Single sign-on (SSO) inrichten
Bij AFAS Online kun je single sign-on gebruiken door middel van een eigen identity provider. Dit betekent dat het inloggen niet wordt afgehandeld door AFAS Online, maar door de identity provider (in plaats van twee-factorauthenticatie). Als single sign-on niet is ingericht, loggen de gebruikers altijd in met twee-factorauthenticatie.
Op 20 december 2019 is de instelling Inloggen via AFAS Identity Provider toestaan toegevoegd. Voor bestaande identity providers heeft deze instelling geen waarde en blijft e.e.a. werken zoals voordien. Bij het inrichten van een nieuwe identity provider moet je een keuze maken bij deze instelling.
Inloggen via AFAS Identity Provider toestaan is leeg
|
Inloggen via AFAS Identity Provider toestaan heeft een waarde
|
Je bepaalt per InSite-URL via welke methode je inlogt: via single sign-on of twee-factorauthenticatie.
Bij Profit kun je altijd inloggen via twee-factorauthenticatie (als het e-mailadres in de eigenschappen van de gebruiker gevuld is).
De meewerkgebruiker (van de accountant) logt altijd in met twee-factorauthenticatie, niet via single sign-on.
|
Je richt een eigen identity provider in zodat gebruikers in InSite en Profit inloggen via single sign-on. Bij de identity provider bepaal je ook nog of gebruikers via twee-factorauthenticatie mogen inloggen of niet (nieuwe instelling).
Stel dat een gebruiker is ingelogd met zijn AFAS Online account (dus via twee-factorauthenticatie). Vervolgens start de gebruiker Profit of InSite van de klant. Mag de gebruiker dan doorgaan, of moet hij ook nog inloggen op de SSO-provider van de klant?
|
AFAS ondersteunt verschillende identity providers, maar je moet kiezen voor één specifieke identity provider. Voer een eventuele overstap naar een andere identity provider alleen uit als er weinig/geen mensen aan het werk zijn in Profit. Noteer je oude gegevens voor je nieuwe gegevens vastlegt.
Let op:
AFAS Support biedt geen ondersteuning op de inrichting van single sign-on. Ook is je organisatie zelf verantwoordelijk voor de veiligheid van die inlogmethode en het beschermen van je data. Je voert het beheer en onderhoud van de SSO-oplossing zelf uit.
AFAS heeft bijvoorbeeld geen inzicht of invloed op het wel of niet gebruiken van twee-factorauthenticatie bij een door de klant gekozen single sign-on inlogmethode. Twee-factorauthenticatie is echter vaak wel wettelijk verplicht bij privacygevoelige gegevens. De leverancier of beheerder van de inlogmethode (bijvoorbeeld de IT-afdeling die de ADFS en Active Directory van je organisatie beheert) kan de beveiligingsopties instellen.
Voorbereidingen systeembeheerder
De systeembeheerder controleert de systeemeisen m.b.t. het netwerk/dataverkeer en gebruikers. Als je voor het systeembeheer een externe partij gebruikt, neem dan tijdig contact op met deze partij.
Citrix Workspace uitrollen
Citrix Workspace moet op alle werkstations waarop Profit gebruikt wordt, geïnstalleerd worden. Profit draait namelijk in een Citrix-omgeving. De gebruikers starten Profit via Citrix Workspace.
Het is niet nodig om bij het installeren van Citrix Workspace een account aan te maken. Mocht het scherm Add account verschijnen, dan kun je dit sluiten.
Zie voor de versies: Welke versie van Citrix Workspace heb ik nodig?
Profit-beheerder instellen voor portal
Bij single sign-on moet de Profit-beheerder als portal-beheerder bepaalde acties op de AFAS Online Portal uitvoeren. Daarom stel je de Profit-beheerder in als portal-beheerder.
- Ga naar: Algemeen / Beheer / Autorisatie tool.
- Open de eigenschappen van de gebruiker die je wilt aanstellen als beheerder.
- Ga naar het tabblad Applicaties.
- Vink AFAS Online Portal-Beheerder aan.
- Als je een AFAS Accept licentie hebt, is het veld AFAS Accept beschikbaar. Als een gebruiker toegang mag hebben tot Accept-omgeving, dan vink je bij deze gebruiker het veld AFAS Accept aan.
Identity provider inrichten (systeembeheerder)
Hieronder zie je een lijst van alle ondersteunde identity providers. Maak een keuze en voer de stappen uit.
Let op:
Wanneer je ADFS wil gebruiken als inlogmethode, met daarbij (een vorm van) multi-factor authenticatie, is er aanvullende inrichting vereist binnen de ADFS-omgeving. Zie verder dit artikel van SCCT.
