thumb_up
thumb_down
link
Copy link
Copied
insert_emoticon
lmatfy
Copied

Systeemeisen AFAS Online platform, IP-adressen, netwerk- en dataverkeer

De systeemeisen gelden zowel voor twee-factorauthenticatie als single sign-on, tenzij anders aangegeven.

Let op:

Vanaf 15 december 2021 wordt TLS1.3 ondersteund voor de verbinding met Profit Windows (alleen inkomend verkeer). De ondersteuning van TLS1.2 wordt beperkt. omdat enkele oude ciphers vanaf 15 december 2021 niet meer worden ondersteund. De ondersteuning wordt uitgebreid met andere ciphers.

Inhoud

Citrix

Zie ook de beschrijving van de installatie van Citrix.

Onderdeel

Versies

Citrix

Zie voor de versies: Welke versie van Citrix Workspace heb ik nodig?Wil je zien welke versie geĆÆnstalleerd is op je systeem? Klik met de rechtermuisknop op Citrix Workspace in de System Tray en Klik op Advanced Preferences.

Tip: het is ook mogelijk om Profit in de browser te draaien, dan hoef je Citrix niet lokaal te installeren.

Netwerk en dataverkeer

Onderdeel

Toelichting

IP-reeks

  • 185.46.182.0/24 (dus 185.46.182.0 t/m 185.46.182.255)

Uitgaand verkeer

  • Uitgaand verkeer clients via poort 443 (HTTPS). Doorgaans hoef je hier niets voor open te zetten, tenzij je met een allowlist op de firewall of met een proxy werkt. Zie ook het overzicht IP-adressen, URL's en ciphers.
  • Voor uitgaand verkeer ondersteunen we waar mogelijk TLS1.0, TLS1.1 en TLS1.2.
  • Uitgaand verkeer werkt op basis van een allowlist. AFAS Online zal alle uitgaande communicatie vanuit je omgeving zo goed mogelijk voorbereiden. In een enkel geval zal een eigen communicatieprofiel niet direct functioneren. Stuur dan een incident in om het adres vrij te laten geven.

Inkomend verkeer

Certificaten zijn afkomstig van QuoVadis/WiseKey.

Zie ook:

Computer / Werkstation gebruiker

Onderdeel

Toelichting

Besturingssysteem

Browsers

  • Microsoft Edge
  • Google Chrome
  • Safari (Apple Mac)
  • Mozilla FireFox

Als je Chrome, Safari of FireFox gebruikt, moet je de browser zodanig instellen dat deze automatisch wordt bijgewerkt naar de laatste versie.

Als je meldingen krijgt over de Trusted sites, dan kan het nodig zijn om de volgende URL's toe te voegen aan de trusted sites. De stappen verschillen per browser.

  • https://*.afasonline.com
  • https://*.afas.online
  • https://*.afasinsite.nl

TLS

TLS 1.2 moet ingeschakeld zijn. TLS is een encryptieprotocol voor de authenticatie en beveiliging van gegevens die via het internet verzonden worden.

[Vanaf 15 december 2021] TLS1.3 of TLS1.2 moet ingeschakeld zijn.

Je kunt testen of je computer/werkstation werkt voor uitgaand verkeer naar AFAS Online door de site www.afasonline.nl te openen (deze verwijst door naar login.afasonline.com). Deze site vereist de hierboven genoemde versie van TLS.

PCC

  • Gebruik de laatste door AFAS vrijgegeven versie (het PCC wordt niet ondersteund op Apple Mac)
  • Zie de toelichting bij 2-factor-authenticatie of single sign-on.

Overig

Gebruikers kunnen bij twee-factorauthenticatie inloggen via AFAS Pocket (op ondersteunde iPhones of Android-toestellen). De eerste stap is het inloggen met gebruikersnaam+wachtwoord, de tweede stap is de bevestiging via AFAS Pocket op de smartphone van de gebruiker.

AFAS Pocket ondersteunt bij Accountancy Lite alleen de authenticatie van het nieuwe inloggen. Bij Profit Standard Edition biedt AFAS Pocket meer mogelijkheden.

