Via onderstaande procedure kunt u een SSO connectie met het OpenID protocol opzetten met Hix als Identity Provider (IDP).
Let op: deze optie staat niet standaard aan binnen uw omgeving. Neem hiervoor contact op met onze Helpdesk via support@hellohix.com
Om single sign-on voor Hix te activeren moet u later de volgende gegevens in de AFAS Online Portal vastleggen:
- AFAS Config URL
- AFAS Client ID
- AFAS Client Secret
Stap 1: Configuratie voor de Hix beheerder
- Login op uw Hix dashboard
- Ga naar het beheerdersportaal en kies voor services in het menu
- Kies voor nieuwe service toevoegen
- Klik op de tegel 'Single Sign On via OpenID connect'
- Kies voor AFAS
- Vul in het scherm dat nu verschijnt je 5-cijferige omgevingscode in, en klik op AFAS OpenID inschakelen
- Vervolgens zie je de waardes die je nodig hebt in het AFAS Online Portal. Via de knop kopiëren, kunt u deze waarden gemakkelijk kopiëren naar uw klembord.
Stap 2: Voorbereiding AFAS beheerder
Profit-beheerder instellen voor portal
Bij Single Sign-on moet de Profit-beheerder als portal-beheerder bepaalde acties op het AFAS Online Portal uitvoeren. Daarom stel je de Profit-beheerder in als portal-beheerder.
Let op: Hierdoor krijgt de beheerder NA DE OVERSTAP op de AFAS Online Portal toegang tot het tabblad Beheer. Als je al bent ingelogd op de AFAS Online Portal, moet je eerst uitloggen en dan weer inloggen. Daarna is het tabblad Beheer zichtbaar.
- Ga naar: Algemeen > Beheer > Autorisatie tool.
- Open de eigenschappen van de beheerder.
- Ga naar het tabblad Applicaties.
- Vink AFAS Online Portal Beheerder aan.
- Als je een AFAS Accept licentie hebt, is het veld AFAS Accept beschikbaar. Als een gebruiker toegang mag hebben tot Accept-omgeving, dan vink je bij deze gebruiker het veld AFAS Accept aan.
Stap 3: Configuratie AFAS beheerder
Inlogmethode per applicatie in Portal vastleggen
Vul de gegevens van je eigen SSO Identity provider in
- Ga naar: www.afasonline.nl.
- Als je nog bent ingelogd op basis van Single Sign-On, moet je eerst uitloggen.
- Log in als beheerder met twee-factorauthenticatie.
- Log je voor het eerst in? Volg dan deze procedure.
- Al vaker ingelogd als beheerder? Volg dan deze procedure.
- Let op: Gebruik bij het inloggen het e-mailadres dat bij de beheerder is vastgelegd in het veld E-mail. Je vindt dit veld in de Autorisatie Tool, eigenschappen van de beheerder, tabblad Algemeen, veld E-mail).
Log niet in via single sign-on, dan is het tabblad Beheer niet zichtbaar.
- Ga naar tabblad: Beheer / Identity provider.
- Selecteer bij type voor OpenID Connect.
- Bij RedirectUri is de url die nodig is om de koppeling met de andere partij te leggen al ingevuld (https://sts.afasonline.com/signin-oidc). Hetzelfde geldt voor de url bij PostLogoutRedirectUri (https://sts.afasonline.com/signout-callback-oidc).
- Vul een duidelijke Omschrijving in. Bijvoorbeeld: SSO Hix.
- Vul bij OpenID Connect configuratie url de externe URL (AFAS Configuratie URL) in waarop de server te benaderen is. Deze heb je ontvangen van de Hix beheerder.
Bijvoorbeeld: https://example.securelogin.nu/.well-known/openid-configuration - Vul bij Client ID de in Hix gegenereerde AFAS Client ID in.
- Vul bij Client Secret de in Hix gegenereerde AFAS Client Secret in.
