Single sign-on (SSO) inrichten

Bij AFAS Online kun je single sign-on gebruiken door middel van een eigen identity provider. Dit betekent dat het inloggen niet wordt afgehandeld door AFAS Online, maar door de identity provider (in plaats van twee-factorauthenticatie). Als single sign-on niet is ingericht, loggen de gebruikers altijd in met twee-factorauthenticatie.

Op 20 december 2019 is de instelling Inloggen via AFAS Identity Provider toestaan toegevoegd. Voor bestaande identity providers heeft deze instelling geen waarde en blijft e.e.a. werken zoals voordien. Bij het inrichten van een nieuwe identity provider moet je een keuze maken bij deze instelling.

Inloggen via AFAS Identity Provider toestaan is leeg

Inloggen via AFAS Identity Provider toestaan heeft een waarde

Je bepaalt per InSite-URL via welke methode je inlogt: via single sign-on of twee-factorauthenticatie.

Bij Profit kun je altijd inloggen via twee-factorauthenticatie (als het e-mailadres in de eigenschappen van de gebruiker gevuld is).

De meewerkgebruiker (van de accountant) logt altijd in met twee-factorauthenticatie, niet via single sign-on.

Je richt een eigen identity provider in zodat gebruikers in InSite en Profit inloggen via single sign-on. Bij de identity provider bepaal je ook nog of gebruikers via twee-factorauthenticatie mogen inloggen of niet (nieuwe instelling).

Stel dat een gebruiker is ingelogd met zijn AFAS Online account (dus via twee-factorauthenticatie). Vervolgens start de gebruiker Profit of InSite van de klant. Mag de gebruiker dan doorgaan, of moet hij ook nog inloggen op de SSO-provider van de klant?

AFAS ondersteunt verschillende identity providers, maar je moet kiezen voor één specifieke identity provider. Voer een eventuele overstap naar een andere identity provider alleen uit als er weinig/geen mensen aan het werk zijn in Profit. Noteer je oude gegevens voor je nieuwe gegevens vastlegt.

Let op:

AFAS Support biedt geen ondersteuning op de inrichting van single sign-on. Ook is je organisatie zelf verantwoordelijk voor de veiligheid van die inlogmethode en het beschermen van je data. Je voert het beheer en onderhoud van de SSO-oplossing zelf uit.

AFAS heeft bijvoorbeeld geen inzicht of invloed op het wel of niet gebruiken van twee-factorauthenticatie bij een door de klant gekozen single sign-on inlogmethode. Twee-factorauthenticatie is echter vaak wel wettelijk verplicht bij privacygevoelige gegevens. De leverancier of beheerder van de inlogmethode (bijvoorbeeld de IT-afdeling die de ADFS en Active Directory van je organisatie beheert) kan de beveiligingsopties instellen.

Inhoud

Voorbereidingen systeembeheerder

De systeembeheerder controleert de systeemeisen m.b.t. het netwerk/dataverkeer en gebruikers. Als je voor het systeembeheer een externe partij gebruikt, neem dan tijdig contact op met deze partij.

Citrix Workspace uitrollen

Citrix Workspace moet op alle werkstations waarop Profit gebruikt wordt, geïnstalleerd worden. Profit draait namelijk in een Citrix-omgeving. De gebruikers starten Profit via Citrix Workspace.

Het is niet nodig om bij het installeren van Citrix Workspace een account aan te maken. Mocht het scherm Add account verschijnen, dan kun je dit sluiten.

Zie voor de versies: Welke versie van Citrix Workspace heb ik nodig?

Profit-beheerder instellen voor portal

Bij single sign-on moet de Profit-beheerder als portal-beheerder bepaalde acties op de AFAS Online Portal uitvoeren. Daarom stel je de Profit-beheerder in als portal-beheerder.

  1. Ga naar: Algemeen / Beheer / Autorisatie tool.
  2. Open de eigenschappen van de gebruiker die je wilt aanstellen als beheerder.
  3. Ga naar het tabblad Applicaties.

  4. Vink AFAS Online Portal-Beheerder aan.
  5. Als je een AFAS Accept licentie hebt, is het veld AFAS Accept beschikbaar. Als een gebruiker toegang mag hebben tot Accept-omgeving, dan vink je bij deze gebruiker het veld AFAS Accept aan.

Identity provider inrichten (systeembeheerder)

Hieronder zie je een lijst van alle ondersteunde identity providers. Maak een keuze en voer de stappen uit.

Let op:

Wanneer je ADFS wil gebruiken als inlogmethode, met daarbij (een vorm van) multi-factor authenticatie, is er aanvullende inrichting vereist binnen de ADFS-omgeving. Zie verder dit artikel van SCCT.

AFAS verleent hierop geen support. Bij verdere inhoudelijke vragen adviseren wij je je te wenden tot bijvoorbeeld SCCT.

OpenID Connect

Elke partij met OpenID Connect wordt ondersteund. Bijvoorbeeld:

Active Directory Federation Services (AD FS) - Windows Server 2016 en hoger

Azure Active directory (op basis van OpenID connect)

Office 365 op basis van Entra ID

HelloID

Okta

SecureLogin

Bij OpenID Connect kun je ook OutSite inrichten voor single sign-on.