AFAS verleent hierop geen support. Bij verdere inhoudelijke vragen adviseren wij je je te wenden tot bijvoorbeeld SCCT.
OpenID Connect
Elke partij met OpenID Connect wordt ondersteund. Bijvoorbeeld:
Active Directory Federation Services (AD FS) - Windows Server 2016 en hoger
Lees de onderstaande informatie en voer dan de stappen uit.
Let op:
Dit is een globale beschrijving van de inrichting van dit onderdeel, AFAS biedt hierop geen support. Deze beschrijving is bestemd voor systeembeheerders die voldoende kennis hebben van de inrichting van dit onderdeel. Door wijzigingen bij externe partijen kan het voorkomen dat bepaalde gegevens gewijzigd zijn zonder dat wij hiervan op de hoogte zijn.
Aanvullende systeemeisen AD FS:
In Windows Server 2016 moet je beschikken over Active Directory Federation Services 4.0.
Active Directory Federation Services 4.0 is beschikbaar als rol, je moet deze rol wel activeren. Raadpleeg de relevante Microsoft-documentatie voor meer informatie.
Wat heb je nodig op AFAS Online:
Tijdens het inrichtingsproces moet je de volgende gegevens noteren. Deze gegevens heb je later nodig om AFAS Online te koppelen aan jouw AD FS.
- De URL van de door jou geconfigureerde AD FS: voor het veld OpenID Connect configuratie url bij het koppelen in de portal
- Client identifier: voor Client ID in de portal
- Secret: voor het veld Client secret in de portal
Stap 1 - Identity provider inrichten:
- Start de server met Windows Server 2016 waarop je AD FS wil inrichten.
- Start Server Manager.
- Ga naar Tools / AD FS Management.
- Ga naar: AD FS / Application Groups.
- Klik op: Add Application Group (rechts).
- Vul een naam in voor de nieuwe Application group.
- Selecteer Server Application bij Template.
- Klik op Next.
- Vul een naam in.
Bij de Client Identifier staat standaard een unieke code.
- Noteer deze Client identifier. Deze heb je nodig bij de self-service (Client ID ).
- Vul https://sts.afasonline.com/signin-oidc in bij Redirect Uri en klik op Add.
- Klik op Next.
- Vink Generate a shared secret aan.
- Noteer de waarde bij Secret.
- Voltooi de wizard.
- Open de eigenschappen van de zojuist toegevoegde application group.
- Klik op Add application.
- Selecteer Web Api.
- Klik op Next.
- Vul bij Identifier dezelfde waarde in als dat je hierboven bij hebt opgegeven (of hebt laten staan) bij Client Identifier.
- Je kunt Access Control Policy naar eigen voorkeur inrichten. De instellingen van deze policy bepalen welke gebruikers via single sign-on toegang hebben tot Profit.
- Klik op Next.
- Zorg dat in de lijst met 'Client application (caller)' de eerder aangemaakte Server Application staat.
- Zet 'openid' bij de 'Permitted scopes' aan als dit nog niet het geval is.
- Voltooi de wizard.
Stap 2: Adres van de endpoint bepalen:
- Haal de OpenId Connect configuratie URL op:
- Ga naar: AD FS / Service / Endpoints.
Hier zie je een groep met ‘OpenID Connect’.
Let op:
Zorg ervoor dat alle endpoints in de groep 'OpenID Connect' en het endpoint '/adfs/oauth2' zowel 'enabled' als extern beschikbaar zijn. Deze endpoints moeten bereikbaar zijn voor minstens de STS van AFAS Online. Je vindt de IP-adressen van het AFAS Online platform in het Help-artikel Systeemeisen AFAS Online platform, IP-adressen, netwerk- en dataverkeer.
- De URL Path van type ‘OpenID Connect Discovery’ in combinatie met het adres van de AD FS server vormt de url van het configuratiebestand. Deze is bij het koppelen in de portal nodig. Noteer deze.
Bijvoorbeeld: https://<ADFS-server>/adfs/.well-known/openid-configuration
Tip: Automatisch inloggen via Chrome, Edge en Firefox
Je kunt gebruikers automatisch laten inloggen wanneer ze al op het domein aangemeld zijn, maar dit werkt standaard alleen voor Internet Explorer. In je ADFS kun je instellen dit ook voor Chrome, Edge en Firefox te activeren. Zie verder: Single Sign on with Chrome, Firefox and Edge with ADFS 3.0
In plaats hiervan kun je een overstap naar Azure AD overwegen. Zie verder Azure Active Directory Seamless Single Sign-On.
