Configurer l'authentification unique (SSO) (nouveau mode de connexion)
Dans AFAS Online, vous pouvez utiliser l'authentification unique par un fournisseur d'identité. Cela signifie que la connexion est traitée par le fournisseur d'identité au lieu d'AFAS Online. Si l'authentification unique n'est pas configurée, les utilisateurs se connectent à l'aide de l’authentification à deux facteurs.
Vous pouvez déterminer par l'intermédiaire de quelle méthode vous voulez vous connecter par InSite URL. C'est pourquoi il est possible d'utiliser l'authentification unique pour l'InSite live, alors que vous utilisez l'authentification à deux facteurs pour l'InSite test. Par exemple : Sur https://12345.afasinsite.nl, vous utilisez l'authentification unique, mais sur https://12345.afasinsite.nl/test, vous utilisez l'authentification à deux facteurs.
Cette page décrit les étapes si vous voulez utiliser SSO pour la première fois au moment de passer à la nouvelle plateforme d'AFAS Online (donc y compris par exemple le déploiement du serveur Citrix). Même si vous avez déjà configuré l'authentification unique sur l'ancienne plate-forme AFAS Online, vous devez reconfigurer SSO. Veuillez suivre les étapes suivantes.
Si vous souhaitez configurer SSO séparément avant la transition, vous pouvez le faire par cette procédure. Si justement vous êtes depuis longtemps sur la nouvelle plateforme et vous voulez encore utiliser SSO, suivez cette procédure.
Cette page contient les exigences relatives au système et les préparatifs en vue de l'authentification unique. Vous trouverez les étapes pour après le changement par fournisseur d'identité.
Attention :
Si vous configurez l'authentification unique, les utilisateurs peuvent se connecter à la fois avec l'authentification unique et l'authentification à deux facteurs. La seule façon d'éviter que des utilisateurs ne se connectent avec l'authentification à deux facteurs est de supprimer l'adresse e-mail dans les paramètres utilisateur. Cela a cependant comme conséquence que l'utilisateur ne peut pas se connecter à OutSite et utiliser AFAS Pocket.
Les fournisseurs d'identité suivants sont pris en charge :
- Chaque partie avec OpenID Connect. Par exemple :
- Active Directory Federation Services (AD FS 4.0) - Windows Server 2016
- Azure Active Directory (sur la base d'OpenID connect)
- Office 365 sur la base d'AzureAD
- Okta
- SURFconext
- Active Directory 3.0 (AD FS) - Windows Server 2012 R2
Préparatifs administrateur système
L'administrateur système doit contrôler et configurer plusieurs choses en raison du passage à la plate-forme Citrix. Si vous faites appel à un tiers pour la gestion du système, vous devez le contacter en temps utile. Assurez-vous d'avoir tout compris avant de commencer.
- Vérifiez la configuration minimale pour le réseau/trafic de données et les utilisateurs.
- Configurez les connecteurs Profit auxquels des exigences supplémentaires s’appliquent. Lorsque vous passez au nouveau mode de connexion, les connecteurs doivent également être transférés.
- Contrôlez le type d'environnement Profit. Il sera presque toujours bien, mais contrôlez-le par sécurité.
- Ouvrez l'environnement.
- Allez à Généralités / Environnement / Propriétés.
- Accédez à l'onglet : AFAS Online.
- Regardez si la valeur correcte a été sélectionnée : environnement de production (P), environnement de test (T) ou environnement accept (A).
- Si vous travaillez avec votre serveur de messagerie, faites attention à ce que votre communication d'AFAS Online ne soit pas bloquée. Cet élément est entretenu par votre gestionnaire de système et AFAS ne peut y apporter aucun soutien.
Mettez l'adresse IP utilisée par AFAS Online pour la messagerie sur liste blanche : IP 185.46.182.1 / proxy.afas.online
Modification du serveur de messagerie sortant d'AFAS Online :
Quand vous travaillez sur AFAS Online et que vous utilisez le serveur de messagerie d'AFAS Online, vous devez configurer les enregistrements SPF afin d'autoriser le serveur de messagerie d'AFAS Online à envoyer des e-mails de la part de votre adresse e-mail (domaine). Si vous ne configurez aucun enregistrement SPF, les e-mails sortants ne seront pas délivrés correctement ou seront bloqués.
