thumb_up
thumb_down
link
Copy link
Copied
insert_emoticon
lmatfy
Copied

Single sign-on (SSO) inrichten

Bij AFAS Online kun je single sign-on gebruiken door middel van een eigen identity provider. Dit betekent dat het inloggen niet wordt afgehandeld door AFAS Online, maar door de identity provider (in plaats van twee-factorauthenticatie). Als single sign-on niet is ingericht, loggen de gebruikers altijd in met twee-factorauthenticatie.

Op 20 december 2019 is de instelling Inloggen via AFAS Identity Provider toestaan toegevoegd. Voor bestaande identity providers heeft deze instelling geen waarde en blijft e.e.a. werken zoals voordien. Bij het inrichten van een nieuwe identity provider moet je een keuze maken bij deze instelling.

Inloggen via AFAS Identity Provider toestaan is leeg

Inloggen via AFAS Identity Provider toestaan heeft een waarde

Je bepaalt per InSite-URL via welke methode je inlogt: via single sign-on of twee-factorauthenticatie.

Bij Profit Windows kun je altijd inloggen via twee-factorauthenticatie (als het e-mailadres in de eigenschappen van de gebruiker gevuld is).

 

De meewerkgebruiker (van de accountant) logt altijd in met twee-factorauthenticatie, niet via single sign-on.

Je richt een eigen identity provider in zodat gebruikers in InSite en Profit Windows inloggen via single sign-on. Bij de identity provider bepaal je ook nog of gebruikers via twee-factorauthenticatie mogen inloggen of niet (nieuwe instelling).

Stel dat een gebruiker is ingelogd met zijn AFAS Online account (dus via twee-factorauthenticatie). Vervolgens start de gebruiker Profit Windows of InSite van de klant. Mag de gebruiker dan doorgaan, of moet hij ook nog inloggen op de SSO-provider van de klant?

AFAS ondersteunt verschillende identity providers, maar je moet kiezen voor één specifieke identity provider. Voer een eventuele overstap naar een andere identity provider alleen uit als er weinig/geen mensen aan het werk zijn in Profit. Noteer je oude gegevens voor je nieuwe gegevens vastlegt.

Let op:

AFAS Support biedt geen ondersteuning op de inrichting van single sign-on. Ook is je organisatie zelf verantwoordelijk voor de veiligheid van die inlogmethode en het beschermen van je data. Je voert het beheer en onderhoud van de SSO-oplossing zelf uit.

AFAS heeft bijvoorbeeld geen inzicht of invloed op het wel of niet gebruiken van twee-factorauthenticatie bij een door de klant gekozen single sign-on inlogmethode. Twee-factorauthenticatie is echter vaak wel wettelijk verplicht bij privacygevoelige gegevens. De leverancier of beheerder van de inlogmethode (bijvoorbeeld de IT-afdeling die de ADFS en Active Directory van je organisatie beheert) kan de beveiligingsopties instellen.

Inhoud

Voorbereidingen systeembeheerder

De systeembeheerder controleert de systeemeisen m.b.t. het netwerk/dataverkeer en gebruikers. Als je voor het systeembeheer een externe partij gebruikt, neem dan tijdig contact op met deze partij.

Citrix Receiver uitrollen

Citrix Receiver moet op alle werkstations waarop Profit Windows gebruikt wordt, geïnstalleerd worden. Profit Windows draait namelijk in een Citrix-omgeving. De gebruikers starten Profit Windows via Citrix Receiver.

Het is niet nodig om bij het installeren van Citrix Receiver een account aan te maken. Mocht het scherm Add account verschijnen, dan kun je dit sluiten.

Gebruik deze links om Citrix Receiver uit te rollen:

Zie voor de versies: Welke versie van Citrix Receiver heb ik nodig?