Azure Active directory (op basis van OpenID connect)
Let op:
Dit is een globale beschrijving van de inrichting van dit onderdeel, AFAS biedt hierop geen support. Deze beschrijving is bestemd voor systeembeheerders die voldoende kennis hebben van de inrichting van dit onderdeel. Door wijzigingen bij externe partijen kan het voorkomen dat bepaalde gegevens gewijzigd zijn zonder dat wij hiervan op de hoogte zijn.
Om single sign-on voor Open Azure Active Directory te activeren in de portal moet je straks de volgende gegevens doorgeven aan de Profit-beheerder:
- OpenID Connect configuratie url: dit is de aangepaste link met de Federation Metadata document
- Client ID : dit is de Application ID die wordt gemaakt bij het creëren van een APP in Azure.
- Client secret: dit is de API Access Key.
Stap 1: Identity provider inrichten:
- Log in op portal.azure.com.
- Zoek op app-registratie en klik op App-registraties.
- Maak een nieuwe registratie aan.
- Selecteer bij omleidings-URI (redirect-URI) het type Web in en vul de volgende URL in: https://sts.afasonline.com/signin-oidc
- Registreer de applicatie.
- Kopieer de Toepassings (client) ID. Dit is de Client ID die je straks moet vastleggen in het AFAS Online inlogportaal.
- Ga naar: Verificatie.
- Vul bij de Omleidings-URL in: https://sts.afasonline.com/signout-callback-oidc
- Klik op Opslaan.
- Ga naar: Certificaten en geheimen.
- Klik op Nieuw clientgeheim, geef deze een naam en kies bij Verloop op voor 24 maanden. Leg in je agenda of todo lijst vast wanneer het clientgeheim zal verlopen.
- Klik op Toevoegen.
- Kopieer het nieuwe clientgeheim en noteer dit (noteer de waarde/value).
Dit is de Client Secret die je straks moet vastleggen in het AFAS Online inlogportaal.
- Ga naar API-machtigingen en controleer of de machtiging User.Read is toegekend. Default is dit het geval:
Is er geen machtiging toegekend, volg dan de volgende stappen:
- Klik op Een machtiging toevoegen en kies vervolgens voor de Microsoft Graph API.
- Selecteer het type machtiging Gedelegeerde machtigingen.
- Scroll naar beneden en kies onder het type machtiging User voor de machtiging User.Read.
- Klik op Machtiging toevoegen.
- kik op Overzicht / Eindpunten.
- Noteer / kopieer de waarde bij OpenID Connect-document met metagegevens. Dit is de OpenID Connect configuratie url die je straks moet vastleggen in het AFAS Online inlogportaal.
- Maak een claim aan (meestal wordt er gekoppeld op 'UserPrincipalName'. Voeg daarom een 'optionele claim' toe van het type 'ID' op het veld 'upn'. Kies links voor 'Tokenconfiguratie' en voeg de claim toe.
Koppelen op andere claim dan UPN
Wil je de koppelen op een andere claim dan UPN (onderdeel van de scope profile), maak dan een optionele claim aan via Tokenconfiguratie.
Office 365 op basis van Entra ID
Let op:
Dit is een globale beschrijving van de inrichting van dit onderdeel, AFAS biedt hierop geen support. Deze beschrijving is bestemd voor systeembeheerders die voldoende kennis hebben van de inrichting van dit onderdeel. Door wijzigingen bij externe partijen kan het voorkomen dat bepaalde gegevens gewijzigd zijn zonder dat wij hiervan op de hoogte zijn.
Het koppelen van SSO op basis van Office 365 lijkt sterk op het koppelen van SSO op basis van Entra ID. De gebruikersidentiteit van een Office 365 gebruiker wordt namelijk vastgelegd in een Active Directory die deel uitmaakt van je abonnement.
Procedure:
- Log via https://portal.office.com/adminportal in op het Admin Center van Office.com.
- Je kunt deze ook als volgt bereiken als je ingelogd bent op Office .com:
- Rechts onderin het menu zie je ‘Admin centers’, klap dit open.
- Klik op ‘Azure AD / Azure Active Directory’.
- Voer de stappen uit van SSO-koppeling met Open Azure AD o.b.v. OpenID Connect.
HelloID
Okta
Via de onderstaande procedure maak je een applicatie aan om in te loggen op AFAS Online met de Okta-koppeling.
Let op:
Dit is een globale beschrijving van de inrichting van dit onderdeel, AFAS biedt hierop geen support. Deze beschrijving is bestemd voor systeembeheerders die voldoende kennis hebben van de inrichting van dit onderdeel. Door wijzigingen bij externe partijen kan het voorkomen dat bepaalde gegevens gewijzigd zijn zonder dat wij hiervan op de hoogte zijn.