Comment savoir si j'utilise le serveur de messagerie d'AFAS Online ?
- Allez à : Généralités / Environnement / Gestion / Propriétés.
- Accédez à l'onglet : E-mail.
- Si à Serveur pour e-mail sortant, le nom mailserver (serveur de messagerie) est indiqué, vous utilisez le serveur de messagerie d'AFAS.
Si un autre nom ou numéro s'y trouve, vous utilisez un autre serveur de messagerie. En cas de questions, prenez contact avec le gestionnaire de système de votre organisation.
Modifiez les enregistrements SPF du serveur de messagerie sortant. Vous pouvez déjà le faire avant la transition.
Vous pouvez contrôler facilement l'enregistrant SPF sortant :
- Allez à : https://mxtoolbox.com/spf.aspx.
- Complétez le nom de domaine. Il s'agit de la partie derrière le @ dans votre adresse e-mail.
Exemple :
Votre adresse e-mail est robert@enyoi.com
le nom de domaine est dès lors : enyoi.com
- Si le enregistrement SPF est configuré correctement, vous voyez cette ligne :
- Si vous ne voyez pas cette ligne, prenez contact avec le gestionnaire de système de votre organisation. AFAS ne peut pas la modifier.
Configuration du fournisseur d'identité (gestionnaire de système)
Ci-dessous, vous verrez une liste de tous les fournisseurs d’identité pris en charge. Faites votre choix et réaliseez les étapes.
OpenID
Chaque partie avec OpenID Connect est prise en charge. Par exemple :
Active Directory Federation Services (AD FS 4.0) - Windows Server 2016
Lisez les informations ci-dessous et exécutez les étapes.
Exigences système supplémentaires AD FD :
Dans Windows Server 2016, vous devez disposer d'Active Directory Federation Services 4.0.
Active Directory Federation Services 4.0 est disponible en tant que rôle. Vous devez toutefois activer ce rôle. Veuillez consulter la documentation Microsoft pour de plus amples informations.
Ce dont vous avez besoin sur AFAS Online :
Pendant le processus de configuration, vous devez noter les données suivantes. Vous en aurez besoin pour relier AFAS Online à votre AD FS.
- L’URL de l’AD FS que vous avec configuré.
- Identifiant client
- Secret
- (Facultatif) Déconnexion URL : l'adresse pour déconnecter InSite si vous utilisez l'authentification unique.
Configuration du fournisseur d'identité :
- Démarrez à l'aide de Windows Server 2016 le serveur sur lequel vous voulez configurer AD FS.
- Démarrez Server Manager.
- Allez à Tools / AD FS Management.
- Sélectionnez Application Groups et cliquez sur New.
- Sélectionnez Server Application.
- Cliquez sur Next.
- Notez le Client identifier.
- Saisissez https://sts.afasonline.com/signin pour Redirect Uri et cliquez sur Add.
- Cliquez sur Next.
- Cochez Generate a shared client.
- Notez la valeur de Secret
- Terminez l'assistant.
Paramétrage de l’application serveur :
- Ouvrez les propriétés de la nouvelle application serveur.
- Cliquez sur Add application.
- Sélectionnez Web Api.
- Cliquez sur Next.
- Saisissez https://sts.afasonline.com pour Identifier.
- Vous pouvez configurer Access Control Policy selon vos propres souhaits. Les paramètres de cette politique déterminent les utilisateurs qui ont accès à Profit via l'authentification unique.
- Terminez l'assistant.
Paramétrage d'UPN :
Vous reliez les utilisateurs d'Active Directory aux utilisateurs de Profit à l'aide de l'UPN. Le paramétrage par défaut d'UPN dans Windows Server est user-principal-name (par exemple, robert@enyoi.com).
Vous pouvez paramétrer un autre UPN sur l’écran suivant.
Azure Active Directory (sur la base d'OpenID connect)
Attention:
Ceci est une description approximative de la structure de cette partie, AFAS ne fournit pas de support pour cela. Cette description est destinée aux administrateurs système qui ont une connaissance suffisante de la configuration de cette partie. En raison de changements chez des tiers, il peut arriver que certaines données aient été modifiées à notre insu.
