Systeemeisen AFAS Online platform, IP-adressen, netwerk- en dataverkeer

De systeemeisen gelden zowel voor twee-factorauthenticatie als single sign-on, tenzij anders aangegeven.

Let op:

TLS1.3 wordt ondersteund voor de verbinding met Profit (alleen inkomend verkeer). De ondersteuning van TLS1.2 is beperkt met ingang van 15 december 2021, omdat enkele oude ciphers niet meer worden ondersteund. De ondersteuning is uitgebreid met andere ciphers.

Inhoud

Citrix

Zie ook de beschrijving van de installatie van Citrix.

Onderdeel	Versies
Citrix	Zie voor de versies: Welke versie van Citrix Workspace heb ik nodig? Wil je zien welke versie geïnstalleerd is op je systeem? Klik met de rechtermuisknop op Citrix Workspace in de System Tray en Klik op Advanced Preferences. Tip: het is ook mogelijk om Profit in de browser te draaien, dan hoef je Citrix niet lokaal te installeren.

Onderdeel

Versies

Citrix

Zie voor de versies: Welke versie van Citrix Workspace heb ik nodig? Wil je zien welke versie geïnstalleerd is op je systeem? Klik met de rechtermuisknop op Citrix Workspace in de System Tray en Klik op Advanced Preferences.

Tip: het is ook mogelijk om Profit in de browser te draaien, dan hoef je Citrix niet lokaal te installeren.

Netwerk en dataverkeer

Onderdeel	Toelichting
IP-reeks	185.46.182.0/24 (dus 185.46.182.0 t/m 185.46.182.255)
Uitgaand verkeer	Uitgaand verkeer clients via poort 443 (HTTPS). Doorgaans hoef je hier niets voor open te zetten, tenzij je met een allowlist op de firewall of met een proxy werkt. Zie ook het overzicht IP-adressen, URL's en ciphers. Voor uitgaand verkeer ondersteunen we waar mogelijk TLS1.0, TLS1.1 en TLS1.2. Uitgaand verkeer werkt op basis van een allowlist. AFAS Online zal alle uitgaande communicatie vanuit je omgeving zo goed mogelijk voorbereiden. In een enkel geval zal een eigen communicatieprofiel niet direct functioneren. Stuur dan een incident in om het adres vrij te laten geven.
Inkomend verkeer	TLS1.2. [Vanaf 15 dember 2021] TLS1.3 of TLS1.2. De ondersteunde ciphersuites verschillen per endpoint. Waar mogelijk maken we gebruik van een ECC-certificaat. Op Citrix is initieel nog een RSA-certificaat aanwezig, ondersteuning voor een ECC-certificaat volgt later. In het overzicht IP-adressen, URL's en ciphers zie je in de kolom ‘TLS Ciphers’ meer informatie per endpoint. De gebruikte ciphers zijn hier terug te vinden: https://www.iana.org/assignments/tls-parameters/tls-parameters.xhtml#tls-parameters-4

Certificaten zijn afkomstig van QuoVadis/WiseKey.

Zie ook:

Profit Connectoren

Computer / Werkstation gebruiker

Onderdeel	Toelichting
Besturingssysteem	Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 Windows Server 2012 R2 Windows 11 Windows 10 Apple Mac wordt formeel niet ondersteund door AFAS. Wel is het mogelijk om Citrix op een Mac te gebruiken, zie de pagina Welke versie van Citrix Workspace heb ik nodig? Er gelden ook enkele aandachtspunten, zie Apple Mac bestanden en bestandslocaties. Zie ook: Welk Windows-besturingssysteem gebruik ik (website Microsoft) Welk MacOS-besturingssysteem gebruik ik (website Apple) Platform- en productondersteuning
Browsers	Microsoft Edge Google Chrome Safari (Apple Mac) Mozilla FireFox Als je Chrome, Safari of FireFox gebruikt, moet je de browser zodanig instellen dat deze automatisch wordt bijgewerkt naar de laatste versie. Als je meldingen krijgt over de Trusted sites, dan kan het nodig zijn om de volgende URL's toe te voegen aan de trusted sites. De stappen verschillen per browser. https://.afasonline.com https://.afas.online https://*.afasinsite.nl
TLS	TLS 1.2 of TLS 1.3 moet ingeschakeld zijn. TLS is een encryptieprotocol voor de authenticatie en beveiliging van gegevens die via het internet verzonden worden. Je kunt testen of je computer/werkstation werkt voor uitgaand verkeer naar AFAS Online door de site www.afasonline.nl te openen (deze verwijst door naar login.afasonline.com). Deze site vereist de hierboven genoemde versie van TLS.
PCC	Gebruik de laatste door AFAS vrijgegeven versie (het PCC wordt niet ondersteund op Apple Mac) Zie de toelichting bij 2-factor-authenticatie of single sign-on.

Overig

Gebruikers kunnen bij twee-factorauthenticatie inloggen via AFAS Pocket (op ondersteunde iPhones of Android-toestellen). De eerste stap is het inloggen met gebruikersnaam+wachtwoord, de tweede stap is de bevestiging via AFAS Pocket op de smartphone van de gebruiker.

AFAS Pocket ondersteunt bij Accountancy Lite alleen de authenticatie van het nieuwe inloggen. Bij Profit Standard Edition biedt AFAS Pocket meer mogelijkheden.

Inloggen beperken tot een bepaald IP-adres (IP-restricties)

De beheerder kan IP-restricties op de AFAS Online portal vastleggen, via Beheer / IP-restricties. Je richt IP-restricties per onderdeel (Profit, InSite, Beheer) in. IP-restricties gelden voor zowel twee-factorauthenticatie als single sign-on.

Als je geen IP-restricties vastlegt, worden er geen IP-restricties toegepast.
Als je wel IP-restricties vastlegt, kunnen gebruikers de toepassingen (apps) alleen starten vanaf IP-adressen die op basis van de IP-restricties zijn toegestaan, dit is een extra beveiliging tegen ongewenste bezoekers. Je gebruikt altijd de CIDR-notatie.
Let op:

Gebruikers kunnen altijd inloggen, ongeacht de IP-restricties. Pas bij het starten van de apps (Profit, InSite of beheer) wordt gecontroleerd of er IP-restricties van toepassing zijn.

Een gebruiker die InSite benaderd via een URL (favoriet), moet vervolgens eerst inloggen. Vervolgens wordt gecontroleerd of er IP-restricties van toepassing zijn.

Je kunt verschillende IP-restricties vastleggen. Bij beheerders kun je naast het IP-adres van het werk bijvoorbeeld IP-adressen van de thuiswerkplek vastleggen.

IP-adressen, URL's en ciphers

Deze informatie is bedoeld voor organisaties die een whitelist op de firewall of een proxy gebruiken.

Overzicht van alle endpoints en de vereiste versie van TLS.

De volgende ciphers worden ondersteund:

TLS1.3-AES256-GCM-SHA384 0x13,0x02
TLS1.3-CHACHA20-POLY1305-SHA256 0x13,0x03
TLS1.3-AES128-GCM-SHA256 0x13,0x01
TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 0xC0,0x30
TLS1.2-ECDHE-RSA-CHACHA20-POLY1305 0xCC,0xA8
TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 0xC0,0x2F