Om single sign-on voor Okta te activeren moet je later de volgende gegevens in de AFAS Online Portal vastleggen:
- ClientID
- ClientSecret
- OpenID Connect URL
- Claim waarop de UPN gematched moet worden
Procedure:
- Je krijgt van Okta een URL, gebruikersnaam en wachtwoord.
- Maak een nieuwe applicatie aan.
- Klik op: Add Application.
- Klik op: Create New App.
- Selecteer Web bij Platform.
- Selecteer OpenID Connect bij Sign on method.
- Geef de applicatie een omschrijving.
- Vul bij Login redirect URIs het volgende in:
https://sts.afasonline.com/signin-oidc
- Klik op Add URl bij Logout redirect URIs.
- Vul het volgende in:
https://sts.afasonline.com/signout-callback-oidc
Het scherm met de instellingen van de applicatie verschijnt.
Hier vind je de velden ClientID en Client secret (klik op Show om de Client secret te zien).
- Noteer deze velden.
- Klik op: Sign On.
Je vindt hier de URL van de issuer, bijvoorbeeld:
https://afas-test.okta.com
- Deze URL is het 'OpenID Connect meta data url' voor de inrichting op login.afasonline.com. Noteer deze.
UPN-veld:
De Profit-beheerder moet weten wat in Profit in het UPN-veld van de gebruikers ingevuld moet worden. Zorg daarom dat bij de Profit-beheerder duidelijk is waar hij de informatie kan vinden of opvragen en welke indeling daarbij gehanteerd wordt. Bijvoorbeeld p.richards@enyoi.com in plaats van peter.richards@enyoi.local).
SecureLogin
Via de onderstaande procedure maak je een SSO connectie met het OpenID Connect protocol opzetten met SecureLogin als Identity Provider (IDP).
Let op:
Dit is een globale beschrijving van de inrichting van dit onderdeel, AFAS biedt hierop geen support. Deze beschrijving is bestemd voor systeembeheerders die voldoende kennis hebben van de inrichting van dit onderdeel. Door wijzigingen bij externe partijen kan het voorkomen dat bepaalde gegevens gewijzigd zijn zonder dat wij hiervan op de hoogte zijn.
Let op:
Deze optie staat standaard niet aan in uw omgeving. Neem hiervoor contact op met de Helpdesk van SecureLogin via support@securelogin.nu.
Om single sign-on voor SecureLogin te activeren moet u later de volgende gegevens in de AFAS Online Portal vastleggen:
- AFAS Config URL
- AFAS Client ID
- AFAS Client Secret
- Scope
- Claim
Procedure SecureLogin Beheerder:
- Kik op
en kies voor AFAS OpenID - Vul in het onderstaande scherm uw 5-cijferige omgevingscode in (van de AFAS-omgeving) en klik op AFAS OpenID inschakelen.
- Vervolgens zie je het volgende scherm, met de waarden die je nodig hebt in het AFAS Online Portal. Kopieer de waarden naar het Klembord met de knop Kopiëren.
UPN
De UPN die wordt ingesteld door de Profit beheerder, dient gelijk te zijn aan de gebruikersnaam waarmee bij SecureLogin wordt ingelogd. Gebruik de functie Exporteer gebruikers als CSV om een overzicht te maken van de gebruikersnamen in SecureLogin.
Bij OpenID Connect kun je ook OutSite inrichten voor single sign-on.
SURFconext
SURFconext
Gebruik deze procedure als je single sign-on via SURFconext wilt gebruiken. AFAS heeft één algemeen contract met SURFconext waarvan alle AFAS-klanten gebruik kunnen maken.
Let op:
Dit is een globale beschrijving van de inrichting van dit onderdeel, AFAS biedt hierop geen support. Deze beschrijving is bestemd voor systeembeheerders die voldoende kennis hebben van de inrichting van dit onderdeel. Door wijzigingen bij externe partijen kan het voorkomen dat bepaalde gegevens gewijzigd zijn zonder dat wij hiervan op de hoogte zijn.
Na ingebruikname kunnen de gebruikers zich via single sign-on aanmelden in Profit en InSite. SURFconext is een dienst van SURF / SURFnet, de ICT-samenwerkingsorganisatie van het onderwijs en onderzoek in Nederland. Bij de SURFconext koppeling treedt SURFconext op als tussenpartij. Je moet zelf klant zijn van SURFconext en je onderhoudt dus zelf ook de contacten met SURFconext.