Pour activer l'authentification unique pour Open Azure Active Directory dans le portail, vous devez ensuite transmettre les données suivantes à l’administrateur Profit :
- OpenID Connect configuration url : il s'agit du lien adapté au document Federation Metadata
- : il s'agit de l'Application ID qui est généré lors de la création d'une APP dans Azure.
- : il s'agit de l'API Access Key.
Étape 1 : Configuration du fournisseur d'identité :
- Connectez-vous sur portal.azure.com.
- Recherchez l'enregistrement des applications et cliquez sur Enregistrements d'applications.
- Créez un nouvel enregistrement.
- À redirection URI (redirect-URI), sélectionnez le type Web et saisissez l'URL suivante :
- Enregistrez l'application.
- Copiez l'ID de l'application (client). Il s'agit du que vous devrez définir dans le portail de connexion AFAS Online.
- Allez à : Vérification.
- À redirection URL, complétez :
- Cliquez sur Enregistrer.
- Allez vers : Certificats et secrets.
- Cliquez sur Nouveau secret client, donnez-lui un nom et sélectionnez 24 moins à Expiration le. Enregistrez dans votre calendrier ou dans votre liste de tâches quand le secret client expirera.
- Cliquez sur Ajouter.
- Copiez le nouveau secret du client et notez-le.
Il s'agit du Client Secret que vous devrez définir dans le portail de connexion AFAS Online.
- Allez dans Autorisations API et vérifiez que l'autorisation User.Read a été accordée. C'est le cas par défaut :
Si aucune autorisation n'a été accordée, veuillez suivre les étapes suivantes :
- Cliquez sur Ajouter une autorisation, puis sélectionnez le Microsoft Graph API.
- Sélectionnez le type d'autorisation Autorisations déléguées.
- Faites défiler vers le bas et sous le type d'autorisation User, sélectionnez l'autorisation User.Read.
- Cliquez sur Ajouter une autorisation.
- Cliquez Aperçu / End points.
- Notez/copiez la valeur à Document OpenID Connect avec métadonnées. Il s’agit de l’url de configuration d’OpenID Connect que vous devrez définir dans le portail de connexion AFAS Online.
- Créez une revendication (elle est généralement liée à "UserPrincipalName". Par conséquent, ajoutez une "revendication facultative" (optional claim) de type "Id" dans le champ "upn". Sélectionnez "Configuration du jeton" à gauche et ajoutez la revendication.
- Créez une revendication (elle est généralement liée à "UserPrincipalName". Par conséquent, ajoutez une "revendication facultative" de type "SAML" dans le champ "upn". Sélectionnez "Configuration du jeton" à gauche et ajoutez la revendication.
Établir un lien sur un autre claim que l’UPN
Si vous souhaitez établir un lien avec un autre claim que l'UPN (qui fait partie du scope profile), créez un claim optionnel en allant dans Configuration des tokens.
Office 365 sur la base d'AzureAD
La liaison de SSO sur la base d'Office 365 ressemble fortement à la liaison de SSO sur la base d'Azure AD. L'identité d'un utilisateur Office 365 est en effet définie dans un Azure Active Directory qui fait partie de votre abonnement.
Procédure :
- Connectez-vous par https://portal.office.com/adminportal à l'Admin Center d'Office.com.
- Vous pouvez également y accéder de la façon suivante lorsque vous êtes connecté sur Office.com :
- En dessous à droite du menu, vous voyez ‘Admin centers’, ouvrez-le.
- Cliquez sur ‘Azure AD / Azure Active Directory’.
- Exécutez les étapes du lien SSO avec Ouvrir Azure AD sur la base de OpenID Connect.
Okta
La procédure ci-dessous permet de créer une application pour se connecter à AFAS Online avec le lien Okta.
Pour activer l'authentification unique pour Okta, vous devez définir par la suite les données suivantes dans le portail AFAS Online :
- ClientID
- ClientSecret
- OpenID Connect URL
- Claim où l'UPN doit être rapproché
Procédure :
- Okta vous fournit un URL, un nom d'utilisateur et un mot de passe.
- Créez une nouvelle application.
- Cliquez sur : Add Application.
- Cliquez sur : Create New App.