SURFconext

SURFconext

AD FS 3.0

Active Directory Federation Services (AD FS) - Windows Server 2012 R2 (oud)

Als je hiermee klaar bent, geef je de gegevens die je verzameld hebt door aan de Profit-beheerder.

Inlogmethode per applicatie in Portal vastleggen (Profit-beheerder)

Als je de gegevens van je identity provider hebt (ontvangen van je systeembeheerder), kun je deze gegevens in de portal bij AFAS zelf toevoegen.

Vervolgens selecteer je per applicatie bij AFAS Online van welke identity provider (je eigen voor single sign on of die van AFAS voor 2-factorauthenticatie) je gebruik wilt maken.

Stap 1. Vul de gegevens van je eigen SSO Identity provider in

  1. Ga naar: www.afasonline.nl.
  2. Log in als beheerder met twee-factorauthenticatie.
    • Log je voor het eerst in? Volg dan deze procedure.
    • Al vaker ingelogd als beheerder? Volg dan deze procedure.

    Let op:

    Gebruik bij het inloggen het e-mailadres dat bij de beheerder is vastgelegd in het veld E-mail. Je vindt dit veld in de Autorisatie Tool, eigenschappen van de beheerder, tabblad Algemeen, veld E-mail).

    Log je in via single sign-on, dan is het tabblad Beheer niet zichtbaar.

  3. Ga naar tabblad: Beheer / Identity provider.

  4. Selecteer bij Type welke identity provider je wilt toevoegen.
  5. Afhankelijk van je keuze bij Type moet je andere velden invullen:

    OpenID Connect bij de identity providers AD FS 4.0, Okta, Entra ID, etc.

    ADFS 3.0

    SURFconext

  6. Vul bij Client Secret het veld van 'Client Secret Value' in (dus niet de ID).
  7. Bepaal bij Inloggen via AFAS Identity Provider toestaan of gebruikers die al zijn ingelogd via twee-factorauthenticatie, verplicht moeten inloggen via single sign-on of niet.

    Let op:

    Deze instelling is toegevoegd op 20 december 2019. Voor bestaande identity providers heeft deze instelling geen waarde en blijft e.e.a. werken zoals voordien. Bij het inrichten van een nieuwe identity provider moet je een keuze maken bij deze instelling. Zie verder de inleiding van single sign-on.

    Voorbeelden

  8. Klik op: Opslaan.

Stap 2. Stel per applicatie in welke identity provider je wilt gebruiken

Bepaal per applicatie welke identity provider je wilt gebruiken.

Let op:

Gebruikers blijven inloggen via twee-factorauthenticatie, tot je per gebruiker een UPN hebt vastgelegd.

  1. Ga naar www.afasonline.nl en log in als beheerder als dat nog niet het geval is.
  2. Ga naar: Beheer / Single Sign on.

    Je ziet hier de applicaties die er voor jou zijn bij AFAS Online.

  3. Selecteer per applicatie de Identity provider die je wilt gebruiken: je eigen Single Sign On-identity provider of de standaard AFAS Identity Provider (als je van twee-factorauthenticatie gebruik wilt maken).
  4. Vink Keuzescherm tonen aan om de gebruiker de keuze te bieden tussen inloggen met single sign-on of twee-factorauthenticatie.
  5. Klik op: Opslaan.
  6. Klik op Testen om te zien of de verbinding goed is.

Stap 3: IP-restricties vastleggen (optioneel)

De beheerder kan IP-restricties op de AFAS Online portal vastleggen, via Beheer / IP-restricties. Als je IP-restricties vastlegt, kunnen gebruikers de toepassingen (apps) alleen starten vanaf IP-adressen die op basis van de IP-restricties zijn toegestaan, dit is een extra beveiliging die ook bij inloggen via SSO wordt toegepast.

Meer informatie: Inloggen beperken tot een bepaald IP-adres (IP-restricties)

UPN invullen per gebruiker en inloggen testen (Profit-beheerder)

De beste manier om SSO te testen is via de knop Testen op de AFAS Online portal, zoals hierboven uitgelegd. Een alternatieve/extra methode is het testen door de UPN in te vullen bij één gebruiker.

Als je voorheen ook al van SSO gebruik maakte, is de UPN bij de gebruikers al gevuld. Als het testen via de knop Testen goed is verlopen, kun je de onderstaande stappen overslaan.

Stap 1: UPN invullen bij één gebruiker

Stap 2: Testen inloggen met één gebruiker

Stap 3: UPN invullen bij alle gebruikers

Direct naar

  1. Inloggen inrichten (Citrix / Single sign-on)
  2. Systeemeisen
  3. Citrix installeren
  4. Werken met Thin client, VDI, Citrix of Terminal server / RDS
  5. Twee-factorauthenticatie inrichten
  6. Single-sign on inrichten
  7. Messagebird inrichten voor sms-berichten
  8. Externe applicatie inloggen via AFAS Online