Bij single sign-in voor AFAS Online via SURFconext zal een bestaand contact gebruikt worden, namelijk tussen de server / identity provider van de klant en SURFconext EN tussen SURFconext en AFAS Online. De partijen moeten alleen nog afspreken en inrichten dat de klant via SURFconext contact met AFAS Online gaat leggen voor single sign-on. Wanneer alles is geregeld is bij de SURFconext gebruiker AFAS Online beschikbaar in het SURFconext-dashboard.
Meer informatie:
Stap 1: Identity provider inrichten:
- De oranisatie heeft vaak zelf al een koppeling gelegd tussen de identity provider en SURFconext. Zo niet, neem dan de SURFconext-documentatie door.
Stap 2: Koppel de instantie van AFAS aan SURFconext
- Neem contact op met support@surfconext.nl om toegang te krijgen tot het Service Provider Dashboard. Via dit dashboard kun je jouw instantie van AFAS koppelen aan SURFconext. Zie voor meer informatie: SP Dashboard.
Stap 3: Gegevens doorgeven aan de Profit-beheerder
UPN-veld:
De Profit-beheerder moet weten wat in Profit in het UPN-veld van de gebruikers ingevuld moet worden. Zorg daarom dat bij de Profit-beheerder duidelijk is waar hij de informatie kan vinden of opvragen en welke indeling daarbij gehanteerd wordt. Bijvoorbeeld p.richards@enyoi.com in plaats van peter.richards@enyoi.local).
Voor SURFconext moeten de UPN-velden in Profit gevuld worden met de 'Edu_person_principal_name'. Deze zijn bij SURFconext bekend. Als je deze niet hebt, neem dan contact op met SURFconext.
AD FS 3.0
Active Directory Federation Services (AD FS) - Windows Server 2012 R2 (oud)
Je richt Active Directory Federation Services in op een Windows Server.
Let op:
Dit is een globale beschrijving van de inrichting van dit onderdeel, AFAS biedt hierop geen support. Deze beschrijving is bestemd voor systeembeheerders die voldoende kennis hebben van de inrichting van dit onderdeel. Door wijzigingen bij externe partijen kan het voorkomen dat bepaalde gegevens gewijzigd zijn zonder dat wij hiervan op de hoogte zijn.
Lees de onderstaande informatie en voer dan de stappen uit.
Aanvullende systeemeisen:
Voor ADFS 3.0 is Server 2012 R2 vereist. Voor nieuwere versies van Windows Server, gebruik OpenID Connect!
De koppeling wordt gemaakt op basis van oAuth 2.0.
Raadpleeg de relevante Microsoft-documentatie voor meer informatie.
Vereisten inrichting:
Om SSO voor Active Directory Federation Services te activeren heb je de volgende gegevens nodig:
- De URL van de door jou geconfigureerde AD FS.
Voorbeeld: https://<ADFS-server>/FederationMetadata/2007-06/Federationmetadata.xml
- Het is vereist dat de AD FS server extern (dus van buiten het bedrijfsnetwerk) te bereiken is via de volgende adressen:
- https://<ADFS-server>/FederationMetadata/2007-06/Federationmetadata.xml
- https://<ADFS-server>/adfs/oauth2/token
Let op:
Stel de koppeling via Self-service op de portal pas in als dit adres extern bereikbaar is. Als Federationmetadata.xml niet extern bereikbaar is, kan de koppeling met AFAS niet gemaakt worden.
Wat heb je nodig op de portal AFAS Online:
Tijdens het inrichtingsproces moet je de volgende gegevens noteren. Deze gegevens heb je later nodig om AFAS Online te koppelen aan jouw AD FS.
OpenID Connect configuratie url: AD FS url van de metadata url
Client ID : de unieke waarde die je zelf geeft
Stap 1: Maak een nieuwe oAuth 2.0 client:
- Voer in PowerShell (met admin rechten) de volgende commando’s uit:
Add-AdfsClient -Name "AFAS Online inloggen" -ClientId "<my_client_id>" -RedirectUri "https://sts.afasonline.com/signin-oidc"
Add-ADFSRelyingPartyTrust -Name "AFAS Online Trust" -Identifier "https://sts.afasonline.com"
* vervang <my_client_id> door een eigen unieke waarde, bijvoorbeeld: 9CEDCF985C03436885E6F22E4D17236E
Stap 2: Identity provider inrichten voor Relying party trust:
- Open de ADFS Management tool op de Windows Server.
- Ga naar: AD FS / Service / Endpoints.
- Bij het kopje 'Metadata' vind je het url pad voor het veld OpenID Connect configuratie url in de portal bij AFAS.
Het URL pad van type ‘OpenID Connect Discovery’ in combinatie met het adres van de AD FS server vormt de url van het configuratiebestand dat AFAS nodig heeft.