Inloggen beperken tot een bepaald IP-adres (IP-restricties)

De beheerder kan IP-restricties op de AFAS Online portal vastleggen, via Beheer / IP-restricties. Je richt IP-restricties per onderdeel (Profit Windows, InSite, Beheer) in. IP-restricties gelden voor zowel twee-factorauthenticatie als single sign-on.

  • Als je geen IP-restricties vastlegt, worden er geen IP-restricties toegepast.
  • Als je wel IP-restricties vastlegt, kunnen gebruikers de toepassingen (apps) alleen starten vanaf IP-adressen die op basis van de IP-restricties zijn toegestaan, dit is een extra beveiliging tegen ongewenste bezoekers. Je gebruikt altijd de CIDR-notatie.

    Let op:

    Gebruikers kunnen altijd inloggen, ongeacht de IP-restricties. Pas bij het starten van de apps (Profit Windows, InSite of beheer) wordt gecontroleerd of er IP-restricties van toepassing zijn.

    Een gebruiker die InSite benaderd via een URL (favoriet), moet vervolgens eerst inloggen. Vervolgens wordt gecontroleerd of er IP-restricties van toepassing zijn.

Je kunt verschillende IP-restricties vastleggen. Bij beheerders kun je naast het IP-adres van het werk bijvoorbeeld IP-adressen van de thuiswerkplek vastleggen.

IP-adressen, URL's en ciphers

Deze informatie is bedoeld voor organisaties die een whitelist op de firewall of een proxy gebruiken.

Overzicht van alle endpoints en de vereiste versie van TLS.

Vanaf 15 december 2021 wordt TLS1.3 ondersteund voor de verbinding met Profit Windows (alleen inkomend verkeer). De ondersteuning van TLS1.2 wordt beperkt. omdat enkele oude ciphers vanaf 15 december 2021 niet meer worden ondersteund. De ondersteuning wordt uitgebreid met andere ciphers.

Vanaf 15 december 2021 worden de volgende ciphers ondersteund:

  • TLS1.3-AES256-GCM-SHA384 0x13,0x02
  • TLS1.3-CHACHA20-POLY1305-SHA256 0x13,0x03
  • TLS1.3-AES128-GCM-SHA256 0x13,0x01
  • TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 0xC0,0x30
  • TLS1.2-ECDHE-RSA-CHACHA20-POLY1305 0xCC,0xA8
  • TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 0xC0,0x2F

De volgende Ciphers worden vanaf 15 december 2021 NIET meer ondersteund:

  • TLS1.2-ECDHE-ECDSA256-GCM-SHA384 0xC0,0x2C
  • TLS1.2-ECDHE-ECDSA128-GCM-SHA256 0xC0,0x2B
  • TLS1.2-ECDHE-RSA-AES-256-SHA384 0xC0,0x28
  • TLS1.2-ECDHE-RSA-AES-128-SHA256 0xC0,0x27

Je kunt via Citrix Workspace controleren of je de juiste ciphers hebt.

Publiek IP

Poorten

Informatie

TLS versie

TLS Ciphers [1]

Certificaat

Applicaties

185.46.182.1

Variabel

Standaard uitgaand IP-adres AFAS Online. Eventuele communicatieprofielen en/of connecties naar eigen e-mailservers komen vanuit dit adres.

1.0, 1.1, 1.2

Variabel

N.v.t.

Variabel

185.46.182.10

443

Multifactor-authenticatie. Vanuit AFAS Pocket maakt je device verbinding met dit adres om de authenticatie goed/af te keuren.

1.2

[0xC0,0x2B],[0xC0,0x2C]

QuoVadis ECC

Insite, Profit

185.46.182.11

80 (redirect), 443

Login Portal. Hier melden alle gebruikers zich via de browser aan.