Profit-beheerder instellen voor portal

Bij single sign-on moet de Profit-beheerder als portal-beheerder bepaalde acties op de AFAS Online Portal uitvoeren. Daarom stel je de Profit-beheerder in als portal-beheerder.

  1. Ga naar: Algemeen / Beheer / Autorisatie tool.
  2. Open de eigenschappen van de beheerder.
  3. Ga naar het tabblad Applicaties.

    2FA - Beheer - Overstappen (proc -mail gebruiker) - e0mail

  4. Vink AFAS Online Portal-Beheerder aan.
  5. Als je een AFAS Accept licentie hebt, is het veld AFAS Accept beschikbaar. Als een gebruiker toegang mag hebben tot Accept-omgeving, dan vink je bij deze gebruiker het veld AFAS Accept aan.

Identity provider inrichten (systeembeheerder)

Hieronder zie je een lijst van alle ondersteunde identity providers. Maak een keuze en voer de stappen uit.

OpenID Connect

Elke partij met OpenID Connect wordt ondersteund. Bijvoorbeeld:

Active Directory Federation Services (AD FS) - Windows Server 2016 en hoger

Azure Active directory (op basis van OpenID connect)

Office 365 op basis van AzureAD

Okta

SecureLogin

SURFconext

SURFconext

AD FS 3.0

Active Directory Federation Services (AD FS) - Windows Server 2012 R2 (oud)

Als je hiermee klaar bent, geef je de gegevens die je verzameld hebt door aan de Profit-beheerder.

Inlogmethode per applicatie in Portal vastleggen (Profit-beheerder)

Als je de gegevens van je identity provider hebt (ontvangen van je systeembeheerder), kun je deze gegevens in de portal bij AFAS zelf toevoegen.

Vervolgens selecteer je per applicatie bij AFAS Online van welke identity provider (je eigen voor single sign on of die van AFAS voor 2-factorauthenticatie) je gebruik wilt maken.

Stap 1. Vul de gegevens van je eigen SSO Identity provider in

  1. Ga naar: www.afasonline.nl.
  2. Log in als beheerder met twee-factorauthenticatie.
    • Log je voor het eerst in? Volg dan deze procedure.
    • Al vaker ingelogd als beheerder? Volg dan deze procedure.

    Let op:

    Gebruik bij het inloggen het e-mailadres dat bij de beheerder is vastgelegd in het veld E-mail. Je vindt dit veld in de Autorisatie Tool, eigenschappen van de beheerder, tabblad Algemeen, veld E-mail).

    Log je niet in via single sign-on, dan is het tabblad Beheer niet zichtbaar.

  3. Ga naar tabblad: Beheer / Identity provider.

  4. Selecteer bij Type welke identity provider je wilt toevoegen.
  5. Afhankelijk van je keuze bij Type moet je andere velden invullen:

    OpenID Connect bij de identity providers AD FS 4.0, Okta, Azure AD, etc.

    ADFS 3.0

    SURFconext

  6. Bepaal bij Inloggen via AFAS Identity Provider toestaan of gebruikers die al zijn ingelogd via twee-factorauthenticatie, verplicht moeten inloggen via single sign-on of niet.

    Let op:

    Deze instelling is toegevoegd op 20 december 2019. Voor bestaande identity providers heeft deze instelling geen waarde en blijft e.e.a. werken zoals voordien. Bij het inrichten van een nieuwe identity provider moet je een keuze maken bij deze instelling. Zie verder de inleiding van single sign-on.

    Voorbeeld 1 (Profit Windows):

    Richard opent www.afasonline.nl en logt in met zijn AFAS Online account via twee-factorauthenticatie. Richard opent vervolgens Profit Windows van de klant via www.afasonline.nl/12345 (deelnemer 12345). Aan dit deelnemersnummer is de identity provider van een klant gekoppeld.

    Als gebruikers die met de AFAS Identity Provider zijn ingelogd, niet opnieuw hoeven in te loggen, dan wordt Profit Windows direct geopend.