Bijvoorbeeld: https://<ADFS-server>/FederationMetadata/2007-06/Federationmetadata.xml
- Zorg dat de hierboven geselecteerde endpoints enabled én extern beschikbaar (!) zijn.
- Ga naar: AD FS / Trust Relationships / Relying Party Trusts.
- Selecteer de net aangemaakte Trust: AFAS Online Trust.
- Klik op de actie: Edit Claim Rules… in het rechtermenu.
- Ga naar het tabblad: 'Issuance Transform Rules'.
- Klik op: 'Add rule'.
Het venster 'Add Transform Claim Rule Wizard' verschijnt.
- Selecteer: 'Send LDAP Attributes as Claims'.
- Klik op: 'Next'.
- Definieer de claim, hiermee bepaal je de gegevens die bij een succesvolle authenticatie worden teruggestuurd naar AFAS Online.
- Vul bij 'Claim rule name' een omschrijving in. Bijvoorbeeld UPN.
- Selecteer 'Active directory' bij 'Attribute store'.
- Selecteer een waarde bij 'LDAP attribute'.
Je bent vrij in de keuze van een waarde bij dit veld. De waarde 'User-principal-name' wordt aanbevolen.
- Selecteer 'UPN' in de lijst bij 'Outgoing claim type'.
Hiermee bepaal je de waarde waarmee de UPN gevuld wordt. Deze moet uniek zijn voor elke te authenticeren gebruiker. Per gebruiker moet je deze waarde ook koppelen in Profit. Het is aan te raden een eenvoudige of herkenbare waarde te gebruiken, zoals de gebruikerscode of het e-mailadres van de gebruiker.
- Klik op: 'Finish'.
Je hebt nu één rule aangemaakt. Je maakt er nog een aan.
- Ga naar het tabblad Issuance Authorization Rules.
- Klik op de actie: Add Rule...
- Selecteer een 'Claim rule template'. Bijvoorbeeld Permit All Users zodat alle ADFS-gebruikers toegang kunnen krijgen tot AFAS Online. Dit is het eenvoudigste. Dit mag je echter naar eigen inzicht inrichten.
- Klik op Next.
- Klik op Finish.
Tip: Automatisch inloggen via Chrome, Edge en Firefox
Je kunt gebruikers automatisch laten inloggen wanneer ze al op het domein aangemeld zijn, maar dit werkt standaard alleen voor Internet Explorer. In je ADFS kun je instellen dit ook voor Chrome, Edge en Firefox te activeren. Zie verder: Single Sign on with Chrome, Firefox and Edge with ADFS 3.0
In plaats hiervan kun je een overstap naar Azure AD overwegen. Zie verder Azure Active Directory Seamless Single Sign-On.
Stap 3: Overdracht beheerder
De Profitbeheerder moet weten wat er in Profit in het UPN-veld van de gebruikers ingevuld moet worden. Zorg daarom dat bij de Profit-beheerder duidelijk is waar hij/zij de informatie kan vinden of opvragen en welke indeling daarbij gehanteerd wordt. (Bijvoorbeeld p.jansen@klant.nl in plaats van piet.jansen@klant.local).
Als je hiermee klaar bent, geef je de gegevens die je verzameld hebt door aan de Profit-beheerder.
Inlogmethode per applicatie in Portal vastleggen (Profit-beheerder)
Als je de gegevens van je identity provider hebt (ontvangen van je systeembeheerder), kun je deze gegevens in de portal bij AFAS zelf toevoegen.
Vervolgens selecteer je per applicatie bij AFAS Online van welke identity provider (je eigen voor single sign on of die van AFAS voor 2-factorauthenticatie) je gebruik wilt maken.
Stap 1. Vul de gegevens van je eigen SSO Identity provider in
- Ga naar: www.afasonline.nl.
- Log in als beheerder met twee-factorauthenticatie.
- Log je voor het eerst in? Volg dan deze procedure.
- Al vaker ingelogd als beheerder? Volg dan deze procedure.
Let op:
Gebruik bij het inloggen het e-mailadres dat bij de beheerder is vastgelegd in het veld E-mail. Je vindt dit veld in de Autorisatie Tool, eigenschappen van de beheerder, tabblad Algemeen, veld E-mail).
Log je in via single sign-on, dan is het tabblad Beheer niet zichtbaar.
- Ga naar tabblad: Beheer / Identity provider.
- Selecteer bij Type welke identity provider je wilt toevoegen.
- Afhankelijk van je keuze bij Type moet je andere velden invullen:
OpenID Connect bij de identity providers AD FS 4.0, Okta, Entra ID, etc.
