruikers. |
| SingleSignOn | Het legacy generieke SSO-type van vóór de specifieke providers hierboven. | Deprecated — gebruik voor nieuwe gebruikers één van de specifieke SSO-types (ADFS, Office 365, Google, Keycloak, Cognito). |
Tip — een type kiezen: voor een nieuwe klant kies je één specifiek SSO-type dat overeenkomt met de identity provider van de klant, plus een Forms-methode als noodingang voor administrators. Vermijd Windows en SingleSignOn — die bestaan enkel om klanten te ondersteunen die nog niet gemigreerd zijn.
Login format (alleen Forms en Windows)
Voor Forms- en Windows-methodes wordt het veld Login bepaald door de tenant-instelling Login format (geconfigureerd op het CC-record van de klant). Wanneer je een methode toevoegt, toont een read-only label Login format welke modus actief is:
| Modus | Gedrag |
|---|---|
| Login | Je typt de login die je zelf wil. Hij moet enkel uniek zijn binnen de tenant — er is geen prefix en geen template. |
| Prefix + login | Een op CC-niveau geconfigureerde prefix wordt automatisch vooraan toegevoegd. De prefix verschijnt als een read-only label naast het invoerveld; je typt enkel het stuk erachter. De volledige login (prefix + jouw invoer) moet uniek zijn. |
| Prefix + nummer | De login wordt volledig automatisch gegenereerd (prefix + een oplopend nummer). Het invoerveld wordt verborgen en de waarde verschijnt pas na bewaren — je kan ze niet zelf kiezen. |
De specifieke SSO-types (ADFS, Office 365, Google, Keycloak, Cognito) negeren het Login format: hun veld Login is altijd een vrij tekstveld waarin je de identifier ingeeft die de identity provider doorstuurt (meestal het e-mailadres of de UPN van de gebruiker).
Een authenticatiemethode toevoegen
- Klik op Authenticatiemethode toevoegen. Het detailformulier komt in de plaats van de lijst.
- Kies het Authenticatietype. Het formulier ververst — afhankelijk van het type verschijnen de velden Login format, Login en Paswoord.
- Vul Login in (validatie: "Gelieve jouw login in te geven"). Staat het Login format op Prefix + nummer, dan is het veld verborgen en wordt de login voor jou gegenereerd.
- Voor Forms vul je Paswoord in (validatie: "Gelieve paswoord in te geven"). Bij het bewaren maakt Epowerhr het account in de identity server aan en stuurt automatisch een e-mail naar het adres op het tabblad Detail — onderwerp "Uw ePower eSuite Wachtwoord" — met de login en het wachtwoord dat je net hebt ingegeven. De mail wordt verstuurd in de taal van de gebruiker (het veld Taal op het tabblad Detail). Controleer het e-mailadres dus voor je bewaart: er is geen aparte "verstuur welkomstmail opnieuw"-actie.
- Laat Geactiveerd aangevinkt (standaard) zodat de methode meteen bruikbaar is.
- Klik op Bewaren. Toast bij succes: "Authenticatie {login} toegevoegd".
Een authenticatiemethode wijzigen of uitschakelen
Klik op Wijzigen op een rij om de waarden aan te passen, en daarna op Bewaren. Vink Geactiveerd uit om de methode te bewaren maar het gebruik te blokkeren. Toast bij succes: "Authenticatie {login} aangepast".
Authenticatiemethodes verwijderen
Vink de rijen aan die je wil verwijderen en klik op Verwijder geselecteerde authenticatiemethodes. Toast bij succes: "Authenticaties verwijderd".
Tip: een gebruiker met slechts één authenticatiemethode die zijn toegang ertoe verliest (bv. AD-account uitgeschakeld) kan niet meer inloggen. Twijfel je over een aankomende wijziging, voeg dan voor de overgang een Forms-based methode toe als reserve en schakel die nadien weer uit.
Het tabblad Groepen
Het tabblad Groepen is een boomstructuur met elke groep van de tenant. Elke groep heeft een selectievakje; vink aan om de gebruiker toe te voegen, vink uit om hem te verwijderen.
Klik na het aanvinken van de gewenste groepen op Bewaren. De toast bevestigt "Groepen aangepast".
Opmerking: rechten zijn additief over alle groepen. Als drie groepen van de gebruiker Opleiding bekijken toekennen, neemt het verwijderen van één groep dat recht niet weg — de andere twee groepen blijven het toekennen. Om een recht volledig in te trekken, moet je het in elke groep die het toekent uitvinken (of de gebruiker uit al die groepen halen).
Het tabblad Toegangsrechten
Het tabblad Toegangsrechten kent rechten rechtstreeks aan de gebruiker toe, bovenop wat hij via zijn groepen krijgt. De layout is identiek aan het tabblad Toegangsrechten van een groep:
- Boomstructuur gegroepeerd per component (PA, Verlof, Opleiding, Talent, …). De bladeren zijn individuele rechten.
- Teller per tak met "X / Y geselecteerd" naast elk parent-knooppunt.
- Rechten ontvouwen / Rechten dichtklappen schakelaar rechtsboven.
- Zoekvenster met placeholder "Zoek recht (vb. 'aanpassen gebruiker')".
Vink de bladeren aan die je rechtstreeks wil toekennen en klik op Bewaren. Toast bij succes: "Toegangsrechten aangepast".
Wanneer rechtstreeks toekennen versus via een groep: geef altijd de voorkeur aan groepen — die zijn makkelijker te auditeren en makkelijker toe te passen op gelijkaardige gebruikers. Gebruik directe rechten voor uitzonderingen ("deze ene back-up gebruiker heeft twee weken lang Salaris aanpassen nodig") die het aanmaken van een aparte groep niet rechtvaardigen.
