Navigate to the AFAS KnowledgeBase Back to searchresults

Other articles

Did this answer your question?

Thanks for your feedback!

Yes No
Single sign-on (SSO) inrichten (het nieuwe inloggen) PROFIT 10

Single sign-on (SSO) inrichten (het nieuwe inloggen)

Bij AFAS Online kun je single sign-on gebruiken door middel van een identity provider. Dit betekent dat het inloggen niet wordt afgehandeld door AFAS Online, maar door de identity provider. Als single sign-on niet is ingericht, loggen de gebruikers in met twee-factorauthenticatie.

Je kunt per InSite-URL bepalen via welke methode je inlogt. Daarom is het mogelijk om voor de live-InSite gebruik te maken van single sign-on, terwijl je voor de test-insite twee-factorauthenticatie gebruikt. Bijvoorbeeld: Op https://12345.afasinsite.nl gebruik je single sign-on, maar op https://12345.afasinsite.nl/test gebruik je twee-factorauthenticatie.

Deze pagina beschrijft de stappen als je SSO voor het eerst wilt gaan gebruiken op het moment dat je overgaat op het nieuwe platform van AFAS Online (dus inclusief bijv. het uitrollen van de Citrix-server). Ook als je single sign-on al hebt ingericht op het oude AFAS Online platform, moet je SSO opnieuw inrichten. Volg de stappen hieronder.

Als je vóór overgang op het nieuwe platform SSO apart wilt inrichten kan dit via deze procedure. Als je juist allang over bent op het nieuwe platform en je wilt alsnog SSO gaan gebruiken, dan volg je deze procedure.

Deze pagina bevat systeemeisen en voorbereidingen ten aanzien van single sign-on. De stappen voor na de overstap vind je per identity provider.

Let op:

Als je single sign-on inricht, kunnen gebruikers inloggen op Profit Windows met zowel single sign-on als twee-factorauthenticatie. De enige manier om te voorkomen dat gebruikers met twee-factorauthenticatie inloggen, is door het e-mailadres in de gebruikersinstellingen weg te halen. Dit heeft echter tot gevolg dat de gebruiker niet kan inloggen op OutSite en AFAS Pocket niet kan gebruiken.

Bij InSite geldt dit onderscheid niet, op één InSite-site loggen alle gebruikers in via SSO of via twee-factorauthenticatie.

De volgende identity providers worden ondersteund:

  • Elke partij met OpenID Connect. Bijvoorbeeld:
    • Active Directory Federation Services (AD FS 4.0) - Windows Server 2016
    • Azure Active directory (op basis van OpenID connect)
    • Office 365 op basis van AzureAD
    • Okta
  • SURFconext
  • Active Directory 3.0 (AD FS) - Windows Server 2012 R2

Inhoud

Voorbereidingen systeembeheerder

Vanwege de overstap op het Citrix-platform moet de systeembeheerder verschillende zaken controleren en inrichten. Als je voor het systeembeheer een externe partij gebruikt, neem dan tijdig contact op met deze partij. Zorg ervoor dat je alle punten doorgrond hebt, voor je aan de slag gaat.

  1. Controleer de systeemeisen m.b.t. het netwerk/dataverkeer en gebruikers.
  2. Richt Profit Connectoren in, hiervoor gelden aanvullende systeemeisen. Als je overgaat op het nieuwe inloggen, moeten de connectoren ook worden overgezet.
  3. Controleer het type Profit-omgeving. Dit zal vrijwel altijd goed staan, maar controleer dit voor de zekerheid.
    1. Open de omgeving.
    2. Ga naar Algemeen / Omgeving / Beheer / Eigenschappen.
    3. Ga naar het tabblad: AFAS Online.
    4. Kijk of de juiste waarde geselecteerd is: productieomgeving (P), testomgeving (T) of accept-omgeving (A).

      Heb je een begrotingsomgeving (Payroll), kenmerk deze dan als productie-omgeving.

  4. Werk je met een eigen mailserver, let er dan op dat je communicatie van AFAS Online niet geblokkeerd wordt.

    Whitelist de IP-range 185.46.182.0/24 of het IP-adres 185.46.182.1 / proxy.afas.online. Dit wordt door AFAS Online gebruikt voor het e-mailen. Dit onderdeel wordt door jouw systeembeheerder onderhouden en AFAS kan hier geen ondersteuning op geven.