- Sélectionnez Web à Platform.
- Sélectionnez OpenID Connect à Sign on method.
- Donnez une description à l'application.
- Saisissez ce qui suit dans Login redirect URIs :
https://sts.afasonline.com/signin-oidc
- Cliquez sur Add URl à Logout redirect URIs.
- Complétez ce qui suit dans : https://sts.afasonline.com/signout-callback-oidc
L'écran des paramètres de l'application s'affiche.
Vous y trouvez les champs ClientID et Client secret (cliquez sur Show pour voir le Client secret).
- Notez ces champs.
- Cliquez sur : Sign On.
Vous trouverez ici l'URL de l'émetteur, par exemple :
https://afas-test.okta.com
- Cette URL est l''OpenID Connect meta data url' pour la configuration sur login.afasonline.com. Notez-la.
Champ UPN :
Le gestionnaire de Profit doit savoir ce qu'il faut compléter dans le champ UPN des utilisateurs dans Profit. Veillez par conséquent à ce qu'il soit clair pour le gestionnaire de Profit où il peut trouver ou demander les informations et la division qui est en outre utilisée. Par exemple, p.richards@enyoi.com au lieu de peter.richards@enyoi.local).
Ou réalisez les étapes suivantes :
SURFconext
Utilisez cette procédure si vous voulez utiliser l'authentification unique par SURFconext. Après la mise en service, les utilisateurs peuvent s'inscrire par l'authentification unique à Profit Windows et InSite. SURFconext est un service de SURF / SURFnet, l'organisation de coopération TIC de l'enseignement et de la recherche aux Pays-Bas.
Pour le lien SURFconext, SURFconext intervient en tant qu'intermédiaire. Vous devez vous-même être client de SURFconext et vous entretenez par conséquent vous-même également les contacts avec SURFconext.
En cas d'authentification unique pour AFAS Online par SURFconext, un contact existant sera utilisé, à savoir entre le serveur/fournisseur d'identité du client et SURFconext ET entre SURFconext et AFAS Online. Les parties doivent uniquement encore s'entendre et s'arranger pour que le client établisse le contact par SURFconext avec AFAS Online pour l'authentification unique. Quand tout est réglé, AFAS Online est disponible pour l'utilisateur SURFconext dans le tableau de bord de SURFconext.
Plus d'informations :
Étape 1 : Configuration du fournisseur d'identité :
- L'organisation a souvent déjà elle-même établi un lien entre le fournisseur d'identité et SURFconext. Si ce n'est pas le cas, passez en revue la documentation SURFconext.
Étape 2 : Transmettre les données au gestionnaire Profit
Champ UPN :
Le gestionnaire de Profit doit savoir ce qu'il faut compléter dans le champ UPN des utilisateurs dans Profit. Veillez par conséquent à ce qu'il soit clair pour le gestionnaire de Profit où il peut trouver ou demander les informations et la division qui est en outre utilisée. Par exemple, p.richards@enyoi.com au lieu de peter.richards@enyoi.local).
Pour SURFconext, les champs UPN doivent être complétés dans Profit avec le 'Edu_person_principal_name'. Ceux-ci sont connus dans SURFconext. Si vous ne les avez pas, veuillez prendre contact avec SURFconext.
Active Directory 3.0 (AD FS) - Windows Server 2012 R2
Vous configurez Active Directory Federation Services sur un Windows Server.
Lisez les informations ci-dessous et réalisez les étapes.
Configuration minimale supplémentaire :
Le Server 2012 R2 est requis pour ADFS 3.0. Pour les dernières versions de Windows Server, utilisez OpenID Connect !
Le lien est créé sur la base d'oAuth 2.0.
Veuillez consulter la documentation Microsoft pour de plus amples informations.
Exigences de configuration :
Pour activer SSO pour Active Directory Federation Services, il vous faut les données suivantes :
- L’URL de l’AD FS que vous avez configuré.
Exemple : https://<ADFS-server>/FederationMetadata/2007-06/Federationmetadata.xml
- Il est nécessaire que le serveur externe AD FS (donc de l'extérieur du réseau d'entreprise) soit accessible par l'adresse suivante :
https://<ADFS-server>/FederationMetadata/2007-06/Federationmetadata.xml
Attention :
Définissez le lien par Self-service sur le portail uniquement si cette adresse est accessible en externe. Si Federationmetadata.xml n'est pas accessible en externe, le lien ne peut pas être créé avec AFAS.