Bij RedirectUri is de url die nodig is om de koppeling met de andere partij te leggen al ingevuld (https://sts.afasonline.com/signin-oidc). Hetzelfde geldt voor de url bij PostLogoutRedirectUri (https://sts.afasonline.com/signout-callback-oidc).
- Vul een duidelijke Omschrijving in. Bijvoorbeeld: Mijn SSO.
- Vul bij OpenID Connect configuratie url de externe URL in waarop de federator te benaderen is. Deze heb je ontvangen van je systeembeheerder en heeft de systeembeheerder genoteerd bij het inrichten van de identity provider.
Bijvoorbeeld:
- Als je werkt met Okta: gebruik bijvoorbeeld https://<klant-id>.okta.com
- Als je werkt met Azure: gebruik bijvoorbeeld https://sts.windows.net/<azure-klant-id>/.well-known/openid-configuration
- Als je werkt met AD FS: gebruik bijvoorbeeld https://<ADFS-server>/adfs/.well-known/openid-configuration
- Vul bij Client ID de client identifier in.
- Vul bij Client secret de shared secret in.
- Vul de Scopes in. Dit gebruik je onder andere als je met Google wilt koppelen en je hebt een e-mail claim nodig. Dan moet je expliciet aangeven dat je het e-mailadres van de gebruiker wilt hebben. Ook voor andere toepassingen kan het vullen van de scopes nodig zijn.
- Als je werkt met Okta: vul de waarde profile in.
- Als je werkt met Azure AD en je koppelt op de UPN van de gebruiker die in Azure AD voor deze gebruiker is vastgelegd: vul de waarde profile in.
- Als je werkt met Azure AD en je koppelt op het e-mailadres van de gebruiker dat in Azure AD voor deze gebruiker is vastgelegd: vul de waarde email in.
- Vul bij Claim de naam van de eigenschap in waarop het UPN-veld in Profit is gekoppeld.
- Als je werkt met Okta: vul de waarde preferred_username in.
- Als je werkt met Azure AD in combinatie met de scope profile: vul de waarde upn in.
- Als je werkt met Azure AD in combinatie met de scope email: vul de waarde email in.
- Als je werkt met AD FS: vul de waarde upn in.
ADFS 3.0
- Selecteer ADFS 3.0 bij Type.
- Vul bij Omschrijving je eigen omschrijving in. Bijvoorbeeld Mijn SSO.
- Vul bij Federation metadata URL het adres waarop de ADFS server extern te benaderen is.
Bijvoorbeeld: https://<ADFS-server>/FederationMetadata/2007-06/Federationmetadata.xml. Dus: [servernaam+vast pad met xml].
- Vul bij Client ID de unieke waarde in die in de stap 'Inrichting in ADFS' is gekozen voor <my_client_id>.
SURFconext
- Selecteer SURFconext bij Type.
- Vul een eigen Omschrijving in.
- Vul bij Client Secret het veld van 'Client Secret Value' in (dus niet de ID).
- Bepaal bij Inloggen via AFAS Identity Provider toestaan of gebruikers die al zijn ingelogd via twee-factorauthenticatie, verplicht moeten inloggen via single sign-on of niet.
Let op:
Deze instelling is toegevoegd op 20 december 2019. Voor bestaande identity providers heeft deze instelling geen waarde en blijft e.e.a. werken zoals voordien. Bij het inrichten van een nieuwe identity provider moet je een keuze maken bij deze instelling. Zie verder de inleiding van single sign-on.
Voorbeelden
Voorbeeld 1 (Profit):
Richard opent www.afasonline.nl en logt in met zijn AFAS Online account via twee-factorauthenticatie. Richard opent vervolgens Profit van de klant via www.afasonline.nl/12345 (deelnemer 12345). Aan dit deelnemersnummer is de identity provider van een klant gekoppeld.
Als gebruikers die met de AFAS Identity Provider zijn ingelogd, niet opnieuw hoeven in te loggen, dan wordt Profit direct geopend.
Als gebruikers altijd moeten inloggen via de Identity Provider (van de klant) kan moet Richard eerst inloggen via de identity provider voordat hij Profit kan openen.
Voorbeeld 2 (InSite):
Esther opent www.afasonline.nl en logt in met haar AFAS Online account via twee-factorauthenticatie. Esther opent de InSite de klant via 12345.afasinsite.nl (deelnemer 12345). Aan dit deelnemersnummer is de identity provider van een klant gekoppeld.
Als gebruikers die met de AFAS Identity Provider zijn ingelogd, niet opnieuw hoeven in te loggen, dan wordt InSite direct geopend.
Als gebruikers altijd moeten inloggen via de Identity Provider (van de klant) kan moet Esther eerst inloggen via de identity provider voordat zij InSite kan openen.
