Inloggen op OutSite met eigen identity provider inrichten (single sign-on)
Als de gebruikers zijn ingelogd op het domein, kunnen zij via single sign-on inloggen op OutSite-sites.
Er zijn twee manieren om dit te doen:
- Via een Identity Provider op basis van het Open ID Connect protocol, bijvoorbeeld Azure of Google.
- Via een eigen 'Secure Token Service' (STS).
Let op:
Deze inlogmethode is alleen geschikt voor organisaties met uitgebreide kennis over het inrichten van single sign-on. Je bent zelf verantwoordelijk voor een correcte inrichting. AFAS Support kan je hier niet bij ondersteunen.
Inhoud |
OAuth Id en OAuth account per gebruiker importeren
Je legt per gebruiker de OAuth Id en OAuth account vast via een import. Je kan dit proces eventueel automatiseren met een automatische batch-job / taak via AFAS Remote of de UpdateConnector KnUser. De import wordt hieronder beschreven.
Je moet de import eerst doen, anders kunnen de gebruikers na de overstap op single sign-on niet meer inloggen!
Let op:
De OutSite-gebruiker wordt niet gekoppeld via het veld UPN op het tabblad Algemeen van de eigenschappen van de gebruiker in Profit. Dit veld is bedoeld voor InSite- en Profit-gebruikers in combinatie met single sign-on.
Voor OutSite wordt de gebruiker gekoppeld via de waarde die je per gebruiker importeert in het veld OAuth Id.
Deze waarde moet dus gelijk zijn aan de waarde van de 'claim' die door AFAS Online ontvangen wordt wanneer de gebruiker zich authentiseert bij de identity provider tijdens het inloggen op OutSite.
Om de gebruiker in de identity provider te koppelen aan een OutSite-gebruiker zodat hij kan inloggen via single sign-on, moet je per gebruiker twee waarden importeren. Je maakt hierbij gebruik van een (mutatie-)import op de gebruiker.
- Ga naar: Algemeen / Beheer / Import / Gebruiker mutatie.
- Kies voor Import via nieuw aan te maken definitie.
Importeer de velden Gebruiker, OAuth Id en OAuth account.
Let op:
Het kan voorkomen dat te importeren gebruikers óók inloggen via single sign-on in Profit en/of InSite. Het veld UPN is dan gevuld op het tabblad Algemeen van de gebruiker. Importeer in dat geval óók altijd de waarde voor het veld UPN op deze gebruiker.
Doe je dit niet, dan wordt dit veld op de gebruiker leeggemaakt tijdens de import en kan de gebruiker niet meer via single sign-on inloggen op Profit / InSite.
Het resultaat van de import is dat je in de eigenschappen van de gebruiker, tabblad OutSite, ziet dat de OAuth-account gekoppeld is.
- Ga naar: Algemeen / Beheer / Autorisatie tool.
- Open de eigenschappen van een gebruiker.
Inlogmethode bepalen
Je bepaalt per OutSite of gebruikers inloggen met gebruikersnaam/wachtwoord of via single sign-on. Een combinatie van beide methoden voor één site is niet mogelijk, je moet een keuze maken.
Single sign-on instellen:
- Ga naar: Algemeen / In & OutSite / Site.
- Open de OutSite, tabblad Inloggen.
- Selecteer Eigen identity provider bij Methode.
- Kopieer de Redirect-URI naar het klembord, deze heb je bij de volgende stap nodig.
- Laat het scherm open staan en ga verder met één van de volgende opties.
- Optie 1: Open ID Connect inrichten
- Optie 2: Eigen Secure Token Service inrichten
Optie 1: OpenID Connect inrichten (bijvoorbeeld Azure of Google)
Identity provider inrichten
Richt eerst de identity provider in. Maak daarbij een client secret en client ID aan en voeg de redirect-URI voor OutSite toe binnen de identity provider. Zie verder de algemene beschrijving van de inrichting.
OpenID Connect inrichten:
- Ga terug naar Profit, je hebt het scherm met de instellingen van de OutSite nog open staan.
- Ga naar het tabblad: Inloggen.
- Vink OpenID Connect protocol gebruiken aan.
- Vul de velden in.
Omdat in het voorbeeld bij de import op de gebruiker Medewerker bij het veld OAuth Id de waarde cursist@afassupport.onmicrosoft.com is geïmporteerd, is het van belang dat deze waarde ook als ‘upn’ is vastgelegd binnen de identity provider.
Optie 2: Eigen Secure Token Service inrichten (op basis van OAuth 2.0)
Je legt de gegevens van de STS vast in de eigenschappen van de site. Je voert deze procedure uit voor elke site waarop gebruikers via een identity provider mogen inloggen.
Voor de authenticatie gebruiken we je eigen 'Secure Token Service' (STS). Je richt de STS in en je richt de gewenste OutSite-sites in Profit in.
Communicatie en authenticatie met de STS:
In het onderstaande schema wordt de communicatie en authenticatie met de STS weergegeven.
Eigen STS koppelen aan site:
- Ga terug naar Profit, je hebt het scherm met de instellingen van de OutSite nog open staan.
- Ga naar het tabblad: Inloggen.
- Vink OpenID Connect protocol gebruiken niet aan.
- Vul de velden in.