    Als gebruikers altijd moeten inloggen via de Identity Provider (van de klant) kan moet Richard eerst inloggen via de identity provider voordat hij Profit Windows kan openen.

    Voorbeeld 2 (InSite):

    Esther opent www.afasonline.nl en logt in met zijn AFAS Online account via twee-factorauthenticatie. Esther opent de InSite de klant via 12345.afasinsite.nl (deelnemer 12345). Aan dit deelnemersnummer is de identity provider van een klant gekoppeld.

    Als gebruikers die met de AFAS Identity Provider zijn ingelogd, niet opnieuw hoeven in te loggen, dan wordt InSite direct geopend.

    Als gebruikers altijd moeten inloggen via de Identity Provider (van de klant) kan moet Esther eerst inloggen via de identity provider voordat hij InSite kan openen.

    Voorbeeld 3 (gebruiker is niet ingelogd):

    John is nog niet ingelogd en opent 12345.afasinsite.nl (deelnemer 12345). Aan dit deelnemersnummer is de identity provider van zijn organisatie gekoppeld.

    John moet altijd inloggen via de identity provider van zijn organisatie, ongeacht de instelling in het veld Inloggen via AFAS Identity Provider toestaan.

  7. Klik op: Opslaan.

Stap 2. Stel per applicatie in welke identity provider je wilt gebruiken

Bepaal per applicatie welke identity provider je wilt gebruiken.

Let op:

Gebruikers blijven inloggen via twee-factorauthenticatie, tot je per gebruiker een UPN hebt vastgelegd.

  1. Ga naar www.afasonline.nl en log in als beheerder als dat nog niet het geval is.
  2. Ga naar: Beheer / Single Sign on.

    Je ziet hier de applicaties die er voor jou zijn bij AFAS Online.

  3. Selecteer per applicatie de Identity provider die je wilt gebruiken: je eigen Single Sign On-identity provider of de standaard AFAS Identity Provider (als je van twee-factorauthenticatie gebruik wilt maken).
  4. Klik op: Opslaan.
  5. Klik op Testen om te zien of de verbinding goed is.

Stap 3: IP-restricties vastleggen (optioneel)

De beheerder kan IP-restricties op de AFAS Online portal vastleggen, via Beheer / IP-restricties. Als je IP-restricties vastlegt, kunnen gebruikers de toepassingen (apps) alleen starten vanaf IP-adressen die op basis van de IP-restricties zijn toegestaan, dit is een extra beveiliging die ook bij inloggen via SSO wordt toegepast.

Meer informatie: Inloggen beperken tot een bepaald IP-adres (IP-restricties)

UPN invullen per gebruiker en inloggen testen (Profit-beheerder)

De beste manier om SSO te testen is via de knop Testen op de AFAS Online portal, zoals hierboven uitgelegd. Een alternatieve/extra methode is het testen door de UPN in te vullen bij één gebruiker.

Als je voorheen ook al van SSO gebruik maakte, is de UPN bij de gebruikers al gevuld. Als het testen via de knop Testen goed is verlopen, kun je de onderstaande stappen overslaan.

Stap 1: UPN invullen bij één gebruiker

Stap 2: Testen inloggen met één gebruiker

Stap 3: UPN invullen bij alle gebruikers

PCC installeren

Gebruik de versie van het PCC die via de AFAS Klantportal beschikbaar is gesteld. Elke gebruiker koppelt het PCC opnieuw aan de omgeving door de instellingen te downloaden en uit te voeren.

Meer informatie:

Direct naar

  1. Inloggen inrichten (Citrix / Single sign-on)
  2. Systeemeisen
  3. Citrix installeren
  4. Werken met Thin client, VDI, Citrix of Terminal server / RDS
  5. Twee-factorauthenticatie inrichten
  6. Single sign-on inrichten

Process

Inloggen Autorisatie

Work area

Algemeen