Ce dont vous avez besoin sur le portail AFAS Online :
Pendant le processus de configuration, vous devez noter les données suivantes. Vous en aurez besoin pour relier AFAS Online à votre AD FS.
OpenID Connect configuration url: Url AD FS de l’url metadata
: la valeur unique que vous donnez vous-même
Étape 1 : Créez un nouveau client oAuth 2.0 :
- Exécutez les commandes suivantes dans PowerShell (avec les droits admin) :
Add-AdfsClient -Name "AFAS Online" -ClientId "<my_client_id>" -RedirectUri "https://sts.afasonline.com/signin-oidc"
Add-ADFSRelyingPartyTrust -Name "AFAS Online Trust" -Identifier "https://sts.afasonline.com"
* remplacez <my_client_id> par une valeur unique, par exemple : 9CEDCF985C03436885E6F22E4D17236E
Étape 2 : Configurer le fournisseur d'identité pour Relying party trust :
- Ouvrir l'outil de gestion ADFS Management tool sur le Windows Server.
- Allez à : AD FS / Service / Endpoints.
- Sous l'intitulé 'Metadata', vous trouvez le chemin d'url pour le champ OpenID Connect configuration url dans le portail pour AFAS.
Le chemin d'URL de type ‘OpenID Connect Discovery’ combiné à l'adresse du serveur AD FS constitue l'url du fichier de configuration dont AFAS a besoin.
Par exemple : https://<ADFS-server>/FederationMetadata/2007-06/Federationmetadata.xml
- Veillez à ce que les points de terminaison sélectionnés ci-dessus soient activés et disponibles en externe (!).
- Allez à : AD FS / Trust Relationships / Relying Party Trusts.
- Sélectionnez le Trust qui vient d'être créé : AFAS Online Trust.
- Cliquez sur l'action : Edit Claim Rules… dans le menu de droite.
- Accédez à l'onglet : 'Issuance Transform Rules'.
- Cliquez sur : 'Add rule'.
La fenêtre 'Add Transform Claim Rule Wizard' s'affiche.
- Sélectionnez : 'Send LDAP Attributes as Claims'.
- Cliquez sur : 'Next'.
- Définissez la claim, vous déterminez ainsi les données qui sont envoyées à AFAS Online pour une authentification réussie.
- Complétez une description dans 'Claim rule name'. Par exemple, UPN.
- Sélectionnez 'Active directory' pour 'Attribute store'.
- Sélectionnez un valeur pour 'LDAP attribute'.
Vous êtes libre de choisir une valeur pour ce champ. La valeur 'User-principal-name' est recommandée.
- Sélectionnez '* UPN' dans la liste pour 'Outgoing claim type'.
Vous déterminez ainsi la valeur avec laquelle l'UPN est complété. Celui-ci doit être unique pour chaque utilisateur à authentifier. Par utilisateur, vous devez également relier cette valeur dans Profit Windows. Il est conseillé d'utiliser une valeur simple ou reconnaissable, comme le code d'utilisateur ou l'adresse e-mail de l'utilisateur.
- Cliquez sur : 'Finish'.
Vous avez créé à présent une rule. Créez-en encore une.
- Cliquez sur l'action : Add Rule...
- Sélectionnez un 'Claim rule template'. Par exemple, Permit All Users afin que tous les utilisateurs ADFS puissent avoir accès à AFAS Online. C'est le plus simple. Vous pouvez cependant le configurer comme vous le souhaitez.
- Cliquez sur Next.
- Cliquez sur Finish.
Étape 6 : Transfert gestionnaire
Le gestionnaire de Profit doit savoir ce qui doit être complété dans le champ UPN des utilisateurs dans Profit. Veillez par conséquent à ce qu'il soit clair pour le gestionnaire de Profit où il peut trouver ou demander les informations et quelle division est en outre utilisée. (Par exemple, p.jansen@klant.nl au lieu de piet.jansen@klant.local).
Lorsque vous en aurez fini, transmettez les données que vous avez rassemblées au gestionnaire Profit.