Voorbeeld 3 (gebruiker is niet ingelogd):
John is nog niet ingelogd en opent 12345.afasinsite.nl (deelnemer 12345). Aan dit deelnemersnummer is de identity provider van zijn organisatie gekoppeld.
John moet altijd inloggen via de identity provider van zijn organisatie, ongeacht de instelling in het veld Inloggen via AFAS Identity Provider toestaan.
- Klik op: Opslaan.
Stap 2. Stel per applicatie in welke identity provider je wilt gebruiken
Bepaal per applicatie welke identity provider je wilt gebruiken.
Let op:
Gebruikers blijven inloggen via twee-factorauthenticatie, tot je per gebruiker een UPN hebt vastgelegd.
- Ga naar www.afasonline.nl en log in als beheerder als dat nog niet het geval is.
- Ga naar: Beheer / Single Sign on.
Je ziet hier de applicaties die er voor jou zijn bij AFAS Online.
- Selecteer per applicatie de Identity provider die je wilt gebruiken: je eigen Single Sign On-identity provider of de standaard AFAS Identity Provider (als je van twee-factorauthenticatie gebruik wilt maken).
- Vink Keuzescherm tonen aan om de gebruiker de keuze te bieden tussen inloggen met single sign-on of twee-factorauthenticatie.
- Klik op: Opslaan.
- Klik op Testen om te zien of de verbinding goed is.
Stap 3: IP-restricties vastleggen (optioneel)
De beheerder kan IP-restricties op de AFAS Online portal vastleggen, via Beheer / IP-restricties. Als je IP-restricties vastlegt, kunnen gebruikers de toepassingen (apps) alleen starten vanaf IP-adressen die op basis van de IP-restricties zijn toegestaan, dit is een extra beveiliging die ook bij inloggen via SSO wordt toegepast.
Meer informatie: Inloggen beperken tot een bepaald IP-adres (IP-restricties)
UPN invullen per gebruiker en inloggen testen (Profit-beheerder)
De beste manier om SSO te testen is via de knop Testen op de AFAS Online portal, zoals hierboven uitgelegd. Een alternatieve/extra methode is het testen door de UPN in te vullen bij één gebruiker.
Als je voorheen ook al van SSO gebruik maakte, is de UPN bij de gebruikers al gevuld. Als het testen via de knop Testen goed is verlopen, kun je de onderstaande stappen overslaan.
Stap 1: UPN invullen bij één gebruiker
Je hoort van de systeembeheerder wat er in het veld UPN moet worden ingevuld. De Profit-beheerder vult de UPN via de onderstaande stappen.
- Ga naar: Algemeen / Beheer / Autorisatie tool.
- Open de eigenschappen van de gebruiker.
- Vul de UPN in (die je van de systeembeheerder hebt ontvangen). De UPN is meestal een e-mailadres.
- Klik op: Opslaan en sluiten. Je hebt nu de UPN aan de gebruiker gekoppeld!
Stap 2: Testen inloggen met één gebruiker
- Open in de browser de url van een applicatie waarvoor je zojuist in de portal de SSO Identity provider hebt gekoppeld.
Je ziet nu een scherm met de AFAS Online programma’s. Klik op de ‘Profit’ tegel om Profit te openen.
Afhankelijk van de situatie kan de tegel gekoppeld zijn aan je productie-omgeving of aan de testomgeving (T12345ZZ).
Als je InSite gebruikt, kun je InSite direct in je browser openen (bij een testomgeving moet de InSites-site natuurlijk wel gepubliceerd zijn).
- Als de gebruiker succesvol is ingelogd, ga je door met de volgende stap.
Stap 3: UPN invullen bij alle gebruikers
De UPN van de gebruikers moet gevuld worden voordat ze via single sign-on kunnen inloggen.
Let op:
Vul de UPN bij elke gebruiker in de productie-omgeving. Dit kan - afhankelijk van je situatie - voor of na de overstap. De UPN is meestal een e-mailadres.
Het heeft geen zin om de UPN van alle gebruikers in de testomgeving te vullen. De door AFAS aangemaakte testomgeving wordt net voor de overstap immers verwijderd. In de testomgeving leg je de UPN alleen vast bij gebruikers die je wilt testen.
Doe je dit voor een beperkt aantal gebruikers, vul dan handmatig de UPN's. Zie voor uitleg hierboven Stap 1 Invullen UPN van één gebruiker.
Heb je een groot aantal gebruikers waarvoor het veld UPN gevuld moet worden, dan kun je deze importeren via de import ‘Gebruiker mutatie’.
Zie ook:
