Toegang tot GTm Extranet vanaf een computer die is verbonden met het interne netwerk van La Poste volgt niet hetzelfde pad als een externe verbinding. Sinds de implementatie van het portaal marh.legroupelaposte.fr en de overstap naar een unieke identiteitsprovider (IdP), worden verschillende medewerkers geconfronteerd met eindeloze omleidingen of stille authenticatiefouten. Het begrijpen van het SSO-federatiemechanisme en de netwerkinstellingen die daarbij horen, stelt ons in staat om snel de oorsprong van de blokkade te identificeren.
SSO-federatie en unieke IdP: wat verandert er voor de interne netwerkverbinding
Het authenticatieschema van de groep voor HR-applicaties, waaronder MaBoxRH en GTm Extranet, is nu gebaseerd op een identiteitsfederatie via een unieke IdP. Concreet leidt elke poging tot verbinding vanaf maboxrh.laposte.fr of marh.legroupelaposte.fr tot een omleiding naar een URL van het type authentification.groupe.net.extra.laposte.fr.
Zie ook : Hoe je gemakkelijk de beste accommodatie voor je volgende reizen kunt vinden
Op het interne netwerk gaat deze omleiding via de bedrijfsproxy. Als de browser of de werkcomputer niet is geconfigureerd om deze reeks omleidingen toe te staan, wordt de authenticatiepagina nooit geladen. Het typische symptoom: een wit scherm of een certificaatfout, zonder duidelijke foutmelding.
Het succesvol authenticeren op het GTM Extranet van La Poste vanaf het interne netwerk vereist dat wordt gecontroleerd of het domein van de IdP daadwerkelijk in de uitzonderingen van de lokale proxy staat. Medewerkers die een niet-geregistreerde browser gebruiken (bijvoorbeeld handmatig geïnstalleerde Firefox) ondervinden dit probleem vaker dan degenen die de door de DSI uitgerolde browser gebruiken.
Lees ook : Hoe u eenvoudig uw busroute kunt opslaan en delen met Mappy
| Aansluitscenario | IdP-omleiding | Huidig resultaat |
|---|---|---|
| Intern netwerk, DSI-browser, geconfigureerde proxy | Automatisch via SSO | Directe toegang zonder opnieuw inloggen |
| Intern netwerk, niet-geregistreerde browser | Geblokkeerd door de proxy | Wit scherm of certificaatfout |
| Extern netwerk (thuis, 4G) | Via marh.legroupelaposte.fr | Invoer van HR-identificatie + wachtwoord + 2FA |
| Intern netwerk, VPN actief tegelijkertijd | Routeringsconflict | Oneindige omleidingslus |
De situatie met een gelijktijdig actieve VPN verdient aandacht. Sommige medewerkers activeren de VPN uit reflex terwijl ze al op het bedrijfsnetwerk zijn. De routering tussen de VPN-tunnel en de lokale proxy komt in conflict, waardoor de correcte resolutie van de URL van de IdP wordt verhinderd.
Tweefactorauthenticatie via applicatie: einde van de SMS en gevolgen voor GTm Extranet
La Poste is sinds november 2025 begonnen met een geleidelijke migratie van 2FA via SMS naar 2FA via applicatie (type TOTP of pushmelding). Voor medewerkers die toegang hadden tot GTm Extranet vanaf het interne netwerk met een SMS-code als tweede factor, heeft de verandering directe gevolgen: de SMS komt niet meer aan, en de interface biedt geen duidelijke foutmelding.
Vanaf het interne netwerk wordt de tweefactorauthenticatie niet altijd geactiveerd via SSO. Zodra de sessie echter verloopt of de medewerker van fysieke werkplek verandert, vraagt het systeem opnieuw om een 2FA-validatie. Zonder een geconfigureerde applicatie mislukt de verbinding op dit punt.
Configureer de applicatieve 2FA voordat je deze nodig hebt
De veelvoorkomende fout is om de verplichting van 2FA via applicatie te ontdekken op het moment dat men probeert in te loggen. De configuratie moet vooraf gebeuren, bij voorkeur vanaf een externe toegang waar het begeleide pad duidelijker is.
- Installeer een compatibele TOTP-applicatie (de aanbevolen door de DSI of een standaardapplicatie zoals Google Authenticator, Microsoft Authenticator) op de persoonlijke of professionele telefoon
- Log voor de eerste keer in vanaf buiten het netwerk via marh.legroupelaposte.fr om de koppeling tussen het HR-account en de applicatie te activeren
- Controleer of de gegenereerde TOTP-code werkt voordat je probeert in te loggen vanaf het interne netwerk, want herhaalde mislukkingen kunnen leiden tot een tijdelijke vergrendeling van het account
Eenmaal de applicatie gekoppeld, wordt de verbinding vanaf het interne netwerk weer soepel: de SSO neemt het over voor de meeste sessies, en de applicatieve 2FA komt alleen in beeld bij incidentele herauthenticaties.
Virtueel toetsenbord MaBoxRH en HR-identificatie: twee verschillende blokkeringsoorzaken
Het portaal MaBoxRH maakt gebruik van een virtueel toetsenbord voor het invoeren van het wachtwoord. Dit beveiligingsmechanisme, ontworpen om keyloggers tegen te gaan, veroorzaakt specifieke problemen op het interne netwerk. Computers die zijn uitgerust met endpoint-beveiligingssoftware blokkeren soms de JavaScript die nodig is voor de weergave van het toetsenbord. Het resultaat: een leeg wachtwoordveld, zonder klikbaar toetsenbord, en geen mogelijkheid om iets in te voeren.
De oplossing ligt in het controleren van de beveiligingsinstellingen van de browser. Scripts van het domein maboxrh.laposte.fr moeten worden toegestaan. Op sommige computers moet het domein handmatig aan de whitelist van de inhoudsfilter worden toegevoegd.
HR-identificatie: geen e-mail of loonnummer
De andere bron van verwarring betreft de identificatie zelf. Het inlogveld verwacht de specifieke HR-identificatie van de groep, niet het professionele e-mailadres of het loonnummer dat op de loonstroken wordt gebruikt. Deze drie gegevens zijn verschillend. Een medewerker die zijn e-mail invoert, krijgt een weigering zonder uitleg, wat vaak leidt tot een onnodige wachtwoordreset.
- De HR-identificatie staat op de brieven van de HR-afdeling en op het eerste toegangsdocument dat bij indiensttreding wordt overhandigd
- Het kan worden gevonden door contact op te nemen met de support via [email protected]
- De lokale HR-verantwoordelijke heeft deze informatie ook
Oplossing voor omleidingslussen op het netwerk van La Poste
Omleidingslussen zijn het meest voorkomende en het minst gedocumenteerde probleem. Ze treden op wanneer de browser heen en weer schakelt tussen het portaal MaBoxRH en de IdP zonder de authenticatie ooit te voltooien. Twee oorzaken domineren.
De eerste: een corrupt cookies-cache gerelateerd aan een eerdere sessie. De SSO is afhankelijk van sessiecookies die door de IdP zijn geplaatst. Als een eerdere sessie abrupt is onderbroken (sluiting van de browser tijdens de authenticatie, netwerkonderbreking), verhindert de resterende cookie dat de nieuwe authenticatie correct wordt gestart. Het verwijderen van de cookies van het domein authentification.groupe.net.extra.laposte.fr lost de meeste van deze gevallen op.
De tweede: een klokinconsistentie tussen de werkcomputer en de authenticatieserver. Het SAML-protocol dat door de identiteitsfederatie wordt gebruikt, valideert een tijdstempel in de aanvraag. Een afwijking van enkele minuten is voldoende om een stille weigering te veroorzaken. Op computers die door de DSI worden beheerd, is de NTP-synchronisatie normaal gesproken automatisch, maar sommige oudere computers verliezen hun synchronisatie na een lange slaapstand.
Het legen van de cache, het herstarten van de browser en het controleren van de systeemtijd zijn drie eenvoudige acties die de overgrote meerderheid van de SSO-verbinding mislukkingen vanaf het interne netwerk oplossen, zonder dat ondersteuning nodig is.