Publiek IP	Poorten	Informatie	TLS versie	TLS Ciphers [1]	Certificaat	Applicaties
185.46.182.1	Variabel	Standaard uitgaand IP-adres AFAS Online. Eventuele communicatieprofielen en/of connecties naar eigen e-mailservers komen vanuit dit adres.	1.0, 1.1, 1.2	Variabel	N.v.t.	Variabel
185.46.182.11	80 (redirect), 443	Login Portal. Hier melden alle gebruikers zich via de browser aan.	1.2	[0xC0,0x2F],[0xC0,0x30]	QuoVadis ECC	Insite, Profit
185.46.182.12	443	Secure Token Service. Deze moet voor alle gebruikers beschikbaar zijn. Bij gebruik van federatie (SSO) moet dit adres ook bereikbaar zijn voor de federation server (bijvoorbeeld ADFS) op locatie. Uitgaande oAuth/OpenID Connect verbindingen komen ook vanuit dit IP-adres.	1.2	[0xC0,0x2F],[0xC0,0x30]	QuoVadis ECC	Insite, Profit
185.46.182.13	443	Identity Provider. Deze moet voor alle gebruikers beschikbaar zijn om op de portal in te kunnen loggen.	1.2	[0xC0,0x2F],[0xC0,0x30]	QuoVadis ECC	Insite, Profit
185.46.182.28	443	PCC Notification hub. Deze moet voor alle gebruikers beschikbaar zijn die het PCC gebruiken.	1.2	[0xC0,0x2F],[0xC0,0x30]	QuoVadis ECC	InSite, PCC
185.46.182.37	443	Bank Integratie Portal. Nodig voor het muteren van bankkoppelingen. Redirect vanuit website bank.	1.2	[0xC0,0x2F],[0xC0,0x30]	QuoVadis ECC	Bankkoppeling
185.46.182.40	443	SOAP API. Deze moet beschikbaar zijn voor alle koppelingen/connectoren en de gebruikers van de PCC.	1.2	[0xC0,0x2F],[0xC0,0x30]	QuoVadis ECC	Connector, PCC
185.46.182.41	443	SOAP API voor testomgevingen. Deze moet beschikbaar zijn voor alle koppelingen/connectoren en de gebruikers van de PCC die met testomgevingen koppelen.	1.2	[0xC0,0x2F],[0xC0,0x30]	QuoVadis ECC	Connector, PCC
185.46.182.42	443	SOAP API voor acceptomgevingen. Deze moet beschikbaar zijn voor alle koppelingen/connectoren en de gebruikers van de PCC die met acceptomgevingen koppelen.	1.2	[0xC0,0x2F],[0xC0,0x30]	QuoVadis ECC	Connector, PCC
185.46.182.50	443	REST API. Deze moet beschikbaar zijn voor alle koppelingen/connectoren en de gebruikers van de PCC.	1.2	[0xC0,0x2F],[0xC0,0x30]	QuoVadis ECC	Connector, PCC
185.46.182.51	443	REST API voor testomgevingen. Deze moet beschikbaar zijn voor alle koppelingen/connectoren en de gebruikers van het PCC die met testomgevingen koppelen.	1.2	[0xC0,0x2F],[0xC0,0x30]	QuoVadis ECC	Connector, PCC
185.46.182.52	443	REST API voor acceptomgevingen. Deze moet beschikbaar zijn voor alle koppelingen/connectoren en de gebruikers van het PCC die met acceptomgevingen koppelen.	1.2	[0xC0,0x2F],[0xC0,0x30]	QuoVadis ECC	Connector, PCC
185.46.182.121	443	Citrix Netscaler. Met dit adres maakt de Citrix Client verbinding (portal.afasonline.com - CNAME: portal.gslb.afasonline.com). Moet beschikbaar zijn voor Profit gebruikers.	1.3 (Vanaf 15-12-2021)	[0x13,0x02], [0x13,0x03], [0x13,0x01]	QuoVadis RSA	Profit
185.46.182.121	443		1.2	[0xC0,0x30],[0xC0,0x2F] [0xCC,0xA8]	QuoVadis RSA	Profit
185.46.182.122	443	Citrix Netscaler. Met dit adres maakt de Citrix Client verbinding (portal.afasonline.com - CNAME: portal.gslb.afasonline.com). Moet beschikbaar zijn voor Profit gebruikers.	1.3 (Vanaf 15-12-2021)	[0x13,0x02], [0x13,0x03], [0x13,0x01]	QuoVadis RSA	Profit
185.46.182.122	443		1.2	[0xC0,0x30],[0xC0,0x2F] [0xCC,0xA8]	QuoVadis RSA	Profit
185.46.182.200	25	Mail MTA. In gebruik voor verzending uitgaande mail bij gebruik mailserver AFAS.ONLINE. SPF: afas.online	1.0, 1.1, 1.2	Variabel	Nvt	Variabel
185.46.182.201	25	Mail MTA. In gebruik voor verzending uitgaande mail bij gebruik mailserver AFAS.ONLINE. SPF: afas.online	1.0, 1.1, 1.2	Variabel	Nvt	Variabel
185.46.182.202	25	Mail MTA. In gebruik voor verzending uitgaande mail bij gebruik mailserver AFAS.ONLINE. SPF: afas.online	1.0, 1.1, 1.2	Variabel	Nvt	Variabel
185.46.182.203	25	Mail MTA. In gebruik voor verzending uitgaande mail bij gebruik mailserver AFAS.ONLINE. SPF: afas.online	1.0, 1.1, 1.2	Variabel	Nvt	Variabel
185.46.182.204	25	Mail MTA. In gebruik voor verzending uitgaande mail bij gebruik mailserver AFAS.ONLINE. SPF: afas.online	1.0, 1.1, 1.2	Variabel	Nvt	Variabel
185.46.182.205	25	Mail MTA. In gebruik voor verzending uitgaande mail bij gebruik mailserver AFAS.ONLINE. SPF: afas.online	1.0, 1.1, 1.2	Variabel	Nvt	Variabel
185.46.182.206	25	Mail MTA. In gebruik voor verzending uitgaande mail bij gebruik mailserver AFAS.ONLINE. SPF: afas.online	1.0, 1.1, 1.2	Variabel	Nvt	Variabel
185.46.182.207	25	Mail MTA. In gebruik voor verzending uitgaande mail bij gebruik mailserver AFAS.ONLINE. SPF: afas.online	1.0, 1.1, 1.2	Variabel	Nvt	Variabel
185.46.182.208	25	Mail MTA. In gebruik voor verzending uitgaande mail bij gebruik mailserver AFAS.ONLINE. SPF: afas.online	1.0, 1.1, 1.2	Variabel	Nvt	Variabel
185.46.182.209	25	Mail MTA. In gebruik voor verzending uitgaande mail bij gebruik mailserver AFAS.ONLINE. SPF: afas.online	1.0, 1.1, 1.2	Variabel	Nvt	Variabel