Définir le gestionnaire Profit pour le portail
Lors d’une authentification unique, l'administrateur Profit, en tant qu'administrateur de portail, doit effectuer certaines opérations sur le portail AFAS Online. Attribuez donc le rôle d'administrateur de portail à l'administrateur Profit.
- Allez à : Généralités / Gestion / Outil d'autorisation.
- Ouvrez les propriétés de l'administrateur Profit.
- Saisissez l'adresse e-mail de l'administrateur dans le champ E-mail.
- Accédez à l'onglet Applications.
- Cochez AFAS Online Portail Gestionnaire.
Attention :
Cette case fonctionnera uniquement après le passage au nouveau mode de connexion. Si la case est cochée, vous obtenez l'accès à l'onglet Gestion du Portail AFAS Online. Si la transition n'a pas encore eu lieu, vous n'avez pas accès à l'onglet Gestion.
- Si vous avez une licence AFAS Accept, le champ est AFAS Accept disponible. Lorsqu'un utilisateur peut avoir accès à l'environnement Accept, cochez la case AFAS Accept pour cet utilisateur.
- Cliquez sur : OK.
Définir une méthode de connexion par application dans le portail (gestionnaire de Profit)
Si vous avez les données de votre fournisseur d'identité (reçues de votre gestionnaire de système), vous pouvez ajouter vous-même ces données dans le portail pour AFAS.
Ensuite, vous sélectionnez par application dans AFAS Online le fournisseur d'identité (le vôtre pour l'authentification unique ou celui d'AFAS pour l'authentification à 2 facteurs) que vous souhaitez utiliser.
Étape 1. Complétez les données de votre fournisseur d'identité SSO
- Allez à : login.afasonline.com
- Connectez-vous en tant que gestionnaire avec l'authentification à deux facteurs.
- Vous vous connectez pour la première fois ? Suivez cette procédure.
- Déjà connecté à de multiples reprises en tant gestionnaire ? Suivez cette procédure.
Attention :
Ne pas se connecter via l'authentification unique, car vous n'aurez pas assez de droits.
- Allez à l'onglet : Gestion.
- Cliquez sur : Identity provider.
- Sélectionnez pour Type le fournisseur d'identité que vous voulez ajouter.
- Selon votre choix pour Type, vous devez compléter d'autres champs :
OpenID Connect pour les fournisseurs d'identité AD FS 4.0, Okta, Azure AD, etc.
- Saisissez une Description claire. Par exemple : Mon SSO.
- À OpenID Connect configuration url, complétez l'URL externe sur lequel le fédérateur est accessible. Vous l'avez reçu de votre administrateur système et ce dernier l'a noté lors de la configuration du fournisseur d'identité.
Par exemple :
- Si vous travaillez avec Okta : utilisez par exemple https://<id-client>.okta.com
- Si vous travaillez avec Azure : utilisez par exemple https://sts.windows.net/<id-client-azure>/.well-known/openid-configuration
- Si vous travaillez avec AD FS : utilisez par exemple https://<serveur-ADFS>/adfs/.well-known/openid-configuration
- À , complétez le client identifier.
- À , complétez le shared secret.
- Complétez les Scopes. Vous utilisez cela notamment si vous voulez lier Google et vous avez besoin d'un e-mail claim. Dans ce cas, vous devez indiquer explicitement que vous voulez avoir l'adresse e-mail de l'utilisateur. D'autres applications peuvent également exiger que les scopes soient complétés.
- Si vous travaillez avec Okta : complétez la valeur profile.
- Si vous travaillez avec Azure AD et que vous établissez un lien avec l'UPN de l'utilisateur qui est défini dans Azure AD pour cet utilisateur : complétez la valeur profile.
- Si vous travaillez avec Azure AD et que vous établissez un lien avec l'adresse e-mail de l'utilisateur qui est définie dans Azure AD pour cet utilisateur : complétez la valeur e-mail.
- À , complétez le nom de la propriété à laquelle le champ UPN est lié dans Profit.
- Si vous travaillez avec Okta : complétez la valeur preferred_username.
- Si vous travaillez avec Azure AD en combinaison avec le scope profile : complétez la valeur upn .