Het tabblad Toegangstokens
Toegangstokens zijn API-credentials die een gebruiker aan een extern systeem kan geven, zodat dat systeem Epowerhr kan aanroepen in zijn naam. Een gebruiker heeft maximaal één actieve token tegelijk.
Het tabblad toont twee read-only velden:
- Toegangstoken — de tokenwaarde, met een kopieer-icoon ernaast.
- Vervaldatum — wanneer de token niet meer aanvaard wordt.
Een nieuwe token aanmaken
Klik op Creëer een nieuwe toegangstoken. De pagina herlaadt met de nieuwe token zichtbaar en de waarschuwing:
"Zorg ervoor dat je jouw toegangstoken nu kopieert. Je zult deze later niet meer kunnen zien!"
Gebruik het kopieer-icoon om de token op het klembord te zetten en plak die rechtstreeks in het externe systeem. Wanneer je het tabblad verlaat is de token weer gemaskeerd — er is geen manier om hem later op te halen. Een nieuwe token aanmaken vervangt elke bestaande token onmiddellijk; calls met de oude token zullen falen.
Een token verwijderen
Klik op Verwijder toegangstoken om de token te wissen. Elk extern systeem dat hem nog gebruikt zal beginnen falen — doe dit alleen wanneer je zeker bent dat de token niet meer nodig is (bv. de gebruiker is vertrokken, of de integratie is uitgeschakeld).
Vervaldatum-herinneringen
Epowerhr verwittigt de eigenaar van de token automatisch voor die stopt met werken. De service task User token expiration mail draait op de achtergrondworker en verstuurt voor elke actieve token een e-mail op 30 dagen, 7 dagen en 1 dag voor de Vervaldatum. De mail gaat naar het adres op het tabblad Detail — onderwerp "Uw toegangstoken vervalt in {N} dag(en)" — en wordt verstuurd in de Taal van de gebruiker.
Enkele zaken om in gedachten te houden:
- De herinnering wordt alleen verstuurd als de gebruiker een Taal ingevuld heeft op het tabblad Detail. Zonder taal wordt de gebruiker overgeslagen en logt de service task een waarschuwing.
- De herinneringen zijn enkel informatief — Epowerhr maakt niet automatisch een vervanging aan. Wanneer een herinnering binnenkomt, moet de gebruiker (of een admin in zijn naam) terug naar dit tabblad komen en op Creëer een nieuwe toegangstoken klikken om een nieuwe token aan te maken en die door te geven aan het externe systeem.
- De drie herinneringen zijn onafhankelijk. Een nieuwe token aanmaken na de mail van 30 dagen annuleert de mails van 7 dagen of 1 dag voor de oude token niet — maar omdat de vervaldatum mee met de nieuwe token opschuift, vuren die opvolgmails er gewoon niet meer voor.
Veelgestelde vragen
Waarom zie ik één van de tabbladen niet? Je hebt Administratie en Gebruikers (bekijken) nodig om de gebruikerspagina überhaupt te zien. Elk tabblad vereist daarbovenop het overeenkomstige update-recht (Gebruiker aanpassen, Authenticatiemethode aanpassen, Groep aanpassen, Toegangsrecht aanpassen). De tabbladen Authenticatie, Groepen, Toegangsrechten en Toegangstokens zijn ook uitgeschakeld zolang je het tabblad Detail van een nieuwe gebruiker niet bewaard hebt.
Ik heb een gebruiker gedeactiveerd, maar hij ziet nog dingen. Actief wordt bij het inloggen gecontroleerd. Is de gebruiker al ingelogd, dan houdt hij zijn sessie tot ze vervalt. Een sessie geforceerd intrekken kan niet vanaf deze pagina; vraag de gebruiker om uit te loggen, of wacht tot de sessie vervalt.
Wat is het verschil tussen een gebruiker deactiveren en hem uit een groep verwijderen? Deactiveren (vinkje Actief uit) blokkeert alle logins voor die gebruiker — elke authenticatiemethode stopt met werken. Uit een groep halen vernauwt enkel zijn rechten; hij kan nog steeds inloggen en alles gebruiken wat zijn andere groepen toekennen.
Ik heb een recht weggehaald bij de gebruiker, maar hij kan de actie nog steeds uitvoeren. Waarom? Twee veelvoorkomende oorzaken. Ten eerste blijven groepsrechten gelden: de gebruiker krijgt het recht mogelijk via een groep. Ten tweede worden sommige menu-items en toegangschecks bij login berekend; de gebruiker moet dus mogelijk uit en weer inloggen voordat de wijziging volledig effect heeft.
Waarom zegt het systeem "Persoon is al gekoppeld aan een andere gebruiker" wanneer ik iemand kies? Een Persoon kan slechts aan één gebruiker gekoppeld zijn. Zoek de bestaande gebruiker (zoek in het Gebruikersoverzicht op referentienummer of familienaam), en wis daar eerst de koppeling, of gebruik een andere Persoon.
Ik ben de toegangstoken kwijt, kan ik die ophalen? Nee. De tokenwaarde wordt enkel getoond op het moment van aanmaken. Druk op Creëer een nieuwe toegangstoken, kopieer de nieuwe waarde, en pas het externe systeem dat de oude gebruikte aan — die zal beginnen falen op zijn volgende call.
Kan een gebruiker meerdere logins hebben? Ja. Een gebruiker kan op het tabblad Authenticatie meerdere authenticatiemethodes van verschillende types hebben (bv. AD én Forms-based). Hij kan inloggen met om het even welke methode die Geactiveerd is.