1.2

[0xC0,0x2B],[0xC0,0x2C]

QuoVadis ECC

Insite, Profit

185.46.182.12

443

Secure Token Service. Deze moet voor alle gebruikers beschikbaar zijn. Bij gebruik van federatie (SSO) moet dit adres ook bereikbaar zijn voor de federation server (bijvoorbeeld ADFS) op locatie. Uitgaande oAuth/OpenID Connect verbindingen komen ook vanuit dit IP-adres.

1.2

[0xC0,0x2B],[0xC0,0x2C]

QuoVadis ECC

Insite, Profit

185.46.182.13

443

Identity Provider. Deze moet voor alle gebruikers beschikbaar zijn om op de portal in te kunnen loggen.

1.2

[0xC0,0x2B],[0xC0,0x2C]

QuoVadis ECC

Insite, Profit

185.46.182.28

443

PCC Notification hub. Deze moet voor alle gebruikers beschikbaar zijn die het PCC gebruiken.

1.2

[0xC0,0x2B],[0xC0,0x2C]

QuoVadis ECC

InSite, PCC

185.46.182.37

443

Bank Integratie Portal. Nodig voor het muteren van bankkoppelingen. Redirect vanuit website bank.

1.2

[0xC0,0x2B],[0xC0,0x2C]

QuoVadis ECC

Bankkoppeling

185.46.182.40

443

SOAP API. Deze moet beschikbaar zijn voor alle koppelingen/connectoren en de gebruikers van de PCC.

1.2

[0xC0,0x2B],[0xC0,0x2C]

QuoVadis ECC

Connector, PCC

185.46.182.41

443

SOAP API voor testomgevingen. Deze moet beschikbaar zijn voor alle koppelingen/connectoren en de gebruikers van de PCC die met testomgevingen koppelen.

1.2

[0xC0,0x2B],[0xC0,0x2C]

QuoVadis ECC

Connector, PCC

185.46.182.42

443

SOAP API voor acceptomgevingen. Deze moet beschikbaar zijn voor alle koppelingen/connectoren en de gebruikers van de PCC die met acceptomgevingen koppelen.

1.2

[0xC0,0x2B],[0xC0,0x2C]

QuoVadis ECC

Connector, PCC

185.46.182.50

443

REST API. Deze moet beschikbaar zijn voor alle koppelingen/connectoren en de gebruikers van de PCC.

1.2

[0xC0,0x2B],[0xC0,0x2C]

QuoVadis ECC

Connector, PCC

185.46.182.51

443

REST API voor testomgevingen. Deze moet beschikbaar zijn voor alle koppelingen/connectoren en de gebruikers van het PCC die met testomgevingen koppelen.

1.2

[0xC0,0x2B],[0xC0,0x2C]

QuoVadis ECC

Connector, PCC

185.46.182.52

443

REST API voor acceptomgevingen. Deze moet beschikbaar zijn voor alle koppelingen/connectoren en de gebruikers van het PCC die met acceptomgevingen koppelen.

1.2

[0xC0,0x2B],[0xC0,0x2C]

QuoVadis ECC

Connector, PCC

185.46.182.121

443

Citrix Netscaler. Met dit adres maakt de Citrix Client verbinding (portal.afasonline.com - CNAME: portal.gslb.afasonline.com). Moet beschikbaar zijn voor Profit Windows gebruikers.

1.3

(Vanaf 15-12-2021)

[0x13,0x02], [0x13,0x03], [0x13,0x01]

QuoVadis RSA

Profit Windows

1.2

[0xC0,0x30],[0xC0,0x2F]

 

[0xCC,0xA8] (vanaf 15-12-2021)

 

[0xC0,0x27],[0xC0,0x28] (ondersteuning STOPT vanaf 15-12-2021)

185.46.182.122

443

Citrix Netscaler. Met dit adres maakt de Citrix Client verbinding (portal.afasonline.com - CNAME: portal.gslb.afasonline.com). Moet beschikbaar zijn voor Profit Windows gebruikers.