- Si vous travaillez avec Azure AD en combinaison avec le scope e-mail : complétez la valeur e-mail.
- Si vous travaillez avec AD FS : complétez la valeur upn.
ADFS 3.0
- Sélectionnez ADFS 3.0 pour Type.
- Complétez votre description à Description . Par exemple, Mon SSO.
- À Federation metadata URL, l'adresse à laquelle le serveur externe ADFS est accessible.
Par exemple : https://<ADFS-server>/FederationMetadata/2007-06/Federationmetadata.xml. Donc : [servernaam+vast pad met xml].
- Pour Client ID, complétez la valeur unique qui a été choisie à l'étape 'Configuration dans ADFS' pour <my_client_id>.
SURFconext
- Sélectionnez SURFconext pour Type.
- Complétez votre Description.
- Cliquez sur : Enregistrer.
Étape 2. Définissez le fournisseur d’identité à utiliser pour chaque application.
Déterminez le fournisseur d'identité à utiliser pour chaque application.
Attention :
Les utilisateurs continuent à se connecter via l’authentification à deux facteurs jusqu'à ce que vous ayez enregistré un UPN par utilisateur.
- Allez à login.afasonline.com et connectez-vous en tant que gestionnaire si ce n'est pas encore le cas.
- Allez à : Gestion / Authentification unique.
Vous voyez ici les applications qui sont pour vous dans AFAS Online.
- Sélectionnez le Fournisseur d'identité à utiliser pour chaque application : votre propre fournisseur d'identité authentification unique ou le fournisseur d'identité AFAS par défaut (si vous souhaitez utiliser l'authentification à deux facteurs).
- Cochez Afficher l'écran de choix pour offrir à l'utilisateur le choix entre se connecter avec une authentification unique ou une authentification à deux facteurs.
- Cliquez sur : Enregistrer.
- Cliquez sur Tester pour voir si la connexion est bonne.
Saisissez un UPN par utilisateur et testez la connexion (gestionnaire de Profit)
Nous vous conseillons de tester d'abord votre authentification unique avec un seul utilisateur.
Si vous utilisiez déjà SSO auparavant, l'UPN pour les utilisateurs a déjà été complété. Suivez dans ce cas uniquement l'étape 2.
Étape 1 : Saisir un UPN pour un utilisateur
L'administrateur système vous dira ce qu'il faut saisir dans le champ UPN. L'administrateur Profit saisit l'UPN en procédant comme suit.
Attention:
Le mot de passe de l'utilisateur est réinitialisé lorsque vous saisissez l'UPN. C'est pourquoi l'utilisateur doit savoir comment il se connecte à Profit via l'authentification unique.
Si l'utilisateur a également accès à OutSite, il ne peut plus se connecter au site OutSite (car son mot de passe a été réinitialisé). Lors de la connexion au site OutSite, l'utilisateur peut lui-même demander un nouveau mot de passe.
- Allez vers : Généralités / Gestion / Outil d'autorisation.
- Ouvrez les propriétés de l'utilisateur.
- Saisissez l'UPN (que vous avez reçu de l'administrateur système).
Si nous ne pouvez pas saisir le code, AFAS n'a pas encore traité l'incident survenu lors de l'authentification unique.
- Cliquez sur : OK. Vous avez à présent lié l'UPN à l'utilisateur !
Étape 2 : Tester la connexion avec un utilisateur
- Allez à https://login.afasonline.com/12345.
Dans cette URL, remplacez 12345 par votre numéro de participant.
- Les programmes AFAS Online s'affichent à l'écran. Cliquez sur la tuile ‘Profit’ pour ouvrir Profit.
- Si cela fonctionne, passez à l'étape suivante.
Étape 3 : Saisir un UPN pour tous les utilisateurs
L'UPN des utilisateurs doit être saisi avant qu'ils ne puissent se connecter via l'authentification unique.
S'il y a peu d'utilisateurs, vous pouvez saisir manuellement les UPN. Voir l'explication ci-dessus Étape 1 Saisie UPN d'un utilisateur.
Si les utilisateurs pour qui l'UPN doit être saisi sont nombreux, vous pouvez importer les UPN via la fonction importation de 'Saisie Utilisateur'.
Voir également :