[1] https://www.iana.org/assignments/tls-parameters/tls-parameters.xhtml#tls-parameters-4

Diversen

Applicaties	Toelichting	Hostnaam	Publiek IP	Poorten	TLS-versie	TLS Ciphers [1]	Certificaat
FileUpload	File Upload tbv aanlevering omgevingen/archieven bij overstap van on-premise naar AFAS Online via de Order / klant.afas.nl.	ul.afas.online	185.46.182.30	443	1.2	[0xC0,0x2F],[0xC0,0x30]	QuoVadis ECC
FileDownload	File Download tbv aanvragen omgevingen voor archivering/on-premise gebruik. Voornamelijk bij beëindiging abonnement.	dl.afas.online	185.46.182.31	443	1.2	[0xC0,0x2F],[0xC0,0x30]	QuoVadis ECC

VPN

Je gebruikt Profit via Citrix Workspace, Citrix Workspace of in je browser. VPN wordt niet ondersteund.

Je kunt natuurlijk wel vanaf een externe locatie inloggen in je werkomgeving via VPN en vanuit daar Profit via de browser opstarten.

Direct naar

Inloggen inrichten (Citrix / Single sign-on)
Systeemeisen
Twee-factorauthenticatie inrichten
Messagebird inrichten voor sms-berichten