1.3

(Vanaf 15-12-2021)

[0x13,0x02], [0x13,0x03], [0x13,0x01]

QuoVadis RSA

Profit Windows

1.2

[0xC0,0x30],[0xC0,0x2F]

 

[0xCC,0xA8] (vanaf 15-12-2021)

 

[0xC0,0x27],[0xC0,0x28] (ondersteuning STOPT vanaf 15-12-2021)

185.46.182.200

25

Mail MTA. In gebruik voor verzending uitgaande mail bij gebruik mailserver AFAS.ONLINE. SPF: afas.online

1.0, 1.1, 1.2

Variabel

Nvt

Variabel

185.46.182.201

25

Mail MTA. In gebruik voor verzending uitgaande mail bij gebruik mailserver AFAS.ONLINE. SPF: afas.online

1.0, 1.1, 1.2

Variabel

Nvt

Variabel

185.46.182.202

25

Mail MTA. In gebruik voor verzending uitgaande mail bij gebruik mailserver AFAS.ONLINE. SPF: afas.online

1.0, 1.1, 1.2

Variabel

Nvt

Variabel

185.46.182.203

25

Mail MTA. In gebruik voor verzending uitgaande mail bij gebruik mailserver AFAS.ONLINE. SPF: afas.online

1.0, 1.1, 1.2

Variabel

Nvt

Variabel

185.46.182.204

25

Mail MTA. In gebruik voor verzending uitgaande mail bij gebruik mailserver AFAS.ONLINE. SPF: afas.online

1.0, 1.1, 1.2

Variabel

Nvt

Variabel

185.46.182.205

25

Mail MTA. In gebruik voor verzending uitgaande mail bij gebruik mailserver AFAS.ONLINE. SPF: afas.online

1.0, 1.1, 1.2

Variabel

Nvt

Variabel

185.46.182.206

25

Mail MTA. In gebruik voor verzending uitgaande mail bij gebruik mailserver AFAS.ONLINE. SPF: afas.online

1.0, 1.1, 1.2

Variabel

Nvt

Variabel

185.46.182.207

25

Mail MTA. In gebruik voor verzending uitgaande mail bij gebruik mailserver AFAS.ONLINE. SPF: afas.online

1.0, 1.1, 1.2

Variabel

Nvt

Variabel

185.46.182.208

25

Mail MTA. In gebruik voor verzending uitgaande mail bij gebruik mailserver AFAS.ONLINE. SPF: afas.online

1.0, 1.1, 1.2

Variabel

Nvt

Variabel

185.46.182.209

25

Mail MTA. In gebruik voor verzending uitgaande mail bij gebruik mailserver AFAS.ONLINE. SPF: afas.online

1.0, 1.1, 1.2

Variabel

Nvt

Variabel

[1] https://www.iana.org/assignments/tls-parameters/tls-parameters.xhtml#tls-parameters-4

Diversen

Applicaties

Toelichting

Hostnaam

Publiek IP

Poorten

TLS-versie

TLS Ciphers [1]

Certificaat

FileUpload

File Upload tbv aanlevering omgevingen/archieven bij overstap van on-premise naar AFAS Online via de Order / klant.afas.nl.

ul.afas.online

185.46.182.30

443

1.2

[0xC0,0x2B],[0xC0,0x2C]

QuoVadis ECC

FileDownload

File Download tbv aanvragen omgevingen voor archivering/on-premise gebruik. Voornamelijk bij beƫindiging abonnement.

dl.afas.online

185.46.182.31

443

1.2

[0xC0,0x2B],[0xC0,0x2C]

QuoVadis ECC

VPN

Je gebruikt Profit Windows via Citrix Workspace, Citrix Workspace of in je browser. VPN wordt niet ondersteund.

Je kunt natuurlijk wel vanaf een externe locatie inloggen in je werkomgeving via VPN en vanuit daar Profit via de browser opstarten.

Direct naar

  1. Inloggen inrichten (Citrix / Single sign-on)
  2. Systeemeisen
  3. Twee-factorauthenticatie inrichten
  4. Messagebird inrichten voor sms-berichten

Process

Citrix

Work area

Algemeen