- Vul bij Scopes de in Hix aangegeven Scopes in.
- Vul bij Claim de in Hix aangegeven Claim in.
- Klik op: Opslaan.
Stel per applicatie in welke identity provider je wilt gebruiken
Bepaal per applicatie welke identity provider je wilt gebruiken.
Let op: Gebruikers blijven inloggen via twee-factorauthenticatie, tot je per gebruiker een UPN hebt vastgelegd.
- Ga naar www.afasonline.nl en log in als beheerder als dat nog niet het geval is.
- Ga naar: Beheer / Single Sign on.
Je ziet hier de applicaties die er voor jou zijn bij AFAS Online. - Selecteer per applicatie de Identity provider die je wilt gebruiken: je eigen Single Sign On-identity provider of de standaard AFAS Identity Provider (als je van twee-factorauthenticatie gebruik wilt maken).
- Let op: Binnen Hix is er een aparte widget voor elke AFAS-applicatie. Wil je alle logins via Hix laten verlopen, kies dan overal voor SSO Hix.
- Klik op: Opslaan.
UPN invullen per gebruiker en inloggen testen
We adviseren je single sign-on eerst te testen met één testgebruiker.
Stap 1: UPN invullen bij één gebruiker
De Profit-beheerder vult de UPN in via de onderstaande stappen.
- Ga naar: Algemeen / Beheer / Autorisatietool.
- Open de eigenschappen van de gebruiker.
- Vul de UPN in (deze dient gelijk te zijn aan de gebruikersnaam waarmee bij Hix wordt ingelogd. Vanuit Hix kan er een csv export gemaakt worden, zie daarvoor de AFAS OpenID instellingen venster).
- Klik op: OK. Je hebt nu de UPN aan de gebruiker gekoppeld!
Stap 2: Testen inloggen met één gebruiker
- Open in de browser de url van een applicatie waarvoor je zojuist in de portal de SSO Identity provider hebt gekoppeld. Je ziet nu een scherm met de AFAS Online programma’s. Klik op de ‘Profit’ tegel om Profit te openen. Afhankelijk van de situatie kan de tegel gekoppeld zijn aan je live-omgeving of aan de testomgeving.
Als je InSite gebruikt, kun je InSite direct in je browser openen (bij een testomgeving moet de InSites-site natuurlijk wel gepubliceerd zijn). - Als de gebruiker succesvol is ingelogd, ga je door met de volgende stap.
Stap 3: UPN invullen bij alle gebruikers
- De UPN van de gebruikers moet gevuld worden voordat ze via single sign-on kunnen inloggen.
- Let op: Vul de UPN van alle gebruikers in de live-omgeving. Dit kan - afhankelijk van je situatie - voor of na de overstap. Het heeft geen zin om de UPN van alle gebruikers in de testomgeving te vullen. De door AFAS aangemaakte testomgeving wordt net voor de overstap immers verwijderd. In de testomgeving leg je de UPN alleen vast bij gebruikers die je wilt testen.
- Doe je dit voor een beperkt aantal gebruikers, vul dan handmatig de UPN's in. Zie voor uitleg hierboven Stap 1 Invullen UPN van één gebruiker. Heb je een groot aantal gebruikers waarvoor het veld UPN gevuld moet worden, dan kun je deze importeren via de import ‘Gebruiker mutatie’.
Stap 4: AFAS widgets in Hix
Na het configureren zijn de volgende widgets voor u beschikbaar:
AFAS Insite (OpenID)
- Er is geen verdere configuratie van de widget nodig. De widget kan gebruikt worden mits de UPNs van AFAS en Hix gelijk zijn. De Hix beheerder kan de widget aan de gewenste groep(en) toevoegen.
AFAS Profit Portal (OpenID)
- Er is geen verdere configuratie van de widget nodig. De widget kan gebruikt worden mits de UPNs van AFAS en Hix gelijk zijn. De Hix beheerder kan de widget aan de gewenste groep(en) toevoegen.