Uitgaande e-mailserver van AFAS Online aanpassen:

Wanneer je werkt op AFAS Online en je gebruikt de mailserver van AFAS Online, dien je de SPF-Records in te richten, zodat je de mailserver van AFAS Online machtigt om namens jouw e-mailadres (domein) te mogen e-mailen. Als je geen SPF-record inricht, worden uitgaande e-mails niet goed afgeleverd of geblokkeerd.

Hoe weet ik of ik de mailserver van AFAS Online gebruik?

Wijzig het SPF-records van de uitgaande e-mailserver. Dit kun je al voor de overstap doen.

  • Als je dit al ingericht had, ziet het oude SPF record er bijvoorbeeld als volgt uit:

    yourdomain.nl txt v=spf1 mx ip4:127.0.0.1 include:_spf.afasonline.nl ~all

  • Wijzig dit als volgt:

    yourdomain.nl txt v=spf1 mx ip4:127.0.0.1 include:spf.afas.online ~all

    Zie ook: Uitgaande e-mailserver inrichten (AFAS Online)

Je kunt op een makkelijke manier het uitgaande SPF record controleren:

  1. Ga naar: https://mxtoolbox.com/spf.aspx.
  2. Vul de Domain name in. Dit is het gedeelte achter de @ in je e-mailadres.

    Voorbeeld:

    Je e-mailadres is robert@enyoi.com

    de Domain name is dan: enyoi.com

  3. Als de SPF-record correct is ingesteld, zie je deze regel:

  4. Als je deze regel niet ziet, neem je contact op met de systeembeheerder in je eigen organisatie. AFAS kan dit niet voor je aanpassen.

Citrix Receiver uitrollen

Citrix Receiver moet op alle werkstations waarop Profit Windows gebruikt wordt, geïnstalleerd worden. Profit Windows draait namelijk in een Citrix-omgeving. De gebruikers starten Profit Windows via Citrix Receiver.

Het is niet nodig om bij het installeren van Citrix Receiver een account aan te maken. Mocht het scherm Add account verschijnen, dan kun je dit sluiten.

Gebruik deze links om Citrix Receiver uit te rollen:

Identity provider inrichten (systeembeheerder)

Hieronder zie je een lijst van alle ondersteunde identity providers. Maak een keuze en voer de stappen uit.

OpenID

Elke partij met OpenID Connect wordt ondersteund. Bijvoorbeeld:

Active Directory Federation Services (AD FS 4.0) - Windows Server 2016

Azure Active directory (op basis van OpenID connect)

Office 365 op basis van AzureAD

Okta

Of voer de stappen uit voor:

SURFconext

Active Directory 3.0 (AD FS) - Windows Server 2012 R2

Als je hiermee klaar bent, geef je de gegevens die je verzameld hebt door aan de Profit-beheerder.

Profit-beheerder instellen voor portal

Bij single sign-on moet de Profit-beheerder als portal-beheerder bepaalde acties op de AFAS Online Portal uitvoeren. Daarom stel je de Profit-beheerder in als portal-beheerder.

Let op:

Hierdoor krijgt de beheerder NA DE OVERSTAP op de AFAS Online Portal toegang tot het tabblad Beheer. Als je al bent ingelogd op de AFAS Online Portal, moet je eerst uitloggen en dan weer inloggen. Daarna is het tabblad Beheer zichtbaar.

Let op:

Als je een testomgeving (T12345ZZ) van AFAS gekregen hebt, dan voer je deze stappen zowel in je live-omgeving als de testomgeving T12345ZZ door. Dit is de testomgeving voor het nieuwe inloggen die je van AFAS gekregen hebt.

  1. Ga naar: Algemeen / Beheer / Autorisatie tool.
  2. Open de eigenschappen van de beheerder.
  3. Ga naar het tabblad Applicaties.

    2FA - Beheer - Overstappen (proc -mail gebruiker) - e0mail

  4. Vink AFAS Online Portal Beheerder aan.
  5. Als je een AFAS Accept licentie hebt, is het veld AFAS Accept beschikbaar. Als een gebruiker toegang mag hebben tot Accept-omgeving, dan vink je bij deze gebruiker het veld AFAS Accept aan.

Inlogmethode per applicatie in Portal vastleggen (Profit-beheerder)

Als je de gegevens van je identity provider hebt (ontvangen van je systeembeheerder), kun je deze gegevens in de portal bij AFAS zelf toevoegen.

Vervolgens selecteer je per applicatie bij AFAS Online van welke identity provider (je eigen voor single sign on of die van AFAS voor 2-factorauthenticatie) je gebruik wilt maken.

Stap 1. Vul de gegevens van je eigen SSO Identity provider in

  1. Ga naar: www.afasonline.nl.
  2. Als je nog bent ingelogd op basis van single sign-on, moet je eerst uitloggen.
  3. Log in als beheerder met twee-factorauthenticatie.
    • Log je voor het eerst in? Volg dan deze procedure.
    • Al vaker ingelogd als beheerder? Volg dan deze procedure.

    Let op:

    Gebruik bij het inloggen het e-mailadres dat bij de beheerder is vastgelegd in het veld E-mail. Je vindt dit veld in de Autorisatie Tool, eigenschappen van de beheerder, tabblad Algemeen, veld E-mail).

    Log niet in via single sign-on, dan is het tabblad Beheer niet zichtbaar.

  4. Ga naar tabblad: Beheer / Identity provider.

  5. Selecteer bij Type welke identity provider je wilt toevoegen.
  6. Afhankelijk van je keuze bij Type moet je andere velden invullen:

    OpenID Connect bij de identity providers AD FS 4.0, Okta, Azure AD, etc.

    ADFS 3.0

    SURFconext

  7. Klik op: Opslaan.

Stap 2. Stel per applicatie in welke identity provider je wilt gebruiken

Bepaal per applicatie welke identity provider je wilt gebruiken.

Let op:

Gebruikers blijven inloggen via twee-factorauthenticatie, tot je per gebruiker een UPN hebt vastgelegd.

  1. Ga naar www.afasonline.nl en log in als beheerder als dat nog niet het geval is.
  2. Ga naar: Beheer / Single Sign on.

    Je ziet hier de applicaties die er voor jou zijn bij AFAS Online.

  3. Selecteer per applicatie de Identity provider die je wilt gebruiken: je eigen Single Sign On-identity provider of de standaard AFAS Identity Provider (als je van twee-factorauthenticatie gebruik wilt maken).
  4. Klik op: Opslaan.

UPN invullen per gebruiker en inloggen testen (Profit-beheerder)

We adviseren je single sign-on eerst te testen met één testgebruiker.

Als je voorheen ook al van SSO gebruik maakte, is de UPN bij de gebruikers al gevuld. Volg dan alleen stap 2.

Stap 1: UPN invullen bij één gebruiker

Stap 2: Testen inloggen met één gebruiker

Stap 3: UPN invullen bij alle gebruikers

Overgang testomgeving naar live omgeving

Als je een testomgeving (T12345ZZ) van AFAS gebruikt, zal deze op de dag voor de overstap voor 19:00 verwijderd worden. Stel dat de overstap is gepland op 24 augustus, dan wordt de testomgeving op 23 augustus om 19:00 verwijderd.

Let op:

De Profit-beheerder of applicatiebeheerder in je organisatie moet ingesteld zijn als AFAS Online Portal Beheerder in de live-omgeving, voordat de testomgeving verwijderd wordt. Zo niet, dan heeft de Profit beheerder na de overstap geen toegang meer tot de beheerfunctionaliteit op de AFAS Online Portal.

PCC installeren

Gebruik de versie van het PCC die via de AFAS Klantportal beschikbaar is gesteld. Elke gebruiker koppelt het PCC opnieuw aan de omgeving door de instellingen te downloaden en uit te voeren.

Meer informatie:

Direct naar

  1. Inrichting van het nieuwe inloggen
  2. Overstapdatum raadplegen
  3. Systeemeisen
  4. Voor, tijdens en na de overstap op twee-factorauthenticatie
  5. Voor, tijdens en na de overstap op single sign-on
  6. Profit Connectoren